哈尔滨IP城域网MPLSVPN规划方案2HUAWEIMPLSVPN技术介绍典型应用网络结构介绍本期MPLSVPN方案3HUAWEIMPLSVPN技术介绍MPLS是多协议标签交换协议的简称,多协议是指它能够支持多种三层协议;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容;MPLS的报文转发是基于标签的,在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时,标签被边缘路由器分离。采用MPLSVPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便与网络的扩展和变更。4HUAWEIMPLSVPN技术介绍MPLSVPN流量模型如下图所示:IP包在MPLSVPN骨干采用双层标签进行交换,在IngressPE路由器上打上相应的VPN标签,P路由器进行标签交换,包到达egressPE路由器后,EgressPE路由器检查VPN标签,并将包转发给相应CE路由器。5HUAWEIMPLSVPN技术介绍MPLSVPN网络中,由三种设备:CE、PE和P路由器,CE(CustomEdge)是用户直接与服务提供商相连的边缘设备,一般也是路由器设备;PE(ProviderEdge)是骨干网中的边缘设备,它直接与用户的CE相连;P路由器(ProviderRouter)是骨干网中不与CE直接相连的设备,P路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。6HUAWEIMPLSVPN技术介绍典型应用网络结构介绍本期MPLSVPN方案7HUAWEI典型应用-IntranetIntranet组网方式就是某些企业在不同的地点有分支机构,各个分支机构需要通过公网互联起来,利用MPLSVPN基本的VPN功能,即可满足该需求,提供用户网络的安全性,用户内部网络利用私网互访。例如下图:CE1、CE2为某企业分支机构,其下挂该企业内部网络,通过公共PE设备互联起来PECE1CE2PE8HUAWEI典型应用-ExtranetExtranet组网方式:公司A和公司B通过VPN网络互联,两个公司的总部在C点,用户要求,公司A和公司B都能够访问公司总部C的资源,但是公司A和公司B之间不能互访,这种组网方式由于在总部C公用一个VPN,所以要求公司A和公司B的IP地址不能重叠,实例组网图如:PE公司APEPE总部C公司B9HUAWEI典型应用-Hub&Spoke中心服务器拓扑组网也称为Hub&Spoke组网方式。Hub-Site是指一个处于中心的site,具有所有同一VPN的其它site的路由;Spoke-Site不处于中心的其它site,其流量通过HUB-Site到达目的。Hub-Site是Spoke-Site中枢。InternetSpokesiteSpokesiteHubsiteCE1CE2CE310HUAWEIVPN用户访问Internet通过IPPUBLIC方式访问在PE的VPN-instance中允许某个(或某些)用户发出的报文,可以查看公网的路由表,在公网路由表中配置一条到私网的静态路由,以实现双向路由,达到访问公网的目的。优点:1、该方案访问公网配置简单,不需要外接其它设备;2、可以通过配置来控制某些特定的用户访问公网。缺点:访问公网的VPN用户必须本身具有公网IP地址,因为它的路由需要发布到公网上。11HUAWEIVPN用户访问Internet在CE上外接一个NAT设备,访问私网的时候,报文通过CE设备直接发送到PE设备;而访问公网的时候,CE设备发送到NAT设备,转换IP后上公网。优点:1、此种方式思路清晰,VPN和访问公网互不干扰2、访问公网的用户支持私网地址重叠3、公网用户无法访问到私网用户,安全性好缺点:需要额外配置NAT设备12HUAWEIMPLSVPN技术介绍典型应用网络结构介绍本期MPLSVPN方案13HUAWEI网络结构介绍14HUAWEI网络结构介绍哈尔滨IP城域网整个网络分为三级结构:第一级为两台M40,做为整个城域网的出口,通过2.5GPOS链路和上级的两台GSR相连第二级为四台NE80,做为全网的核心汇聚层,汇聚全网业务,为了实现链路备份,NE80实现双归属,分别通过一条GE链路和两台M40相连,尚志的NE80和中山的NE80之间,中山的NE80和长江的NE80之间,长江的NE80和奋斗的NE80之间通过GE链路相连第三级为BAS和三层交换机,做为边缘汇聚层,负责对接入层设备的汇聚。M40和出口GSR运行BGP协议,提供访问外网的路由15HUAWEIMPLSVPN技术介绍典型应用网络结构介绍本期MPLSVPN方案16HUAWEIIP地址规划1、设备的LoopBack接口地址:这部分地址可以沿用原设备LoopBack地址的网段,可以顺序选取,采用32位掩码的主机地址类型。2、设备之间的互联地址:这部分互联地址建议从一段连续的地址段中获得,一共需要4*9=36个IP地址,加上预留地址,共需0.25C3、PE-CE互联地址及VPN用户地址:a、同一个VPN的用户的IP地址尽量连续,便于控制及QOS的部署b、同一个Site下的VPN用户的IP地址尽量连续,便于路由的汇聚17HUAWEI路由协议规划路由协议的选择报包括IGP协议和EGP协议的选择,IGP产生路由,EGP传播路由。本期MPLSVPN的部署工程中,采用OSPF协议作为内部网关协议,MP-BGP协议作为外部网关协议。PE-P之间运行MP-BGP+OSPF协议对于PE-CE之间的路由,需分情况讨论:1、对于大客户或者VPN内路由数量比较多的情况建议采用EBGP作为PE-CE之间的路由协议。