MPLS-VPN-跨域技術(shù)白皮書-李勁松

MPLSVPN跨域技術(shù)白皮書一．MPLSVPN的體系結(jié)構(gòu)理解在這里我們說明幾個(gè)概念：LSP，VPN的LSP，公網(wǎng)LSP，BGPLSP1）LSP:一段標(biāo)簽路徑2）公網(wǎng)的LSP：使用LDP或是RSVP信令協(xié)議，使用公網(wǎng)路由觸發(fā)創(chuàng)建的LSP，是兩個(gè)PE設(shè)備之間的一條隧道。3）VPN的LSP:通過VPN路由觸發(fā)創(chuàng)建的LSP，是兩個(gè)VPN之間的一條隧道，由于每個(gè)PE上可以有多個(gè)VPN存在，VPN的LSP要保證當(dāng)一個(gè)數(shù)據(jù)報(bào)文從這條LSP到達(dá)一個(gè)PE后，它必須能區(qū)分出，這個(gè)數(shù)據(jù)報(bào)文是屬于哪個(gè)VPN的。因此也是一條LSP隧道，雖然僅僅只有一跳。4）BGP的LSP：是使用BGP作為信令為公網(wǎng)的BGP路由分配的標(biāo)簽路徑，符合標(biāo)準(zhǔn)RFC3107。MPLSVPN的基本框架是兩層的標(biāo)簽，或說是兩層的LSP，或是兩層的隧道，隧道是迭加在一起的，職責(zé)分別是，公網(wǎng)的隧道保證數(shù)據(jù)報(bào)文送到某個(gè)指定的PE，VPN的隧道負(fù)責(zé)報(bào)文送到某個(gè)指定的VPN。后面將使用上面的這些概念來分析幾種不同的跨域VPN解決方案二．跨域VPN的需求產(chǎn)生隨著MPLSVPN解決方案的越來越流行，服務(wù)的終端用戶的規(guī)格和范圍也在增長(zhǎng)，在一個(gè)特殊的企業(yè)內(nèi)部的站點(diǎn)數(shù)目越來越大，某個(gè)地理位置與另外一個(gè)服務(wù)提供商相連的可能性的需求變得非常的普遍，比如我們國(guó)內(nèi)運(yùn)營(yíng)商的不同城域網(wǎng)之間，或是同骨干網(wǎng)之間都存在著非?，F(xiàn)實(shí)的跨越不同自治域問題，這些都需要一個(gè)不同于基本的MPLSVPN體系結(jié)構(gòu)所提供的互連模型——跨域的MPLSVPN，為了支持服務(wù)提供商之間的VPN路由選擇信息交換，需要一個(gè)新的機(jī)制，以便可以穿過提供商間的鏈路來廣播路由前綴和標(biāo)簽信息，但是一般的MPLSVPN體系結(jié)構(gòu)都是在一個(gè)自治系統(tǒng)內(nèi)運(yùn)行，任何VPN的路由信息都是可以在一個(gè)自治系統(tǒng)內(nèi)按需擴(kuò)散，就是沒有提供一個(gè)自治系統(tǒng)內(nèi)的VPN信息向其他服務(wù)商所屬的自治系統(tǒng)擴(kuò)散的功能，因此，為了支持以上的跨域VPN的需求，就需要擴(kuò)展現(xiàn)有的協(xié)議和修改MPLSVPN體系框架。ASBR1ASBR2ASBR1ASBR2VPN-A-1VPN-A-2PE-1PE2CE2CE-1AS#1AS#2149.27.2.0/24怎么讓兩個(gè)AS內(nèi)VPN可以互通？？VPN用戶連接在不同的AS上以上圖示僅僅是跨越兩個(gè)自治域的VPN客戶互連，當(dāng)然現(xiàn)實(shí)中也可能需要跨越更多的自治域?，F(xiàn)在解決以上跨域問題的技術(shù)方案主要有三種，1）VRF-TO-VRF（背靠背方式）2）MP-EBGP（單跳的MP-EBGP方式）3）MULTIHOP-EBGP（多跳的MP-EBGP方式）三．