YD/T 1476-2006
基本信息
标准号: YD/T 1476-2006
中文名称:基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLS VPN)技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1424281
相关标签: 基于 边界 网关 协议 标记 交换 虚拟 专用网 技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1476-2006.Technical Specification for BGP/MPLS VPN.
1范围
YD/T 1476规定了利用IP骨干网向客户提供虚拟专用网业务的技术,即边界网关协议/多协议标记交换的虚拟专用网BGP/MPLS VPN技术要求,内容包括BGPMPLS VPN网络结构、PE的多转发表、VPN路由、VPN转发、分层PE、运营商的运营商、跨域VPN、VPN访问Intemet、 VPN管理、安全、服务质量以及扩展性。本标准讨论的VPN业务仅针对IP业务(即所谓的三层VPN业务),不包括其他业务,如FR、ATM、以太网、PPP等。客户虽然可以通过任何二层业务接人运营商网络,但这些二层业务在运营商网络的边缘已经被终结。
YD/T 1476适用于BGP/MPLS VPN设备,包括BGP/MPLS VPN网络的客户边缘设备、运营商边缘设备、骨干网设备、自治域边界路由器以及路由反射器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1162.1-2005 多协议标记交换(MPLS)技术要求
RFC1058 RIP协议
RFC1701 通用路由封装协议
RFC1702 IPv4网络上的通用路由封装
RFC1771 BGP4协议
RFC1997 BGP团体属性
OSPFv2 协议(更新RFC2178、 RFC1583 以及
1范围
YD/T 1476规定了利用IP骨干网向客户提供虚拟专用网业务的技术,即边界网关协议/多协议标记交换的虚拟专用网BGP/MPLS VPN技术要求,内容包括BGPMPLS VPN网络结构、PE的多转发表、VPN路由、VPN转发、分层PE、运营商的运营商、跨域VPN、VPN访问Intemet、 VPN管理、安全、服务质量以及扩展性。本标准讨论的VPN业务仅针对IP业务(即所谓的三层VPN业务),不包括其他业务,如FR、ATM、以太网、PPP等。客户虽然可以通过任何二层业务接人运营商网络,但这些二层业务在运营商网络的边缘已经被终结。
YD/T 1476适用于BGP/MPLS VPN设备,包括BGP/MPLS VPN网络的客户边缘设备、运营商边缘设备、骨干网设备、自治域边界路由器以及路由反射器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1162.1-2005 多协议标记交换(MPLS)技术要求
RFC1058 RIP协议
RFC1701 通用路由封装协议
RFC1702 IPv4网络上的通用路由封装
RFC1771 BGP4协议
RFC1997 BGP团体属性
OSPFv2 协议(更新RFC2178、 RFC1583 以及
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1476-2006
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求Technical SpecificationforBGP/MPLSVPN2006-06-08发布
2006-10-01实施
中华人民共和国信息产业部发布前
2规范性引用文件
3定义和术语及缩略语
3.1定义和术语·
3.2缩略语
BGP/MPLSVPN网络结构
4.1站点与CE
5PE的多转发表
5.1VRF与连接链路
5.2IP包的VRF关联?
5.3VRF的路由传播·
6VPN路由
VPN重叠地址空间
相间系统的不同路由
6.3VPN-IPv4地址族
6.4RD编码
6.5控制路由分发
7VPN转发
7.1隧道数据转发
7.2VPN隔离·
8分层PE
8.1分层PE原理
8.2 SPE-UPE接口.
8.3分层PE的嵌套
8.4多归路UPE
8.5UPE之间的后门连接·
9运营商的运营商
10跨自治系统VPN
VPN访间互联网
12VPN管理*
TYYKANTKAca
YD/T 1476-2006
YD/T 1476-2006
13 VPN安全··
13.1数据平面安全
13.2控制平面安全
13.3设备安全
14服务质量·
15可扩展性·.
YD/T 1476-2006
本标准是《基于边界网关协议/多协议标记交换的显拟专用网(BGP/MPLSVPN))》系列标准之。4系列的标准结构和名称预计如下:(BGP/MPLSVPN)技术要求
1基于边界网天协议多协议标记交换的虚拟专用网2)基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)组网要求3)基于通界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSPN)测试方法
本标准由中国通信标准化协会提山并归口。本标准起草单位:信息产业部电信研究院f国电信集团公司
中兴通讯股份有限公司
华为技术有限公司
本标准主要起草人:田辉何宝宏吴英桦陈运清陈丹李德丰YYKAONTKAca
1范围
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求YD/T 1476-2006
本标准规定了利用正骨干网向客户提供虚拟专用网业务的技术,即边界网关协议/多协议标记交换的虚拟专用网BGP/MPLSVPN技术要求,内容包括BGP/MPLSVPN网络结构、PE的多转发表、VPN路山、VPN转发,分层PE、运营商的运营商、跨域VPN、VPN访问InterMet、VPN管理、安全、服务质以及扩展性。本标准讨论的VPN业务仅针对IP业务(即所谓的一层VPN业务),不包括其他业务,如FR,ATM、以太网、PPP等。客户显然可以通过任何二层业务接入运营商网络,但这些二层业务在运营商网络的边缘已经被终结。
本标准适用于BGP/MPLSVPN设备,包括BGP/MPLSVPN网络的客户边缘设备、运营商边缘设备、骨干网设备、白治域边界路由器以及路由反射器设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于不标准,然而,鼓励根据本标准达成协议的备方研究是否可使用这些文件的最新版本。凡是不注H期的引用文件,其最新版本适用于本标准!YD/T 1162.1-2005
RFC1058
RFC1701
RFC1702
RFC1771
RFC1997
RFC2328
RFC2453
RFC2474
RFC2475
RFC2547
