论文部分内容阅读
摘要:随着我国市场经济的快速发展,越来越多的企业要求能够跨市、跨省甚至跨国的通信,因此,ISP需要提供有效的VPN跨域通信解决方案。以不同城市的城域网BGP MPLS VPN为基础,通过在ABSR上为VPN配置VRF的Import/Export Target,实现了VRF to VRF组网方式,并分析了VRF to VRF组网方式的优缺点。
关键词:BGP MPLS VPN;ASBR;Import/Export Target;VRF to VRF
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2007)06-11553-02
1 MPLS VPN基本原理
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(Forwarding Equivalent Class,转发等价类FEC)的分类转发技术。[1]标签(4字节)用于唯一地表示一个分组所属的FEC。LDP(Label Distribution Protocol,标签分配协议)用于动态地在具有邻居关系的骨干网路由器之间发布标签/FEC绑定关系,自动建立一系列的LSP(Label Switching Path,标签交换路径)隧道。[2]MPLS VPN(Virtual Private Network,虚拟专网)中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)三种路由器。
2 BGP MPLS VPN的相关属性
VRF(VPN Routing/Forwarding Instance,路由转发实例VPN-instance):综合了各个site的VPN成员关系和路由规则,在VRF中包含了到达所有与本site 属于同一个VPN的site 路由信息。对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表,多个VRF是相互分离独立的,因此不同VPN之间的地址空间不会发生冲突。
RD(Route Distinguisher,路由区分符,8字节):为了区分一台PE接收到远端PE发来的不同VRF的相同路由,而加在路由前面的信息称为RD。RD和IPv4地址构成的新的VPNv4地址族,一般需要把ASN号(AS Number)作为RD的一部分,这样,即使IPv4地址重叠,VPNv4地址族仍然可以保持全局的唯一性。[3]
RT(Route Target,路由目标):表明了一个VRF的路由属性,通过它可以实现不同VRF之间的路由互通。PE中存在两个RT属性集合:一个用于附加到从某个Site接收的路由上,称为Export Target;另一个用于决定哪些路由可以引入此Site的路由表中,称为Import Target。通过匹配路由所携带的RT属性,可以过滤PE接收的路由信息,获得VPN的成员关系,这样,多个Site可以实现灵活的VPN访问控制。
MP-BGP(Multiprotocol Extensions BGP,多协议扩展BGP):主要功能是为路由指定特定网络层协议的下一跳和NLRI(Network Layer Reachable Information,网络层可达信息)。MP-BGP不仅能承载IPv4路由,而且能承载VPN、IPv6等路由。一个扩展后的NLRI增加了地址族的描述以及私网标签等信息,[4]RT属性是由BGP的扩展团体属性来表示的。
3 跨域BGP MPLS VPN实现技术
3.1 拓扑结构
某物流公司在辽宁省的A、B……等城市都有自己的业务网点,并分别接入所在城市的城域网,用以实现跨域BGP MPLS VPN,其拓扑结构如图1所示:
图1 域BGP MPLS VPN拓扑结构图
图中每个城域网PE之间的IGP选择OSPF协议,使PE能相互学习到对方的路由。还要运行MP-BGP协议,负责在PE之间传递VPNv4路由和RT等信息,并在PE之间建立IBGP邻居。PE需要运行MPLS协议,并在互连的接口使能LDP,实现各自域内的BGP MPLS VPN。
3.2 实现方法
跨域VPN要解决的是LSP不能跨域的问题,关键在于ASBR(Autonomous System Boundy Router,自治系统边界路由器)的配置,最简单的实现方法是VRF to VRF组网方式。
在VRF to VRF组网方式中,要求每个AS域的ASBR能够完成PE功能,直接相连的ASBR互相把对方看作自己的一个本地CE、之间通过多个子接口相连,理想情况下,每个跨域的VPN 都有一对子接口,每个子接口对应一个VPN,用来交换VPN 路由信息,AS域各自运行自己的VPN。对于每个需要跨域的VPN,必须在本端ASBR上配置对应于该VPN的VRF,并且将ASBR 的子接口绑定在对应的VRF下,但不需要使能MPLS。PE-CE之间运行传统的EBGP协议,用于携带对端的VPN路由信息,向对端发布IPv4 路由。以图1为例,ASBR1和PE1、ASBR2和PE2在各自域内VRF的Import/Export Target要能匹配,区域间VRF的Import/Export Target不需要匹配。这样CE1的私网路由经过PE1发布到ASBR1之后,ASBR1会将私网路由发布给ASBR2(此时当作ASBR1的一个CE),ASBR2再将ASBR1(此时当作ASBR2的一个CE)发布过来的私网路由向PE2发布,这样CE2就通过PE2学习到另一个域内的路由,CE1到CE2的流量就可以通过PE1-ASBR1-ASBR2-PE2进行发送。
