MPLS(Multi-Protocol Label Switching,多协议标签交换)作为一种在全球网络中大规模部署的隧道技术,需要适应各种复杂的业务场景。其中,运营商的不同城域网之间,或相互协作的运营商骨干网之间经常存在着跨域的情况,面对路由信息需要在不同域间传递而带来的信息交互复杂的问题,诞生了跨域(Inter-AS)VPN和CSC两种解决方案。其中,CSC是一种分层VPN模型,如下图所示,它允许网络中的服务提供商的用户本身也是一个服务提供商,前者称为提供商运营商或一级运营商,后者称为客户运营商或二级运营商。一级运营商允许二级运营商是ISP(Internet Service Provider,Internet服务提供商)或二级运营商是BGP/MPLS IP VPN服务提供商,二级运营商可以通过MPLS骨干网实现互联,有利于一级、二级运营商的运维。
CSC组网图
通过实现CSC,一级运营商可以获得如下好处:
一级运营商允许多个二级运营商接入同个骨干网,不需要为二级运营商单独创建和维护骨干网,在降低维护成本的同时实现管理操作的简化以及管理效率的提升。
一级运营商使用一个骨干网就可以为多个二级运营商提供VPN服务和Internet服务,可以增加一级运营商的收益。
通过实现CSC,二级运营商可以获得如下好处:
二级运营商可以通过将配置、管理和维护操作交由一级运营商来承担减轻自身负担。
二级运营商使用的地址独立于其客户及一级运营商,便于二级运营商的地址规划。
二级运营商可以是ISP或BGP/MPLS IP VPN服务提供商,对安全性和带宽有不同要求的二级运营商都可以被满足。
为了保持良好的可扩展性,二级运营商采用类似stub VPN的工作方式,即一级运营商CE只把二级运营商内部的路由发布给一级运营商的PE,不发布二级运营商客户的路由。下面我们将分别介绍二级运营商为ISP和BGP/MPLS IP VPN服务提供商时的两类CSC解决方案,在这里我们遵循:
二级运营商内部的路由称为内部路由,二级运营商客户的路由称为外部路由。
一级运营商CE设备是指二级运营商接入一级运营商时所用的设备,对一级运营商来说是CE设备,对二级运营商来说则是PE设备;同时将用户接入二级运营商的设备称为用户CE设备。
当二级运营商是ISP时,相当于将IP网络叠加到BGP/MPLS IP VPN网络上,其PE不需要运行MPLS功能,只需要和一级运营商CE之间运行IGP。此时,二级运营商PE(CE1和CE2)之间通过BGP会话交换内部路由,如下图所示。
二级运营商是ISP
在该场景中,如果CE1和CE2在同一个AS区域内,需要在CE1和CE2之间建立IBGP邻居,同时可以将CE1和CE2配置为RR(Route Reflector,路由反射器);如果CE1和CE2属于不同的AS域,则需要在CE1和CE2之间建立EBGP邻居。
当二级运营商是BGP/MPLS IP VPN服务提供商时,其PE需要运行MPLS功能,并且需要和一级运营商CE之间运行IGP和LDP。二级运营商PE(PE3和PE4)之间通过MP-BGP会话交换外部路由,如下图所示。
二级运营商是BGP/MPLS IP VPN服务提供商
在该场景中,由于PE3和PE4需要提供VPN服务,所以它们之间需要建立LSP;同时,一级运营商和二级运营商网络内部一般运行LDP。一级运营商CE接入一级运营商PE又可以进一步区分为两种方案:
采用LDP多实例方式建立LDP LSP。
采用BGP标签路由方式建立BGP LSP。
由于二级运营商是ISP的使用场景较少且配置方案相对简单,而二级运营商是BGP/MPLS IP VPN服务提供商的场景在现网中更加普遍,下面我们将对二级运营商是BGP/MPLS IP VPN服务提供商场景中的两种一级运营商CE接入一级运营商PE方案的工作过程作详细描述。
当一级运营商CE采用LDP多实例方式建立LDP LSP接入到一级运营商PE时,路由信息交互过程如下图所示。其中,D表示路由的目的地址;N表示下一跳;L表示标签。
基于LDP多实例的路由信息交互过程
以PE4发布VPN路由10.1.1.1/32到PE3为例,二级运营商PE之间的路由信息交互过程如下:
PE4通过二级运营商的IGP将到自己的路由信息发布给CE2,同时分配标签L''1,并在PE4和CE2之间建立一条公网LSP。
CE2通过和PE2之间的IGP将到PE4的路由信息发布给PE2,同时通过LDP为该路由分配标签L1。其中,PE2上连接CE2的接口需要配置LDP多实例。
PE2为到PE4的路由分配标签L2,并通过MP-IBGP将该路由信息和标签发布给PE1。在此之前,PE2已经通过一级运营商骨干网的IGP将到自己的路由信息发布给PE1,同时为到自己的路由分配公网标签L',并在PE2和PE1之间建立一条公网LSP。
PE1通过和CE1之间的LDP多实例邻居关系为到PE4的路由分配标签L3,并将该路由信息和标签L3发布给CE1。
CE1通过IGP将到PE4的路由信息发布给PE3。在此之前,CE1已通过二级运营商骨干网的IGP将到自己的路由发布给PE3,同时为到自己的路由分配公网标签L''2,并在CE1和PE3之间建立一条二级运营商的公网LSP。
