【文章內(nèi)容簡介】 空間重疊的問題，必須修改 BGP 協(xié)議。 BGP 最大的優(yōu)點是擴展性好，可以在原來的基礎(chǔ)上再定義新的屬性，通過對 BGP 修改，把 BGP4 擴展成 MPBGP。在 MPIBGP 鄰 居間傳遞 VPN用戶路由時打上 RD 標記，這樣 VPN用戶傳來的 IPv4路由轉(zhuǎn)變?yōu)?VPNv4路由，這樣保證 VPN 用戶的路由到了對端的 PE 上，能夠使對端 PE 區(qū)分開地址空間重疊但不同的 VPN 用戶路由。例子如下圖 所示： 在 PE PE PE3上分別配置 VRF參數(shù)，其中 VPN1用戶的 RD 6500:1， RT 100:1，VPN2 用戶的 RD 6500: RT 100:2。所有 VRF 可以同時導(dǎo)入和導(dǎo)出所定義的 RT。 以 PE2 為例， PE2 從接口 S0 上獲得由 CE4 傳來的 .0/8 的路由， PE2 把該路由放置到和 S0 有關(guān)的 VRF 所管轄的 IP 路由表中，并且分配該路由的本地標簽，注意該標簽是本地唯一的。通過路由重新發(fā)布把 VRF 所管轄的 IP 路由表中的路由重新發(fā)布到 BGP 表中，此時通過參考 VRF 表的 RD、 RT 參數(shù)，把正常的 IPv4 路由變成 VPNv4 路由， .0/8 變成 6500:1:.0/8，同時把導(dǎo)出 Export RT值和該路由的本地標簽值等等的屬性全部加到該路由條目中去。通過 MPIBGP會話， PE2 把這條 VPNv4 路由發(fā)送到 PE1 處， PE1 收到了兩條 .0/8 的路由，其中一條是由 PE3 發(fā)來的，由于 RD 的不同，導(dǎo)致該兩條路由沒有可比 性。 MPBGP 接受到該兩條路由后的后繼工作是：去掉 VPN4 路由所帶的 RD 值，使之恢復(fù) IPv4路由原貌，并且根據(jù)各 VRF 配置的允許導(dǎo)入 Import 的 RT 值，把 IPv4 倒到各個VRF 管轄的路由表和 CEF 表中，也就是說帶有 RT 100:.0/8 的路由倒到 VRF1 所管的路由表和 CEF 表中，帶有 RT 100:.0/8 的路由倒到 VRF2 所管轄的路由表和CEF 表中。再通過 CE 和 PE 之間的路由協(xié)議， PE 把不同的 VRF 管轄的路由表內(nèi)容通告的各自的相聯(lián)的 CE中去。目前 PE和 CE之間可支持的路由協(xié)議只有四種 BGP、OSPF、 RIP2 或者靜態(tài)路由。 MPLS/VPN 中標簽分組的轉(zhuǎn)發(fā) 通過 MPBGP 協(xié)議各個 VPN 用戶路由器學(xué)習(xí)到正確的路由，現(xiàn)在看看圖 中如何轉(zhuǎn)發(fā)用戶數(shù)據(jù)的。 （ 1） CE1 接收到 .0 的 IP 數(shù)據(jù)包，查詢路由表，把該 IP 數(shù)據(jù)包發(fā)送到 PE1。 （ 2） PE1 從 S1 口上收到 IP 數(shù)據(jù)包后，根據(jù) S1 所在的 VRF，查詢對應(yīng)的 CEF表，數(shù)據(jù)包打上標簽 8，注意該標簽就是通過 MPBGP 協(xié)議傳來的。 PE1 繼續(xù)查詢?nèi)?CEF 表，獲知要把數(shù)據(jù) .0，必須先發(fā)送到 PE2，而要發(fā)送到 PE2，則必須打上由 P1 告知的標簽 2。所以該 IP 包被打上了兩個標簽。 （ 3） P1 接收到標簽包后，分析頂層的標簽，把頂層標簽換成 4，繼續(xù)發(fā)送的 P2。 （ 4） P2 和 P1 一樣做同樣的操作，由于次末中繼彈出機制， P2 去掉標簽 4，直接把只帶有一個標簽的標簽包發(fā)送的 PE2。 （ 5） PE2 收到標簽包后，分析標簽頭，由于該標簽 8 是它本地產(chǎn)生的，而且是本地唯一的，所以 PE2 很容易查出帶有標簽 8 的標簽包應(yīng)該去掉標簽，恢復(fù)IP 包原貌，從 S1 端口發(fā)出。 （ 6） CE2 獲得 IP 數(shù)據(jù)包后，進行路由查找，把數(shù)據(jù)發(fā) .0/8 網(wǎng)段上。 