【文章內(nèi)容簡(jiǎn)介】 空間重疊的問(wèn)題，必須修改 BGP 協(xié)議。 BGP 最大的優(yōu)點(diǎn)是擴(kuò)展性好，可以在原來(lái)的基礎(chǔ)上再定義新的屬性，通過(guò)對(duì) BGP 修改，把 BGP4 擴(kuò)展成 MPBGP。在 MPIBGP 鄰 居間傳遞 VPN用戶(hù)路由時(shí)打上 RD 標(biāo)記，這樣 VPN用戶(hù)傳來(lái)的 IPv4路由轉(zhuǎn)變?yōu)?VPNv4路由，這樣保證 VPN 用戶(hù)的路由到了對(duì)端的 PE 上，能夠使對(duì)端 PE 區(qū)分開(kāi)地址空間重疊但不同的 VPN 用戶(hù)路由。例子如下圖 所示： 在 PE PE PE3上分別配置 VRF參數(shù)，其中 VPN1用戶(hù)的 RD 6500:1， RT 100:1，VPN2 用戶(hù)的 RD 6500: RT 100:2。所有 VRF 可以同時(shí)導(dǎo)入和導(dǎo)出所定義的 RT。 以 PE2 為例， PE2 從接口 S0 上獲得由 CE4 傳來(lái)的 .0/8 的路由， PE2 把該路由放置到和 S0 有關(guān)的 VRF 所管轄的 IP 路由表中，并且分配該路由的本地標(biāo)簽，注意該標(biāo)簽是本地唯一的。通過(guò)路由重新發(fā)布把 VRF 所管轄的 IP 路由表中的路由重新發(fā)布到 BGP 表中，此時(shí)通過(guò)參考 VRF 表的 RD、 RT 參數(shù)，把正常的 IPv4 路由變成 VPNv4 路由， .0/8 變成 6500:1:.0/8，同時(shí)把導(dǎo)出 Export RT值和該路由的本地標(biāo)簽值等等的屬性全部加到該路由條目中去。通過(guò) MPIBGP會(huì)話(huà)， PE2 把這條 VPNv4 路由發(fā)送到 PE1 處， PE1 收到了兩條 .0/8 的路由，其中一條是由 PE3 發(fā)來(lái)的，由于 RD 的不同，導(dǎo)致該兩條路由沒(méi)有可比 性。 MPBGP 接受到該兩條路由后的后繼工作是：去掉 VPN4 路由所帶的 RD 值，使之恢復(fù) IPv4路由原貌，并且根據(jù)各 VRF 配置的允許導(dǎo)入 Import 的 RT 值，把 IPv4 倒到各個(gè)VRF 管轄的路由表和 CEF 表中，也就是說(shuō)帶有 RT 100:.0/8 的路由倒到 VRF1 所管的路由表和 CEF 表中，帶有 RT 100:.0/8 的路由倒到 VRF2 所管轄的路由表和CEF 表中。再通過(guò) CE 和 PE 之間的路由協(xié)議， PE 把不同的 VRF 管轄的路由表內(nèi)容通告的各自的相聯(lián)的 CE中去。目前 PE和 CE之間可支持的路由協(xié)議只有四種 BGP、OSPF、 RIP2 或者靜態(tài)路由。 MPLS/VPN 中標(biāo)簽分組的轉(zhuǎn)發(fā) 通過(guò) MPBGP 協(xié)議各個(gè) VPN 用戶(hù)路由器學(xué)習(xí)到正確的路由，現(xiàn)在看看圖 中如何轉(zhuǎn)發(fā)用戶(hù)數(shù)據(jù)的。 （ 1） CE1 接收到 .0 的 IP 數(shù)據(jù)包，查詢(xún)路由表，把該 IP 數(shù)據(jù)包發(fā)送到 PE1。 （ 2） PE1 從 S1 口上收到 IP 數(shù)據(jù)包后，根據(jù) S1 所在的 VRF，查詢(xún)對(duì)應(yīng)的 CEF表，數(shù)據(jù)包打上標(biāo)簽 8，注意該標(biāo)簽就是通過(guò) MPBGP 協(xié)議傳來(lái)的。 PE1 繼續(xù)查詢(xún)?nèi)?CEF 表，獲知要把數(shù)據(jù) .0，必須先發(fā)送到 PE2，而要發(fā)送到 PE2，則必須打上由 P1 告知的標(biāo)簽 2。所以該 IP 包被打上了兩個(gè)標(biāo)簽。 （ 3） P1 接收到標(biāo)簽包后，分析頂層的標(biāo)簽，把頂層標(biāo)簽換成 4，繼續(xù)發(fā)送的 P2。 （ 4） P2 和 P1 一樣做同樣的操作，由于次末中繼彈出機(jī)制， P2 去掉標(biāo)簽 4，直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送的 PE2。 （ 5） PE2 收到標(biāo)簽包后，分析標(biāo)簽頭，由于該標(biāo)簽 8 是它本地產(chǎn)生的，而且是本地唯一的，所以 PE2 很容易查出帶有標(biāo)簽 8 的標(biāo)簽包應(yīng)該去掉標(biāo)簽，恢復(fù)IP 包原貌，從 S1 端口發(fā)出。 （ 6） CE2 獲得 IP 數(shù)據(jù)包后，進(jìn)行路由查找，把數(shù)據(jù)發(fā) .0/8 網(wǎng)段上。 多協(xié)議標(biāo)記交換 MPLS 網(wǎng)絡(luò) MPLS 網(wǎng)絡(luò)的主要組 成包括邊緣標(biāo)記交換路由器（ LER）、標(biāo)記交換路由器（ LSR）和標(biāo)記分發(fā)協(xié)議（ LDP）。 標(biāo)記分發(fā)協(xié)議是基于網(wǎng)內(nèi)路由協(xié)議，在 MPLS 網(wǎng)絡(luò)的所有標(biāo)記交換設(shè)備之間定義標(biāo)記的協(xié)議。標(biāo)記是在普通的數(shù)據(jù)報(bào)文內(nèi)定義的一個(gè)字段，不同的物理網(wǎng)絡(luò)，標(biāo)記的表現(xiàn)形式不一樣。標(biāo)記的分發(fā)基于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而不是實(shí)際的數(shù)據(jù)報(bào)文；同時(shí)，標(biāo)記只在網(wǎng)絡(luò)的每一段鏈路上本地有效。在基本的 MPLS 網(wǎng)絡(luò)中，標(biāo)記一般表示路由的信息；但在高級(jí)的 MPLS 網(wǎng)絡(luò)中，不同的標(biāo)記還可以用來(lái)表示不同的服務(wù)等級(jí)、不同的 VPN 或不同轉(zhuǎn)發(fā)路徑。 非 MPLS 網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文并 不含標(biāo)記的信息，邊緣標(biāo)記交換路由器就是負(fù)責(zé)在 MPLS 網(wǎng)絡(luò)的邊緣對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記和去除標(biāo)記的工作。在數(shù)據(jù)包進(jìn)入 MPLS網(wǎng)絡(luò)的時(shí)候，邊緣標(biāo)記交換路由器根據(jù)網(wǎng)絡(luò)拓?fù)溥M(jìn)行數(shù)據(jù)包的處理，同時(shí)根據(jù)標(biāo)記分發(fā)協(xié)議所定義的標(biāo)記，給數(shù)據(jù)包加上標(biāo)記進(jìn)入 MPLS網(wǎng)絡(luò)。在數(shù)據(jù)包離開(kāi) MPLS網(wǎng)絡(luò)的時(shí)候，邊緣標(biāo)記交換路由器作相反的動(dòng)作，將數(shù)據(jù)包的標(biāo)記去除進(jìn)入非MPLS 網(wǎng)絡(luò)。 標(biāo)記交換路由器是根據(jù)標(biāo)記分發(fā)協(xié)議預(yù)先計(jì)算出的標(biāo)記交換表來(lái)轉(zhuǎn)發(fā)帶標(biāo)記的數(shù)據(jù)包的核心設(shè)備。標(biāo)記交換路由器只須支持標(biāo)記轉(zhuǎn)發(fā)，因此這種設(shè)備可以是一臺(tái)交換機(jī)，也可以是一臺(tái)路由 器。在 ATM 網(wǎng)絡(luò)中，標(biāo)記表現(xiàn)為 ATM 的參數(shù)VPI 和 VCI。