RFC2796
RFC2842
RFC2858
RFC2918
RFC3031
RFC3032
多协议标记交换(MPLS)技术要求RIP协议
通用路由封装协议
Pv4网络上的通用路由封装
BGP4协议
BGP团体属性
OSPFv2 协议(更新 RFC2178、RFC1583以及RFC1247)
RIPv2协议
IPv4及Pv6包头的DS字段定义
DS 服务架构
BGP/MPLS VPN
BGP4路由反射
BGP4能力协商
多协议扩展BGP4
BGP4路由反射能力
MPLS体系结构
MPLS标记栈编码
YD/T1476-2006
RFC3036
RFC3037
RFC3107
RFC3209
RFC3215
draft-ietf-ppvpn-rfc2547his-033定义和术语及缩略语
LDP规范
LDP可行性
使用BGP4携带标记信息
使用对RSVP的扩展来建立ISP隧道LDP状态机
BGP/MPLSVPN草案(版本3)
下列楚义和术语及缩略语适用于本标推。3.1定义和术语
虚拟专用网(Virtual Private Network)对连接到骨于网上的站点集合施加某种控制策略,生成站点的子集,当某一子集同时包含两个或史多的站点,且这些站点之间通过骨干网连接具有可达性时,称这个子集为VPN。当VPN所有站点属于同一企业时,VPN被看作是内联网(intranet):当VPN站点属丁不同企业时,VPN被看作是外联网(exlrinel):单个站点可以属于多个VPN,可以同时属于一个intranet或多个extanet。本标准的VPN中,不再区分intranet和extranet:站点(Sit)
对于特定的骨干网,一个不需要通过骨干网就能完战互联的网络系统,被称之为个站点(Sitc)通常,这些主机和网络设备系统在地理1比较集中但是两个地理位置较远的站点通过租用线路连接,运行适当的路出协议(如OSPF)来传播路由,并且这个租用线是这两个站点问数据转发的优选通道,挪么这两个站点对于PE可以认为是个VPN站点,即使每个站点有自已的CE路由器,这里的站点是一个拓扑概念,而不是一个地理概念。如果站点间的租用线失效,则一个站点变成两个站点,两个站点间可以使用VPN来通信。
·客户(Customers)
客户就是站点的所有者。客户从运营商处得到VPN服务。运营商的VPN客1可以是单个企业、多个企业、一个Internet运营商、一个应用提供商甚至是同样提供VPN业务的其他运营商(拥有它们自已的客户)。
运营商(Service Providers )
运营商就是骨于网的所有者。运营商为客户提供VPN业务。决定VPN包含哪些站点的管理策略由客户自已决定,某些客户将所有的管理工作交给运营商完成,还有客户和运营商--起管理这些策略。本标准对VPN的讨论针对运营商管理的情形。更进一步的策略可能还包含VPN内部的路由策略,如VPN站点内部站点之间存在直达路山(FullMesh),或强制两个站点之间的业务必须经过第三个站点(例如,第二个站点内包含个防火墙)。●客户边缘【CE)设备
客户边缘(CE)设备位于客户网络的边缘,它通过到一个或多个运营商边缘(P)设备的数据连接链路为客户提供对运营商的接人。这里的连接叮以是ATM、懒中继、以太网、PPP以及各种隧道等。CE设备可以是一台主机、以太网交换机或路出器,通常情况下,CE设备足一台路由器,个站点可能包含多个路由器,仪将连接到PE的路由器称为CE。CE与直连的PF设备建立路由邻接关系。CE路由器TIYKAONTKAca
YD/T 1476-2006
将站点的本他路由!播给PE路由器,从PE路由器学习远端VPN路由。不同站点的CE路内器之间不能直接交换路信息。
·运营商边缘(PE)设备
运营商边缘(PE)设备位丁运营商网络的迎缘,通常是路由器设备。PE路由器使用静态路由、RIPv2、OSPF、或BGP协议与CE路出器交换路由信息。为了增强VPN的可扩展性,对于PE路由器来说只需维护与其直接相连的VPN路由信息,而不要求PE路出器维护运营商网络中所有VPN的路由信息:当使用MPLS对VPN业务进行转发以穿越运营商网络时,入口PE路由器的作用相当入口LSR,而出口PE路由器的作用相当于出口LSR。·运营商(P)路由器
运营商(P)路由器是运营商网络中不连接CE设备的路由器。如果骨干网采用MPLS技术,当PE路由器间对VPN数据业务进行转发时,P路由器的功能相当十传输LSR。由于数据在MPLS骨干网中被转发时使用了多层标记堆栈,P路出器只需要维护到达运营商PE路由器的路由,所以P路由器不需要为每个站点维护特定的VPN路由信息。3.2缩略语
Address Field Identifier
Autonomous System
Autonomous System Border RouterAutonomous System Numher
Asynchranous Transfer Mode
Best Effort
Border Gateway Pratocol
Customer Edge
Class of Service
Device Under Test
Denial of Service
Expedited Forwarding
Explicit Routing
Data Link Connection IdentifierForwarding Equivalence ClassGeneral Route Ernicapsulate
Gateway Router
Hierarchy of PE
Frame Relay
Intemet Engineer Task Force
Interner Group Management ProtocolInterior Gateway Protocol
地址字段标识
自治系统
自治系统边界路由器
自治系统编号
异步转移模式
尽力而为
边界网关协议
客户边缘设备
业务类型
被测设备
拒绝服务攻击
加速转发
显式路由
数据链路连接标志符
转发等价类
通用路由封装
网关路由器
分层 PE
顿中继
因特网工程任务工作组
互联网组管理协议
内联网关协议
YD/T1476-2006
Intemct Protoco]
Intemet Protocol Versian 4
Intemet Service Provider
Local Area Network
Label Information Base
Label Distributiun Protocol
Label Switched Path
Label Switching Router
LSR Under Test
Layer 2
Layer 3
Message Digest 5 Algorithm MD5Multiprotocol Label SwitchingNetwork Address Translate
Next Hop Route Protocol
NetworkManagementSystem
Network Layer Reach ability InformationOutbound Route Filtering
