3.3 未来的企业WAN

    在本节我们将讨论WAN模型(参见图1-2)。目前供应商提供的WAN服务基本上以IP服务或L2回路为主,IP服务包括L3层VPN或Internet,L2线路包括时分复用(Time-Division Multiplexing,TDM)、帧中继(Frame Relay)、异步传输模式(Asynchronous Transfer Mode,ATM)或同步光纤网(Synchronous Optical Networking,SONET)等技术。为了维持端到端的multi-VRF租用,应该将在企业DC(光纤模式)中在这些WAN服务之上的L3分段扩展成端到端模式(参见图1-2),由此也带来了一系列未来WAN的革新技术。包括:

    ·与SP有关的multi-VPN技术

    ·L2层上的多协议标签交换技术(Multiprotocol Label Switching,MPLS)

    ·动态多点VPN(Dynamic Multipoint Virtual Private Network,DMVPN)

    ·DMVPN之上的MPLS VPN(仅用于集中星型网络,即Hub-and-spoke)

    ·运营商支持运营商(Carrier supporting Carrier,CsC)

    ·第2层隧道协议第3版(Layer 2 Tunneling Protocol version 3,L2TPv3)

    在基于L2TPv3上部署CsC和MPLS VPN时会存在一些局限,例如运营商一般很少会对企业用户提供CsC支持,只有少数很小一部分企业产品生产线支持基于L2TPv3的MPLS VPN产品,所以这一方案未能得到广泛应用。我们将不会再继续深入讨论这两种特殊解决方案,本书讨论的范围只适用于从企业DC通过WAN连接到远程分支的部署方案,我们将在第7章详细说明。

    3.3.1 MPLS VPN序曲

    由于大多数未来WAN部署方案都涉及了MPLS和MPLS VPN技术,因此在进一步深入学习这些技术之前,我们有必要对MPLS VPN技术的一些基础知识做一个简单介绍。又考虑到MPLS本身涵盖范围广泛,所以只讨论其中最基础的内容。

    MPLS源自数据路径虚拟化这把大伞之下,借助一个比方能更好地理解MPLS,即如果将MPLS比作ATM,则能够将一个MPLS云看成ATM云,ATM云里所有的ATM单元的转发都是基于虚拟路径标识/虚拟回路标识(Virtual Path Identifier/Virtual Circuit Identifier,VPI/VCI)实现的,所有被印上了MPLS标签的IP包在MPLS云内部是根据它们的标签被转发的。一个MPLS标签区域为32位,前20位数字标识的标签用来标记传送标签实际值,这些标签通常位于L2层封装头和IP层数据包之间。换句话说,MPLS的封装是当IP包进入ATM云时完成的。MPLS标签交换思想是希望将逐跳转发的IP转发模式转变成端到端的转发模式,这样的MPLS标签交换路径(Label Switched Path,LSP)类似于一个ATM的虚拟回路(Virtual Circuit,VC),或者也可以被比方成一条隧道。

    MPLS云通常被称为MPLS域,MPLS域中L3层中的MPLS-aware设备通常被定义为标签交换路由器(Label Switch Router,LSR)。在所有LSR的接口上都能实现MPLS。在MPLS域的边缘是标签边缘路由器(Label Edge Router,LER),也有人称之为边缘LSR,LER拥有至少一个支持MPLS的接口。在一个MPLS域中,LER被当做网络的入口,而在一个非MPLS域中,LER被当做网络的出口。

    在LER/LSR的控制平面,会使用诸如标签分发协议(Label Distribution Protocol,LDP)、多协议扩展边界网关协议(Multiprotocol BGP,MP-BGP)等标签协议来实现标签分发。LSR使用IP路由协议构建路由表,它和一个非MPLS网络中工作方式一样,不过LSR同时还将根据标签协议为路由表中的每一个目的地址分配一个标签,并且将标签与相应的转发等价类(label-to-Forwarding-Equivalence-Class,lable/FEC)绑定,并会向相邻的LSR告知这样的绑定信息。

    说明:标签映射或绑定指将一个标签绑定到转发等价类(Forwarding Equivalence Class,FEC),这里FEC为整个MPLS域内的转发过程中以等价方式处理的一组数据分组。

    MPLS也支持由LSP相互嵌套形成的嵌套-标签栈结构,当部署MPLS VPN时有可能需要这样的标签栈。当应用于MPLS VPN的场景时,LER被当做运营商边界(Provider Edge,PE),LSR被看成运营商路由器,客户(Customer,C)网络或者是VPN上的客户边界路由将连接到PE上。

    一个简单的MPLS VPN样例如图3-10所示,该例中应用了两类MPLS VPN中常见标签:

    ·VPN路由标签VPN路由标签被应用于寻找能够最好地与远程VPN内的包目的地址匹配的路由,它是VPN路由的底层标签。

    3.3 未来的企业WAN - 图1

    图 3-10 MPLS VPN样例

    说明:VPN路由最开始是借助PE路由器中PE-CE路由协议以及多协议内部边界网关协议(Multiprotocol internal BGP,MP-iBGP)间已经成熟的路由重定向实现相应的VPN地址传播。它们使用VPNv4地址空间,通过MP-iBGP在运营商(P)网络上传播。VPNv4地址包括12位字节,头8个字节为路由标识符(Route Distinguisher,RD)信息,后4个字节为相应的客户IPv4地址信息。如果一个互相重叠Ipv4地址空间的RD唯一,那么拥有相同Ipv4地址空间的VPN也仍然是唯一的。

    ·隧道标签隧道标签被应用在MP-iBGP协议中寻找下一跳地址的最佳匹配,隧道标签位于包的顶部,这意味着VPN路由标签是“嵌套”在隧道标签的里面的。

    说明:当PE设备处在不同的BGP自治系统间时,多协议外部BGP(Multiprotocol external BGP,MP-eBGP)将取代MP-iBGP。

    VPN路由标签由MP-iBGP分发,只需在PE间配置(例如PE-1和PE-2)。隧道标签由LDP分发,可以在MPLS域或者运营商(P)网络中所有MPLS-aware设备上实现(例如P-1、P-2、PE-1和PE-2),还可以在P和PE路由间完成诸如OSPF或IS-IS这类基于Ipv4内部网关协议(Interior Gateway Protocol,IGP)的配置以实现全局Ipv4路由。

    标记了VPN路由标签的数据包可以通过P网络中PE路由间的隧道转发,也使得所有VPN路由与P路由能够被分开。可以在PE路由为每一个相应的VPN配置VRF,基于这些PE路由上的VRF配置信息,PE和CE路由将支持像OSPF、BGP这类VRF-aware的PE-CE路由协议,从而完成选择一个合适的VRF进行IP寻址,根据包的最后标记将其发送至最终目的地。

    说明:MPLS VPN有时也被称为2457 VPN,此称呼源自RFC2457,这是关于MPLS VPN功能的一个最初说明。RFC2457 bit也就是后来公开发布的RFC4364,是RFC关于MPLS VPN技术实现文档草稿的名称。