MPLS技術(shù)及MPLS的應(yīng)用

1、mpls技術(shù)及技術(shù)及mpls的應(yīng)用的應(yīng)用 mpls技術(shù)的引入技術(shù)的引入(問(wèn)題分析問(wèn)題分析)lip網(wǎng)絡(luò)可以承載大量的業(yè)務(wù)類(lèi)型,成為當(dāng)前最為重要的數(shù)據(jù)網(wǎng)絡(luò)l但是ip路由數(shù)量的增加,已造成數(shù)據(jù)轉(zhuǎn)發(fā)上的瓶頸(如圖所述,路由查找消耗時(shí)間長(zhǎng))l目前全球ip路由的數(shù)量169602 network entries全球路由表全球路由表(show結(jié)果結(jié)果)lrtr1-a-1-shsh ip bgp sumlbgp router identifier 202.96.196.32, local as number 4812lbgp table version is 47073188, main routing tab

2、le version 47073188l169602 network entries using 19334628 bytes of memoryl2127875 path entries using 102138000 bytes of memoryl155921/31161 bgp path/bestpath attribute entries using 16839468 bytes of memoryl27963 bgp as-path entries using 760720 bytes of memoryl116 bgp community entries using 2848 b

3、ytes of memoryl0 bgp route-map cache entries using 0 bytes of memoryl0 bgp filter-list cache entries using 0 bytes of memorylbgp using 139075664 total bytes of memoryldampening enabled. 165 history paths, 303 dampened pathsl651088 received paths for inbound soft reconfigurationlbgp activity 482038/3

4、12436 prefixes, 94055574/91927699 paths, scan interval 60 secs使用使用mpls的標(biāo)簽交換代替路由查詢(xún)的標(biāo)簽交換代替路由查詢(xún)l類(lèi)型fr的操作:dlci交換,配置靜態(tài)對(duì)intreface s0收到的dlci=100的frame轉(zhuǎn)發(fā)到interface s1,dlci替換為200llable交換的操作在上游pe上根據(jù)ip地址分配lable;網(wǎng)絡(luò)內(nèi)p設(shè)備上使用lable交換(類(lèi)似fr);再下游pe上刪除lable,恢復(fù)路由交換10.1.1.1進(jìn)入mpls網(wǎng),mpls的架構(gòu)的架構(gòu)l控制層ldp/tdp、mp-bgp/mp-rip;控制層負(fù)責(zé)網(wǎng)

5、絡(luò)設(shè)備間的標(biāo)簽分發(fā)、管理l數(shù)據(jù)層數(shù)據(jù)轉(zhuǎn)發(fā)引擎；使用控制層產(chǎn)生的標(biāo)簽轉(zhuǎn)發(fā)表，完成對(duì)信息的轉(zhuǎn)發(fā)（ip包）llable標(biāo)簽的位置（l2 head和l3 head之間l2.5）標(biāo)簽長(zhǎng)度32-bits，可以堆疊（一般為3級(jí)，最高支持8級(jí)）l3級(jí)（ldp-vpn-qos）lable標(biāo)簽標(biāo)簽 標(biāo)簽安裝到l2和l3中間，可以同時(shí)安裝多個(gè)標(biāo)簽 單個(gè)標(biāo)簽的式樣，32bits.exp-qos分類(lèi)；s-堆棧底標(biāo)識(shí)，用于多個(gè)lable同時(shí)使用的情況，0為堆棧底；ttl-mpls網(wǎng)內(nèi)的time-to-live使用使用s來(lái)實(shí)現(xiàn)多組標(biāo)簽的共用來(lái)實(shí)現(xiàn)多組標(biāo)簽的共用 實(shí)現(xiàn)mpls vpn的應(yīng)用，至少要同時(shí)使用兩組標(biāo)簽。一組是用來(lái)

6、mpls標(biāo)簽的產(chǎn)生及分發(fā)標(biāo)簽的產(chǎn)生及分發(fā)mpls 與與atmlmpls技術(shù)，是在atm的研究和實(shí)踐基礎(chǔ)上產(chǎn)生的，在功能上存在一定的可比性相同：兩者都實(shí)現(xiàn)數(shù)據(jù)的快速轉(zhuǎn)發(fā)；使用的方法都是利用簡(jiǎn)單的標(biāo)簽（mpls lable-32bits和atm cell-head-5bytes）實(shí)現(xiàn)快速尋址不同：mpls可以自動(dòng)實(shí)現(xiàn)標(biāo)簽分發(fā)（ldp）；atm一般使用手工配置標(biāo)簽（pvc配置）不同：atm使用固定長(zhǎng)度的pay-load進(jìn)一步加速設(shè)備內(nèi)的轉(zhuǎn)發(fā)速度；mpls的pay-load是ip包，長(zhǎng)度不定latm通過(guò)手工建立傳輸通路（atm vc），然后用戶(hù)間才能傳輸信息；通訊點(diǎn)間的關(guān)系固定lmpls則通過(guò)協(xié)議動(dòng)態(tài)

