\ \\\ 兰 基于M P LS技术的 二、三层.VP N比较 ★ 罗恒洋 , 张 海 , 陈 涛 (安徽财经大学信息工程学院计算机系,蚌埠233041) 摘 要:描述MPLS隧道技术的主要思想,分析基于MPLS技术的二、三层VPN工作机制,比较 MPLS二、三层VPN的工作特点,提出要根据VPN网络设计性能和目标,合理选择基于 MPLS技术的VPN方案组建所需要的VPN。 关键词:MPLS;隧道技术;二层VPN;三层VPN 0 引言 早期的VPN使用某种专门的隧道协议完成VPN 功能.使用的是传统的IP交换技术.制约了VPN的 性能、随着MPLS技术在IP骨干网上的应用,其与生 俱来的对VPN支持能力充分显示出来.目前成为首 选的组建VPN技术 CE接人PE的方式必须相同.接人方式可以采用 Ethemet、PPP、ATM、帧中继和SDH/SONET,本文以帧 中继接人方式进行分析 如果VPN A中的CE1用帧 中继接口接人PE1.则VPN A中的CE2也必须通过 帧中继接口接入本地的PE2.在MPLS域中PE1和 PE2之间必须建立LSP.这些LSP的建立和VPN没 有关系,仍然通过LDP或RSVP建立LSP。图1中 1 MPLS技术思想 MPLS技术最初产生的原因就是要解决分组转 发速率问题.MPLS技术把传统的三层路由选择技术 和二层虚电路交换技术结合起来.提高了路由器的能 力.引进MPLS技术的路由器内分为两个相互的 功能模块.即控制模块和转发模块.控制模块主要完 成路由选择、标签绑定与分发功能,转发模块主要实 现根据标签指定的输出信息转发分组.可以由硬件实 现分组的转发.能够实现分组的线速转发 LAN1通过CE1用帧中继接口接人本地PE1.PE1就 时在CE1中建立路由表,如表1所示。 VPNA 192 l1.1.0 必须为帧中继接人电路分配数据链路连接标识符.同 2 MPLS二层VPN工作机制 传统IP VPN中.虚拟点对点连接通过隧道实 现.一旦在两个IP端点之间建立隧道.报文就可以安 全地从隧道一端传送到另一端 在MPLS域中.任意 现 两个端点之间可以建立标签交换路径(LSP).这个 代 LSP就称作LSP隧道 由此.引申出MPLS二层隧道 计 的VPN拓扑结构.如图1所示 算 图1中.CE为用户边缘路由器.PE为MPLS域 机 ^ VPN A l92.11.2.0 图1基于MPLS第二层VPN 总 二 的提供者边缘路由器.CE必须通过PE接入MPLS 对于CE1来说,MPLS域就像一个帧中继网络, 对于同一VPN,各个 第 域。一个PE可以接人多个VPN.通过DLCI=100的虚电路和VPN A CE2点对点相连. 九 五 ★基金项目:安徽省高等学校自然科学研究项目(No.KJ2007C302ZC) 收稿日期:2008—05—08修稿日期:2008一10—27 期 、, 作者简介:罗恒洋(1970一),男,山东滕州人,硕-xt-,讲师,研究方向为计算机网络与信息安全 @MOD ERN 0MPUTER 2008.11 / 硒究与开发 / 只要把送往192.11.2.0子网的IP报文封装成LAPF 帧封装成MPLS分组从端口2转发出去.MPLS标签 (核心)帧.帧首部DLCI字段值置为100。然后将封装 堆栈栈底标签为202.栈顶标签为505.中间路由器P 后的LAPF(核心)帧从相应帧中继接口(FR1)输出. 根据栈顶标签进行标签交换转发.图1中的P已是 就一定能够到达VPN A CE2 LsP上倒数第二跳【sR,只进行弹出、交换操作.不再 由于MPLS域中的LSP隧道是单向隧道.为了在 压入输出标签.到达PE2的MPLS分组所携带的标签 VPN A中实现各个子网的双向数据传输.要在PE1 只是栈底VPN标识标签.不是LsP输入标签.PE2根 和PE2上建立两条不同方向的LSP隧道 表2给出 据栈底VPN标识标签.查找PE2转发表.确定帧中继 PE1中.PEI—P—PE2 LSP隧道转发表.表3给出 输出端口和输出DLCI.对LAPF帧的DLCI字段进行 PE2中.PEI—P—PE2 LsP隧道转发表.PE1和PE2 置换,DLCI=300.将IAPF帧转发给CE2,CE2从 中逆方向的LsP隧道转发表本文略去.不影响分组在 IAPF帧中剥离出IP报文.根据IP报文的目的IP地 隧道中的转发分析 址.将IP报文转发给IP子网地址为192.11.2.0的 从表2中可以看出.PE1必须根据接收到的 LAN2 从CE角度看.MPLS域很像一个提供二层连 LAPF(核心)帧首部DLCI字段值确定VPN标识标 接的公共传输网络 签.选定对应的LSP.这个LsP可以通过PE1 LsP的 输出标签和输出接口确定 LsP的VPN标识标签和 3 MPkS三层VPN工作机制 输出标签是不同的.输出标签是隧道标签.PE1的 基于MPLS第三层VPN的网络拓扑结构如图2 LSP输出标签和LsP输出接口确定了【sP隧道.保证 所示 能够经过指定的I5P隧道将MPLS分组送到PE2 如 VPNA l92.1 1.1.O 果PE2接入了多个不同VPN时.无法从标识LSP的 标签字段中确定对应的CE来转发LAPF(核心)帧. 