MPLS VPN的原理及構(gòu)建(1)

2019-11-05 01:08:09

字體：大中小

供稿：網(wǎng)友

1 概述

傳統(tǒng)的VPN通常建立在ATM/DDN/FR網(wǎng)上，隨著ip網(wǎng)的大規(guī)模部署及ATM技術(shù)應(yīng)用的衰落，在IP網(wǎng)上提供VPN業(yè)務(wù)被認(rèn)為是一種非常經(jīng)濟(jì)的方式，隨著MPLS技術(shù)的出現(xiàn)，基于MPLS的VPN技術(shù)發(fā)展迅速并已獲得商用。根據(jù)RFC 2764中對(duì)IP VPN技術(shù)的分類，IP VPN可劃分為：VLL（Virtual Leased Lines）、VPDN（Virtual PRivate Dial Networks）、VPRN（Virtual Private Routed Networks）和VPLS（Virtual Private LAN Segment）四種。MPLS VPN屬于VPRN。

2 MPLS路由器的結(jié)構(gòu)

MPLS路由器結(jié)構(gòu)與傳統(tǒng)的僅支持逐跳路由的路由器結(jié)構(gòu)有所不同，MPLS中的標(biāo)簽交換路由器（LSR）結(jié)構(gòu)如圖1所示，圖中實(shí)線為傳統(tǒng)路由器部分，虛線為L(zhǎng)SR增加的部分，LSR分為路由模塊和轉(zhuǎn)發(fā)模塊，路由模塊中的路由協(xié)議可以是OSPF或IS-IS，也可以是它們基于流量工程的擴(kuò)展，MPLS信令可以是RSVP或CR-LDP，標(biāo)簽分組根據(jù)轉(zhuǎn)發(fā)模塊中的標(biāo)簽轉(zhuǎn)發(fā)表來交換標(biāo)簽，IP轉(zhuǎn)發(fā)表用于傳統(tǒng)逐跳路由的第三層查找。MPLS通常采用拓?fù)潋?qū)動(dòng)方式，路由器根據(jù)路由表項(xiàng)來建立LSP 。

3 MPLS VPN的數(shù)據(jù)轉(zhuǎn)發(fā)過程

MPLS VPN中的路由器有三種：P路由器、PE路由器和CE路由器。P路由器為運(yùn)營(yíng)商主干路由器，負(fù)責(zé)VPN分組外層標(biāo)簽的交換；PE路由器為運(yùn)營(yíng)商邊界路由器，存放著VRF表和全局路由表，VRF中存放著VPN路由，全局路由表中存放著運(yùn)營(yíng)商的域內(nèi)路由；CE路由器為客戶端路由器，由客戶負(fù)責(zé)維護(hù)。當(dāng)CE路由器將一個(gè)VPN分組轉(zhuǎn)發(fā)給入口PE路由器后，PE路由器查找該VPN對(duì)應(yīng)的VRF，從VRF中得到一個(gè)VPN標(biāo)簽和下一跳出口PE路由器的地址，VPN標(biāo)簽作為內(nèi)層標(biāo)簽打在VPN分組上，根據(jù)下一跳出口PE路由器的地址可以在全局路由表中查出到達(dá)該P(yáng)E路由器應(yīng)打上的域內(nèi)路由的標(biāo)簽，即外層標(biāo)簽，于是VPN分組被打上了兩層標(biāo)簽，主干網(wǎng)的P路由器根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)VPN分組，在最后一個(gè)P路由器處，外層標(biāo)簽彈出，VPN分組只剩下內(nèi)層標(biāo)簽（此過程被稱作次末級(jí)彈出機(jī)制），接著VPN分組被發(fā)往出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找到相應(yīng)的出口后，將VPN分組上的內(nèi)層標(biāo)簽刪除，將不含標(biāo)簽的VPN分組轉(zhuǎn)發(fā)給正確的CE路由器，CE路由器根據(jù)自己的路由表將分組轉(zhuǎn)發(fā)到正確的目的地。

4 MP-iBGP 協(xié)議

在基于MP-iBGP協(xié)議的MPLS VPN體系中，存在兩個(gè)層面的路由，即域內(nèi)路由和VPN路由。所有的PE路由器及P路由器上要運(yùn)行主干網(wǎng)的域內(nèi)路由（OSPF或IS-IS等），生成的路由表將觸發(fā)主干網(wǎng)中LSP的建立（拓?fù)潋?qū)動(dòng)方式），通過CR-LDP或RSVP等信令協(xié)議建立LSP，產(chǎn)生的標(biāo)簽轉(zhuǎn)發(fā)表用于VPN分組外層標(biāo)簽的交換。PE路由器之間運(yùn)行MP-iBGP協(xié)議，該協(xié)議跨越主干的P路由器在PE之間分發(fā)VPN標(biāo)簽，形成VPN路由，MP-iBGP發(fā)布的一條VPN路由包含的信息有：IPv4地址、路由區(qū)分符（RD）、路由目標(biāo)（RT）、VPN標(biāo)簽和下一跳PE地址，其中RD用來消除IPv4地址的歧義，以重用IPv4地址；RT用來控制VRF的導(dǎo)入和導(dǎo)出策略，從而控制網(wǎng)絡(luò)的連通和拓?fù)?；下一跳PE地址是連接域內(nèi)路由和VPN路由的紐帶，在PE路由器上根據(jù)在VRF中得到的下一跳PE地址可以在全局路由表中查找到到達(dá)該地址應(yīng)打上的外層標(biāo)簽。

