【文章內(nèi)容簡(jiǎn)介】 標(biāo)簽分發(fā)過程： DoD（ downstreamondemand）模式 上游 LSR向下游 LSR 發(fā)送標(biāo)簽請(qǐng)求消息（ Label Request Message），其中包含 FEC 的描述信息。下游 LSR為此 FEC分配標(biāo)簽，并將綁定的標(biāo)簽通過標(biāo)簽映射消息（ Label Mapping Message）反饋給上游 LSR。 下游 LSR 何時(shí)反饋標(biāo)簽映射消息，取決于該 LSR 采用的標(biāo)簽分配控制方式。 ? 采用 Ordered 方式時(shí)，只有收到它的下游返回的標(biāo)簽映射消息后，才向其上游發(fā)送標(biāo)簽映射消息； ? 采用 Independent 方式時(shí)，不管有沒有收到它的下游返回的標(biāo)簽映射消息，都立即向其上游發(fā)送標(biāo)簽映射消息。 上游 LSR 一般是根據(jù)其路由表中的信息來選擇下游 LSR。在下圖中， LSP 沿途的 LSR都采用 Ordered 方式。 DU（ downstream unsolicited）模式 下游 LSR 在 LDP 會(huì)話建立成功后，主動(dòng)向其上游 LSR 發(fā)布標(biāo)簽映射消息。上游 LSR保存標(biāo)簽映射信息，并根據(jù)路由表信息來處理收到的標(biāo)簽映射信息。 標(biāo)簽上下游簡(jiǎn)圖 2. MPLS VPN 在目前 MPLS網(wǎng)絡(luò)中最為流行和最為廣泛的是 MPLS VPN(MPLS虛擬私有網(wǎng)絡(luò) )技術(shù)，對(duì)于 MPLS VPN技術(shù)的應(yīng)用從它誕生到現(xiàn)在一直以來都是成指數(shù)級(jí)的增長(zhǎng)。因?yàn)?MPLS VPN可以提供高擴(kuò)展性，并且可以將整個(gè)網(wǎng)絡(luò)可以分割成相互獨(dú)立的小網(wǎng)絡(luò)，而該技術(shù)正是大型企業(yè)網(wǎng)絡(luò)所需要的，因?yàn)榇笮推髽I(yè)網(wǎng)絡(luò)的通用架構(gòu)必須要能為單獨(dú)的部門或不同的分部進(jìn)行隔離的網(wǎng)絡(luò)，因此現(xiàn)在 MPLS VPN技術(shù)已經(jīng)被大型企業(yè)看重。 VPN簡(jiǎn)介 VPN（ Virtual Private Network）即虛擬專用網(wǎng)。它是在 Inter網(wǎng)絡(luò)中建立一條虛擬的專用通道，讓兩個(gè)遠(yuǎn)距離的網(wǎng)絡(luò)客戶能在一個(gè)專用的 網(wǎng)絡(luò)通道中相互傳遞資料而不會(huì)被外界干擾或竊聽。 神州數(shù)碼網(wǎng)絡(luò)有限公司 所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用 Inter公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。 按照以前的企業(yè)互連方式，企業(yè)與其子公司之間要拉一根專線，而每年卻需為這根專線支付昂貴的專線費(fèi)，如若改用 VPN方案，利用 Inter組建私有網(wǎng)，將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和 Inter費(fèi)，如果愿意，企業(yè)甚至可以不必建立自己的廣域網(wǎng)維護(hù)系統(tǒng)，而將這一繁重的任務(wù)交由專業(yè)的 ISP來完成。 MPLS VPN技術(shù) MPLS VPN能夠提供所有上述 VPN中所提到的功能， MPLS VPN的實(shí)現(xiàn)是因?yàn)榉?wù)提供商的骨干網(wǎng)絡(luò)中運(yùn)行了 MPLS，這就使得該骨干網(wǎng)絡(luò)可以支持分離的轉(zhuǎn)發(fā)層面和控制層面，而該特性在 IP的骨干網(wǎng)絡(luò)中是無(wú)法實(shí)現(xiàn)的。 MPLS VPN網(wǎng)絡(luò)構(gòu)成： MPLS VPN 中 由三部分組成： CE、 PE 和 P。 ? P 路由器（ Provide Router）：供應(yīng)商路由器。位于 MPLS 域的內(nèi)部。可以基于標(biāo)簽交換快速轉(zhuǎn)發(fā) MPLS 數(shù)據(jù)流。 P 路由器接收 MPLS 報(bào)文，交換標(biāo)簽后，輸出 MPLS報(bào)文。 ? PE路由器（ Provide Edge Router）：供應(yīng)商邊界路由器。位于 MPLS 域的邊界，用于轉(zhuǎn)換 IP 報(bào)文和 MPLS 報(bào)文。 PE 路由器接收 IP 報(bào)文，壓入 MPLS 標(biāo)簽后，輸出MPLS 報(bào)文；并且接收 MPLS報(bào)文，彈出標(biāo)簽之后，輸出 IP 報(bào)文。 PE 路由器上，與其它 P 路由器或者 PE 路由器連接的端口被稱為“公網(wǎng)端口”，配置公網(wǎng) IP 地址；與 CE 路由器連接的端口被稱為“私網(wǎng)端口”，配置私網(wǎng) IP 地址。 ? CE 路由器（ Customer Edge Router）：用戶邊界路由器。位于用戶 IP 域邊界，直接和 PE路由器連接，用于匯聚用戶數(shù)據(jù)，并把用 戶 IP 域的路由信息轉(zhuǎn)發(fā)到 PE 路由器。 CE 和 PE的劃分主要是根據(jù) SP 與用戶的管理范圍， CE 和 PE 是兩者管理范圍的邊界。 當(dāng) CE 與直接相連的 PE建立鄰接關(guān)系后， CE 把本站點(diǎn)的 VPN路由發(fā)布給 PE，并從 PE 學(xué)到遠(yuǎn)端 VPN 的路由。 CE 與 PE 之間使用 BGP/IGP 交換路由信息，也可以使用靜態(tài)路由。 PE從 CE 學(xué)到 CE 本地的 VPN路由信息后，通過 BGP 與其它 PE 交換 VPN 路由信息。PE 路由器只維護(hù)與它直接相連的 VPN 的路由信息，不維護(hù)服務(wù)提供商網(wǎng)絡(luò)中的所有 VPN路由。 P 路由器只維護(hù)到 PE 的路由，不需要了解任何 VPN 路由信息。 當(dāng)在 MPLS 骨干網(wǎng)上傳輸 VPN流量時(shí)，入口 PE 做為 Ingress LSR（ Label Switch Router），出口 PE做為 Egress LSR， P 路由器則做為 Transit LSR。 神州數(shù)碼網(wǎng)絡(luò)有限公司 BGP/MPLS VPN 到今天， BGP4(BGP版本 4)是個(gè)非常成熟的協(xié)議，已經(jīng)成為域間路由的標(biāo)準(zhǔn)使用協(xié)議， BGP非常適合承載成百上千條路由協(xié)議，并且能夠?qū)Ψ€(wěn)定性提供很好的支持。 同時(shí)它具有 良好的可擴(kuò)展性，可以實(shí)施擴(kuò)展策略的路由協(xié)議。所以選擇 BGP來承載 MPLS L3 VPN的路由。 要實(shí)現(xiàn) MPLS L3 VPN還需要解決一些基本問題，這些問題包括 VRF、路由區(qū)分器 RD、路由對(duì)象RT等 全新的路由轉(zhuǎn)發(fā)表 VRF VRF即 VPN Routing amp。 Forwarding Instance， VPN路由轉(zhuǎn)發(fā)實(shí)例，由 VPN路由表和 VPN IP轉(zhuǎn)發(fā)表 (轉(zhuǎn)發(fā)表包含了 MPLS封裝信息 )組成，是實(shí)現(xiàn) MPLS VPN分組轉(zhuǎn)發(fā)的核心表項(xiàng)。在 PE上的每一個(gè) VPN有自己獨(dú)立的一個(gè) VRF實(shí)例，不同 VPN的 VRF地址空間可以重疊。在 MPLS VPN網(wǎng)絡(luò)中一個(gè) PE通常包含有多個(gè)獨(dú)立運(yùn)作的 VRF，一個(gè) PE維護(hù)了一張 IP路 由表，同時(shí)由于在 PE上的路由需要被相互隔離，以確保隊(duì)每一個(gè)用戶 VPN的私有性，所以為每一個(gè)連到 PE的 VPN維護(hù)了一張 VRF表，在 PE上，指向 CE的接口只屬于一個(gè) VRF，同樣地，所有在 VRF接口上收到的 IP報(bào)文都應(yīng)該毫無(wú)疑問地屬于這個(gè) VRF，如下圖所示： PE上的 VRF圖示 路由區(qū)分器 RD 由于 BGP/MPLS VPN提供私密性，支持不同用戶之間使用重疊的 IP地址，如果沒有保障機(jī)制來區(qū)分的話，那樣會(huì)亂套了，路由肯定會(huì)產(chǎn)生錯(cuò)誤，為了解決這個(gè)問題， RD的構(gòu)想被定義來讓 IPv4前綴唯一。其基本原理就是每一個(gè)用戶 收到一個(gè)前綴都會(huì)有一個(gè)唯一的標(biāo)識(shí)符 (即 RD)來區(qū)分來自不同用戶的相同前綴。我們將這種 IPv4前綴和 RD的前綴結(jié)合在一起的形式稱為 vpnv4 前綴。而BGP/MPLS VPN需要將這些 vpnv4前綴在 PE之間進(jìn)行傳遞。 在 IPv4地址加上 RD之后，就變成 VPNIPv4地址族了。理論上可以為每個(gè) VRF配置一個(gè) RD，但要保證這個(gè) RD全球唯一 ， 通常建議為每個(gè) VPN都配置相同的 RD， 如果兩個(gè) VRF中存在相同的地址，但是 RD不同，則兩個(gè) VRF一定不能互訪，間接互訪也不成。 PE從 CE接收的標(biāo)準(zhǔn)的路由是 IPv4路由，如果 需要發(fā)布給其他的 PE路由器，此時(shí)需要為這條路由附加一個(gè) RD。 VPNIPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。在 PE發(fā)布路由時(shí)添加，在 PE接收路由后放在本地路由表中，用來與后來接收到的路由進(jìn)行比較 。 CE不知道使用的是 VPNIPv4地址。在其穿越供應(yīng)商骨干時(shí)，在 VPN數(shù)據(jù)流量的包頭中沒有攜帶 VPNIPv4地址。 路由對(duì)象 RT RD僅僅標(biāo)識(shí)