6-IP承载网技术.ppt

《6-IP承载网技术.ppt》由会员分享，可在线阅读，更多相关《6-IP承载网技术.ppt（77页珍藏版）》请在三一办公上搜索。

1、北京天和科瑞咨询有限公司北京邮电大学移动互联网与信息化实验室2011年5月,全业务运营下的现网和未来网络技术综述6-IP承载网介绍,目 录,2,二、IP承载网整体设计,三、IP承载网关键技术,一、IP承载网发展背景,四、MPLS VPN BGP技术,All IP架构对分组技术本身提出新的技术需求QoS/PolicyCarrier EthernetIPV6MulticastSecurityAll IP架构对网络的影响是端到端的IP-based客户环境（终端、家庭网关）IP-based业务网络IP-based接入网IP-based传送网,未来网络演进实质是ALL IP,未来网络的演进核心是ALL

2、IP，基于统一的IP/MPLS基础平台；ALL IP网络体系架构本质上是革命性，将逐步淘汰传统的网络架构，重新构架一个新的网络体系。,新业务QOS要求,以上指标引自ITU-T Y.1541，为ITU推荐值，两端距离在5千公里以内；,抖动指标：ITU-T推荐值为50ms，此推荐值是考虑到网络中的低速链路，根据中华人民共和国通信行业标准YD/T1071-2000的规定，VoIP语音所需要的抖动指标为20ms,新业务可靠性要求,端到端业务保持冗余备份路径，主用路径故障情况下流量能够切换到备份路径；主用路径节点、链路故障情况下，故障恢复过程时间满足业务要求：信令业务，如果故障恢复时间小于50MS内，是

3、能够保证对信令无影响，一般情况下可以容忍12秒左右；语音业务，语音业务是实时的，以用户感觉不到有中断来衡量。故障恢复小于50ms是肯定感觉不到的，一般情况下，如果中断达到1秒的话，用户是可以感觉到的，是有可能挂机的，是否挂机是取决于用户的忍耐程度；尽量缩短故障切换保护时间，提高用户满意度，主要考虑因素：故障点影响范围、故障保护技术复杂度和故障保护技术能够达到的效果；核心节点、链路能够实现50ms故障保护，整网的保护能力能够小于1s。,新业务安全要求,业务网络安全，包括NGN、IPTV、3G CS、3G PS业务系统和用户业务的安全：不同安全域业务安全隔离：物理网络隔离，或者单一的物理承载网实现

4、基于业务的逻辑网络，逻辑网络之间以及逻辑网络到基础网络任何情况下没有泄漏；安全域内部网络安全可控，承载网提供安全防范手段保护逻辑网络内部关键系统安全，防止业务盗用；IP基础网络安全，IP承载网基础网络（设备）能够有效防范各种非法攻击和病毒冲击，保证网络持续稳定运行，性能没有劣化。,网络带宽网络缺乏多种业务流量分析和模型规划；可靠性：网络设计缺少传统电信业务运营经验，存在可靠性隐患；故障导致网络重新恢复时间长，秒级以上；服务质量保证无CAC控制，容易出现带宽过载导致大量用户质量下降；IP网络瞬态QoS特性差，具有突发和不可预知的特点，瞬间时延超过1秒；多业务承载情况下业务感知能力，基于业务提供所

5、需QoS。安全传统IP网络不安全。目前Internet病毒泛滥、黑客成灾、业务盗用严重；可运营、可管理针对新一代的IP承载网，承载业务种类更多，规模更大，并启动QoS、MPLS VPN等技术，传统IP网络没有相应的管理手段，不利于网络规划、运营和维护。,传统IP网络差距,IP网络的演进IP承载网,Internet,Telecom Network,WWW,Email,FTP,PSTN/ATM/DDN,C5,C5,C4,C4,IP承载网,SoftX,SG,IP承载网是建立在IP网络技术基础上，提供能够满足电信运营需求的通信网络或解决方案，解决现有IP网络的QoS、安全、管理等问题；,IP承载网IP

