VPNV4地址族被用于PE路由器

來(lái)源:投稿網(wǎng) 時(shí)間:2024-02-16 10:00:08

隨著(zhù)公司的不斷發(fā)展，DCN在線(xiàn)業(yè)務(wù)系統不斷增加，除了97系統外，還有網(wǎng)絡(luò )管理集中監控系統、電源監控系統、客戶(hù)服務(wù)系統、OA3G網(wǎng)絡(luò )管理系統。一些應用程序系統對安全性有很高的要求，如OA和財務(wù)，一些系統對帶寬和網(wǎng)絡(luò )質(zhì)量（QOS）有很高的要求?，F有網(wǎng)絡(luò )不能滿(mǎn)足企業(yè)經(jīng)營(yíng)管理的分而治之需求。由于信息系統集中整合的需要，MPLS升級。通過(guò)本次改造項目的實(shí)施，優(yōu)化網(wǎng)絡(luò )結構，提高整個(gè)DCN網(wǎng)絡(luò )的安全性、可靠性和服務(wù)質(zhì)量。虛擬多業(yè)務(wù)網(wǎng)絡(luò )由實(shí)體物理網(wǎng)絡(luò )實(shí)現，各種業(yè)務(wù)系統由MPLSVPN隔離。骨干基于現有的DCN骨干網(wǎng)絡(luò )，靈活地連接到終端，滿(mǎn)足企業(yè)內部應用的承載和安全需求。最后，DCN網(wǎng)絡(luò )中的終端和主機必須劃入其MPLSVPN域，實(shí)現各VPN域之間的通信隔離。同時(shí)，在各VPN之間建立數據通道，部署防火墻，通過(guò)數據通道訪(fǎng)問(wèn)和控制流量，實(shí)現不同VPN域通信數據的有效安全控制。

1MPLSVPN技術(shù)簡(jiǎn)介。

MPLSVPN是由幾個(gè)不同的site組成的集合。一個(gè)site可以屬于不同的VPN。屬于同一VPN的site具有IP連接性，可以控制不同VPN之間的互訪(fǎng)和隔離。

MPLSVPN網(wǎng)絡(luò )主要由CE、PE和P三部分組成:CE(Customedgerouter，用戶(hù)網(wǎng)絡(luò )邊緣路由器)設備直接與服務(wù)提供商網(wǎng)絡(luò )聯(lián)系。設備直接連接到用戶(hù)的CE，負責VPN業(yè)務(wù)訪(fǎng)問(wèn)，處理VPN-IPV4路由。是MPLS三層VPN的主要實(shí)現者:P(Providerrouter，骨干網(wǎng)核心路由器)負責快速轉發(fā)數據。在整個(gè)MPLSVPN中，P和PE設備需要支持MPLS的基本功能，CE設備不需要支持MPLS。

PE是MPLSVPN網(wǎng)絡(luò )的關(guān)鍵設備。根據PE路由器是否參與客戶(hù)的路由，MPLSVPN分為L(cháng)ayer3MPLSVPN和Layer2MPLSVPN。其中，Layer3MPLSVPN遵循RFC2547BIS標準，使用MBGP在PE路由器之間分發(fā)路由信息，使用MPLS技術(shù)在VPN網(wǎng)站之間傳輸數據，也稱(chēng)為BGP/MPLSVPN。在MPLSVPN網(wǎng)絡(luò )中，VPN的所有處理都發(fā)生在PE路由器上。因此，VPNV4地址族被用于PE路由器，RD被引入。VPNV4地址對于客戶(hù)端設備來(lái)說(shuō)是看不見(jiàn)的，只用于骨干網(wǎng)絡(luò )上路由信息的分發(fā)。RT采用BGP擴展集團屬性，用于路由信息的分發(fā)，具有全局獨特性。同一個(gè)RT只能由一個(gè)VPN使用。分為ImportRT和ExportRT，分別用于路由信息的導入和導出策略。在PE路由器上，為每個(gè)Site創(chuàng )建了一個(gè)虛擬路由轉發(fā)VRF(VPNRorting&Forwarding)。VRF是每個(gè)Site維護邏輯上分離的路由表，每個(gè)VRF都具有ImportRT和ExportRT屬性。運營(yíng)商通過(guò)合理配置ImportRT和ExportRT，可以構建不同類(lèi)型的拓撲VPN，如重疊VPN和Hub-and-spokeVPN。