如果一臺(tái) ATM 交換機(jī)支持標(biāo)記分發(fā)協(xié)議，并據(jù)此轉(zhuǎn)發(fā) ATM 包，它也可以作為 MPLS 網(wǎng)絡(luò)的標(biāo)記交換路由器。、 MPLS 網(wǎng)絡(luò)結(jié)合了二層交換和三層路由的技術(shù)，集中了交換網(wǎng)絡(luò)和 IP 網(wǎng)絡(luò)的優(yōu)勢(shì)，既可以實(shí)現(xiàn)交換網(wǎng)絡(luò)的私密性和業(yè)務(wù)等級(jí)，也可以達(dá)到 IP 網(wǎng)絡(luò)的靈活性和擴(kuò)展性。 二層透?jìng)?AToM AToM 建設(shè)在 MPLS 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，在兩個(gè)路由器的一對(duì)端口之間提供高速的二層透?jìng)?。這種技術(shù)可以用來(lái)提供二層 VPN，也可以用來(lái)實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)的升級(jí)。 AToM 主要組成部分包括： PE 路由器、標(biāo)記分發(fā)協(xié)議（ LDP）和 MPLS 標(biāo)記交換隧道（ LSP Tunnel）。 PE 路由器擁有并維護(hù)與其直接相連的二層透?jìng)鞯逆溌沸畔ⅰ?PE 路由器負(fù)責(zé)將 VPN 客戶(hù)的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE路由器必須是一個(gè)邊緣標(biāo)記交換路由器。 在兩個(gè) PE 路由器之間實(shí)現(xiàn)二層透?jìng)鞯膬蓚€(gè)端口必須是相同的類(lèi)型，例如以太網(wǎng)、 VLAN、 ATMVC、幀中繼 VC、 HDLC 或 PPP。每一對(duì)這樣的端口用一個(gè)唯一的虛擬鏈路標(biāo)志（ VCID）來(lái)表示。 在兩個(gè) PE 路由器之間要定義穿過(guò) MPLS 網(wǎng)絡(luò)的 LSP 隧道， LSP 隧 道提供了隧道標(biāo)記（ Tunnel Label），在兩個(gè) PE 路由器之間透?jìng)鲾?shù)據(jù)。同時(shí)在兩個(gè) PE 路由器之間還要定義直接的標(biāo)記分發(fā)協(xié)議進(jìn)程，用來(lái)傳遞虛擬鏈路的信息，其中最關(guān)鍵的是通過(guò)匹配 VCID 來(lái)分發(fā)虛擬鏈路標(biāo)記（ VC Label）。 當(dāng)二層透?jìng)鞯亩丝谟袛?shù)據(jù)包進(jìn)入 PE 路由器時(shí)， PE 路由器通過(guò)匹配 VCID 找到與之對(duì)應(yīng)的隧道標(biāo)記和虛擬鏈路標(biāo)記。 PE 路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記為隧道標(biāo)記，指示從該 PE 路由器到目的 PE 路由器的路徑；內(nèi)層標(biāo)記為虛擬鏈路標(biāo)記，指示在目的 PE 路由器上屬于哪個(gè) VCID 對(duì)應(yīng)的路由器端 口。 值得一提的是， PE 路由器要監(jiān)視各自端口上的二層協(xié)議狀態(tài)，如幀中繼的LMI 或 ATM 的 ILMI。當(dāng)出現(xiàn)故障時(shí)，通過(guò)標(biāo)記分發(fā)協(xié)議進(jìn)程來(lái)取消虛擬鏈路標(biāo)記，從而斷開(kāi)此二層透?jìng)?，避免產(chǎn)生單向無(wú)用數(shù)據(jù)流。 這種基于 MPLS 的二層透?jìng)鞣绞?，改變了傳統(tǒng)的二層鏈路必須通過(guò)交換網(wǎng)絡(luò)實(shí)現(xiàn)的限制，它從根本上形成了“一個(gè)網(wǎng)多種業(yè)務(wù)”的業(yè)務(wù)模式，讓運(yùn)營(yíng)商可以在一個(gè) MPLS 網(wǎng)絡(luò)中同時(shí)提供二層業(yè)務(wù)和三層業(yè)務(wù)。 ? 