IP承载网MPLS VPN路由过滤优化方案
2019-06-11 08:26徐华武红然宋晔青
科技风 2019年12期
徐华 武红然 宋晔青
摘 要:IP承载网采用三层MPLS VPN方式实现各节点互通,VPN业务地址往往采用私网地址,业务地址各VPN复用,若不进行vpn路由过滤,一方面是各站点收到的路由条目多,另一方面非常容易出现业务地址冲突问题,引起路由震荡。本文从IP承载网PE和业务网络CE两个方面路由过滤优化,减少网络碎路由和业务地址冲突引起网络故障,提高网络安全性和稳定性。
关键词:IP承载网;MPLS VPN;路由过滤
一、基础知识概述
(一)MPLS基础
MPLS,称为多协议标签交换,能够代替原有路由表转发,使用标签(label)进行转发,MPLS标签插入在二层报头之后,IP报文头之前,它的报文结构是一个固定长度的数值,只有4个字节,比IP报文结构简单,代替复杂的IP报文转发,提高了转发效率。
(二)L3 MPLS VPN
支持三层路由方式的MPLS VPN解决方案,使用BGP在运营商骨干网上发布和转发VPN路由。通常L3 MPLS VPN 由用户网络设备CE(Customer Edge)、运营商接入设备PE(Provider Edge)和运营商骨干设备P(Provider)组成。通常用户CE设备与运营商接入设备PE相连,但不需要配置VPN,不需要支持MPLS;运营商PE设备需要配置VPN并支持MPLS;运营商P设备只需要具备MPLS转发能力,不需要维护用户VPN。
在MPLS/BGP VPN中,同一VPN的两个site(站点)之间转发报文通常使用两层标签,在网络入口PE设备上为报文打上两层标签,外层标签在骨干网内部进行交换,建立从一端PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着标签转发路径到达对端PE,然后再使用内层标签来区分不同的VPN。
VPN实例是由各个站点建立连接和维护的专门实体,通常指用户专网。VPN用户按照VPN路由转发表,实现VPN路由和IP路由的隔离。运营商通常通过PE设备接入一个或多个VPN用户。运营商PE上包括一个公网路由转发表,一个或多个VPN路由转发表。PE上的各VPN之间相互独立,相互隔离。
用户要通过VPN发布自己的私网路由,多个VPN用户IP地址可以复用,那么PE通过什么方式来区分不同的VPN呢?PE VPN实例通过路由标识符RD(Route Distinguisher)实现地址隔离,由64bit的固定标识RD和用户IP地址组成VPNv4的地址来区分不同的用户路由。通过64bit VPN target属性标识路由喜好,实现相同vpn的路由互通,不同vpn的路由隔离。
(三)承载网vpn结构
如图所示:用户接入设备CEA1(中心端)连接至运营商IP承载网PE-A设备,通过IP承载网PE-A-P-B——PE-C网络连接至CEA2(分点)和CEA3(分点)。PE与CE之间运行BGP、ospf或静态路由等,并建立vpna,将vpnv4的路由在IP承载网IP路由中传递,实现CEA1与CEA2,CEA1与CEA3的互通。我们如何进行路由过滤,实现PE-A收到的路由条目尽量少,仅收到中心端指定的路由,收到各分点的汇总路由,且CEA2和CEA3仅收到CEA1中心端的路由,不收对方分点的路由呢?
二、路由优化
针对减少IP承载网收到的业务vpn碎路由,减少路由条目,提出了以下解决方法:
(一)IP承载网路由过滤优化
(1)PE设备路由过滤列表建议改成不收业务网络(CE)中广播的小于一个C的路由,且仅收指定地址的路由。
通过定义白名单前缀列表,指定业务IP地址,定义BGP路由策略(不收業务网络中广播的小于一个C的路由)、匹配前缀列表,在vrf的邻居CE中入方向引用策略。
(2)PE设备不接收业务网络中直连路由。
(二)CE侧路由过滤优化
(1)CE对本地业务地址的明细路由进行汇聚后再发到IP承载网上。采用定义策略路由,仅允许汇聚后的路由,在PE邻居出方向引入。
(2)CE对从IP承载网上接收的路由进行过滤,只接收中心端路由。定义策略路由,在PE邻居入方向引入。
三、分析总结
本文从IP承载网PE和业务网络CE两个方面路由过滤优化,减少网络碎路由和业务地址冲突引起网络故障,提高网络安全性和稳定性。我们在通常可以采用策略路由过滤法(Route Maps)实现特定路由重分布(Redistribution)和策略路由转发(Policy Routing)及BGP实现;通过分布列表过滤法(Distribute-list),控制路由条目的分发及路由的重发布,建立路由防火墙,控制通告/接收的路由条目;通过前缀列表过滤法(Prefix-list),过滤特定路由协议分发的Routes;通过AS-Path过滤法,根据BGP的AS-Path属性过滤BGP分发的路由条目等等。充分利用路由器的路由过滤策略,防止路由器选择非最佳路由,防止路由回馈——被重分布出去的路由又被重新分布回来,控制路由重发布,减少网络中垃圾路由的条目,减少路由收发冲突引起的故障。
