城域網(wǎng)與MPLS技術(shù)

城域網(wǎng)與MPLS技術(shù)練永彬為什么需要MPLSMPLS原理BGPMPLSVPN城域網(wǎng)與MPLS技術(shù)

MPLS的現(xiàn)實意義MPLS的優(yōu)勢城域網(wǎng)MPLS的拓撲結(jié)構(gòu)業(yè)務(wù)流量示意圖為什么需要MPLS

業(yè)務(wù)眾多如：寬帶、互動、大客戶VPN、分前端監(jiān)控和設(shè)備網(wǎng)管業(yè)務(wù)等等不像其他運營商按業(yè)務(wù)分平面支撐（如：電信的chinanet承載寬帶，CN2承載語音、大客戶VPN等），資源有限一張城域網(wǎng)跑多業(yè)務(wù)的安全性問題，特別是互動電視，應(yīng)考慮安全播出的問題有價值大客戶VPN增值業(yè)務(wù)的實現(xiàn)互動業(yè)務(wù)對Qos的高要求MPLS的現(xiàn)實意義MPLS的優(yōu)勢既具有ATM的快速交換，又有IP路由的靈活，而且多協(xié)議支持可擴展性，實現(xiàn)一次路由多次交換。天然的VPN隧道，實現(xiàn)VPN的動態(tài)建立，維護量小，傳輸安全性高多業(yè)務(wù)，每個業(yè)務(wù)對應(yīng)的VPN實例互相獨立具有獨立的路由表項、路由協(xié)議等。

城域網(wǎng)MPLS網(wǎng)絡(luò)拓撲每個業(yè)務(wù)對應(yīng)相應(yīng)的VPN實例互相獨立，具有獨立的路由表項、路由協(xié)議等，從而實現(xiàn)業(yè)務(wù)之間的安全隔離。運行了MPLS的設(shè)備可看成是一個云整體。綁定VPN實例的端口為流量的出入口，只要是同一VPN實例就可以實現(xiàn)相互通信。業(yè)務(wù)流量示意圖MPLS網(wǎng)絡(luò)構(gòu)造MPLS標簽LDP協(xié)議標簽的分配與管理MPLS轉(zhuǎn)發(fā)的實現(xiàn)MPLS原理MPLS（MultiprotocolLabelSwitching，多協(xié)議標簽交換），是一個介于二層與三層之間的協(xié)議?！耙淮温酚?，多次轉(zhuǎn)發(fā)”MPLS用一個短而定長的標簽來封裝網(wǎng)絡(luò)層分組，交換機或路由器根據(jù)標簽值轉(zhuǎn)發(fā)報文MPLS多協(xié)議是指：MPLS可以承載在各種鏈路層協(xié)議上，如PPP、ATM、幀中繼、以太網(wǎng)等MPLS的定義LSR（LabelSwitchingRouter）：LSR是MPLS的網(wǎng)絡(luò)的核心交換機或者路由器，它處于MPLS網(wǎng)絡(luò)的內(nèi)部。LSR提供標簽交換和標簽分發(fā)功能。LER（LabelSwitchingEdgeRouter）：在MPLS的網(wǎng)絡(luò)邊緣，報文由LER進入或離開MPLS網(wǎng)絡(luò)。它提供標簽的映射、標簽的移除和標簽的分發(fā)功能。