基于MPLS的IP VPN应用分析
扫描二维码
随时随地手机看文章
摘 要:从支持IP VPN的实现方式出发,采用某移动通信公司运营支撑网实例论证的方法,详细阐述了MPLS—VPN的应用,主要对基于MPLS的IP VPN的结构组成,MPLS IP VPN的工作过程,MPLS—VPN的三种实际部署方案,MPLSVPN的优势进行了分析,最后对其发展趋势进行了展望,并提出了使用这种技术时需注意的问题。
关键词:MPLS;IP VPN;部署方案;路由器
MPLS为IP VPN的实现提供了一种灵活的、具有可扩展性的技术基础,在MPLS网络中,一项IP VPN业务可以通过多种方式来提供。一种方式是仿真第二层的IPVPN,如直接仿真帧中继;另一种方法是使用支持MPLS功能的用户设备来提供这一业务。无论是哪一种方法都可以让业务提供者以一种集成的方式,在提供因特网服务的同一平台上提供这一流行业务。因此有多种支持IPVPN的方法,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP VPN。
本文将以实际应用的实例对MPLS—VPN进行详细的分析。
1 基于MPLS的IP VPN概述
1.1 基于MPLS的IP VPN的结构组成
如图1所示给出了使用MPLS和多协议边界网关协议来提供IP VPN业务的一种网络配置模型。这种网络模型主要由提供者(P)路由器、提供者边缘(PE)路由器、用户边缘(CE)路由器以及站点(Site)组成。
提供者(P)路由器相当于核心部分的标签交换路由器(LSR),P路由器之间使用MPLS协议与进程,P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。提供者边缘(PE)路由器相当于核心部分的标签边缘路由器(LER),用户边缘(CE)路由器的作用是将某个用户站点连接至PE路由器,它不使用MPLS,也不必支持任何VPN的特定路由协议和信令。站点(Site)是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN,而VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。
在图1中,每个PE(PEl~PE3)都直接和属于相应VPN的用户站点相连,这些VPN都直接映射到每个VPN各自的虚拟路由中。通过使用BGP协议,PE路由器之间自动的交换特定VPN的MPLS标记,并且自动的在内部VPN站点之间建立MPLS隧道,这些MPLS隧道能够传输一个或多个特定VPN LSPs,每个VPN标记交换通道都直接与隧道两端点的站点连接。
CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设备,一般是路由器。
PE(Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连。
P routers骨干网中不与CE直接相连的设备,只负责标签转发。
Site是一个内部连通但不通过服务提供者骨干网不具有相互连通性的网络系统。
1.2 MPLS IP VPN的工作过程
(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN—IP的信息以及相应的VPN标记.而在PE与P路由器之间则使用IGP协议相互学习路由信息,采用LDP协议进行路由信息与骨干网络中的标记的绑定。此时形成CE、PE以及P路由器中基本的网络拓扑以及路由信息。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时在前传的数据包中打上VPN标记。为了到达目的端PE,在起始端PE中读取骨干网络的路由信息,得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记。其中在骨干网络中,初始PE之后的P均只读取骨干网络中的标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(3)在达到目的端PE之前的最后一个P路由器时,将骨干网络中的标记去掉,读取VPN标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
2 某省移动公司MDCN的MPLS—VPN部署方案
省移动公司MDCN各区县营业厅及大型分支机构的业务,其路由包括3种情况:
(1)地市中心PE路由器(Cisco7507/7206/3745/R3680E)地市中心二层交换设备(Cat6509/4006/4003)区县大型分支机构CE交换设备(FlexFtammer24)连接,其中CE交换机之间采用光纤GE方式直连。
该方案通过在港湾FlexHammer24交换机上采用VLAN方式实现各区县营业厅及大型分支机构的MPLS—VPN服务,BOSS系统、MIS系统及OA系统等3个业务系统接入到港湾FlexHammer24交换机。
根据业务需求,不同业务系统需要相互隔离,在港湾
FlexHammer24交换机划分VLANll,VLANl2,VLANl3共3个VLAN,并为三个业务VLAN分别定义MIS,BOKS,OA,实现VLAN和VRF一一对应;将港湾FlexHammer24交换机与Cat 6509/4006/4003相连的两个GE端口及跟CISCO7507/7206/3745/R3680E相连Cat 6509上的GE/FE端口配置成Trunk模式;同时在CISCO7507/7206/3745/R3680EPE路由器与Cat6509/4006/4003相连的以太网接口上划分3个逻辑(子)接口,并在每个接口配置各个业务系统对应的lP地址,分别作为VLANll,VLANl2,VLANl3的网关,再将各VLAN(子)接口分别与MISS,OA,BOSS三个VRF一一关联,从而实现各个业务系统的上连和相互隔离;从以上所述可以看出Cat 6509/4006/4003交换机在整个过程只是作为一台普通的二层交换机使用,港湾FlexHammer24交换机以Trunk方式向CIS—CO7507上传VRF/VLAN信息数据,具体如图2所示。
