MPLS-VPN与IP承载网介绍

MPLS-VPN与IP承载网介绍四川联通运行维护部2009年10月目录12IP承载网现状3IP承载网业务接入介绍MPLS-VPN原理简介中国联通IP承载B网结构图网络介绍中国联通IP承载B网于2007年开始建设，整个网络结构分为三层：核心层、汇聚层和接入层（各网络层次的路由器分别简称为CR、BR、AR）。核心层（CR）：北京、上海、沈阳、武汉、广州、成都和西安7个节点组成。每个节点设置2台NE5000E汇聚层（BR）：包含7个核心节点在内的31个省会节点组成接入层（AR）：各省的C3城市节点组成，共计174个内部AR节点，47个外部AR节点。四川联通IP承载B网结构目录12IP承载网现状3IP承载网业务接入介绍MPLS-VPN架构与原理简介VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPE•CE（CustomEdge）：直接与服务提供商相连的用户设备。•PE（ProviderEdgeRouter）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。•P（ProviderRouter）：指骨干网上的核心路由器，主要完成路由和快速转发功能。MPLSVPN网络结构MPLS-VPN的特点•作为一种高效的IP骨干网技术平台，MPLS为实现VPN提供了一种灵活的并且具有可扩展性的技术基础。•MPLSVPN主要有以下几方面的优点：1)降低了成本；2)提高了资源利用率3)业务综合能力强4)ＭＰＬＳ的ＱｏＳ保证5)可以提供一定的用户与网络的安全性；6)MPLSVPN网络具有良好的可扩展性；MPLS•MPLS（MultiProtocollabelSwitch，多协议标签交换）是根据标签对数据包进行转发，因此在三层数据包中可以使用私有地址，从而形成了一种天然的隧道。•MPLS标签的分发可以通过LDP等协议动态完成，所以MPLS能够提供动态的隧道。三层包头MPLS标签二层包头MPLS基本网络拓扑结构LSR：LabelSwitchRouterLER：LabelEdgeRouterLSP：LabelSwitchPathLERLERLERLERLSRLSRLSRMPLS域IPMPLSLSPIP域IP域IP域BGP/MPLSVPN要达到的目标CECECECEPEPEPP隧道在PE与PE之间建立，用户不需要自己维护VPN把VPN隧道的部署及路由发布变为动态实现解决不同VPN共享相同地址空间的问题VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0VPNtunnel其他ISP流量四川联通*省联通*省联通Server1IDC1城域网Server2中国联通China169其他省联通Server3IDC2IDC3VPN隧道1VPN隧道2VPN隧道3专线接入NATNATNAT四川联通某城域网中国联通China169转接其他ISP流量NAT翻译VPN路由转发实例PECPECECESite-2Site-2Site-1Site-1EBGP,RIP,Static•VRF(VPNrouting&forwarding)，包含到一个或多个直接相连的CE的路由和转发表；VRF可以与任何类型接口绑定在一起VPNAVPNBVRFforVPNAVRFforVPNBGlobalroute解决本地路由冲突的思路CECEPE•在PE上同时维护多张相互独立路由表1)一张全局路由表（公网路由表）2)为每个VPN建立一个路由表•由于每个VPN使用自己独立的路由表，因此可以有效地解决本地IP地址冲突。VPN_AVPN_B10.1.0.010.1.0.0GlobalRoutingTableVRFforVPN-AVRFforVPN-BVPNRoutingTableIGP&/orBGPRD(RouteDistinguisher)•每个VRF中分别配置一个标识，称为RD。在PE发布VRF中的路由信息时，会在地址前面加上RD，以便接收方PE区分来自不同VRF的路由信息。•RD的长度为8个字节，格式与RT相似。•在IPv4地址前加上RD之后，就称为VPN-IPv4地址族。RT（Routetarget）PE2PE1Vrf1：exportredimportredVrf2：exportyellowimportyellowVrf3：exportredimportredVrf4：exportyellowimportyellowVPN-AVPN-B•RT的本质是每个VRF表达自己的路由取舍及喜好的方式，分为两部分：1)exporttarget，表示发出路由的属性2)importtarget，表示愿意接收什么路由RT的灵活应用•每个VRF中都可以配置多个exporttarget和importtarget属性，接收时采用“或”操作，从而实现灵活的VPN访问控制baim:aex:bim:bex:aim:aex:aaim:aex:acbim:a,cex:a,bim:bex:ca传统模式传统模式hub-spoke模式extranet模式BGP简介AS100AS200AS300BGP是外部路由协议，用在自治系统AS之间传递路由信息，属于增强型的距离矢量路由协议。BGP邻居分为两类：IBGP（同一个AS内的邻居）和EBGP（不同AS间的邻居）BGP邻居之间通过TCP协议相连，因此可以在不直接相连的路由器间交换路由信息BGP简介•BGPcommunity扩展属性增加了MP_REACH_NLRI和MP_UNREACH_NLRI。使用了这两种属性的BGP称为MP-BGPAddress-family:指明使用了VPN-IPV4地址族Next-hop:路由的下一跳地址Label:24bit，与MPLS标签一样，但没有TTL字段Prefix:64bit的RD＋IP前缀MP_REACH_NLRI的结构用BGP传递VPN路由的好处CECECECEPEPEPPVPN路由信息可以直接在PE之间传递，所以P路由器中不会包含任何VPN路由信息。