城域网与MPLS技术

城域网与MPLS技术练永彬为什么需要MPLSMPLS原理BGPMPLSVPN城域网与MPLS技术

MPLS的现实意义MPLS的优势城域网MPLS的拓扑结构业务流量示意图为什么需要MPLS

业务众多如：宽带、互动、大客户VPN、分前端监控和设备网管业务等等不像其他运营商按业务分平面支撑（如：电信的chinanet承载宽带，CN2承载语音、大客户VPN等），资源有限一张城域网跑多业务的安全性问题，特别是互动电视，应考虑安全播出的问题有价值大客户VPN增值业务的实现互动业务对Qos的高要求MPLS的现实意义MPLS的优势既具有ATM的快速交换，又有IP路由的灵活，而且多协议支持可扩展性，实现一次路由多次交换。天然的VPN隧道，实现VPN的动态建立，维护量小，传输安全性高多业务，每个业务对应的VPN实例互相独立具有独立的路由表项、路由协议等。

城域网MPLS网络拓扑每个业务对应相应的VPN实例互相独立，具有独立的路由表项、路由协议等，从而实现业务之间的安全隔离。运行了MPLS的设备可看成是一个云整体。绑定VPN实例的端口为流量的出入口，只要是同一VPN实例就可以实现相互通信。业务流量示意图MPLS网络构造MPLS标签LDP协议标签的分配与管理MPLS转发的实现MPLS原理MPLS（MultiprotocolLabelSwitching，多协议标签交换），是一个介于二层与三层之间的协议。“一次路由，多次转发”MPLS用一个短而定长的标签来封装网络层分组，交换机或路由器根据标签值转发报文MPLS多协议是指：MPLS可以承载在各种链路层协议上，如PPP、ATM、帧中继、以太网等MPLS的定义LSR（LabelSwitchingRouter）：LSR是MPLS的网络的核心交换机或者路由器，它处于MPLS网络的内部。LSR提供标签交换和标签分发功能。LER（LabelSwitchingEdgeRouter）：在MPLS的网络边缘，报文由LER进入或离开MPLS网络。它提供标签的映射、标签的移除和标签的分发功能。FEC（ForwardingEquivalenceClass，转发等价类）：FEC是在转发过程中以等价的方式处理的一组数据分组，可以通过地址、隧道、COS等来标识创建FECLSP（LabelSwitchingPath，标签交换通道）：一个FEC的数据流，在不同的节点被赋予确定的标签，数据转发按照这些标签进行。数据流所走的路径就是LSPMPLS网络构造MPLS网络构造MPLS标签LDP协议标签的分配与管理MPLS转发的实现MPLS原理LABEL：标签值，长度为20bit，是标签转发索引。EXP=classofservice，长度为3bit，用于Qos。S：栈底标识符，长度为1bit，如有多个label（多层标签嵌套）时，栈底（最后一个标签）的S位为“1”，否则为“0”，只有一个label时S位亦为“1”。TTL：存活时间，每进行一次label交换，外层label的值就减“1”，与IP报文TTL值相似，用于防止环路。MPLS标签结构MPLS协议通过在报文的链路层帧头中进行识别，比如在以太网中，指示上层协议的类型字段使用0x8847来表示MPLS报文（00800是ip报文）MPLS标签的识别MPLS网络构造MPLS标签LDP协议标签的分配与管理MPLS转发的实现MPLS原理标签分配协议，用于在LSR之间分配标签，建立LSP（eg：LDP、MP-BGP、BGP4+等等）。LDP（LabelDistributionProtocol）标签分配协议，因为它实现简单可靠，逐渐成为MPLS网络中应用最为广泛的标签分配协议之一。标签分配协议LDP是一个动态的生成标签的协议,与动态路由协议（如OSPF）十分相像，都具备如下的几大要素：报文（或者叫消息）邻居的自动发现和维护机制一套算法，用来根据搜集到的信息计算最终结果。前者计算的结果是标签，后者是路由主要功能：发布Label－FEC映射建立与维护标签交换路径LDP的基本概念在LDP协议中，存在4种类型的LDP消息：发现消息（Discoverymessages）用于LDP邻居的发现和维持。会话消息（Sessionmessages）用于LDP邻居会话的建立、维持和中止。通告消息（Advertisementmessages）用于LDP实体向LDP邻居宣告Label、地址等信息。通知消息（Notificationmessages）用于向LDP邻居通知事件或者错误。LDP消息类型