FEC（ForwardingEquivalenceClass，轉(zhuǎn)發(fā)等價類）：FEC是在轉(zhuǎn)發(fā)過程中以等價的方式處理的一組數(shù)據(jù)分組，可以通過地址、隧道、COS等來標識創(chuàng)建FECLSP（LabelSwitchingPath，標簽交換通道）：一個FEC的數(shù)據(jù)流，在不同的節(jié)點被賦予確定的標簽，數(shù)據(jù)轉(zhuǎn)發(fā)按照這些標簽進行。數(shù)據(jù)流所走的路徑就是LSPMPLS網(wǎng)絡(luò)構(gòu)造MPLS網(wǎng)絡(luò)構(gòu)造MPLS標簽LDP協(xié)議標簽的分配與管理MPLS轉(zhuǎn)發(fā)的實現(xiàn)MPLS原理LABEL：標簽值，長度為20bit，是標簽轉(zhuǎn)發(fā)索引。EXP=classofservice，長度為3bit，用于Qos。S：棧底標識符，長度為1bit，如有多個label（多層標簽嵌套）時，棧底（最后一個標簽）的S位為“1”，否則為“0”，只有一個label時S位亦為“1”。TTL：存活時間，每進行一次label交換，外層label的值就減“1”，與IP報文TTL值相似，用于防止環(huán)路。MPLS標簽結(jié)構(gòu)MPLS協(xié)議通過在報文的鏈路層幀頭中進行識別，比如在以太網(wǎng)中，指示上層協(xié)議的類型字段使用0x8847來表示MPLS報文（00800是ip報文）MPLS標簽的識別MPLS網(wǎng)絡(luò)構(gòu)造MPLS標簽LDP協(xié)議標簽的分配與管理MPLS轉(zhuǎn)發(fā)的實現(xiàn)MPLS原理標簽分配協(xié)議，用于在LSR之間分配標簽，建立LSP（eg：LDP、MP-BGP、BGP4+等等）。LDP（LabelDistributionProtocol）標簽分配協(xié)議，因為它實現(xiàn)簡單可靠，逐漸成為MPLS網(wǎng)絡(luò)中應(yīng)用最為廣泛的標簽分配協(xié)議之一。標簽分配協(xié)議LDP是一個動態(tài)的生成標簽的協(xié)議,與動態(tài)路由協(xié)議（如OSPF）十分相像，都具備如下的幾大要素：報文（或者叫消息）鄰居的自動發(fā)現(xiàn)和維護機制一套算法，用來根據(jù)搜集到的信息計算最終結(jié)果。前者計算的結(jié)果是標簽，后者是路由主要功能：發(fā)布Label－FEC映射建立與維護標簽交換路徑LDP的基本概念在LDP協(xié)議中，存在4種類型的LDP消息：發(fā)現(xiàn)消息（Discoverymessages）用于LDP鄰居的發(fā)現(xiàn)和維持。會話消息（Sessionmessages）用于LDP鄰居會話的建立、維持和中止。通告消息（Advertisementmessages）用于LDP實體向LDP鄰居宣告Label、地址等信息。通知消息（Notificationmessages）用于向LDP鄰居通知事件或者錯誤。LDP消息類型