VRF-TO-VRF方式（背靠背方式）1．方案描述PE-1PE-1PE-2AS#1AS#2CE-1VPN-A-1VPN-A-2CE-2CE-3在ASBR之間進(jìn)行VPN實(shí)例的一一影射CE-4VPN-AVPN-AVPN-BVPN-BVPN-B-1VPN-A-1PE-ASBR-2PE-ASBR-1對(duì)于一個(gè)需要跨域的VPN客戶：VPN-A，需要在所在自治域的PE-ASBR上配置一個(gè)相同的VPN，如上圖所示，分別在PE-ASBR-1和PE-ASBR-2上配置一個(gè)VNP-A，然后在這兩個(gè)ASBR上創(chuàng)建一個(gè)邏輯鏈路（或是物理鏈路），分別將VPN-A關(guān)聯(lián)到這條鏈路上。在這種應(yīng)用中，其實(shí)是把ASBR作為了一個(gè)PE設(shè)備，在這個(gè)PE上創(chuàng)建了一個(gè)相同的VPN，然后把對(duì)端的ASBR看作自己的CE設(shè)備，這樣對(duì)于兩個(gè)自治域而言，就是是在運(yùn)營(yíng)一個(gè)域內(nèi)的MPLSVPN業(yè)務(wù)一樣，先把域內(nèi)的VPN信息擴(kuò)散到ASBR上（其實(shí)就是PE設(shè)備），然后再把VPN信息擴(kuò)散到對(duì)端的ASBR（相當(dāng)與是自己的CE設(shè)備），這個(gè)ASBR上的VPN接收下VPN信息后（其實(shí)相當(dāng)于另外一個(gè)自治域的PE設(shè)備），再把他擴(kuò)散到自己域內(nèi)的PE設(shè)備。最終到達(dá)CE設(shè)備，這樣就實(shí)現(xiàn)了兩個(gè)自治域內(nèi)的VPN路由信息的交互。2．路由信息的擴(kuò)散控制信令：在PE和ASBR之間仍然跑MP-IBGP協(xié)議，在兩個(gè)ASBR之間的兩個(gè)VPN之間可以跑普通的PE-CE路由協(xié)議，建議跑BGP協(xié)議，或是靜態(tài)路由，因?yàn)檫@是兩個(gè)ASBR之間的信令交互。以上應(yīng)用的信令和普通的一個(gè)自治域內(nèi)的MPLSVPN是一樣的，因此在這個(gè)方案里是不需要擴(kuò)展任何信令協(xié)議，也不需要增加任何特殊的處理流程。因此是天然支持的路由信息交互流程，比如在CE1中有一條10.0.0.0/8的路由信息，它的發(fā)擴(kuò)散流程如下：D代表目的網(wǎng)段，N代表下一跳，label:代表所攜帶的標(biāo)簽，PE和ASBR之D:10.0.0.0/8N:pe-asbr-1D:10.0.0.0/8N:pe-asbr-1ce3D:10.0.0.0/8N:pe2ce1pe1pe-asbr-1pe-asbr-1pe2D:10.0.0.0/8N:ce1D:10.0.0.0/8N:pe1label:L1D:10.0.0.0/8N:pe-asbr-1Label:L2AS#1AS#2vpnlsp公網(wǎng)lspvpnlsp公網(wǎng)lspIPPE1發(fā)送給ASBR1的仍然是帶標(biāo)簽的私網(wǎng)路由，兩個(gè)ASBR之間交互的是普通的IPV4的路由信息。3．