至此,就完成了将到PE4的路由信息发布给PE3的操作。通过类似的方法将PE3的路由信息也发布给PE4后,PE3和PE4之间就可以成功建立MP-IBGP连接。
PE4通过该MP-IBGP连接为VPN路由10.1.1.1/32分配私网标签I-L给PE3。
VPN报文在运营商网络中的传输过程如下图所示。其中,I-L表示MP-BGP分配的私网标签;L'表示一级运营商公网标签;L''1和L''2表示二级运营商公网标签;L1、L2和L3表示到PE4的标签。
基于LDP多实例的报文转发过程
以目的地址为10.1.1.1/32的VPN报文从PE3转发到CE4的过程为例,VPN报文在运营商网络中的转发过程如下:
PE3收到目的地址为10.1.1.1/32的VPN报文后,为其打上私网标签I-L,打上公网标签L''2,并通过二级运营商公网LSP将VPN报文透明传输给CE1。将报文传给CE1之前,公网标签L''2在CE1的上一跳LSR上被弹出。
CE1为该报文打上标签L3,并将报文转发给PE1。
PE1进行标签交换,弹出标签L3,打上标签L2,打上公网标签L',并通过一级运营商公网LSP将报文转发给PE2。将报文传给PE2之前,公网标签L'在PE2的上一跳LSR上被弹出。
PE2也进行标签交换,弹出标签L2,打上标签L1,并将报文转发给CE2。
CE2弹出标签L1,打上公网标签L''1,并通过二级运营商公网LSP将VPN报文透明传输给PE4。将报文传给PE4之前,公网标签L''1在PE4的上一跳LSR上被弹出。
PE4弹出私网标签I-L,并根据I-L将报文转发给CE4。
当一级运营商CE采用BGP标签路由方式建立BGP LSP接入到一级运营商PE时,路由信息交互过程如下图所示。其中,D表示路由的目的地址;N表示下一跳;L表示标签。
基于BGP标签路由的路由信息交互过程
以PE4发布VPN路由10.1.1.1/32到PE3为例,二级运营商PE之间的路由信息交互过程如下:
PE4通过二级运营商的IGP将到自己的路由信息发布给CE2,同时分配标签L''1,并在PE4和CE2之间建立一条公网LSP。
CE2通过和PE2之间的MP-BGP邻居关系为到PE4的路由分配标签L1,并将该路由信息和标签发布给PE2。
PE2为到PE4的路由分配标签L2,并通过MP-IBGP将该路由信息和标签发布给PE1。在此之前,PE2已经通过一级运营商骨干网的IGP将到自己的路由信息发布给PE1,同时为到自己的路由分配公网标签L',并在PE2和PE1之间建立一条公网LSP。
PE1通过和CE1之间的MP-BGP邻居关系为到PE4的路由分配标签L3,并将该路由信息和标签L3发布给CE1。
CE1为到PE4的路由分配标签L4,并通过和PE3之间的MP-IBGP邻居关系将该路由信息和标签L4发布给PE3。在此之前,CE1已经通过二级运营商骨干网的IGP将到自己的路由发布给PE3,同时为到自己的路由分配公网标签L''2,并在CE1和PE3之间建立一条二级运营商的公网LSP。
至此,就完成了将到PE4的路由信息发布给PE3的操作,在CE2和PE3之间形成了一条BGP LSP。通过类似的方法将PE3的路由信息也发布给PE4后,PE3和PE4之间就可以成功建立MP-IBGP连接。
PE4通过该MP-EBGP连接为VPN路由10.1.1.1/32分配私网标签I-L给PE3。
VPN报文在运营商网络中的传输过程如下图所示。其中,I-L表示MP-BGP分配的私网标签;L'表示一级运营商公网标签;L''1和L''2表示二级运营商公网标签;L1、L2、L3和L4表示到PE4的标签。
基于BGP标签路由的报文转发过程
以目的地址为10.1.1.1/32的VPN报文从PE3转发到CE4的过程为例,VPN报文在运营商网络中的转发过程如下:
PE3收到目的地址为10.1.1.1/32的VPN报文后,为其打上私网标签I-L、BGP LSP的隧道标签L4以及公网标签L''2,并通过二级运营商公网LSP将VPN报文透明传输给CE1。将报文传给CE1之前,公网标签L''2在CE1的上一跳LSR上被弹出。
CE1进行标签交换,弹出标签L4,打上标签L3,并将报文转发给PE1。
剩余过程与基于LDP多实例的报文转发过程类似。
内网用户可以正常访问Internet。
外网用户可以通过公网IP访问内网服务器。
eLog可以获取防火墙会话日志。
在主防火墙的接口GigabitEthernet 1/0/1上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。
以上就是什么是CSC?在GP/MPLS IP VPN的组网方案中起到什么作用?的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望Vecloud的专业的解决方案,可以解决你目前遇到的问题。Vecloud提供全球主机托管、服务器租用、MPLS专线、SD-WAN等方面的专业服务,资源覆盖全球。欢迎咨询。