摘 要:从支持IP VPN的实现方式出发,采用某移动通信公司运营支撑网实例论证的方法,详细阐述了MPLS—VPN的应用,主要对基于MPLS的IP VPN的结构组成,MPLS IP VPN的工作过程,MPLS—VPN的三种实际部署方案,MPLSVPN的优势进行了分析,最后对其发展趋势进行了展望,并提出了使用这种技术时需注意的问题。
关键词:MPLS;IP VPN;部署方案;路由器
MPLS为IP VPN的实现提供了一种灵活的、具有可扩展性的技术基础,在MPLS网络中,一项IP VPN业务可以通过多种方式来提供。一种方式是仿真第二层的IPVPN,如直接仿真帧中继;另一种方法是使用支持MPLS功能的用户设备来提供这一业务。无论是哪一种方法都可以让业务提供者以一种集成的方式,在提供因特网服务的同一平台上提供这一流行业务。因此有多种支持IPVPN的方法,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP VPN。
本文将以实际应用的实例对MPLS—VPN进行详细的分析。
1 基于MPLS的IP VPN概述
1.1 基于MPLS的IP VPN的结构组成
如图1所示给出了使用MPLS和多协议边界网关协议来提供IP VPN业务的一种网络配置模型。这种网络模型主要由提供者(P)路由器、提供者边缘(PE)路由器、用户边缘(CE)路由器以及站点(Site)组成。
提供者(P)路由器相当于核心部分的标签交换路由器(LSR),P路由器之间使用MPLS协议与进程,P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。提供者边缘(PE)路由器相当于核心部分的标签边缘路由器(LER),用户边缘(CE)路由器的作用是将某个用户站点连接至PE路由器,它不使用MPLS,也不必支持任何VPN的特定路由协议和信令。站点(Site)是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN,而VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。
在图1中,每个PE(PEl~PE3)都直接和属于相应VPN的用户站点相连,这些VPN都直接映射到每个VPN各自的虚拟路由中。通过使用BGP协议,PE路由器之间自动的交换特定VPN的MPLS标记,并且自动的在内部VPN站点之间建立MPLS隧道,这些MPLS隧道能够传输一个或多个特定VPN LSPs,每个VPN标记交换通道都直接与隧道两端点的站点连接。
CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设备,一般是路由器。
PE(Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连。
P routers骨干网中不与CE直接相连的设备,只负责标签转发。
Site是一个内部连通但不通过服务提供者骨干网不具有相互连通性的网络系统。
1.2 MPLS IP VPN的工作过程
(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN—IP的信息以及相应的VPN标记.而在PE与P路由器之间则使用IGP协议相互学习路由信息,采用LDP协议进行路由信息与骨干网络中的标记的绑定。此时形成CE、PE以及P路由器中基本的网络拓扑以及路由信息。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时在前传的数据包中打上VPN标记。为了到达目的端PE,在起始端PE中读取骨干网络的路由信息,得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记。其中在骨干网络中,初始PE之后的P均只读取骨干网络中的标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(3)在达到目的端PE之前的最后一个P路由器时,将骨干网络中的标记去掉,读取VPN标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
2 某省移动公司MDCN的MPLS—VPN部署方案
省移动公司MDCN各区县营业厅及大型分支机构的业务,其路由包括3种情况:
(1)地市中心PE路由器(Cisco7507/7206/3745/R3680E)地市中心二层交换设备(Cat6509/4006/4003)区县大型分支机构CE交换设备(FlexFtammer24)连接,其中CE交换机之间采用光纤GE方式直连。
该方案通过在港湾FlexHammer24交换机上采用VLAN方式实现各区县营业厅及大型分支机构的MPLS—VPN服务,BOSS系统、MIS系统及OA系统等3个业务系统接入到港湾FlexHammer24交换机。
根据业务需求,不同业务系统需要相互隔离,在港湾
FlexHammer24交换机划分VLANll,VLANl2,VLANl3共3个VLAN,并为三个业务VLAN分别定义MIS,BOKS,OA,实现VLAN和VRF一一对应;将港湾FlexHammer24交换机与Cat 6509/4006/4003相连的两个GE端口及跟CISCO7507/7206/3745/R3680E相连Cat 6509上的GE/FE端口配置成Trunk模式;同时在CISCO7507/7206/3745/R3680EPE路由器与Cat6509/4006/4003相连的以太网接口上划分3个逻辑(子)接口,并在每个接口配置各个业务系统对应的lP地址,分别作为VLANll,VLANl2,VLANl3的网关,再将各VLAN(子)接口分别与MISS,OA,BOSS三个VRF一一关联,从而实现各个业务系统的上连和相互隔离;从以上所述可以看出Cat 6509/4006/4003交换机在整个过程只是作为一台普通的二层交换机使用,港湾FlexHammer24交换机以Trunk方式向CIS—CO7507上传VRF/VLAN信息数据,具体如图2所示。