VPN報(bào)文數(shù)據(jù)轉(zhuǎn)發(fā)流程Lxl2IPLxl2IPce1pe1pe-asbr-1pe-asbr-1pe2ce3AS#1AS#2IPIPLxl1IPIP數(shù)據(jù)報(bào)文在每個(gè)AS內(nèi)還是和普通的域內(nèi)的MPLSVPN是一樣的標(biāo)記轉(zhuǎn)發(fā)，由于PE和ASBR之間可能有P設(shè)備因此報(bào)文轉(zhuǎn)發(fā)時(shí)，需要加上域內(nèi)的標(biāo)簽，報(bào)文中的兩層標(biāo)記是制域內(nèi)的P設(shè)備上的轉(zhuǎn)發(fā)情況，到PE設(shè)備上，如果支持的倒數(shù)第二跳彈出的話，應(yīng)該只剩下一層標(biāo)簽，圖中通用兩層標(biāo)簽來表示。在兩個(gè)ASBR之間是普通的IP轉(zhuǎn)發(fā)，這也就是為什么對(duì)于不同的VPN，需要在ASBR之間需要獨(dú)享的邏輯鏈路原因了，因?yàn)槭荌P報(bào)文轉(zhuǎn)發(fā)，是不能區(qū)分VPN的，因此必須是獨(dú)享的邏輯鏈路根據(jù)上面我們分析的MPLSVPN的體系結(jié)構(gòu)，可以將這種方案圖示如下：4．方案的關(guān)鍵點(diǎn)描述為了支持不同自治域的VPN互通，必須在ASBR路由器上對(duì)應(yīng)配置相同的VPN，如果跨越多個(gè)自治域，配置工作量很大，且對(duì)中間域影響比較大，中間域必須支持VPN業(yè)務(wù)，另外如果VPN比較多，那在每一個(gè)ASBR上的配置工作量也是很大的。不過此方案應(yīng)用非常簡(jiǎn)單，且不要擴(kuò)展協(xié)議和做特殊配置，屬于天然支持，在需要跨域的VPN數(shù)量比較少的情況，可以考慮使用，簡(jiǎn)單的也是實(shí)用的。四．MP-EBGP方式（單跳MP-EBGP方式）1．方案描述MP-eBGPMP-eBGPPE-1PE-2AS#1AS#2CE-1VPN-A-1VPN-A-2CE-2CE-3VVPN-B-2CE-4PE-ASBR-1PE-ASBR-2使用MP-eBGP交換VPN路由的標(biāo)簽VPN-B-1在兩個(gè)ASBR之間運(yùn)行MP-EBGP協(xié)議，MP-EBGP協(xié)議將一個(gè)域內(nèi)的所有的VPN信息傳遞給另外一個(gè)域，傳遞的是私網(wǎng)路由和標(biāo)簽信息，因?yàn)镸P-EBGP在傳遞路由時(shí)，是要改變路由的下一跳，根據(jù)一個(gè)標(biāo)簽分配的原則，當(dāng)一個(gè)FEC的下一跳被改變時(shí)，必須在本地更換標(biāo)簽，因此ASBR在收到域內(nèi)的VPN路由信息，再向外發(fā)布時(shí)，必須給這些VPN路由信息重新分配標(biāo)簽，VPN路由信息伴隨著新的標(biāo)簽被發(fā)布出去，而在ASBR本地，新舊標(biāo)簽形成一個(gè)標(biāo)簽的交換操作。對(duì)端的ASBR收到從MP-EBGP來的VPN路由信息后，在本地保存，在繼續(xù)向自己域內(nèi)的PE設(shè)備擴(kuò)散，當(dāng)這個(gè)ASBR向域內(nèi)的MP-IBGP鄰居發(fā)布路由時(shí)，它可以選擇不改變路由的下一跳，或是將路由的下一跳改為自己，如果改變了路由的下一跳，同上面的標(biāo)簽分配原則，也需要為這些VPN路由重新分配標(biāo)簽，在本地形成標(biāo)簽的交換操作。2．