鄰居發(fā)現(xiàn)：通過互發(fā)Hello消息(UDP/port:646/IP:） 建立TCP連接：由地址大的一方主動發(fā)起。(TCP/port:646)

會話初始化：由Master發(fā)出初始化消息，并攜帶協(xié)商參數(shù)。由slave檢查參數(shù)能否接受，如果能則發(fā)送初始化消息，并攜帶協(xié)商參數(shù)。并隨后發(fā)送Keepalive消息。

master檢查參數(shù)能否接受，如果能則發(fā)送Keepalive消息。相互 收到Keepalive消息，會話建立。期間收到任何差錯消息，均關(guān)閉會話，斷開TCP連接

RouterA鄰居發(fā)現(xiàn)建立TCP

鏈接建立會話會話維護

RouterB鄰居發(fā)現(xiàn)建立TCP鏈接建立會話會話維護LDP會話的建立與維護MPLS網(wǎng)絡(luò)構(gòu)造MPLS標簽LDP協(xié)議標簽的分配與管理MPLS轉(zhuǎn)發(fā)的實現(xiàn)MPLS原理標簽分配模式DoD：downstream-on-demand下游按需標記分配DU：downstreamunsolicited下游自主標記分配上游與下游：在一條LSP上，沿數(shù)據(jù)包傳送的方向，相鄰的LSR分別叫上游LSR（upstreamLSR）和下游LSR（downstreamLSR）。下游是路由的始發(fā)者。標簽控制模式有序方式（Ordered）獨立方式（Independent）標簽保持方式保守模式（Conservative）自由模式（Liberal）標簽分配和管理下游LSR在LDP會話建立成功，主動向其上游LSR發(fā)布標簽映射消息上游路由器保存標簽，存放到標簽映射表中標簽是設(shè)備隨機自動生成的，16以下為系統(tǒng)保留標簽分發(fā)模式：DU到/24可以使用標簽20到/24可以使用標簽18上游/24下游/24路由觸發(fā)下游LSR1LSR2LSR3上游LSR向下游LSR發(fā)送標簽請求消息（包含F(xiàn)EC的描述信息）下游LSR為此FEC分配標簽，并將綁定的標簽通過標簽映射消息反饋給上游LSR標簽分發(fā)模式：DOD分配到/24的標簽為20分配到/24的標簽為18上游/24下游/24路由觸發(fā)LSR1LSR2LSR3請求到目的地址/24請求到目的地址/24只有收到它的下游返回的標簽映射消息后才向其上游發(fā)送標簽映射消息上游下游LSR1LSR2LSR3標簽控制模式：有序標簽請求標簽請求標簽映射標簽映射不管有沒有收到它的下游返回的標簽映射消息都立即向其上游發(fā)送標簽映射消息標簽控制模式：獨立上游下游LSR1LSR2LSR3標簽映射標簽映射保守方式（Conservativeretentionmode）只保留來自下一跳鄰居的標簽，丟棄所有非下一跳鄰居發(fā)來的標簽。優(yōu)點：節(jié)省內(nèi)存和標簽空間。缺點：當IP路由收斂、下一跳改變時LSP收斂慢標簽保持方式——保守不是到/24的下一跳鄰居發(fā)來的標簽，丟棄/24LSR1LSR2LSR3LSR4LSR5MappingLabel17MappingLabel16MappingLabel20MappingLabel30自由方式（Liberalretentionmode）保留來自鄰居的所有發(fā)送來的標簽優(yōu)點：當IP路由收斂、下一跳改變時減少了lsp收斂時間缺點：需要更多的內(nèi)存和標簽空間。不是到/24的下一跳鄰居發(fā)來的標簽，保留/24LSR1LSR2LSR3LSR4LSR5MappingLabel17MappingLabel16MappingLabel20MappingLabel30標簽保持方式——自由標簽轉(zhuǎn)發(fā)表中的IN和OUT，是相對于標簽轉(zhuǎn)發(fā)而言，不是相對于標簽分配的IN和OUT：入標簽是我分給別人的，出標簽是別人分給我的我分配的標簽是給別人用的標簽轉(zhuǎn)發(fā)表INinterfaceINlabelPrefix/MASKOUTinterface(nexthop)OUTlabelSerial050/24Eth0（）80Serial151/24Eth0（）80Serial162/24Eth0（）52Serial152/24Eth1（）52Serial277/24Serial3（)3（pop）MPLS網(wǎng)絡(luò)構(gòu)造MPLS標簽LDP協(xié)議標簽的分配與管理MPLS轉(zhuǎn)發(fā)的實現(xiàn)MPLS原理destinationNext-hopEth0/1標簽分配過程

用戶A

用戶ALSR3LSR2LSR1Eth0/1Eth0/2Eth0/0destinationNext-hopEth0/2destinationNext-hopEth0/0INoutNext-hopnull36Eth0/1Lable=36IppacketD=S=INoutNext-hop363Eth0/2INoutNext-hop3nullEth0/0Lable=3IppacketD=S=LabelmappingLabelmappingIppacketD=S=標簽轉(zhuǎn)發(fā)表LDPsession建立完成后，路由器根據(jù)路由表進行標簽分配，形成MPLS標簽轉(zhuǎn)發(fā)表。（相同目的的都是FEC）標簽轉(zhuǎn)發(fā)表主要包含入標簽（IN）、出標簽（OUT）和出接口，路由器可以根據(jù)標簽轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)MPLS報文。標簽是設(shè)備隨機自動生成的，16以下為系統(tǒng)保留。IppacketD=S=插入標簽：報文進入MPLS網(wǎng)絡(luò)，在LER設(shè)備上發(fā)現(xiàn)到達報文的目的IP地址有與其關(guān)聯(lián)的標簽轉(zhuǎn)發(fā)表項，LER設(shè)備進行壓標簽（PUSH）操作。交換標簽：報文在MPLS網(wǎng)絡(luò)中間進行轉(zhuǎn)發(fā)時，在LSR設(shè)備上進行標簽交換（SWAP），設(shè)備只需查詢標簽轉(zhuǎn)發(fā)表即可完成報文轉(zhuǎn)發(fā)。移除標簽：報文在轉(zhuǎn)出MPLS網(wǎng)絡(luò)時，LER3設(shè)備發(fā)現(xiàn)自己為該LSP的最下游設(shè)備，LER設(shè)備完成彈出標簽（POP）操作。倒數(shù)第二跳彈出