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0BGP连接VRF路由注入到MP-iBGPPE-1CE-1MP-iBGPPE-2BGP,RIPv2updatefor149.27.2.0/24,NH=CE-1CE-2北京上海•PE路由器需要对一台路由进行如下操作：1)加上RD（RD为手工配置），变为一条VPN-IPV4路由。2)更改下一跳属性为自己（通常是自己的loopback地址）3)加上私网标签（随机自动生成，无需配置）4)加上RT属性（RT需手工配置）5)发给所有的MP-BGP邻居VPN-v4update:RD:1:27:149.27.2.0/24,Next-hop=PE-1RT=VPN-A,Label=(28)MP-iBGP路由注入到VRF•每个VRF都有importroute-target和exportroute-target的配置•发送PE发出MP-iBGPupdates时，报文携带export属性。•接受PE收到VPN-IPv4的MP-iBGPupdates时，判断收到的export是否与本地的VRF的import相等，相等就加入到相应的VRF路由表中，否则丢弃PE-1CE-1MP-iBGPPE-2CE-2北京上海ipvrfVPN-Bvpn-targetimportVPN-AVPN-v4update:RD:1:27:149.27.2.0/24,Next-hop=PE-1RT=VPN-A,Label=(28)VPN-v4路由变为IPV4路由，并且根据本地VRF的importRT属性加入到相应的VRF中，私网标签保留，留做转发时使用。再由本VRF的路由协议引入并转发给相应的CE分配PE之间的公网标签•PE和P路由器通过骨干网IGP学习到BGP邻居下一跳的地址•通过运行LDP协议，分配标签，建立标签转发通道•标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳，内层标签表示报文属于哪个VRF•MPLS节点转发是基于外层标签，而不管内层标签是多少ProuterInLabelFECOutLabel-197.26.15.1/32-InLabelFECOutLabel41197.26.15.1/323InLabelFECOutLabel-197.26.15.1/3241Uselabel3fordestination197.26.15.1/32Uselabel41fordestination197.26.15.1/32VPN-v4update:RD:1:27:149.27.2.0/24,NH=197.26.15.1RT=VPN-A,Label=(28)PE-1CE1149.27.2.0/24CE2MPLS-VPN组网实例南充AR遂宁AR成都ARNE5000ENE5000ERNCMGWNodeB本地OSN网络GEFE4*E1CESGSNRNCNodeB本地OSN网络GE4*E1FESGSNGGSN目录12IP承载网现状3IP承载网业务接入介绍MPLS-VPN架构与原理简介常见的PE-CE接入模式•IP承载B网定位为2G/3G移动业务承载网•端局软交换业务接入•端局软交换原则上按双归属方式接入成对设置的IP承载网内部接入路由器。端局软交换可以根据情况采用以下三种接入方式。•(1)方式一：端局软交换通过三层交换机或路由器组成的CE设备接入成对的PE路由器。当有多种业务通过一对CE接入PE时，要求CE设备支持IGP路由协议多实例功能，上联链路通过逻辑端口或物理端口划分不同的VPN，提供接入链路保护。CE设备根据需要启动快速IGP收敛。CE设备之间对业务系统主备接口启动快速VRRP保护协议，实现对业务系统主备接口的路由网关冗余备份。2/3G核心网元2/3G核心网元2/3G核心网元2/3G核心网元VRRPVRRPIGPIGPPE1PE2»业务系统接入方式一业务系统接入方式一方式二：端局软交换配置二层交换机作为CE设备，接入成对的PE路由器。方式二要求PE路由器具备VPN的快速VRRP功能。2/3G核心网元2/3G核心网元2/3G核心网元2/3G核心网元VRRPPE1PE2»业务系统接入方式二业务系统接入方式二•方式三：媒体网关的信令、计费、网关接口采用方式一或者方式二，对于带宽需求较大的语音采用直接接入方式。方式三要求PE路由器具备VRRP功能，同时，要求PE路由器具备二层交换功能，在两个PE路由器之间需要有二层物理链路或者逻辑链路连接。媒体网关媒体网关PE1PE2VRRP业务系统接入方式三软交换业务接入•现阶段汇聚软交换接入承载网采用以下方案：•Sever侧•汇聚软交换的Server同端局软交换Server的方式二相同。2/3G核心网元2/3G核心网元2/3G核心网元2/3G核心网元VRRPPE1PE2软交换设备接入•中继网关（TG）侧•TG的语音接口（负荷分担工作方式）直接通过GE光口连接成对的PE路由器。（同端局软交换接入的方式三）。»汇聚软交换接入方式媒体网关媒体网关PE1PE2VRRPPS域业务接入•有GSN设备的本地网，当AR路由器同局址时与AR路由器同局址的两台CE路由器(图中的MCE1、MCE1’)作为汇聚路由器（兼做本机房CE路由器）。这两台路由器通过口字形连接上联到骨干AR路由器，其他节点的CE设备，通过口字形连接到这两台路由器。•RNC和GSN设备接入本局址的一对CE路由器。AR1AR2MCE1MCE1'CE2CE2'CE3CE3'CE4CE4'IP承载B网GSN设备接入•(2)有GSN设备的本地网，当AR路由器不同局