YD/T 1477-2006
基本信息
标准号: YD/T 1477-2006
中文名称:基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLS VPN)组网要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1421158
相关标签: 基于 边界 网关 协议 标记 交换 虚拟 专用网 组网
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1477-2006.The Requirements for Constructing BGP/MPLS-based Virtual Private Network.
1范围
YD/T 1477规定了基于边界网关协议/多协议标记交换( BGP/MPLS )组建虚拟专用网(VPN)的技术要求,包括BGP/MPLS VPN的要求、网络结构、拓扑、安全与访问控制、编址、互联、业务接人、路由、QoS支持、管理、非MPLS网络承载以及演进策略等。
YD/T 1477适用于运营商组建基于BGP/MPLS的三层VPN网络。
2规范性引用文件
下列文件中的条款通过本标准的引用面成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1162.1-2005多协议标记交换( MPLS)技术要求
YD/T 1096-2001路由器设备技术规范低端路由器
YD/T 1097-2001路由器设备技术规范高端路由器
RFC 1519无类域间路由选择( CIDR ) :地址分配及拥塞策略
RFC 1587OSPF的NSSA选项
RFC 1701一般选路封装
RFC 1702IPv4网络上的一般选路封装
RFC 1771边缘网关协议第4版本(BGP4)
RFC 1997BGP团体属性
1范围
YD/T 1477规定了基于边界网关协议/多协议标记交换( BGP/MPLS )组建虚拟专用网(VPN)的技术要求,包括BGP/MPLS VPN的要求、网络结构、拓扑、安全与访问控制、编址、互联、业务接人、路由、QoS支持、管理、非MPLS网络承载以及演进策略等。
YD/T 1477适用于运营商组建基于BGP/MPLS的三层VPN网络。
2规范性引用文件
下列文件中的条款通过本标准的引用面成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1162.1-2005多协议标记交换( MPLS)技术要求
YD/T 1096-2001路由器设备技术规范低端路由器
YD/T 1097-2001路由器设备技术规范高端路由器
RFC 1519无类域间路由选择( CIDR ) :地址分配及拥塞策略
RFC 1587OSPF的NSSA选项
RFC 1701一般选路封装
RFC 1702IPv4网络上的一般选路封装
RFC 1771边缘网关协议第4版本(BGP4)
RFC 1997BGP团体属性
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1477-2006
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)组网要求The Reguirements for Constructing BGP/MPLS-basedVirtualPrivateNetwork
2006-06-08发布
2006-10-01实施
中华人民共和国信息产业部发布前言
1范围
2规范性引用文件
3缩略语与术语
3.1缩略语·
3.2.术语
4.组网要求
4.1概述·
4.2域内组网基本要求
4.3跨域组网基本要求
4.4域内组网路由反射解决方案
4.5分层PE解决方案·
4.6MPLS VPN路由聚合扩展方案
4.7业务实施要求
5运营商业务模型
6安全性·
路由信息的隔离
6.2访问控制·
6.3用户数据保护.
6.4运营商安全措施
7 VPN 编址..
8运营商间互联互通
网络接人·
物理层/链路层要求
临时接人·
9.3 Internet 接人-
9.4外部业务访问
10运营商路由
11Qos 支持·
12可扩展能力·
12.1VPN数量的扩展性
12.2PE数量扩展性
12.3VPN接口扩展性
-TYKAONYKACa
YD/T 1477-2006
YD/T 1477-2006
12.4VPN路出扩展性
[2.5LSP(隧道)数量的扩展性:12.6部署VPN的扩展性规划·
13 BGP/MPLS VPN 管理....
13.1用户管理BGP/MPLS VPN-
13.2运营商管理BGP/MPLSVPN--
YD/T 1477 -2006
本标准是《基了边界网关协议/多协议标记交换的壶拟专用网(BGP/MPLSVPN)》系列标准之本系列的标推结构和名称预计如下:1,基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求
(BGP/MPLSVPN)组网要求
2.基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)测试方法
3.基于边界网关协议/多协议标记交换的虚拟专用网本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院中国电信集团公司
中兴通讯股份有限公司
华为技术有限公司
本标准主要起草人:吴英桦何宝宏田辉陈运清陈丹李德丰EI
-YKAONYKACa
1范围
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)组网要求YD/T1477-2006
本标准舰定了基于边界网关协议/多协议标记交换(BGP/MPLS)组建虚拟专用网(VPN)的技术要求,包括BGP/MPLSVPN的要求、网络结构、拓扑、安全与访问控制、编址、互联、业务接人、路由、QoS支持、管理、非MPLS网络承载以及演进策略等。本标准适用于运营商组建基于BGP/MPLS的二层VPN网络。2规范性引用文件
下列文件中的条款通过本标准的引用丽成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T1162.1-2005
YD/T 1096-2001
YD/T 1097-2001
RFC 1519
RFC 1587
RFC 1701
RFC1702
RFC 1771
RFC 1997
RFC 2328
RFC 2547
RFC2663
RFC 2694
RFC2766
RFC2796
RFC2858
RFC3022
RFC 3027
RHC 3065
RFC 3235
Draft-ierf-ppvpn-applicability-guidelines-01多协议标记交换(MPLS)技术要求路由器设备技术规范-低端路由器路电器设备技术规范-高端路由器无类域间路由选择(CIDR):地址分配及拥塞策略OSPF的NSSA选项
一般选路封装
IPy4网络上的一般选路封装
边缘网关协议第4版本(BGP4)
BGP团体属性
开放式最短路经优先(版本2)(更新RFC2178、RFC1583、RFC1247)
BGP/MPLSVPN
P网络地址转换的术语和考
NAT的DNS 扩展(DNS_ALG)
网络地址转换——协议转换
BGP路由反射器一一替代IBGP全连接的方法MultiprotoxolExtensionsforBGP-4(BGP4的多协议扩展)传统的IP网络地址转换
P地址NAT的协议关联性
BGP 的方治系统联盟
NAT应用设计指南
PPVPN应用说明
YD/T 1477-2006
Draft-ictf-ppvpn-as2547-00.txt3缩略语与术语
下列缩略语和术语适用于本标准,3.1缩略语
Autonomous Systen
基于RFC2547BIS的VPN的应用说明白治系统
Automomous System Border RouterAsynchronous Transfer Mode
Border Gate way Protocol
Custoner Edge
Classless Inter-Domain RoutingDomain Name Server
Digital HierarchyTransmission2.048Mbit/sExpedited Forwarding
External Gateway Protocol
First In, First Out.
