【文章內容簡介】 VPN 網絡結構 ? CE（ Custom Edge） ：直接與服務提供商相連的用戶設備 。 ? PE（ Provider Edge Router） ：指骨干網上的邊緣路由器 ， 與 CE相連 ， 主要負責 VPN業(yè)務的接入 。 ? P（ Provider Router） ：指骨干網上的核心路由器 ， 主要完成路由和快速轉發(fā)功能 。 VPN_A VPN_A VPN_B CE CE CE VPN_A VPN_B VPN_B CE PE PE CE CE VPN_A CE iBGP sessions P P P P PE PE 與傳統(tǒng) VPN模型的比較 ? 與傳統(tǒng)的 Overlay VPN模型相比 ， MPLS VPN可以提供一種動態(tài)建立的隧道技術 ? MPLS中的 LSP正是一種天然的隧道 ， 而且這種隧道的建立是基于 LDP協(xié)議 ， 又恰恰是一種動態(tài)的標簽生成協(xié)議 ? 與傳統(tǒng)的 Peer to Peer VPN模型相比 ， MPLS VPN可以解決不同 VPN共享相同地址空間的問題 ， 即解決地址沖突的問題 ? 通過動態(tài)路由協(xié)議來解決 為什么是 BGP ? 要解決地址沖突問題 ， 必須對現(xiàn)有的路由協(xié)議進行大規(guī)模的修改 ， 這就要求一個路由協(xié)議具有良好的可擴展性 。 而具備條件的協(xié)議一定是基于 TLV元素的 。 符合標準的只有 EIGRP、BGP、 ISIS。 為什么選擇 BGP： ? 網絡中 VPN路由數(shù)目可能非常大 ， BGP是唯一支持大量路由的路由協(xié)議； ? BGP是基于 TCP來建立連接 ， 可以在不直接相連的路由器間交換信息 ， 這使得 P路由器中無須包含 VPN路由信息； ? BGP可以運載附加在路由后的任何信息 ， 作為可選的 BGP屬性 ， 任何不了解這些屬性的 BGP路由器都將透明的轉發(fā)它們 ， 這使在 PE路由器間傳播路由非常簡單 。 解決地址沖突的辦法（一） ? 本地路由沖突問題 ， 即：在同一臺 PE上如何區(qū)分不同 VPN的相同路由 ？ ? 可以通過在同一臺路由器上創(chuàng)建不同的路由表解決 ， 而不同的接口可以分屬不同的路由表中 ， 這就相當于將一臺共享 PE模擬成多臺專用 PE。 ? 路由在網絡中的傳播問題 ， 兩條相同的路由 ， 都在網絡中傳播 ， 對于接收者如何分辨彼此 ？ ? 可以在路由傳遞的過程中為這條路由再添加一個標識 ， 用以區(qū)別不同的 VPN。 解決地址沖突的辦法（二） ? 報文的轉發(fā)問題 ， 即使成功的解決了路由表的沖突 ， 但是當PE接收到一個 IP報文時 ， 他又如何能夠知道該發(fā)給那個 VPN？因為 IP報文頭中唯一可用的信息就是目的地址 。 而很多 VPN中都可能存在這個地址 。 ? 在 IP頭之外加上一些信息 ， 由始發(fā)的 VPN打上標記 ， 這樣PE在接收報文時可以根據(jù)這個標記進行轉發(fā) 。 VPN Instance－解決本地路由沖突 ? 每一個 VPN實例可以看作虛擬的路由器 ， 好像是一臺專用的PE設備 。 該虛擬路由器包括如下元素： ? 一張獨立的路由表 ， 當然也包括了獨立的地址空間 。 ? 一組歸屬于這個 VPN實例的接口的集合 。 ? 一組只用于本 VPN實例的路由協(xié)議 。 ? 對于每個 PE， 可以維護一個或多個 VPN實例 ， 同時維護一個公網的路由表 （ 也叫全局路由表 ） ， 多個 VPN實例相互分離獨立 。 ? 其實實現(xiàn) VPN實例并不困難 ， 關鍵在于如何在 PE上使用特定的策略規(guī)則來協(xié)調各 VPN實例之間的關系 。 Route Target ? BGP的擴展 munity屬性： RT（ Route Target） ? 擴展的 munity有如下兩種格式：其中 type字段為 0x0002或者 0x0102時表示 RT。 TYPE(2字節(jié)） Administrator Field Assigned Number Field 0x0002 2字節(jié) AS號 4字節(jié)分配編號 0x0102 4字節(jié) IP地址 2字節(jié)分配編號 Route Target本質 ? RT的本質是每個 VPN實例表達自己的路由取舍及喜好的方式 ?？梢苑譃閮刹糠郑?Export Target與 import Target ? 在一個 VPN實例中 ， 在發(fā)布路由時使用 RT的 export規(guī)則 。直接發(fā)送給其他的 PE設備 ? 在接收端的 PE上 ， 接收所有的路由 ， 并根據(jù)每個 VPN實例配置的 RT的 import規(guī)則進行檢查 ， 如果與路由中的 RT屬性match， 則將該路由加入到相應的 VPN實例中 。 RT的靈活應用 ? 由于每個 RT Export Target與 import Target都可以配置多個value， 接收時是 “ 或 ” 操作 ， 所以就可以實現(xiàn)非常靈活的VPN訪問控制 。 