MPLS VPN解决方案如何面向未来的网络?

2020-02-11 13:52:48 云杰通信 110

MPLS VPN解决方案如何面向未来的网络?

随着企业对VPN连接需求的增长,无论企业网络管理者还是服务供应商都将寻求更简单也更经济的方式来应付网络的增长。MPLS VPN解决方案是其中之一。这解决方案的独到之处在于如何协同工作,从而造就了大规模的提供QoS的VPN。

提供保密性:MPLS把路由信息的传播限于属于同一VPN的路由器之间,从而把第二层虚拟电路的保密性和第三层网络的全互连连接结合起来。

MPLS VPN的组成

MPLS VPN模式支持网内所有地点之间的全互连通信。多个用户共享同一个IP骨干网时,可以用BGP的归属社区属性指定属于同一个VPN的路由器。服务供应商可以设置策略来规定VPN网内的路由信息的传播只限于网内的路由器。

用户端路由器只与服务供应商本地POP的路由器相连,而不是与VPN每一个其它的地点,相连POP的路由器只接收并保持与其直接相连的VPN的路由信息。所以用户在管理自己的VPN时会发现使用MPLS模式时路由配置非常简单。他们可以把服务供应商的骨干网当作到他们所有地点的缺省路由来使用,而不需要与非常复杂的、包括了大量第二层PVC或第三层路由表的网络打交道。

编址方面的考虑

很多用户都愿意使用专用的IP编址方案,而不使用全局IP编址方案,所以服务供应商需要有效地处理地址不唯一彼此重叠的问题,是在每个用户的IP地址上加一个路由区分码(RD)。

服务供应商可以独立地分配RD,但是他们需要把他们专用的自治系统(AS)号作为RD的一部分来保证每个RD的全局唯一性。用户采用这种方法就不必重新对他们的节点进行编号,服务供应商也不必使用地址翻译。

分组的生命期

在MPLS VPN里,当用户地点的路由器收到一个分组时,会在本地进行查表,如果找不到一个匹配,它就会把分组转交给它所能看到的唯一的一个路由器:服务供应商本地POP的路由器。用户不必运行MPLS软件。

这个分组通过本地连接传送到服务供应商的网络,终接在接入路由器接口上。这个接口配置的RD用来标识用户特定的VPN以及与之相关的VRF表。

与VPN IP地址相关的标记有两个:内部标记用于标识VPN而外部标记指示下一跳应该沿着服务供应商核心网络中哪一个合适的IGP路由前进。在核心网中,分组的转发全部使用逐跳(hop-to-hop)MPLS,这种方式与普通的逐跳(hop-to-hop)IP转发相似,但查表基于标记而不是基于IP地址。因此可以使用支持标记分配协议(LDP)的任何类型的路由器或ATM交换机。

当接入路由器收到一个分组时,利用外部标记把它转发给另一个接入路由器。而当分组到达出口路由器时,路由器将外部标记移去,利用内部标记决定应当把分组发送到哪一个输出接口(即哪一个VPN)。

使用两级标记提高了MPLS VPN的可扩展性。内部标记只携带IGP路由,而不携带VPN路由。只有边缘路由器携带VPN路由,而且他们只携带他们归属的VPN的路由。

连接到Internet

用户也许会希望把他们的VPN连到公众Internet。在MPLS VPN里,Internet路由表是单独处理的。Internet路由在服务供应商的边缘路由器的全局路由表里维护,外部路由不分配标记。

指向某个Internet网关的缺省路由装在某个地点的VRF表里。这个缺省路由不是任何VPN的一部分。根据这个缺省路由转发的分组使用一个单独的标记,即使用IGP找到的对应Internet网关IP地址的路由。

全局路由表并不了解用户路由,也不了解边缘路由器或用户路由器,但全局表里装有指向该接口的静态路由。这个路由重新传播到BGP4全局表里并把这个路由通知Internet网关。缺省路由指定的Internet网关并不需要与路由器直接相连,不同的VRF表可以对应不同的Internet网关。

用户地点可以在另一个接口上使用专用EBGP会话从Internet接收或向Internet通报路由。服务供应商的边缘路由器把用户地点的路由导入全局路由表并通报给Internet。它同时把缺省路由或Internet路由告诉用户端路由器。