多協(xié)議標記交換 MPLS 網(wǎng)絡(luò) MPLS 網(wǎng)絡(luò)的主要組 成包括邊緣標記交換路由器（ LER）、標記交換路由器（ LSR）和標記分發(fā)協(xié)議（ LDP）。 標記分發(fā)協(xié)議是基于網(wǎng)內(nèi)路由協(xié)議，在 MPLS 網(wǎng)絡(luò)的所有標記交換設(shè)備之間定義標記的協(xié)議。標記是在普通的數(shù)據(jù)報文內(nèi)定義的一個字段，不同的物理網(wǎng)絡(luò)，標記的表現(xiàn)形式不一樣。標記的分發(fā)基于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)而不是實際的數(shù)據(jù)報文；同時，標記只在網(wǎng)絡(luò)的每一段鏈路上本地有效。在基本的 MPLS 網(wǎng)絡(luò)中，標記一般表示路由的信息；但在高級的 MPLS 網(wǎng)絡(luò)中，不同的標記還可以用來表示不同的服務(wù)等級、不同的 VPN 或不同轉(zhuǎn)發(fā)路徑。 非 MPLS 網(wǎng)絡(luò)的數(shù)據(jù)報文并 不含標記的信息，邊緣標記交換路由器就是負責(zé)在 MPLS 網(wǎng)絡(luò)的邊緣對數(shù)據(jù)包進行標記和去除標記的工作。在數(shù)據(jù)包進入 MPLS網(wǎng)絡(luò)的時候，邊緣標記交換路由器根據(jù)網(wǎng)絡(luò)拓撲進行數(shù)據(jù)包的處理，同時根據(jù)標記分發(fā)協(xié)議所定義的標記，給數(shù)據(jù)包加上標記進入 MPLS網(wǎng)絡(luò)。在數(shù)據(jù)包離開 MPLS網(wǎng)絡(luò)的時候，邊緣標記交換路由器作相反的動作，將數(shù)據(jù)包的標記去除進入非MPLS 網(wǎng)絡(luò)。 標記交換路由器是根據(jù)標記分發(fā)協(xié)議預(yù)先計算出的標記交換表來轉(zhuǎn)發(fā)帶標記的數(shù)據(jù)包的核心設(shè)備。標記交換路由器只須支持標記轉(zhuǎn)發(fā)，因此這種設(shè)備可以是一臺交換機，也可以是一臺路由 器。在 ATM 網(wǎng)絡(luò)中，標記表現(xiàn)為 ATM 的參數(shù)VPI 和 VCI。如果一臺 ATM 交換機支持標記分發(fā)協(xié)議，并據(jù)此轉(zhuǎn)發(fā) ATM 包，它也可以作為 MPLS 網(wǎng)絡(luò)的標記交換路由器。、 MPLS 網(wǎng)絡(luò)結(jié)合了二層交換和三層路由的技術(shù)，集中了交換網(wǎng)絡(luò)和 IP 網(wǎng)絡(luò)的優(yōu)勢，既可以實現(xiàn)交換網(wǎng)絡(luò)的私密性和業(yè)務(wù)等級，也可以達到 IP 網(wǎng)絡(luò)的靈活性和擴展性。 二層透傳 AToM AToM 建設(shè)在 MPLS 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，在兩個路由器的一對端口之間提供高速的二層透傳。這種技術(shù)可以用來提供二層 VPN，也可以用來實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)的升級。 AToM 主要組成部分包括： PE 路由器、標記分發(fā)協(xié)議（ LDP）和 MPLS 標記交換隧道（ LSP Tunnel）。 PE 路由器擁有并維護與其直接相連的二層透傳的鏈路信息。 PE 路由器負責(zé)將 VPN 客戶的普通數(shù)據(jù)包打上標記和去除標記，因此 PE路由器必須是一個邊緣標記交換路由器。 在兩個 PE 路由器之間實現(xiàn)二層透傳的兩個端口必須是相同的類型，例如以太網(wǎng)、 VLAN、 ATMVC、幀中繼 VC、 HDLC 或 PPP。每一對這樣的端口用一個唯一的虛擬鏈路標志（ VCID）來表示。 