【文章內(nèi)容簡介】 標(biāo)簽分發(fā)過程： DoD（ downstreamondemand）模式 上游 LSR向下游 LSR 發(fā)送標(biāo)簽請求消息（ Label Request Message），其中包含 FEC 的描述信息。下游 LSR為此 FEC分配標(biāo)簽，并將綁定的標(biāo)簽通過標(biāo)簽映射消息（ Label Mapping Message）反饋給上游 LSR。 下游 LSR 何時反饋標(biāo)簽映射消息，取決于該 LSR 采用的標(biāo)簽分配控制方式。 ? 采用 Ordered 方式時，只有收到它的下游返回的標(biāo)簽映射消息后，才向其上游發(fā)送標(biāo)簽映射消息； ? 采用 Independent 方式時，不管有沒有收到它的下游返回的標(biāo)簽映射消息，都立即向其上游發(fā)送標(biāo)簽映射消息。 上游 LSR 一般是根據(jù)其路由表中的信息來選擇下游 LSR。在下圖中， LSP 沿途的 LSR都采用 Ordered 方式。 DU（ downstream unsolicited）模式 下游 LSR 在 LDP 會話建立成功后，主動向其上游 LSR 發(fā)布標(biāo)簽映射消息。上游 LSR保存標(biāo)簽映射信息，并根據(jù)路由表信息來處理收到的標(biāo)簽映射信息。 標(biāo)簽上下游簡圖 2. MPLS VPN 在目前 MPLS網(wǎng)絡(luò)中最為流行和最為廣泛的是 MPLS VPN(MPLS虛擬私有網(wǎng)絡(luò) )技術(shù)，對于 MPLS VPN技術(shù)的應(yīng)用從它誕生到現(xiàn)在一直以來都是成指數(shù)級的增長。因為 MPLS VPN可以提供高擴(kuò)展性，并且可以將整個網(wǎng)絡(luò)可以分割成相互獨立的小網(wǎng)絡(luò)，而該技術(shù)正是大型企業(yè)網(wǎng)絡(luò)所需要的，因為大型企業(yè)網(wǎng)絡(luò)的通用架構(gòu)必須要能為單獨的部門或不同的分部進(jìn)行隔離的網(wǎng)絡(luò)，因此現(xiàn)在 MPLS VPN技術(shù)已經(jīng)被大型企業(yè)看重。 VPN簡介 VPN（ Virtual Private Network）即虛擬專用網(wǎng)。它是在 Inter網(wǎng)絡(luò)中建立一條虛擬的專用通道，讓兩個遠(yuǎn)距離的網(wǎng)絡(luò)客戶能在一個專用的 網(wǎng)絡(luò)通道中相互傳遞資料而不會被外界干擾或竊聽。 神州數(shù)碼網(wǎng)絡(luò)有限公司 所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用 Inter公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。 按照以前的企業(yè)互連方式，企業(yè)與其子公司之間要拉一根專線，而每年卻需為這根專線支付昂貴的專線費，如若改用 VPN方案，利用 Inter組建私有網(wǎng)，將大筆的專線費用縮減為少量的市話費用和 Inter費，如果愿意，企業(yè)甚至可以不必建立自己的廣域網(wǎng)維護(hù)系統(tǒng)，而將這一繁重的任務(wù)交由專業(yè)的 ISP來完成。 MPLS VPN技術(shù) MPLS VPN能夠提供所有上述 VPN中所提到的功能， MPLS VPN的實現(xiàn)是因為服務(wù)提供商的骨干網(wǎng)絡(luò)中運行了 MPLS，這就使得該骨干網(wǎng)絡(luò)可以支持分離的轉(zhuǎn)發(fā)層面和控制層面，而該特性在 IP的骨干網(wǎng)絡(luò)中是無法實現(xiàn)的。 MPLS VPN網(wǎng)絡(luò)構(gòu)成： MPLS VPN 中 由三部分組成： CE、 PE 和 P。 ? P 路由器（ Provide Router）：供應(yīng)商路由器。位于 MPLS 域的內(nèi)部?？梢曰跇?biāo)簽交換快速轉(zhuǎn)發(fā) MPLS 數(shù)據(jù)流。 P 路由器接收 MPLS 報文，交換標(biāo)簽后，輸出 MPLS報文。 ? PE路由器（ Provide Edge Router）：供應(yīng)商邊界路由器。位于 MPLS 域的邊界，用于轉(zhuǎn)換 IP 報文和 MPLS 報文。 PE 路由器接收 IP 報文，壓入 MPLS 標(biāo)簽后，輸出MPLS 報文；并且接收 MPLS報文，彈出標(biāo)簽之后，輸出 IP 報文。 PE 路由器上，與其它 P 路由器或者 PE 路由器連接的端口被稱為“公網(wǎng)端口”，配置公網(wǎng) IP 地址；與 CE 路由器連接的端口被稱為“私網(wǎng)端口”，配置私網(wǎng) IP 地址。 ? CE 路由器（ Customer Edge Router）：用戶邊界路由器。位于用戶 IP 域邊界，直接和 PE路由器連接，用于匯聚用戶數(shù)據(jù)，并把用 戶 IP 域的路由信息轉(zhuǎn)發(fā)到 PE 路由器。 CE 和 PE的劃分主要是根據(jù) SP 與用戶的管理范圍， CE 和 PE 是兩者管理范圍的邊界。 當(dāng) CE 與直接相連的 PE建立鄰接關(guān)系后， CE 把本站點的 VPN路由發(fā)布給 PE，并從 PE 學(xué)到遠(yuǎn)端 VPN 的路由。 CE 與 PE 之間使用 BGP/IGP 交換路由信息，也可以使用靜態(tài)路由。 PE從 CE 學(xué)到 CE 本地的 VPN路由信息后，通過 BGP 與其它 PE 交換 VPN 路由信息。PE 路由器只維護(hù)與它直接相連的 VPN 的路由信息，不維護(hù)服務(wù)提供商網(wǎng)絡(luò)中的所有 VPN路由。 P 路由器只維護(hù)到 PE 的路由，不需要了解任何 VPN 路由信息。 當(dāng)在 MPLS 骨干網(wǎng)上傳輸 VPN流量時，入口 PE 做為 Ingress LSR（ Label Switch Router），出口 PE做為 Egress LSR， P 路由器則做為 Transit LSR。 神州數(shù)碼網(wǎng)絡(luò)有限公司 BGP/MPLS VPN 到今天， BGP4(BGP版本 4)是個非常成熟的協(xié)議，已經(jīng)成為域間路由的標(biāo)準(zhǔn)使用協(xié)議， BGP非常適合承載成百上千條路由協(xié)議，并且能夠?qū)Ψ€(wěn)定性提供很好的支持。 同時它具有 良好的可擴(kuò)展性，可以實施擴(kuò)展策略的路由協(xié)議。所以選擇 BGP來承載 MPLS L3 VPN的路由。 要實現(xiàn) MPLS L3 VPN還需要解決一些基本問題，這些問題包括 VRF、路由區(qū)分器 RD、路由對象RT等 全新的路由轉(zhuǎn)發(fā)表 VRF VRF即 VPN Routing amp。 Forwarding Instance， VPN路由轉(zhuǎn)發(fā)實例，由 VPN路由表和 VPN IP轉(zhuǎn)發(fā)表 (轉(zhuǎn)發(fā)表包含了 MPLS封裝信息 )組成，是實現(xiàn) MPLS VPN分組轉(zhuǎn)發(fā)的核心表項。在 PE上的每一個 VPN有自己獨立的一個 VRF實例，不同 VPN的 VRF地址空間可以重疊。在 MPLS VPN網(wǎng)絡(luò)中一個 PE通常包含有多個獨立運作的 VRF，一個 PE維護(hù)了一張 IP路 由表，同時由于在 PE上的路由需要被相互隔離，以確保隊每一個用戶 VPN的私有性，所以為每一個連到 PE的 VPN維護(hù)了一張 VRF表，在 PE上，指向 CE的接口只屬于一個 VRF，同樣地，所有在 VRF接口上收到的 IP報文都應(yīng)該毫無疑問地屬于這個 VRF，如下圖所示： PE上的 VRF圖示 路由區(qū)分器 RD 由于 BGP/MPLS VPN提供私密性，支持不同用戶之間使用重疊的 IP地址，如果沒有保障機制來區(qū)分的話，那樣會亂套了，路由肯定會產(chǎn)生錯誤，為了解決這個問題， RD的構(gòu)想被定義來讓 IPv4前綴唯一。其基本原理就是每一個用戶 收到一個前綴都會有一個唯一的標(biāo)識符 (即 RD)來區(qū)分來自不同用戶的相同前綴。我們將這種 IPv4前綴和 RD的前綴結(jié)合在一起的形式稱為 vpnv4 前綴。而BGP/MPLS VPN需要將這些 vpnv4前綴在 PE之間進(jìn)行傳遞。 在 IPv4地址加上 RD之后，就變成 VPNIPv4地址族了。理論上可以為每個 VRF配置一個 RD，但要保證這個 RD全球唯一 ， 通常建議為每個 VPN都配置相同的 RD， 如果兩個 VRF中存在相同的地址，但是 RD不同，則兩個 VRF一定不能互訪，間接互訪也不成。 PE從 CE接收的標(biāo)準(zhǔn)的路由是 IPv4路由，如果 需要發(fā)布給其他的 PE路由器，此時需要為這條路由附加一個 RD。 VPNIPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。在 PE發(fā)布路由時添加，在 PE接收路由后放在本地路由表中，用來與后來接收到的路由進(jìn)行比較 。 CE不知道使用的是 VPNIPv4地址。在其穿越供應(yīng)商骨干時，在 VPN數(shù)據(jù)流量的包頭中沒有攜帶 VPNIPv4地址。 路由對象 RT RD僅僅標(biāo)識