华为ip城域网MPLS VPN解决方案
一、概述
综合分析市场需求和技术发展趋势,华为公司在网络操作系统VRP和相关网络产品的基础上推出了MPLSVPN,包括MPLS/BGPVPN、KompellaMPLSL2VPN方案,为用户提供商用的MPLSVPN业务。如图1所示,华为MPLSVPN采用城域网核心层设备做为P设备,采用城域网汇聚层设备做为PE设备,用户CE设备通过城域网接入层接入PE,全面实现MPLSVPN业务的运营。
对于MPLSBGPVPN组网方式而言,由于CE、PE设备之间不能间隔其他三层设备,因此,在IP城域网组网时必须注重:对于通过L2+L3接入PE的LAN用户,可通过VLAN透传将CE的数据流终结到PE设备;对于采用路由器+L2建设的城域网,可通过GRE+策略路由的方式将VPN用户接入PE设备;对于使用综合方式接入的用户,可在PE设备终结PVC来实现VPN业务。
通过MPLSVPN技术,华为IP城域网方案可以提供企业内部互连(Intranet)、外部互连(Extranet)、Internet访问、跨AS域支持、网管和记费等服务。
二、企业内部互连与外部互连
实现企业内部跨区域互连或企业间跨区域互连是MPLSVPN的主要应用之一,根据企业用户的实际业务需求,可以通过VRF中Target属性(Import、EXPort)的灵活配置来实现。
■企业跨区域内部互连需求
许多跨区域的大中型企业,希望将分布在各地区的子公司通过网络连接起来,图2和图3是华为提出的两种典型的实现方案。
图2跨区域大中型企业典型联网方案1
在图2中,各PEVRF中的Target属性相同,这种配置可以实现总部与分公司,分公司与分公司之间的互访,图3所示的方案可以实现总部与各分公司之间的互访,而各分公司之间不能互访。当然,通过对Target的不同配置,还可以实现更多的应用需求,如实现部分站点互访的需求。
图3跨区域大中型企业典型联网方案2
■企业间互连需求
许多企业为了方便与供给商、客户或合作伙伴进行联系,往往采用跨企业的网络实现互连,这就是所谓的Extranet。假如企业之间准许实现完全互访,则通过简单地配置Target属性即可实现,但实际上大多数企业更倾向于企业间的受限访问方案。例如,企业希望合作企业只能访问到某些相关的数据库,图4所示的HUB-SPOKE方案可以实现这种需求。
图4HUB-SPOKE方案
在图4中,两个SPOKE分别对应两个企业的Site。为了实现受限互通的目的,首先将两个Site中的路由通过IN接口导入CE设备的路由器中,CE设备采用策略路由等路由过滤机制,当然也可以在SPOKE处首先进行路由出过滤,然后从OUT出口将过滤后的路由发布到SPOKE上,实现企业之间的受限访问。
三、Internet访问
Internet访问是MPLS服务提供商为企业用户提供的重要业务,华为在综合考虑地址重叠、访问控制和安全因素等基础上,提供以下三种解决方案。
■企业内部访问控制方式
如图5所示,这种方式在每个企业的VPN内部对Internet访问设置NAT和防火墙处理,将安全机制放于企业的统一出口处(CE2)。VPN内部各Site访问Internet的数据流,首先到该VPN的某一Site中(一般为公司总部Site),在该Site进行NAT和防火墙处理后进入公网。这种方式只要求在客户端进行配置,而对于运营商一侧,网络没有配置要求,但对运营商来说,这种方式无法对客户访问Internet进行统一治理。
图5Internet企业内部访问控制方式
■集中访问控制方式
如图6所示,这种方式的控制集中放置在服务提供商的Internet出口处(PE),为了解决各VPN重叠保留地址的问题,必须为每个VPN配置一个防火墙,各VPN用户通过属于自己的防火墙实现Internet访问。这种方法要求运营商为每个VPN配置一个访问Internet的VPN,在客户端需要配置一条访问InternetVPN的缺省路由,由于该方法要求运营商进行配置,而且每个VPN都需要一个防火墙,因此当VPN用户较多时网络投资较大,但这种方法答应运营商对VPN用户访问Internet进行有效的治理。
