MPLS VPN技术说明-20091228

2009/03MPLSVPN技术说明深圳市南凌科技发展有限公司2009年IP危机：转发效率低，路由查找的最长匹配；无法提供QOS；ATM的发展：屏弃了繁琐的路由查找，改为简单快速的标签交换；将具有全局意义的路由表改为只有本地意义的标签表；IP存在的问题MPLS包头结构MPLS包头有32Bit：20个Bit用作标签3个Bit的EXP,协议中没有明确，通常用作COS1个Bit的S,用于标识是否是栈底，表明MPLS的标签可以嵌套8个Bit的TTLMPLS头部2层头部IP头部数据标签SCoSTTL20023243232比特MPLS头2层头部IP头部数据MPLS头MPLS技术介绍•标签：标签是被用来标识一个转发等价类的32比特固定长度的标识符，通常仅有本地意义。在ATM中，标签被放置在ATM包头的VCI或VPI字段中；在帧中继中，标签占据帧中继包头的DLCI字段；在以太网中，在垫层包头中携带标签。垫层包头被插入在链路层和网络层之间。MultiprotocolLabelSwitch，多协议标签交换Frame-ModeMPLSFrameHeaderIPHeaderPayloadLayer2Layer3FrameHeaderLabelIPHeaderPayloadLayer2Layer2½Layer3RoutinglookupandlabelassignmentMPLS述语标签（Label)：是一个比较短的、定长的、通常只具有局部意义的标识，标签被插入到第2层包头和第3层包头之间，标签通过绑定过程同FEC相映射。FEC(ForwardingEquivalenceClass)转发等价类，在转发过程中以等价的方式处理的一组数据分组。FEC可以通过地址、隧道、COS等来标识创建FEC，现在MPLS中只是一条路由对应一个FEC。通常在一台设备上，对一个FEC分配相同的标签。LSP：标签交换通道。一个FEC的数据流，在不同的节点被赋予确定的标签，数据转发按照这些标签进行。数据流所走的路径就是LSP。LSR：LabelSwitchingRouter，LSR是MPLS的网络的核心交换机，它提供标签交换和标签分发功能。LER：LabelSwitchingEdgeRouter,在MPLS的网络边缘，进入到MPLS网络的流量由LER分为不同的FEC，并为这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能。MPLS拓扑结构边界边界边界边界边界边界边界边界LSRLSRLSRLSR入口出口MPLS边缘路由器LERMPLS核心交换机LSR标记交换路径LSPLER，在IP报文到达时，查找标签转发表，给IP报文打标签操作（PUSH），在IP报文离开时对标签报文进行弹出操作（POP），按IP路由进行转发。LSR，负责对标签报文进行快速的标签交换操作（SWAP）。IP逐跳转发47.33321121247.2DESTOUT接口47.1.0.0/16247.0.0.0/8147.1.1.0/241IP的逐跳转发，在经过的第一跳，必须进行路由表的最长匹配查找（可能多次），速度缓慢。IP47.1.1.147.1DESTOUT接口47.1147.2247.33IP47.1.1.1DESTOUT接口47.1147.2247.33IP47.1.1.147.33321121247.2IP47.1.1.147.1IP47.1.1.1IP47.1.1.13InterfaceINDESTInterfaceOUTLableOUT347.1150InterfaceINLableDESTInterfaceOUTLableOUT35047.1140InterfaceINLalbeINDESTInterfaceOUT34047.11MPLS的标签转发，通过事先分配好的标签，为报文建立了一条标签转发通道（LSP），在通道经过的每一台设备处，只需要进行快速的标签交换即可（一次查找）。标签交换过程生成标签标签分配协议（LDP）：LabelDistributionProtocol用来和标准网络层路由选择协议联合在标签交换网络中的LSR设备之间发布标签绑定信息。在传输层协议中使用TCP产生LDP信息的可靠传递，并且带有流控制和拥塞处理机制。报文（消息）邻居的自动发现和维护机制一套算法，用来根据授集到的信息计算最终结果（计算的结果是标签）在LDP协议中，存在4种LDP消息：1、Discovery发现消息用于通告和维护网络中LSR的存在。2、Session会话消息用于建立，维护和结束LDP对等实体之间的会话连接3、Advertisement通造消息用于创建、改变和删除特定FEC-标签绑定。4、Notification通知消息用于提供消息通告客差错通知。LDP会话的建立和维护邻居发现：通过互发hello报文（UDP/port：646/IP224.0.0.2)建立TCP连接：由地址大的一方主动发起（TCP/port：646）会话初始化：由Master发出初始化消息，并携带协商参数。由Slave检查参数能否接受，如果能则发送初始化消息，并携带协商参数。并随后发送Keepalive消息。Master检查参数能否接受，如果能则发送Keepalive消息。相互收到Keepalive消息，会话建立期间收到任可差错消息，均关闭会话，断开TCP连接标签的分配和管理标签的分发方式DOD（DownstreamOnDemand)下游按需标记分发DU（DownstreamUnsolicited)下游自主标记分发标签的控制方式有序方式（Oderd)标记控制独立方式（Independent)标记控制标签保留方式保守方式自由方式上游与下游在一条LSP上，沿数据包传送的方向，相邻的LSR分别叫上游LSR(upstreamLSR)和下游LSR（downstreamLSR)。下游是路由的始发者LDP标签分配方式（DU）47.347.1333111下游主动向上游发出标记映射消息。