7、建立傳輸通路；通訊點(diǎn)間的關(guān)系是隨機(jī)的l注：atm中，使用svc（aesa e.164地址）技術(shù)可以實(shí)現(xiàn)動(dòng)態(tài)vc的建立，但在網(wǎng)際互聯(lián)上存在廠商兼容性的問(wèn)題。因此國(guó)內(nèi)現(xiàn)狀往往是同一廠商設(shè)備網(wǎng)絡(luò)內(nèi)可以實(shí)現(xiàn)動(dòng)態(tài)vc，但網(wǎng)絡(luò)間則使用手工配置的pvc連接。上海本地的情況：本地接入nortel產(chǎn)品，長(zhǎng)途骨干lucent和nortel產(chǎn)品。國(guó)際海光纜中心的同事？與國(guó)外運(yùn)營(yíng)商atm互聯(lián)時(shí)的情況是否也是如此？l這樣的現(xiàn)實(shí)，造成了atm業(yè)務(wù)，單一pvc模式mpls 標(biāo)簽分發(fā)的基本規(guī)律（標(biāo)簽分發(fā)的基本規(guī)律（ldp為例）為例）abce0s1e0e1e1s0l目標(biāo)地址在左側(cè)（10.1.1.1），用戶(hù)源在右側(cè)l信令建立的方

8、向和實(shí)際ip流的方向恰好相反c路由器按照路由表信息建立lable轉(zhuǎn)發(fā)表，取代路由表的工作。在e0上為目標(biāo)10.0.0.0/8分配lable25，在lable轉(zhuǎn)發(fā)表中增加一項(xiàng)（端口e0-lable-25入，端口s1-lable-pop出）lable表項(xiàng)說(shuō)明：e0接口進(jìn)入，目標(biāo)到10.0.0.0/8的ip包，將帶有l(wèi)able（25）進(jìn)入本機(jī)，輸出本機(jī)s1端口，lable出棧（pop），恢復(fù)正常的l3路由 c路由器從e0通知b路由器，將所有目標(biāo)到10.0.0.0/8的ip包插入 lable（25）。b路由器從e1端口記錄c發(fā)送到的要求，記錄e1上lable（25）； b路由器為e0上為目標(biāo)10.0.

9、0.0/8分配lable（23）；在lable轉(zhuǎn)發(fā)表中增加一項(xiàng)（端口e0-lable-23入，端口e1-lable-25出）lable表項(xiàng)說(shuō)明：e0接口進(jìn)入，目標(biāo)到10.0.0.0/8的ip包，將帶有l(wèi)able（23）進(jìn)入本機(jī)，輸出本機(jī)e1端口，lable修改為（25），恢復(fù)正常的l3路由b路由器從e0通知a路由器，將所有目標(biāo)到10.0.0.0/8的ip包插入 lable（23）a路由器從e1端口記錄c發(fā)送到的要求，記錄e1上lable（23）； b路由器s0在mpls domain外，因此s0上的操作是提示開(kāi)始使用標(biāo)簽轉(zhuǎn)發(fā)；在lable轉(zhuǎn)發(fā)表中增加一項(xiàng)（端口s0-lable-start入，端

10、口e1-lable-23出）lable表項(xiàng)說(shuō)明：s0接口進(jìn)入，目標(biāo)到10.0.0.0/8的ip包，增加lable，輸出本機(jī)e1端口，lable修改為（23）b路由器從e0通知a路由器，將所有目標(biāo)到10.0.0.0/8的ip包插入 lable（23）（1）由）由mpls信令建立信令建立lable轉(zhuǎn)發(fā)表（下游到上游）轉(zhuǎn)發(fā)表（下游到上游）（2）由）由lable轉(zhuǎn)發(fā)表進(jìn)行信息轉(zhuǎn)發(fā)（上游到下游）轉(zhuǎn)發(fā)表進(jìn)行信息轉(zhuǎn)發(fā)（上游到下游）l總結(jié)：mpls通過(guò)l3的路由表，借助mpls控制層的功能，建立lable轉(zhuǎn)發(fā)表。因此說(shuō)， lable轉(zhuǎn)發(fā)表來(lái)自路由表，優(yōu)于路由表。lable的實(shí)際流量方向與建立方向相反lable

