城域網與MPLS技術練永彬為什么需要MPLSMPLS原理BGPMPLSVPN城域網與MPLS技術

MPLS的現實意義MPLS的優勢城域網MPLS的拓撲結構業務流量示意圖為什么需要MPLS

業務眾多如：寬帶、互動、大客戶VPN、分前端監控和設備網管業務等等不像其他運營商按業務分平面支撐（如：電信的chinanet承載寬帶，CN2承載語音、大客戶VPN等），資源有限一張城域網跑多業務的安全性問題，特別是互動電視，應考慮安全播出的問題有價值大客戶VPN增值業務的實現互動業務對Qos的高要求MPLS的現實意義MPLS的優勢既具有ATM的快速交換，又有IP路由的靈活，而且多協議支持可擴展性，實現一次路由多次交換。天然的VPN隧道，實現VPN的動態建立，維護量小，傳輸安全性高多業務，每個業務對應的VPN實例互相獨立具有獨立的路由表項、路由協議等。

城域網MPLS網絡拓撲每個業務對應相應的VPN實例互相獨立，具有獨立的路由表項、路由協議等，從而實現業務之間的安全隔離。運行了MPLS的設備可看成是一個云整體。綁定VPN實例的端口為流量的出入口，只要是同一VPN實例就可以實現相互通信。業務流量示意圖MPLS網絡構造MPLS標簽LDP協議標簽的分配與管理MPLS轉發的實現MPLS原理MPLS（MultiprotocolLabelSwitching，多協議標簽交換），是一個介于二層與三層之間的協議。“一次路由，多次轉發”MPLS用一個短而定長的標簽來封裝網絡層分組，交換機或路由器根據標簽值轉發報文MPLS多協議是指：MPLS可以承載在各種鏈路層協議上，如PPP、ATM、幀中繼、以太網等MPLS的定義LSR（LabelSwitchingRouter）：LSR是MPLS的網絡的核心交換機或者路由器，它處于MPLS網絡的內部。LSR提供標簽交換和標簽分發功能。LER（LabelSwitchingEdgeRouter）：在MPLS的網絡邊緣，報文由LER進入或離開MPLS網絡。它提供標簽的映射、標簽的移除和標簽的分發功能。FEC（ForwardingEquivalenceClass，轉發等價類）：FEC是在轉發過程中以等價的方式處理的一組數據分組，可以通過地址、隧道、COS等來標識創建FECLSP（LabelSwitchingPath，標簽交換通道）：一個FEC的數據流，在不同的節點被賦予確定的標簽，數據轉發按照這些標簽進行。數據流所走的路徑就是LSPMPLS網絡構造MPLS網絡構造MPLS標簽LDP協議標簽的分配與管理MPLS轉發的實現MPLS原理LABEL：標簽值，長度為20bit，是標簽轉發索引。EXP=classofservice，長度為3bit，用于Qos。S：棧底標識符，長度為1bit，如有多個label（多層標簽嵌套）時，棧底（最后一個標簽）的S位為“1”，否則為“0”，只有一個label時S位亦為“1”。TTL：存活時間，每進行一次label交換，外層label的值就減“1”，與IP報文TTL值相似，用于防止環路。MPLS標簽結構MPLS協議通過在報文的鏈路層幀頭中進行識別，比如在以太網中，指示上層協議的類型字段使用0x8847來表示MPLS報文（00800是ip報文）MPLS標簽的識別MPLS網絡構造MPLS標簽LDP協議標簽的分配與管理MPLS轉發的實現MPLS原理標簽分配協議，用于在LSR之間分配標簽，建立LSP（eg：LDP、MP-BGP、BGP4+等等）。LDP（LabelDistributionProtocol）標簽分配協議，因為它實現簡單可靠，逐漸成為MPLS網絡中應用最為廣泛的標簽分配協議之一。標簽分配協議LDP是一個動態的生成標簽的協議,與動態路由協議（如OSPF）十分相像，都具備如下的幾大要素：報文（或者叫消息）鄰居的自動發現和維護機制一套算法，用來根據搜集到的信息計算最終結果。前者計算的結果是標簽，后者是路由主要功能：發布Label－FEC映射建立與維護標簽交換路徑LDP的基本概念在LDP協議中，存在4種類型的LDP消息：發現消息（Discoverymessages）用于LDP鄰居的發現和維持。會話消息（Sessionmessages）用于LDP鄰居會話的建立、維持和中止。通告消息（Advertisementmessages）用于LDP實體向LDP鄰居宣告Label、地址等信息。通知消息（Notificationmessages）用于向LDP鄰居通知事件或者錯誤。LDP消息類型

