MPLS VPN技術原理(下)

相關專題: 中國電信

中國電信廣州研發(fā)中心 數據網絡部 夏可為

3 基于MPLS的VPN實現

3.1 VPN的歷史

  VPN服務是很早就提出的概念,不過以前電信提供商提供VPN是在傳輸網上提供的覆蓋型的VPN服務。電信運營商給用戶出租線路,用戶上層使用何種的路由協(xié)議、路由怎么走等等,這些電信運營商不管。這種租用線路來搭建VPN的好處是安全,但是價格昂貴,線路資源浪費嚴重。

  后來隨著IP網絡的全面鋪開,電信服務提供商在競爭的壓力下,不得不提供更加廉價的VPN服務,也就是三層VPN服務。通過提供給用戶一個IP平臺,用戶通過IP Over IP的封裝格式在公網上打隧道,同時也提供了加密等等的手段

  提供安全保障。這類VPN用戶在目前的網絡上數量還是相當巨大的!但是這類VPN服務因大量的加密工作、傳統(tǒng)路由器根據IP包頭的目的地址轉發(fā)效率不高等等的原因不是非常令人滿意。

MPLS技術的出現和BGP協(xié)議的改進,讓大家看到了另一種實現VPN的曙光。

3.2 MPLS/VPN體系結構

3.2.1 PE路由器的改造和VRF的導入

  為了讓PE路由器上能區(qū)分是哪個本地接口上送來的VPN用戶路由,在PE路由器上創(chuàng)建了大量的虛擬路由器,每個虛擬路由器都有各自的路由表和轉發(fā)表,這些路由表和轉發(fā)表統(tǒng)稱為VRF(VPN Routing and Forwarding instances)。一個VRF定義了連到PE路由器上的VPN成員。VRF中包含了IP路由表,IP轉發(fā)表(也成為CEF表),使用該CEF表的接口集和路由協(xié)議參數和路由導入導出規(guī)則等等。

  在VRF中定義的和VPN業(yè)務有關的兩個重要參數是RD(Route Distinguisher)和RT(Route Target)。RD和RT長度都是64比特。

  有了虛擬路由器就能隔離不同VPN用戶之間的路由,也能解決不同VPN之間IP地址空間重疊的問題。

3.2.2 MP-BGP協(xié)議對VPN用戶路由的發(fā)布

  正常的BGP4協(xié)議能只傳遞IPv4的路由,由于不同VPN用戶具有地址空間重疊的問題,必須修改BGP協(xié)議。BGP最大的優(yōu)點是擴展性好,可以在原來的基礎上再定義新的屬性,通過對BGP修改,把BGP4擴展成MP-BGP。在MP-IBGP鄰居間傳遞VPN用戶路由時打上RD標記,這樣VPN用戶傳來的IPv4路由轉變?yōu)閂PNv4路由,這樣保證VPN用戶的路由到了對端的PE上,能夠使對端PE區(qū)分開地址空間重疊但不同的VPN用戶路由。

  目前PE和CE之間可支持的路由協(xié)議只有四種BGP、OSPF、RIP2或者靜態(tài)路由。

3.2.3 MPLS/VPN中標簽分組的轉發(fā)

  同過MP-BGP協(xié)議各個VPN用戶路由器學習到正確的路由,現在看看如何轉發(fā)用戶數據的。

1.CE1接收到發(fā)往10.1.1.1的IP數據包,查詢路由表,把該IP數據包發(fā)送到PE1。

2.PE1從S1口上收到IP數據包后,根據S1所在的VRF,查詢對應的CEF表,數據包打上標簽8,注意該標簽就是通過MP-BGP協(xié)議傳來的。PE1繼續(xù)查詢全局CEF表,獲知要把數據發(fā)往10.1.1.1,必須先發(fā)送到PE2,而要發(fā)送到PE2,則必須打上由P1告知的標簽2。所以該IP包被打上了兩個標簽。

3.P1接收到標簽包后,分析頂層的標簽,把頂層標簽換成4,繼續(xù)發(fā)送的P2。

4.P2和P1一樣做同樣的操作,由于次末中繼彈出機制,P2去掉標簽4,直接把只帶有一個標簽的標簽包發(fā)送的PE2。

5.PE2收到標簽包后,分析標簽頭,由于該標簽8是它本地產生的,而且是本地唯一的,所以PE2很容易查出帶有標簽8的標簽包應該去掉標簽,恢復IP包原貌,從S1端口發(fā)出。

6.CE2獲得IP數據包后,進行路由查找,把數據發(fā)送到10.1.1.0/8網段上。

4 MPLS/VPN配置實例

  要提供VPN服務的前提是:服務提供商的網絡必須啟用標簽交換功能,即把以前的數據網絡升級為MPLS網絡。然后具體配置PE,PE上的配置按六步走:

1.定義并且配置VRF

2.定義并且配置RD

3.定義RT,并且配置導入導出策略

4.配置MP-BGP協(xié)議

5.配置PE到CE的路由協(xié)議

6.配置連接CE的接口,將該接口和前面定義的VRF聯(lián)系起來。

5 總結

  上面的配置展現了在單個AS內部實現VPN的配置,當然VPN用戶的各個接入點往往是地域跨度很大的,所以經常要涉及到跨AS提供VPN業(yè)務的需求。這樣的配置會更加復雜,而且需要各個電信運營商配合行動才行,這里就不在具體展開敘述了。

  MPLS是一種結合了鏈路層和IP層優(yōu)勢的新技術。在MPLS網絡上不僅僅能提供VPN業(yè)務,也能夠開展QOS、TE、組播等等的業(yè)務。

  目前中國網通已經在大規(guī)模地在提供基于MPLS技術的VPN業(yè)務,其他運營商,如中國電信等也在迎頭趕上。很快地,就象WWW技術一樣,MPLS技術將會影響我們生活的方方面面!

摘自《賽迪網》


微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息