【正文】 20 4 20 5 6 最后一跳路由器收到數(shù)據(jù)包后，并不需要進行標簽轉(zhuǎn)發(fā)，所做的只是去掉標簽，然后送交 IP層。 最好在倒數(shù)第二跳路由器就去掉標簽，直接把 IP報文發(fā)送給最后一跳路由器。 問題：路由器怎么知道自己是倒數(shù)第二跳？ MPLS的優(yōu)化 2 R1 R2 R3 R4 1 30 2 30 3 4 5 最后一跳路由器向倒數(shù)第二跳分配一個特殊的標簽 3。 路由器查看標簽轉(zhuǎn)發(fā)表，如果發(fā)現(xiàn) out標簽是 3，就認為自己是倒數(shù)第二跳路由器。 標簽分配方式 （優(yōu)化前） 標簽分配方式 （優(yōu)化后） 轉(zhuǎn)發(fā)方式 (優(yōu)化前 ) 轉(zhuǎn)發(fā)方式 (優(yōu)化后 ) 倒數(shù)第一跳 隨機分配 分配特定的標簽 3 標簽彈出， IP路由轉(zhuǎn)發(fā) IP路由轉(zhuǎn)發(fā) 倒數(shù)第二跳 隨機分配 隨機分配 標簽交換 標簽彈出 地址沖突 BGP 地址沖突的細分 CE CE CE CE PE PE P P 本地路由沖突問題，即在同一臺 PE上 如何區(qū)分不同VPN的相同路由 。 （ PE發(fā)時） 路由在網(wǎng)絡(luò)中的傳播問題，即在 PE上接收到 來自不同VPN的兩條相同路由 時，如何進行辨別（ PE收時） 數(shù)據(jù)包的轉(zhuǎn)發(fā)問題，即使成功解決了路由表的沖突，但在 PE接收到一個 IP數(shù)據(jù)包時，怎么知道該發(fā)給那個VPN？因為 IP數(shù)據(jù)包頭中唯一可用的信息就是目的地址，而很多 VPN中都可能存在這個地址。 VPN_A VPN_A VPN_B VPN_B 解決本地路由沖突的思路 CE CE PE ? 在 PE上同時維護多張相互獨立路由表 一張全局路由表（公網(wǎng)路由表） 為每個 VPN建立一個路由表 ? 由于每個 VPN使用自己獨立的路由表，因此可以有效地解決本地路由沖突。 VPN_A VPN_B Global Routing Table VRF for VPNA VRF for VPNB VPN Routing Table IGP amp。/or BGP VRF ? VRF(VPN Routing amp。 Forwarding Instance，VPN路由轉(zhuǎn)發(fā)實例 ) 可以看作 虛擬的路由器 ，該虛擬路由器包括以下元素： 一張獨立的路由表，從而包括了獨立的地址空間； 一組歸屬于這個 VRF的路由器接口的集合； 一組只用于本 VRF的路由協(xié)議 。 問題： VRF實現(xiàn)了不同 VPN之間路由的隔離 ，這并不夠，如何實現(xiàn) VRF之間的路由發(fā)布和交互呢？ RT（ Route target） PE2 PE1 Vrf1： export red import red Vrf2： export yellow import yellow Vrf3： export red import red Vrf4： export yellow import yellow VPNA VPNB ? RT的本質(zhì)是每個 VRF表達自己的路由取舍及喜好的方式 ，分為兩部分： export target，表示發(fā)出路由的屬性 import target，表示愿意接收什么路由 RT的靈活應(yīng)用 ? 每個 VRF中都可以配置多個 export target和import target屬性，接收時采用“ 或 ”操作，從而實現(xiàn)靈活的 VPN訪問控制 bai m : ae x : bi m : be x : ai m : ae x : aaim : ae x : acbi m : a , ce x : a , bi m : be x : ca傳統(tǒng)模式傳統(tǒng)模式h u b s p o k e 模式e x t r a n e t 模式? 總結(jié)： ? VRF作用： 問題：如何在 PE之間傳遞各 VRF中的路由以及相應(yīng)的 RT？ BGP的引入 解決辦法：使用 BGP路由協(xié)議 BGP簡介 AS100 AS200 AS300 BGP是外部路由協(xié)議，用在自治系統(tǒng) AS之間傳遞路由信息，屬于增強型的距離矢量路由協(xié)議。 