在最后一跳，最外層的標簽已經(jīng)沒有意義，因此可以在倒數(shù)第二跳將標簽彈出，減少最后一跳的負擔。如果只有一層標簽，則最后一跳直接進行IP轉(zhuǎn)發(fā)；否則，對內(nèi)層標簽做標簽轉(zhuǎn)發(fā)MPLS轉(zhuǎn)發(fā)的實現(xiàn)BGP協(xié)議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現(xiàn)BGPMPLSVPN網(wǎng)絡(luò)中VPN路由數(shù)目可能非常大，BGP是唯一支持大量路由的路由協(xié)議；BGP是基于TCP來建立連接，可以在不直接相連的路由器間交換信息，這使得P路由器中無須包含VPN路由信息；BGP可以運載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)它們，這使在PE路由器間傳播路由非常簡單。BGP協(xié)議的特點BGP協(xié)議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現(xiàn)BGPMPLSVPNCE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負責VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。VPN組網(wǎng)結(jié)構(gòu)VPNinstanceRoutingtabledestinationNext-hop/24Eth0/0/24Eth0/1PE1CE2CE1Eth0/0Eth0/1每一個VPN實例可以看作虛擬的路由器，好像是一臺專用的PE設(shè)備。該虛擬路由器包括如下元素：一張獨立的路由表，當然也包括了獨立的地址空間。一組歸屬于這個VPN實例的接口的集合。一組只用于本VPN實例的路由協(xié)議。對于每個PE，可以維護一個或多個VPN實例，同時維護一個公網(wǎng)的路由表（也叫全局路由表），多個VPN實例相互分離獨立。Vpn1RoutingtabledestinationNext-hop/24Eth0/0Vpn2RoutingtabledestinationNext-hop/24Eth0/0BGP協(xié)議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現(xiàn)BGPMPLSVPN普通BGP僅僅支持IPv4，MP-BGP是為了讓BGP可以用于傳輸更多協(xié)議（IPv6,IPX,...）的路由信息而進行的擴展。為了保持兼容性，MP-BGP僅僅添加了兩個BGP屬性：MP_REACH_NLRI（MP_UNREACH_NLRI）和擴展團體屬性。MP_REACH_NLRI（MP_UNREACH_NLRI）可以用在BGPUpdate消息中用于通告或廢止網(wǎng)絡(luò)可達性信息。私網(wǎng)Label映射消息攜帶在MP_REACH_NLRI屬性中，前20位是標簽，后4位的前3位是EXP域，最后一位用于指示是否是棧底。MP-BGP協(xié)議一個擴展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私網(wǎng)Label和RDBGP發(fā)布路由時攜帶的信息MP_REACH_NLRI：address－family：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopback地址。NLRI:私網(wǎng)label：24個bit，與MPLS標簽一樣。prefix：RD:64bit＋ip前綴跟隨之后的是擴展團體屬性RT的列表Extended_Communities（RT1）Extended_Communities（RT2）對于使用了擴展屬性MP_REACH_NLRI和擴展團體屬性RT的BGP，我們稱之為MP-BGP協(xié)議BGP的擴展community屬性：RT（RouteTarget）擴展的community有如下兩種格式：其中type字段為0x0002或者0x0102時表示RT。RouteTargetTYPE(2字節(jié)）AdministratorFieldAssignedNumberField0x00022字節(jié)AS號4字節(jié)分配編號0x01024字節(jié)IP地址2字節(jié)分配編號RT的本質(zhì)是每個VPN實例表達自己的路由取舍及喜好的方式?？梢苑譃閮刹糠郑篍xportTarget與importTarget在一個VPN實例中，在發(fā)布路由時使用RT的export規(guī)則。直接發(fā)送給其他的PE設(shè)備在接收端的PE上，接收所有的路由，并根據(jù)每個VPN實例配置的RT的import規(guī)則進行檢查，如果與路由中的RT屬性match，則將該路由加入到相應(yīng)的VPN實例中。RouteTarget本質(zhì)由于每個RTExportTarget與importTarget都可以配置多個value，接收時是“或”操作，所以就可以實現(xiàn)非常靈活的VPN訪問控制。RouteTarget的靈活運用RD（RouteDistinguisher）路由區(qū)分，在BGPMPLSVPN的網(wǎng)絡(luò)中，私網(wǎng)路由的路由前綴的形式不再是普通的IPv4地址，而是RD+IPv4地址，這樣可以在路由前綴中直接標識該路由的VPN信息。RD的格式16位自治系統(tǒng)號ASN:32位用戶自定義數(shù)，例如：100:12位IP地址:16位用戶自定義數(shù)，例如：:1RD（RouteDistinguisher）TYPE(2字節(jié)）AdministratorFieldAssignedNumberField0x00022字節(jié)AS號4字節(jié)分配編號0x01024字節(jié)IP地址2字節(jié)分配編號理論上可以為每個VPN實例配置一個RD。通常建議為每個VPN都配置相同的RD，不同的VPN配置不同的RD。但是實際上只要保證存在相同地址的兩個VPN實例的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果兩個VPN實例中存在相同的地址，則一定要配置不同的RD，而且兩個VPN實例一定不能互訪，間接互訪也不成。RD并不會影響不同VPN實例之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標準的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時需要為這條路由附加一個RD。RD的本質(zhì)在IPv4地址加上RD之后，就變成VPN-IPv4地址族了——VPNv4。而原來的標準的地址族就稱為IPv4。VPNv4地址族主要用于PE路由器之間傳遞VPN路由VPNv4地址只是存在于MP-BGP的路由信息和PE設(shè)備的私網(wǎng)路由表中，也就是只是出現(xiàn)在路由的發(fā)布學習過程中。在VPN數(shù)據(jù)流量穿越供應(yīng)商骨干時，包頭中沒有攜帶VPN-IPv4地址。

