MPLS技术及MPLS的应用.ppt

MPLS技术及MPLS的应用,MPLS技术的引入(问题分析),IP网络可以承载大量的业务类型,成为当前最为重要的数据网络但是IP路由数量的增加,已造成数据转发上的瓶颈(如图所述,路由查找消耗时间长)目前全球IP路由的数量169602 network entries,全球路由表(SHOW结果),rtr1-a-1-shsh ip bgp sumBGP router identifier 202.96.196.32,local AS number 4812BGP table version is 47073188,main routing table version 47073188169602 network entries using 19334628 bytes of memory2127875 path entries using 102138000 bytes of memory155921/31161 BGP path/bestpath attribute entries using 16839468 bytes of memory27963 BGP AS-PATH entries using 760720 bytes of memory116 BGP community entries using 2848 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBGP using 139075664 total bytes of memoryDampening enabled.165 history paths,303 dampened paths651088 received paths for inbound soft reconfigurationBGP activity 482038/312436 prefixes,94055574/91927699 paths,scan interval 60 secs,使用MPLS的标签交换代替路由查询,类型FR的操作:DLCI交换,配置静态对INTREFACE S0收到的DLCI=100的FRAME转发到INTERFACE S1,DLCI替换为200LABLE交换的操作在上游PE上根据IP地址分配LABLE;网络内P设备上使用LABLE交换(类似FR);再下游PE上删除LABLE,恢复路由交换进入MPLS网,MPLS的架构,控制层LDP/TDP、MP-BGP/MP-RIP;控制层负责网络设备间的标签分发、管理数据层数据转发引擎；使用控制层产生的标签转发表，完成对信息的转发（IP包）LABLE标签的位置（L2 HEAD和L3 HEAD之间L2.5）标签长度32-bits，可以堆叠（一般为3级，最高支持8级）3级（LDP-VPN-QOS）,LABLE标签,标签安装到L2和L3中间，可以同时安装多个标签,单个标签的式样，32bits.EXP-QOS分类；S-堆栈底标识，用于多个LABLE同时使用的情况，0为堆栈底；TTL-MPLS网内的TIME-TO-LIVE,使用S来实现多组标签的共用,实现MPLS VPN的应用，至少要同时使用两组标签。一组是用来,MPLS标签的产生及分发,MPLS 与ATM,MPLS技术，是在ATM的研究和实践基础上产生的，在功能上存在一定的可比性相同：两者都实现数据的快速转发；使用的方法都是利用简单的标签（MPLS LABLE-32bits和ATM CELL-head-5Bytes）实现快速寻址不同：MPLS可以自动实现标签分发（LDP）；ATM一般使用手工配置标签（PVC配置）不同：ATM使用固定长度的PAY-LOAD进一步加速设备内的转发速度；MPLS的PAY-LOAD是IP包，长度不定,ATM通过手工建立传输通路（ATM VC），然后用户间才能传输信息；通讯点间的关系固定,MPLS则通过协议动态建立传输通路；通讯点间的关系是随机的,注：ATM中，使用SVC（AESA E.164地址）技术可以实现动态VC的建立，但在网际互联上存在厂商兼容性的问题。因此国内现状往往是同一厂商设备网络内可以实现动态VC，但网络间则使用手工配置的PVC连接。上海本地的情况：本地接入NORTEL产品，长途骨干LUCENT和NORTEL产品。国际海光缆中心的同事？与国外运营商ATM互联时的情况是否也是如此？这样的现实，造成了ATM业务，单一PVC模式,MPLS 标签分发的基本规律（LDP为例）,A,B,C,E0,S1,E0,E1,E1,S0,目标地址在左侧（），用户源在右侧信令建立的方向和实际IP流的方向恰好相反C路由器按照路由表信息建立LABLE转发表，取代路由表的工作。在E0上为目标分配LABLE25，在LABLE转发表中增加一项（端口E0-LABLE-25入，端口S1-LABLE-POP出）LABLE表项说明：E0接口进入，目标到的IP包，将带有LABLE（25）进入本机，输出本机S1端口，LABLE出栈（POP），恢复正常的L3路由 C路由器从E0通知B路由器，将所有目标到的IP包插入 LABLE（25）。