鄰居發現：通過互發Hello消息(UDP/port:646/IP:） 建立TCP連接：由地址大的一方主動發起。(TCP/port:646)

會話初始化：由Master發出初始化消息，并攜帶協商參數。由slave檢查參數能否接受，如果能則發送初始化消息，并攜帶協商參數。并隨后發送Keepalive消息。

master檢查參數能否接受，如果能則發送Keepalive消息。相互 收到Keepalive消息，會話建立。期間收到任何差錯消息，均關閉會話，斷開TCP連接

RouterA鄰居發現建立TCP

鏈接建立會話會話維護

RouterB鄰居發現建立TCP鏈接建立會話會話維護LDP會話的建立與維護MPLS網絡構造MPLS標簽LDP協議標簽的分配與管理MPLS轉發的實現MPLS原理標簽分配模式DoD：downstream-on-demand下游按需標記分配DU：downstreamunsolicited下游自主標記分配上游與下游：在一條LSP上，沿數據包傳送的方向，相鄰的LSR分別叫上游LSR（upstreamLSR）和下游LSR（downstreamLSR）。下游是路由的始發者。標簽控制模式有序方式（Ordered）獨立方式（Independent）標簽保持方式保守模式（Conservative）自由模式（Liberal）標簽分配和管理下游LSR在LDP會話建立成功，主動向其上游LSR發布標簽映射消息上游路由器保存標簽，存放到標簽映射表中標簽是設備隨機自動生成的，16以下為系統保留標簽分發模式：DU到/24可以使用標簽20到/24可以使用標簽18上游/24下游/24路由觸發下游LSR1LSR2LSR3上游LSR向下游LSR發送標簽請求消息（包含FEC的描述信息）下游LSR為此FEC分配標簽，并將綁定的標簽通過標簽映射消息反饋給上游LSR標簽分發模式：DOD分配到/24的標簽為20分配到/24的標簽為18上游/24下游/24路由觸發LSR1LSR2LSR3請求到目的地址/24請求到目的地址/24只有收到它的下游返回的標簽映射消息后才向其上游發送標簽映射消息上游下游LSR1LSR2LSR3標簽控制模式：有序標簽請求標簽請求標簽映射標簽映射不管有沒有收到它的下游返回的標簽映射消息都立即向其上游發送標簽映射消息標簽控制模式：獨立上游下游LSR1LSR2LSR3標簽映射標簽映射保守方式（Conservativeretentionmode）只保留來自下一跳鄰居的標簽，丟棄所有非下一跳鄰居發來的標簽。優點：節省內存和標簽空間。缺點：當IP路由收斂、下一跳改變時LSP收斂慢標簽保持方式——保守不是到/24的下一跳鄰居發來的標簽，丟棄/24LSR1LSR2LSR3LSR4LSR5MappingLabel17MappingLabel16MappingLabel20MappingLabel30自由方式（Liberalretentionmode）保留來自鄰居的所有發送來的標簽優點：當IP路由收斂、下一跳改變時減少了lsp收斂時間缺點：需要更多的內存和標簽空間。不是到/24的下一跳鄰居發來的標簽，保留/24LSR1LSR2LSR3LSR4LSR5MappingLabel17MappingLabel16MappingLabel20MappingLabel30標簽保持方式——自由標簽轉發表中的IN和OUT，是相對于標簽轉發而言，不是相對于標簽分配的IN和OUT：入標簽是我分給別人的，出標簽是別人分給我的我分配的標簽是給別人用的標簽轉發表INinterfaceINlabelPrefix/MASKOUTinterface(nexthop)OUTlabelSerial050/24Eth0（）80Serial151/24Eth0（）80Serial162/24Eth0（）52Serial152/24Eth1（）52Serial277/24Serial3（)3（pop）MPLS網絡構造MPLS標簽LDP協議標簽的分配與管理MPLS轉發的實現MPLS原理destinationNext-hopEth0/1標簽分配過程