6、网络技术+电信运营需求,中国移动IP网络发展架构,两个骨干网：CMnet和IP专网，CMNET主要用于承载传统公众类的互联网业务等；IP专用承载网主要用于承载包括软交换话音、3G、网管及BOSS自有业务等；一个综合IP城域网：同时提供综合业务和IP互联网业务接入，具有IP承载网和IP互联网特征，满足两类业务的接入要求。,中国移动IP专网,ASBR,NodeB,IMS核心网,移动IP城域网,ASBR,CMnet骨干网,PDF/RM,PDF/RM,IMS软终端,iSAP-U,UMTSHandset,U526,IMS终端,IMS软终端,iSAP-U,UMTSHandset,U526,IMS终端,Wi

7、MAX,LAN,边缘路由器,互联网业务平台,IMS业务平台,SIP,漫游,不提供高服务质量可靠性安全保证,基于业务来提供高服务质量可靠性安全保证,ASBR,用户数据库,上网业务,IMS业务,目 录,10,二、IP承载网整体设计,三、IP承载网关键技术,一、IP承载网发展背景,四、MPLS VPN BGP技术,IP专用承载网组网原则,网络组织原则方面，IP专用承载网包括省际部分和省内延伸两部分，并应采用单一自治域方式进行网络组织；网络层次结构方面，IP专用承载网从长远角度应定位于核心、汇聚和接入三个层面，构成IP专用承载网的路由器可以分为核心层路由器（CR）、汇聚层路由器（BR）和接入层路由器（

8、AR）三类。根据目前业务发展情况，现阶段原则上各省内网络延伸部分应视本省情况定位于核心/汇聚层和接入层（大区所在省）两个层面或汇聚/接入层和接入层（非大区所在省）两个层面。网络拓扑设计原则方面，应结合节点地域分布、光缆传输路由、被承载业务的业务量情况、业务相关性等因素，采用非对称的网络拓扑结构；协议采用方面，域内路由协议采用IS-IS；业务疏通组织原则方面，全网将统一采用BGP MPLS VPN方式进行业务疏通组织；IP地址规划方面，全网按照统一IP地址规划方案进行部署。,网络层次结构,中国移动IP专用承载网采用三层结构，包括核心层（CR）、汇接层（BR）和接入层（AR）三层。IP专用江苏省内

9、延伸网络主要采用汇接层（BR）、接入层（AR）两层结构，业务系统通过AR进行接入，通过BR进行汇聚后接入IP专网骨干。,移动IP专用承载网核心节点,在北京、上海、广州、沈阳、南京、武汉、成都和西安8个城市分别配置2台核心路由器NE5000E（CR），构成8对核心节点；核心节点CR之间采用对称的不完全网状连接方式；根据光缆路由的实际走向及彼此业务的相关性，任何1对同城市的核心节点CR路由器至少与2对其它城市核心节点的CR路由器相联；在每对核心节点CR1、CR2之间建立互联链路；,北京,沈阳,西安,南京,上海,武汉,成都,广州,移动IP专用承载网核心节点连接,BR/AR设备采用NE80/NE80E

10、，构成各省市的汇聚和接入节点方式一：继续保持目前接入节点到核心节点的连接方式，主要是有大区核心的BR/AR节点；方式二：对于部分存在流量迂回的节点采用跨大区连接方式；方式三：对于部分存在流量迂回且传输资源有限的节点。,方式一现网方案,方式二,方式三,移动IP专用承载网接入到汇聚节点,接入节点采用对称方式连接到汇聚节点；省内有多个汇聚节点时，接入节点可以参考BR到CR的连接方式。,BR,AR2,AR1,AR3,BR2,AR2,AR1,AR3,BR1,移动IP专用承载网整体网络结构,移动IP专用承载网路由总体设计,中国移动IP专网二期工程IGP继续采用IS-IS路由协议，采用平面路由设计，所有路由