标签分配方式中同样存在水平分割，即：对我已经选中的出口标签，就不再为下一跳分配出标签。标签是设备随机自动生成的，16以下为系统保留。还有一种DOD方式（由上游向下游请求）。InterfaceINDESTInterfaceOUTLableOUT347.1150InterfaceINLableDESTInterfaceOUTLableOUT35047.1140InterfaceINLalbeINDESTInterfaceOUT34047.11Mapping:40Mapping:50LDP标签保留方式LSR1LSR2LSR3LSR4LSR5MappingLabel30MappingLabel20MappingLabel16MappingLabel17172.16.2/24不是到172.16.2/24的下一跳邻居发来的标签：自由方式：保留保守方式：放弃自由方式（Liberalretentionmode）比较流行的是自由方式。保留来自邻居的所有发送来的标签优点：当IP路由收敛、下一跳改变时减少了Isp收敛时间缺点：需要更多的内存和标签空间。保守方式（Conservativeretentionmode）只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。优点：节省内存和标签空间。缺点：当IP路由收敛、下一跳改变时Isp收敛慢LDP标签控制方式有序方（Odered）标记控制：比较流行的是有序方式。除非LSR是路由的始发节点，否则LSR必须等收到下一跳的标记映射才能向上游发出标记映射。独立方式（Independent）标记控制：LSR可以向上游发出标记映射，而不必等待来自LSR下一跳的标记映射消息。常用的是采用（DU+自由＋有序）的标签分配及控制方式：倒数第二跳弹出（PHP）在出口处，EgressLSR本应变MPLS转发为IP路由查找，但是他收到的仍旧是含有标签的MPLS报文。这个报文应该送交MPLS模块处理，而此时MPLS模块不需要标签转发，能做的只是去掉标签。然后送交IP层处理。上游（倒数第二跳）就把标签给弹出来。在倒数第一跳为其分配标签时做一下特殊说明即可。路由环路的检测和预防路由环路的预防LSP的建立是依赖IP路由的，环路的预防也应该交给IP处理。路由环路的检测TTL，每经过一次MPLS转发，TTL减一。MPLS报文头中的TTL减一，IP报文头的TTL不减一，不交IP层处理。VirtualNetworksVirtualDialupNetworksVirtualLANsVirtualPrivateNetworksPeer-to-PeerVPNAccessLists(SharedRouter)SplitRouting(DedicatedRouter)MPLSVPNOverlayVPNLayer2VPNLayer3VPNX.25FrameRelayATMIPSecGREVPN的分类VPN协议：GRE、IPSEC层:二层VPN、三层VPNCE与PE之间的关系：“OverlayVPN”“PeertoPeerVPN”CE(CustomEdge):直接与服务提供商相连的用户设备。PE（ProviderEdgeRouter):骨干网上的边缘路由器，与CE相连，主要负负责VPN业务的接入。P（ProvideRouter)：指骨干网上的核心路由器，主要完成路由和快速转发功能。由于网络规模不同，网络中可能不存在P路由器。PE路由器也可能同时是P路由器。OverlayVPN隧道建立在CE上特点：在CE与PE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，服务商对客户网络结构一无所知。典型代表是GRE、IPSEC优点：不同的客户地址空间可以重叠，保密性、安全性非常好。缺点：需要客户自已创建并维护VPN。PPPEPECECECECEVPN-AVPN-AVPN-BVPN-BPPPEPECECECECEVPN-AVPN-AVPN-BVPN-BOverlayVPN隧道建立在PE上特点：在PE上为每一个VPN用户立相应的GRE隧道，路由信息在PE与PE之间传递，公网中的P设备不知道私网的路由信息。优点：客户把VPN的创建及维护完全交给服务商，保密性、安全性比较好。缺点：不同的VPN用户不能共享相同的地址空间，即使可以共享，则PE与CE之间的地址、Tunnel之间的地址一定不能相同，并且必须大量的ACL和策略路由。不具备可行性。GRETUNNELOVERLAYVPN的本质OverlayVPN的本质是一种“静态”VPN，具有类似静态路由的全部缺陷。1、所有的配置与部署都需要手工完成。2、由于是“静态”VPN，则无法反应网络的实时变化。如果隧道建立在CE上，则必须由用户维护，如果建立在PE上，则又无法解决地址冲突问题。PeertoPeerVPNVPN的部署及路由发布变为动态性。PeertoPeer是指CEtoCE,也就是要在CE与PE之间交换私网路由信息，然后由PE将这些私网路由在P网络中传播。这样这些私网路由会自动的传播到其他的PE上。这种VPN由于私网路由会泄露到公网上，所以必须严格的通过路由来控制，即：要确保同一个VPN的CE路由器上只能有本VPN的路由。所以，通常CE与PE之间运行的路由协议，与P网络上运行的路由协议是不同的，即使相同，也要有很好的路由过滤和选择的机制。PPPEPECECECECEVPN-AVPN-AVPN-BVPN-B私网路由在整个公网上传播PeertoPeerVPN共享PE方式所有VPN用户的CE都连到同一台PE上，PE与不同的CE之间运行不同的路由协议。由路由始发PE将这些路由发布到公网上，在接收端的PE上将这些路由过滤后再发给相应的CE设备。缺点：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL。PeertoPeerVPN专用PE方式PPPEPECECECECEVPN-AVPN-