前面几篇文章我们学习了MPLS的标签转发原理,有静态标签分发和LDP动态标签协议,可以实现LSR设备基于标签实现数据高效转发。现在开始学习MPLS在企业实际应用的场景-MPLS VPN。
一、MPLS VPN概念
MPLS(多协议标签交换)位于TCP/IP协议栈中的数据链路层和网络层之间,可以向所有网络层提供服务,通过在数据链路层和网络层之间增加额外的MPLS头部,基于MPLS头部实现数据快速转发,简单来说MPLS就是使得路由器可以在MPLS域内基于标签实现快速转发。
BGP/MPLS IP VPN网络一般由运营商搭建,VPN用户购买VPN服务来实现用户网络之间的路由传递、数据互通等。MPLS VPN使用BGP在运营商骨干网(IP网络)上发布VPN路由,使用MPLS在运营商骨干网上转发VPN报文。BGP/MPLS IP VPN又被简称为MPLS VPN、MV,是一种常见的L3VPN(Layer 3 VPN)技术。
简单说就是基于BGP基础的MPLS转发。
1.1 MPLS 网络架构
MPLS VPN网络架构由三部分组成:CE(Customer Edge)、PE(Provider Edge) 和P(Provider),其中PE和P是运营商设备,CE是MPLS VPN用户设备。站点(site)就是MPLS VPN的用户,由CE和其他用户设备构成。
CE:用户网络边缘设备,有接口直接与运营商网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE"感知"不到VPN的存在,也不需要支持MPLS。
PE: 运营商边缘路由器,是运营商网络的边缘设备,与CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要求较高。
P: 运营商网络中的骨干路由器,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护VPN相关信息。
MPLS VPN不是单一的一种VPN技术,是多种技术结合的综合解决方案,主要包含下列技术:
- MP-BGP:负责在PE与PE之间传递站点内的路由信息。
- LDP:负责PE与PE之间的隧道建立
- VRF:负责PE的VPN用户管理。
- 静态路由、IGP、BGP:负责PE与CE之间的路由信息交换。
二、MPLS VPN常见组网
根据VPN用户的需求不同,可采用以下几种常见的组网方案:
- Intranet:一个VPN中的所有用户形成闭合用户群,同一VPN站点之间可以互访,不同VPN站点间不能互访。
- Extranet:适用于一个VPN用户希望提供部分本VPN的站点资源给其他VPN的用户访问的场景。
- Hub&Spoke:如果希望在VPN中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行,可采用Hub&Spoke组网方案。
通过MPLS VPN实现企业分支的互联,依托于企业BGP网络,通过结合VRF、LDP、BGP实现企业分支间的隔离和互联。
对VPN客户而言:
“感知”不到VPN的存在,不需要部署和维护VPN,降低企业运维难度和成本。
一般部署在运营商的MPLS VPN专网上,有一定的安全性保障。
对于运营商而言:
MPLS在无连接的IP网络中增加了面向连接的控制平面,为IP网络增添了管理和运营的手段。
支持地址空间重叠、支持重叠VPN、组网方式灵活、可扩展性好。
能够方便地支持MPLS TE合理调控现有网络资源,最大限度的节省运营商成本。
