中国电信路由型MPLSVPNQOS技术原理及业务实现

CN2 国内业务节点
国内PE/PE-ASBR设置国内覆盖约200城市二期扩容后，大部分城市具备双PE备份接入能力，并为软交换工程配套的PE上新增业务端口，为大客户VPN业务提供双PE接入。国内PE路由器配置有2.5G POS、GE、Channelized STM-1卡，其中采用两条2.5G POS电路分别与该城市节点两台P路由器连接。GE、Channelized STM-1作为VPN接入电路(N*64K,N*2M接入)。
Back-to-Back VRF方式:转发平面
PE-1
PE-2
VPN-B-1
CE-2
CE-3
VPN-B-2
PE-ASBR间VRF to VRF互联
PE-ASBR-1
PE-ASBR-2
152.12.4.0/24
152.12.4.1
32 | 92 | 152.12.4.1
152.12.4.1
Back-to-Back VRF 方式-1/2
需要对VRF进行灵活控制的情况下，推荐使用Back-to-Back VRF ASBR直接通过一条物理链路互联为每个VRF创建和分配一个子端口包转发直接使用 IP封装，无需打上标签每个 PE-ASBR 视对方为CEPE-ASBR to PE-ASBR 链路使用PE-CE支持的常见路由协议大量VRF情况下存在时，配置工作量较大
路由型VPN技术原理-1/10
MPLS VPN网络结构CE（Custom Edge）用户Site中直接与服务提供商相连的边缘设备，一般是路由器； PE（Provider Edge）骨干网中的边缘设备，它直接与用户的CE相连；P 路由器（Provider Router）骨干网中不与CE直接相连的设备。
路由型VPN技术原理-2/10
VPN路由转发实例VRF (VPN routing & Forwording)包含一个或多个直接相连的CE路由表和一张转发表，VRF可以与任何类型的接口关联起来 在PE和CE之间通过Static、EBGP 、RIP、OSPF等来传播路由信息PE维护独立的路由表：公网和私网
路由型VPN技术原理-9/10
MP-BGP的扩展属性: MP_UNREACH_NLRI
路由型VPN技术原理-10/10
每个RT Export Target与import Target都可以配置多个属性，可以实现非常灵活的VPN访问控制
B
A
A
Ｃ
Ｂ
网络拓扑控制（1/3）
全网状组网（any-to-any）全网状组网强调网络的互通性，确保VPN所有站点互联互通，该方案适合不同部门或分支机构有频繁业务来往的企业组网需要。配置如下：ip vrf CTVPN10000-Mortorla description Mortorla VPN in BeiJing Site rd 4809:100000 route-target import 4809:10000000 route-target export 4809:10000000
CN2 国内业务节点
一期PE配置的业务板卡Engine3 4口GE 一块Engine0 2口Choc3一块二期PE配置的业务板卡Engine3 4口GE 一块SIP－601 （大多数城市）SIP－501 （安徽）SPA Choc3SPA-5X1GE
CN2 国际网络
CN2在北京、上海和广州各设置了2台国际业务路由器（ISR）作为国际VPN业务互连ASBR和直接国际VPN客户接入（PE用途）。Cn2在香港、东京、新加坡、伦敦、法兰克福、纽约、华盛顿、圣何塞、洛杉矶设置了9个POP节点，初期提供国际VPN客户、Internet接入和网间互连业务。国外运营商互连只能与国形组网（Hub-Spoke） 分支机构VRF配置如下所示： ip vrf CTVPN10001-Mortorla description Mortorla VPN in ShangHai Site rd 4809:100001 route-target import 4809: 10000100 route-target export 4809: 10000101!
路由型VPN技术原理-7/10
Route TargetRT使用BGP 扩展Community属性,并并且重新命名:RT（ Route Target ）PE路由器存在两个Route Target属性的集合Import TargetsExport Targets
√
路由型VPN技术原理-8/10
MP_REACH_NLRI信息跟随之后是RT列表
VPN-v4 update:
RD:1:27:152.12.4.0/24, NH=PE-1
RT=1:222, Label=(29)
VPN-B VRF
Import routes with route-target 1:222
BGP, OSPF, RIPv2 152.12.4.0/24 NH=PE-ASBR1
13 | 29 | 152.12.4.1
152.12.4.1
MPLS VPN业务实现
中国电信MPLS VPN业务网络参考模型CN2 VPN BGP路由设计CN2国内网络CN2 国际网络接入段要求QOS部署
中国电信MPLS VPN业务网络参考模型(1/2)
A
业务网络参考模型(2/2)
中国电信提供路由型MPLS VPN业务采用CN2+城域网两级架构。用户CE可直接通过CN2网络接入或通过城域网接入；用户接入支持以太、数字电路等多种接入方式。CN2和城域MPLS VPN跨域对接优先采用Option A方式，采用两对PE-ASBR背对背进行对接。中国电信设置三个出口局（北京、上海、广州），各部署2台ISR提供与合作运营商MPLS VPN对接，对接方式优先采用Option A。此外通过海外POP节点，也可以提供跨运营商MPLS VPN对接。符号说明：P：代表MPLS 网络的P路由器， CN2的A、D和C类路由器都是P路由器S：代表边缘业务路由器VR：代表VPN MBGP的路由反射器，虚线代表BGP PEER关系MAN：代表城域网CE: 代表MPLS VPN客户接入路由器W: 代表延伸交换机F:海外POP业务路由器
VPN-v4 update:
RD:1:27:152.12.4.0/24, NH=PE-ASBR-2
RT=1:222, Label=(92)
VPN-B VRF