基于二層透?jìng)骷夹g(shù)的是二層 VPN?，F(xiàn)在，二層 VPN 的各項(xiàng)標(biāo)準(zhǔn)正處于 IETF起草階段，主要包括針對(duì)點(diǎn)到點(diǎn)服務(wù)的虛擬私用線(xiàn)路服務(wù) （ VPWS）和針對(duì)多點(diǎn)服務(wù)的虛擬私用局域網(wǎng)服務(wù)（ VPLS）。這兩種二層 VPN 都采用以 AToM 為基礎(chǔ)的數(shù)據(jù)層面，在控制層面上增加自動(dòng)發(fā)現(xiàn)和自動(dòng)配置等多種功能。 三層 VPNMPLS VPN 三層 VPN 是專(zhuān)門(mén)為 VPN 所設(shè)計(jì)的，建設(shè)在 MPLS 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，即感知 VPN 的網(wǎng)絡(luò)。三層 VPN 網(wǎng)絡(luò)的主要組成部分包括： PE 路由器、 P 路由器和網(wǎng)關(guān)路由協(xié)議（ BGP）。 PE路由器擁有并維護(hù)與其直接相連的 VPN的路由信息。 PE路由器負(fù)責(zé)將 VPN客戶(hù)的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE 路由器必須是一個(gè)邊緣標(biāo)記 交換路由器。 在 PE 路由器上，為每一個(gè) VPN 設(shè)定了一個(gè)虛擬路由轉(zhuǎn)發(fā)表（ VRF），只處理該 VPN 的路由信息。 PE 路由器只通過(guò)該虛擬路由轉(zhuǎn)發(fā)表與 VPN 用戶(hù)交換路由信息（可以采用任何一種動(dòng)態(tài)路由協(xié)議）。同時(shí) PE 路由器上還有一個(gè)全局路由表，維持 MPLS 骨干網(wǎng)所需的路由信息。各個(gè)路由轉(zhuǎn)發(fā)表之間相互隔離，每一個(gè)端口（包括物理的和邏輯的）都只能屬于一個(gè)路由轉(zhuǎn)發(fā)表，保證各 VPN 用戶(hù)之間的私密性。 ? 每個(gè)虛擬路由轉(zhuǎn)發(fā)表采用一個(gè)路由區(qū)分符（ RD）來(lái)區(qū)分彼此的路由， 64 位的 RD 加上 32 位的普通 IP 地址組成 96 位全網(wǎng)唯一的 VPN－ IPv4 地址。通過(guò)這種方式，三層 VPN 可以允許不同的 VPN 內(nèi)部采用相同的地址而互不影響。 PE 路由器之間通過(guò) RFC2283 定義的多協(xié)議擴(kuò)展的網(wǎng)關(guān)路由協(xié)議（ MP－ BGP）來(lái)傳遞 VPN－ IPv4 地址，同時(shí)參與傳遞的還有與該地址對(duì)應(yīng)的擴(kuò)展 BGP 屬性和VPN 標(biāo)記。其中一項(xiàng)擴(kuò)展 BGP 屬性是路由目的（ RT），用來(lái)控制路由信息到虛擬路由轉(zhuǎn)發(fā)表之間的引入和引出關(guān)系。 當(dāng) VPN 用戶(hù)的數(shù)據(jù)包通過(guò)任一端口進(jìn)入 PE路由器時(shí)， PE 路由器只調(diào)用與此端口對(duì)應(yīng)的虛擬路由轉(zhuǎn)發(fā)表來(lái)處理此數(shù)據(jù)包。PE 路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記 為 IGP 標(biāo)記，指示從該 PE路由器到目的 PE 路由器的路徑；內(nèi)層標(biāo)記為 VPN 標(biāo)記，指示在目的 PE 路由器上屬于哪個(gè) VPN 的信息。 P 路由器是 MPLS 網(wǎng)絡(luò)的標(biāo)記交換路由器，完全依據(jù)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。由于 P路由器完全不須要讀取原始的數(shù)據(jù)包信息來(lái)作出轉(zhuǎn)發(fā)決定， P 路由器不須要擁有VPN 的路由信息，因此 P 路由器只參與骨干 IGP 的路由。 