,B路由器从E1端口记录C发送到的要求，记录E1上LABLE（25）；B路由器为E0上为目标分配LABLE（23）；在LABLE转发表中增加一项（端口E0-LABLE-23入，端口E1-LABLE-25出）LABLE表项说明：E0接口进入，目标到的IP包，将带有LABLE（23）进入本机，输出本机E1端口，LABLE修改为（25），恢复正常的L3路由B路由器从E0通知A路由器，将所有目标到的IP包插入 LABLE（23）,A路由器从E1端口记录C发送到的要求，记录E1上LABLE（23）；B路由器S0在MPLS DOMAIN外，因此S0上的操作是提示开始使用标签转发；在LABLE转发表中增加一项（端口S0-LABLE-START入，端口E1-LABLE-23出）LABLE表项说明：S0接口进入，目标到的IP包，增加LABLE，输出本机E1端口，LABLE修改为（23）B路由器从E0通知A路由器，将所有目标到的IP包插入 LABLE（23）,（1）由MPLS信令建立LABLE转发表（下游到上游）（2）由LABLE转发表进行信息转发（上游到下游）,总结：MPLS通过L3的路由表，借助MPLS控制层的功能，建立LABLE转发表。因此说，LABLE转发表来自路由表，优于路由表。LABLE的实际流量方向与建立方向相反LABLE只在本机有效，送出本机的同时需要修改（类型ATM VPI/VCI的操作）,注意：何时触发LABLE表的建立过程主动分配（设备为每个DEST目标建立LABLE；图中A、B、C在发现网段后，各自独立发起）目标发起（目标网段在发现被访问的时候，本机开始建立LABLE，从而触发整个过程；图中C发起）源发起（当某个网段中的用户需要访问DEST目标时间，源设备发出申请，申请传送到目标网段后，触发；图中，先由A发出申请给B，B传送申请给C，C核实申请后，由C开始发起建立过程）在全程中所有设备没有都建立LABLE表情况下，信息通讯是否顺利？没有建立LABLE表的设备上，依照IP ROUTING转发信息,MPLS的实际应用LDP是最符合MPLS提出初衷的模组，但LDP不产生新的业务类型，它只是提高现有业务的转发效率由MPLS引申出的新业务类型：MPLS VPN,MPLS VPN业务（L3）,VPN业务简介,加密方式的VPNIP-SEC现有业务：NTT的IP-VPN支持拨号方式认证的VPNL2TP/PPTP现有业务：VPDNMPLS类型的VPNMPLS VPN现有业务：MPLS VPN注意：一般的企业集成、ICP服务商都能提供IP-SEC或L2TP的VPN业务；只有运营商才能实施MPLS VPN。因为，MPLS VPN业务是建立在运营商原有网络MPLS化改造的基础上的。目前国内MPLS VPN服务提供者：CT、CNC、UNI-NET,MPLS技术在实现VPN业务上需要克服的难点,用户信息与公网信息的分离（安全性）IP-SEC使用DES或3DES加密算法，使用MD5+DH的认证L2TP无加密（所以被认为是不安全的）用户私网地址与公网地址的分离（可路由性）IP-SEC支持隧道模式，可以将用户私网地址放置在公网IP包的PAY-LOAD里面，因此是可路由的L2TP直接提供L2数据链路层的穿透，不影响在L2基础上提供的L3路由,VPN的安全性,VPN的可路由性,MPLS VPN使用两组LABLE,实现VPN的两大功能RD用于实现VPN的安全性(route-distinguisher)RT用于控制VPN的可路由性(route-target)注意:RD和RT正确地说,并不是正式意义上MPLS的标签,而是产生标签的配置参数.但本课程中将不分析参数到标签的产生过程.,由RD产生的VRF,用户接入VPN网络,主要还是应用市内的DDN、ATM专线或光纤、PCM-2M资源，在接入点不存在信息混杂普通INTERNET网络设备上无法区分哪些是用户-1的信息，哪些又是用户-2的信息，因此需要进行改造,如果把一个物理的路由器，划分两个相互隔离的逻辑设备，分配给不同的用户，就能实现用户信息的分离RD是一个48bits的LABLE，用来划分设备上一个虚拟的路由器；RD一般的格式是ASN(16bits):NN(32bits用户号）RD的LABLE分发，使用LDP协议,路由器的基本功能有两个：路由运算(routing)和IP包转发(forwarding)；RD的配置需要完成上述两个功能，才能构造一台虚拟路由器设备不同的RD产生不同的路由表，各自独立运算一个VPN用户的IP路由，这个路由表称为VRF（virtual routing&forwarding)表配置范例：ip vrf tongyong-qiche(通用汽车)rd 65060:1001需要为该VRF分配物理端口，这些端口用来连接VPN用户。配置范例：Interface s0/1/0:0ip forwarding vrf tongyong-qiche(通用汽车)只要是路由器可以支持的接口，都可以加入到VRF中：DDN、ATM/FR、ETHERNET、POS，甚至是IP-SEC和L2TP的逻辑接口也可以加入到VRF中（上海本地的VPDN接入的MPLS VPN业务，满足移动终端或SOHO的用户）,使用RT控制用户间的正常路由,RT是一个双向的LABLE，EXPORT是输出方向；IMPORT是输入方向。