BGP鄰居分為兩類： IBGP（同一個 AS內(nèi)的鄰居）和 EBGP（不同 AS間的鄰居） BGP鄰居之間通過 TCP協(xié)議相連，因此 可以在不直接相連的路由器間交換路由信息 用 BGP傳遞 VPN路由的好處 CE CE CE CE PE PE P P VPN路由信息可以直接在 PE之間傳遞，所以 P路由器中不會包含任何 VPN路由信息。 VPN_A VPN_A VPN_B VPN_B BGP連接 BGP報文的種類 ? Open: 用于建立 BGP鄰居關(guān)系，是 BGP路由器之間的初始握手信息 ? Keepalive: 定期檢測 BGP鄰居是否存活 ? Update: 發(fā)送路由更新信息 ? Notification: 檢測到差錯時發(fā)送該報文 Update報文的格式 不可達路由長度 (2byte) 不可達路由 withdrawn routes(變長 ) 路由屬性長度 (2byte) 路由屬性 (變長 ) 可達路由信息 NLRI (變長 ) 不可達路由中不攜帶路由屬性，可達路由同時攜帶路由屬性 一個 update報文中可以攜帶多條不可達路由信息，可攜帶多條具有相同路由屬性的可達路由信息 常見的路由屬性 ? Origin ? Aspath ? Nexthop ? Community: 團體屬性，可用來對入路由和出路由進行過濾。 Community:20:101 Community:20:102 只接收 Community為20:102的路由 R1 R2 R3 RT的表示 ? 可以用擴展的 munity來表示 RT， type字段為 0x0002或者 0x0102時是 RT。 Type（ 0x0002） AS（ 16bit） Value（ 32bit） Type（ 0x0102） IP address（ 32bit） Value（ 16bit） ? 可見 RT有兩種表示方法： AS:nn和ipaddress:nn。通常建議使用 AS:nn表示法 路由傳播的沖突問題 CE CE CE CE PE PE RT屬于 BGP的路由屬性 ，而在 BGP的不可達路由信息中不包含路由屬性。所以在收到 來自不同 vpn、具有相同網(wǎng)段的不可達路由信息時 ，路由器將無法根據(jù) RT來分辨。 VPN_A VPN_A VPN_B VPN_B 問題： RT能否解決路由傳播的沖突問題？ RD (Route Distinguisher) ? 每個 VRF中分別配置一個標識，稱為 RD。在 PE發(fā)布 VRF中的路由信息時，會在地址前面加上 RD，以便接收方 PE區(qū)分來自不同 VRF的路由信息。 ? RD的長度為 8個字節(jié)，格式與 RT相似。 ? 在 IPv4地址前加上 RD之后，就稱為 VPNIPv4地址族 。 RD的本質(zhì) ? 通常建議為一個 VPN中的 VRF都配置相同的RD，不同的 VPN配置不同的 RD。事實上分配RD只需遵循以下原則 : 保證存在 相同地址的兩個 VRF的 RD不同 。 ? RD并不會影響不同 VRF之間的路由選擇以及VPN的形成，這些事情由 RT完成。 ? PE與 CE之間傳遞的是 IPv4路由 ， PE與 PE之間傳遞的是 VPNIPv4路由 。 數(shù)據(jù)包轉(zhuǎn)發(fā)的沖突問題 ? 解決本地路由和路由傳播的沖突問題后，如果一個 PE的兩個 VRF中同時存在 ，當接收到一個目的地址為 ， PE如何知道該把這個數(shù)據(jù)包發(fā)給與哪個 VRF相連的 CE？ ? 既然路由發(fā)布時已經(jīng)攜帶了 RD，能否在發(fā)送數(shù)據(jù)包時也在地址前面加上 RD呢？ ? 理論上可以，但是 RD太長，會導(dǎo)致轉(zhuǎn)發(fā)效率的降低，所以只需要一個短小、定長的標記即可。由于公網(wǎng)的隧道已經(jīng)由 MPLS來提供，而且 MPLS支持多層標簽的嵌套，因此這個標記可定義成 MPLS標簽的格式。 對 BGP的要求 ? 要求支持 VPNIPv4路由，而原有的 BGP只支持 IPv4路由。 ? 要求路由信息中包含私網(wǎng) MPLS標簽。 BGP的多協(xié)議擴展 MPBGP ? BGP增加了兩個擴展屬性 MP_REACH_NLRI和 MP_UNREACH_NLRI。 