MPLS运营商网间互联若干关键问题探讨

    引言

    目前，MPLS作为主流网络技术之一，已被业界普遍认同，并被国内外运营商广泛应用。运营商顺应未来网络发展趋势，纷纷建设了基于IP/MPLS的、具有更完备的QoS提供能力的骨干网络，以承载众多的IP宽带多媒体应用，满足用户日益增长的业务需求。

    然而，要想在不同运营商网络之间提供畅通一致的MPLS业务，运营商互联接口必须遵循一致的规范。MPLS网络互联所涉及的VPN对接、域间路由和LSP的建立、OAM、业务等级保证等问题必须得到解决。目前，国际标准组织MFA正以IETF的相关成熟规范为基础，进行该方面的研究工作，国际主流运营商如Verizon、AT&T以及法国电信等都在积极推进。

    下面针对MPLS运营商网间互联（MPLSICI）所涉及的关键问题，包括域间LSP的配置、路由、信令、转发和管理等，分析跨域LSP的建立机制以及跨域MPLS业务的提供能力，以便为MPLS网络互通和跨运营商MPLS业务开展提供借鉴。

    MPLS域间互联参考模型

    图1表明了MPLS网络域间互联的参考模型及其控制协议。两域的自治域边界路由器（ASBR）之间利用BGP路由和MPLS信令（LDP或RSVP-TE）建立域间LSP，MPLS信令也可以通过已有的LSP进行传送。端到端的MPLS业务，如IPVPN、L2PW（ATM、Ethernet等伪线业务）则可通过跨域LSP隧道传送到其他运营商网络。

    MPLS ICI关键机制

    1．LSP的建立机制

    跨域LSP建立机制有全静态配置、静态配置+信令协商、动态建立3种。

    全静态配置是指通过管理员手动配置，在ASBR之间建立跨边界的LSP。在这种方式下，MPLS标签采用手工分配，因此，ASBR之间不需要运行任何MPLS协议。全静态配置是ASBR必须支持的基本功能，以支持跨边界的伪线和TE隧道的建立。显然，这种方式在灵活性和失败重路由等方面存在问题，但可以满足运营商对安全性和操作规程方面的要求。

    静态配置+信令协商是在ASBR上手工配置，但域间LSP的建立通过动态信令。这种方式的优点是ASBR可以自主管理标签分配，而无需人工干预。信令协议的选择依赖于业务需求和运营商策略，如用于建立多段伪线的LDP信令和用于建立TE隧道的RSVP-TE信令。

    动态建立是指跨域边界的LSP建立，无需在互联点（如ASBR）进行任何人工配置，而是动态地通过多协议BGP（MP-BGP）建立LSP或通过RSVP-TE建立TE隧道。

    2．准入控制机制（CAC）

    在LSP的建立过程中，边界路由器ASBR需要执行准入控制功能，以保证网内有足够的资源支持LSP的建立。当建立具有带宽和等级需求的LSP时，ASBR需要依据本域和其他管理域的策略针对每等级流量进行策略控制，具体策略因业务类型而异，需要在ASBR预先配置，以满足不同等级的LSP对带宽的需求。如果由于资源不足，LSP不能被接受，则ASBR需要将建立失败的消息通告给网络管理网元。

    3．流量转发机制

    在流量管理方面，对于基于业务等级的QoS管理，IETF在RFC2475和RFC4124中对DiffServ架构和Diffserv-awareMPLSTE都做了规定，但较少涉及建立域间MPLS连接时业务等级一致性的保证。在MPLS网络中，MPLS头的EXP字节标识着分组的业务等级和丢弃优先级，也即标识着分组在队列出/入口的处理行为。不同的运营商可能对同一类型的业务分配不同的EXP标记，也可能有各自不同的业务分级标准，因此，为了实现域间业务等级的映射，域间设备需要具备EXP的转换和处理能力，按照一定的标准完成本域内一个或多个EXP与相应队列的映射以及与其他域EXP的映射，使分组在不同的运营商网络得到一致的QoS。