11、只在本機(jī)有效，送出本機(jī)的同時(shí)需要修改（類(lèi)型atm vpi/vci的操作）l注意：何時(shí)觸發(fā)lable表的建立過(guò)程l主動(dòng)分配（設(shè)備為每個(gè)dest目標(biāo)建立lable；圖中a、b、c在發(fā)現(xiàn)10.0.0.0/8網(wǎng)段后，各自獨(dú)立發(fā)起）l目標(biāo)發(fā)起（目標(biāo)網(wǎng)段在發(fā)現(xiàn)被訪(fǎng)問(wèn)的時(shí)候，本機(jī)開(kāi)始建立lable，從而觸發(fā)整個(gè)過(guò)程；圖中c發(fā)起）l源發(fā)起（當(dāng)某個(gè)網(wǎng)段中的用戶(hù)需要訪(fǎng)問(wèn)dest目標(biāo)時(shí)間，源設(shè)備發(fā)出申請(qǐng)，申請(qǐng)傳送到目標(biāo)網(wǎng)段后，觸發(fā)；圖中，先由a發(fā)出申請(qǐng)給b，b傳送申請(qǐng)給c，c核實(shí)申請(qǐng)后，由c開(kāi)始發(fā)起建立過(guò)程）在全程中所有設(shè)備沒(méi)有都建立lable表情況下，信息通訊是否順利？l沒(méi)有建立lable表的設(shè)備上，依照ip r

12、outing轉(zhuǎn)發(fā)信息lmpls的實(shí)際應(yīng)用ldp是最符合mpls提出初衷的模組，但ldp不產(chǎn)生新的業(yè)務(wù)類(lèi)型，它只是提高現(xiàn)有業(yè)務(wù)的轉(zhuǎn)發(fā)效率由mpls引申出的新業(yè)務(wù)類(lèi)型：lmpls vpnmpls vpn業(yè)務(wù)（業(yè)務(wù)（l3）vpn業(yè)務(wù)簡(jiǎn)介業(yè)務(wù)簡(jiǎn)介l加密方式的vpnip-sec現(xiàn)有業(yè)務(wù)：ntt的ip-vpnl支持撥號(hào)方式認(rèn)證的vpnl2tp/pptp現(xiàn)有業(yè)務(wù)：vpdnlmpls類(lèi)型的vpnmpls vpn現(xiàn)有業(yè)務(wù)：mpls vpn注意：一般的企業(yè)集成、icp服務(wù)商都能提供ip-sec或l2tp的vpn業(yè)務(wù)；只有運(yùn)營(yíng)商才能實(shí)施mpls vpn。因?yàn)椋琺pls vpn業(yè)務(wù)是建立在運(yùn)營(yíng)商原有網(wǎng)絡(luò)mpls化改造

13、的基礎(chǔ)上的。目前國(guó)內(nèi)mpls vpn服務(wù)提供者：ct、cnc、uni-netmpls技術(shù)在實(shí)現(xiàn)技術(shù)在實(shí)現(xiàn)vpn業(yè)務(wù)上需要克服的業(yè)務(wù)上需要克服的難點(diǎn)難點(diǎn)l用戶(hù)信息與公網(wǎng)信息的分離（安全性）ip-sec使用des或3des加密算法，使用md5+dh的認(rèn)證l2tp無(wú)加密（所以被認(rèn)為是不安全的）l用戶(hù)私網(wǎng)地址與公網(wǎng)地址的分離（可路由性）ip-sec支持隧道模式，可以將用戶(hù)私網(wǎng)地址放置在公網(wǎng)ip包的pay-load里面，因此是可路由的l2tp直接提供l2數(shù)據(jù)鏈路層的穿透，不影響在l2基礎(chǔ)上提供的l3路由lvpn的安全性lvpn的可路由性lmpls vpn使用兩組lable,實(shí)現(xiàn)vpn的兩大功能rd用于實(shí)

14、現(xiàn)vpn的安全性(route-distinguisher)rt用于控制vpn的可路由性(route-target)注意:rd和rt正確地說(shuō),并不是正式意義上mpls的標(biāo)簽,而是產(chǎn)生標(biāo)簽的配置參數(shù).但本課程中將不分析參數(shù)到標(biāo)簽的產(chǎn)生過(guò)程.由由rd產(chǎn)生的產(chǎn)生的vrfl用戶(hù)接入vpn網(wǎng)絡(luò),主要還是應(yīng)用市內(nèi)的ddn、atm專(zhuān)線(xiàn)或光纖、pcm-2m資源，在接入點(diǎn)不存在信息混雜l普通internet網(wǎng)絡(luò)設(shè)備上無(wú)法區(qū)分哪些是用戶(hù)-1的信息，哪些又是用戶(hù)-2的信息，因此需要進(jìn)行改造l如果把一個(gè)物理的路由器，劃分兩個(gè)相互隔離的邏輯設(shè)備，分配給不同的用戶(hù)，就能實(shí)現(xiàn)用戶(hù)信息的分離lrd是一個(gè)48bits的lable