以上海通用为例：在上海侧，将所有输出到全国各地（及国际）的信息，标注RT为65060：100；对输入上海的信息，如果RT为65060：100则接收，如果不是，则拒绝注意：RT的IMPORT和EXPORT可以是不一样的；RT的IMPORT和EXPORT都可以配置一组以上；RT的标识模式和RD完全相同，但这两者是完全不同概念的两组标签，取值可以不同（习惯上我们的确分配一样的数值，便于识别）RT在设备间的传递不是使用LDP协议，而使用专用的MP-BGP协议,VRF范例,指令show ip vrf显示该虚拟路由器的名称、RD、分配到的端口 toshiba-dm 9592:3589 Serial2/0/5:0 Serial9/0/1:0motorola 4809:1021 Serial2/0/3:0 Serial5/1/7:0 Serial9/0/4:0 Serial9/1/0/13:0指令sh ip bgp vpnv4 vrf toshiba-dm可以看到“toshiba-dm”虚拟路由器上的路由转发表Network Next Hop Metric LocPrf Weight PathRoute Distinguisher:9592:3589(default for vrf toshiba-dm),由RD和RT构成的MPLS VPN，完全不同于传统专线，也不同于其他类型的VPN,以上案例说明用户上海总部，北京和广州各有50个分部点RD取值三地一致为65060：100；上海输入北京和广州的RT，输出上海的RT；北京输入上海、广州的RT，输出北京的RT；广州？,MPLS VPN是一种以“点”为基本单位的专线业务模式；而不是象传统类型以“线”为基本单位对维护工作的影响专线名称的制订（比对“线模式“典型ATM长途专线名称”上海-广州ATM100），目前对VPN线路名称暂无决定。建议名称需要能确定VPN点的物理位置、各点的统一标识.，如：VPN001-上海1001（国内001号VPN用户-上海1001号接入点）线路的故障处理。不需要端到端的判定，只需要判定核心MPLS网络运行正常、用户单个VPN点的接入情况两个项目。目前，MPLS的故障主要发生在接入层面上，维护工作分段明显,用户开通和关闭。一旦RD和RT的参数协调一致后，任何新的VPN接入点加入，只需要调整用户侧的IP路由即可，运营商只负责对新接入点的配置，其他点不需要修改参数。如广州增加101号接入点，上海点完全不关心全国范围的通用装备库。MPLS VPN环境下，用户是以点接入网络的，因此以上海为例，上海无法知道全国各地其他VPN接入点的情况，在处理诸如“上海总部到广州89号接入点的通讯中断”故障时，往往根本无法找到广州89号接入点的任何信息。,MPLS VPN业务的网间互联,上一章节的内容，主要是说明了VPN用户如何接入MPLS VPN网络的方法本章节开始，我们将从用户层面转换到MPLS VPN核心网络的管理维护上上一章节中，我们提到了RD使用LDP完成标签的分发工作，RT使用MP-BGP完成标签的分发工作，MP-BGP是MPLS VPN业务的核心技术。关于MP-BGP的详细内容，不在本课程内叙述，只将其看做一个工具,BGP支持MPLS VPN的MP改造,需要使用RD，将原来的一个大BGP路由表划分不同的子BGP路由表，以安放到不同的VRF中需要能够在（上海的）子BGP路由表中附加RT，并远程传递到（广州）供对方选择；反向也是如此,MPLS VPN网络维护中的一些专用名称,P：运营商MPLS网络核心设备，没有用户接入，只负责快速高速的MPLS转发PE：运营商MPLS网络边缘设备，用于用户接入，RD/RT配置的地方CE：用户网络与运营商网络互联的设备，只运行传统的IP V4路由SITE：用户的一个VPN接入点,以MPLS VPN专用名词说明VPN用户的通讯全过程,PE-CE段：VPN用户接入MPLS VPN网络的部分，使用传统的IP v4路由协议（目前支持STATIC、RIPv2、BGP），按照IP路由表进行转发PE-PE段：使用MP-BGP路由协议交换，按照MPLS进行标签转发P设备完全使用MPLS进行标签转发,目前，上海已开通MPLS VPN业务的用户，半数以上需要国际业务全国各地纷纷组建本地的MPLS网络，长途通信则利用CT的MPLS核心（目前为169多媒体业务网，CN2网络同样支持MPLS）MPLS VPN业务的网际互联，是除用户接入外，长途较为关心的另一个内容,MPLS VPN网间互联方式,OPTION-1,OPTION-1是最为简单的一种网际互联方式，但必须依靠路由器设备的“子端口”技术实现。包括ATM、ETHERNET（802.1Q）、FR都支持“子端口”；PPP、HDLC等都不支持“子端口”优点：OPTION-1利用ATM、FR的QOS支持，可以提供较好的国际资源控制缺点：OPTION-1在ASBR-PE上需要完全将MPLS RD和RT的两组LABLE都解除，恢复IP V4的路由，因此开销较大；同时，大量用户配置，也增加了ASBR-PE的维护量（每个VPN用户一组VRF配置）,OPTION-2,OPTION-2的连接建立,需要两个运营商间建立信令级别的连接,相互可信要求较高优点:OPTION-2互联后,两个运营商间直接交换RT的MPLS标签参数,大大简化了ASBR-PE上的配置(只需要MP-BGP配置,不需要每个用户分别配置)缺点:OPTION-2在ASBR-PE上需要将MPLS RD产生的MPLS标签删除,对设备还是有一定负载;此外,中继线路上各用户是竞争资源的,需要附加的IP QOS配置,OPTION-1和OPTION-2的模式是目前最常见的两种互联模式,它们同样适用于CT内各MPLS VPN网络与骨干网络的互联上以上海为例OPTION-3?(辅助学习),