Frame Relay
File Transfer Frototocl
Generic Routing EncapsulationGateway router
High Level Data Link ControlHypertext Transfer Protocol
Internet Engineering Task ForceInterior Gate way Protocol
Internet Protocol
Internet Protocol version 4
Intermediate System to Intermediate SystemInternet Service Provider
Integrated Service Data NetworkInternet Service Provider
Intemnational Telecommunication Union-Telecommunication Standardizatian SectorLayer 2 Tunneling Protocol
Local Area Network
Muli-prolocol label switching-TTKAONYKACa
自治系统边界路由器
异出传输模式
边界网关协议
用广网络边缘设备
无类域间路由
域名服务器
2.048 Mbius数字同步传输
加速转发
外部路由协议
先进先出
帧中继
文件传输协议
通用路由封装
网关路由器
高级数据链路控制协议
超文本传输协议
因特网工程任务组
内部路由协议
互联网协议
五联网协议一第4版
中间系统一中间系统
互联网业务提供商
综台业务数字网
互联网业务提供商
国际电信联盟一电信标雅化部
第2层隧道协议
局域网
多协议标记交换
3.2术语
NetworkAddressTranslation
Next Hop Rouing Protocol
Network Service Provider
Outbound Route Filter
Open Shortest Path First
Provider Edge
Per hap hebavior
Quality of Service
Router
Request for Camment
Resource Reser Vation PratocolReal-time Transport ProtocolService Level Agreement
Synchronous Digital HierarchyStandard
TransmissionControl ProtocolType Of Service
Time To Live
User Datagram Protocol
Virtual Local Area Network
Virtual Private Network
VPN Routing/Forwarding instance网络地址转换
YD/T 1477-2006
下一跳路由协议
网络服务提供商
输出路由过滤
开放最短路径优先
提供商边缘设备
每跳行为
服务质量
路油器
请求评价
资源预留协议
实时传输协议
服务等级协议
同步数字网
传输控制协议
业务类型
生存期
用户数据报协议
虚拟局域网
虚拟专用网
VPN路由转发实例
(1)用户边缘设备(CustomerEdge一CE)用户网络中和运营商网络直接相连的设备,可以是主机或者路由器。用户边缘设备“感知”不到VPN的存在。
(2)运营商边缘设备(ProviderEdgePE)运营商网络和用户网络直接相连的设备,在本标准中,PE设备需要支持MPLS功能。PE设备负责运营商网络厕VPN客户网络的交互.。PE设备处理来自CE设备的数据,并转发到相同VPN中的其他PE设备,PE设备也要能够处理来自网络的到所属VPN的站点的数据。PE设备能够理解和处理VPN用户的私网地址,并提供不向VPN用户网络之闻的隔离性。(3)运营商核心设备(P设备)运营商骨干网络中不和CE相连的路由器称为P设备,它是转发从PE设备发过来的VPN数据的设备,如果PE设备之间使用MPLS隧道,需要相应的P设备支持MPLS和LDP。如果PE设备之间使用其他隧道机制,P设备可以不支持MPIS和LDP.只需要按照该隧道机制的要求支持相应技术。3
YD/T 1477-2006
(4)站点(Site)
站点是一个作为VPN用片的网络,并通过个CB或多个CE连接到个或多个PE设备,-一个Site可能是由位于相同地理位置的系列主机和网络设备组成,比如一个行的分理处,也可能是-个地理分布的网络,但作为一个逻辑的整体统-出II和PH设备连接,一个VPN由通过公其基础设施连接的多个 Site组成。
(5) RD (Routc Distinguisher)这是一个全局惟一的8字节数值,可以为每个VRF配置个惟一的RD,也可以为每个VPN配置个惟一的RD,在运营商骨于网络中用BGP来发布路由信息时,这此附加到VPN的IPv4地址前缴之前,形成一个新的地址族:VPN-IPv4地址族,这样,即使两个VPN具备相同的重叠IPv4地址空间:他们的VPN-Py4地址空间是惟一的:(6)路由目标(Route Target)RouteTarget属性标识了可以使用某路由的站点的集合,即该路由可以被哪些Site所接收,PE路由器可以接收哪些Site传送来的略由。与RouteTarget中指明的Site和连的PE路山器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路出后,将其加人到相应的路由表中。