綜合分析市場需求和技術發展趨勢,華為公司在網絡操作系統VRP和相關網絡產品的基礎上推出了MPLS VPN,包括MPLS/BGP VPN、Kompella MPLS L2 VPN方案,為用戶提供商用的MPLS VPN業務。如圖1所示,華為MPLS VPN采用城域網核心層設備做為P設備,采用城域網匯聚層設備做為PE設備,用戶CE設備通過城域網接入層接入PE,全面實現MPLS VPN業務的運營。
對于MPLS BGP VPN組網方式而言,由于CE、PE設備之間不能間隔其他三層設備,因此,在IP城域網組網時必須注意:對于通過L2+L3接入PE的LAN用戶,可通過VLAN透傳將CE的數據流終結到PE設備;對于采用路由器+L2建設的城域網,可通過GRE+策略路由的方式將VPN用戶接入PE設備;對于使用綜合方式接入的用戶,可在PE設備終結PVC來實現VPN業務。
通過MPLS VPN技術,華為IP城域網方案可以提供企業內部互連(Intranet)、外部互連(Extranet)、Internet訪問、跨AS域支持、網管和記費等服務。
二、企業內部互連與外部互連
實現企業內部跨區域互連或企業間跨區域互連是MPLS VPN的主要應用之一,根據企業用戶的實際業務需求,可以通過VRF中Target屬性(Import、Export)的靈活配置來實現。
■企業跨區域內部互連需求
許多跨區域的大中型企業,希望將分布在各地區的子公司通過網絡連接起來,圖2和圖3是華為提出的兩種典型的實現方案。
圖2 跨區域大中型企業典型聯網方案1
在圖2中,各PE VRF中的Target屬性相同,這種配置可以實現總部與分公司,分公司與分公司之間的互訪,圖3所示的方案可以實現總部與各分公司之間的互訪,而各分公司之間不能互訪。當然,通過對Target的不同配置,還可以實現更多的應用需求,如實現部分站點互訪的需求。
圖3 跨區域大中型企業典型聯網方案2
■企業間互連需求
許多企業為了方便與供應商、客戶或合作伙伴進行聯系,往往采用跨企業的網絡實現互連,這就是所謂的Extranet。如果企業之間準許實現完全互訪,則通過簡單地配置Target屬性即可實現,但實際上大多數企業更傾向于企業間的受限訪問方案。例如,企業希望合作企業只能訪問到某些相關的數據庫,圖4所示的HUB-SPOKE方案可以實現這種需求。
圖4 HUB-SPOKE方案
在圖4中,兩個SPOKE分別對應兩個企業的Site。為了實現受限互通的目的,首先將兩個Site中的路由通過IN接口導入CE設備的路由器中,CE設備采用策略路由等路由過濾機制,當然也可以在SPOKE處首先進行路由出過濾,然后從OUT出口將過濾后的路由發布到SPOKE上,實現企業之間的受限訪問。
三、Internet訪問
Internet訪問是MPLS服務提供商為企業用戶提供的重要業務,華為在綜合考慮地址重疊、訪問控制和安全因素等基礎上,提供以下三種解決方案。
■企業內部訪問控制方式
如圖5所示,這種方式在每個企業的VPN內部對Internet訪問設置NAT和防火墻處理,將安全機制放于企業的統一出口處(CE2)。VPN內部各Site訪問Internet的數據流,首先到該VPN的某一Site中(一般為公司總部Site),在該Site進行NAT和防火墻處理后進入公網。這種方式只要求在客戶端進行配置,而對于運營商一側,網絡沒有配置要求,但對運營商來說,這種方式無法對客戶訪問Internet進行統一管理。
圖5 Internet企業內部訪問控制方式
■集中訪問控制方式
如圖6所示,這種方式的控制集中放置在服務提供商的Internet出口處(PE),為了解決各VPN重疊保留地址的問題,必須為每個VPN配置一個防火墻,各VPN用戶通過屬于自己的防火墻實現Internet訪問。這種方法要求運營商為每個VPN配置一個訪問Internet的VPN,在客戶端需要配置一條訪問Internet VPN的缺省路由,由于該方法要求運營商進行配置,而且每個VPN都需要一個防火墻,因此當VPN用戶較多時網絡投資較大,但這種方法允許運營商對VPN用戶訪問Internet進行有效的管理。
■二級控制方式
如圖7所示,這種控制方式首先在企業內部進行Internet訪問控制,然后在服務提供商處再進行一次訪問控制,即兩級訪問控制。這種方式的優點在于,它可使企業對內部用戶的訪問進行控制,同時運營商也可對用戶訪問Internet進行統一控制,這種方式與第二鐘方式不同,它不需要增加太多的投資。當然這種方式的缺陷也是顯然的,一是配置復雜,二是效率低于前兩種。
四、對跨AS域的支持
對于大型MPLS骨干網來說,必須支持跨域業務,華為NE設備支持三種跨域方式。
■VRF-to-VRF
如圖8所示,這種方式要求兩個域的ASBR能夠完成PE功能,兩個AS域各自運行自己的VPN。對于每個需要跨域的VPN,必須在本端跨域的PE設備上配置對應于該VPN的VRF,將對端的PE設備做為本域VPN的CE,PE-CE之間運行EBGP協議,攜帶對端的VPN路由信息。這個方法的優點是在于,ASBR之間不需要運行MPLS,但缺點是每個跨域的VPN需要與一個子接口綁定,子接口的數量至少要和跨域的VPN的數量相當。跨域的PE路由器需要維護跨域VPN的路由,因而存在擴展問題。
■MP-EBGP
如圖9所示,這種方式通過直連的ASBR傳播VPN路由,并為相應的VPN路由分配一個標簽,其優點是不需要在ASBR處為每個VPN的用戶站點分配一個子接口,缺點是需要在ASBR處維護VPN路由,從PE入口到PE出口需要一條完整的LSP,ASBR之間需要互相信任。
■Multi-Hop MP-EBG
如圖10所示,這種方式首先路由擴散在入口與出口之間,通過LDP或MP-BGP+LDP方式建立LSP,然后不同AS域之間的PE通過EBGP方式傳播VPN路由信息。這種方式的可擴展性能較好,不需要在ASBR上維護具體用戶的VPN路由信息。
五、網管與靈活記費
對于MPLS VPN而言,管理的內容包括PE設備、PE-CE之間的鏈路和CE路由器三個部分。對于PE設備,通過普通IP即可進行管理;對于PE-CE之間的鏈路以及CE設備的管理必須通過管理VPN,即所有VPN都同時屬于同一個管理VPN,管理工作站也屬于該VPN。當一個CE路由器加入一個VPN之后,再不能通過Ipv4路由來訪問它。為了能夠在中央網管對所有PE-CE鏈路和CE路由器進行管理,必須建立一個特殊的管理VPN,所有CE路由器作為該VPN的成員。為了防止地址重疊,在具體實現時,CE路由器上與PE相連的接口地址采用公網地址,并且在中央網管設備上進行路由過濾,只引入PE-CE接口路由。
京公網安備 11010502049343號