在兩個 PE 路由器之間要定義穿過 MPLS 網(wǎng)絡(luò)的 LSP 隧道， LSP 隧 道提供了隧道標記（ Tunnel Label），在兩個 PE 路由器之間透傳數(shù)據(jù)。同時在兩個 PE 路由器之間還要定義直接的標記分發(fā)協(xié)議進程，用來傳遞虛擬鏈路的信息，其中最關(guān)鍵的是通過匹配 VCID 來分發(fā)虛擬鏈路標記（ VC Label）。 當二層透傳的端口有數(shù)據(jù)包進入 PE 路由器時， PE 路由器通過匹配 VCID 找到與之對應(yīng)的隧道標記和虛擬鏈路標記。 PE 路由器會將此數(shù)據(jù)包打上兩層標記，其中外層標記為隧道標記，指示從該 PE 路由器到目的 PE 路由器的路徑；內(nèi)層標記為虛擬鏈路標記，指示在目的 PE 路由器上屬于哪個 VCID 對應(yīng)的路由器端 口。 值得一提的是， PE 路由器要監(jiān)視各自端口上的二層協(xié)議狀態(tài)，如幀中繼的LMI 或 ATM 的 ILMI。當出現(xiàn)故障時，通過標記分發(fā)協(xié)議進程來取消虛擬鏈路標記，從而斷開此二層透傳，避免產(chǎn)生單向無用數(shù)據(jù)流。 這種基于 MPLS 的二層透傳方式，改變了傳統(tǒng)的二層鏈路必須通過交換網(wǎng)絡(luò)實現(xiàn)的限制，它從根本上形成了“一個網(wǎng)多種業(yè)務(wù)”的業(yè)務(wù)模式，讓運營商可以在一個 MPLS 網(wǎng)絡(luò)中同時提供二層業(yè)務(wù)和三層業(yè)務(wù)。 ? 基于二層透傳技術(shù)的是二層 VPN?，F(xiàn)在，二層 VPN 的各項標準正處于 IETF起草階段，主要包括針對點到點服務(wù)的虛擬私用線路服務(wù) （ VPWS）和針對多點服務(wù)的虛擬私用局域網(wǎng)服務(wù)（ VPLS）。這兩種二層 VPN 都采用以 AToM 為基礎(chǔ)的數(shù)據(jù)層面，在控制層面上增加自動發(fā)現(xiàn)和自動配置等多種功能。 三層 VPNMPLS VPN 三層 VPN 是專門為 VPN 所設(shè)計的，建設(shè)在 MPLS 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，即感知 VPN 的網(wǎng)絡(luò)。三層 VPN 網(wǎng)絡(luò)的主要組成部分包括： PE 路由器、 P 路由器和網(wǎng)關(guān)路由協(xié)議（ BGP）。 PE路由器擁有并維護與其直接相連的 VPN的路由信息。 PE路由器負責(zé)將 VPN客戶的普通數(shù)據(jù)包打上標記和去除標記，因此 PE 路由器必須是一個邊緣標記 交換路由器。 在 PE 路由器上，為每一個 VPN 設(shè)定了一個虛擬路由轉(zhuǎn)發(fā)表（ VRF），只處理該 VPN 的路由信息。 PE 路由器只通過該虛擬路由轉(zhuǎn)發(fā)表與 VPN 用戶交換路由信息（可以采用任何一種動態(tài)路由協(xié)議）。同時 PE 路由器上還有一個全局路由表，維持 MPLS 骨干網(wǎng)所需的路由信息。各個路由轉(zhuǎn)發(fā)表之間相互隔離，每一個端口（包括物理的和邏輯的）都只能屬于一個路由轉(zhuǎn)發(fā)表，保證各 VPN 用戶之間的私密性。 ? 每個虛擬路由轉(zhuǎn)發(fā)表采用一個路由區(qū)分符（ RD）來區(qū)分彼此的路由， 64 位的 RD 加上 32 位的普通 IP 地址組成 96 位全網(wǎng)唯一的 VPN－ IPv4 地址。通過這種方式，三層 VPN 可以允許不同的 VPN 內(nèi)部采用相同的地址而互不影響。 PE 路由器之間通過 RFC2283 定義的多協(xié)議擴展的網(wǎng)關(guān)路由協(xié)議（ MP－ BGP）來傳遞 VPN－ IPv4 地址，同時參與傳遞的還有與該地址對應(yīng)的擴展 BGP 屬性和VPN 標記。其中一項擴展 BGP 屬性是路由目的（ RT），用來控制路由信息到虛擬路由轉(zhuǎn)發(fā)表之間的引入和引出關(guān)系。 