整個(gè)MPLSVPN系統結構可分為控制面和數據面?？刂泼娑x了LSP的建立和VPN路由信息的分發(fā)過(guò)程，而數據面定義了VPN數據的轉發(fā)過(guò)程。在控制層面，P路由器不參與VPN路由信息的交互?？蛻?hù)路由器通過(guò)CE和PE路由器之間的路由協(xié)議交互知道VPN的網(wǎng)絡(luò )拓撲信息。除了路由協(xié)議外，LDP還在控制層面工作。它在整個(gè)MPLS網(wǎng)絡(luò )中分發(fā)標簽，形成數據轉發(fā)的邏輯通道LSP。在數據轉發(fā)層面，MPLSVPN網(wǎng)絡(luò )中傳輸的VPN業(yè)務(wù)數據采用外標簽（又稱(chēng)隧道標簽）和內標簽（也稱(chēng)VPN標簽）兩層標簽棧結構。當VPN業(yè)務(wù)組由CE路由器發(fā)送到入口PE路由器時(shí)，PE路由器從VRF表中找到相應的VRF表，并從VPN標簽（也稱(chēng)為VPN標簽）獲得VPN標簽。VPN分組被貼上兩層標簽后，通過(guò)PE輸出接口轉發(fā)，然后在MPLS骨干網(wǎng)絡(luò )中逐步沿LSP轉發(fā)。在出口PE之前的最后一個(gè)P路由器上，彈出了外部標簽。P路由器將只包含VPN標簽的分組轉發(fā)給出口PE路由器。出口PE路由器根據內部標簽找到相應的輸出接口。彈出VPN標簽后，VPN分組發(fā)送給正確的CE路由器，實(shí)現整個(gè)數據轉發(fā)過(guò)程。

2.骨干遷移的三個(gè)關(guān)鍵問(wèn)題。

由于DCN網(wǎng)絡(luò )建設時(shí)間長(cháng)，網(wǎng)絡(luò )結構復雜，如何從所有使用IP環(huán)境的DCN轉變?yōu)樗惺褂肕PLSVPN環(huán)境的DCN已成為網(wǎng)絡(luò )升級的重點(diǎn)。在網(wǎng)絡(luò )轉型過(guò)程中，網(wǎng)絡(luò )的平穩運行對市場(chǎng)和業(yè)務(wù)系統都至關(guān)重要。由于MPLSVPN技術(shù)是全省DCN網(wǎng)絡(luò )傳輸技術(shù)的徹底變化，如何在改變網(wǎng)絡(luò )協(xié)議結構的同時(shí)，使網(wǎng)絡(luò )仍然健康運行已成為實(shí)現MPLSVPN轉型的首要問(wèn)題。

過(guò)渡期最重要的三個(gè)問(wèn)題是：

1)在IP環(huán)境下，各個(gè)領(lǐng)域之間的路由交換問(wèn)題。實(shí)現方法是將DCN的各個(gè)IP網(wǎng)絡(luò )單元逐一改造為MPLSVPN網(wǎng)絡(luò )單元，然后與省公司逐一建立MPBGP鄰居，實(shí)現全網(wǎng)MPLSVPN。

2)實(shí)現受控互訪(fǎng)，即市公司在同一VPN區域內不可見(jiàn)；市公司可以訪(fǎng)問(wèn)同一VPN區域的省公司；市公司訪(fǎng)問(wèn)不同VPN區域的省公司業(yè)務(wù)。方案設計采用HUB-SPOKE和PE和CE控制。

3)VPN劃分和IP地址分類(lèi)。在DCN網(wǎng)絡(luò )建設的早期階段，不考慮每個(gè)應用程序系統的MPLSVPN劃分。因此，大多數系統混合在一起，或連接到同一設備，或只是在同一網(wǎng)絡(luò )段。同時(shí)，生產(chǎn)管理地址段也存在混合問(wèn)題。具體系統混合問(wèn)題可分為三類(lèi)：地址混合、設備支持能力不足和第二地址問(wèn)題。