MPLS+VPN+跨域技术白皮书.docVIP

MPLS VPN 跨域技术白皮书 一．MPLS VPN的体系结构理解 在这里我们说明几个概念：LSP ，VPN的LSP，公网LSP，BGP LSP 1）LSP: 一段标签路径 2）公网的LSP：使用LDP或是RSVP信令协议，使用公网路由触发创建的LSP，是两个PE设备之间的一条隧道。 3）VPN的LSP:通过VPN路由触发创建的LSP，是两个VPN之间的一条隧道，由于每个PE上可以有多个VPN存在，VPN的LSP要保证当一个数据报文从这条LSP到达一个PE后，它必须能区分出，这个数据报文是属于哪个VPN的。因此也是一条LSP隧道，虽然仅仅只有一跳。 4）BGP的LSP：是使用BGP作为信令为公网的BGP路由分配的标签路径，符合标准RFC3107。 MPLS VPN的基本框架是两层的标签，或说是两层的LSP，或是两层的隧道，隧道是迭加在一起的，职责分别是，公网的隧道保证数据报文送到某个指定的PE，VPN的隧道负责报文送到某个指定的VPN。 后面将使用上面的这些概念来分析几种不同的跨域VPN解决方案 二．跨域VPN的需求产生 随着MPLS VPN解决方案的越来越流行，服务的终端用户的规格和范围也在增长，在一个特殊的企业内部的站点数目越来越大，某个地理位置与另外一个服务提供商相连的可能性的需求变得非常的普遍，比如我们国内运营商的不同城域网之间，或是同骨干网之间都存在着非常现实的跨越不同自治域问题，这些都需要一个不同于基本的MPLS VPN体系结构所提供的互连模型——跨域的MPLS VPN，为了支持服务提供商之间的VPN路由选择信息交换，需要一个新的机制，以便可以穿过提供商间的链路来广播路由前缀和标签信息，但是一般的MPLS VPN体系结构都是在一个自治系统内运行，任何VPN的路由信息都是可以在一个自治系统内按需扩散，就是没有提供一个自治系统内的V PN信息向其他服务商所属的自治系统扩散的功能，因此，为了支持以上的跨域VPN的需求，就需要扩展现有的协议和修改MPLS VPN体系框架。 ASBR1ASBR2 ASBR1 ASBR2 VPN-A-1 VPN-A-2 PE-1 PE2 CE2 CE-1 AS #1 AS #2 149.27.2.0/24 怎么让两个AS内VPN可以互通？ ？ VPN 用户连接在不同的AS上 以上图示仅仅是跨越两个自治域的VPN客户互连，当然现实中也可能需要跨越更多的自治域。 现在解决以上跨域问题的技术方案主要有三种， 1）VRF-TO-VRF（背靠背方式） 2）MP-EBGP （单跳的MP-EBGP方式） 3）MULTIHOP-EBGP（多跳的MP-EBGP方式） 三．VRF-TO-VRF方式（背靠背方式） 1．方案描述 PE-1 PE-1 PE-2 AS #1 AS #2 CE-1 VPN-A-1 VPN-A-2 CE-2 CE-3 在ASBR之间进行VPN实例的一一影射 CE-4 VPN-A VPN-A VPN-B VPN-B VPN-B-1 VPN-A-1 PE-ASBR-2 PE-ASBR-1 对于一个需要跨域的VPN客户：VPN-A，需要在所在自治域的PE-ASBR上配置一个相同的VPN，如上图所示，分别在PE-ASBR-1和PE-ASBR-2上配置一个VNP-A，然后在这两个ASBR上创建一个逻辑链路（或是物理链路），分别将VPN-A关联到这条链路上。在这种应用中，其实是把ASBR作为了一个PE设备，在这个PE上创建了一个相同的VPN，然后把对端的ASBR看作自己的CE设备，这样对于两个自治域而言，就是是在运营一个域内的MPLS VPN业务一样，先把域内的VPN信息扩散到ASBR上（其实就是PE设备），然后再把VPN信息扩散到对端的ASBR（相当与是自己的CE设备），这个ASBR上的VPN接收下VPN信息后（其实相当于另外一个自治域的PE设备），再把他扩散到自己域内的PE设备。最终到达CE设备，这样就实现了两个自治域内的VPN路由信息的交互。 2．路由信息的扩散 控制信令：在PE和ASBR之间仍然跑MP-IBGP协议，在两个ASBR之间的两个VPN之间可以跑普通的PE-CE路由协议，建议跑BGP协议，或是静态路由，因为这是两个ASBR之间的信令交互。以上应用的信令和普通的一个自治域内的MPLS VPN是一样的，因此在这个方案里是不需要扩展任何信令协议，也不需要增加任何特殊的处理流程。因此是天然支持的 路由信息交互流程，比如在CE1中有一条10.0.0.0/8的路由信息，它的发扩散流程如下：D代表目的网段，N代表下一跳，label:代表所携带的标签，PE和ASBR之 D:10.0.0 .0/8