【文章內(nèi)容簡(jiǎn)介】 VPN 網(wǎng)絡(luò)結(jié)構(gòu) ? CE（ Custom Edge） ：直接與服務(wù)提供商相連的用戶設(shè)備 。 ? PE（ Provider Edge Router） ：指骨干網(wǎng)上的邊緣路由器 ， 與 CE相連 ， 主要負(fù)責(zé) VPN業(yè)務(wù)的接入 。 ? P（ Provider Router） ：指骨干網(wǎng)上的核心路由器 ， 主要完成路由和快速轉(zhuǎn)發(fā)功能 。 VPN_A VPN_A VPN_B CE CE CE VPN_A VPN_B VPN_B CE PE PE CE CE VPN_A CE iBGP sessions P P P P PE PE 與傳統(tǒng) VPN模型的比較 ? 與傳統(tǒng)的 Overlay VPN模型相比 ， MPLS VPN可以提供一種動(dòng)態(tài)建立的隧道技術(shù) ? MPLS中的 LSP正是一種天然的隧道 ， 而且這種隧道的建立是基于 LDP協(xié)議 ， 又恰恰是一種動(dòng)態(tài)的標(biāo)簽生成協(xié)議 ? 與傳統(tǒng)的 Peer to Peer VPN模型相比 ， MPLS VPN可以解決不同 VPN共享相同地址空間的問(wèn)題 ， 即解決地址沖突的問(wèn)題 ? 通過(guò)動(dòng)態(tài)路由協(xié)議來(lái)解決 為什么是 BGP ? 要解決地址沖突問(wèn)題 ， 必須對(duì)現(xiàn)有的路由協(xié)議進(jìn)行大規(guī)模的修改 ， 這就要求一個(gè)路由協(xié)議具有良好的可擴(kuò)展性 。 而具備條件的協(xié)議一定是基于 TLV元素的 。 符合標(biāo)準(zhǔn)的只有 EIGRP、BGP、 ISIS。 為什么選擇 BGP： ? 網(wǎng)絡(luò)中 VPN路由數(shù)目可能非常大 ， BGP是唯一支持大量路由的路由協(xié)議； ? BGP是基于 TCP來(lái)建立連接 ， 可以在不直接相連的路由器間交換信息 ， 這使得 P路由器中無(wú)須包含 VPN路由信息； ? BGP可以運(yùn)載附加在路由后的任何信息 ， 作為可選的 BGP屬性 ， 任何不了解這些屬性的 BGP路由器都將透明的轉(zhuǎn)發(fā)它們 ， 這使在 PE路由器間傳播路由非常簡(jiǎn)單 。 解決地址沖突的辦法（一） ? 本地路由沖突問(wèn)題 ， 即：在同一臺(tái) PE上如何區(qū)分不同 VPN的相同路由 ？ ? 可以通過(guò)在同一臺(tái)路由器上創(chuàng)建不同的路由表解決 ， 而不同的接口可以分屬不同的路由表中 ， 這就相當(dāng)于將一臺(tái)共享 PE模擬成多臺(tái)專用 PE。 ? 路由在網(wǎng)絡(luò)中的傳播問(wèn)題 ， 兩條相同的路由 ， 都在網(wǎng)絡(luò)中傳播 ， 對(duì)于接收者如何分辨彼此 ？ ? 可以在路由傳遞的過(guò)程中為這條路由再添加一個(gè)標(biāo)識(shí) ， 用以區(qū)別不同的 VPN。 解決地址沖突的辦法（二） ? 報(bào)文的轉(zhuǎn)發(fā)問(wèn)題 ， 即使成功的解決了路由表的沖突 ， 但是當(dāng)PE接收到一個(gè) IP報(bào)文時(shí) ， 他又如何能夠知道該發(fā)給那個(gè) VPN？因?yàn)?IP報(bào)文頭中唯一可用的信息就是目的地址 。 而很多 VPN中都可能存在這個(gè)地址 。 ? 在 IP頭之外加上一些信息 ， 由始發(fā)的 VPN打上標(biāo)記 ， 這樣PE在接收?qǐng)?bào)文時(shí)可以根據(jù)這個(gè)標(biāo)記進(jìn)行轉(zhuǎn)發(fā) 。 VPN Instance－解決本地路由沖突 ? 每一個(gè) VPN實(shí)例可以看作虛擬的路由器 ， 好像是一臺(tái)專用的PE設(shè)備 。 該虛擬路由器包括如下元素： ? 一張獨(dú)立的路由表 ， 當(dāng)然也包括了獨(dú)立的地址空間 。 ? 一組歸屬于這個(gè) VPN實(shí)例的接口的集合 。 ? 一組只用于本 VPN實(shí)例的路由協(xié)議 。 ? 