BGP/MPLS VPN的實現技術(1)

2019-11-05 01:08:05

字體：大中小

來源：轉載

供稿：網友

一、VPN技術概述

VPN（Virtual PRivate Network）是基于公網，利用隧道、加密等技術，為用戶提供的虛擬專用網絡，它給用戶一種直接連接到私人局域網的感覺。

1. 傳統VPN組網方式

傳統VPN組網方式分成兩種，一種是專線VPN，一種是基于客戶端設備的VPN （CPE-based VPN）。

專線VPN使用DDN電路或者虛電路（如ATM PVC、FR PVC 等）連接客戶的站點，形成一個疊加式的二層VPN網絡。這種方式的VPN，成本高、建設周期長、網絡拓展性不好，并且可治理性差。

CPE-based VPN，其VPN功能都集成在各種各樣的CPE設備之中，運營商的公網為客戶提供透明的數據傳輸。因為VPN是跨越不可信任的公網構建而成的，所以一般CPE-based VPN都采用隧道、加密、認證等方式來防止數據被復制、篡改和丟失。這種方式的VPN，其最大缺點就在于需要客戶投入較大的人力、物力去治理和維護VPN，同時加密機制也會對設備的轉發性能和網絡的拓展性產生很大的影響。

2. Provider Provisioned VPN（PP-VPN）

隨著通信技術的不斷發展，非凡是MPLS技術的出現，基于運營商網絡的VPN，即PP-VPN應運而生。PP-VPN整個操作是作為一個運營商的外包資源實現在網絡上，而不是在客戶端設備上。這種方式的VPN，降低了客戶的投入，增加了運營商的收入，同時又具有較好的網絡拓展性、可治理性，因而贏得了越來越多客戶和運營商的青睞。基于MPLS的VPN就屬于PP-VPN。

二、MPLS VPN簡介

MPLS（Multi-Protocol Label Switch，多協議標簽交換）是由IETF提出的新一代ip骨干網絡交換標準，是一種集成式的IP Over ATM技術。它融合了IP路由技術靈活性和ATM交換技術簡潔性的優點，在面向無連接的IP網絡中引入了MPLS面向連接的屬性，提供了類似于虛電路的標簽交換業務。

MPLS VPN有三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運營商邊緣路由器，也就是MPLS網絡中的標簽邊緣路由器（LER），它根據存放的路由信息將來自CE路由器或標簽交換路徑（LSP）的VPN數據處理后進行轉發，同時負責和其他PE路由器交換路由信息；P路由器是運營商網絡主干路由器，也就是MPLS網絡中的標簽交換路由器（LSR），它根據分組的外層標簽對VPN數據進行透明轉發，P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息。

根據PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis標準，使用BGP在PE路由器之間分發路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLS VPN。

三、BGP/MPLS VPN中幾個重要的概念

1. VRF

BGP/MPLS VPN的安全舉措之一就是路由隔離和信息隔離，它是通過VPN路由轉發（VPN Routing && Forwarding：VRF）表和MPLS中的LSP來實現的。在PE路由器上，存在有多個VRF表，這些VRF表是和PE路由器上的一個或多個子接口相對應的，用于存放這些子接口所屬VPN的路由信息。通常情況下，VRF表中只包含一個VPN的路由信息，但是當子接口屬于多個VPN時，其所對應的VRF表中就包含了子接口所屬的所有VPN的路由信息。

對于每一個VRF表，都具有路由區分符（Route Distinguisher：RD）和路由目標（Route Target：RT）兩大屬性。

2. RD

VPN中IP地址的規劃是由客戶自行制訂的，因而有可能會出現客戶選擇在RFC1918中定義的私有地址作為他們的站點地址或者不同的VPN使用相同的地址域，也就是所謂的地址重疊現象。地址重疊的后果之一就是BGP無法區分來自不同VPN的重疊路由，從而導致某個站點不可達。

為了解決這個問題，BGP/MPLS VPN除了采用在PE路由器上使用多個VRF表的方法，還引入了RD的概念。RD具有全局唯一性，通過將8個字節的RD作為IPv4地址前綴的擴展，使不唯一的IPv4地址轉化為唯一的VPN-IPv4地址。VPN-IPv4地址對客戶端設備來說是不可見的，它只用于骨干網絡上路由信息的分發。

RD和VRF表之間建立了一一對應的關系。通常情況下，對于不同PE路由器上屬于同一個VPN的子接口，為其所對應的VRF表分配相同的RD，換句話說，就是為每一個VPN分配一個唯一的RD。但是對于重疊VPN，即某個站點屬于多個VPN的情況，由于PE路由器上的某個子接口屬于多個VPN，此時，該子接口所對應的VRF表只能被分配一個RD，從而多個VPN共享一個RD。

3. RT

RT的作用類似于BGP中擴展團體屬性，用于路由信息的分發。它分成Import RT和EXPort RT，分別用于路由信息的導入、導出策略。當從VRF表中導出VPN路由時，要用Export RT對VPN路由進行標記；在往VRF表中導入VPN路由時，只有所帶RT標記與VRF表中任意一個Import RT相符的路由才會被導入到VRF表中。RT使得PE路由器只包含和其直接相連的VPN的路由，而不是全網所有VPN的路由，從而節省了PE路由器的資源，提高了網絡拓展性。

RT具有全局唯一性，并且只能被一個VPN使用。通過對Import RT和Export RT的合理配置，運營商可以構建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN。