因此使用VPN标识标签.作为内层标签.让LSP末端 PE2用VPN标识标签确定LAPF(核心)帧的目的CE 12.2.2 及相应的DLCI IP报文从VPN A中的IP子网地址为192.11.1.0 的LAN1中终端发送到VPN A中IP子网地址为 192.1 1.2.0的L N2中终端,传送过程如下:LAN1中 2.1 终端首先把IP报文转发给用户边缘路由器CE1.CE1 根据报文目的IP地址确定下一跳路由器的IP地址 为192.11.1.2,连接方式为帧中继.DLCI=100,输出端 口为帧中继端口2(FR2).CE1将IP报文封装成 VPNA 192.11.2.0 l92.12.2.5 LAPF帧.帧首部DLCI字段值为10o.从指定输出端 图2基于MPLS第三层VPN 口将LAPF帧转发出去.PE1收到LAPF帧.根据DL— CI:l00.查找PE1转发表.确定VPN标识标签202和 图2中.CE1和CE2不需要知道属于同一VPN LSP,【5P输出标签5o5.LSP输出端口为2,将LAPF 的其他子网的分布情况.CE1和CE2只需配置直接 表1 CE1中有关192.11.2.0子网的路由项 目的IP地址l目的地址掩码I输出接口 I输出接口类型l虚电路DLcI l下—疏路由地址 192.11.2.0 l 255.255.255.0 J FR1 J FR l 10O J 192,12.1.2 表2 PE1中PE1一P—PE2 LSP转发表 MoDERN coMPu TER 2o0&l】 @ \、研究与开发 、、、、。________________________J. .———— 和其相连的LAN的路由情况 将PE1和PE2设置为 BGP的邻接路由器,同时,PE1和VPN A CE1,PE2和 所有从端口1接收到的报文均去检索为VPN A生成 的路南表 由于PE1的端VI 2使能了MPLS.可以确 VPN A CE2可以设置为RIP、OSPF、或BGP的邻接路 由器 MPLS域通过LDP或RSVP在PE1和PE2之间 建立PE1一PE2和PE2一PE1的LSP.PE1和VPN A CE1交换路由信息.PE2和VPN A CE2交换路由信 息 PE1和PE2通过BGP公告信息,PE1和PE2为 VPN A最终建立的路由表如表4和表5所示 对于PE1.目的地址192.1 1.2.0/255.255.255.0的 下一跳路由器为PE2.给出的PE2 IP地址为MPLS域 定从PE1到PE2的传输路径是LSP.PEI—P—PE2 的LSP如表6所示.PE1将IP报文封装成MPLS分 组.在标签堆栈中压入VPN标识标签后.将MPLS分 组交转发部件转发。转发部件根据FEC(10.2.3.8/ 255.255.255.255)去匹配转发表.确定MPI.S分组的输 出标签为100.输出端口为2.PE1在MPLS报文的标 签堆栈中压人用于指定LSP的输出标签100.从端口 2转发出MPLS分组 当P从端口1接收到MPLS分 内的全局IP地址.对于PE2.目的地址192.1l_1.O/ 255.255.255.0的下一跳路由器为PE1.给出的PE1 IP 地址同样为MPLS域内的全局IP地址 VPN标识标 签是用来标识IP报文所属VPN的.由于PE可能连 接多个属于不同VPN的LAN.这些属于不同VPN的 LAN所分配的IP地址可以相同(专用地址1,因此.PE 必须为属于不同VPN的LAN建立单独的路由表 当 有到达PE的报文时.PE无法从IP报文的目的IP地 组.根据输入端El 1和输入标签(MPLS分组栈顶标签 100)匹配转发表,找到输出端口2和输出标签200. 但由于P已是LSP的倒数第二跳LSR.P不再将输出 标签200压人标签堆栈.而是直接将弹出栈顶标签后 的MPLS分组转发给PE2.PE2根据MPI_S分组所携 带的标识标签2002确定IP报文属于VPN A.从 MPLS分组中剥离出IP报文.根据IP报文的目的地 址查找PE2为VPN A所生成的路由表.找到路由项. 由表将IP报文转发给IP地址为192.11.2.5的终端 CE1和VPN A CE2接入MPLS域的方式可以不同 址确定IP报文所属VPN.必须给报文携带用于区分 报文所属VPN的标识标签.PE1和PE2通过BGP公 并根据路由项将IP报文转发给CE2.CE2再根据路 告消息将VPN标识标签公告给对方 PE1一PE2的 LSP路径如表6所示 IP地址为192.11.1.5的终端.向IP地址为 由此可以看出.在基于MPLs第三层VPN中.VPN A 192.11.2.5的终端传输IP报文.传输过程如下:目的 地址为192.11.2.5的IP报文首先被传送到CE1.CE1 通过检索路由表发现IP报文的下一跳路由为PE1. 通过输出端口2将IP报文转发给PE1.PE1通过检索 路由表.发现IP报文的下一跳路由器为PE2.同时指 定该报文的VPN标识标签为2002.PE1为VPN A生 4两种方式的比较 (1)基于MPLS第二层VPN把MPLS域作为提供 第二层连接的公共传输网络.作为第二层连接两端的 用户设备.