MPLS VPN業務近幾年發展尤為迅速。Gartner公司的分析數據顯示:從2004年到2006年,MPLS VPN市場的增長率將保持在15%~56%;預計到2006年,全球MPLS VPN的市場規模將達到10億美元。可見,越來越多的人認識到采用MPLS VPN技術組網的優勢。
2、MPLS VPN原理介紹
MPLS VPN一般采用圖1所示的網絡結構。其中VPN是由若干不同的site組成的集合,一個site可以屬于不同的VPN,屬于同一VPN的site具有IP連通性,不同VPN間可以有控制地實現互訪與隔離。
圖1 MPLS VPN網絡結構示意圖
uter,骨干網核心路由器)負責快速轉發數據,不與CE直接相連。在整個MPLS VPN中,P、PE設備需要支持MPLS的基本功能,CE設備不必支持MPLS。
PE是MPLS VPN網絡的關鍵設備,根據PE路由器是否參與客戶的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis標準,使用MBGP在PE路由器之間分發路由信息,使用MPLS技術在VPN站點之間傳送數據,因而又稱為 BGP/MPLS VPN。本文主要闡述的是Layer3 MPLS VPN。
在MPLS VPN網絡中,對VPN的所有處理都發生在PE路由器上,為此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性,通過將8byte的RD作為IPv4地址前綴的擴展,使不惟一的IPv4地址轉化為惟一的VPNv4地址。 VPNv4地址對客戶端設備來說是不可見的,它只用于骨干網絡上路由信息的分發。PE對等體之間需要發布基于VPNv4地址族的路由,這通常是通過 MBGP實現的。正常的BGP4能只傳遞IPv4的路由,MP-BGP在BGP的基礎上定義了新的屬性。MP-iBGP在鄰居間傳遞VPN用戶路由時會將 IPv4地址打上RD前綴,這樣VPN用戶傳來的IPv4路由就轉變為VPNv4路由,從而保證VPN用戶的路由到了對端的PE上以后,即使存在地址空間重疊,對端PE也能夠區分開分屬不同VPN的用戶路由。RT使用了BGP中擴展團體屬性,用于路由信息的分發,具有全局惟一性,同一個RT只能被一個 VPN使用,它分成Import RT和Export RT,分別用于路由信息的導入和導出策略。在PE路由器上針對每個site都創建了一個虛擬路由轉發表VRF(VPN Routing & Forwarding),VRF為每個site維護邏輯上分離的路由表,每個VRF都有Import RT和Export RT屬性。當PE從VRF表中導出VPN路由時,要用Export RT對VPN路由進行標記;當PE收到VPNv4路由信息時,只有所帶RT標記與VRF表中任意一個Import RT相符的路由才會被導入到VRF表中,而不是全網所有VPN的路由,從而形成不同的VPN,實現VPN的互訪與隔離。通過對Import RT和Export RT的合理配置,運營商可以構建不同拓撲類型的VPN,如重疊式VPN和Hub-and-spoke VPN。
整個MPLS VPN體系結構可以分成控制面和數據面,控制面定義了LSP的建立和VPN路由信息的分發過程,數據面則定義了VPN數據的轉發過程。
在控制層面,P路由器并不參與VPN路由信息的交互,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由交互知道屬于某個VPN的網絡拓撲信息。CE-PE路由器之間通過采用靜態/默認路由或采用ICP(RIPv2、OSPF)等動態路由協議。PE-PE之間通過采用MP-iBGP進行路由信息的交互,PE路由器通過維持iBGP網狀連接或使用路由反射器來確保路由信息分發給所有的PE路由器。除了路由協議外,在控制層面工作的還有 LDP,它在整個MPLS網絡中進行標簽的分發,形成數據轉發的邏輯通道LSP。
在數據轉發層面,MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE 路由器后,PE路由器查找該子接口對應的VRF表,從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后,就通過PE輸出接口轉發出去,然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的一個P路由器上,外層標簽被彈出,P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口,在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE 路由器,從而實現了整個數據轉發過程。
3、MPLS VPN在山東移動省網中的應用
山東移動總部位于濟南,下有17個地市分公司,建有網管、BOSS、OA等業務系統。這些業務系統分屬不同的部門維護和管理,因此每個系統都各自建有自己的網絡。各業務系統所有的業務服務器及核心設備均集中在省公司,各分公司以客戶端的形式訪問省公司的資源。
改造前,由于不同的業務使用不同的業務支撐網,因此存在多網并存現象。多網并存所帶來的問題是:網絡資源分散,部分網絡資源利用率低,部分網絡不能滿足日益增長的業務需求;各業務系統之間實現了互聯互通,
但無法進行有效的安全隔離,安全性較差。
為了改變這種狀況,滿足企業業務支撐網絡整體長期發展的需要,山東移動采用MPLS VPN技術對現網進行了改造。在全公司建立一張統一的MPLS骨干網絡來承載公司所有內部業務,不同的業務系統通過劃分VPN來實現互訪與隔離。在分公司和省公司都部署相應的PE設備,分公司的PE設備用來連接分公司的各業務系統網絡,省公司側PE設備用來連接各業務系統的服務器;CE設備則是由原來省公司及分公司各業務系統的匯聚路由器來擔任。
改造后的網絡如圖2所示。在省公司部署兩套P設備和PE設備,在每個分公司分別部署兩套PE設備,整個骨干網絡實現了雙平面主、備份。分公司到省公司主用鏈路速率為155Mbit/s,備用鏈路速率為8×2Mbit/s。
圖2 改造后的網絡結構(圖中未畫出CE設備)
在整個網絡的控制層面,我們把所有的P、PE設備都放在一個域內啟用OSPF協議,用于LDP標簽的分發和建立LSP。所有的PE設備也放在一個域內啟用MBGP,用于VPN路由的發布和處理。由于PE設備間不是采用全連接結構,因此,PE間需要采用路由反射技術。對于所有的業務而言,分公司都是以客戶端的形式訪問省公司的資源,因此路由的控制比較簡單,我們的做法是在PE設備和CE設備間直接啟用靜態路由。
由于我們采用MPLS VPN技術組網,因此對于原來各業務系統的IP地址規劃和各CE設備以下網絡不需要做任何的改動。在MPLS骨干網絡建設完成后,只需調整各系統的CE設備就可以實現各業務系統的平滑割接入網。
與原先的網絡相比,采用MPLS VPN技術改造后的網絡具有以下特點:
●多個業務系統的數據只由一張骨干網絡承載,網絡結構更加清晰,維護簡單。
●安全措施部署簡單,業務系統可以進行更加安全的隔離和可控的互訪。
●網絡擴展性好,當增加新業務系統時不需要建設新的網絡,只需增加一個VPN即可;不需要針對某個業務系統單獨擴容網絡帶寬,只有當骨干網絡平臺總帶寬不足時才考慮進行擴容。
●各業務系統統計復用骨干網總帶寬,也可以根據各業務系統實際的流量分配帶寬,從而合理地使用網絡資源,網絡資源利用率高。