VPNV4地址族被用于PE路由器

來源:投稿網 時間:2024-02-16 10:00:08

隨著公司的不斷發展，DCN在線業務系統不斷增加，除了97系統外，還有網絡管理集中監控系統、電源監控系統、客戶服務系統、OA3G網絡管理系統。一些應用程序系統對安全性有很高的要求，如OA和財務，一些系統對帶寬和網絡質量（QOS）有很高的要求。現有網絡不能滿足企業經營管理的分而治之需求。由于信息系統集中整合的需要，MPLS升級。通過本次改造項目的實施，優化網絡結構，提高整個DCN網絡的安全性、可靠性和服務質量。虛擬多業務網絡由實體物理網絡實現，各種業務系統由MPLSVPN隔離。骨干基于現有的DCN骨干網絡，靈活地連接到終端，滿足企業內部應用的承載和安全需求。最后，DCN網絡中的終端和主機必須劃入其MPLSVPN域，實現各VPN域之間的通信隔離。同時，在各VPN之間建立數據通道，部署防火墻，通過數據通道訪問和控制流量，實現不同VPN域通信數據的有效安全控制。

1MPLSVPN技術簡介。

MPLSVPN是由幾個不同的site組成的集合。一個site可以屬于不同的VPN。屬于同一VPN的site具有IP連接性，可以控制不同VPN之間的互訪和隔離。

MPLSVPN網絡主要由CE、PE和P三部分組成:CE(Customedgerouter，用戶網絡邊緣路由器)設備直接與服務提供商網絡聯系。設備直接連接到用戶的CE，負責VPN業務訪問，處理VPN-IPV4路由。是MPLS三層VPN的主要實現者:P(Providerrouter，骨干網核心路由器)負責快速轉發數據。在整個MPLSVPN中，P和PE設備需要支持MPLS的基本功能，CE設備不需要支持MPLS。

PE是MPLSVPN網絡的關鍵設備。根據PE路由器是否參與客戶的路由，MPLSVPN分為Layer3MPLSVPN和Layer2MPLSVPN。其中，Layer3MPLSVPN遵循RFC2547BIS標準，使用MBGP在PE路由器之間分發路由信息，使用MPLS技術在VPN網站之間傳輸數據，也稱為BGP/MPLSVPN。在MPLSVPN網絡中，VPN的所有處理都發生在PE路由器上。因此，VPNV4地址族被用于PE路由器，RD被引入。VPNV4地址對于客戶端設備來說是看不見的，只用于骨干網絡上路由信息的分發。RT采用BGP擴展集團屬性，用于路由信息的分發，具有全局獨特性。同一個RT只能由一個VPN使用。分為ImportRT和ExportRT，分別用于路由信息的導入和導出策略。在PE路由器上，為每個Site創建了一個虛擬路由轉發VRF(VPNRorting&Forwarding)。VRF是每個Site維護邏輯上分離的路由表，每個VRF都具有ImportRT和ExportRT屬性。運營商通過合理配置ImportRT和ExportRT，可以構建不同類型的拓撲VPN，如重疊VPN和Hub-and-spokeVPN。

整個MPLSVPN系統結構可分為控制面和數據面。控制面定義了LSP的建立和VPN路由信息的分發過程，而數據面定義了VPN數據的轉發過程。在控制層面，P路由器不參與VPN路由信息的交互。客戶路由器通過CE和PE路由器之間的路由協議交互知道VPN的網絡拓撲信息。除了路由協議外，LDP還在控制層面工作。它在整個MPLS網絡中分發標簽，形成數據轉發的邏輯通道LSP。在數據轉發層面，MPLSVPN網絡中傳輸的VPN業務數據采用外標簽（又稱隧道標簽）和內標簽（也稱VPN標簽）兩層標簽棧結構。當VPN業務組由CE路由器發送到入口PE路由器時，PE路由器從VRF表中找到相應的VRF表，并從VPN標簽（也稱為VPN標簽）獲得VPN標簽。VPN分組被貼上兩層標簽后，通過PE輸出接口轉發，然后在MPLS骨干網絡中逐步沿LSP轉發。在出口PE之前的最后一個P路由器上，彈出了外部標簽。P路由器將只包含VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內部標簽找到相應的輸出接口。彈出VPN標簽后，VPN分組發送給正確的CE路由器，實現整個數據轉發過程。

2.骨干遷移的三個關鍵問題。

由于DCN網絡建設時間長，網絡結構復雜，如何從所有使用IP環境的DCN轉變為所有使用MPLSVPN環境的DCN已成為網絡升級的重點。在網絡轉型過程中，網絡的平穩運行對市場和業務系統都至關重要。由于MPLSVPN技術是全省DCN網絡傳輸技術的徹底變化，如何在改變網絡協議結構的同時，使網絡仍然健康運行已成為實現MPLSVPN轉型的首要問題。

過渡期最重要的三個問題是：

1)在IP環境下，各個領域之間的路由交換問題。實現方法是將DCN的各個IP網絡單元逐一改造為MPLSVPN網絡單元，然后與省公司逐一建立MPBGP鄰居，實現全網MPLSVPN。

2)實現受控互訪，即市公司在同一VPN區域內不可見；市公司可以訪問同一VPN區域的省公司；市公司訪問不同VPN區域的省公司業務。方案設計采用HUB-SPOKE和PE和CE控制。

3)VPN劃分和IP地址分類。在DCN網絡建設的早期階段，不考慮每個應用程序系統的MPLSVPN劃分。因此，大多數系統混合在一起，或連接到同一設備，或只是在同一網絡段。同時，生產管理地址段也存在混合問題。具體系統混合問題可分為三類：地址混合、設備支持能力不足和第二地址問題。