中国电信路由型MPLS_VPN／QOS技术原理及业务实现

1路由型MPLSVPN／QOS技术原理及业务实现集团运维事业部2006年12月2目录MPLS技术原理MPLSVPN技术原理跨域MPLSVPN技术CN2MPLSVPN业务部署MPLSVPNQOS设计3MPLS技术原理MPLS如何转发Labelheader格式MPLS转发过程4MPLS如何转发MPLS如何转发5MPLS标签格式-1/2EXP01234567IPP6以太网报头/PPP报头Label三层数据以太网/SONET/SDH分组帧模式ATM分组VPI/VCI三层数据信元模式的ATM分组ATM报头Label三层数据MPLS标签格式-2/27MPLS转发模式(帧模式)以帧为单位进行转发，入口LSR对IP报文进行压栈（Push）,LSP根据标签进行转发（Switch）；出口LSR路由器支持弹栈（POP），还原为IP报文。为实现快速转发，一般在倒数第二个LSP进行弹栈，而不是在出口LSP进行弹栈。8路由型VPN技术原理9路由型VPN技术原理-1/10MPLSVPN网络结构CE（CustomEdge）用户Site中直接与服务提供商相连的边缘设备，一般是路由器；PE（ProviderEdge）骨干网中的边缘设备，它直接与用户的CE相连；P路由器（ProviderRouter）骨干网中不与CE直接相连的设备。MPLSCOREPEPPEPPEPECECECEMP-iBGPSessionVPNAVPNAVPNBVPNBCE10路由型VPN技术原理-2/10VPN路由转发实例VRF(VPNrouting&Forwording)包含一个或多个直接相连的CE路由表和一张转发表，VRF可以与任何类型的接口关联起来在PE和CE之间通过Static、EBGP、RIP、OSPF等来传播路由信息PE维护独立的路由表：公网和私网VRFforVPNBVPNAVPNBPEVRFforVPNAGlobalRouteCECEEBGP\RIP\Static……11路由型VPN技术原理-3/10VRF路由的发布PE之间通过MP-iBGP交换VPN-IPV4路由；RD与IP地址一起构成唯一的VPN-IPV4；接收端PE将路由引入VRF；VPN路由只存在PE路由器上，无需注入P路由器。12路由型VPN技术原理-4/10VPNv4和IPv4地址族为解决不同VPN地址有用重合的空间，引入了新的地址族--VPN-v4地址，原地址族为IPv4PE路由器之间使用BGP来发布VPNv4路由RD在不同VPN间具有唯一性,如果两个VPN使用相同的IP地址，PE路由器为它们添加不同的RD，转换成唯一的VPN-v4地址，不会造成地址空间的冲突RouteDistinguisher－8字节IPv4地址－4字节13路由型VPN技术原理-5/10RD结构RD格式–2字节ASN,4字节用户自定义，例如：100:1–4字节IP,2字节用户自定义，例如：172.1.1.1:1一般为一个Site分配一个RD,它是VRF标志TYPE(2字节)adminitratorFieldAssignedNumFiled02字节AS4字节分配编码14字节IP2字节编码√14路由型VPN技术原理-6/10MP-BGP(MultiProtocolBGP)MP-BGP是BGP支持多协议的扩展,不仅能承载IPv4路由，而且能承载VPN，IPv6，组播等路由为保持兼容性,MP-BGP引入了两个路由属性:–MP_REACH_NLRI:在BGPUpdate消息中用于发送可达新协议的路由–MP_UNREACH_NLRI:在BGPUpdate消息中用于撤销多个不可达路由15路由型VPN技术原理-7/10RouteTargetRT使用BGP扩展Community属性,并并且重新命名:RT（RouteTarget）PE路由器存在两个RouteTarget属性的集合–ImportTargets–ExportTargetsTYPE(2字节)adminitratorFieldAssignedNumFiled0x00022字节AS4字节分配编码0x01024字节IP2字节编码√16路由型VPN技术原理-8/10MP_REACH_NLRI信息跟随之后是RT列表17路由型VPN技术原理-9/10MP-BGP的扩展属性:MP_UNREACH_NLRI18路由型VPN技术原理-10/10每个RTExportTarget与importTarget都可以配置多个属性，可以实现非常灵活的VPN访问控制BAAＣＢ19网络拓扑控制（1/3）全网状组网（any-to-any）–全网状组网强调网络的互通性，确保VPN所有站点互联互通，该方案适合不同部门或分支机构有频繁业务来往的企业组网需要。–配置如下：ipvrfCTVPN10000-MortorladescriptionMortorlaVPNinBeiJingSiterd4809:100000route-targetimport4809:10000000route-targetexport4809:1000000020网络拓扑控制（2/3）星形组网（Hub-Spoke）–适合主从架构的机构组网需要，目前大部分企业和政府部门属于这种架构，在这种架构中，保证分支机构和总部直接通性，而防止分支机构直接访问，实现VPN访问的安全性。–总部站点VRF配置如下所示：ipvrfCTVPN10001-MortorladescriptionMortorlaVPNinBeiJingSiterd4809:100001route-targetimport4809:10000101route-targetexport4809:1000010021网络拓扑控制（3/3）星形组网（Hub-Spoke）–分支机构VRF配置如下所示：ipvrfCTVPN10001-MortorladescriptionMortorlaVPNinShangHaiSiterd4809:100001route-targetimport4809:10000100route-targetexport4809:10000101!22MPLSVPN标签分配PE和P路由器通过骨干网IGP学会到BGP邻居下一跳的地址通过运行LDP协议，分配标签，建立LSP通道标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳，内层标签表示报文的出接口或者属于哪个VRF（属于哪个VPN）MPLS节点转发是基于外层标签，而不管内层标签是多少23路由型VPN报文转发入口PE收到CE的普通IP报文后，PE根据入接口所属的VRF加入到相应的VPN转发表，查找下一跳和标签。