MPLS技术及MPLS的应用

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,MPLS技术及MPLS的应用,MPLS技术的引入(问题分析),IP网络可以承载大量的业务类型,成为当前最为重要的数据网络,但是IP路由数量的增加,已造成数据转发上的瓶颈(如图所述,路由查找消耗时间长),目前全球IP路由的数量,169602 network entries,全球路由表(SHOW结果),rtr1-a-1-shsh ip bgp sum,BGP router identifier 202.96.196.32,local AS number 4812,BGP table version is 47073188,main routing table version 47073188,169602 network entries,using 19334628 bytes of memory,2127875 path entries using 102138000 bytes of memory,155921/31161 BGP path/bestpath attribute entries using 16839468 bytes of memory,27963 BGP AS-PATH entries using 760720 bytes of memory,116 BGP community entries using 2848 bytes of memory,0 BGP route-map cache entries using 0 bytes of memory,0 BGP filter-list cache entries using 0 bytes of memory,BGP using 139075664 total bytes of memory,Dampening enabled.165 history paths,303 dampened paths,651088 received paths for inbound soft reconfiguration,BGP activity 482038/312436 prefixes,94055574/91927699 paths,scan interval 60 secs,使用MPLS的标签交换代替路由查询,类型FR的操作:,DLCI交换,配置静态对INTREFACE S0收到的DLCI=100的FRAME转发到INTERFACE S1,DLCI替换为200,LABLE交换的操作,在上游PE上根据IP地址分配LABLE;网络内P设备上使用LABLE交换(类似FR);再下游PE上删除LABLE,恢复路由交换,进入MPLS网,MPLS的架构,控制层,LDP/TDP、MP-BGP/MP-RIP;控制层负责网络设备间的标签分发、管理,数据层,数据转发引擎；使用控制层产生的标签转发表，完成对信息的转发（IP包）,LABLE,标签的位置（L2 HEAD和L3 HEAD之间L2.5）,标签长度32-bits，可以堆叠（一般为3级，最高支持8级）,3级（LDP-VPN-QOS）,LABLE标签,标签安装到L2和L3中间，可以同时安装多个标签,单个标签的式样，32bits.EXP-QOS分类；S-堆栈底标识，用于多个LABLE同时使用的情况，0为堆栈底；TTL-MPLS网内的TIME-TO-LIVE,使用S来实现多组标签的共用,实现MPLS VPN的应用，至少要同时使用两组标签。一组是用来,MPLS标签的产生及分发,MPLS 与ATM,MPLS技术，是在ATM的研究和实践基础上产生的，在功能上存在一定的可比性,相同：两者都实现数据的快速转发；使用的方法都是利用简单的标签（MPLS LABLE-32bits和ATM CELL-head-5Bytes）实现快速寻址,不同：MPLS可以自动实现标签分发（LDP）；ATM一般使用手工配置标签（PVC配置）,不同：ATM使用固定长度的PAY-LOAD进一步加速设备内的转发速度；MPLS的PAY-LOAD是IP包，长度不定,ATM通过手工建立传输通路（ATM VC），然后用户间才能传输信息；通讯点间的关系固定,MPLS则通过协议动态建立传输通路；通讯点间的关系是随机的,注：ATM中，使用SVC（AESA E.164地址）技术可以实现动态VC的建立，但在网际互联上存在厂商兼容性的问题。,因此国内现状往往是同一厂商设备网络内可以实现动态VC，但网络间则使用手工配置的PVC连接。,上海本地的情况：本地接入NORTEL产品，长途骨干LUCENT和NORTEL产品。,国际海光缆中心的同事？与国外运营商ATM互联时的情况是否也是如此？,这样的现实，造成了ATM业务，单一PVC模式,MPLS 标签分发的基本规律（LDP为例）,A,B,C,E0,S1,E0,E1,E1,S0,目标地址在左侧（），用户源在右侧,信令建立的方向和实际IP流的方向恰好相反,C路由器按照路由表信息建立LABLE转发表，取代路由表的工作。在E0上为目标分配LABLE25，在LABLE转发表中增加一项,（端口E0-LABLE-25入，端口S1-LABLE-POP出）,LABLE表项说明：,E0接口进入，目标到的IP包，将带有LABLE（25）进入本机，输出本机S1端口，LABLE出栈（POP），恢复正常的L3路由,C路由器从E0通知B路由器，将所有目标到的IP包插入 LABLE（25）。