用戶A

用戶ALSR3LSR2LSR1Eth0/1Eth0/2Eth0/0destinationNext-hopEth0/2destinationNext-hopEth0/0INoutNext-hopnull36Eth0/1Lable=36IppacketD=S=INoutNext-hop363Eth0/2INoutNext-hop3nullEth0/0Lable=3IppacketD=S=LabelmappingLabelmappingIppacketD=S=標簽轉發表LDPsession建立完成后，路由器根據路由表進行標簽分配，形成MPLS標簽轉發表。（相同目的的都是FEC）標簽轉發表主要包含入標簽（IN）、出標簽（OUT）和出接口，路由器可以根據標簽轉發表轉發MPLS報文。標簽是設備隨機自動生成的，16以下為系統保留。IppacketD=S=插入標簽：報文進入MPLS網絡，在LER設備上發現到達報文的目的IP地址有與其關聯的標簽轉發表項，LER設備進行壓標簽（PUSH）操作。交換標簽：報文在MPLS網絡中間進行轉發時，在LSR設備上進行標簽交換（SWAP），設備只需查詢標簽轉發表即可完成報文轉發。移除標簽：報文在轉出MPLS網絡時，LER3設備發現自己為該LSP的最下游設備，LER設備完成彈出標簽（POP）操作。倒數第二跳彈出

在最后一跳，最外層的標簽已經沒有意義，因此可以在倒數第二跳將標簽彈出，減少最后一跳的負擔。如果只有一層標簽，則最后一跳直接進行IP轉發；否則，對內層標簽做標簽轉發MPLS轉發的實現BGP協議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現BGPMPLSVPN網絡中VPN路由數目可能非常大，BGP是唯一支持大量路由的路由協議；BGP是基于TCP來建立連接，可以在不直接相連的路由器間交換信息，這使得P路由器中無須包含VPN路由信息；BGP可以運載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉發它們，這使在PE路由器間傳播路由非常簡單。BGP協議的特點BGP協議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現BGPMPLSVPNCE（CustomEdge）：直接與服務提供商相連的用戶設備。PE（ProviderEdgeRouter）：指骨干網上的邊緣路由器，與CE相連，主要負責VPN業務的接入。P（ProviderRouter）：指骨干網上的核心路由器，主要完成路由和快速轉發功能。VPN組網結構VPNinstanceRoutingtabledestinationNext-hop/24Eth0/0/24Eth0/1PE1CE2CE1Eth0/0Eth0/1每一個VPN實例可以看作虛擬的路由器，好像是一臺專用的PE設備。該虛擬路由器包括如下元素：一張獨立的路由表，當然也包括了獨立的地址空間。一組歸屬于這個VPN實例的接口的集合。一組只用于本VPN實例的路由協議。對于每個PE，可以維護一個或多個VPN實例，同時維護一個公網的路由表（也叫全局路由表），多個VPN實例相互分離獨立。Vpn1RoutingtabledestinationNext-hop/24Eth0/0Vpn2RoutingtabledestinationNext-hop/24Eth0/0BGP協議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現BGPMPLSVPN普通BGP僅僅支持IPv4，MP-BGP是為了讓BGP可以用于傳輸更多協議（IPv6,IPX,...）的路由信息而進行的擴展。為了保持兼容性，MP-BGP僅僅添加了兩個BGP屬性：MP_REACH_NLRI（MP_UNREACH_NLRI）和擴展團體屬性。MP_REACH_NLRI（MP_UNREACH_NLRI）可以用在BGPUpdate消息中用于通告或廢止網絡可達性信息。私網Label映射消息攜帶在MP_REACH_NLRI屬性中，前20位是標簽，后4位的前3位是EXP域，最后一位用于指示是否是棧底。MP-BGP協議一個擴展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私網Label和RDBGP發布路由時攜帶的信息MP_REACH_NLRI：address－family：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopback地址。NLRI:私網label：24個bit，與MPLS標簽一樣。prefix：RD:64bit＋ip前綴跟隨之后的是擴展團體屬性RT的列表Extended_Communities（RT1）Extended_Communities（RT2）對于使用了擴展屬性MP_REACH_NLRI和擴展團體屬性RT的BGP，我們稱之為MP-BGP協議BGP的擴展community屬性：RT（RouteTarget）擴展的community有如下兩種格式：其中type字段為0x0002或者0x0102時表示RT。RouteTargetTYPE(2字節）AdministratorFieldAssignedNumberField0x00022字節AS號4字節分配編號0x01024字節IP地址2字節分配編號RT的本質是每個VPN實例表達自己的路由取舍及喜好的方式。可以分為兩部分：ExportTarget與importTarget在一個VPN實例中，在發布路由時使用RT的export規則。直接發送給其他的PE設備在接收端的PE上，接收所有的路由，并根據每個VPN實例配置的RT的import規則進行檢查，如果與路由中的RT屬性match，則將該路由加入到相應的VPN實例中。RouteTarget本質由于每個RTExportTarget與importTarget都可以配置多個value，接收時是“或”操作，所以就可以實現非常靈活的VPN訪問控制。RouteTarget的靈活運用RD（RouteDistinguisher）路由區分，在BGPMPLSVPN的網絡中，私網路由的路由前綴的形式不再是普通的IPv4地址，而是RD+IPv4地址，這樣可以在路由前綴中直接標識該路由的VPN信息。RD的格式16位自治系統號ASN:32位用戶自定義數，例如：100:12位IP地址:16位用戶自定義數，例如：:1RD（RouteDistinguisher）TYPE(2字節）AdministratorFieldAssignedNumberField0x00022字節AS號4字節分配編號0x01024字節IP地址2字節分配編號理論上可以為每個VPN實例配置一個RD。通常建議為每個VPN都配置相同的RD，不同的VPN配置不同的RD。但是實際上只要保證存在相同地址的兩個VPN實例的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果兩個VPN實例中存在相同的地址，則一定要配置不同的RD，而且兩個VPN實例一定不能互訪，間接互訪也不成。RD并不會影響不同VPN實例之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標準的路由是IPv4路由，如果需要發布給其他的PE路由器，此時需要為這條路由附加一個RD。RD的本質在IPv4地址加上RD之后，就變成VPN-IPv4地址族了——VPNv4。而原來的標準的地址族就稱為IPv4。VPNv4地址族主要用于PE路由器之間傳遞VPN路由VPNv4地址只是存在于MP-BGP的路由信息和PE設備的私網路由表中，也就是只是出現在路由的發布學習過程中。在VPN數據流量穿越供應商骨干時，包頭中沒有攜帶VPN-IPv4地址。