149.27.2.2728324路由型MPLSVPN原理总结为解决不同VPN地址冲突，引入了新的地址族--VPN-v4地址=RD+IPv4;RD+IPv4具有唯一性在控制平面，PE之间使用MP-BGP交换VPNv4路由;使用RT属性控制VPN路由策略,形成相应的VPN拓扑在控制平面，PE与CE之间使用普通路由协议交换路由在转发平面，PE之间需要需要建立路由LSP在转发平面，P路由器上，VPN数据包使用外层路由Label进行转发；在进入PE路由器上，根据VPNLabel区分相应VRF，定位相应的Site25VPN-B-1PE-1VPN-B-2PE-2CE-4VPN-G-1CE-B2CE-B1CE-3VPN-G-2PE-ASBR-1PE-ASBR-2AS#100AS#200VPN-R-1HUBvCE-R1VPN-R-2SpokeVPN-R-3SpokeInternetInterne-GWInterne-GWInter-AS技术概况26Back-to-BackVRF（常用）–关注可控、安全、支持流量控制MP-eBGP（常用）–基于可信任,关注可扩展、可管理性多跳MP-eBGP（少用）–基于可信任、关注可扩展、可管理性多跳RRsMP-eBGP（少用）–基于可信任、关注可扩展、可管理性Inter-AS互连模式27Back-to-BackVRF方式-1/2需要对VRF进行灵活控制的情况下，推荐使用Back-to-BackVRFASBR直接通过一条物理链路互联为每个VRF创建和分配一个子端口包转发直接使用IP封装，无需打上标签每个PE-ASBR视对方为CEPE-ASBRtoPE-ASBR链路使用PE-CE支持的常见路由协议大量VRF情况下存在时，配置工作量较大28Back-to-BackVRF互联-2/2VPN-A-1PE-1VPN-A-2PE-2CE-4VPN-B-1CE-2CE-1CE-3VPN-B-2PE-ASBR间VRFtoVRF互联需要在NNI接口为每个VPN创建逻辑接口和配置VRF，配置PE－CE路由PE-ASBR-1PE-ASBR-2AS#100AS#200Vlan-AVlan-B29Back-to-BackVRF方式:控制平面PE-1PE-2VPN-B-1CE-2CE-3VPN-B-2PE-ASBR间VRFtoVRF互联PE-ASBR-1PE-ASBR-2152.12.4.0/24BGP,OSPF,RIPv2152.12.4.0/24,NH=CE-2VPN-v4update:RD:1:27:152.12.4.0/24,NH=PE-1RT=1:222,Label=(29)VPN-BVRFImportrouteswithroute-target1:222BGP,OSPF,RIPv2152.12.4.0/24NH=PE-ASBR1VPN-v4update:RD:1:27:152.12.4.0/24,NH=PE-ASBR-2RT=1:222,Label=(92)VPN-BVRFImportrouteswithroute-target1:222BGP,OSPF,RIPv2152.12.4.0/24,NH=PE-230Back-to-BackVRF方式:转发平面PE-1PE-2VPN-B-1CE-2CE-3VPN-B-2PE-ASBR间VRFtoVRF互联PE-ASBR-1PE-ASBR-2152.12.4.0/24152.12.4.132|92|152.12.4.1152.12.4.113|29|152.12.4.1152.12.4.131MPLSVPN业务实现中国电信MPLSVPN业务网络参考模型CN2VPNBGP路由设计CN2国内网络CN2国际网络接入段要求QOS部署32中国电信MPLSVPN业务网络参考模型(1/2)A33业务网络参考模型(2/2)中国电信提供路由型MPLSVPN业务采用CN2+城域网两级架构。用户CE可直接通过CN2网络接入或通过城域网接入；用户接入支持以太、数字电路等多种接入方式。CN2和城域MPLSVPN跨域对接优先采用OptionA方式，采用两对PE-ASBR背对背进行对接。中国电信设置三个出口局（北京、上海、广州），各部署2台ISR提供与合作运营商MPLSVPN对接，对接方式优先采用OptionA。此外通过海外POP节点，也可以提供跨运营商MPLSVPN对接。符号说明：–P：代表MPLS网络的P路由器，CN2的A、D和C类路由器都是P路由器–S：代表边缘业务路由器–VR：代表VPNMBGP的路由反射器，虚线代表BGPPEER关系–MAN：代表城域网–CE:代表MPLSVPN客户接入路由器–W:代表延伸交换机–F:海外POP业务路由器34CN2国内业务节点国内PE/PE-ASBR设置–国内覆盖约200城市–二期扩容后，大部分城市具备双PE备份接入能力，并为软交换工程配套的PE上新增业务端口，为大客户VPN业务提供双PE接入。–国内PE路由器配置有2.5GPOS、GE、ChannelizedSTM-1卡，其中采用两条2.5GPOS电路分别与该城市节点两台P路由器连接。GE、ChannelizedSTM-1作为VPN接入电路(N*64K,N*2M接入)。35CN2国内业务节点–一期PE配置的业务板卡•Engine34口GE一块•Engine02口Choc3一块–二期PE配置的业务板卡•Engine34口GE一块•