要采用同一种方式接入MPLS域.MPLS域 不参与用户VPN的路由过程.由用户负责解决同一 VPN内各LAN之间的路由问题.这就要求用户全面 成的路由表.必须指定PE1端El 1连接VPN A. 了解VPN中各LAN的分布及配置.对用户的网络设 表4 PE1为VPNA最终建立的路由表 现 代 计 算 机 ^ 表5 PE2为VPN A最终建立的路由表 总 第 二 PBl 表6 PE1— P+PE2的LSP P I P珏2 九 五 FEC l输入标签夏端口 输 出标签 端口 输入标签夏端口l翰出标签芨端口l输入标签夏端口 膏出标签夏端口 10.2.3.8/32 I 一 100,2 100,l I 200,2 l 200,l 期 v MODER N C OM PUTER 2008.1 1 计及配置知识有较高的要求:基于MPLS第三层的 VPN只要求用户配置有关直接相连的LAN路由信息 和接入MPLS域的PE.并不需要知道属于同一VPN 息.无法保证用户路由的专用性: (6)基于MPLS二层VPN用户其网络层以上可以 运行多种协议.而MPLS三层VPN用户的网络层以 上要运行相同的协议 的其他IJAN的情况.这就降低了对用户网络设计、配 置知识的要求.VPN的管理由网络服务提供者来进 行管理.方便了VPN用户: 5结语 采用基于MPLS第二层组建的VPN对用户要求 (2)基于MPLS第二层VPN.PE只需要和CE建 立链路层连接.一旦某个CE故障 只影响PE连接的 故障CE接13.而在基于MPLS第三层VPN中.某个 CE故障可能导致错误的路由信息.因而影响PE甚至 整个服务提供者的稳定性: (3)基于MPLS二层的VPN中.每个PE仅保持 较高.但从安全的角度来看,只使用骨干网提供的链 路层服务.VPN的专用性较强.因为服务提供者并不 了解用户的VPN结构.而MPLS第三层VPN组网中. 服务提供者的PE了解所有VPN信息.容易造成VPN 专用信息的泄漏 MPLS三层VPN是RFC2547提出 的VPN结构,从网络服务提供者角度来看易于管理、 CE有关的信息.并不保存CE所连接的多个VPN信 息.即多个VPN能够复用MPLS域内的一条隧道.在 基于MPLS的三层VPN中.PE要为一个CE连接的 扩充性好、有QoS保证、安全性较好。MPLS二、三层 VPN各有特点.网络实施者可以根据网络设计目标选 择一种合适方案.创建所需要的VPN 参考文献 多个VPN都要保留单独的VPN路由信息.这对 MPLS域内的PE性能要求有某些: (4)从用户角度看,MPLS二层VPN和传统的二层 VPN很相似.组建VPN时容易从传统的二层VPN升 级到基于MPLS的二层VPN 采用MP【JS组建三层 社.2003 【1】沈鑫剡.IP交换网原理、技术及实现.北京:人民邮电出版 【2]何宝宏.IP虚拟专用网技术.北京:人民邮电出版社,2002 VPN时.难度较大一些.对网络服务提供者有更高的 要求: [3]Willam Stallings.Data and Computer Communication,5th Edition.北京:清华大学出版社.1997 (5)MPI_S二层VPN中.网络服务提供者不参与 用户路由信息.保证了用户路由的专用性.而MPLS 三层VPN中.CE和PE是两个对等的网络设备.相互 交换路由信息.PE中要保留所有用户VPN的路由信 【4lMatthew Finlayson,Jon Herrison,Richard Sugarman.VPN Technologies a Comparison.Data Connection Limited,Feb— mary 2003 Comparision of L2 and L3 VPN Based on M PLS Technology LUO Heng-yang,ZHANG Hai , CHEN Tao 现 (Department of Computer,School of Information and Engineering,Anhui University of Finance&Economics,Bengbu 233041) Abstract:Describes the main idea of MPLS tunnel technology,analyzes the mechanism of L2 and I3 VPN based on MPLS.Compares the characteristics which are possesd by L2 and 13 VPN, proposes that on the basis of the property and target of network design a plan may be rea— sonably choosed to construct the MPLS VPN needed by customers. 代 计 算 机 ^ 总 第 二 Keywords:MPLS;Tunnel Technology;L2 VPN;L3 VPN 九 五 期 M0DERN coMPuTER 2㈣l@