11、器置于Level 2层中；启动ISIS的快速收敛，包括BFD for ISIS；域间路由协议采用BGP-4，在AS边界通过EBGP或静态路由(尽可能用EBGP)控制路由的发送、接收、汇总和属性修改（目前不涉及）；中国IP专网全网开通MPLS VPN业务，对于MP-BGP，采用1级路由反射器(RR)设计；路由器管理地址和链路地址的路由由IGP承载；域间路由和VPN内路由由BGP承载，如UMG、专线用户、3G设备地址等。,链路选择,带宽规划可以为网络链路、节点设计提供参考，是一个平均参考值，需要考虑流量的突发和IP网络的特点来设计，考虑未来3G PS业务的发展，渗透率和忙时会话次数将进一步增大，3

12、G话务模型将发生改变，相关参数需要调整，存在更大的带宽需求；按照IP承载网链路带宽使用要求，正常情况下带宽使用率不超过50，单故障情况下带宽利用率不超过75；按照业务的QoS要求，在单故障情况下需要考虑有同等量的带宽预留，以从分保证业务的服务质量；长途链路采用POS接口，超过4155M，建议采用2.5G POS，超过32.5G，建议采用10G POS接口。,业务组织,IP专网采用BGP MPLS VPN作为全网业务、应用的统一组织方式，主要划分的VPN包括信令、语音可视电话媒体、汇接网网管、3G PS/GPRS等；,目 录,20,二、IP承载网整体设计,三、IP承载网关键技术,一、IP承载网发

13、展背景,四、MPLS VPN BGP技术,路由策略-IGP,各省公司移动IP专网保持和中国移动IP专网在一个自治域系统，继续采用当前的AS号；IGP路由协议采用IS-IS，所有节点位于一个LEVEL-2，降低网络维护复杂度。,IGP:IS-IS LEVEL-2,AS:XXXXX,GZ-CR1NE5000E,WH-CR2NE5000E,省内网络,AR2/BR2,省际网络,AR1/BR1,NN-AR,HK-AR1,WH-AR,CS-AR1,GZ-AR,CS-AR1,AR1,AR2,AR,AR,AR,GZ-CR1NE5000E,WH-CR2NE5000E,省内网络,AR2/BR2,省际网络,AR1/

14、BR1,NN-AR,HK-AR1,WH-AR,CS-AR1,GZ-AR,CS-AR1,AR1,AR2,AR,AR,AR,WH-RR2,WH-RR1,WH-CR1NE5000E,AR与RR建立双MP-BGP连接,各省公司移动IP专网所有业务通过MPLS VPN承载，采用MP-BGP发布VPN IPv4私网路由；各省公司移动所有地市AR路由器与所在大区RR路由器建立双MP-BGP连接；每个大区设置一对RR路由器，分区覆盖，跨地域备份。,路由策略-MP-BGP,私网路由策略,中国移动IP专网,MGW,2G/3GGGSN,MGW,CMNet,CR1/BR1,AR2,AR,MGW,G9业务系统,3G业务

15、系统等,CE,SGSN1,SGSN2,3GSGSN1,2G GPRS业务系统,CE,其它业务接入节点,核心业务接入节点,3GSGSN2,CR2/BR2,MDCN,BOSS,其它系统,方式1：直连路由,方式2：多实例IGP路由,方式2：多实例动态路由,对于直接接入AR路由器的业务系统，VPN私网路由采用直连路由方式，引入到MP-BGP；对于通过CE设备接入AR路由器的业务系统，分成两种情况，如果采用交换机接入的，交换机仅作2层设备，VPN私网路由采用直连路由方式，引入MP-BGP，如果采用路由器接入的，采用多实例IGP协议或者BGP协议。,IGP/LDP快速收敛,可靠性策略-IGP/LDP快速收

16、敛,各省公司移动IP专网全网部署IGP/LDP快速收敛，故障检测机制采用POS接口感知传输帧方式；IGP/LDP快速收敛可以保护所有CR/BR节点故障、CR之间/BR-CR/AR-BR链路故障，保护能力，全国网络1s左右，省网200ms。,GZ-CR1NE5000E,WH-CR2NE5000E,省内网络,AR2/BR2,省际网络,AR1/BR1,NN-AR,HK-AR1,WH-AR,CS-AR1,GZ-AR,CS-AR1,AR1,AR2,AR,AR,AR,LDP FRR,可靠性策略-LDP FRR,对于关键链路或者节点之间部署BFD进行故障快速检测，同时部署FRR，提供50ms级别保护能力；B