Open Shortest Path First
Provider
Provider Edge
Per HaP Behavict
Permanent Virual Circuit
Quality of Service
Routing Distinguisher
Routing Information ProtocalResource Reservation Protoco!Routing Reflect
Route Target
Sub Address Field IdentifrerService Layer Agreement
Superstratum PE
TransmissionControlProtocol
Time-To-Live
User Dalagram Protocul
Understratum PE
Virtual Lacal Area Netwurk
YYKAONTKAca免费标准bzxz.net
互联网协议
互联网协议-·-第四版
互联网业务提供者
局域网
标记信息库
标记分发协议
标记交换路径
标记交换路出器
被测LSR
消息摘要算法
多协议标记交换
网络地址翻译
下一跳路山协议
网络管理系统
网络层可达性信息
出川路由过滤器
开放最短路径优先
运营商路由器
运营商边缘设备
每一跳行为
永久虚电路
服务质量
路由区分器
路由信息协议
资源预留协议
路由反射
路由国标
子地址字段标识
业务等级协定
上层PE
传输控制协议
生存时间
客户数据报协议
下层PE
虚拟域网
VPN-IPv4
Virtual Private Net work
VPN-IPv4
VPN Rouing and Forwarding
4BGP/MPLSVPN网络结构
虚拟专用网
VPN IPv4 地址
VPN路由转发表
YD/T 1476-2006
BGP/MPLSVPN采用一组策略的集合来控制站点之间的连接,客广站点通过一个或个端Ii连接到运营商网络,运营商将每个端口与一个VPN路由表联合在一起,这单,VPN路山表被称为VPN路由及转发表(VRF)。BGP/MPLSVPN的框架结构如图1所示,VPN2
站点1
4.1 站点与 CE
图1BGP/MPLS VPN网络框架
站点2
站点2
对于一个特定的骨下网,一个不需要通过骨于网就能完成互联的IP网络系统,被称之为一个站点。通常,这些主机和网络设备系统在地理上比较集中。租是两个地理位置较远的站点通过租用线路连接,运行适当的路由协议(如OSPF)来传播路山,并江这个租用线是这两个站点间数据转发的优选通道,那么这两个站点对于PE可以认为是一个VPN站点,即使每个站点有自已的CE路由器。这里的站点是一个拓扑概念,而不是一个地理概念。如果站点间的租用线失效,则一个站点变成两个站点,两个站点间可以使用VPN来通信,
一个VPN站点由一个或多个CE设备连接到一个或多个PE设备上,每个CE通过某种链路连接PE设备,这些连接可以是ATM、顿中继、以太网、VLAN、PPP以及各种隧道等。在BGP/MPLS VPN中,CE设备可能是主机、以太网交换机或路由器,不同设备类型对CE利PE间的路由分发协议的选择方式有一定的影响,土机和以太网交换机一般要求采用静态路由的方式来从CF到PE分发路山。如果CE设备是路由器,从CE到PE的路由分发可以采用静态路出、RIP、OSPF和BGP,这时认为该CE设备是相应PE的路出对端,而不是同一VPN其他CE的路出对端,CF间并不直接交换路出信息,因此客广并不需要骨干或虚拟骨干,也无须考虑跨站点的路由问题。BGP/MPLSVPN作为运营商管理的VPN,对CE设备没有特殊的要求,无论CE设备是哪种类型的设备,PE设备能采用相同的方式处理路由的传播和VPN数据的转发。同时,CE和PE间有明确的管理边界,客户无须管理PE和P路由器,同样,运营商也无须普理CE设备。个特定的站点可以被划分为多个虚拟站点,但-个CE设备常处于单个站点中。-个站点可以属于多个VPN,一个PE路由器可以连接属于不同VPN的多个站点,无论这些CE是位于相同还是不同的VPN,一个CE设备也可以从健壮性方面考虑连接到多个运尝商的PE路巾器:虽然VPN互联的基本单位是站点,H是BGP/MPLSVPN框架允许对更细粒度的互联进行控制。例如:一个站点中的某此系统可能属于一个内联网,是也同时属1多个外联网,而这个站点中的其他系统只5
YD/T1476-2006
属」内联网。这种情况,站点到骨下网需要两个连接,一个是内联网连接,个是外联网连接,而日外联网的连接可能还需要使能防火端功能。4.2PE
如果台PE设备通过某种方式连接属下某个VPN站点的CE,则该PE就认为连接这个VPN,同样,该PE被认为连接到该站点,
PE设备是BGP/MPLSVPN实现的核心设备,承担主要的路由分发和数据转发功能。PE设备为其直连的站点维继持·个VRF,每个客户连接(如FRPVC、ATMPVC:或VLAN等)被映射到个特定的VRF,PE设备依据这些VRF来处理VPN流量。PE维护多个转发表的能力使得不同VPN之间的路由信息得到了隔离。
在从直连CE路由器学习到本地VPN路由表后,PE路由器使用BGP与其他PE交换路由信息。某些特殊组网条件下还需要支持EBGP,如跨域VPN实现。为提高扩展性PE还需要支持路由反射器功能。使用MPLS对VPN业务进行转发穿越运营商骨干网时,PE设备必须支持MPIS和LDP,以用于标记分发和接口识别。
P设备是运营商网络中不连接任何CF设备的路由设备:P设备和PE设备共同构成运营商骨T网、P设备不需要维护VPN路由信息。如果采用标记交换路径作为上层隧道技术,P设备要求能够支持MPLS和LDP
5PE的多转发表
每个PE路出器上维护着多个路由表,除缺省转发表以外,还有为每个直连站点维扩的VPN路由转发表,即VRF。
5.1VRF与连接链路
每个PE到CE的连接链路被关联到一个或多个VRF,这个连接链路被称为VRF连接链路。典型情况下,一个PE到CE的连接与一个VRF联,当从某特定连接链路上收到P包时,PE设备根据IP包的目的地址,在其关联的VRF中查找并决定数据包的转发。针对数据包的转发路径,定义入口PE上的对应VRF为入口VRF,出口PE上的对应VRF为出口VRF,如果从某连接链路上收到IP包,且该数据包与任-VRF不产生关联时,则PE设备根据IP包的目的地址,在缺省转发表中查找并决定数据包的转发。使用缺省转发表转发的数据包括从邻居P、PE路由器收到的数据包,以及尚未建立VRF关联时从CE连接链路收到的数据包直观起见,可以认为VRF路由转发表包含私有路山,与VRF关联的连接是私有连接链路;而缺省转发表包含公有路中,非VRF关联的连接是公有连接链路。对于通过特定VRF连接链路连接到PE的站点S,可以在PE上\格限制进人关联VRF的路由来控制该站点S的连通性。只允许在VRF中加入至少与站点S有一个相同VPN的路由,确保VPN站点数据仅在VPN内部路由,禁止没有相同VPN的站点通信。VPN站点与非VPN站点之间,应该通过VRF路由转发表与缺省转发表实现隔离。