這種三層 VPN 的實(shí)現(xiàn)方式從根本上改變了傳統(tǒng)的基于點(diǎn)到點(diǎn)的 VPN 實(shí)現(xiàn)方式，它利用了 MPLS 網(wǎng)絡(luò)中標(biāo)記的靈活性和多樣性，將每一個(gè) VPN 作為一個(gè)邏輯網(wǎng)絡(luò)，依附在 MPLS 骨干網(wǎng)之上，各個(gè)用戶(hù)節(jié)點(diǎn)只須簡(jiǎn)單 加入或退出，就可以組建特定的 VPN 網(wǎng)絡(luò)。 MPLS VPN 工作流程 采用 MPLS 協(xié)議的 VPN 結(jié)構(gòu)見(jiàn)圖 。 其工作流程有以下 4 個(gè)步驟： （ 1）用戶(hù)端的路由器（ CE）首先通過(guò)靜態(tài)路由和 BGP 將用戶(hù)網(wǎng)絡(luò)中的路由信息通知提供商路由器（ PE），同時(shí)在 PE 之間采用 BGP 的 Extension 傳送 VPNIP的信息以及相應(yīng)的標(biāo)記（以下簡(jiǎn)稱(chēng)為內(nèi)層標(biāo)記），而在 PE 與 P 路由器之間則采用傳統(tǒng)的 IGP 協(xié)議相互學(xué)習(xí)路由信息，采用 LDP 協(xié)議進(jìn)行路由信息與標(biāo)記（骨干網(wǎng)絡(luò)中的標(biāo)記，以下簡(jiǎn)稱(chēng)為外層標(biāo)記）的綁定。此時(shí)， CE,PE 以及 P 路由器基本的網(wǎng)絡(luò)拓?fù)浜吐酚尚畔⒁呀?jīng)形成。 PE 路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個(gè) VPN 的路由信息。 （ 2）當(dāng)屬于某個(gè) VPN 的 CE 用戶(hù)數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在 CE 與 PE 連接的接口上可以識(shí)別出該 CE 屬于哪個(gè) VPN，進(jìn)而到該 VPN 的路由表中去讀取下一跳的地址信息，同時(shí)在前傳的數(shù)據(jù)包上打上 VPN 標(biāo)記（內(nèi)層標(biāo)記）。這是得到的下一跳地址為該 PE 作為 Peer 的 PE地址，為了達(dá)到這個(gè)目的端的地址，同時(shí)采用 LDP 在用戶(hù)前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記（外層標(biāo)記）。 （ 3）在骨干網(wǎng)絡(luò)中，初始 PE 之后的只讀取外層標(biāo)記的信息來(lái)決定 下一跳，因此骨干網(wǎng)絡(luò)中只是簡(jiǎn)單的標(biāo)記交換。 （ 4）在達(dá)到目的端 PE 之前的最后一個(gè) P 路由器時(shí)，將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找到 VPN，并送到相關(guān)接口上，進(jìn)而將數(shù)據(jù)傳送到 VPN 的目的地址處。從以上過(guò)程可見(jiàn)， MPLS VPN 絲毫不改變 CE 和 PE 原來(lái)的配置，一旦有新的 CE 加入網(wǎng)絡(luò)時(shí)，只需在 PE 上作簡(jiǎn)單配置，其余的改動(dòng)信息由 IGP/BGP 自動(dòng)通知 CE和 PE 進(jìn)行更新。 第 5 章 MPLS VPN 的應(yīng)用 隨著 Inter 的普及和發(fā)展，基于 MPLS 的虛擬專(zhuān)用網(wǎng)技術(shù)引起了人們的廣泛關(guān)注，它勢(shì)必成為未來(lái)網(wǎng)絡(luò)安全研究和 Inter 應(yīng)用的一個(gè)重要方向。 MPLS VPN 能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強(qiáng)大的傳輸能力，