對(duì)于每個(gè) PE， 可以維護(hù)一個(gè)或多個(gè) VPN實(shí)例 ， 同時(shí)維護(hù)一個(gè)公網(wǎng)的路由表 （ 也叫全局路由表 ） ， 多個(gè) VPN實(shí)例相互分離獨(dú)立 。 ? 其實(shí)實(shí)現(xiàn) VPN實(shí)例并不困難 ， 關(guān)鍵在于如何在 PE上使用特定的策略規(guī)則來(lái)協(xié)調(diào)各 VPN實(shí)例之間的關(guān)系 。 Route Target ? BGP的擴(kuò)展 munity屬性： RT（ Route Target） ? 擴(kuò)展的 munity有如下兩種格式：其中 type字段為 0x0002或者 0x0102時(shí)表示 RT。 TYPE(2字節(jié)） Administrator Field Assigned Number Field 0x0002 2字節(jié) AS號(hào) 4字節(jié)分配編號(hào) 0x0102 4字節(jié) IP地址 2字節(jié)分配編號(hào) Route Target本質(zhì) ? RT的本質(zhì)是每個(gè) VPN實(shí)例表達(dá)自己的路由取舍及喜好的方式 ?？梢苑譃閮刹糠郑?Export Target與 import Target ? 在一個(gè) VPN實(shí)例中 ， 在發(fā)布路由時(shí)使用 RT的 export規(guī)則 。直接發(fā)送給其他的 PE設(shè)備 ? 在接收端的 PE上 ， 接收所有的路由 ， 并根據(jù)每個(gè) VPN實(shí)例配置的 RT的 import規(guī)則進(jìn)行檢查 ， 如果與路由中的 RT屬性match， 則將該路由加入到相應(yīng)的 VPN實(shí)例中 。 RT的靈活應(yīng)用 ? 由于每個(gè) RT Export Target與 import Target都可以配置多個(gè)value， 接收時(shí)是 “ 或 ” 操作 ， 所以就可以實(shí)現(xiàn)非常靈活的VPN訪問(wèn)控制 。 bai m : 1 0 0 : 1e x :1 0 0 :2i m : 1 0 0 : 2e x :1 0 0 :1i m :1 0 0 :1e x :1 0 0 :1ai m :1 0 0 :1e x : 1 0 0 : 1cbi m :1 0 0 : 1 , 1 0 0 : 3e x :1 0 0 :1 ,1 0 0 :2i m :1 0 0 :2e x :1 0 0 : 3a傳統(tǒng)模式傳統(tǒng)模式h u b sp o k e 模式e x t r a n e t模式RD（ Route Distinguisher） ? 在成功的解決了本地路由沖突的問(wèn)題之后，路由在網(wǎng)絡(luò)中傳遞時(shí)的沖突問(wèn)題就迎刃而解了。只要在發(fā)布路由時(shí)加上一個(gè)標(biāo)識(shí)即可，這個(gè)標(biāo)識(shí)就是 RD。 TYPE(2字節(jié)） Administrator Field Assigned Number Field 0x0002 2字節(jié) AS號(hào) 4字節(jié)分配編號(hào) 0x0102 4字節(jié) IP地址 2字節(jié)分配編號(hào) ? RD的格式 ? 16位自治系統(tǒng)號(hào) ASN : 32位用戶自定義數(shù) ， 例如： 100:1 ? 2位 IP地址 : 16位用戶自定義數(shù) ， 例如： :1 RD的本質(zhì) ? 理論上可以為每個(gè) VPN實(shí)例配置一個(gè) RD。 通常建議為每個(gè)VPN都配置相同的 RD， 不同的 VPN配置不同的 RD。 但是實(shí)際上只要保證存在相同地址的兩個(gè) VPN實(shí)例的 RD不同即可 ，不同的 VPN可以配置相同的 RD， 相同的 VPN也可以配置不同的 RD。 ? 如果兩個(gè) VPN實(shí)例中存在相同的地址 ， 則一定要配置不同的RD， 而且兩個(gè) VPN實(shí)例一定不能互訪 ， 間接互訪也不成 。 ? RD并不會(huì)影響不同 VPN實(shí)例之間的路由選擇以及 VPN的形成 ，這些事情由 RT搞定 。 ? PE從 CE接收的標(biāo)準(zhǔn)的路由是 IPv4路由 ， 如果需要發(fā)布給其他的 PE路由器 ， 此時(shí)需要為這條路由附加一個(gè) RD。 VPNv4和 IPv4 地址族 ? 在 IPv4地址加上 RD之后 ， 就變成 VPNIPv4地址族了 ——VPNv4。 而原來(lái)的標(biāo)準(zhǔn)的地址族就稱為 IPv4。 ? VPNv4 地址族主要用于 PE路由器之間傳遞 VPN路由 ? VPNIPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部 。 在 PE發(fā)布路由時(shí)添加 ， 在 PE接收路由后放在本地路由表中 ， 用來(lái)與后來(lái)接收到的路由進(jìn)行比較 。 CE不知道使用的是 VPNIPv4地址 。 ? 在 VPN數(shù)據(jù)流量穿越供應(yīng)商骨干時(shí) ， 包頭中沒(méi)有攜帶 VPNIPv4地址 。 Route Distinguisher(8個(gè)字節(jié) ) IPv4 地址 VPNV4地址結(jié)構(gòu)： 私網(wǎng) Label ? 至此 ， 前兩個(gè)問(wèn)題：在 PE本地的路由沖突和網(wǎng)絡(luò)傳播過(guò)程的路由沖突都已解決 。 但如果一個(gè) PE的兩個(gè)本地 VPN實(shí)例同時(shí)存在 ， 當(dāng)他接收到一個(gè)目的地址為 的報(bào)文時(shí) ， 他如何知道該把這個(gè)報(bào)文發(fā)給與哪個(gè) VPN實(shí)例相連的 CE？ 肯定還需要在被轉(zhuǎn)發(fā)的報(bào)文中增加一個(gè)標(biāo)識(shí) 。 ? 由于 MPLS支持多層標(biāo)簽的嵌套 ， 這個(gè)標(biāo)識(shí)可以定義成 MPLS標(biāo)簽的格式 ， 即私網(wǎng) Label。 BGP發(fā)布路由時(shí)攜帶的信息 ? 一個(gè)擴(kuò)展之后的 NLRI （ Network Layer Reachability Information） ， 增加了地址族的描述 ， 以及私網(wǎng) Label和 RD。 MP_REACH_NLRI： address－ family ： VPNIPV4地址族 nexthop: 就是 PE路由器自己 ， 通常是 loopback地址 。 NLRI: 私網(wǎng) label： 24個(gè) bit， 與 MPLS標(biāo)簽一樣 。 prefix： RD:64bit＋ ip前綴 ? 跟隨之后的是擴(kuò)展團(tuán)體屬性 RT的列表 Extended_Communities（ RT1） Extended_Communities（ RT2） ? 對(duì)于使用了擴(kuò)展屬性 MP_REACH_NLRI和擴(kuò)展團(tuán)體屬性 RT的BGP， 我們稱之為 MPBGP協(xié)議 MPBGP協(xié)議 ? MPBGP (Multiprotocol Extensions for BGP4 ) ? BGP4僅僅支持 IPv4， MPBGP是為了讓 BGP可以用于傳輸更多協(xié)議 （ IPv6, IPX,...） 的路由信息而進(jìn)行的擴(kuò)展 。 ? 為了保持兼容性 ， MPBGP僅僅添加了兩個(gè) BGP屬性：MP_REACH_NLRI（ MP_UNREACH_NLRI ） 和擴(kuò)展團(tuán)體屬性 。 ? MP_REACH_NLRI（ MP_UNREACH_NLRI ） 可以用在BGP Update消息中用于通告或廢止網(wǎng)絡(luò)可達(dá)性信息 。 ? 私網(wǎng) Label映射消息攜帶在 MP_REACH_NLRI屬性中 ， 前20位是標(biāo)簽 ， 后 4位則的前 3位是 EXP域 ， 最后一位用于指示是否是棧底 。 PE和 CE設(shè)備之間的關(guān)系 ? PE 和 CE 路由器通過(guò) EBGP、 RIP和靜態(tài)路由交換信息 ， CE 運(yùn)行標(biāo)準(zhǔn)路由協(xié)議 ? PE 維護(hù)獨(dú)立的路由表：公網(wǎng)路由表和 VPN實(shí)例的私網(wǎng)路由表 PE