论文导读:前言随着广域网(WAN)的应用需求不断增长,通信运营商竞争不断加剧,新的WAN的解决方案必须在降低实施、运营成本的同时,提供更快的响应时间、更好的服务质量(QoS)以及足够的安全性。VPN技术的出现,满足了市场需求。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。通过BGP协议解决了这个问题。
关键词:VPN,MPLS,BGP,WAN
随着广域网(WAN)的应用需求不断增长,通信运营商竞争不断加剧,新的WAN的解决方案必须在降低实施、运营成本的同时,提供更快的响应时间、更好的服务质量(QoS)以及足够的安全性。VPN技术的出现,满足了市场需求。
传统的解决方案是采用搭建物理链路的专网,VPN采用在公共IP网络商构建企业IP虚拟专网。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
1.技术分析1:VPN虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
如此需要迫切解决的两个问题:
一:动态创建隧道。通过MPLS协议解决了这个问题。
二:路由冲突问题。通过BGP协议解决了这个问题。
2:MPLSMPLS(Multi Protocol Label Switch:多协议标签交换)提供了快速包转发和动态建立隧道的技术。论文大全。MPLS是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等其它各类信息。MPLS的报文Head结构如下图:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Label | Label | Exp |S| TTL | Stack +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Entry Label: Label Value, 20 bits Exp: Experimental Use, 3 bits S: Bottom of Stack, 1 bit TTL: Time to Live, 8 bits |
快速包转发依赖标签(Label),MPLS采用了非常简化的技术来完成第三层和第二层的转换,它可以提供每个IP数据包一个标签,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序,而与MPLS兼容的路由器,会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。
有了标签,快速转发是容易的,但是如何生成标签才是关键。在这之前,首先介绍LSP(LabelSwitched Path)标签交换通道的概念。一个数据流,在不同的节点被赋予确定的标签,数据转发按照这些标签进行。数据流所走的路径就是LSP。创建LSP的过程称之为LDP(Label DistributionProtocol)。LDP协议类似于传统的RIP协议。只是RIP/OSPF协议计算的是路由信息,而LDP协议计算的是标签。通过LDP信令交互,动态建立了一个包转发的隧道。
3:BGP首先介绍VRF(VPN路由转发实例(VPN Routing &Forwarding Instance))的概念。每一个VRF可以看作虚拟的路由器,好像是一台专用的路由设备。论文大全。该虚拟路由器包括如下元素:
1)一张独立的路由表,当然也包括了独立的地址空间。
2)一组归属于这个VRF的接口的集合。论文大全。
3)一组只用于本VRF的路由协议。
对于每个路由器,可以维护一个或多个VRF,从而实现多个VRF实例相互分离独立。
其实实现VRF并不困难,关键在于如何使用特定的策略规则来协调各VRF之间的关系。BGP做了相应扩展,采用RT(RouteTarget)解决了VPN本地路由冲突,采用RD(Route Distinguisher)解决VPN间路由冲突问题。
RT的本质是每个VRF用来表示自己的对路由取舍的标记。通过配置RT,可以表达VRF是否可以路由当前报文,解决了VPN互访问题。
RD的本质是,RD加上IP地址,就成为VPN-IPv4地址族。通常建议为每个VPN都配置相同的RD,不同的VPN配置不同的RD。这样,VPN-IPv4地址解决了不同VPN间互访IPv4地址冲突问题。
4:BGP/MPLS VPNBGP/MPLS VPN 是一种基于边界路由协议(BGP)和多协议标记交换(MPLS)技术的IP 虚拟专用网络(VPN),是通过在网络路由和交换设备上应用MPLS 技术,简化核心路由器的路由选择方式,并结合传统路由技术的标记交换来实现的。
2.解决方案
本解决方案主要由以下网元组成:
CE(Custom Edge):直接与服务提供商相连的用户设备。
PE(Provider Edge Router):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。
P (Provider Router):指骨干网上的核心路由器,主要完成路由和快速转发功能。
其中有两类路由表:
公网路由表:包含全部PE和P 路由器之间的路由,由骨干网IGP产生。
私网路由表:包含本VPN用户可达信息的路由和转发表。
PE 和 CE 通过标准的EBGP、OSPF、RIP或者静态路由交换路由信息。
PE 维护独立的路由表,包括一个公网路由表和一个或者多个私网(VRF)路由表。
PE从CE接收的路由是IPv4路由,如果需要发布给其他的PE路由器,此时需要为这条路由附加一个RD。
VPN-IPv4地址仅用于服务供应商网络内部。在PE发布路由时添加,在PE接收路由后放在本地路由表中,用来与后来接收到的路由进行比较。CE不知道使用的是VPN-IPv4地址。在其穿越供应商骨干时,在VPN数据流量的包头中没有携带VPN-IPv4地址。
3.总结VPN的出现使得专网的发展速度得到了质的提高。为企业各地区部之间、企业间互连互连提供了完善的解决方案,达到了实施迅速、运营成本低廉、更健壮的安全性和更好的客户体验的目标。
参考文献:
[1] rfc2547 BGP/MPLS VPNs
[2] rfc3032 MPLS Label Stack Encoding
[3] rfc 4271 A Border Gateway Protocol 4 (BGP-4)
|