-.z基于MPLS的二層VPN技術時間：2008-04-28來源：摘要：本文主要介紹了基于DraftMartini技術的二層MPLSVPN的技術特點、在現(xiàn)有網(wǎng)絡中的實現(xiàn)方式以及將如何將QOS技術無縫融合到二層MPLSVPN中的技術手段。關鍵詞：MPLSVPN、IGP、LDP、TargetLDP、DraftMartini、MPLSPE、VC－ID、802.1Q、802.1P、DSCP一、引言截止到2004年12月，**電信的三層MPLSVPN業(yè)務已經(jīng)在如火如荼的開展中。目前絕大多數(shù)終端用戶采用路由器或者三層交換機，通過使用靜態(tài)路由的方式，將缺省網(wǎng)關指向電信端的PE設備，從而實現(xiàn)三層MPLSVPN的互通。在業(yè)務開展的過程中，用戶需要通知電信側(cè)該用戶的路由和IP地址段，電信工程師需要配合用戶協(xié)同進展調(diào)試。隨著用戶IT水平的逐漸提高以及處于平安性方面的考慮，有些用戶不希望電信參與其中的路由規(guī)劃，希望只是租用電信的透明鏈路。目前的DDN和FR由于采用模擬線的方式以及速率相對較低，資費較高。而如果采用數(shù)字2M專線，用戶端則需要投資昂貴的G.703接口的路由器，許多用戶一直在等待一種能夠使用以太網(wǎng)接口的，本錢比擬低廉，速度較高的透明通道的業(yè)務。目前的二層MPLSVPN就可以滿足這些企業(yè)用戶的需求。相對于三層MPLSVPN的技術來說，二層MPLSVPN具有技術實現(xiàn)上較為簡單、對設備要求低、用戶投資小、配置簡單、故障排除方法簡單等特點。我們完全有理由相信，二層MPLSVPN將來一定擁有非常良好的市場空間。二.基于RFC2547bis的三層MPLSVPN技術回憶基于RFC2547bis的三層MPLSVPN目前已經(jīng)在**電信普遍使用。三層MPLSVPN具有可擴展性好、可靠性高、速率快、冗余性好等等優(yōu)勢。下面先來回憶一下三層MPLSVPN的根本工作過程。圖1基于RFC2547bisMPLSVPN的實現(xiàn)方式1.在運行商的每一個路由器〔無論是P路由器還是PE路由器〕上都啟動IGP通常是OSPF或者是IS－IS，經(jīng)過動態(tài)路由協(xié)議計算后，在每一臺路由器上都生成一*路由轉(zhuǎn)發(fā)表〔FIB〕。2.在每一個路由器的全局和端口上運行LDP協(xié)議或者是RSVP協(xié)議來交互相鄰路由器之間的標簽的信息。3.經(jīng)過與周圍LSR交換消息后，每一臺LSR上都會在本地生成一*標簽轉(zhuǎn)發(fā)表LFIB。從此只要是MPLS數(shù)據(jù)流，便根據(jù)MPLS的標記標簽進展轉(zhuǎn)發(fā)，不再查看IP路由表。4.在運營商的邊緣路由器PE上，通過靜態(tài)路由或者是動態(tài)路由的方式來獲取用戶端的路由信息，使用RouterDistinguisher的方式來擴展用戶端的IP地址，使得用戶端的路由信息在整個網(wǎng)絡上全局唯一。5.PE路由器之間通過運行MPIBGP的方式把一個VPN的信息通告給所有的PE路由器，用戶端路由與MPLS標簽進展綁定，此時的標簽稱為VPN標簽，也就是內(nèi)層標簽。6.PE路由器在通告路由信息時將一個特定的BGP屬性RouterTarget通告給其他的PE路由器。7.只有配置了導入一樣RouterTarget策略的PE路由器才會導入自己的VPN路由信息。8.經(jīng)過PE路由器和P路由器之間的動態(tài)路由計算后，兩臺PE路由器之間便會形成一條標簽轉(zhuǎn)發(fā)路徑LSP，將VPN的數(shù)據(jù)流從該LSP中進展轉(zhuǎn)發(fā)。在轉(zhuǎn)發(fā)的過程中使用外層的標簽進展轉(zhuǎn)發(fā)，全然不知內(nèi)部數(shù)據(jù)的內(nèi)容。9.等數(shù)據(jù)到達目的PE后彈出外層標簽，在目的端PE上進展內(nèi)層標簽的查找，轉(zhuǎn)發(fā)到IP的下一跳地址，從而實現(xiàn)了三層MPLSVPN的功能。經(jīng)過上述的數(shù)據(jù)轉(zhuǎn)發(fā)過程不難看出，采用三層的MPLSVPN用戶需要將自己內(nèi)部VPN的IP地址告訴運營商，與電信運營商一起配合用戶來進展配置和管理。如果有用戶增加了網(wǎng)絡的IP網(wǎng)段或者進展網(wǎng)絡的整合時，需要通知運營商一起進展配合和改動。三.