VRF to VRF的工作过程:以图1为例,当用户IP分组由CE1进入PE1时,被有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组穿过AS1内的P-Network骨干网到达ASBR1;在被去掉MPLS标签后采用普通IP转发方式将IP分组传递到ASBR2(ASBR1-ASBR2传递的是不带MPLS标签的纯私网流量),再次封装成标签分组穿过AS2内的P-Network骨干网到达PE2;在被去掉两层标签后,用户分组被转发到CE2,进行VPN内部的IP转发。
3.3 性能
VRF to VRF组网方式的优点是在ASBR之间不需要运行MPLS,但缺点是ASBR需要管理所有的VPN路由,需要为每个跨域的VPN 创建VRF并与一个子接口绑定,子接口的数量至少要和跨域的VPN的数量相当,这将导致ASBR上的VPNv4 路由数量过于庞大,因而存在可扩展性问题,为每个VPN 单独创建子接口也提高了对ASBR设备的要求。不过由于目前我国大多数企业的分支机构对跨域VPN通信的要求不高,现在遇到的扩展性问题还不是很明显。也可以通过Multi-hop MP-EBGP组网方式解决VRF to VRF扩展性差的问题。
4 结束语
MPLS VPN是未来VPN技术的主流,随着我国市场经济的快速发展,会有越来越多的企业要求跨市、跨省甚至跨国的通信,因此,对跨区域VPN技术的研究将具有重要意义,运营商之间也需要合作开通跨区域VPN业务,以满足用户信息化的实际需求。
参考文献:
[1][美]Eric Osborne,Ajay Simha.基于MPLS的流量工程[M].张辉,卢炜.北京:人民邮电出版社,2003.
[2]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.58-59.
[3]马荣飞.基于BGP/mpls的vpn解决方案[J].计算机测量与控制,2005,(2):181.
[4]张志安.VPN实现的研究[J].常州工学院学报,2005,(6):35.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:BGP MPLS VPN;ASBR;Import/Export Target;VRF to VRF
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2007)06-11553-02
1 MPLS VPN基本原理
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(Forwarding Equivalent Class,转发等价类FEC)的分类转发技术。[1]标签(4字节)用于唯一地表示一个分组所属的FEC。LDP(Label Distribution Protocol,标签分配协议)用于动态地在具有邻居关系的骨干网路由器之间发布标签/FEC绑定关系,自动建立一系列的LSP(Label Switching Path,标签交换路径)隧道。[2]MPLS VPN(Virtual Private Network,虚拟专网)中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)三种路由器。
2 BGP MPLS VPN的相关属性
VRF(VPN Routing/Forwarding Instance,路由转发实例VPN-instance):综合了各个site的VPN成员关系和路由规则,在VRF中包含了到达所有与本site 属于同一个VPN的site 路由信息。对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表,多个VRF是相互分离独立的,因此不同VPN之间的地址空间不会发生冲突。
RD(Route Distinguisher,路由区分符,8字节):为了区分一台PE接收到远端PE发来的不同VRF的相同路由,而加在路由前面的信息称为RD。RD和IPv4地址构成的新的VPNv4地址族,一般需要把ASN号(AS Number)作为RD的一部分,这样,即使IPv4地址重叠,VPNv4地址族仍然可以保持全局的唯一性。[3]