(2)地市中心PE路由器(Cisco7507/7206/3745/R3680E)区县大型分支机构CE路由设备(Cisc02620XM/Quidway R2620)区县FlexHammer24,其中地市中心PE路由器至区县CE路由器之间采用E1传输方式直连。
该方案通过在CE路由设备(Cisco2620XM/QuidwayR2620)上实现实现市各区县的MPLS—VPN服务。BOSS系统、MIS系统及OA系统等3个业务系统接入到Flex—Hammer24交换机。根据业务需求,不同业务系统需要相互隔离,在FlexHammer24交换机划分VLANll,VIANl2,VLANl3共3个VLAN;将FlexHammer24与Cis—co2620XM/Quidway R2620路由器相连的FE端口配置成Trunk模式;在Cisc02620XM/Quidway R2620路由器与FlexHammer24相连的以太网接口上划分3个逻辑(子)接口,并在每个接口配置各个业务系统对应的IP地址,分别作为VLANll,VLANl2,VLANl3的网关,再将各VLAN(子)接口分别与MIS,OA,BOSS三个VRF一一关联;将CE路由器Cisc02620XM/Quidway R2620与PE路由器Cis—co7507/7206/3745/Quidway R3680相连的E1链路封装Frame-relay,同时在其连接的串口上为3个业务系统划分三个Point to Point的子接口,CE与PE路由器之间运行OSPF动态路由技术,并且CE与PE之间采用负荷分担、主一备双网络连接方式连接,能够避免单点故障,提高了网络系统高可用性。对于通过OSPF从CE路由器收到的信息,都将被加入到(PE路由器)与接收信息的接口相关的VRF、中,然后这些信息将跨越MPLS/VPN主干,在PE一路由器之间进行通告。从而实现各个业务系统基于路由器Multi—CE方式的VPN服务,具体如图3所示。
(3)远程营业厅通过地市PE路由器(Cisco7507/7206/3745/R3680E)地市中心CE设备(汇聚路由器Cis—co4500/3640)CE设备(路由器Cisco2610/2510)连接。远程营业厅Cisco2610/2510路由器通过E1/DDN链路接入到汇聚路由器Cisco4500/3640,再通过地市中心交换机Cat4006/4003与PE路由器相连,汇聚CE路由器与PE路由器之间采用的是OSPF进行交互。
因为远程营业厅只包含单一的BOSS业务,在4006上只需划分一个VLAN,在PE路由器可以配置一个BOSS VRF,PE路由器使用每一VPN OSPF进程收集汇聚CE路由设备的路由信息,然后将收集到的信息重新发布到MP—BGP中,并跨越省公司的PE路由器进行转发,到了对端的出口路由器就通过多协议BGP收到的路由信息被插入到BOSS VRF中,并被选择性转发给CE设备,实现MPLS/VPN过程。具体如图4所示。
3 MPLS VPN的优势
MPLS VPN是基于网络服务提供商的主干网络所提供的一种高性能的虚拟专用网技术,与其他虚拟专用网技术相比,它更能满足企业集团用户的应用要求。MPLSVPN主要有以下优点:
提供无连接服务因特网采用TCP/IP协议,是基于无连接网络技术。无连接是指两个主机在通信前不需要预先进行一些操作建立通信连接,双方的通信过程比较简单。为了在无连接的IP网络环境中保证通信的安全性,现在的MPLS VPN大多采用重叠模型,在公网上使用点到点、面向连接的技术来构建VPN,这样的VPN方案无法利用无连接的IP网络提供的多种服务和便捷的网络连接。如果采用无连接技术创建VPN,则不需要设置隧道和各种加密方案,大大减少了网络的复杂性。
扩展能力强 采用点到点模式创建面向连接的VPN,例如采用VC连接的FR、ATM网络,最主要的缺陷就是伸缩能力受到VC数目的限制。相反,MPLS VPN采用对等模型和第三层无连接的结构来实现。对等模型不需要VPN成员节点之间互相建立连接,也无需使用隧道和VC进行连接。同时在MPLS VPN中,路由表采用分布式计算由不同路由器共同维护进一步提高了网络的伸缩能力。
安全性高 MPLS VPN与面向连接的VPN提供同样的安全性。正常配置情况下,一个VPN中的数据分组不会进入到另一个VPN中,MPLS的安全性是通过以下方法获得:在服务商网络边缘,确保从一个用户收到的分组进入正确的VPN中,在主干网中VPN数据是互相隔离的,恶意欺骗几乎不可能发生。
易于管理 因为MPLS VPN是无连接的工作模式,没有特定的点到点连接映射或需要指定的拓扑形式,可以很方便地增加或减少用户。另外,MPLS VPN还支持用户自己的编址方案,方便用户网络规划管理,VPN用户编址方案与网络服务商及其他VPN用户无关。
支持服务类别设置服务质量保证对许多VPN用户来说都是一个重要的需求。在一个MPLS VPN中可以支持多级别的服务。视频、话音、图文数据等需要不同的服务质量保证,采用MPLS技术后,增强了IP网络的服务能力,可以根据不同的服务质量提供不同的服务。
4 结 语
MPLS是当今IP VPN的发展趋势,VPN的划分在PE节点上实现。由于信息和网络资源共享的需求,MDCN网需要同时支持很多个VPN,为了简化IP地址的规划、分配、维护,MPLS来实现VPN。基于MPLS的标签转发路径的VPN可以单独构成一个独立的地址空间,独立寻址,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN仿真结果证明了理论的正确性以及方法的可行性。之内不冲突即可。当然在考虑VPN与Internet互连时还是得通过NAT等方式以避免与Internet地址冲突。