对下通过多条连接链路连接到一个或多个PF的站点S,可以使用多个VRF来为站点S提供路由转发:为了严格挖制S的连通性,要求所有VRF中的路由相同,当某些连接筛要不同的连通性时,可以改变与这些连接关联的VRF路由。
TYYKAONIKAca
YD/T 1476-2006
考虑到可能将·-个VPN划分为多个子VPN,不同-于VPN可能要求有不同的连通性,允许一~个连接链路关联到多个VRF,而不止单个VRF。不特别指明,一个连接链路仅关联到一个VRF。5.2IP包的VRF关联
PE设备从CE设备1收到数据包时,必须判断数据包是从哪个连接链路发送,依次来决定采用哪个或哪些VRF来转发数据包。PF通常根据数据包的物理层接口来判断连接链路,有时也可根据数据包的二层包头。例如,数据包的入口连接链路是FRVC时,PE接收到数据包时,就可以根据FR物理接口和FR头中的DLCI字段米判断数据包的连接链路:即使P可能部分需要使用数据包的二层包头来判断连接链路,也不可能出现客户随意改写数据包头欺骗运营商的情况。前面的FRVC中,PE需要根据FR头中的DLCI字段来判断数据包的连接链路,则DLCI字段就不允许随意更改,必须填写运营商指定的数值,否则数据包就无法到达PE设备。某些情况下,客户可能将一个站点划分为多个虚站点,这就要求运营商为该站点设计一个VRF集合,允许客户通过设置数据包的特性参数来选择使用VRF集合中的特定VRF。例如,客户站点中使用VLAN来划分虚站点时,客户可以和运营商协商在数据包中使用VI.AN标记来区分使用不同VRF,而对携带协商范周以外VLAN标记的数据包、可以丢弃。也司以通过IP源地址来划分虚站点,这时PE可以根据从CE收到数据包的源地址,来决定究竞使用VRF集合中的哪个VRF。同样,只允许客户使用运营商指定的IP源地址。对于特定主机需要属丁多个虚站点的情况,要求主机必须决定每个数据包属于哪个站点。例如,从不同VLAN的虚站点发送数据包,或从不同网络接口发送数据包等。5.3VRF的路由传播
VRF的路由传播如图2所示。PE1、PE2利PE3是三个PE路由器,CE1、CE2和CE3是分别与PE1、PE2和PE3相连的CE路由器,三个CE所在的站点组成一个VPN。PEI从CE1学习到在CE1所在站点的可达路由,然后PE1使用BGP将所学寸到的路由分发给PE2和PE3,PE2和PE3使用这些路由求组成相应PE上同CE2和CE3相关的VRF。不属于VPN的路由并不出现在VRF中,这样VPN的报文就不会被发送到VPN以外的站点。CEL
站点!
站点2
图2VRF路由传播
站点3
不指定PE从CE学习路由的方式,可以采用动态路由算法,也可以采用静态路由配置。PE从PE学习VPN路出的方法,在后面的章节具体定义。如果PE到站点存在多条连接链路,这些链路通常被映射到同--VRF转发表。除非转发策略有特殊指定时,可以映射到不向转发表。例如,站点的两条连接链路分别用于内联网和外联网业务时(外联网可能使用防火墙,内联网则未必),它们被关联到不同的VRF。YD/T 1476-2006
两条连接链路被关联到同一-VRH时,则PE从二者中任链路上收到的数据包成采用相同的方法进行处理。CE处于不同VPN时,不允许将它们的连接链路关联到同一VRF。如果个站点属于密个VPN,那么该站点的连接链路仍然可以被关联到单个VRF中,此时VRF中包括这几个VPN的站点路由信息。
6VPN路由
6.1VPN重叠地址空间
如果两个VPN不包含相同的站点,则可以使用重叠的地址空间,也就起说,在VPNV1中的系统S1和VPNV2中的系统S2可以使用相同的地址。实际应用中,VPN中经常采用RFCI918私有地址空间。即使两个VPN包含相同站点,仍然可以使用重叠的地址空间,这时不允许相同站点中的系统使用重叠地址进行通信。
6.2相同系统的不同路由
即使-一个站点可能于多个VPN,也没有必要在不间VPN中为站点内的特定系统使用和同的路由。例如,一-个内联网包含站点A、B和C,外联网包含站点A,B、C以及外部站点D,站点A是-台服务器,来自站点B、C和D的客户端可以访问服务器A。假设站点B有一个防火墙,来自站点D的所有流量必须经过该防火墙,而来自站点C的流量不需要经过防火墙。,这时各站点访问服务器就需要配置两条路由,一条路由用于转发B和C到A的流量,可以直接到达,面另外一条路由用于转发D到A的流量,必须经过防火墙B,只有当防火墙充许时才可以访问。6.3VPN-tPv4地址族
BGP/MPLSVPN使用BGP来分发VPN路由,因为允许每个VPN拥有白已的地址空间,这就意味着相同地址可能指示若不同VPN中的不向系统,如果两条路由使用相同的P地址前缀,却指向不同统,就要求BGP能够区分它们。否则,BGP将只能建立到达其中一个系统的路由,使得另外个系统无法到达。进一步,为相同地址前缀建立多条路由的同时,还要确保在特定VRF中只出现--条路由,考虑收到的数据色采用那条路由进行转发。为了实现上述月标,需要引人新的地址族,即VPN-IPv4地址族。BGP多协议扩展允许BGP承载多地址族的路由信息,这里引人VPN-IPv4地址族。一个VPN-IPv4地址H长度为12字节,其中前8字节为RD(RouteDistinguisher)字段,后4字节为一个IPv4地址。如果多个VPN使用相同的IPv4地址前缀,PE设备就把它翻译为全局惟一的地址前缀。这样就确保在不同VPN中使用相同地址时,BGP可以为每个VPN携带完全不同的路由。VPN-IPv4地址与IPv4地址是两个完全不同的地址族,BGP不比较两者。RD只是一个数字,本身好不具备任何内在语义,不包含路山来源或VPN路由分发信息。引人RD的目的就是为相同的Pv4前缀创建不同的路由,RD也可以用十路由的重分发,在后面的章节进行规定。RD也可以用于为相同系统创建多个不同路内,如6.2节的内联网和外联网路由应用中,使用相间的IPv4地址,不同的RD就可以满足要求,再配合相应的策略来决定数据包转发使用哪条路出。RD的编码结构决定了对于每个运营商可以管理各自的“编址空间”,即运营商可以在编址空间中自己选择RD,并确保不同其他运营商冲突,RD编码包含二个域,形式如下:·类型域:
·管理者域;
·分配号码域,
TIYKAONT KAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1476-2006
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求Technical SpecificationforBGP/MPLSVPN2006-06-08发布
2006-10-01实施
中华人民共和国信息产业部发布前
2规范性引用文件
3定义和术语及缩略语
3.1定义和术语·
3.2缩略语
BGP/MPLSVPN网络结构
4.1站点与CE
5PE的多转发表
5.1VRF与连接链路
5.2IP包的VRF关联?