邻居发现：通过互发Hello消息(UDP/port:646/IP:） 建立TCP连接：由地址大的一方主动发起。(TCP/port:646)

会话初始化：由Master发出初始化消息，并携带协商参数。由slave检查参数能否接受，如果能则发送初始化消息，并携带协商参数。并随后发送Keepalive消息。

master检查参数能否接受，如果能则发送Keepalive消息。相互 收到Keepalive消息，会话建立。期间收到任何差错消息，均关闭会话，断开TCP连接

RouterA邻居发现建立TCP

链接建立会话会话维护

RouterB邻居发现建立TCP链接建立会话会话维护LDP会话的建立与维护MPLS网络构造MPLS标签LDP协议标签的分配与管理MPLS转发的实现MPLS原理标签分配模式DoD：downstream-on-demand下游按需标记分配DU：downstreamunsolicited下游自主标记分配上游与下游：在一条LSP上，沿数据包传送的方向，相邻的LSR分别叫上游LSR（upstreamLSR）和下游LSR（downstreamLSR）。下游是路由的始发者。标签控制模式有序方式（Ordered）独立方式（Independent）标签保持方式保守模式（Conservative）自由模式（Liberal）标签分配和管理下游LSR在LDP会话建立成功，主动向其上游LSR发布标签映射消息上游路由器保存标签，存放到标签映射表中标签是设备随机自动生成的，16以下为系统保留标签分发模式：DU到/24可以使用标签20到/24可以使用标签18上游/24下游/24路由触发下游LSR1LSR2LSR3上游LSR向下游LSR发送标签请求消息（包含FEC的描述信息）下游LSR为此FEC分配标签，并将绑定的标签通过标签映射消息反馈给上游LSR标签分发模式：DOD分配到/24的标签为20分配到/24的标签为18上游/24下游/24路由触发LSR1LSR2LSR3请求到目的地址/24请求到目的地址/24只有收到它的下游返回的标签映射消息后才向其上游发送标签映射消息上游下游LSR1LSR2LSR3标签控制模式：有序标签请求标签请求标签映射标签映射不管有没有收到它的下游返回的标签映射消息都立即向其上游发送标签映射消息标签控制模式：独立上游下游LSR1LSR2LSR3标签映射标签映射保守方式（Conservativeretentionmode）只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。优点：节省内存和标签空间。缺点：当IP路由收敛、下一跳改变时LSP收敛慢标签保持方式——保守不是到/24的下一跳邻居发来的标签，丢弃/24LSR1LSR2LSR3LSR4LSR5MappingLabel17MappingLabel16MappingLabel20MappingLabel30自由方式（Liberalretentionmode）保留来自邻居的所有发送来的标签优点：当IP路由收敛、下一跳改变时减少了lsp收敛时间缺点：需要更多的内存和标签空间。不是到/24的下一跳邻居发来的标签，保留/24LSR1LSR2LSR3LSR4LSR5MappingLabel17MappingLabel16MappingLabel20MappingLabel30标签保持方式——自由标签转发表中的IN和OUT，是相对于标签转发而言，不是相对于标签分配的IN和OUT：入标签是我分给别人的，出标签是别人分给我的我分配的标签是给别人用的标签转发表INinterfaceINlabelPrefix/MASKOUTinterface(nexthop)OUTlabelSerial050/24Eth0（）80Serial151/24Eth0（）80Serial162/24Eth0（）52Serial152/24Eth1（）52Serial277/24Serial3（)3（pop）MPLS网络构造MPLS标签LDP协议标签的分配与管理MPLS转发的实现MPLS原理destinationNext-hopEth0/1标签分配过程