17、R到CR之间的链路、BR之间的链路可以部署FRR，AR到BR之间的链路可以有选择部署；FRR可以保护链路和除PE设备之间的节点，保护能力50ms。,BFD故障检测,GZ-CR1NE5000E,WH-CR2NE5000E,省内网络,AR2/BR2,省际网络,AR1/BR1,NN-AR,HK-AR1,WH-AR,CS-AR1,GZ-AR,CS-AR1,AR1,AR2,AR,AR,AR,可靠性策略-VPN FC（私网路由快速收敛）,普通的VPN私网路由收敛是s级别，与私网路由数目有关，一般是每秒5000条路由，收敛时间较长；VPN FC加快私网路由收敛，IGP FC触发VPN私网路由收敛，能够做到与

18、私网路由数目无关。,中国移动IP专网,AR,AR,BR,P节点,PE节点,PE节点,AR,AR,PE节点,PE节点,IP地址,VPN1,路由,NHFEC,BR,CE,可靠性策略-VPN FRR,业务系统网元通过双链路接入到IP专网的AR设备上，前面的可靠性技术很难保证AR设备故障情况，需要采用VPN FRR技术；AR作为PE设备，启动Multi-Hop BFD快速检测对段PE设备的存活情况，或者IGP FC检测，通过预先在远端PE中设置指向主用PE和备用PE的主备用转发项，故障发生后切换到备份的AR设备，可以实现端到端200ms或者1s内故障恢复；VPN FRR解决网元双归PE的MPLS VP

19、N网络中，PE节点故障导致的端到端业务收敛时间长的问题，同时解决PE节点故障恢复时间与其承载的私网路由的数量相关的问题。,中国移动IP专网,AR,AR,BR,P节点,PE节点,PE节点,AR,AR,PE节点,PE节点,IP地址,VPN1,路由,NHFEC,BR,CE,QoS技术方案,经过IP专网一期和二期经验积累，总结出切实可行的QoS解决方案：网络规划+CAC机制+QoS技术和管理可靠性技术有机结合保证承载网业务的服务质量。,Diff-Serv策略,Diff-Serv采用PQ+WFQ调度策略，参数设置如下表,网络安全方案,IP专网独立于IP互联网，IP专网内部所有业务通过MPLS VPN隔离

20、，形成VPN业务子网，初期设置信令、语音、3G PS Gn、业务系统网管、7号信令监控、数据业务监控等VPN；IP专网到其它IP网络出口严格受控，设置安全控制域，到CMnet骨干通过GGSN，接入城域网固定NGN业务通过SBC等；承载网路由设备严格安全加固，启动协议加密，部署流量检测机制，必要情况下启动合法监听。,CMNet,RAN,SGSN,MGW,专用PE,GGSN,MGW,专用PE,RAN,3G CS/G9VPN,3G PS/GPRSVPN,BOSSVPN,IP专用承载网,MDCNVPN,MDCN,防火墙安全控制域,网管实施,网管采用集团统一集中设置的原则，服务器集中部署在集团网管中心，

21、采集服务器分布部署在8个核心节点；网管采用分权分域管理的方案，设立三级网管，各省和部分地市采用反拉客户端的方式，分配不同权限，管理各自地域内的设备；,流量控制方式,省公司移动IP专网,SoftX,MGW,AR,GGSN,CS或者固定NGN流量控制可以采用两种方式：软交换CAC和接入设备流量限制；PS流量控制采用接入设备流量控制方式，未来演变到IMS可以采用承载控制技术实施流量控制。,MGW,CMNet,BR,AR2,AR1,PE,PE,MGW,MGW,远端业务系统,本机房业务系统,CE,CAR,Server根据规划的话务量限制用户接入，达到规划量拒绝后续就接入避免过载！,CAR,目 录,33,

