1、引言
MPLS VPN业务近几年发展尤为迅速。Gartner公司的分析数据显示:从2004年到2006年,MPLS VPN市场的增长率将保持在15%~56%;可见,越来越多的人认识到采用MPLS VPN技术组网的优势。
2、MPLS VPN原理介绍
MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同的site组成的集合,一个site可以属于不同的VPN,属于同一VPN的site具有IP连通性,不同VPN间可以有控制地实现互访与隔离。
图1 MPLS VPN网络结构示意图
MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络(图1中的MPLS骨干网络)相连,它“感知”不到VPN的存在;PE(Provider Edge Router,骨干网边缘路由器)设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者:P(Provider Ro
uter,骨干网核心路由器)负责快速转发数据,不与C
PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为 BGP/MPLS VPN。本文主要阐述的是Layer3 MPLS VPN。
在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。 VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。PE对等体之间需要发布基于VPNv4地址族的路由,这通常是通过 MBGP实现的。正常的BGP4能只传递IPv4的路由,MP-BGP在BGP的基础上定义了新的属性。MP-iBGP在邻居间传递VPN用户路由时会将 IPv4地址打上RD前缀,这样VPN用户传来的IPv4路由就转变为VPNv4路由,从而保证VPN用户的路由到了对端的PE上以后,即使存在地址空间重叠,对端PE也能够区分开分属不同VPN的用户路由。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个 VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。当PE从VRF表中导出VPN路由时,要用Export RT对VPN路由进行标记;当PE收到VPNv4路由信息时,只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中,而不是全网所有VPN的路由,从而形成不同的VPN,实现VPN的互访与隔离。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。
整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。
在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互,PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外,在控制层面工作的还有 LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。
在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE 路由器后,PE路由器查找该子接
口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE 路由器,从而实现了整个数据转发过程。
3、MPLS VPN在山东移动省网中的应用
山东移动总部位于济南,下有17个地市分公司,建有网管、BOSS、OA等业务系统。这些业务系统分属不同的部门维护和管理,因此每个系统都各自建有自己的网络。各业务系统所有的业务服务器及核心设备均集中在省公司,各分公司以客户端的形式访问省公司的资源。
改造前,由于不同的业务使用不同的业务支撑网,因此存在多网并存现象。多网并存所带来的问题是:网络资源分散,部分网络资源利用率低,部分网络不能满足日益增长的业务需求;各业务系统之间实现了互联互通,
但无法进行有效的安全隔离,安全性较差。
为了改变这种状况,满足企业业务支撑网络整体长期发展的需要,山东移动采用MPLS VPN技术对现网进行了改造。在全公司建立一张统一的MPLS骨干网络来承载公司所有内部业务,不同的业务系统通过划分VPN来实现互访与隔离。在分公司和省公司都部署相应的PE设备,分公司的PE设备用来连接分公司的各业务系统网络,省公司侧PE设备用来连接各业务系统的服务器;CE设备则是由原来省公司及分公司各业务系统的汇聚路由器来担任。
改造后的网络如图2所示。在省公司部署两套P设备和PE设备,在每个分公司分别部署两套PE设备,整个骨干网络实现了双平面主、备份。分公司到省公司主用链路速率为155Mbit/s,备用链路速率为8×2Mbit/s。
图2 改造后的网络结构(图中未画出CE设备)
在VPN规划方面,我们针对不同的业务系统划分了不同的VPN。全网共划分了BOSS、网管、企业信息化、经营分析(只在省中心)4类VPN,并通过在PE上设置合理的RT对VPN间的互访与隔离实现了有效控制。所有相同的VPN间可以互相访问,所有VPN均可访问省中心企业信息化服务器所在的VPN及经营分析服务器所在的VPN。
在整个网络的控制层面,我们把所有的P、PE设备都放在一个域内启用OSPF协议,用于LDP标签的分发和建立LSP。所有的PE设备也放在一个域内启用MBGP,用于VPN路由的发布和处理。由于PE设备间不是采用全连接结构,因此,PE间需要采用路由反射技术。对于所有的业务而言,分公司都是以客户端的形式访问省公司的资源,因此路由的控制比较简单,我们的做法是在PE设备和CE设备间直接启用静态路由。
由于我们采用MPLS VPN技术组网,因此对于原来各业务系统的IP地址规划和各CE设备以下网络不需要做任何的改动。在MPLS骨干网络建设完成后,只需调整各系统的CE设备就可以实现各业务系统的平滑割接入网。
与原先的网络相比,采用MPLS VPN技术改造后的网络具有以下特点:
●多个业务系统的数据只由一张骨干网络承载,网络结构更加清晰,维护简单。
●安全措施部署简单,业务系统可以进行更加安全的隔离和可控的互访。
●网络扩展性好,当增加新业务系统时不需要建设新的网络,只需增加一个VPN即可;不需要针对某个业务系统单独扩容网络带宽,只有当骨干网络平台总带宽不足时才考虑进行扩容。
●各业务系统统计复用骨干网总带宽,也可以根据各业务系统实际的流量分配带宽,从而合理地使用网络资源,网络资源利用率高。