用户A

用户ALSR3LSR2LSR1Eth0/1Eth0/2Eth0/0destinationNext-hopEth0/2destinationNext-hopEth0/0INoutNext-hopnull36Eth0/1Lable=36IppacketD=S=INoutNext-hop363Eth0/2INoutNext-hop3nullEth0/0Lable=3IppacketD=S=LabelmappingLabelmappingIppacketD=S=标签转发表LDPsession建立完成后，路由器根据路由表进行标签分配，形成MPLS标签转发表。（相同目的的都是FEC）标签转发表主要包含入标签（IN）、出标签（OUT）和出接口，路由器可以根据标签转发表转发MPLS报文。标签是设备随机自动生成的，16以下为系统保留。IppacketD=S=插入标签：报文进入MPLS网络，在LER设备上发现到达报文的目的IP地址有与其关联的标签转发表项，LER设备进行压标签（PUSH）操作。交换标签：报文在MPLS网络中间进行转发时，在LSR设备上进行标签交换（SWAP），设备只需查询标签转发表即可完成报文转发。移除标签：报文在转出MPLS网络时，LER3设备发现自己为该LSP的最下游设备，LER设备完成弹出标签（POP）操作。倒数第二跳弹出

在最后一跳，最外层的标签已经没有意义，因此可以在倒数第二跳将标签弹出，减少最后一跳的负担。如果只有一层标签，则最后一跳直接进行IP转发；否则，对内层标签做标签转发MPLS转发的实现BGP协议的特点VPNInstanceMP-BGPBGPMPLSVPN的实现BGPMPLSVPN网络中VPN路由数目可能非常大，BGP是唯一支持大量路由的路由协议；BGP是基于TCP来建立连接，可以在不直接相连的路由器间交换信息，这使得P路由器中无须包含VPN路由信息；BGP可以运载附加在路由后的任何信息，作为可选的BGP属性，任何不了解这些属性的BGP路由器都将透明的转发它们，这使在PE路由器间传播路由非常简单。BGP协议的特点BGP协议的特点VPNInstanceMP-BGPBGPMPLSVPN的实现BGPMPLSVPNCE（CustomEdge）：直接与服务提供商相连的用户设备。PE（ProviderEdgeRouter）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。P（ProviderRouter）：指骨干网上的核心路由器，主要完成路由和快速转发功能。VPN组网结构VPNinstanceRoutingtabledestinationNext-hop/24Eth0/0/24Eth0/1PE1CE2CE1Eth0/0Eth0/1每一个VPN实例可以看作虚拟的路由器，好像是一台专用的PE设备。该虚拟路由器包括如下元素：一张独立的路由表，当然也包括了独立的地址空间。一组归属于这个VPN实例的接口的集合。一组只用于本VPN实例的路由协议。对于每个PE，可以维护一个或多个VPN实例，同时维护一个公网的路由表（也叫全局路由表），多个VPN实例相互分离独立。Vpn1RoutingtabledestinationNext-hop/24Eth0/0Vpn2RoutingtabledestinationNext-hop/24Eth0/0BGP协议的特点VPNInstanceMP-BGPBGPMPLSVPN的实现BGPMPLSVPN普通BGP仅仅支持IPv4，MP-BGP是为了让BGP可以用于传输更多协议（IPv6,IPX,...）的路由信息而进行的扩展。为了保持兼容性，MP-BGP仅仅添加了两个BGP属性：MP_REACH_NLRI（MP_UNREACH_NLRI）和扩展团体属性。MP_REACH_NLRI（MP_UNREACH_NLRI）可以用在BGPUpdate消息中用于通告或废止网络可达性信息。私网Label映射消息携带在MP_REACH_NLRI属性中，前20位是标签，后4位的前3位是EXP域，最后一位用于指示是否是栈底。MP-BGP协议一个扩展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私网Label和RDBGP发布路由时携带的信息MP_REACH_NLRI：address－family：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopback地址。NLRI:私网label：24个bit，与MPLS标签一样。prefix：RD:64bit＋ip前缀跟随之后的是扩展团体属性RT的列表Extended_Communities（RT1）Extended_Communities（RT2）对于使用了扩展属性MP_REACH_NLRI和扩展团体属性RT的BGP，我们称之为MP-BGP协议BGP的扩展community属性：RT（RouteTarget）扩展的community有如下两种格式：其中type字段为0x0002或者0x0102时表示RT。RouteTargetTYPE(2字节）AdministratorFieldAssignedNumberField0x00022字节AS号4字节分配编号0x01024字节IP地址2字节分配编号RT的本质是每个VPN实例表达自己的路由取舍及喜好的方式。可以分为两部分：ExportTarget与importTarget在一个VPN实例中，在发布路由时使用RT的export规则。直接发送给其他的PE设备在接收端的PE上，接收所有的路由，并根据每个VPN实例配置的RT的import规则进行检查，如果与路由中的RT属性match，则将该路由加入到相应的VPN实例中。RouteTarget本质由于每个RTExportTarget与importTarget都可以配置多个value，接收时是“或”操作，所以就可以实现非常灵活的VPN访问控制。RouteTarget的灵活运用RD（RouteDistinguisher）路由区分，在BGPMPLSVPN的网络中，私网路由的路由前缀的形式不再是普通的IPv4地址，而是RD+IPv4地址，这样可以在路由前缀中直接标识该路由的VPN信息。RD的格式16位自治系统号ASN:32位用户自定义数，例如：100:12位IP地址:16位用户自定义数，例如：:1RD（RouteDistinguisher）TYPE(2字节）AdministratorFieldAssignedNumberField0x00022字节AS号4字节分配编号0x01024字节IP地址2字节分配编号理论上可以为每个VPN实例配置一个RD。通常建议为每个VPN都配置相同的RD，不同的VPN配置不同的RD。但是实际上只要保证存在相同地址的两个VPN实例的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果两个VPN实例中存在相同的地址，则一定要配置不同的RD，而且两个VPN实例一定不能互访，间接互访也不成。RD并不会影响不同VPN实例之间的路由选择以及VPN的形成，这些事情由RT搞定。PE从CE接收的标准的路由是IPv4路由，如果需要发布给其他的PE路由器，此时需要为这条路由附加一个RD。RD的本质在IPv4地址加上RD之后，就变成VPN-IPv4地址族了——VPNv4。而原来的标准的地址族就称为IPv4。VPNv4地址族主要用于PE路由器之间传递VPN路由VPNv4地址只是存在于MP-BGP的路由信息和PE设备的私网路由表中，也就是只是出现在路由的发布学习过程中。在VPN数据流量穿越供应商骨干时，包头中没有携带VPN-IPv4地址。