PE路由器存在两个RouteTarget属性的集合:个集台用于附加到从某个Site发送的路由上,称为FxportTargets;另一个集合用于决定哪些路由可以引人此Site的路出表中,称为Iniport Targets。通过匹配路由所携带的RouteTarget属性,可以获得VPN的成员关系。匹配RouteTarget属性可以用来过滤PE路出器接收的路由信息.(7)VPN路由/转发实例(VPNrouting/forwaredinginstanceVRF)PE设备中为不同的VPN站点分别维护的路出转发表,它主要包括:P路由表、标签转发表、使用标签转发表的一系列接口以及管理信息(包括RD、路由过滤策略、成员接口列表等)。VRF中将包含从与PE相连的相应CE中通过在PE/CE链路上运行的路由协议分发的路由,并记忆从远端相同VPN其他VRF中通过MP-BGP分发的路由,然后通过标准的路由选择过程自动选择最佳路由,在VRF静态配置是可选方案。在每个VRF中必须配置如下一个参数:+Route Distinguisher (RD):
个或多个输出路由目标(Expurt Ruuute Targets,Export RT),它作为一种 MP-BGP扩展团体属性,随VRF中向外发布的路由一起由 MP-BGP 携带;--个或多个输人路由目标(ImportRouteTargets,ImportRT),在从远端VRF学习MP-BGP路由时用来和相应路由的输出路由目标(Export Raute Targets,ExpartRT)相匹配以确定是否将该路由学习到本 VRF中。
在VPN中增加一个新的站点是将该站点的CE连接到PE路由器,并在PEI.进行VRF配置,这些配置的改动自动通过MP-BGP通告到其他PB。4组网要求
4.1概述
本标准针对整个MPLSVPN系统的组网方式提出解决方案;第4.2节规定域内组建VPN的基本要求;第4.3节规定跨域组建VPN的基本要求;第4.4节和第4.5节是对组建VPN的附加要求:第4.4节是对域内组建VPN的路由反射要求;第4.5节是分层PE解决方案。4.2域内组网基本要求
YKAONTKAca
YD/T 1477-2006
域内VPN站点之间最简单的连接是全连接,即所有站点之间两两五.连,但是SP可以通过RouleTarget(路由日标)机制控制VPN站点之间路内的分发,从而提供全网状连接、Hub-Spoke(星型)和部分网状连接。
要求支持单播P数据包的转发,保证用户的卫P数据包在运营商网络中透明传输。可以选择提供组播IP业务,但使用这些机制会对可扩展性造成影响。不支持非IP流受。如果希望支持非P业务,则运营商或者必须增加二层隧道服务,或者必须出用户网络使用隧道技术。
1、全网状连接
10. 255. 245. 48
图1全网互连VPN实例
10.255.245.47
图1说明了如何建立一个全网状网络运营商的VPN配置,由下列部分构成:?分离的 VPN 客户(VPNA 和 VPNB)。,PE路由器,都为VPNA和VPNB提供服务,PE之间采用全网互连结构。·在PE路由器之间,通过P路由器建立标记交换路径(LSP)·建立LSP时可以使用LDP、CR-LDP或RSVP-TE协议2.Hub-Spoke连接模式
Hub-CE脐由器
ge-0r0vo.0
Huh-PE
Spoke-CE路由器
Spoke-PE
由器交换机E
10.255.14.180
go-orowo.1
路出器交换机
10.255.14.174
Spoke-PE
路由器必换机F
10.255.14.182
图2简单Hub-SpokeVPN实例
图2说明如何建立一个Hub-SpokeVPN,由下列纽件构成:fe-1foro.D
Spoke-CE路由器
YD/T 1477-2006
·个 Huh PH路由器(路由器D),个与HubPE路由器连接的HubCE路由器。为了是实现Hub-SpokeVPN拓扑的功能,在HutPE路由器和 Hub CF 路出器之间必须有2个接山,每个接口在PE路巾器必须有自己的VRF 表。,一个接口(接口是ge-0/O/0.0)用于广告 Spoke 路内到Hub CE 路内器。和这个接几关联的VRK表包含SpokePE路由器要广告到Hub CE路由器的路由。*第.二个接口(接口是ge-0/O/1.0)用于接收从Hub CE路山器广告,为Hub和 Spokc路由器定义的路由:和这个接L1关联的VRF表包含从HubCE路由器广告到Spokc PE路由器上的路由。●2个 Spoke PE路由器(路由器E 和F),2个 Spoke CE 路由器(CEl和 CE2),每个 CE 路由器连接一个 Spokc PE路由器。·LDP 作为信令协议。
3.部分网状连接
客户的VPN网络可能是更加复杂的类型,比如有些站点之间是Full-Mesh状连接,有些站点之间是Hub-And-Spoke状连接。这些复杂组网模式般需要具体分析.4.3域组网基本要求
BGP/MPLS VPN 是 IP 网络,因此,BGP/MPLS VPN之间的互.联互通与承载BGP/MPLS VPN 的正网络之间的互联互通的方式相同。例如,一个VPN站点内可以包含个VPN方案的CE路由器和另外.个VPN方案的 CE路由器,而且这些CE路由器之间可以是IGP对等体,也可以是相同的 CE路由器,需要进行一种类型的VPN路由重新发布到一种类型的 VPN路由。如果同一个VPN的两个 Site位于不同的自治系统内,相应的 PE路由器就无法使用IBGP连接求转发VPN-IPv4路由,这时必须使用EEGP来在自治系统间传播VPN-IPv4路由。目前主要有几种可行的解缺方法。此内容来自标准下载网
