注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

zjc的博客

技术积累

 
 
 

日志

 
 

MPLS网络中的MCE设备  

2009-12-17 11:08:20|  分类: 网络应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

MCE概述

MCE功能是Multi-CE的简称,具有MCE功能的交换机可以在BGP/MPLS VPN组网应用中承担多个VPN实例的CE功能,减少用户网络设备的投入。

图1-1是一个BGP/MPLS VPN组网方案的示意图。

 MPLS网络中的MCE设备 - zjcdillion - zjc的博客

图1-1 BGP/MPLS VPN组网

CE和PE的划分主要是根据SP与用户的管理范围,CE和PE是两者管理范围的边界。

CE设备通常是一台路由器,当CE与直接相连的PE建立邻接关系后,CE把本站点的VPN路由发布给PE,并从PE学到远端VPN的路由。CE与PE之间使用BGP/IGP交换路由信息,也可以使用静态路由。

PE从CE学到CE本地的VPN路由信息后,通过BGP与其它PE交换VPN路由信息。PE路由器只维护与它直接相连的VPN的路由信息,不维护服务提供商网络中的所有VPN路由。

P路由器只维护到PE的路由,不需要了解任何VPN路由信息。

当在MPLS骨干网上传输VPN流量时,入口PE做为Ingress LSR(Label Switch Router,标签交换路由器),出口PE做为Egress LSR,P路由器则做为Transit LSR。

H3C S3610&S5510系列以太网交换机可以充当CE的角色参与BGP/MPLS VPN的建立和运行。

1.1.2  BGP/MPLS VPN基本概念

1. site

在介绍VPN时经常会提到“site”,site(站点)的含义可以从下述几个方面理解:

l              site是指相互之间具备IP连通性的一组IP系统,并且,这组IP系统的IP连通性不需通过服务提供商网络实现;

l              site的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个site中的设备地理位置相邻;

l              一个site中的设备可以属于多个VPN,换言之,一个site可以属于多个VPN;

l              site通过CE连接到服务提供商网络,一个site可以包含多个CE,但一个CE只属于一个site。

对于多个连接到同一服务提供商网络的sites,通过制定策略,可以将它们划分为不同的集合(set),只有属于相同集合的sites之间才能通过服务提供商网络互访,这种集合就是VPN。

2. 地址空间重叠

VPN是一种私有网络,不同的VPN独立管理自己使用的地址范围,也称为地址空间(Address Space)。

不同VPN的地址空间可能会在一定范围内重合,比如,VPN1和VPN2都使用了10.110.10.0/24网段的地址,这就发生了地址空间重叠(Overlapping Address Spaces)。

3. VPN实例

在MPLS VPN中,不同VPN之间的路由隔离通过VPN实例(VPN-instance)实现。

PE为每个直接相连的Site建立并维护专门的VPN实例。VPN实例中包含对应site的VPN成员关系和路由规则。如果一个site中的用户同时属于多个VPN,则该site的VPN实例中将包括所有这些VPN的信息。

为保证VPN数据的独立性和安全性,PE上每个VPN实例都有相对独立的路由表和LFIB(Label Forwarding Information Base,标签转发表)。

具体来说,VPN实例中的信息包括:标签转发表、IP路由表、与VPN实例绑定的接口以及VPN实例的管理信息。VPN实例的管理信息包括RD(Route Distinguisher,路由标识符)、路由过滤策略、成员接口列表等。图1-1是一个BGP/MPLS VPN组网方案的示意图。

 MPLS网络中的MCE设备 - zjcdillion - zjc的博客

图1-2所示。

MPLS网络中的MCE设备 - zjcdillion - zjc的博客

 

图1-1所示。

随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络内的用户需要划分成多个VPN,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置一台CE将加大用户的设备开支和维护成本;而多个VPN共用一台CE,使用同一个路由表项,又无法保证数据的安全性。

使用S3610&S5510系列以太网交换机提供的MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。

图1-3为例介绍MCE对多个VPN的路由表项进行维护,并与PE交互VPN路由的过程。

MPLS网络中的MCE设备 - zjcdillion - zjc的博客

图1-3所示,左侧私网内有两个VPN站点:Site1和Site2,分别通过MCE设备接入MPLS骨干网,其中VPN1和VPN2的用户,需要分别与远端Site2内的VPN1用户和Site1内的VPN2用户建立VPN隧道。

通过配置MCE功能,可以在MCE设备上为VPN1和VPN2创建各自的路由转发表,并使用Vlan-interface2接口与VPN1进行绑定、Vlan-interface3与VPN2进行绑定。在接收路由信息时,MCE设备根据接收接口的编号,即可判断该路由信息的来源,并将其维护到对应VPN的路由转发表中。

同时,在PE1上也需要将连接MCE的接口(子接口)与VPN进行绑定,绑定的方式与MCE设备一致。MCE与PE1之间通过Trunk链路连接,并允许VLAN2和VLAN3的报文携带VLAN Tag传输,从而使PE1在接收时可以根据报文所属VLAN判别该报文属于哪一个VPN,将报文在指定的隧道内传输。