VPNv4与IPv4地址族RouteDistinguisher(8个字节)IPv4地址VPNv4地址结构：在PE本地的路由冲突和网络传播过程的路由冲突都已解决。但如果一个PE的两个本地VPN实例同时存在/24的路由，当他接收到一个目的地址为的报文时，他如何知道该把这个报文发给与哪个VPN实例相连的CE？肯定还需要在被转发的报文中增加一个标识。由于MPLS支持多层标签的嵌套，这个标识可以定义成MPLS标签的格式，即私网Label。

私网LabelBGP协议的特点VPNInstanceMP-BGPBGPMPLSVPN的实现BGPMPLSVPN

公网隧道的建立destinationNext-hop/32S0/1INoutNext-hopnull36S0/1启动公网IGP路由协议，PE之间互相可达，如PE1学到PE2的loopback地址路由;公网启动MPLS，PE之间建立可达的MPLS隧道路径,如上图PE1有到PE2的MPLS隧道。INoutNext-hop363S1/1INoutNext-hop3nullLP0destinationNext-hop/32S1/1destinationNext-hop/32LP0LOOPBACK0：/32PE上设立本地VPN,根据用户业务互访需求设置各VPN的RD,RT属性;将与用户项链的接口与对应的用户VPN进行绑定。本地VPN的建立VPN1RD：100:1RT：Import100:1Export100:1绑定接口：eth0/1Eth0/1Eth1/1VPN1RD：100:1RT：Import100:1Export100:1绑定接口：eth1/1LOOPBACK0：/32PE上设立本地VPN,将与用户网络相连的接口与VPN进行绑定,并根据用户组网需求设置各VPN的RD、RT属性。PE与CE之间运行路由协议多时例,将用户本地的路由学习到PE对应VPN的路由表