5.3VRF的路由传播·
6VPN路由
VPN重叠地址空间
相间系统的不同路由
6.3VPN-IPv4地址族
6.4RD编码
6.5控制路由分发
7VPN转发
7.1隧道数据转发
7.2VPN隔离·
8分层PE
8.1分层PE原理
8.2 SPE-UPE接口.
8.3分层PE的嵌套
8.4多归路UPE
8.5UPE之间的后门连接·
9运营商的运营商
10跨自治系统VPN
VPN访间互联网
12VPN管理*
TYYKANTKAca
YD/T 1476-2006
YD/T 1476-2006
13 VPN安全··
13.1数据平面安全
13.2控制平面安全
13.3设备安全
14服务质量·
15可扩展性·.
YD/T 1476-2006
本标准是《基于边界网关协议/多协议标记交换的显拟专用网(BGP/MPLSVPN))》系列标准之。4系列的标准结构和名称预计如下:(BGP/MPLSVPN)技术要求
1基于边界网天协议多协议标记交换的虚拟专用网2)基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)组网要求3)基于通界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSPN)测试方法
本标准由中国通信标准化协会提山并归口。本标准起草单位:信息产业部电信研究院f国电信集团公司
中兴通讯股份有限公司
华为技术有限公司
本标准主要起草人:田辉何宝宏吴英桦陈运清陈丹李德丰YYKAONTKAca
1范围
基于边界网关协议/多协议标记交换的虚拟专用网(BGP/MPLSVPN)技术要求YD/T 1476-2006
本标准规定了利用正骨干网向客户提供虚拟专用网业务的技术,即边界网关协议/多协议标记交换的虚拟专用网BGP/MPLSVPN技术要求,内容包括BGP/MPLSVPN网络结构、PE的多转发表、VPN路山、VPN转发,分层PE、运营商的运营商、跨域VPN、VPN访问InterMet、VPN管理、安全、服务质以及扩展性。本标准讨论的VPN业务仅针对IP业务(即所谓的一层VPN业务),不包括其他业务,如FR,ATM、以太网、PPP等。客户显然可以通过任何二层业务接入运营商网络,但这些二层业务在运营商网络的边缘已经被终结。
本标准适用于BGP/MPLSVPN设备,包括BGP/MPLSVPN网络的客户边缘设备、运营商边缘设备、骨干网设备、白治域边界路由器以及路由反射器设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于不标准,然而,鼓励根据本标准达成协议的备方研究是否可使用这些文件的最新版本。凡是不注H期的引用文件,其最新版本适用于本标准!YD/T 1162.1-2005
RFC1058
RFC1701
RFC1702
RFC1771
RFC1997
RFC2328
RFC2453
RFC2474
RFC2475
RFC2547
RFC2796
RFC2842
RFC2858
RFC2918
RFC3031
RFC3032
多协议标记交换(MPLS)技术要求RIP协议
通用路由封装协议
Pv4网络上的通用路由封装
BGP4协议
BGP团体属性
OSPFv2 协议(更新 RFC2178、RFC1583以及RFC1247)
RIPv2协议
IPv4及Pv6包头的DS字段定义
DS 服务架构
BGP/MPLS VPN
BGP4路由反射
BGP4能力协商
多协议扩展BGP4
BGP4路由反射能力
MPLS体系结构
MPLS标记栈编码
YD/T1476-2006
RFC3036
RFC3037
RFC3107
RFC3209
RFC3215
draft-ietf-ppvpn-rfc2547his-033定义和术语及缩略语
LDP规范
LDP可行性
使用BGP4携带标记信息
使用对RSVP的扩展来建立ISP隧道LDP状态机
BGP/MPLSVPN草案(版本3)
下列楚义和术语及缩略语适用于本标推。3.1定义和术语
虚拟专用网(Virtual Private Network)对连接到骨于网上的站点集合施加某种控制策略,生成站点的子集,当某一子集同时包含两个或史多的站点,且这些站点之间通过骨干网连接具有可达性时,称这个子集为VPN。当VPN所有站点属于同一企业时,VPN被看作是内联网(intranet):当VPN站点属丁不同企业时,VPN被看作是外联网(exlrinel):单个站点可以属于多个VPN,可以同时属于一个intranet或多个extanet。本标准的VPN中,不再区分intranet和extranet:站点(Sit)
对于特定的骨干网,一个不需要通过骨干网就能完战互联的网络系统,被称之为个站点(Sitc)通常,这些主机和网络设备系统在地理1比较集中但是两个地理位置较远的站点通过租用线路连接,运行适当的路出协议(如OSPF)来传播路由,并且这个租用线是这两个站点问数据转发的优选通道,挪么这两个站点对于PE可以认为是个VPN站点,即使每个站点有自已的CE路由器,这里的站点是一个拓扑概念,而不是一个地理概念。如果站点间的租用线失效,则一个站点变成两个站点,两个站点间可以使用VPN来通信。
·客户(Customers)
客户就是站点的所有者。客户从运营商处得到VPN服务。运营商的VPN客1可以是单个企业、多个企业、一个Internet运营商、一个应用提供商甚至是同样提供VPN业务的其他运营商(拥有它们自已的客户)。
运营商(Service Providers )
运营商就是骨于网的所有者。运营商为客户提供VPN业务。决定VPN包含哪些站点的管理策略由客户自已决定,某些客户将所有的管理工作交给运营商完成,还有客户和运营商--起管理这些策略。本标准对VPN的讨论针对运营商管理的情形。更进一步的策略可能还包含VPN内部的路由策略,如VPN站点内部站点之间存在直达路山(FullMesh),或强制两个站点之间的业务必须经过第三个站点(例如,第二个站点内包含个防火墙)。●客户边缘【CE)设备