1.在自治系统边界路由器(ASBR)间使用VRF到VRF连接这种方式中,ASBR在它所在的自治域中充当PE的角色,在某个自治系统内的PE路由器尚另一个白治系统内的另外一个PE路由器间直接建立连接,为该自治域接人的每个VPN建立一个这样的连接。当在两个自治系统间篇要发布路由的VPN为多个时,这两个PE路由器需要通过多个接口(或者子接口)连接起来,每个这样的VPN需要一个接口(或者F接口)。每个ASBR都把对端ASBR当成本端ASBR(在本白治系统中承担PE的功能)的 CE设备,也就是 ASBR 为每个这样的子接口X联一个 VRF,并且在它们之间使用EBGP来发布无标记IPv4地址路由该解决方案不需要PE设备提供额外的支持,供是因为大量的跨自治系统VPN可能会产生人量的VRF到VRF迁接,对ASBR的资源消耗非常大,在VPN数目增大时,有可能存在扩展性问题,如图3所示。6
YKAONTKAca
MP-BGP
VPNLSPI
P转发
MP-BGP
VPNTSP2
图3BGP/MPLSVPN跨域:VRF-to-VRF解决方案PE
2.使用EBGP从一个自治系统到另一个白治系统分发有标记VPN-IPv4路由YD/T 1477-2006
连接VPNSite的PE路由器使用IBGP向该自治系统的ASBR发布(或者通过路由反射器发布)标记VPN-IPy4路出,然后ASBR使用EBGP将这些路由发布给另一个自治系统内的ASBR,如果该自治系统是目的自治系统,ASBR将路由发布给相应的PE路由器,否则继续发布给其他的ASBR,直到到达目的自治系统,如图4所示。
MP-IBGP
VPNLSP1
MP-EBGF
VPNLSP2
MP-IBGP
VPN LSP3
图4BGP/MPLSVPN跨域:带VPN-IPy4的MP-EBGP解决方案CE
当使用这种方式,EBGP连接的端点间只有存在信任关系才可以接受VPN-IPv4路由,如果路由来自于互联网或者是不可信任的BCP对端,这些路由不应该被发布和接受。ASBR只有在确认收到的标记报文的顶层标记是自已发布的,才允许从EBGP对端接受这个报文。如果网络上存在很多的跨自治系统的VPN,可以用多个ASBR来解决ASBR处理的瓶颈。这个方法允许在跨越多个自治系统的标记交换路径,因此在路径经过的自治系统间必须存在一定程度的信任关系,并H这些自治系统问应该就哪个ASBR接受哪些RT的路由达成--致。日前的同一个运营商网络内部各自治系统间存在天然的信任关系,另外本方式管理和维护简单,因此作为主要的解决方案,要求PE设备和IASBR必须支持。对下不同运营商网络之间的自治系统,需要增加网关设备之间的认证或加密机制,需要和相关的安全措施一起保证跨域VPN的安全。3.Multi-HopEBGP分发VPN-IPv4地址在本解决方案中,ASBR既不维护也不发布VPN-IPv4路由,ASBR只维护它所在的自治系统内的所有PE路由器的带标记的IPv4主机路由,J使用EBGP来把这些主机路出发布给其他的自治系统。中转7
YD/T 1477-2006
白治系统内的ASBR也使用EBGP来传递这些主机路出,这样就在人端PE路出器和出端PE路由器间创建了一条标记交换路径。PE就能够跨越多个白治系统建立多跳EBGP连接,并且使用这个连接求交换VPN-IPv4地址,如图5所示。
MP-IBGP
Multi-Hop MP-FBLiF
Muli-Hep MP-EBG
YPNLSP
路越的LSP
MP-IBGF
图5BGP/MPLS VPN跨域:Multi-HoPEBGP解决方案CH
如果自治系统内的P路由器并不都知道PE路由器的主机路由,就要求报文的人端PE使用三层标记摊栈,底层标记由出端PE分配,对应于特定VRF内的日的地址,中间标记由ASBR分配,对应于到出端路由器的主机路由,顶层标记出人端PE的IGP下一跳分配,对应于到ASBR的主机路由。该方案因为要求三层标记支持,如果网络中的ASBR不支持标记交换能力,则无法有效地使用MPLS部署VPN,并且无法使用GRE来代替标记交换路径。为提高该方案的适应能力,可以在VPN中位于一个自治域中的PE的路山反射器(RR)和位于另一个白治域中的PE的路出反射器(RR)之间建立Muli-HopEBGP,而将相应的PE和路由反射器之间以MP-IBGP连接。路由反射器在该Multi-HopEBGP连接上发布VPN路由时,它们不改变这些路由的下跳。4.4域内组网路由反射解决方案
在组建BGP/MPLSVPN网络时,在每个PE路由器上必须运行MP-BGP,BGP/MPLSVPN中PH之间使用MP-BGP(RFC 2858)在PE之间进行VPN路由的学习和通告,MP-BGP继承了BGP协议要求在同-个路由域中运行IBGP的对等休之间进行全连接以在路由域内通告BGP路由,当VPN中的PE数量很大时,这种IBGP全连接的数量会很人,有严重的N平方问题和可扩展性问题,为了改善这种状况,可以使用路由反射器来解决。路由反射器允许保存不直接相连接的VPN的信怠的设备,但是没有必要要求网络中的任何一个路由反射器都有全网的所有VPN的所有VPN-IPv4路由。下面列出了两种在几个路由反射器间划分VPN-IPv4路由职责的办法:
1.每个路由反射器都预先配置一系列的RT出于亢余和可带性考虑,对于相同的RT集合,可以配置多个路由反射器。路由反射器使用这些预先配置的RT做入路由过滤,路由反射器可以使用BGP输出路由过滤(ORF)技术,这样它就可以为其对端(包括PE路由器和其他路出反射器)加人包括预先配置RT的输出路由过滤。在这里路由反射器应该能够接收来自其他路由反射器的输出路由过滤,也就是说路出反射器应该向其他路由器通报QRF能8
-TYKAONYKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1477-2006
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)组网要求The Reguirements for Constructing BGP/MPLS-basedVirtualPrivateNetwork
2006-06-08发布
2006-10-01实施
中华人民共和国信息产业部发布前言
1范围
2规范性引用文件
3缩略语与术语
3.1缩略语·
3.2.术语
4.组网要求
4.1概述·
4.2域内组网基本要求
4.3跨域组网基本要求
4.4域内组网路由反射解决方案
4.5分层PE解决方案·
4.6MPLS VPN路由聚合扩展方案
4.7业务实施要求
5运营商业务模型
6安全性·
路由信息的隔离
6.2访问控制·
6.3用户数据保护.
6.4运营商安全措施
7 VPN 编址..
8运营商间互联互通
网络接人·
物理层/链路层要求
临时接人·
9.3 Internet 接人-
9.4外部业务访问
10运营商路由
11Qos 支持·
12可扩展能力·
12.1VPN数量的扩展性
12.2PE数量扩展性
12.3VPN接口扩展性
-TYKAONYKACa
YD/T 1477-2006
YD/T 1477-2006
12.4VPN路出扩展性
[2.5LSP(隧道)数量的扩展性:12.6部署VPN的扩展性规划·
13 BGP/MPLS VPN 管理....
13.1用户管理BGP/MPLS VPN-
13.2运营商管理BGP/MPLSVPN--
YD/T 1477 -2006
本标准是《基了边界网关协议/多协议标记交换的壶拟专用网(BGP/MPLSVPN)》系列标准之本系列的标推结构和名称预计如下:1,基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求
(BGP/MPLSVPN)组网要求
2.基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)测试方法
3.基于边界网关协议/多协议标记交换的虚拟专用网本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院中国电信集团公司
中兴通讯股份有限公司
华为技术有限公司
本标准主要起草人:吴英桦何宝宏田辉陈运清陈丹李德丰EI
-YKAONYKACa
1范围
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)组网要求YD/T1477-2006
本标准舰定了基于边界网关协议/多协议标记交换(BGP/MPLS)组建虚拟专用网(VPN)的技术要求,包括BGP/MPLSVPN的要求、网络结构、拓扑、安全与访问控制、编址、互联、业务接人、路由、QoS支持、管理、非MPLS网络承载以及演进策略等。本标准适用于运营商组建基于BGP/MPLS的二层VPN网络。2规范性引用文件
下列文件中的条款通过本标准的引用丽成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T1162.1-2005
YD/T 1096-2001
YD/T 1097-2001
RFC 1519
RFC 1587
RFC 1701
RFC1702
RFC 1771
RFC 1997
RFC 2328
RFC 2547
RFC2663
RFC 2694
RFC2766
RFC2796
RFC2858
RFC3022
RFC 3027
RHC 3065
RFC 3235
Draft-ierf-ppvpn-applicability-guidelines-01多协议标记交换(MPLS)技术要求路由器设备技术规范-低端路由器路电器设备技术规范-高端路由器无类域间路由选择(CIDR):地址分配及拥塞策略OSPF的NSSA选项
一般选路封装
IPy4网络上的一般选路封装
边缘网关协议第4版本(BGP4)
BGP团体属性
开放式最短路经优先(版本2)(更新RFC2178、RFC1583、RFC1247)
BGP/MPLSVPN
P网络地址转换的术语和考
NAT的DNS 扩展(DNS_ALG)
网络地址转换——协议转换
BGP路由反射器一一替代IBGP全连接的方法MultiprotoxolExtensionsforBGP-4(BGP4的多协议扩展)传统的IP网络地址转换
P地址NAT的协议关联性
BGP 的方治系统联盟
NAT应用设计指南
PPVPN应用说明
YD/T 1477-2006
Draft-ictf-ppvpn-as2547-00.txt3缩略语与术语
下列缩略语和术语适用于本标准,3.1缩略语
Autonomous Systen
基于RFC2547BIS的VPN的应用说明白治系统
Automomous System Border RouterAsynchronous Transfer Mode
Border Gate way Protocol
Custoner Edge
Classless Inter-Domain RoutingDomain Name Server
Digital HierarchyTransmission2.048Mbit/sExpedited Forwarding
External Gateway Protocol
First In, First Out.