VPNv4與IPv4地址族RouteDistinguisher(8個字節(jié))IPv4地址VPNv4地址結(jié)構(gòu)：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過程的路由沖突都已解決。但如果一個PE的兩個本地VPN實例同時存在/24的路由，當他接收到一個目的地址為的報文時，他如何知道該把這個報文發(fā)給與哪個VPN實例相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報文中增加一個標識。由于MPLS支持多層標簽的嵌套，這個標識可以定義成MPLS標簽的格式，即私網(wǎng)Label。

私網(wǎng)LabelBGP協(xié)議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現(xiàn)BGPMPLSVPN

公網(wǎng)隧道的建立destinationNext-hop/32S0/1INoutNext-hopnull36S0/1啟動公網(wǎng)IGP路由協(xié)議，PE之間互相可達，如PE1學到PE2的loopback地址路由;公網(wǎng)啟動MPLS，PE之間建立可達的MPLS隧道路徑,如上圖PE1有到PE2的MPLS隧道。INoutNext-hop363S1/1INoutNext-hop3nullLP0destinationNext-hop/32S1/1destinationNext-hop/32LP0LOOPBACK0：/32PE上設(shè)立本地VPN,根據(jù)用戶業(yè)務(wù)互訪需求設(shè)置各VPN的RD,RT屬性;將與用戶項鏈的接口與對應(yīng)的用戶VPN進行綁定。本地VPN的建立VPN1RD：100:1RT：Import100:1Export100:1綁定接口：eth0/1Eth0/1Eth1/1VPN1RD：100:1RT：Import100:1Export100:1綁定接口：eth1/1LOOPBACK0：/32PE上設(shè)立本地VPN,將與用戶網(wǎng)絡(luò)相連的接口與VPN進行綁定,并根據(jù)用戶組網(wǎng)需求設(shè)置各VPN的RD、RT屬性。PE與CE之間運行路由協(xié)議多時例,將用戶本地的路由學習到PE對應(yīng)VPN的路由表