面向运营的MPLS VPN网络设计研究
2013-10-29顾华忠
顾华忠
【摘要】随着MPLS技术应用的普及,本文面向运营需要探讨MPLS VPN网络设计问题,首先对MPLS VPN技术实现模式进行对比分析,阐述BGP/MPLS VPN和L2 MPLS VPN两种方式的技术特点,在此基础上,提出MPLS VPN路由及相关配置方案,并分别从链路连接、设备选择等方面阐述MPLS VPN网络部署方案,为MPLS VPN网络设计提供借鉴和参考。
【关键词】MPLSVPN网络设计
The research on MPLS VPN network design aiming at practical operation
Abstract: with the development and application of MPLS technology, the thesis focuses on MPLS VPN network design aiming at practical operation requirement. Comparative analysis about MPLS VPN technology model is made including BGP/MPLS VPN and L2 MPLS VPN. And based on the above analysis the solution of MPLS VPN routing and related configuration scheme allocation is put forward. MPLS VPN deployment scheme is demonstrated from link access and equipment selection, which is helpful to MPLS VPN network design.
Keywords: MPLS, VPN, network design
一、引言
为满足业务发展及精细化管理需要,MPLS技术得到更为广泛的应用,MPLS VPN技术已经成为专网中实现业务系统隔离最有效、最易管理和扩展的技术手段,通过MPLS VPN可以满足专网管理需求,实现在一张物理网上模拟多种逻辑网,分别承载不同的业务,有助于整合网络资源、降低运营维护成本。但是受人员能力、管控水平等多种因素的制约,包括VPN划分、网络组织以及其他等方面仍然存在运营精细化不足、缺乏统一规划等问题,直接导致与业务系统割接、业务系统整合的管理不畅,本文针对目前MPLS VPN网络运营管理中的突出问题,对MPLS VPN网络设计的核心环节进行研究探讨,并提出建议方案,有助于MPLS VPN网络设计、网络精细化运营提供参考。
二、MPLS VPN技术实现模式
基于MPLS技术可以在IP基础设施上提供IP业务的优势,并基于MPLS建立全新的分级IP VPN,IP VPN可以实现无连接的IP网络,同时可以保证与帧中继及多级别IP业务的私密性。MPLS VPN主要包括BGP/MPLS VPN和L2 MPLS VPN两种实现技术。①BGP/MPLS VPN基于RFC2547技术,能够将路由外包给第三方企业维护,减小了运营复杂度,帮助用户维护路由进一步可以开展增值业务,带来收益增长。②L2 MPLS VPN由Juniper公司提出,VPN用户自己负责维护VPN内的路由信息,第三方只负责将用户的链路层标识在网络两端进行映射,使其能在IP网络上获得专有的连接。在不足方面,同一个VPN的CE和PE之间的连接类型必须一致;用户需要自己维护路由,要求有一定路由经验,相应对第三方企业而言,也失去了开展路由代维服务的机会。BGP/MPLS VPN和L2 MPLS VPN在技术上各有优缺点,结合网络运营现状及管理需要,BGP/MPLS VPN能够更好的降低运营复杂度,并可以通过维护路由开展增值应用,采用BGP/MPLS VPN技术方案更为符合实际需要。
MPLS VPN网络结构主要包括三层结构和二层结构两种方式。对于三层MPLS VPN网络结构,在城域网、省网、骨干网的边界都需要专门的PE-ASBR和独立的链路连接起来,在PE-ASBR之间运行MP-eBGP,在每个层面的网络中有各自的PE设备,一个层面的PE设备之间运行MP-iBGP;对于二层网络,城域网、骨干网之间的边界通过专门的PE-ASBR和独立链路连接,在PE-ASBR之间运行MP-eBGP,在每个层面有各自的PE设备,一个层面的PE设备之间运行MP-iBGP。MPLS VPN网络结构示意图如下:
(1)在用户地址段在PE路由器上配置静态路由
Address-family ipv4 vfr test1配置PE到CE的路由
Redistribute static