VPNv4與IPv4地址族RouteDistinguisher(8個字節)IPv4地址VPNv4地址結構：在PE本地的路由沖突和網絡傳播過程的路由沖突都已解決。但如果一個PE的兩個本地VPN實例同時存在/24的路由，當他接收到一個目的地址為的報文時，他如何知道該把這個報文發給與哪個VPN實例相連的CE？肯定還需要在被轉發的報文中增加一個標識。由于MPLS支持多層標簽的嵌套，這個標識可以定義成MPLS標簽的格式，即私網Label。

私網LabelBGP協議的特點VPNInstanceMP-BGPBGPMPLSVPN的實現BGPMPLSVPN

公網隧道的建立destinationNext-hop/32S0/1INoutNext-hopnull36S0/1啟動公網IGP路由協議，PE之間互相可達，如PE1學到PE2的loopback地址路由;公網啟動MPLS，PE之間建立可達的MPLS隧道路徑,如上圖PE1有到PE2的MPLS隧道。INoutNext-hop363S1/1INoutNext-hop3nullLP0destinationNext-hop/32S1/1destinationNext-hop/32LP0LOOPBACK0：/32PE上設立本地VPN,根據用戶業務互訪需求設置各VPN的RD,RT屬性;將與用戶項鏈的接口與對應的用戶VPN進行綁定。本地VPN的建立VPN1RD：100:1RT：Import100:1Export100:1綁定接口：eth0/1Eth0/1Eth1/1VPN1RD：100:1RT：Import100:1Export100:1綁定接口：eth1/1LOOPBACK0：/32PE上設立本地VPN,將與用戶網絡相連的接口與VPN進行綁定,并根據用戶組網需求設置各VPN的RD、RT屬性。PE與CE之間運行路由協議多時例,將用戶本地的路由學習到PE對應VPN的路由表