二層MPLSVPN技術介紹目前在全世界*圍內(nèi)，主流的二層MPLSVPN技術有基于DraftMatini、DraftKompella和VPLS技術。這三種技術各有自身的優(yōu)勢，每一種技術也被不同的設備供給商所支持和積極推進，目前開展較為成熟，支持廠家最廣泛的就是基于DraftMatini的二層MPLSVPN。raftMatini的最大特點就是方便、簡單、快捷。要使用基于DraftMatini的二層MPLSVPN，在邊緣路由器PE上除了和MPLS核心路由器P之間運行標準的LDP協(xié)議之外，邊緣路由器PE之間還要運行一種要TargetLDP的協(xié)議。TargetLDP的協(xié)議是對原有的LDP協(xié)議的增強與擴展。與三層MPLSVPN中的MPiBGP作用相類似，在MPLS邊緣路由器PE之間運行的TargetLDP是用來通告對端PE路由器本地VPN信息以及接收對端PE路由器通告過來的對端的VPN信息。與三層MPLSVPN不同的是，二層VPN信息并不關注IP層的信息。二層VPN的信息可以是物理端口端口號、VLANid、ATMPVCid等等信息，在邊緣的PE路由器上將上述端口號、VLANid、ATMPVCid等等信息都映射到VPN標簽中去，然后將這些映射方式通過TargetLDP的方式通告給對端的PE。這樣，兩端的PE上就都擁有雙方VPN標簽綁定的信息了。但是如果在一對PE之間有多個2層VPN的會話將會怎么樣呢.數(shù)據(jù)流會互相混淆起來嗎.當然不會了，設計者使用了一個VC－id的方法來區(qū)分每一個會話過程。在一對PE之間允許有多個VC－id，也就是有多個TargetLDP的會話，每一個VC－id代表的會話進程都互不影響。這樣就可以實現(xiàn)在一對MPLSPE上同時開通多個二層的MPLSVPN。舉個例子來說，VC－id就好比一座橋梁，把兩端PE的二層信息都互相進展了溝通，但同時也嚴格限制了兩端的溝通條件，只有PE兩端設置的VC－id一致才能進展雙向的溝通。經(jīng)過PE路由器和P路由器之間的動態(tài)路由計算后，兩臺PE路由器之間便會形成一條標簽轉(zhuǎn)發(fā)路徑LSP，將VPN的數(shù)據(jù)流從該LSP中進展轉(zhuǎn)發(fā)。在轉(zhuǎn)發(fā)的過程中P路由器使用外層的標簽進展轉(zhuǎn)發(fā)，全然不知內(nèi)部數(shù)據(jù)的內(nèi)容。等數(shù)據(jù)到達目的PE后彈出外層標簽，在目的端PE上進展內(nèi)層標簽的查找，轉(zhuǎn)發(fā)到各種端口中去，其中可以是一個物理端口，也可以是*一個端口的vlan或者是ATMPVC等等，從而實現(xiàn)了二層MPLSVPN的通信。四.二層MPLSVPN的實現(xiàn)方式目前有越來越多的高端用戶都擁有有多個分支節(jié)點和一個中心節(jié)點，而且他們擁有雄厚的IT力量，這些用戶往往比擬傾向于自行建立網(wǎng)絡，完全由自己來掌控路由，不希望電信方看到自己的網(wǎng)絡IP層面的構造。但是這些客戶又特別喜愛以太網(wǎng)的易用性、高速性和價格優(yōu)勢，所以這些客戶特別傾向于使用二層的MPLSVPN網(wǎng)絡。下面介紹一個用戶是怎樣使用二層MPLSVPN技術來組建自己的中心――分支構造的網(wǎng)絡，并簡要分析一下數(shù)據(jù)流的流向。1．用戶分支節(jié)點A、B、C……………通過路由器方式接入電信端二層以太網(wǎng)交換機網(wǎng)絡，二層交換機的入口側(cè)參加電信端vlan標記后送入電信局端入口PE設備。2．在入口PE設備上通過TargetLDP的方式與對端PE進展交互，形成一條LSP。3．二層MPLSVPN數(shù)據(jù)流通過MPLSLSP送到目的地〔出口〕PE，在出口PE上重寫vlantag后送到出口側(cè)的二層交換網(wǎng)絡，最終到達出口側(cè)二層以太網(wǎng)交換機網(wǎng)絡。4．在電信出口側(cè)以太網(wǎng)交換機上與用戶中心節(jié)點的互連的端口上設置成vlantrunk端口，將帶有vlantag的數(shù)據(jù)流送入用戶中心節(jié)點。5．在用戶的中心節(jié)點使用帶802.1Q子端口封裝的路由器或者是三層交換機終結(jié)分支節(jié)點送過來的數(shù)據(jù)，實現(xiàn)以太網(wǎng)方式的互連。典型的采用二層MPLSVPN技術互連的分支――中心點構造五.