使用了這兩種屬性的 BGP稱為 MPBGP Addressfamily:指明使用了 VPNIPV4地址族 Nexthop:路由的下一跳地址 Label:24bit，與 MPLS標簽一樣，但沒有 TTL字段 Prefix:64bit的 RD＋ IP前綴 MP_REACH_NLRI的結(jié)構(gòu) BGP/MPLS VPN的關(guān)鍵流程 CE與 PE之間交換路由 CE CE PE ? PE 維護獨立的路由表，包括公網(wǎng)和 VRF路由表： 公網(wǎng)路由表：包含 全部 PE和 P 路由器之間的路由 ，由骨干網(wǎng)IGP產(chǎn)生 VRF路由表：包含 本 VPN內(nèi)的路由信息 。 PE 和 CE 通過標準的 EBGP、 OSPF、 RIP或者靜態(tài)路由交換 VRF路由信息 VPN_A VPN_B PE 私網(wǎng)路由 公網(wǎng)路由 VRF路由注入 MPiBGP ? CE向 PE發(fā)送的是標準 IPv4路由， PE接收到路由后會進行以下操作： 加上 RD（ RD為手工配置 ），變?yōu)橐粭l VPNIPv4路由 更改下一跳屬性為本 PE的 Loopback地址 加上私網(wǎng)標簽（隨機自動生成，無需配置） 加上 RT屬性（ RT需手工配置 ） 發(fā)給所有的 PE鄰居 MPiBGP BGP, OSPF, RIPv2 update for ,NH=CE1 VPNv4 update: RD:1:27:, Nexthop=PE1 RT=VPNA, Label=(28) CE1 CE2 PE1 PE2 MPiBGP 路由注入 VRF ? PE接收到 MPiBGP路由后，首先剝離 RD成為IPv4路由，然后根據(jù)本地 VRF的 import RT屬性把路由加入到相應(yīng)的 VRF中，私網(wǎng)標簽保留，留做轉(zhuǎn)發(fā)時使用。 ? 通過本 VRF的路由協(xié)議引入上述路由并轉(zhuǎn)發(fā)給相應(yīng)的 CE。 MPiBGP BGP, OSPF, RIPv2 update for ,NH=CE1 VPNv4 update: RD:1:27:, Nexthop=PE1 RT=VPNA, Label=(28) CE1 CE2 PE1 PE2 BGP, OSPF, RIPv2 update for ,NH=PE2 分配 PE之間的公網(wǎng)標簽 ? PE和 P路由器通過骨干網(wǎng) IGP學(xué)習(xí)到 BGP鄰居下一跳的地址 ? 通過運行 LDP協(xié)議，分配標簽，建立標簽轉(zhuǎn)發(fā)通道 ? 標簽棧用于報文轉(zhuǎn)發(fā)， 外層標簽用來指示如何到達 BGP下一跳 ，內(nèi)層標簽表示報文屬于哪個 VRF ? MPLS 節(jié)點轉(zhuǎn)發(fā)是基于外層標簽，而不管內(nèi)層標簽是多少 P router In Label FEC Out Label In Label FEC Out Label 41 In Label FEC Out Label Use label 3 for destination Use label 41 for destination VPNv4 update: RD:1:27:, NH= RT=VPNA, Label=(28) PE1 CE1 CE2 數(shù)據(jù)包轉(zhuǎn)發(fā)－從 CE到入口 PE ? CE將報文發(fā)給與其相連的 VRF接口。 PE在本 VRF的路由表中進行查找，得到該路由的公網(wǎng)下一跳地址（即對端 PE的 Loopback地址）和私網(wǎng)標簽。 ? 將該報文 封裝一層私網(wǎng)標簽 后，在公網(wǎng)的標簽轉(zhuǎn)發(fā)表中查找下一跳地址，再 封裝一層公網(wǎng)標簽 ，然后交給MPLS轉(zhuǎn)發(fā)。 P router In Label FEC Out Label PE1 CE1 CE2 VPNA VRF , NH= Label=(28) 28 41 入口 PE出口 PE CE ? 該報文在公網(wǎng)上沿著 LSP轉(zhuǎn)發(fā)，并根據(jù)途徑的每一臺設(shè)備的標簽轉(zhuǎn)發(fā)表進行標簽交換。 ? 在倒數(shù)第二跳處，將外層的