Frame Relay
File Transfer Frototocl
Generic Routing EncapsulationGateway router
High Level Data Link ControlHypertext Transfer Protocol
Internet Engineering Task ForceInterior Gate way Protocol
Internet Protocol
Internet Protocol version 4
Intermediate System to Intermediate SystemInternet Service Provider
Integrated Service Data NetworkInternet Service Provider
Intemnational Telecommunication Union-Telecommunication Standardizatian SectorLayer 2 Tunneling Protocol
Local Area Network
Muli-prolocol label switching-TTKAONYKACa
自治系统边界路由器
异出传输模式
边界网关协议
用广网络边缘设备
无类域间路由
域名服务器
2.048 Mbius数字同步传输
加速转发
外部路由协议
先进先出
帧中继
文件传输协议
通用路由封装
网关路由器
高级数据链路控制协议
超文本传输协议
因特网工程任务组
内部路由协议
互联网协议
五联网协议一第4版
中间系统一中间系统
互联网业务提供商
综台业务数字网
互联网业务提供商
国际电信联盟一电信标雅化部
第2层隧道协议
局域网
多协议标记交换
3.2术语
NetworkAddressTranslation
Next Hop Rouing Protocol
Network Service Provider
Outbound Route Filter
Open Shortest Path First
Provider Edge
Per hap hebavior
Quality of Service
Router
Request for Camment
Resource Reser Vation PratocolReal-time Transport ProtocolService Level Agreement
Synchronous Digital HierarchyStandard
TransmissionControl ProtocolType Of Service
Time To Live
User Datagram Protocol
Virtual Local Area Network
Virtual Private Network
VPN Routing/Forwarding instance网络地址转换
YD/T 1477-2006
下一跳路由协议
网络服务提供商
输出路由过滤
开放最短路径优先
提供商边缘设备
每跳行为
服务质量
路油器
请求评价
资源预留协议
实时传输协议
服务等级协议
同步数字网
传输控制协议
业务类型
生存期
用户数据报协议
虚拟局域网
虚拟专用网
VPN路由转发实例
(1)用户边缘设备(CustomerEdge一CE)用户网络中和运营商网络直接相连的设备,可以是主机或者路由器。用户边缘设备“感知”不到VPN的存在。
(2)运营商边缘设备(ProviderEdgePE)运营商网络和用户网络直接相连的设备,在本标准中,PE设备需要支持MPLS功能。PE设备负责运营商网络厕VPN客户网络的交互.。PE设备处理来自CE设备的数据,并转发到相同VPN中的其他PE设备,PE设备也要能够处理来自网络的到所属VPN的站点的数据。PE设备能够理解和处理VPN用户的私网地址,并提供不向VPN用户网络之闻的隔离性。(3)运营商核心设备(P设备)运营商骨干网络中不和CE相连的路由器称为P设备,它是转发从PE设备发过来的VPN数据的设备,如果PE设备之间使用MPLS隧道,需要相应的P设备支持MPLS和LDP。如果PE设备之间使用其他隧道机制,P设备可以不支持MPIS和LDP.只需要按照该隧道机制的要求支持相应技术。3
YD/T 1477-2006
(4)站点(Site)
站点是一个作为VPN用片的网络,并通过个CB或多个CE连接到个或多个PE设备,-一个Site可能是由位于相同地理位置的系列主机和网络设备组成,比如一个行的分理处,也可能是-个地理分布的网络,但作为一个逻辑的整体统-出II和PH设备连接,一个VPN由通过公其基础设施连接的多个 Site组成。
(5) RD (Routc Distinguisher)这是一个全局惟一的8字节数值,可以为每个VRF配置个惟一的RD,也可以为每个VPN配置个惟一的RD,在运营商骨于网络中用BGP来发布路由信息时,这此附加到VPN的IPv4地址前缴之前,形成一个新的地址族:VPN-IPv4地址族,这样,即使两个VPN具备相同的重叠IPv4地址空间:他们的VPN-Py4地址空间是惟一的:(6)路由目标(Route Target)RouteTarget属性标识了可以使用某路由的站点的集合,即该路由可以被哪些Site所接收,PE路由器可以接收哪些Site传送来的略由。与RouteTarget中指明的Site和连的PE路山器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路出后,将其加人到相应的路由表中。