    在路径MTU（PMTU）的处理和分段方面，路径MTU标志着从源到宿的分组转发路径上，允许传送的最大分组长度一般取整条路径上MTU（MTU定义在接口上，指接口能够传送的最大分组长度）的最小值。不同的网络域可能有不同的PMTU处理方式，比如只发送符合最小MTU（IPv4分组规定的是576字节）的分组，或在路径沿途节点将分组分段，或利用PMTU发现机制[RFC1191]决定PMTU值，也可以利用LSPtrace模式。另外，在RSVP-TELSP建立时，还可利用RSVP-TE进程进行PMTU协商。跨运营商网络的分组转发需要建立一致的PMTU处理方式，相比之下，利用PMTU发现机制在节约带宽、处理高效性和应用普遍性等方面均较其他方法有效，可作为不同运营商网络统一遵循的机制。但我们需要对路由器进行有效保护，以避免引入路由控制平面的DDOS攻击。

    在负载均衡方面，需要实现对等运营商路径上MPLS流量的负载均衡，当然，也包括互联路径。网元应该能够判定对于特定流量是否进行负载均衡，并定义负载均衡的标准，对非路径预留的流量进行等价多路径上的负载均衡。

    TTL处理方面，ASBR需要支持标准的三种处理模式[RFC3443]，即统一模式、倒数第二跳弹栈的短管道模式以及管道模式。其中，希望跨网络隐藏路径长度的运营商可采用后两种方式。

    4．OAM机制

    MPLS的OAM功能大体可分为两类：一类是always-on故障检测和处理；另一类是on-demand诊断。由于OAM功能对于网络管理者以及运营商的OSS都十分重要，因此，MPLSICI必须具备MPLSOAM的所有故障检测和处理以及诊断功能以支持ASBR间LSP的建立。

    故障检测和处理功能应尽可能简单以使处理开销最小化。为了支持MPLSICI的always-on故障检测和处理，ASBR作为域间LSP的端点，应具备BFD（双向转发检测）功能，并满足以下要求。

    ●定时器功能：为每条LSP设定成功协议消息之间的时间间隔，根据成功消息的数量设定故障探测标准。

    ●故障通告：当探测到LSP故障时，能够发送SNMP消息，并将监测到的LSP状态通报给所有的客户协议。

    ●转移OAM相关的DOS攻击：在协议不能激活LSP时，则将该协议消息丢弃。支持基于每条LSP的协议消息速率配置以及对所有LSP的协议消息聚合和流量特性配置。

    ●支持ASBR之间的BFD会话认证：认证选项可配置，且相同的密钥为同一对等ASBR之间的所有会话共享。

    为了完成MPLSICI的on-demand诊断功能，ASBR需要支持Ping和Trace模式下的LSP-PING[RFC4379]，以分别完成单向连接确认和域间MPLSLSP的路径跟踪，同时支持BFD反射模式以完成环回测试。

    LSP-Ping消息并不在MPLSICI的ASBR上终结，只是通过MPLSICI传送。在LSP-Ping的过程中，ASBR也需要支持相应的定时器、失败通告和DOS攻击防范等功能。值得注意的是，LSP-Ping响应消息中可能会包含路由器告警消息，这类响应将导致LSP沿途的每个路由器都对该消息进行处理。为了避免源自一个运营商域的Ping响应消息被另一个运营商域内沿途的所有路由器处理，建议响应模式中最好不要包含路由器告警选项。另外，ASBR必须能够对收到的带有路由器告警项的相应包进行丢弃或限速，以避免造成对ASBR控制平面的过载和攻击。

    LSP-Ping的Trace能力用于故障隔离，完成逐跳的故障定位。ASBR需具备对来自其他运营商域的LSPtrace消息进行丢弃或限速的能力，并向该域对等ASBR做出响应，是否做出响应可根据下游标签映射是否完成来决定，这在ASBR中应该是可配置的。这里，信息的私密性保护是个值得注意的问题，因为在某些情况下，ASBR可能需要对探测消息进行深度分组检测。为了解决这个问题，可在路由器中做预设置，如当路由器知道某条LSP是跨AS域的LSP时，则将该LSPPing的响应请求丢弃。

    5．安全机制

    在多域互联的环境中，一个域产生的攻击很可能在跨域多个对等网络进行传播。不同运营商网络对安全性等级的要求不同，这里我们只讨论MPLSICI网络设备应该支持的安全能力。