客户边缘(CE)设备位于客户网络的边缘,它通过到一个或多个运营商边缘(P)设备的数据连接链路为客户提供对运营商的接人。这里的连接叮以是ATM、懒中继、以太网、PPP以及各种隧道等。CE设备可以是一台主机、以太网交换机或路出器,通常情况下,CE设备足一台路由器,个站点可能包含多个路由器,仪将连接到PE的路由器称为CE。CE与直连的PF设备建立路由邻接关系。CE路由器TIYKAONTKAca
YD/T 1476-2006
将站点的本他路由!播给PE路由器,从PE路由器学习远端VPN路由。不同站点的CE路内器之间不能直接交换路信息。
·运营商边缘(PE)设备
运营商边缘(PE)设备位丁运营商网络的迎缘,通常是路由器设备。PE路由器使用静态路由、RIPv2、OSPF、或BGP协议与CE路出器交换路由信息。为了增强VPN的可扩展性,对于PE路由器来说只需维护与其直接相连的VPN路由信息,而不要求PE路出器维护运营商网络中所有VPN的路由信息:当使用MPLS对VPN业务进行转发以穿越运营商网络时,入口PE路由器的作用相当入口LSR,而出口PE路由器的作用相当于出口LSR。·运营商(P)路由器
运营商(P)路由器是运营商网络中不连接CE设备的路由器。如果骨干网采用MPLS技术,当PE路由器间对VPN数据业务进行转发时,P路由器的功能相当十传输LSR。由于数据在MPLS骨干网中被转发时使用了多层标记堆栈,P路出器只需要维护到达运营商PE路由器的路由,所以P路由器不需要为每个站点维护特定的VPN路由信息。3.2缩略语
Address Field Identifier
Autonomous System
Autonomous System Border RouterAutonomous System Numher
Asynchranous Transfer Mode
Best Effort
Border Gateway Pratocol
Customer Edge
Class of Service
Device Under Test
Denial of Service
Expedited Forwarding
Explicit Routing
Data Link Connection IdentifierForwarding Equivalence ClassGeneral Route Ernicapsulate
Gateway Router
Hierarchy of PE
Frame Relay
Intemet Engineer Task Force
Interner Group Management ProtocolInterior Gateway Protocol
地址字段标识
自治系统
自治系统边界路由器
自治系统编号
异步转移模式
尽力而为
边界网关协议
客户边缘设备
业务类型
被测设备
拒绝服务攻击
加速转发
显式路由
数据链路连接标志符
转发等价类
通用路由封装
网关路由器
分层 PE
顿中继
因特网工程任务工作组
互联网组管理协议
内联网关协议
YD/T1476-2006
Intemct Protoco]
Intemet Protocol Versian 4
Intemet Service Provider
Local Area Network
Label Information Base
Label Distributiun Protocol
Label Switched Path
Label Switching Router
LSR Under Test
Layer 2
Layer 3
Message Digest 5 Algorithm MD5Multiprotocol Label SwitchingNetwork Address Translate
Next Hop Route Protocol
NetworkManagementSystem
Network Layer Reach ability InformationOutbound Route Filtering
Open Shortest Path First
Provider
Provider Edge
Per HaP Behavict
Permanent Virual Circuit
Quality of Service
Routing Distinguisher
Routing Information ProtocalResource Reservation Protoco!Routing Reflect
Route Target
Sub Address Field IdentifrerService Layer Agreement
Superstratum PE
TransmissionControlProtocol
Time-To-Live
User Dalagram Protocul
Understratum PE
Virtual Lacal Area Netwurk
YYKAONTKAca免费标准bzxz.net
互联网协议
互联网协议-·-第四版
互联网业务提供者
局域网
标记信息库
标记分发协议
标记交换路径
标记交换路出器
被测LSR
消息摘要算法
多协议标记交换
网络地址翻译
下一跳路山协议
网络管理系统
网络层可达性信息
出川路由过滤器
开放最短路径优先
运营商路由器
运营商边缘设备
每一跳行为
永久虚电路
服务质量
路由区分器
路由信息协议
资源预留协议
路由反射
路由国标
子地址字段标识
业务等级协定
上层PE
传输控制协议
生存时间
客户数据报协议
下层PE
虚拟域网
VPN-IPv4
Virtual Private Net work
VPN-IPv4