PE路由器存在两个RouteTarget属性的集合:个集台用于附加到从某个Site发送的路由上,称为FxportTargets;另一个集合用于决定哪些路由可以引人此Site的路出表中,称为Iniport Targets。通过匹配路由所携带的RouteTarget属性,可以获得VPN的成员关系。匹配RouteTarget属性可以用来过滤PE路出器接收的路由信息.(7)VPN路由/转发实例(VPNrouting/forwaredinginstanceVRF)PE设备中为不同的VPN站点分别维护的路出转发表,它主要包括:P路由表、标签转发表、使用标签转发表的一系列接口以及管理信息(包括RD、路由过滤策略、成员接口列表等)。VRF中将包含从与PE相连的相应CE中通过在PE/CE链路上运行的路由协议分发的路由,并记忆从远端相同VPN其他VRF中通过MP-BGP分发的路由,然后通过标准的路由选择过程自动选择最佳路由,在VRF静态配置是可选方案。在每个VRF中必须配置如下一个参数:+Route Distinguisher (RD):
个或多个输出路由目标(Expurt Ruuute Targets,Export RT),它作为一种 MP-BGP扩展团体属性,随VRF中向外发布的路由一起由 MP-BGP 携带;--个或多个输人路由目标(ImportRouteTargets,ImportRT),在从远端VRF学习MP-BGP路由时用来和相应路由的输出路由目标(Export Raute Targets,ExpartRT)相匹配以确定是否将该路由学习到本 VRF中。
在VPN中增加一个新的站点是将该站点的CE连接到PE路由器,并在PEI.进行VRF配置,这些配置的改动自动通过MP-BGP通告到其他PB。4组网要求
4.1概述
本标准针对整个MPLSVPN系统的组网方式提出解决方案;第4.2节规定域内组建VPN的基本要求;第4.3节规定跨域组建VPN的基本要求;第4.4节和第4.5节是对组建VPN的附加要求:第4.4节是对域内组建VPN的路由反射要求;第4.5节是分层PE解决方案。4.2域内组网基本要求
YKAONTKAca
YD/T 1477-2006
域内VPN站点之间最简单的连接是全连接,即所有站点之间两两五.连,但是SP可以通过RouleTarget(路由日标)机制控制VPN站点之间路内的分发,从而提供全网状连接、Hub-Spoke(星型)和部分网状连接。
要求支持单播P数据包的转发,保证用户的卫P数据包在运营商网络中透明传输。可以选择提供组播IP业务,但使用这些机制会对可扩展性造成影响。不支持非IP流受。如果希望支持非P业务,则运营商或者必须增加二层隧道服务,或者必须出用户网络使用隧道技术。
1、全网状连接
10. 255. 245. 48
图1全网互连VPN实例
10.255.245.47
图1说明了如何建立一个全网状网络运营商的VPN配置,由下列部分构成:?分离的 VPN 客户(VPNA 和 VPNB)。,PE路由器,都为VPNA和VPNB提供服务,PE之间采用全网互连结构。·在PE路由器之间,通过P路由器建立标记交换路径(LSP)·建立LSP时可以使用LDP、CR-LDP或RSVP-TE协议2.Hub-Spoke连接模式
Hub-CE脐由器
ge-0r0vo.0
Huh-PE
Spoke-CE路由器
Spoke-PE
由器交换机E
10.255.14.180
go-orowo.1
路出器交换机
10.255.14.174
Spoke-PE
路由器必换机F
10.255.14.182
图2简单Hub-SpokeVPN实例
图2说明如何建立一个Hub-SpokeVPN,由下列纽件构成:fe-1foro.D
Spoke-CE路由器
YD/T 1477-2006
·个 Huh PH路由器(路由器D),个与HubPE路由器连接的HubCE路由器。为了是实现Hub-SpokeVPN拓扑的功能,在HutPE路由器和 Hub CF 路出器之间必须有2个接山,每个接口在PE路巾器必须有自己的VRF 表。,一个接口(接口是ge-0/O/0.0)用于广告 Spoke 路内到Hub CE 路内器。和这个接几关联的VRK表包含SpokePE路由器要广告到Hub CE路由器的路由。*第.二个接口(接口是ge-0/O/1.0)用于接收从Hub CE路山器广告,为Hub和 Spokc路由器定义的路由:和这个接L1关联的VRF表包含从HubCE路由器广告到Spokc PE路由器上的路由。●2个 Spoke PE路由器(路由器E 和F),2个 Spoke CE 路由器(CEl和 CE2),每个 CE 路由器连接一个 Spokc PE路由器。·LDP 作为信令协议。
3.部分网状连接
客户的VPN网络可能是更加复杂的类型,比如有些站点之间是Full-Mesh状连接,有些站点之间是Hub-And-Spoke状连接。这些复杂组网模式般需要具体分析.4.3域组网基本要求
BGP/MPLS VPN 是 IP 网络,因此,BGP/MPLS VPN之间的互.联互通与承载BGP/MPLS VPN 的正网络之间的互联互通的方式相同。例如,一个VPN站点内可以包含个VPN方案的CE路由器和另外.个VPN方案的 CE路由器,而且这些CE路由器之间可以是IGP对等体,也可以是相同的 CE路由器,需要进行一种类型的VPN路由重新发布到一种类型的 VPN路由。如果同一个VPN的两个 Site位于不同的自治系统内,相应的 PE路由器就无法使用IBGP连接求转发VPN-IPv4路由,这时必须使用EEGP来在自治系统间传播VPN-IPv4路由。目前主要有几种可行的解缺方法。此内容来自标准下载网