當 VPN 用戶的數(shù)據(jù)包通過任一端口進入 PE路由器時， PE 路由器只調(diào)用與此端口對應(yīng)的虛擬路由轉(zhuǎn)發(fā)表來處理此數(shù)據(jù)包。PE 路由器會將此數(shù)據(jù)包打上兩層標記，其中外層標記 為 IGP 標記，指示從該 PE路由器到目的 PE 路由器的路徑；內(nèi)層標記為 VPN 標記，指示在目的 PE 路由器上屬于哪個 VPN 的信息。 P 路由器是 MPLS 網(wǎng)絡(luò)的標記交換路由器，完全依據(jù)標記進行轉(zhuǎn)發(fā)。由于 P路由器完全不須要讀取原始的數(shù)據(jù)包信息來作出轉(zhuǎn)發(fā)決定， P 路由器不須要擁有VPN 的路由信息，因此 P 路由器只參與骨干 IGP 的路由。 這種三層 VPN 的實現(xiàn)方式從根本上改變了傳統(tǒng)的基于點到點的 VPN 實現(xiàn)方式，它利用了 MPLS 網(wǎng)絡(luò)中標記的靈活性和多樣性，將每一個 VPN 作為一個邏輯網(wǎng)絡(luò)，依附在 MPLS 骨干網(wǎng)之上，各個用戶節(jié)點只須簡單 加入或退出，就可以組建特定的 VPN 網(wǎng)絡(luò)。 MPLS VPN 工作流程 采用 MPLS 協(xié)議的 VPN 結(jié)構(gòu)見圖 。 其工作流程有以下 4 個步驟： （ 1）用戶端的路由器（ CE）首先通過靜態(tài)路由和 BGP 將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器（ PE），同時在 PE 之間采用 BGP 的 Extension 傳送 VPNIP的信息以及相應(yīng)的標記（以下簡稱為內(nèi)層標記），而在 PE 與 P 路由器之間則采用傳統(tǒng)的 IGP 協(xié)議相互學(xué)習(xí)路由信息，采用 LDP 協(xié)議進行路由信息與標記（骨干網(wǎng)絡(luò)中的標記，以下簡稱為外層標記）的綁定。此時， CE,PE 以及 P 路由器基本的網(wǎng)絡(luò)拓撲和路由信息已經(jīng)形成。 PE 路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個 VPN 的路由信息。 （ 2）當屬于某個 VPN 的 CE 用戶數(shù)據(jù)進入網(wǎng)絡(luò)時，在 CE 與 PE 連接的接口上可以識別出該 CE 屬于哪個 VPN，進而到該 VPN 的路由表中去讀取下一跳的地址信息，同時在前傳的數(shù)據(jù)包上打上 VPN 標記（內(nèi)層標記）。這是得到的下一跳地址為該 PE 作為 Peer 的 PE地址，為了達到這個目的端的地址，同時采用 LDP 在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標記（外層標記）。 （ 3）在骨干網(wǎng)絡(luò)中，初始 PE 之后的只讀取外層標記的信息來決定 下一跳，因此骨干網(wǎng)絡(luò)中只是簡單的標記交換。 （ 4）在達到目的端 PE 之前的最后一個 P 路由器時，將外層標記去掉，讀取內(nèi)層標記，找到 VPN，并送到相關(guān)接口上，進而將數(shù)據(jù)傳送到 VPN 的目的地址處。從以上過程可見， MPLS VPN 絲毫不改變 CE 和 PE 原來的配置，一旦有新的 CE 加入網(wǎng)絡(luò)時，只需在 PE 上作簡單配置，其余的改動信息由 IGP/BGP 自動通知 CE和 PE 進行更新。 第 5 章 MPLS VPN 的應(yīng)用 隨著 Inter 的普及和發(fā)展，基于 MPLS 的虛擬專用網(wǎng)技術(shù)引起了人們的廣泛關(guān)注，它勢必成為未來網(wǎng)絡(luò)安全研究和 Inter 應(yīng)用的一個重要方向。 MPLS VPN 能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強大的傳輸能力，