bai m : 1 0 0 : 1e x :1 0 0 :2i m : 1 0 0 : 2e x :1 0 0 :1i m :1 0 0 :1e x :1 0 0 :1ai m :1 0 0 :1e x : 1 0 0 : 1cbi m :1 0 0 : 1 , 1 0 0 : 3e x :1 0 0 :1 ,1 0 0 :2i m :1 0 0 :2e x :1 0 0 : 3a傳統(tǒng)模式傳統(tǒng)模式h u b sp o k e 模式e x t r a n e t模式RD（ Route Distinguisher） ? 在成功的解決了本地路由沖突的問題之后，路由在網絡中傳遞時的沖突問題就迎刃而解了。只要在發(fā)布路由時加上一個標識即可，這個標識就是 RD。 TYPE(2字節(jié)） Administrator Field Assigned Number Field 0x0002 2字節(jié) AS號 4字節(jié)分配編號 0x0102 4字節(jié) IP地址 2字節(jié)分配編號 ? RD的格式 ? 16位自治系統(tǒng)號 ASN : 32位用戶自定義數(shù) ， 例如： 100:1 ? 2位 IP地址 : 16位用戶自定義數(shù) ， 例如： :1 RD的本質 ? 理論上可以為每個 VPN實例配置一個 RD。 通常建議為每個VPN都配置相同的 RD， 不同的 VPN配置不同的 RD。 但是實際上只要保證存在相同地址的兩個 VPN實例的 RD不同即可 ，不同的 VPN可以配置相同的 RD， 相同的 VPN也可以配置不同的 RD。 ? 如果兩個 VPN實例中存在相同的地址 ， 則一定要配置不同的RD， 而且兩個 VPN實例一定不能互訪 ， 間接互訪也不成 。 ? RD并不會影響不同 VPN實例之間的路由選擇以及 VPN的形成 ，這些事情由 RT搞定 。 ? PE從 CE接收的標準的路由是 IPv4路由 ， 如果需要發(fā)布給其他的 PE路由器 ， 此時需要為這條路由附加一個 RD。 VPNv4和 IPv4 地址族 ? 在 IPv4地址加上 RD之后 ， 就變成 VPNIPv4地址族了 ——VPNv4。 而原來的標準的地址族就稱為 IPv4。 ? VPNv4 地址族主要用于 PE路由器之間傳遞 VPN路由 ? VPNIPv4地址僅用于服務供應商網絡內部 。 在 PE發(fā)布路由時添加 ， 在 PE接收路由后放在本地路由表中 ， 用來與后來接收到的路由進行比較 。 CE不知道使用的是 VPNIPv4地址 。 ? 在 VPN數(shù)據(jù)流量穿越供應商骨干時 ， 包頭中沒有攜帶 VPNIPv4地址 。 Route Distinguisher(8個字節(jié) ) IPv4 地址 VPNV4地址結構： 私網 Label ? 至此 ， 前兩個問題：在 PE本地的路由沖突和網絡傳播過程的路由沖突都已解決 。 但如果一個 PE的兩個本地 VPN實例同時存在 ， 當他接收到一個目的地址為 的報文時 ， 他如何知道該把這個報文發(fā)給與哪個 VPN實例相連的 CE？ 肯定還需要在被轉發(fā)的報文中增加一個標識 。 ? 由于 MPLS支持多層標簽的嵌套 ， 這個標識可以定義成 MPLS標簽的格式 ， 即私網 Label。 BGP發(fā)布路由時攜帶的信息 ? 一個擴展之后的 NLRI （ Network Layer Reachability Information） ， 增加了地址族的描述 ， 以及私網 Label和 RD。 MP_REACH_NLRI： address－ family ： VPNIPV4地址族 nexthop: 就是 PE路由器自己 ， 通常是 loopback地址 。 NLRI: 私網 label： 24個 bit， 與 MPLS標簽一樣 。 prefix： RD:64bit＋ ip前綴 ? 跟隨之后的是擴展團體屬性 RT的列表 Extended_Communities（ RT1） Extended_Communities（ RT2） ? 對于使用了擴展屬性 MP_REACH_NLRI和擴展團體屬性 RT的BGP， 我們稱之為 MPBGP協(xié)議 MPBGP協(xié)議 ? MPBGP (Multiprotocol Extensions for BGP4 ) ? BGP4僅僅支持 IPv4， MPBGP是為了讓 BGP可以用于傳輸更多協(xié)議 （ IPv6, IPX,...） 的路由信息而進行的擴展 。 ? 為了保持兼容性 ， MPBGP僅僅添加了兩個 BGP屬性：MP_REACH_NLRI（ MP_UNREACH_NLRI ） 和擴展團體屬性 。 ? MP_REACH_NLRI（ MP_UNREACH_NLRI ） 可以用在BGP Update消息中用于通告或廢止網絡可達性信息 。 ? 私網 Label映射消息攜帶在 MP_REACH_NLRI屬性中 ， 前20位是標簽 ， 后 4位則的前 3位是 EXP域 ， 最后一位用于指示是否是棧底 。 PE和 CE設備之間的關系 ? PE 和 CE 路由器通過 EBGP、 RIP和靜態(tài)路由交換信息 ， CE 運行標準路由協(xié)議 ? PE 維護獨立的路由表：公網路由表和 VPN實例的私網路由表 PE