1.在自治系统边界路由器(ASBR)间使用VRF到VRF连接这种方式中,ASBR在它所在的自治域中充当PE的角色,在某个自治系统内的PE路由器尚另一个白治系统内的另外一个PE路由器间直接建立连接,为该自治域接人的每个VPN建立一个这样的连接。当在两个自治系统间篇要发布路由的VPN为多个时,这两个PE路由器需要通过多个接口(或者子接口)连接起来,每个这样的VPN需要一个接口(或者F接口)。每个ASBR都把对端ASBR当成本端ASBR(在本白治系统中承担PE的功能)的 CE设备,也就是 ASBR 为每个这样的子接口X联一个 VRF,并且在它们之间使用EBGP来发布无标记IPv4地址路由该解决方案不需要PE设备提供额外的支持,供是因为大量的跨自治系统VPN可能会产生人量的VRF到VRF迁接,对ASBR的资源消耗非常大,在VPN数目增大时,有可能存在扩展性问题,如图3所示。6
YKAONTKAca
MP-BGP
VPNLSPI
P转发
MP-BGP
VPNTSP2
图3BGP/MPLSVPN跨域:VRF-to-VRF解决方案PE
2.使用EBGP从一个自治系统到另一个白治系统分发有标记VPN-IPv4路由YD/T 1477-2006
连接VPNSite的PE路由器使用IBGP向该自治系统的ASBR发布(或者通过路由反射器发布)标记VPN-IPy4路出,然后ASBR使用EBGP将这些路由发布给另一个自治系统内的ASBR,如果该自治系统是目的自治系统,ASBR将路由发布给相应的PE路由器,否则继续发布给其他的ASBR,直到到达目的自治系统,如图4所示。
MP-IBGP
VPNLSP1
MP-EBGF
VPNLSP2
MP-IBGP
VPN LSP3
图4BGP/MPLSVPN跨域:带VPN-IPy4的MP-EBGP解决方案CE
当使用这种方式,EBGP连接的端点间只有存在信任关系才可以接受VPN-IPv4路由,如果路由来自于互联网或者是不可信任的BCP对端,这些路由不应该被发布和接受。ASBR只有在确认收到的标记报文的顶层标记是自已发布的,才允许从EBGP对端接受这个报文。如果网络上存在很多的跨自治系统的VPN,可以用多个ASBR来解决ASBR处理的瓶颈。这个方法允许在跨越多个自治系统的标记交换路径,因此在路径经过的自治系统间必须存在一定程度的信任关系,并H这些自治系统问应该就哪个ASBR接受哪些RT的路由达成--致。日前的同一个运营商网络内部各自治系统间存在天然的信任关系,另外本方式管理和维护简单,因此作为主要的解决方案,要求PE设备和IASBR必须支持。对下不同运营商网络之间的自治系统,需要增加网关设备之间的认证或加密机制,需要和相关的安全措施一起保证跨域VPN的安全。3.Multi-HopEBGP分发VPN-IPv4地址在本解决方案中,ASBR既不维护也不发布VPN-IPv4路由,ASBR只维护它所在的自治系统内的所有PE路由器的带标记的IPv4主机路由,J使用EBGP来把这些主机路出发布给其他的自治系统。中转7
YD/T 1477-2006
白治系统内的ASBR也使用EBGP来传递这些主机路出,这样就在人端PE路出器和出端PE路由器间创建了一条标记交换路径。PE就能够跨越多个白治系统建立多跳EBGP连接,并且使用这个连接求交换VPN-IPv4地址,如图5所示。
MP-IBGP
Multi-Hop MP-FBLiF
Muli-Hep MP-EBG
YPNLSP
路越的LSP
MP-IBGF
图5BGP/MPLS VPN跨域:Multi-HoPEBGP解决方案CH
如果自治系统内的P路由器并不都知道PE路由器的主机路由,就要求报文的人端PE使用三层标记摊栈,底层标记由出端PE分配,对应于特定VRF内的日的地址,中间标记由ASBR分配,对应于到出端路由器的主机路由,顶层标记出人端PE的IGP下一跳分配,对应于到ASBR的主机路由。该方案因为要求三层标记支持,如果网络中的ASBR不支持标记交换能力,则无法有效地使用MPLS部署VPN,并且无法使用GRE来代替标记交换路径。为提高该方案的适应能力,可以在VPN中位于一个自治域中的PE的路山反射器(RR)和位于另一个白治域中的PE的路出反射器(RR)之间建立Muli-HopEBGP,而将相应的PE和路由反射器之间以MP-IBGP连接。路由反射器在该Multi-HopEBGP连接上发布VPN路由时,它们不改变这些路由的下跳。4.4域内组网路由反射解决方案
在组建BGP/MPLSVPN网络时,在每个PE路由器上必须运行MP-BGP,BGP/MPLSVPN中PH之间使用MP-BGP(RFC 2858)在PE之间进行VPN路由的学习和通告,MP-BGP继承了BGP协议要求在同-个路由域中运行IBGP的对等休之间进行全连接以在路由域内通告BGP路由,当VPN中的PE数量很大时,这种IBGP全连接的数量会很人,有严重的N平方问题和可扩展性问题,为了改善这种状况,可以使用路由反射器来解决。路由反射器允许保存不直接相连接的VPN的信怠的设备,但是没有必要要求网络中的任何一个路由反射器都有全网的所有VPN的所有VPN-IPv4路由。下面列出了两种在几个路由反射器间划分VPN-IPv4路由职责的办法:
1.每个路由反射器都预先配置一系列的RT出于亢余和可带性考虑,对于相同的RT集合,可以配置多个路由反射器。路由反射器使用这些预先配置的RT做入路由过滤,路由反射器可以使用BGP输出路由过滤(ORF)技术,这样它就可以为其对端(包括PE路由器和其他路出反射器)加人包括预先配置RT的输出路由过滤。在这里路由反射器应该能够接收来自其他路由反射器的输出路由过滤,也就是说路出反射器应该向其他路由器通报QRF能8
-TYKAONYKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。