VPN Rouing and Forwarding
4BGP/MPLSVPN网络结构
虚拟专用网
VPN IPv4 地址
VPN路由转发表
YD/T 1476-2006
BGP/MPLSVPN采用一组策略的集合来控制站点之间的连接,客广站点通过一个或个端Ii连接到运营商网络,运营商将每个端口与一个VPN路由表联合在一起,这单,VPN路山表被称为VPN路由及转发表(VRF)。BGP/MPLSVPN的框架结构如图1所示,VPN2
站点1
4.1 站点与 CE
图1BGP/MPLS VPN网络框架
站点2
站点2
对于一个特定的骨下网,一个不需要通过骨于网就能完成互联的IP网络系统,被称之为一个站点。通常,这些主机和网络设备系统在地理上比较集中。租是两个地理位置较远的站点通过租用线路连接,运行适当的路由协议(如OSPF)来传播路山,并江这个租用线是这两个站点间数据转发的优选通道,那么这两个站点对于PE可以认为是一个VPN站点,即使每个站点有自已的CE路由器。这里的站点是一个拓扑概念,而不是一个地理概念。如果站点间的租用线失效,则一个站点变成两个站点,两个站点间可以使用VPN来通信,
一个VPN站点由一个或多个CE设备连接到一个或多个PE设备上,每个CE通过某种链路连接PE设备,这些连接可以是ATM、顿中继、以太网、VLAN、PPP以及各种隧道等。在BGP/MPLS VPN中,CE设备可能是主机、以太网交换机或路由器,不同设备类型对CE利PE间的路由分发协议的选择方式有一定的影响,土机和以太网交换机一般要求采用静态路由的方式来从CF到PE分发路山。如果CE设备是路由器,从CE到PE的路由分发可以采用静态路出、RIP、OSPF和BGP,这时认为该CE设备是相应PE的路出对端,而不是同一VPN其他CE的路出对端,CF间并不直接交换路出信息,因此客广并不需要骨干或虚拟骨干,也无须考虑跨站点的路由问题。BGP/MPLSVPN作为运营商管理的VPN,对CE设备没有特殊的要求,无论CE设备是哪种类型的设备,PE设备能采用相同的方式处理路由的传播和VPN数据的转发。同时,CE和PE间有明确的管理边界,客户无须管理PE和P路由器,同样,运营商也无须普理CE设备。个特定的站点可以被划分为多个虚拟站点,但-个CE设备常处于单个站点中。-个站点可以属于多个VPN,一个PE路由器可以连接属于不同VPN的多个站点,无论这些CE是位于相同还是不同的VPN,一个CE设备也可以从健壮性方面考虑连接到多个运尝商的PE路巾器:虽然VPN互联的基本单位是站点,H是BGP/MPLSVPN框架允许对更细粒度的互联进行控制。例如:一个站点中的某此系统可能属于一个内联网,是也同时属1多个外联网,而这个站点中的其他系统只5
YD/T1476-2006
属」内联网。这种情况,站点到骨下网需要两个连接,一个是内联网连接,个是外联网连接,而日外联网的连接可能还需要使能防火端功能。4.2PE
如果台PE设备通过某种方式连接属下某个VPN站点的CE,则该PE就认为连接这个VPN,同样,该PE被认为连接到该站点,
PE设备是BGP/MPLSVPN实现的核心设备,承担主要的路由分发和数据转发功能。PE设备为其直连的站点维继持·个VRF,每个客户连接(如FRPVC、ATMPVC:或VLAN等)被映射到个特定的VRF,PE设备依据这些VRF来处理VPN流量。PE维护多个转发表的能力使得不同VPN之间的路由信息得到了隔离。
在从直连CE路由器学习到本地VPN路由表后,PE路由器使用BGP与其他PE交换路由信息。某些特殊组网条件下还需要支持EBGP,如跨域VPN实现。为提高扩展性PE还需要支持路由反射器功能。使用MPLS对VPN业务进行转发穿越运营商骨干网时,PE设备必须支持MPIS和LDP,以用于标记分发和接口识别。
P设备是运营商网络中不连接任何CF设备的路由设备:P设备和PE设备共同构成运营商骨T网、P设备不需要维护VPN路由信息。如果采用标记交换路径作为上层隧道技术,P设备要求能够支持MPLS和LDP
5PE的多转发表
每个PE路出器上维护着多个路由表,除缺省转发表以外,还有为每个直连站点维扩的VPN路由转发表,即VRF。
5.1VRF与连接链路
每个PE到CE的连接链路被关联到一个或多个VRF,这个连接链路被称为VRF连接链路。典型情况下,一个PE到CE的连接与一个VRF联,当从某特定连接链路上收到P包时,PE设备根据IP包的目的地址,在其关联的VRF中查找并决定数据包的转发。针对数据包的转发路径,定义入口PE上的对应VRF为入口VRF,出口PE上的对应VRF为出口VRF,如果从某连接链路上收到IP包,且该数据包与任-VRF不产生关联时,则PE设备根据IP包的目的地址,在缺省转发表中查找并决定数据包的转发。使用缺省转发表转发的数据包括从邻居P、PE路由器收到的数据包,以及尚未建立VRF关联时从CE连接链路收到的数据包直观起见,可以认为VRF路由转发表包含私有路山,与VRF关联的连接是私有连接链路;而缺省转发表包含公有路中,非VRF关联的连接是公有连接链路。对于通过特定VRF连接链路连接到PE的站点S,可以在PE上\格限制进人关联VRF的路由来控制该站点S的连通性。只允许在VRF中加入至少与站点S有一个相同VPN的路由,确保VPN站点数据仅在VPN内部路由,禁止没有相同VPN的站点通信。VPN站点与非VPN站点之间,应该通过VRF路由转发表与缺省转发表实现隔离。
对下通过多条连接链路连接到一个或多个PF的站点S,可以使用多个VRF来为站点S提供路由转发:为了严格挖制S的连通性,要求所有VRF中的路由相同,当某些连接筛要不同的连通性时,可以改变与这些连接关联的VRF路由。
TYYKAONIKAca
YD/T 1476-2006
考虑到可能将·-个VPN划分为多个子VPN,不同-于VPN可能要求有不同的连通性,允许一~个连接链路关联到多个VRF,而不止单个VRF。不特别指明,一个连接链路仅关联到一个VRF。5.2IP包的VRF关联