2、对于小客户或者VPN内路由数量少的情况建议采用staticrouting,RIPversion2作为PE-CE之间的路由协议。3、对于PE-CE链路之间连接PC或者server,建议采用重分布直联接口(directedsubnet)到MP-BGP中。18HUAWEI路由备份实现对PE设备来说,路由的备份依靠设备的双归属实现,即PE双规属到两台RR上,当PE上行的其中一条链路中断或者其中一台RR出现故障,都能保证业务自动倒换到另一条链路或者另外一个RR上面,实现对业务的保护。对CE设备来,分两种情况讨论:1、如果CE设备为交换机设备,建议采用VRRP的方式,实现上行链路的双归属,VRRP(VirtualRouterRedundancyProtocol)是一种容错协议,可以在其中一条上行链路出现故障时,能够自动倒换到备用链路上,这些倒换对下挂设备来说都是透明的,下挂设备不需改变下一跳地址。2、如果CE设备为路由设备,为了实现上行链路的双归属,可以利用动态路由的方式实现路由备份,如PE-CE之间运行EBGP协议,或者置两条优先级不同的静态路由分别指向两个下一跳来实现。19HUAWEIVPN-Instance规划哈尔滨IP城域网的VPN采用同一规划的方式。VPN-Instance的命名采取以下原则:VPN类别_VPN目前网络上主要存在一个NGN网络的VPN,命名为:NGN_VPN,其它VPN类推VPNVPN-InstanceNGN业务NGN_VPN20HUAWEIRD规划MPLSVPN能够实现不同VPN用户的地址重叠,为了区分重叠的IPV4地址,采用RD(RouteDistinguish)来区分来自不同VPN用户的路由信息,为了便于VPN路由的控制,建议采用一个Site分配一个RD的方式。RD格式如下:ASnumber:NASnumber为所在自治系统号,N为序列号(建议不重复)VPNRDNGN业务ASnumber:10021HUAWEIVPNTarget规划MPLSVPN是通过VPNTarget属性来确定VPN关系的。VPNTarget属性标识了可以使用某路由的站点的集合,即该路由可以被哪些Site所接收,PE路由器可以接收哪些Site传送来的路由。与VPNTarget中指明的Site相连的PE路由器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后,将其加入到相应的路由表中。PE路由器存在两个VPNTarget属性的集合:一个集合用于附加到从某个Site接收的路由上,称为ExportTargets;另一个集合用于决定哪些路由可以引入此Site的路由表中,称为ImportTargets。22HUAWEIVPNTarget规划本次VPNTarget属性全网统一规划:ASnumber:NASnumber为所在自治系统号,N为序列号(建议不重复)VPNExport-TargetImport-TargetNGN业务Asnumber:100Asnumber:10023HUAWEI跨域的MPLSVPN实现OptionA是VRFtoVRF方式。这种方式是在PE(ASBR:AS边界路由器)处,把对端的PE(ASBR)作为CE设备看,PE(ASBR)和PE(ASBR)之间通过eBGP携带VPN路由。这个方法的优点是在ASBR之间不需要运行MPLS,但缺点是每个VPN的用户站点需要与一个子接口绑定,ASBR需要维护VPN路由,所以存在可扩展性问题。24HUAWEI跨域的MPLSVPN实现OptionB是EBGP方式。这种方式是通过在ASBR之间传播VPN路由,并且为给相应的VPN路由分配一个标签。这种方法的优点是不需要在ASBR处为每个VPN的用户站点分配一个子接口。但缺点是是需要在ASBR处维护VPN路由,从PEingress到PEegress需要一条完整的LSP,ASBR之间需要互相信任。25HUAWEI跨域的MPLSVPN实现OptionC是Multi-hopBGP方式。这种方式是首先路由扩散在ingress与egress之间建立一条LSP,然后不同AS域之间的PE通过eBGP方式在LSP上传播VPN路由。这种方式可扩展性较好,不需要ASBR维护VPN路由。26HUAWEI跨域的MPLSVPN实现OptionC–Multi-HopEBGP,ASBR无法控制路由的传播,所有PE要维护对端PE的主机路由,扩展性存在问题,QoS难于部署;而OptionA–VRF-to-VRF,过多地依赖于人工干预。在三种Inter-AS方法中,建议选择OptionB。27HUAWEIMPLSVPN实现(P-PE)在NE80和RR之间运行MB-iBGP协议,NE80作为RR的客户机,实现三层的MPLSVPN,整个网络的NE80和两台RR设备组成一个簇,在RR上设置cluster-id,防止路由环路。通过设置BGP的Local-preference(值越大优先级越高,缺省值:100)和MED属性(值越小优先级越高,缺省值:0),控制NE80上下行流量按照规划的方向进行流动。28HUAWEIMPLSVPN实现(PE-CE)NE80下挂设备为交换机在这种情况下,NE80可能下挂3804也可能下挂6808,由于3804和6808目前都作为三层交换机来承载公网业务使用,如果采用3804或者6808作为CE设备,那么VPN业务在CE上面的隔离就变的非常困难,此种情况下采取在3804或者6808下面挂接CE设备,然后将相应的VPN业务在交换机(3804或者6808)上用VLAN的方式隔离并透传到PE设备上。29HUAWEIMPLSVPN实现(PE-CE)如上图所示,CE设备挂在3804或者6808下面,对设备的配置分为以下几种情况:1、CE设备是二层交换机设备,可以在CE下面挂接多个VPN的用户,不同V