    控制平面的保护主要包括对路由、信令和OAM的保护。ASBR应具备以下能力。

    （1）信令会话鉴权

    ASBR设备应具备利用IPSec完成对等ASBR之间所有信令和路由协议消息交换的能力，并支持HMAC-MD5和可选的SHA-1以及鉴权算法升级。另外，OAM操作也是安全攻击的一个来源，如果ASBR不做防范，大量、有可能是蓄意的QAM消息会给ASBR的处理能力造成巨大的压力。目前MPLS-Ping不支持鉴权，而BFD支持鉴权对象的传送以及TTL处理，建议BFD支持MD5方式的鉴权以提供更好的安全防范。

    （2）控制平面的DOS攻击防护

    在不影响性能的前提下，对信令、路由和OAM分组进行基于每接口的过滤和限速，并具备隔离受攻击接口以及限制BGP路由数量的能力。

    （3）畸形分组防护

    根据相关协议规范，对畸形的信令、路由和OAM分组进行相应的处理。

    （4）使能特定协议

    允许管理员基于端口使能某种协议，并将非使能协议的相关分组丢弃。

    （5）防止错误交叉连接

    设备必须支持LSP-Ping以验证端到端的LSP连接以及PE到PE的L3VPN连接，并通过对跨ICI的RT属性的限定和对等通告，保证错误的RT值无法建立正确的交叉连接。

    （6）私密信息保护

    识别并阻止那些能够暴露网络操作者私密性的消息，如OAM的性能消息、LSPTrace消息等。需要注意的是，运营商需要灵活掌控对这些消息的处理，因为对某些消息的阻断会影响其他必要的信息交互，比如，禁止ICI的LSPPING消息交换可能会使得LSP错误交叉连接的调试变得更加困难。

    数据平面的保护主要包括防DOS攻击以及标签欺骗。对于DOS攻击防御，我们可通过流量监管实现，如前所述的消息丢弃、聚合、流量限速等机制。对于防范标签欺骗，ASBR至少具备以下两类判断和处理能力：一是能够确定所收到的跨互连接口的标签是否被分配给即将建立的正确邻居网络的LSP，如果未被分配，则丢弃该标签分组。由于路由器首先弹栈顶层标签并根据顶层标签做转发决定，因此只判别顶层标签即可；二是如果标签栈中的所有标签都未被处理，则将MPLS标签分组丢弃。这就保证了来自其他网络域的每一个标签都是实际分配给该域的。

    跨MPLS ICI的IP VPN业务实现

    当一个MPLS提供商网络无法遍及企业客户所在的所有站点时，则需要与其他运营商合作，通过运营商网间跨域VPN的建立满足企业安全互联的要求。目前可行的主流跨域VPN方式有多域OptionA和OptionB两种。

    OptionA是ASBR之间VRF到VRF的连接。ASBR为需要跨域的VPN创建相应的VPNVRF，把对端的ASBR看作自己的CE设备，先把域内的VPN信息扩散到本端ASBR上，然后再把VPN信息扩散到对端的ASBR设备上，对端ASBR接收VPN信息后，再扩散到自己域内的PE设备，最终到达CE设备，这样就实现了两个域内VPN路由信息的交互。该方式的优点是实现简单，在ASBR设备之间不需要进行MPLS标签交换，不存在互通性的问题。缺点是需要为每个跨域的VPN建立一个VRF，并需要与域间链路上的一个子接口绑定，进行接口地址和路由协议的配置，存在扩展性方面的问题。

    OptionB是相邻域间对等ASBR之间建立单跳的MP-EBGP邻接体，传递VPN-IPv4路由。即对等ASBR之间运行MP-EBGP，传播VPN-IPv4路由及对应的VPN标签、RD/RT等路由信息。对端的ASBR收到从MP-EBGP来的VPN路由信息后在本地保存，再继续向自己域内的PE设备扩散。该方式的优点是实现了跨域VPN的自动发现以及路由的自动通告，不需要像OptionA方式为每个跨域VPN业务均配置，扩展性更好些，并且对跨域VPN的相关策略也有一定的控制力。

    一般来说，考虑到运营商间互联操作的简单性，在跨域VPN数量不是特别大的情况下，建议优先通过OptionA方式实现。