PE设备从CE设备1收到数据包时,必须判断数据包是从哪个连接链路发送,依次来决定采用哪个或哪些VRF来转发数据包。PF通常根据数据包的物理层接口来判断连接链路,有时也可根据数据包的二层包头。例如,数据包的入口连接链路是FRVC时,PE接收到数据包时,就可以根据FR物理接口和FR头中的DLCI字段米判断数据包的连接链路:即使P可能部分需要使用数据包的二层包头来判断连接链路,也不可能出现客户随意改写数据包头欺骗运营商的情况。前面的FRVC中,PE需要根据FR头中的DLCI字段来判断数据包的连接链路,则DLCI字段就不允许随意更改,必须填写运营商指定的数值,否则数据包就无法到达PE设备。某些情况下,客户可能将一个站点划分为多个虚站点,这就要求运营商为该站点设计一个VRF集合,允许客户通过设置数据包的特性参数来选择使用VRF集合中的特定VRF。例如,客户站点中使用VLAN来划分虚站点时,客户可以和运营商协商在数据包中使用VI.AN标记来区分使用不同VRF,而对携带协商范周以外VLAN标记的数据包、可以丢弃。也司以通过IP源地址来划分虚站点,这时PE可以根据从CE收到数据包的源地址,来决定究竞使用VRF集合中的哪个VRF。同样,只允许客户使用运营商指定的IP源地址。对于特定主机需要属丁多个虚站点的情况,要求主机必须决定每个数据包属于哪个站点。例如,从不同VLAN的虚站点发送数据包,或从不同网络接口发送数据包等。5.3VRF的路由传播
VRF的路由传播如图2所示。PE1、PE2利PE3是三个PE路由器,CE1、CE2和CE3是分别与PE1、PE2和PE3相连的CE路由器,三个CE所在的站点组成一个VPN。PEI从CE1学习到在CE1所在站点的可达路由,然后PE1使用BGP将所学寸到的路由分发给PE2和PE3,PE2和PE3使用这些路由求组成相应PE上同CE2和CE3相关的VRF。不属于VPN的路由并不出现在VRF中,这样VPN的报文就不会被发送到VPN以外的站点。CEL
站点!
站点2
图2VRF路由传播
站点3
不指定PE从CE学习路由的方式,可以采用动态路由算法,也可以采用静态路由配置。PE从PE学习VPN路出的方法,在后面的章节具体定义。如果PE到站点存在多条连接链路,这些链路通常被映射到同--VRF转发表。除非转发策略有特殊指定时,可以映射到不向转发表。例如,站点的两条连接链路分别用于内联网和外联网业务时(外联网可能使用防火墙,内联网则未必),它们被关联到不同的VRF。YD/T 1476-2006
两条连接链路被关联到同一-VRH时,则PE从二者中任链路上收到的数据包成采用相同的方法进行处理。CE处于不同VPN时,不允许将它们的连接链路关联到同一VRF。如果个站点属于密个VPN,那么该站点的连接链路仍然可以被关联到单个VRF中,此时VRF中包括这几个VPN的站点路由信息。
6VPN路由
6.1VPN重叠地址空间
如果两个VPN不包含相同的站点,则可以使用重叠的地址空间,也就起说,在VPNV1中的系统S1和VPNV2中的系统S2可以使用相同的地址。实际应用中,VPN中经常采用RFCI918私有地址空间。即使两个VPN包含相同站点,仍然可以使用重叠的地址空间,这时不允许相同站点中的系统使用重叠地址进行通信。
6.2相同系统的不同路由
即使-一个站点可能于多个VPN,也没有必要在不间VPN中为站点内的特定系统使用和同的路由。例如,一-个内联网包含站点A、B和C,外联网包含站点A,B、C以及外部站点D,站点A是-台服务器,来自站点B、C和D的客户端可以访问服务器A。假设站点B有一个防火墙,来自站点D的所有流量必须经过该防火墙,而来自站点C的流量不需要经过防火墙。,这时各站点访问服务器就需要配置两条路由,一条路由用于转发B和C到A的流量,可以直接到达,面另外一条路由用于转发D到A的流量,必须经过防火墙B,只有当防火墙充许时才可以访问。6.3VPN-tPv4地址族
BGP/MPLSVPN使用BGP来分发VPN路由,因为允许每个VPN拥有白已的地址空间,这就意味着相同地址可能指示若不同VPN中的不向系统,如果两条路由使用相同的P地址前缀,却指向不同统,就要求BGP能够区分它们。否则,BGP将只能建立到达其中一个系统的路由,使得另外个系统无法到达。进一步,为相同地址前缀建立多条路由的同时,还要确保在特定VRF中只出现--条路由,考虑收到的数据色采用那条路由进行转发。为了实现上述月标,需要引人新的地址族,即VPN-IPv4地址族。BGP多协议扩展允许BGP承载多地址族的路由信息,这里引人VPN-IPv4地址族。一个VPN-IPv4地址H长度为12字节,其中前8字节为RD(RouteDistinguisher)字段,后4字节为一个IPv4地址。如果多个VPN使用相同的IPv4地址前缀,PE设备就把它翻译为全局惟一的地址前缀。这样就确保在不同VPN中使用相同地址时,BGP可以为每个VPN携带完全不同的路由。VPN-IPv4地址与IPv4地址是两个完全不同的地址族,BGP不比较两者。RD只是一个数字,本身好不具备任何内在语义,不包含路山来源或VPN路由分发信息。引人RD的目的就是为相同的Pv4前缀创建不同的路由,RD也可以用十路由的重分发,在后面的章节进行规定。RD也可以用于为相同系统创建多个不同路内,如6.2节的内联网和外联网路由应用中,使用相间的IPv4地址,不同的RD就可以满足要求,再配合相应的策略来决定数据包转发使用哪条路出。RD的编码结构决定了对于每个运营商可以管理各自的“编址空间”,即运营商可以在编址空间中自己选择RD,并确保不同其他运营商冲突,RD编码包含二个域,形式如下:·类型域:
·管理者域;
·分配号码域,
TIYKAONT KAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。