22、二、IP承载网整体设计,三、IP承载网关键技术,一、IP承载网发展背景,四、MPLS VPN BGP技术,VPN简介,IP VPN(Virtual Private Network，虚拟专用网)就是利用开放的公众IP/MPLS网络建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。,IP/MPLS网,中心站点,分支机构,移动办公人员,VPN中的角色,CE,CE,CE,CE,PE,PE,P,P,运营商网络,用户网络,用户网络,CE(Custom Edge Router)，用户边缘路由器，直接与运营商网络相连PE(Provider Edge Router)，运营商边缘路由器，与CE相连，

23、主要负责VPN业务的接入。P(Provider Router)：运营商核心路由器，主要完成路由和快速转发功能。,隧道机制,IP VPN可以理解为：通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线。隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。,在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的IP包。,MPLS网,P1,P2,PE1,PE2,CE1,CE2,10.1.1.1,MPLS标签,10.1.1.1,10.1.1.1,要达到的目标,CE,CE,CE,CE,PE,PE,P,

24、P,隧道在PE与PE之间建立，用户不需要自己维护VPN把VPN隧道的部署及路由发布变为动态实现,VPN_A,VPN_A,VPN_B,VPN_B,10.1.0.0,10.1.0.0,10.3.0.0,10.3.0.0,VPN tunnel,要解决的主要问题,CE,CE,CE,CE,PE,PE,P,P,提供一种动态建立的隧道技术解决不同VPN共享相同地址空间的问题,VPN_A,VPN_A,VPN_B,VPN_B,10.1.0.0,10.1.0.0,10.3.0.0,10.3.0.0,VPN tunnel,MPLS与动态隧道,MPLS（MultiProtocol label Switch，多协议标签

25、交换）是根据标签对数据包进行转发，因此在三层数据包中可以使用私有地址，从而形成了一种天然的隧道。MPLS标签的分发可以通过LDP等协议动态完成，所以MPLS能够提供动态的隧道。,三层包头,MPLS 标签,二层包头,MPLS包头结构,MPLS包头通常有32Bit:20Bit用作标签（Label）3个Bit的EXP,协议中没有明确，通常用作COS1个Bit的S,用于标识是否是栈底，表明MPLS的标签可以嵌套。理论上，标记栈可以无限嵌套，从而提供无限的业务支持能力。8个Bit的TTL,2层头部,MPLS头部,IP头部,数据,标签,EXP,S,TTL,32Bit,0,20,23,24,32,MPLS的

26、网络结构,MPLS基本原理,47.1,47.2,47.3,1,2,3,1,2,1,2,3,3,MPLS标签分发方式（DU）,47.1,47.3,1,3,1,1,3,3,MPLS标签分发方式（DOD）,47.1,47.2,47.3,1,2,3,1,2,1,2,3,3,MPLS标签的生成1,R1,R2,R3,R4,172.16.1/24,路由器发现有直连路由时就会向外发送标签,MPLS标签的生成2,R1,R2,R3,R4,172.16.1/24,路由器发现自己有直连路由时就会向外发送标签收到下游到某条路由的标签并且该路由生效（也就是说，在本地已经存在该条路由，并且路由的下一跳和标签的下一跳相同）时

27、会发送标签。,172.16.1/24,Label 20,In 20,172.16.1/24,In 20,out 20,172.16.1/24,In 30,out 20,Label 30,Label 40,MPLS标签生成的要点,R1,R2,R3,R4,172.16.1/24,运行MPLS的路由器中必须同时运行普通路由协议通过标签形成的路经，与查找路由表形成的路径是相同的In标签是由本地路由器发给其他路由器的，Out标签是由其他路由器发给自己的。,172.16.1/24,Label 20,In 20,172.16.1/24,In 20,out 20,172.16.1/24,In 30,out 2

28、0,Label 30,Label 40,MPLS数据包转发,R1,R2,R3,R4,172.16.1/24,172.16.1/24,In 20,172.16.1/24,In 30,out 20,172.16.1.2,1,MPLS的优化1,R1,R2,R3,R4,172.16.1/24,172.16.1/24,In 20,172.16.1/24,In 30,out 20,172.16.1.2,1,最后一跳路由器收到数据包后，并不需要进行标签转发，所做的只是去掉标签，然后送交IP层。最好在倒数第二跳路由器就去掉标签，直接把IP报文发送给最后一跳路由器。,问题：路由器怎么知道自己是倒数第二跳？,MP