■二级控制方式
如图7所示,这种控制方式首先在企业内部进行Internet访问控制,然后在服务提供商处再进行一次访问控制,即两级访问控制。这种方式的优点在于,它可使企业对内部用户的访问进行控制,同时运营商也可对用户访问Internet进行统一控制,这种方式与第二钟方式不同,它不需要增加太多的投资。当然这种方式的缺陷也是显然的,一是配置复杂,二是效率低于前两种。
四、对跨AS域的支持
对于大型MPLS骨干网来说,必须支持跨域业务,华为NE设备支持三种跨域方式。
■VRF-to-VRF
如图8所示,这种方式要求两个域的ASBR能够完成PE功能,两个AS域各自运行自己的VPN。对于每个需要跨域的VPN,必须在本端跨域的PE设备上配置对应于该VPN的VRF,将对端的PE设备做为本域VPN的CE,PE-CE之间运行EBGP协议,携带对端的VPN路由信息。这个方法的优点是在于,ASBR之间不需要运行MPLS,但缺点是每个跨域的VPN需要与一个子接口绑定,子接口的数量至少要和跨域的VPN的数量相当。跨域的PE路由器需要维护跨域VPN的路由,因而存在扩展问题。
■MP-EBGP
如图9所示,这种方式通过直连的ASBR传播VPN路由,并为相应的VPN路由分配一个标签,其优点是不需要在ASBR处为每个VPN的用户站点分配一个子接口,缺点是需要在ASBR处维护VPN路由,从PE入口到PE出口需要一条完整的LSP,ASBR之间需要互相信任。
■Multi-HopMP-EBG
如图10所示,这种方式首先路由扩散在入口与出口之间,通过LDP或MP-BGP+LDP方式建立LSP,然后不同AS域之间的PE通过EBGP方式传播VPN路由信息。这种方式的可扩展性能较好,不需要在ASBR上维护具体用户的VPN路由信息。
五、网管与灵活记费
对于MPLSVPN而言,治理的内容包括PE设备、PE-CE之间的链路和CE路由器三个部分。对于PE设备,通过普通IP即可进行治理;对于PE-CE之间的链路以及CE设备的治理必须通过治理VPN,即所有VPN都同时属于同一个治理VPN,治理工作站也属于该VPN。当一个CE路由器加入一个VPN之后,再不能通过Ipv4路由来访问它。为了能够在中心网管对所有PE-CE链路和CE路由器进行治理,必须建立一个非凡的治理VPN,所有CE路由器作为该VPN的成员。为了防止地址重叠,在具体实现时,CE路由器上与PE相连的接口地址采用公网地址,并且在中心网管设备上进行路由过滤,只引入PE-CE接口路由。
华为网管系统为MPLSVPN提供了强有力的支持,内容如下:
存量治理:包括设备存量治理和VPN业务存量治理;
业务供给:包括定义、部署、审计业务请求;
业务保障:提供VPN故障告警监视、告警历史治理和测试治理等内容;
安全治理:提供VPN客户的创建、编辑、删除、权限控制和认证等治理功能;
客户网络治理(CNM):为VPN用户提供治理所属VPN网络的功能,包括查看VPN拓扑、增加子网或服务器、增加/删除VPN站点、查询/增加/删除所属VPN的用户信息、查询/定义QoS/SLA报告等;
系统功能:提供日志记录、日志查询、系统启动和停止等功能。
华为网管系统支持多种数据流统计工具,如NETSTREAM,因此Quidway系列路由器可以支持丰富灵活的记费功能,具体实施过程中可以采用以下记费方案:
包月制:实现方式简单;
基于流量:通过MPLSVPN网管获得各VPN的动态流量信息;
基于流的计费:通过网管平台流数据收集程序,收集、过滤和聚合各PE设备的流数据,并存储这些处理数据,作为记费的原始数据,从而进行基于业务、流量的记费处理。
目前,MPLS还属于一项不断发展的技术,许多特性仍处于草案阶段,但在一些基本已经形成标准的应用特性上,如MPLSVPN、跨域互通、Internet接入等方面,华为的网络设备已经与CISCO、JUNIPER等主要路由器厂商实现了全面互通。