No synchronization
Network 10.10.10.0 mask 255.255.255.22
Exit-address-family
Ip route vrf test1 192.1.1.0 255.255.255.0 10.10.10.2
以上192.1.1.0为用户地址段,10.10.10.0为连接地址段。
(2)在CE上配置默认路由
用户路由器以Cisco2611为示例:
Interface FastEthernet 0/0连接到上层局端交换机
Ip address 10.10.10.2 255.255.255.252
No ip directed-broadcast
Interface FastEthernet 0/0连接到用户端交换机
Ip address 192.1.1.1 255.255.255.0
No ip directed-broadcast
Ip 0.0.0.0 0.0.0.0 10.10.10.1
与BGP/MPLS VPN相关资源主要包括:路由识别(RD,Route Distinguisher)、路由目标(RT,Routing Target)以及VRF名称。
(1)路由识别RD分配
使用<16bits type>:
(2)路由目标RT分配
根据VPN业务互访关系,为每个VPN配置不同的RT。CERC是业界比较通用的一个RT分配策略。VPN本身表达了客户的各个Site之间的网络连接关系,CERC策略把一个VPN划分成一个个的CE的组,每个组称之为CERC(CE routing communities)。
①任何一个复杂的组网拓扑,都可以拆分成若干个CERC。
②CERC的基本类型有两种类型:full mesh、hub-and-spoke
③每个CERC都有两个RT值(hub rt值和spoke rt值)。
四、MPLS VPN网络部署方案
对于三层MPLS VPN网络,在城域网、省网、骨干网的边界需要通过专门的PE-ASBR和独立的链路连接起来,在PE-ASBR之间运行MP-eBGP,在每个层面的网络中有各自的PE设备,一个层面的PE设备之间运行MP-iBGP;对于二层网络,城域网、骨干网之间的边界通过专门的PE-ASBR和独立链路连接,在PE-ASBR之间运行MP-eBGP,在每个层面有各自的PE设备,一个层面的PE设备之间运行MP-iBGP。
在一个AS自治域,MPLS VPN通过MP-iBGP路由协议来承载VPN成员关系和VPN网络可达性。PE设备之间要运行MP-iBGP,假如采用Full Mash结构,对于有N台PE的情况,每台PE都有N-1个IBGP session,每增加一台PE,在新增的PE上需要配置现有的所有PE作为其IBGP邻居,同时需要在其他PE上增加一个IBGP邻居,当N很大时,配置工作量将很大,不易扩展。
核心层需要处理城域网以外的大量路由,和MPLS VPN中的P节点处于同样的位置,核心层设备需要完成P节点的工作,实现VPN外层标签交换,P节点的稳定性和兼容性十分重要,P节点发生故障将会影响整个城域网的MPLS如果采用其他小厂设备,可能会遇到不稳定或者一些意想不到的问题。结合业务量需要规模,通常建议采用Cisco12000系列的GSR路由设备,能够较好的满足高数据量、高稳定性、高安全性需求PE路由器在P节点之下,处于汇聚层,完成大量的VRF和VFR路由的发起工作。汇聚层网络设备首先需要考虑接口问题,充分考虑网络的可持续扩展性,需要包括丰富的GE接口,并考虑的可互通性,避免在城域网中造成瓶颈。汇聚层网络设备可采用的设备主要包括Cisco7600系列、华为的NE系列、港湾的Bighammer系列系统设备。建议采用思科公司的Cisco7600系列的Supervisor Engine 720-3BXL路由器作为汇聚层网络设备,能够较好的提供硬件加速和MPLS等可扩展增强服务。
五、结束语
本文以MPLS网络精细化运营管理为出发点,基于实际运营管理需求角度探讨MPLS VPN网络设计实施问题,提出了面向运营的MPLS VPN网络设计方案,具有较强的实际应用针对性,有助于解决VPN网络建设过程中网络设计与业务发展相互脱节的问题,提升网络精细化运营管理水平,为MPLS VPN网络建设和精细运营提供参考。
参考文献
[1]朱元忠,余镇危,杨民峰.基于IPSec与基于MPLS的VPN的比较与分析.北京工业职业技术学院学报,2008,(01)
[2]张扬.基于IPsec的VPN研究.重庆工学院学报(自然科学版),2008,(01)
[3]刘亮,李玉萍,邹妍,吴国强,秦久刚.浅谈VPN技术.地壳构造与地壳应力,2006,(01)
[4]戴彬.基于IPSec的VPN技术穿越NAT的研究与设计.西南大学, 2006