15、，用來(lái)劃分設(shè)備上一個(gè)虛擬的路由器；rd一般的格式是asn(16bits):nn(32bits用戶(hù)號(hào)）lrd的lable分發(fā)，使用ldp協(xié)議l路由器的基本功能有兩個(gè)：路由運(yùn)算(routing)和ip包轉(zhuǎn)發(fā)(forwarding)；rd的配置需要完成上述兩個(gè)功能，才能構(gòu)造一臺(tái)虛擬路由器設(shè)備l不同的rd產(chǎn)生不同的路由表，各自獨(dú)立運(yùn)算一個(gè)vpn用戶(hù)的ip路由，這個(gè)路由表稱(chēng)為vrf（virtual routing&forwarding)表配置范例：ip vrf tongyong-qiche(通用汽車(chē))rd 65060:1001l需要為該vrf分配物理端口，這些端口用來(lái)連接vpn用戶(hù)。配置范例：i

16、nterface s0/1/0:0ip forwarding vrf tongyong-qiche(通用汽車(chē))l只要是路由器可以支持的接口，都可以加入到vrf中：ddn、atm/fr、ethernet、pos，甚至是ip-sec和l2tp的邏輯接口也可以加入到vrf中（上海本地的vpdn接入的mpls vpn業(yè)務(wù)，滿(mǎn)足移動(dòng)終端或soho的用戶(hù)）使用使用rt控制用戶(hù)間的正常路由控制用戶(hù)間的正常路由lrt是一個(gè)雙向的lable，export是輸出方向；import是輸入方向。以上海通用為例：在上海側(cè)，將所有輸出到全國(guó)各地（及國(guó)際）的信息，標(biāo)注rt為65060：100；對(duì)輸入上海的信息，如果rt為6

17、5060：100則接收，如果不是，則拒絕l注意：rt的import和export可以是不一樣的；rt的import和export都可以配置一組以上；rt的標(biāo)識(shí)模式和rd完全相同，但這兩者是完全不同概念的兩組標(biāo)簽，取值可以不同（習(xí)慣上我們的確分配一樣的數(shù)值，便于識(shí)別）lrt在設(shè)備間的傳遞不是使用ldp協(xié)議，而使用專(zhuān)用的mp-bgp協(xié)議vrf范例范例指令show ip vrf顯示該虛擬路由器的名稱(chēng)、rd、分配到的端口 toshiba-dm 9592:3589 serial2/0/5:0 serial9/0/1:0motorola 4809:1021 serial2/0/3:0 serial5/1/

18、7:0 serial9/0/4:0 serial9/1/0/13:0指令sh ip bgp vpnv4 vrf toshiba-dm可以看到“toshiba-dm”虛擬路由器上的路由轉(zhuǎn)發(fā)表network next hop metric locprf weight pathroute distinguisher: 9592:3589 (default for vrf toshiba-dm)* 172.30.52.0/22 202.111.229.246 0 4809 64740 ?* 172.30.56.0/21 202.111.229.246 0 4809 64740 ?由由rd和和rt構(gòu)成的

19、構(gòu)成的mpls vpn，完全不同，完全不同于傳統(tǒng)專(zhuān)線(xiàn)，也不同于其他類(lèi)型的于傳統(tǒng)專(zhuān)線(xiàn)，也不同于其他類(lèi)型的vpnl以上案例說(shuō)明用戶(hù)上?？偛?，北京和廣州各有50個(gè)分部點(diǎn)rd取值三地一致為65060：100；上海輸入北京和廣州的rt，輸出上海的rt；北京輸入上海、廣州的rt，輸出北京的rt；廣州？lmpls vpn是一種以“點(diǎn)”為基本單位的專(zhuān)線(xiàn)業(yè)務(wù)模式；而不是象傳統(tǒng)類(lèi)型以“線(xiàn)”為基本單位l對(duì)維護(hù)工作的影響專(zhuān)線(xiàn)名稱(chēng)的制訂（比對(duì)“線(xiàn)模式“典型atm長(zhǎng)途專(zhuān)線(xiàn)名稱(chēng)”上海-廣州atm100），目前對(duì)vpn線(xiàn)路名稱(chēng)暫無(wú)決定。建議名稱(chēng)需要能確定vpn點(diǎn)的物理位置、各點(diǎn)的統(tǒng)一標(biāo)識(shí).，如：vpn001-上海1001（國(guó)