路由信息的擴(kuò)散根據(jù)ASBR向IBGP發(fā)送VPN路由時(shí)是否改變路由的下一跳，我們分別圖示它們的標(biāo)簽路徑1）不改變VPN路由的下一跳cce4D:10.0.0.0/8N:pe2ce1pe1pe-asbr-1pe-asbr-2pe2D:10.0.0.0/8N:ce1D:10.0.0.0/8N:pe1label:L1D:10.0.0.0/8N:pe-asbr-1Label:l2D:10.0.0.0/8N:pe-asbr-1Label:L2AS#1AS#2vpnlsp公網(wǎng)lspvpnlsp公網(wǎng)lspvpnlspPpPE-ASBR-1在收到VPN路由后，在向PE-ASBR-2發(fā)布路由時(shí)，為VPN路由新分了標(biāo)簽，在本地生成了標(biāo)簽交換(l1/l2),PE-ASBR-2收到路由后因?yàn)闆]有改變路由的下一跳，所以就沒有更換標(biāo)簽，因此我們從上圖的VPNLSP來看，在PE-ASBR-1處因?yàn)橛袠?biāo)簽交換，所以可以看成是兩條的VPNLSP被粘連在一起，再看公網(wǎng)的LSP，在兩個(gè)域內(nèi)的建立情況是不一樣的，AS#2域內(nèi)的LSP是一直建立到PE-ASBR-1路由器，也就是說在兩個(gè)ASBR之間需要運(yùn)行LDP或是RSVP等信令協(xié)議。2）改變下一跳的情況ce3ce3D:10.0.0.0/8N:pe2ce1pe1pe-asbr-1pe-asbr-2pe2D:10.0.0.0/8N:ce1D:10.0.0.0/8N:pe1label:L1D:10.0.0.0/8N:pe-asbr-1Label:l2D:10.0.0.0/8N:pe-asbr-2Label:L3AS#1AS#2vpnlsp公網(wǎng)lspvpnlsp公網(wǎng)lspvpnlspPp在PE-ASBR-1和PE-ASBR-2上分別對(duì)VPN路由變換了標(biāo)簽，因此看VPNLSP，是相當(dāng)于三條VPNLSP被粘連在一起了。由于兩個(gè)ASBR之間有一段獨(dú)立的LSP，所以每個(gè)域內(nèi)的VPNLSP只是建立在域內(nèi)，和方式1）是明顯不一樣的（它是建立到對(duì)端的ASBR路由器上）。同樣看公網(wǎng)的LSP，都是建立在域內(nèi)的，因此這種方式下，在兩個(gè)ASBR之間是不需要運(yùn)行LDP或是RSVP等信令協(xié)議的。3．?dāng)?shù)據(jù)流程1）ASBR上不改變下一跳的情況ce1ce1公網(wǎng)lspIPIPIPIPL1IPce3pe1pe-asbr-1pe-asbr-1pe2AS#1AS#2vpnlsp公網(wǎng)lspvpnlspvpnlspPpIPIP上圖中標(biāo)簽Lx,Ly,Lz等是代表公網(wǎng)LSP的標(biāo)簽2）ASBR上改變下一跳的情況ce1ce1公網(wǎng)lspIPIPIPIPL1IPce3pe1pe-asbr-1pe-asbr-1pe2AS#1AS#2vpnlsp公網(wǎng)lspvpnlspvpnlspPpIPIP4．關(guān)鍵點(diǎn)分析報(bào)文轉(zhuǎn)發(fā)時(shí)，需要在兩個(gè)ASBR上都要對(duì)VPN的LSP做一次交換。還有一個(gè)問題需要注意的是，這種解決方案需要在ASBR上接收本域內(nèi)和域外傳過來的所有VPN路由，然后在把VPN給擴(kuò)散出去，但是MPLSVPN的特性結(jié)構(gòu)中要求，只有一個(gè)PE上有VPN匹配一條VPN路由時(shí)，這條VPN路由才會(huì)被保存下來，因此對(duì)于上述ASBR上需要保存VPN路由的需求必須做特殊的配置（因?yàn)锳SBR上可能根本就沒有配置VPN），讓ASBR把收到的VPN路由全部的保存下來，而不管，本地是否有和它匹配的VPN。