29、LS的优化2,R1,R2,R3,R4,172.16.1/24,172.16.1/24,In 3,172.16.1/24,In 30,out 3,172.16.1.2,1,4,172.16.1.2,最后一跳路由器向倒数第二跳分配一个特殊的标签3。路由器查看标签转发表，如果发现out标签是3，就认为自己是倒数第二跳路由器。,地址冲突的细分,CE,CE,CE,CE,PE,PE,P,P,本地路由冲突问题，即在同一台PE上如何区分不同VPN的相同路由。（PE发时）路由在网络中的传播问题，即在PE上接收到来自不同VPN的两条相同路由时，如何进行辨别（PE收时）数据包的转发问题，即使成功解决了路由表的冲突，

30、但在PE接收到一个IP数据包时，怎么知道该发给那个VPN？因为IP数据包头中唯一可用的信息就是目的地址，而很多VPN中都可能存在这个地址。,VPN_A,VPN_A,VPN_B,VPN_B,10.1.0.0,10.1.0.0,10.3.0.0,10.3.0.0,解决本地路由冲突的思路,CE,CE,PE,在PE上同时维护多张相互独立路由表一张全局路由表（公网路由表）为每个VPN建立一个路由表由于每个VPN使用自己独立的路由表，因此可以有效地解决本地路由冲突。,VPN_A,VPN_B,10.1.0.0,10.1.0.0,Global Routing Table,VRF for VPN-A,VRF f

31、or VPN-B,VPN Routing Table,IGP&/or BGP,VRF,VRF(VPN Routing&Forwarding Instance，VPN路由转发实例)可以看作虚拟的路由器，该虚拟路由器包括以下元素：一张独立的路由表，从而包括了独立的地址空间；一组归属于这个VRF的路由器接口的集合；一组只用于本VRF的路由协议。,问题：VRF实现了不同VPN之间路由的隔离，这并不够，如何实现VRF之间的路由发布和交互呢？,RT（Route target）,PE2,PE1,Vrf1：export red,import red,Vrf2：export yellow,import yell

32、ow,Vrf3：export red,import red,Vrf4：export yellow,import yellow,VPN-A,VPN-B,RT的本质是每个VRF表达自己的路由取舍及喜好的方式，分为两部分：export target，表示发出路由的属性import target，表示愿意接收什么路由,问题：如何在PE之间传递各VRF中的路由以及相应的RT？,BGP的引入,解决办法：使用BGP路由协议,BGP简介,AS100,AS200,AS300,BGP是外部路由协议，用在自治系统AS之间传递路由信息，属于增强型的距离矢量路由协议。BGP邻居分为两类：IBGP（同一个AS内的邻居）和

33、EBGP（不同AS间的邻居）BGP邻居之间通过TCP协议相连，因此可以在不直接相连的路由器间交换路由信息,用BGP传递VPN路由的好处,CE,CE,CE,CE,PE,PE,P,P,VPN路由信息可以直接在PE之间传递，所以P路由器中不会包含任何VPN路由信息。,VPN_A,VPN_A,VPN_B,VPN_B,10.1.0.0,10.1.0.0,10.3.0.0,10.3.0.0,BGP连接,BGP报文的种类,Open:用于建立BGP邻居关系，是BGP路由器之间的初始握手信息Keepalive:定期检测BGP邻居是否存活Update:发送路由更新信息Notification:检测到差错时发送该报

34、文,Update报文的格式,不可达路由长度(2byte),不可达路由withdrawn routes(变长),路由属性长度(2byte),路由属性(变长),可达路由信息NLRI(变长),不可达路由中不携带路由属性，可达路由同时携带路由属性一个update报文中可以携带多条不可达路由信息，可携带多条具有相同路由属性的可达路由信息,常见的路由属性,OriginAs-pathNext-hopCommunity:团体属性，可用来对入路由和出路由进行过滤。,Community:20:101,Community:20:102,只接收Community为20:102的路由,R1,R2,R3,RT的表示,可以