,B路由器从E1端口记录C发送到的要求，记录E1上LABLE（25）；B路由器为E0上为目标分配LABLE（23）；在LABLE转发表中增加一项,（端口E0-LABLE-23入，端口E1-LABLE-25出）,LABLE表项说明：,E0接口进入，目标到的IP包，将带有LABLE（23）进入本机，输出本机E1端口，LABLE修改为（25），恢复正常的L3路由,B路由器从E0通知A路由器，将所有目标到的IP包插入 LABLE（23）,A路由器从E1端口记录C发送到的要求，记录E1上LABLE（23）；B路由器S0在MPLS DOMAIN外，因此S0上的操作是提示开始使用标签转发；在LABLE转发表中增加一项,（端口S0-LABLE-START入，端口E1-LABLE-23出）,LABLE表项说明：,S0接口进入，目标到的IP包，增加LABLE，输出本机E1端口，LABLE修改为（23）,B路由器从E0通知A路由器，将所有目标到的IP包插入 LABLE（23）,（1）由MPLS信令建立LABLE转发表（下游到上游）（2）由LABLE转发表进行信息转发（上游到下游）,总结：,MPLS通过L3的路由表，借助MPLS控制层的功能，建立LABLE转发表。因此说，LABLE转发表来自路由表，优于路由表。,LABLE的实际流量方向与建立方向相反,LABLE只在本机有效，送出本机的同时需要修改（类型ATM VPI/VCI的操作）,注意：,何时触发LABLE表的建立过程,主动分配（设备为每个DEST目标建立LABLE；图中A、B、C在发现网段后，各自独立发起）,目标发起（目标网段在发现被访问的时候，本机开始建立LABLE，从而触发整个过程；图中C发起）,源发起（当某个网段中的用户需要访问DEST目标时间，源设备发出申请，申请传送到目标网段后，触发；图中，先由A发出申请给B，B传送申请给C，C核实申请后，由C开始发起建立过程）,在全程中所有设备没有都建立LABLE表情况下，信息通讯是否顺利？,没有建立LABLE表的设备上，依照IP ROUTING转发信息,MPLS的实际应用,LDP是最符合MPLS提出初衷的模组，但LDP不产生新的业务类型，它只是提高现有业务的转发效率,由MPLS引申出的新业务类型：,MPLS VPN,MPLS VPN业务（L3）,VPN业务简介,加密方式的VPNIP-SEC,现有业务：NTT的IP-VPN,支持拨号方式认证的VPNL2TP/PPTP,现有业务：VPDN,MPLS类型的VPNMPLS VPN,现有业务：MPLS VPN,注意：,一般的企业集成、ICP服务商都能提供IP-SEC或L2TP的VPN业务；只有运营商才能实施MPLS VPN。因为，MPLS VPN业务是建立在运营商原有网络MPLS化改造的基础上的。,目前国内MPLS VPN服务提供者：CT、CNC、UNI-NET,MPLS技术在实现VPN业务上需要克服的难点,用户信息与公网信息的分离（安全性）,IP-SEC使用DES或3DES加密算法，使用MD5+DH的认证,L2TP无加密（所以被认为是不安全的）,用户私网地址与公网地址的分离（可路由性）,IP-SEC支持隧道模式，可以将用户私网地址放置在公网IP包的PAY-LOAD里面，因此是可路由的,L2TP直接提供L2数据链路层的穿透，不影响在L2基础上提供的L3路由,VPN的安全性,VPN的可路由性,MPLS VPN使用两组LABLE,实现VPN的两大功能,RD用于实现VPN的安全性(route-distinguisher),RT用于控制VPN的可路由性(route-target),注意:RD和RT正确地说,并不是正式意义上MPLS的标签,而是产生标签的配置参数.但本课程中将不分析参数到标签的产生过程.,由RD产生的VRF,用户接入VPN网络,主要还是应用市内的DDN、ATM专线或光纤、PCM-2M资源，在接入点不存在信息混杂,普通INTERNET网络设备上无法区分哪些是用户-1的信息，哪些又是用户-2的信息，因此需要进行改造,如果把一个物理的路由器，划分两个相互隔离的逻辑设备，分配给不同的用户，就能实现用户信息的分离,RD是一个48bits的LABLE，用来划分设备上一个虚拟的路由器；RD一般的格式是ASN(16bits):NN(32bits用户号）,RD的LABLE分发，使用LDP协议,路由器的基本功能有两个：路由运算(routing)和IP包转发(forwarding)；RD的配置需要完成上述两个功能，才能构造一台虚拟路由器设备,不同的RD产生不同的路由表，各自独立运算一个VPN用户的IP路由，这个路由表称为VRF（virtual routing&forwarding)表,配置范例：,ip vrf tongyong-qiche(通用汽车),rd 65060:1001,需要为该VRF分配物理端口，这些端口用来连接VPN用户。,配置范例：,Interface s0/1/0:0,ip forwarding vrf tongyong-qiche(通用汽车),只要是路由器可以支持的接口，都可以加入到VRF中：DDN、ATM/FR、ETHERNET、POS，甚至是IP-SEC和L2TP的逻辑接口也可以加入到VRF中（上海本地的VPDN接入的MPLS VPN业务，满足移动终端或SOHO的用户）,使用RT控制用户间的正常路由,RT是一个双向的LABLE，EXPORT是输出方向；IMPORT是输入方向。以上海通用为例：在上海侧，将所有输出到全国各地（及国际）的信息，标注RT为65060：100；对输入上海的信息，如果RT为65060：100则接收，如果不是，则拒绝,注意：RT的IMPORT和EXPORT可以是不一样的；RT的IMPORT和EXPORT都可以配置一组以上；RT的标识模式和RD完全相同，但这两者是完全不同概念的两组标签，取值可以不同（习惯上我们的确分配一样的数值，便于识别）,RT在设备间的传递不是使用LDP协议，而使用专用的MP-BGP协议,VRF范例,指令show ip vrf显示该虚拟路由器的名称、RD、分配到的端口,toshiba-dm 9592:3589 Serial2/0/5:0 Serial9/0/1:0,motorola 4809:1021 Serial2/0/3:0,Serial5/1/7:0,Serial9/0/4:0,Serial9/1/0/13:0,指令sh