由于這種方案需要在ASBR上保存所有的VPN路由，因此這本身就是對(duì)路由器提出了很高的要求，使ASBR更容易成為故障點(diǎn)。不過只要VPN的路由數(shù)量不是很多，這種方案不失為一種配置簡(jiǎn)單且實(shí)用的方案。五．MUTIHOP-EBGP方式（多跳MP-EBGP方式）1．組網(wǎng)拓?fù)溆肕用Multihop-eBGP交換VPN路由的標(biāo)簽RR2RR1RR2RR1AS#2AS#1PE-1AS#2AS#1PE-1BGP4+ASBR-2ASBR-1PE-2BGP4+ASBR-2ASBR-1PE-2CE-4CE-3CE-2CE-1CE-4CE-3CE-2CE-1VPN-B-1VPN-A-1VPN-B-1VPN-A-1VVPN-B-2VVPN-B-2VPN-A-2在MP-EBGP方案中，VPN的路由信息是通過自治域之間的ASBR路由器來保存和擴(kuò)散的，當(dāng)VPN路由比較多時(shí)，會(huì)對(duì)這臺(tái)ASBR產(chǎn)生很大的壓力，由于是要經(jīng)過多個(gè)域的時(shí)候，在每個(gè)域的ASBR上都要保存相同的VPN路由，如果這種解決方案中的路由器同時(shí)也承當(dāng)公網(wǎng)IP轉(zhuǎn)發(fā)的ASBR時(shí)，對(duì)設(shè)備的要求就更高，因此MP-EBGP方案中，對(duì)于需要承擔(dān)VPN路由信息的ASBR一般都單獨(dú)設(shè)置，就是一般不讓它同時(shí)充當(dāng)VPN的ASBR，又承當(dāng)IP的ASBR功能。其實(shí)前面的兩種解決方案中，考慮的都是怎么把一個(gè)域的VPN路由信息，怎么給中繼到另外一個(gè)域中，都是通過一個(gè)中間設(shè)備，把路由收下來以后，繼續(xù)向其他的域擴(kuò)散。因此這也就把這些中繼的路由器硬是套上了支持VPN特性的需求。尤其是在跨域比較多時(shí)，影響到的設(shè)備就尤其多，這個(gè)和MPLSVPN的基本思想，就是除了PE設(shè)備外，其他的設(shè)備都是開不見VPN信息的思想是相違背的。因此自然而然想到最好的解決辦法就是，在跨域情況下，也和一個(gè)域的MPLSVPN網(wǎng)絡(luò)一樣，VPN路由是直接可以擴(kuò)散的，不需要中間設(shè)備的保存和擴(kuò)散，其實(shí)BGP本身就是有這種功能的，就是兩個(gè)不同的自治域，可以直接的建立BGP連接，交互路由信息，那對(duì)與VPN的路由信息也是一樣的，也是可以讓兩個(gè)自治域的PE設(shè)備（或是RR）之間直接的交互VPN的路由信息。這點(diǎn)是很容易做到的，就是通過MULTIHOP-EBGP來實(shí)現(xiàn)，但是，這樣我們只是解決了VPN信息的擴(kuò)散問題，還有一種重要的問題要解決，那就是分屬不同域的兩個(gè)PE之間怎么建立一條公網(wǎng)的LSP呢（或是LSP隧道）？這也是MULTIHOP-EBGP跨域VPN解決方案中，最需要解決的問題。2．控制流程由于VPN的路由信息獲得是通過MBGP直接獲得的，和普通的域內(nèi)的MPLSVPN是一樣的，因此我們?cè)诖螌?duì)VPN路由信息的擴(kuò)散，不做重點(diǎn)描述，主要描述公網(wǎng)隧道的建立問題。如圖：(pe1)(pe1)(asbr-1)(asbr-2)(pe2)AS#1AS#2(P)(p)D:10.0.0.1/32D:10.0.0.1/32N:pe1D:10.0.0.1/32N:asbr1Label:L1D:10.0.0.1/32N:asbr2Label:L2BGPLSP公網(wǎng)LSP公網(wǎng)LSP