1.2  MCE的路由信息交换

通过接口与VPN实例的绑定,CE与PE已经能够正确判断报文的来源,参考对应VPN实例的路由信息对报文进行转发。下面介绍一下MCE设备如何将多个VPN实例的私网路由信息准确传播到PE设备。

1.2.1  CE与私网间的路由交换

CE可以使用如下的路由协议与Site交换VPN私网路由:

l              静态路由

l              RIP

l              OSPF

l              IS-IS

l              EBGP

&  说明:

下文只介绍各路由协议与MCE功能配合的配置思想,有关路由协议的基本原理,请参见本手册“IPv4路由”部分的相关介绍。

 

1. 使用静态路由

CE可以通过静态路由与Site连接。传统CE配置的静态路由对全局生效,无法解决多VPN间的地址重叠问题。S3610&S5510系列交换机提供的MCE功能可以将静态路由与VPN实例相绑定,将各VPN之间的静态路由进行隔离。

2. 使用RIP

S3610&S5510系列交换机提供了将RIP进程与VPN实例绑定的方法,通过在CE和Site间配置相同的绑定关系,使不同VPN内的私网路由可以通过不同的RIP进程在Site和CE间进行交互,保证了私网路由的隔离和安全。

3. 使用OSPF

S3610&S5510系列交换机提供了将OSPF进程与VPN实例绑定的功能,用来在CE上隔离不同VPN的路由。

需要注意的是:

在VPN实例所绑定的OSPF进程中,将不会使用在系统视图下配置的公网Router ID,需要用户在启动进程时手工配置Router ID。

一个OSPF进程只能属于一个VPN实例,但一个VPN实例可以使用多个OSPF进程为其传播私网路由。同一VPN实例内的OSPF进程应配置有相同的域ID,以保证路由发布的正确性。

&  说明:

对于标准的BGP/OSPF互相引用功能,当在MCE设备上配置引入BGP路由到OSPF中时,该路由的原OSPF属性将无法恢复,造成该路由与从其他域引入的路由无法区分。为了区分原属于不同OSPF域的路由,需要在远端PE将OSPF路由引入到BGP时携带标识域的属性,即OSPF的域ID(Domain ID)。OSPF进程的域ID包含在此进程生成的路由中,在将OSPF路由引入BGP中时,域ID被附加到BGP VPN路由上,作为BGP的扩展团体属性传递。

 

在某些情况下,同一个VPN可能会连接多个MCE设备,当其中一个MCE将从BGP学到的路由向VPN内发布时,可能会被另外的MCE设备学到,造成路由环。为避免路由环路,可以在MCE上为不同的VPN实例配置Route Tag,建议在多个MCE上为同一个VPN配置相同的Route Tag。

4. 使用IS-IS

CE和Site之间使用IS-IS传播私网路由的方式与使用OSPF时类似,将进程与VPN实例进行绑定。一个IS-IS进程只能属于一个VPN实例。

5. 使用EBGP

当CE和Site之间使用EBGP传播私网路由时,需要在CE上为每个VPN实例配置BGP对等体,并引入相应VPN内的IGP路由信息。由于各个Site间正常情况下是处在不同的AS内,因此使用EBGP进行路由的传播。

(1)        配置EBGP引入各Site内的IGP路由

为正确的将私网路由发布到PE,需要MCE首先将与其直连Site内的IGP路由引入到自己的BGP路由表中。

(2)        为每个VPN实例配置对等体组

为准确地与各Site交换路由信息,可以在BGP的IPv4地址族视图下,为每个VPN实例配置对等体组,并指定对等体组的AS编号。

(3)        通过Filter-policy对路由进行过滤

为正确地将路由信息传播到Site和PE设备,在指定对等体后,还需要使用Filter-policy对接收/发布的路由进行过滤。

1.2.2  CE与PE间的路由交换

由于在MCE设备上已经将路由信息与VPN实例进行了绑定,而且在CE-PE之间,也通过接口对VPN实例的报文进行了区分。因此,CE与PE之间只需要进行简单的路由配置,并将MCE的VPN路由表项引入到CE-PE间的路由协议中,即可以实现私网VPN路由信息的传播。

CE-PE之间可以使用以下的路由协议进行路由交换:

l              静态路由

l              RIP

l              OSPF

l              IS-IS

l              EBGP

各路由协议的配置方法及引入路由的操作,请参考本手册“IPv4路由”部分的介绍。

转自:http://www.h3c.com.cn/Service/Document_Center/IP_Network_Product/Switches/S3610/S3610/Configure/Operation_Manual/S3610%5BS5510%5D_OM-Release-5303(V1.01)/200901/624475_30005_0.htm#_Toc191783640

  评论这张
 
阅读(2097)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018