35、用扩展的community来表示RT，type字段为0 x0002或者0 x0102时是RT。,可见RT有两种表示方法：AS:nn和ipaddress:nn。通常建议使用AS:nn表示法,路由传播的冲突问题,CE,CE,CE,CE,PE,PE,RT属于BGP的路由属性，而在BGP的不可达路由信息中不包含路由属性。所以在收到来自不同vpn、具有相同网段的不可达路由信息时，路由器将无法根据RT来分辨。,VPN_A,VPN_A,VPN_B,VPN_B,10.1.0.0,10.1.0.0,10.3.0.0,10.3.0.0,10.3.0.0/16,10.3.0.0/16,问题：RT能否解决路由传播的冲

36、突问题？,RD(Route Distinguisher),每个VRF中分别配置一个标识，称为RD。在PE发布VRF中的路由信息时，会在地址前面加上RD，以便接收方PE区分来自不同VRF的路由信息。,RD的长度为8个字节，格式与RT相似。在IPv4地址前加上RD之后，就称为VPN-IPv4地址族。,RD的本质,通常建议为一个VPN中的VRF都配置相同的RD，不同的VPN配置不同的RD。事实上分配RD只需遵循以下原则:保证存在相同地址的两个VRF的RD不同。RD并不会影响不同VRF之间的路由选择以及VPN的形成，这些事情由RT完成。PE与CE之间传递的是IPv4路由，PE与PE之间传递的是VPN-

37、IPv4路由。,数据包转发的冲突问题,解决本地路由和路由传播的冲突问题后，如果一个PE的两个VRF中同时存在10.1.0.0/16的路由，当接收到一个目的地址为10.1.0.1的数据包时，PE如何知道该把这个数据包发给与哪个VRF相连的CE？,既然路由发布时已经携带了RD，能否在发送数据包时也在地址前面加上RD呢？理论上可以，但是RD太长，会导致转发效率的降低，所以只需要一个短小、定长的标记即可。由于公网的隧道已经由MPLS来提供，而且MPLS支持多层标签的嵌套，因此这个标记可定义成MPLS标签的格式。,对BGP的要求,要求支持VPN-IPv4路由，而原有的BGP只支持IPv4路由。要求路由信

38、息中包含私网MPLS标签。,BGP的多协议扩展-MP-BGP,BGP增加了两个扩展属性MP_REACH_NLRI和MP_UNREACH_NLRI。使用了这两种属性的BGP称为MP-BGP,Address-family:指明使用了VPN-IPV4地址族,Next-hop:路由的下一跳地址,Label:24bit，与MPLS标签一样，但没有TTL字段,Prefix:64bit的RDIP前缀,MP_REACH_NLRI的结构,CE与PE之间交换路由,CE,CE,PE,PE 维护独立的路由表，包括公网和VRF路由表：公网路由表：包含全部PE和P 路由器之间的路由，由骨干网IGP产生VRF路由表：包含本

39、VPN内的路由信息。PE 和 CE 通过标准的EBGP、OSPF、RIP或者静态路由交换VRF路由信息,VPN_A,VPN_B,10.1.0.0,10.1.0.0,PE,私网路由,公网路由,VRF路由注入MP-iBGP,CE向PE发送的是标准IPv4路由，PE接收到路由后会进行以下操作：加上RD（RD为手工配置），变为一条VPN-IPv4路由更改下一跳属性为本PE的Loopback地址加上私网标签（随机自动生成，无需配置）加上RT属性（RT需手工配置）发给所有的PE邻居,MP-iBGP,BGP,OSPF,RIPv2 update for 149.27.2.0/24,NH=CE-1,VPN-v4

40、 update:RD:1:27:149.27.2.0/24,Next-hop=PE-1RT=VPN-A,Label=(28),CE1,CE2,PE1,PE2,149.27.2.0/24,MP-iBGP 路由注入VRF,PE接收到MP-iBGP路由后，首先剥离RD成为IPv4路由，然后根据本地VRF的import RT属性把路由加入到相应的VRF中，私网标签保留，留做转发时使用。通过本VRF的路由协议引入上述路由并转发给相应的CE。,MP-iBGP,BGP,OSPF,RIPv2 update for 149.27.2.0/24,NH=CE-1,VPN-v4 update:RD:1:27:149.