二層MPLSVPN的QOS實現(xiàn)方式二層MPLSVPN從實現(xiàn)目標上來說就是要在數(shù)據(jù)鏈路層實現(xiàn)透明的傳輸，給用戶的感覺就好似是類似于DDN的一根高速以太網(wǎng)專線。雖然MPLS技術實現(xiàn)了控制、轉(zhuǎn)發(fā)平面的別離，但是就其轉(zhuǎn)發(fā)平面來說，依然是采用先進先出的爭奪帶寬的方式，在網(wǎng)絡流量頂峰時段對于高優(yōu)先級的VPN業(yè)務無法得到相應的保障。于是我們需要引入QOS技術來保障高優(yōu)先級的用戶得到優(yōu)先的效勞。在目前的IPQOS的機制中，有InterServ和DifferServ兩種體系構造。兩種體系構造各有優(yōu)勢和缺乏，但是在運行商級別的QOS中使用的最多，最具有可擴展性的是DifferServ的體系構造。該體系構造的核心思想就是將IP數(shù)據(jù)流在邊緣接入層進展優(yōu)先級標記，在核心層流量可能產(chǎn)生擁塞的地方進展優(yōu)先級的隊列調(diào)度，將高優(yōu)先級的流量優(yōu)先轉(zhuǎn)發(fā)，從而保障了高等級用戶的效勞質(zhì)量。在二層MPLSVPN實現(xiàn)QOS的過程中，關注的對象是數(shù)據(jù)鏈路層的以太網(wǎng)幀〔Frame〕，所以在進展標記的時候需要二層以太網(wǎng)交換機在進展vlan標記的同時，將802.1Q位中的802.1P位進展優(yōu)先級標記，有條件的話〔需要交換機支持〕可以在標記802.1P位的同時標記IPDSCP位。802.1P位可以伴隨著這個以太網(wǎng)幀一直到達最終的目的－入口端的PE設備。在傳輸?shù)倪^程中，一路經(jīng)過的二層以太網(wǎng)設備都可以根據(jù)802.1P位的值進展優(yōu)先級的調(diào)度工作，確保高優(yōu)先級用戶的數(shù)據(jù)。在到達入口端PE側(cè)后，局端PE設備會根據(jù)802.1P值進展優(yōu)先級的調(diào)度，優(yōu)先送出高優(yōu)先級的數(shù)據(jù)流。在PE設備的出口端，由于已經(jīng)是MPLS網(wǎng)絡了，所以需要將原來的802.1P的優(yōu)先級映射到MPLS網(wǎng)絡中〔也可以通過DSCP來映射〕，使得MPLS的轉(zhuǎn)發(fā)過程中能夠正確識別出這個數(shù)據(jù)幀是標有高優(yōu)先級的數(shù)據(jù)幀，能夠?qū)ζ鋬?yōu)先進展處理。在MPLS的轉(zhuǎn)發(fā)標簽標簽中，其中有一個3bit的MPLSE*P位標識該MPLS數(shù)據(jù)幀的優(yōu)先級。在入口PE設備的出口端〔去往MPLS網(wǎng)絡的方向〕將原來802.1P位中的參數(shù)根據(jù)自定義或者自動的方式映射到MPLSE*P位，然后送入MPLS網(wǎng)絡，這樣在MPLS核心網(wǎng)絡中的P路由器都可以識別出哪些數(shù)據(jù)流是高等級客戶的，哪些數(shù)據(jù)流是低等級客戶的，從而給予不用的處理方式，實現(xiàn)了對用戶的區(qū)分效勞。六.完畢語隨著中國電信的不斷的深化改革，**電信始終將用戶至上、用心效勞的理念貫穿在產(chǎn)品開發(fā)的過程中。二層MPLSVPN的應用不僅是三層MPLSVPN業(yè)務的一個補充，更是為用戶提供了一個基于二層以太網(wǎng)的高速平臺，使用戶能夠廣泛地開展更多的應用和業(yè)務。對于電信內(nèi)部來說，二層MPLSVPN的開展有利于明確電信端和用戶端的維護界面，提高了雙方的工作效率。我們完全有理由相信，在不久的將來，二層MPLSVPN將會以其易用性、方便性、高效性、可擴展性和可管理性等優(yōu)勢，慢慢地釋放出她驚人的潛能，成為**電信的又一項拳頭產(chǎn)品。MPLSVPN相關術語·MPLS〔multiprotocollabelswitching〕-----多協(xié)議標簽交換，是CISCO提出的結(jié)合ATM和IP特性的技術?！E〔provideredgerouter〕-----運營商網(wǎng)絡的一局部，是運營商網(wǎng)絡和用戶網(wǎng)絡的接口?！E〔customeredgerouter〕-----用戶網(wǎng)絡的一局部，是用戶網(wǎng)絡和運營商網(wǎng)絡的接口。·IProuter-----運營商的核心路由器，對VPN一無所知?！SR〔labelswitchingrouter〕-----能夠轉(zhuǎn)發(fā)帶有標簽的包的路由器。分為邊界LSR(PE)和核心LSR〔P〕?！DP〔labeldi