PE1和PE2就是分屬兩個(gè)不同域的PE設(shè)備，他們上面的VPN路由已經(jīng)通過MULTIHOP-EBGP方式已經(jīng)發(fā)布出去，比如PE2收到PE上的一條VPN路由，它的下一跳是10.0.0.1，現(xiàn)在需要的是在PE2上有一條目的地址為10.0.0.1的一條LSP隧道，下面我們就看這條隧道到底是怎么生成的。首先PE1把VPN路由的下一跳地址的網(wǎng)段路由10.0.0.1/32發(fā)布出去，通過域內(nèi)的IGP等使域內(nèi)的路由器都可以學(xué)到這條路由，首先這條路由在自己的域內(nèi)根據(jù)標(biāo)簽信令協(xié)議等創(chuàng)建了一條公網(wǎng)的LSP，然后ASBR1把這條路由向?qū)Χ说腁SBR2發(fā)送時(shí)，要給這條路由分配一個(gè)標(biāo)簽L1，就是形成一個(gè)BGP的LSP，然后把這條BGP的LSP和剛才域內(nèi)創(chuàng)建的LSP粘連起來。對(duì)端的ASBR2學(xué)到這條公網(wǎng)路由后，再為這條公網(wǎng)分配一個(gè)新的標(biāo)簽l2,在本地形成標(biāo)簽的交換信息，然后把這條路由發(fā)布給域內(nèi)的PE設(shè)備PE2。在這里要說明一點(diǎn)的是，兩個(gè)ASBR之間雖然交互的公網(wǎng)路由，但是并不是普通的公網(wǎng)路由的報(bào)文格式，而是攜帶了標(biāo)簽的公網(wǎng)路由信息（遵循RFC3107）。另外對(duì)于公網(wǎng)路由的標(biāo)記分配，并不是兩個(gè)AS的每一條公網(wǎng)路由都需要分配標(biāo)簽的，只有那些充當(dāng)了VPN路由的下一跳的網(wǎng)段才需要分配標(biāo)簽。PE2通過新的BGP擴(kuò)展協(xié)議獲得了這個(gè)VPN路由的下一跳地址的路由后，由于是攜帶了標(biāo)簽，所以很容易識(shí)別，因?yàn)檫@條路由是IBGP學(xué)來的路由，所以肯定要根據(jù)BGP路由的下一跳地址來疊代一條域內(nèi)的相同的IGP路由，在上圖中，PE2收到了10.0.0.1/32的路由信息，它的下一跳地址是asbr-2的接口網(wǎng)段，這個(gè)網(wǎng)段應(yīng)該在域內(nèi)已經(jīng)創(chuàng)建了一條公網(wǎng)的LSP，這時(shí)將10.0.0.1/32的這條路由的BGP標(biāo)簽和根據(jù)它的下一跳地址找到的域內(nèi)的公網(wǎng)LSP疊加起來。這樣在PE2上就形成了一個(gè)目的地址為10.0.0.1的公網(wǎng)LSP隧道。如上圖所示，我們會(huì)注意到這條公網(wǎng)LSP和普通的MPLSVPN中的LSP隧道是不一樣，主要表現(xiàn)在，在AS#2域中的公網(wǎng)LSP是兩層的標(biāo)簽的，而在AS#1域中是單層的標(biāo)簽。隧道的兩層標(biāo)簽中，上面的一條是公網(wǎng)的LSP和BGP的LSP粘連在一起的。而下面的一層僅僅是域內(nèi)的普通的一條LSP隧道。這樣我們就在PE1和PE2之間有了一條端到端的LSP隧道，將VPN路由關(guān)聯(lián)到這條隧道上去，就可以支持跨域的MPLSVPN了3．?dāng)?shù)據(jù)流程假設(shè)PE2收到了