Import routes with route-target 1:222
BGP, OSPF, RIPv2 152.12.4.0/24,NH=PE-2
AS #100
AS #200
Vlan-A
Vlan-B
Back-to-Back VRF 方式:控制平面
PE-1
PE-2
VPN-B-1
CE-2
CE-3
VPN-B-2
PE-ASBR间VRF to VRF互联
PE-ASBR-1
PE-ASBR-2
152.12.4.0/24
BGP, OSPF, RIPv2 152.12.4.0/24,NH=CE-2
Back-to-Back VRF 互联-2/2
VPN-A-1
PE-1
VPN-A-2
PE-2
CE-4
VPN-B-1
CE-2
CE-1
CE-3
VPN-B-2
PE-ASBR间VRF to VRF互联
需要在NNI接口为每个VPN创建逻辑接口和配置VRF，配置PE－CE路由
PE-ASBR-1
PE-ASBR-2
ISR配置板卡情况
北京节点ISR1： POS OC3（8口）, SIP401,SPAE3/T3 6口，SPA ChOC3ISR2： engine3 4口GE， engine3 4口ATM上海节点ISR1： POS OC3（8口）, SIP401,SPAE3/T3 6口，SPA ChOC3ISR2： engine3 4口GE， engine3 4口ATM广州节点ISR1： POS OC3（8口）, SIP401,SPAE3/T3 6口，SPA ChOC3ISR2： engine3 4口GE， engine3 4口ATM
路由型VPN技术原理-5/10
RD结构RD格式2字节ASN,4字节用户自定义，例如：100:14字节IP,2字节用户自定义，例如：172.1.1.1:1一般为一个Site分配一个RD,它是VRF标志
√
路由型VPN技术原理-6/10
MP-BGP(MultiProtocol BGP)MP-BGP是BGP支持多协议的扩展, 不仅能承载IPv4路由，而且能承载VPN，IPv6，组播等路由为保持兼容性, MP-BGP引入了两个路由属性:MP_REACH_NLRI:在BGP Update消息中用于发送可达新协议的路由 MP_UNREACH_NLRI:在BGP Update消息中用于撤销多个不可达路由
目录
MPLS技术原理MPLS VPN技术原理跨域MPLS VPN技术CN2 MPLS VPN业务部署MPLS VPN QOS 设计
MPLS技术原理
MPLS 如何转发Label header格式MPLS转发过程
MPLS如何转发
MPLS如何转发
MPLS 标签格式-1/2
EXP01234567
IPP
Inter-AS 技术概况
Back-to-Back VRF（常用）关注可控、安全、支持流量控制MP-eBGP（常用） 基于可信任,关注可扩展、可管理性多跳MP-eBGP（少用）基于可信任、关注可扩展、可管理性多跳RRs MP-eBGP（少用） 基于可信任、关注可扩展、可管理性
Inter-AS互连模式
网络拓扑控制（2/3）
星形组网（Hub-Spoke） 适合主从架构的机构组网需要，目前大部分企业和政府部门属于这种架构，在这种架构中，保证分支机构和总部直接通性，而防止分支机构直接访问，实现VPN访问的安全性。总部站点VRF配置如下所示：ip vrf CTVPN10001-Mortorla description Mortorla VPN in BeiJing Site rd 4809:100001 route-target import 4809:10000101 route-target export 4809:10000100
路由型VPN报文转发
入口PE收到CE的普通IP报文后，PE根据入接口所属的VRF加入到相应的VPN转发表，查找下一跳和标签。
149.27.2.27
28
3
路由型MPLS VPN原理总结
为解决不同VPN地址冲突，引入了新的地址族--VPN-v4地址=RD+IPv4; RD+IPv4具有唯一性在控制平面，PE之间使用MP-BGP交换VPNv4路由;使用RT属性控制VPN路由策略,形成相应的VPN拓扑在控制平面， PE与CE之间使用普通路由协议交换路由在转发平面，PE之间需要需要建立路由LSP在转发平面， P路由器上，VPN数据包使用外层路由Label进行转发；在进入PE路由器上，根据VPN Label区分相应VRF，定位相应的Site
MPLS 标签格式-2/2
MPLS转发模式(帧模式)
以帧为单位进行转发，入口LSR对IP报文进行压栈（Push）,LSP根据标签进行转发（Switch）；出口LSR路由器支持弹栈（POP），还原为IP报文。为实现快速转发，一般在倒数第二个LSP进行弹栈，而不是在出口LSP进行弹栈。
路由型VPN技术原理
MPLS VPN 标签分配
PE 和 P 路由器通过骨干网IGP学会到BGP邻居下一跳的地址通过运行LDP协议，分配标签，建立LSP通道标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳 ，内层标签表示报文的出接口或者属于哪个VRF（属于哪个VPN）MPLS 节点转发是基于外层标签，而不管内层标签是多少
路由型VPN技术原理-3/10
VRF路由的发布PE之间通过MP-iBGP交换VPN-IPV4路由；RD与IP地址一起构成唯一的VPN-IPV4；接收端PE将路由引入VRF；VPN路由只存在PE路由器上，无需注入P路由器。
路由型VPN技术原理-4/10
VPNv4和IPv4 地址族为解决不同VPN地址有用重合的空间，引入了新的地址族--VPN-v4地址 ，原地址族为IPv4PE路由器之间使用BGP来发布VPNv4路由 RD在不同VPN间具有唯一性 ,如果两个VPN使用相同的IP地址，PE路由器为它们添加不同的RD，转换成唯一的VPN-v4地址 ，不会造成地址空间的冲突
VPN-B-1
PE-1
VPN-B-2
PE-2
CE-4
VPN-G-1
CE-B2
CE-B1
CE-3
VPN-G-2
PE-ASBR-1
PE-ASBR-2
AS #100
AS #200
VPN-R-1HUBv
CE-R1
VPN-R-2Spoke
VPN-R-3Spoke
Internet
Interne-GW
Interne-GW