20、內(nèi)001號(hào)vpn用戶(hù)-上海1001號(hào)接入點(diǎn)）線(xiàn)路的故障處理。不需要端到端的判定，只需要判定核心mpls網(wǎng)絡(luò)運(yùn)行正常、用戶(hù)單個(gè)vpn點(diǎn)的接入情況兩個(gè)項(xiàng)目。目前，mpls的故障主要發(fā)生在接入層面上，維護(hù)工作分段明顯用戶(hù)開(kāi)通和關(guān)閉。一旦rd和rt的參數(shù)協(xié)調(diào)一致后，任何新的vpn接入點(diǎn)加入，只需要調(diào)整用戶(hù)側(cè)的ip路由即可，運(yùn)營(yíng)商只負(fù)責(zé)對(duì)新接入點(diǎn)的配置，其他點(diǎn)不需要修改參數(shù)。如廣州增加101號(hào)接入點(diǎn)，上海點(diǎn)完全不關(guān)心全國(guó)范圍的通用裝備庫(kù)。mpls vpn環(huán)境下，用戶(hù)是以點(diǎn)接入網(wǎng)絡(luò)的，因此以上海為例，上海無(wú)法知道全國(guó)各地其他vpn接入點(diǎn)的情況，在處理諸如“上?？偛康綇V州89號(hào)接入點(diǎn)的通訊中斷”故障時(shí)，往往

21、根本無(wú)法找到廣州89號(hào)接入點(diǎn)的任何信息。mpls vpn業(yè)務(wù)的網(wǎng)間互聯(lián)業(yè)務(wù)的網(wǎng)間互聯(lián)l上一章節(jié)的內(nèi)容，主要是說(shuō)明了vpn用戶(hù)如何接入mpls vpn網(wǎng)絡(luò)的方法l本章節(jié)開(kāi)始，我們將從用戶(hù)層面轉(zhuǎn)換到mpls vpn核心網(wǎng)絡(luò)的管理維護(hù)上l上一章節(jié)中，我們提到了rd使用ldp完成標(biāo)簽的分發(fā)工作，rt使用mp-bgp完成標(biāo)簽的分發(fā)工作，mp-bgp是mpls vpn業(yè)務(wù)的核心技術(shù)。關(guān)于mp-bgp的詳細(xì)內(nèi)容，不在本課程內(nèi)敘述，只將其看做一個(gè)工具bgp支持支持mpls vpn的的mp改造改造l需要使用rd，將原來(lái)的一個(gè)大bgp路由表劃分不同的子bgp路由表，以安放到不同的vrf中l(wèi)需要能夠在（上海的）子b

22、gp路由表中附加rt，并遠(yuǎn)程傳遞到（廣州）供對(duì)方選擇；反向也是如此mpls vpn網(wǎng)絡(luò)維護(hù)中的一些專(zhuān)用名稱(chēng)網(wǎng)絡(luò)維護(hù)中的一些專(zhuān)用名稱(chēng)lp：運(yùn)營(yíng)商mpls網(wǎng)絡(luò)核心設(shè)備，沒(méi)有用戶(hù)接入，只負(fù)責(zé)快速高速的mpls轉(zhuǎn)發(fā)lpe：運(yùn)營(yíng)商mpls網(wǎng)絡(luò)邊緣設(shè)備，用于用戶(hù)接入，rd/rt配置的地方lce：用戶(hù)網(wǎng)絡(luò)與運(yùn)營(yíng)商網(wǎng)絡(luò)互聯(lián)的設(shè)備，只運(yùn)行傳統(tǒng)的ip v4路由lsite：用戶(hù)的一個(gè)vpn接入點(diǎn)以以mpls vpn專(zhuān)用名詞說(shuō)明專(zhuān)用名詞說(shuō)明vpn用戶(hù)的通用戶(hù)的通訊全過(guò)程訊全過(guò)程lpe-ce段：vpn用戶(hù)接入mpls vpn網(wǎng)絡(luò)的部分，使用傳統(tǒng)的ip v4路由協(xié)議（目前支持static、ripv2、bgp），按照ip路由表進(jìn)行轉(zhuǎn)發(fā)lpe-pe段：使用mp-bgp路由協(xié)議交換，