QQread.com 推出各大專業服務器評測 linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器聯想服務器浪潮服務器曙光服務器同方服務器華碩服務器寶德服務器 一、VPN技術概述

VPN（Virtual Private Network）是基于公網，利用隧道、加密等技術，為用戶提供的虛擬專用網絡，它給用戶一種直接連接到私人局域網的感覺。

1. 傳統VPN組網方式

傳統VPN組網方式分成兩種，一種是專線VPN，一種是基于客戶端設備的VPN （CPE-based VPN）。

專線VPN使用DDN電路或者虛電路（如ATM PVC、FR PVC 等）連接客戶的站點，形成一個疊加式的二層VPN網絡。這種方式的VPN，成本高、建設周期長、網絡拓展性不好，并且可治理性差。

CPE-based VPN，其VPN功能都集成在各種各樣的CPE設備之中，運營商的公網為客戶提供透明的數據傳輸。因為VPN是跨越不可信任的公網構建而成的，所以一般CPE-based VPN都采用隧道、加密、認證等方式來防止數據被復制、篡改和丟失。這種方式的VPN，其最大缺點就在于需要客戶投入較大的人力、物力去治理和維護VPN，同時加密機制也會對設備的轉發性能和網絡的拓展性產生很大的影響。

2. Provider Provisioned VPN（PP-VPN）

隨著通信技術的不斷發展，非凡是MPLS技術的出現，基于運營商網絡的VPN，即PP-VPN應運而生。PP-VPN整個操作是作為一個運營商的外包資源實現在網絡上，而不是在客戶端設備上。這種方式的VPN，降低了客戶的投入，增加了運營商的收入，同時又具有較好的網絡拓展性、可治理性，因而贏得了越來越多客戶和運營商的青睞。基于MPLS的VPN就屬于PP-VPN。

二、MPLS VPN簡介

MPLS（Multi-Protocol Label Switch，多協議標簽交換）是由IETF提出的新一代IP骨干網絡交換標準，是一種集成式的IP Over ATM技術。它融合了IP路由技術靈活性和ATM交換技術簡潔性的優點，在面向無連接的IP網絡中引入了MPLS面向連接的屬性，提供了類似于虛電路的標簽交換業務。

MPLS VPN有三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運營商邊緣路由器，也就是MPLS網絡中的標簽邊緣路由器（LER），它根據存放的路由信息將來自CE路由器或標簽交換路徑（LSP）的VPN數據處理后進行轉發，同時負責和其他PE路由器交換路由信息；P路由器是運營商網絡主干路由器，也就是MPLS網絡中的標簽交換路由器（LSR），它根據分組的外層標簽對VPN數據進行透明轉發，P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息。

根據PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis標準，使用BGP在PE路由器之間分發路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLS VPN。

三、BGP/MPLS VPN中幾個重要的概念

1. VRF

BGP/MPLS VPN的安全舉措之一就是路由隔離和信息隔離，它是通過VPN路由轉發（VPN Routing && Forwarding：VRF）表和MPLS中的LSP來實現的。在PE路由器上，存在有多個VRF表，這些VRF表是和PE路由器上的一個或多個子接口相對應的，用于存放這些子接口所屬VPN的路由信息。通常情況下，VRF表中只包含一個VPN的路由信息，但是當子接口屬于多個VPN時，其所對應的VRF表中就包含了子接口所屬的所有VPN的路由信息。

對于每一個VRF表，都具有路由區分符（Route Distinguisher：RD）和路由目標（Route Target：RT）兩大屬性。

2. RD

VPN中IP地址的規劃是由客戶自行制訂的，因而有可能會出現客戶選擇在RFC1918中定義的私有地址作為他們的站點地址或者不同的VPN使用相同的地址域，也就是所謂的地址重疊現象。地址重疊的后果之一就是BGP無法區分來自不同VPN的重疊路由，從而導致某個站點不可達。

為了解決這個問題，BGP/MPLS VPN除了采用在PE路由器上使用多個VRF表的方法，還引入了RD的概念。RD具有全局唯一性，通過將8個字節的RD作為IPv4地址前綴的擴展，使不唯一的IPv4地址轉化為唯一的VPN-IPv4地址。VPN-IPv4地址對客戶端設備來說是不可見的，它只用于骨干網絡上路由信息的分發。

RD和VRF表之間建立了一一對應的關系。通常情況下，對于不同PE路由器上屬于同一個VPN的子接口，為其所對應的VRF表分配相同的RD，換句話說，就是為每一個VPN分配一個唯一的RD。但是對于重疊VPN，即某個站點屬于多個VPN的情況，由于PE路由器上的某個子接口屬于多個VPN，此時，該子接口所對應的VRF表只能被分配一個RD，從而多個VPN共享一個RD。

3. RT

RT的作用類似于BGP中擴展團體屬性，用于路由信息的分發。它分成Import RT和Export RT，分別用于路由信息的導入、導出策略。當從VRF表中導出VPN路由時，要用Export RT對VPN路由進行標記；在往VRF表中導入VPN路由時，只有所帶RT標記與VRF表中任意一個Import RT相符的路由才會被導入到VRF表中。RT使得PE路由器只包含和其直接相連的VPN的路由，而不是全網所有VPN的路由，從而節省了PE路由器的資源，提高了網絡拓展性。

RT具有全局唯一性，并且只能被一個VPN使用。通過對Import RT和Export RT的合理配置，運營商可以構建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN。

上一篇：MPLS VPN價值空間及業務空間定位

下一篇：MPLS VPN的原理及構建(1)