VPNV4地址族被用于PE路由器
来源:投稿网 时间:2024-02-16 10:00:08
随着公司的不断发展,DCN在线业务系统不断增加,除了97系统外,还有网络管理集中监控系统、电源监控系统、客户服务系统、OA3G网络管理系统。一些应用程序系统对安全性有很高的要求,如OA和财务,一些系统对带宽和网络质量(QOS)有很高的要求。现有网络不能满足企业经营管理的分而治之需求。由于信息系统集中整合的需要,MPLS升级。通过本次改造项目的实施,优化网络结构,提高整个DCN网络的安全性、可靠性和服务质量。虚拟多业务网络由实体物理网络实现,各种业务系统由MPLSVPN隔离。骨干基于现有的DCN骨干网络,灵活地连接到终端,满足企业内部应用的承载和安全需求。最后,DCN网络中的终端和主机必须划入其MPLSVPN域,实现各VPN域之间的通信隔离。同时,在各VPN之间建立数据通道,部署防火墙,通过数据通道访问和控制流量,实现不同VPN域通信数据的有效安全控制。
1MPLSVPN技术简介。
MPLSVPN是由几个不同的site组成的集合。一个site可以属于不同的VPN。属于同一VPN的site具有IP连接性,可以控制不同VPN之间的互访和隔离。
MPLSVPN网络主要由CE、PE和P三部分组成:CE(Customedgerouter,用户网络边缘路由器)设备直接与服务提供商网络联系。设备直接连接到用户的CE,负责VPN业务访问,处理VPN-IPV4路由。是MPLS三层VPN的主要实现者:P(Providerrouter,骨干网核心路由器)负责快速转发数据。在整个MPLSVPN中,P和PE设备需要支持MPLS的基本功能,CE设备不需要支持MPLS。
PE是MPLSVPN网络的关键设备。根据PE路由器是否参与客户的路由,MPLSVPN分为Layer3MPLSVPN和Layer2MPLSVPN。其中,Layer3MPLSVPN遵循RFC2547BIS标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN网站之间传输数据,也称为BGP/MPLSVPN。在MPLSVPN网络中,VPN的所有处理都发生在PE路由器上。因此,VPNV4地址族被用于PE路由器,RD被引入。VPNV4地址对于客户端设备来说是看不见的,只用于骨干网络上路由信息的分发。RT采用BGP扩展集团属性,用于路由信息的分发,具有全局独特性。同一个RT只能由一个VPN使用。分为ImportRT和ExportRT,分别用于路由信息的导入和导出策略。在PE路由器上,为每个Site创建了一个虚拟路由转发VRF(VPNRorting&Forwarding)。VRF是每个Site维护逻辑上分离的路由表,每个VRF都具有ImportRT和ExportRT属性。运营商通过合理配置ImportRT和ExportRT,可以构建不同类型的拓扑VPN,如重叠VPN和Hub-and-spokeVPN。
整个MPLSVPN系统结构可分为控制面和数据面。控制面定义了LSP的建立和VPN路由信息的分发过程,而数据面定义了VPN数据的转发过程。在控制层面,P路由器不参与VPN路由信息的交互。客户路由器通过CE和PE路由器之间的路由协议交互知道VPN的网络拓扑信息。除了路由协议外,LDP还在控制层面工作。它在整个MPLS网络中分发标签,形成数据转发的逻辑通道LSP。在数据转发层面,MPLSVPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(也称VPN标签)两层标签栈结构。当VPN业务组由CE路由器发送到入口PE路由器时,PE路由器从VRF表中找到相应的VRF表,并从VPN标签(也称为VPN标签)获得VPN标签。VPN分组被贴上两层标签后,通过PE输出接口转发,然后在MPLS骨干网络中逐步沿LSP转发。在出口PE之前的最后一个P路由器上,弹出了外部标签。P路由器将只包含VPN标签的分组转发给出口PE路由器。出口PE路由器根据内部标签找到相应的输出接口。弹出VPN标签后,VPN分组发送给正确的CE路由器,实现整个数据转发过程。
2.骨干迁移的三个关键问题。
由于DCN网络建设时间长,网络结构复杂,如何从所有使用IP环境的DCN转变为所有使用MPLSVPN环境的DCN已成为网络升级的重点。在网络转型过程中,网络的平稳运行对市场和业务系统都至关重要。由于MPLSVPN技术是全省DCN网络传输技术的彻底变化,如何在改变网络协议结构的同时,使网络仍然健康运行已成为实现MPLSVPN转型的首要问题。
过渡期最重要的三个问题是:
1)在IP环境下,各个领域之间的路由交换问题。实现方法是将DCN的各个IP网络单元逐一改造为MPLSVPN网络单元,然后与省公司逐一建立MPBGP邻居,实现全网MPLSVPN。
2)实现受控互访,即市公司在同一VPN区域内不可见;市公司可以访问同一VPN区域的省公司;市公司访问不同VPN区域的省公司业务。方案设计采用HUB-SPOKE和PE和CE控制。
3)VPN划分和IP地址分类。在DCN网络建设的早期阶段,不考虑每个应用程序系统的MPLSVPN划分。因此,大多数系统混合在一起,或连接到同一设备,或只是在同一网络段。同时,生产管理地址段也存在混合问题。具体系统混合问题可分为三类:地址混合、设备支持能力不足和第二地址问题。