41、27.2.0/24,Next-hop=PE-1RT=VPN-A,Label=(28),CE1,CE2,PE1,PE2,149.27.2.0/24,BGP,OSPF,RIPv2 update for 149.27.2.0/24,NH=PE-2,分配PE之间的公网标签,PE和P路由器通过骨干网IGP学习到BGP邻居下一跳的地址通过运行LDP协议，分配标签，建立标签转发通道标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳，内层标签表示报文属于哪个VRFMPLS 节点转发是基于外层标签，而不管内层标签是多少,P router,In Label FEC Out Label-197.26.15.1

42、/32-,In Label FEC Out Label 41 197.26.15.1/32 3,In Label FEC Out Label-197.26.15.1/32 41,Use label 3 for destination 197.26.15.1/32,Use label 41 for destination 197.26.15.1/32,VPN-v4 update:RD:1:27:149.27.2.0/24,NH=197.26.15.1 RT=VPN-A,Label=(28),PE-1,CE1,149.27.2.0/24,CE2,数据包转发从CE到入口PE,CE将报文发给与其相连的

43、VRF接口。PE在本VRF的路由表中进行查找，得到该路由的公网下一跳地址（即对端PE的Loopback地址）和私网标签。将该报文封装一层私网标签后，在公网的标签转发表中查找下一跳地址，再封装一层公网标签，然后交给MPLS转发。,P router,In Label FEC Out Label-197.26.15.1/32 41,PE-1,CE1,149.27.2.0/24,CE2,149.27.2.27,VPN-A VRF149.27.2.0/24,NH=197.26.15.1Label=(28),28,41,149.27.2.27,入口PE-出口PE-CE,该报文在公网上沿着LSP转发，并根据

44、途径的每一台设备的标签转发表进行标签交换。在倒数第二跳处，将外层的公网标签弹出，交给目的PE。PE根据内层的私网标签判断该报文的出接口和下一跳。去掉私网标签后，请报文转发给相应的VRF中的CE。,P router,PE-1,CE1,149.27.2.0/24,CE2,149.27.2.27,VPN-A VRF149.27.2.0/24,NH=197.26.15.1Label=(28),28,41,149.27.2.27,28,149.27.2.27,In Label FEC Out Label 41 197.26.15.1/32 3,In Label FEC Out Label 28(V)14

45、9.27.2.0/24-,VPN-A VRF149.27.2.0/24,NH=CE-1,149.27.2.27,控制流程私网路由及标签传递,MPLS,PEA,PB,PEC,MP-BGP IBGP Peer,CE A1,CE B1,CE A2,CE B2,VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-CRT=VPN-A,Label=(28),VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-CRT=VPN-A,Label=(28),BGP,OSPF,RIPv2 update for 149.27.2.

46、0/24,NH=PE-A,BGP,OSPF,RIPv2 update for 149.27.2.0/24,NH=CE-A2,控制流程公网LSP的建立,MPLS,PEA,PB,PEC,20,1.1.1.1/32,1.1.1.1/32,1.1.1.1/32,IGP,IGP,PE C的loopback地址为1.1.1.1,In 20,out 3,3,out 20,为何在PE C上没有公网路由的IN标签和OUT标签呢？,数据流程私网数据包的转发,MPLS,PEA,PB,PEC,CE A1,CE B1,CE A2,CE B2,Ping 149.27.2.1,20,28,3,1.1.1.1/32,out 20,1.1.1.1/32,In 20,out 3,1.1.1.1/32,BGP,OSPF,RIPv2 update for 149.27.2.0/24,NH=PE-A,77,Thank you!,联系我们：http:/010-6232389313701378667北京天和科瑞咨询有限公司北京邮电大学移动互联网与信息化实验室,