RT(Route Target,路由目标):表明了一个VRF的路由属性,通过它可以实现不同VRF之间的路由互通。PE中存在两个RT属性集合:一个用于附加到从某个Site接收的路由上,称为Export Target;另一个用于决定哪些路由可以引入此Site的路由表中,称为Import Target。通过匹配路由所携带的RT属性,可以过滤PE接收的路由信息,获得VPN的成员关系,这样,多个Site可以实现灵活的VPN访问控制。
MP-BGP(Multiprotocol Extensions BGP,多协议扩展BGP):主要功能是为路由指定特定网络层协议的下一跳和NLRI(Network Layer Reachable Information,网络层可达信息)。MP-BGP不仅能承载IPv4路由,而且能承载VPN、IPv6等路由。一个扩展后的NLRI增加了地址族的描述以及私网标签等信息,[4]RT属性是由BGP的扩展团体属性来表示的。
3 跨域BGP MPLS VPN实现技术
3.1 拓扑结构
某物流公司在辽宁省的A、B……等城市都有自己的业务网点,并分别接入所在城市的城域网,用以实现跨域BGP MPLS VPN,其拓扑结构如图1所示:
图1 域BGP MPLS VPN拓扑结构图
图中每个城域网PE之间的IGP选择OSPF协议,使PE能相互学习到对方的路由。还要运行MP-BGP协议,负责在PE之间传递VPNv4路由和RT等信息,并在PE之间建立IBGP邻居。PE需要运行MPLS协议,并在互连的接口使能LDP,实现各自域内的BGP MPLS VPN。
3.2 实现方法
跨域VPN要解决的是LSP不能跨域的问题,关键在于ASBR(Autonomous System Boundy Router,自治系统边界路由器)的配置,最简单的实现方法是VRF to VRF组网方式。
在VRF to VRF组网方式中,要求每个AS域的ASBR能够完成PE功能,直接相连的ASBR互相把对方看作自己的一个本地CE、之间通过多个子接口相连,理想情况下,每个跨域的VPN 都有一对子接口,每个子接口对应一个VPN,用来交换VPN 路由信息,AS域各自运行自己的VPN。对于每个需要跨域的VPN,必须在本端ASBR上配置对应于该VPN的VRF,并且将ASBR 的子接口绑定在对应的VRF下,但不需要使能MPLS。PE-CE之间运行传统的EBGP协议,用于携带对端的VPN路由信息,向对端发布IPv4 路由。以图1为例,ASBR1和PE1、ASBR2和PE2在各自域内VRF的Import/Export Target要能匹配,区域间VRF的Import/Export Target不需要匹配。这样CE1的私网路由经过PE1发布到ASBR1之后,ASBR1会将私网路由发布给ASBR2(此时当作ASBR1的一个CE),ASBR2再将ASBR1(此时当作ASBR2的一个CE)发布过来的私网路由向PE2发布,这样CE2就通过PE2学习到另一个域内的路由,CE1到CE2的流量就可以通过PE1-ASBR1-ASBR2-PE2进行发送。
VRF to VRF的工作过程:以图1为例,当用户IP分组由CE1进入PE1时,被有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组穿过AS1内的P-Network骨干网到达ASBR1;在被去掉MPLS标签后采用普通IP转发方式将IP分组传递到ASBR2(ASBR1-ASBR2传递的是不带MPLS标签的纯私网流量),再次封装成标签分组穿过AS2内的P-Network骨干网到达PE2;在被去掉两层标签后,用户分组被转发到CE2,进行VPN内部的IP转发。
3.3 性能
VRF to VRF组网方式的优点是在ASBR之间不需要运行MPLS,但缺点是ASBR需要管理所有的VPN路由,需要为每个跨域的VPN 创建VRF并与一个子接口绑定,子接口的数量至少要和跨域的VPN的数量相当,这将导致ASBR上的VPNv4 路由数量过于庞大,因而存在可扩展性问题,为每个VPN 单独创建子接口也提高了对ASBR设备的要求。不过由于目前我国大多数企业的分支机构对跨域VPN通信的要求不高,现在遇到的扩展性问题还不是很明显。也可以通过Multi-hop MP-EBGP组网方式解决VRF to VRF扩展性差的问题。
4 结束语
MPLS VPN是未来VPN技术的主流,随着我国市场经济的快速发展,会有越来越多的企业要求跨市、跨省甚至跨国的通信,因此,对跨区域VPN技术的研究将具有重要意义,运营商之间也需要合作开通跨区域VPN业务,以满足用户信息化的实际需求。
参考文献:
[1][美]Eric Osborne,Ajay Simha.基于MPLS的流量工程[M].张辉,卢炜.北京:人民邮电出版社,2003.
[2]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.58-59.
[3]马荣飞.基于BGP/mpls的vpn解决方案[J].计算机测量与控制,2005,(2):181.
[4]张志安.VPN实现的研究[J].常州工学院学报,2005,(6):35.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。