由于運(yùn)行MP-iBGP協(xié)議的PE路由器之間必須構(gòu)成全網(wǎng)狀網(wǎng)的會(huì)話（因?yàn)檫\(yùn)行iBGP的路由器不能轉(zhuǎn)發(fā)收到的iBGP路由，這種機(jī)制用于避免路由環(huán)路），因此在大規(guī)模的網(wǎng)絡(luò)應(yīng)用中存在可擴(kuò)展性的問題，解決的方法是采用路由反射器或路由域聯(lián)合，路由反射器答應(yīng)路由器轉(zhuǎn)發(fā)收到的iBGP路由，以避免全網(wǎng)狀的會(huì)話；采用路由域聯(lián)合可以將路由域劃分成多個(gè)區(qū)域，這樣，只有區(qū)域內(nèi)的路由器需要構(gòu)成全網(wǎng)狀的連接，減少了域內(nèi)iBGP路由器的鄰接數(shù)，當(dāng)然采用路由域聯(lián)合需考慮對(duì)跨域連接的規(guī)劃。

5 VPN路由轉(zhuǎn)發(fā)實(shí)例（VRF）、路由區(qū)分符（RD）和路由目標(biāo)（RT）的概念

5.1 VPN路由轉(zhuǎn)發(fā)實(shí)例（VRF）

VPN IP路由表及相關(guān)的VPN IP轉(zhuǎn)發(fā)表被統(tǒng)稱為VPN路由和轉(zhuǎn)發(fā)實(shí)例。在極端的情況下，可以為連接到PE路由器上的每個(gè)站點(diǎn)都分配一個(gè)VRF來存放VPN路由，但連接在同一PE路由器上的站點(diǎn)假如滿足以下三個(gè)條件則可以共享一個(gè)VRF：（1）各站點(diǎn)屬于同一個(gè)VPN；（2）路由信息相同；（3）站點(diǎn)之間答應(yīng)相互直接通信。通常PE路由器上每個(gè)用戶的端口與一個(gè)特定的VRF相關(guān)聯(lián)，從該端口輸入的VPN分組將根據(jù)各自對(duì)應(yīng)的VRF查找其VPN標(biāo)簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。

5.2 路由區(qū)分符（RD）

由于VPN數(shù)量巨大且不少原先的VPN用戶不愿修改自身的IPv4地址，因此有必要答應(yīng)不同的VPN客戶使用相同的IPv4地址，對(duì)于不同VPN中相同的地址，采用RD可以實(shí)現(xiàn)IPv4地址的重用。PE路由器通過MP-iBGP協(xié)議通告站點(diǎn)的路由時(shí)，將同時(shí)攜帶各路由的RD，即將IPv4地址轉(zhuǎn)化為VPN-IPv4地址，PE路由器在收到MP-iBGP通告的路由后，將查看該路由的RD，然后將VPN-IPv4地址轉(zhuǎn)化成IPv4地址，即將地址中的RD去掉，將其導(dǎo)入到相應(yīng)的VRF中。由于不同VPN被VRF隔離了，因此不同VPN中相同的IPv4地址，將被導(dǎo)入到不同的VRF中。在同一個(gè)VPN中，地址必須是唯一的；當(dāng)多個(gè)VPN之間需要相互通信時(shí)（例如有公共的站點(diǎn)），則要求地址必須在多個(gè)VPN中是唯一的，此時(shí)多個(gè)VPN只能使用同一個(gè)RD。

5.3 路由目標(biāo)（RT）

RT來控制VRF的導(dǎo)入和導(dǎo)出策略，以構(gòu)成各種復(fù)雜的VPN拓?fù)洹Ｒ粋€(gè)VPN有可能不止使用一個(gè)RT，RT的具體使用與VPN的拓?fù)浣Y(jié)構(gòu)密切相關(guān), 對(duì)于全網(wǎng)狀相接的VPN可以用一個(gè)RT，對(duì)于非全網(wǎng)狀相連的VPN，一個(gè)VPN往往需要多個(gè)RT。當(dāng)從PE導(dǎo)出VPN路由時(shí)，要用RT對(duì)VPN路由進(jìn)行標(biāo)記，在往VRF中導(dǎo)入路由時(shí)，可以使用多個(gè)RT，只要有一個(gè)VPN路由中附帶的RT與導(dǎo)入路由中的任意RT相同，都將被導(dǎo)入到該VRF中。

QQread.com 推出各大專業(yè)服務(wù)器評(píng)測(cè) linux服務(wù)器的安全性能 SUN服務(wù)器 HP服務(wù)器 DELL服務(wù)器 IBM服務(wù)器聯(lián)想服務(wù)器浪潮服務(wù)器曙光服務(wù)器同方服務(wù)器華碩服務(wù)器寶德服務(wù)器 1 概述

傳統(tǒng)的VPN通常建立在ATM/DDN/FR網(wǎng)上，隨著IP網(wǎng)的大規(guī)模部署及ATM技術(shù)應(yīng)用的衰落，在IP網(wǎng)上提供VPN業(yè)務(wù)被認(rèn)為是一種非常經(jīng)濟(jì)的方式，隨著MPLS技術(shù)的出現(xiàn)，基于MPLS的VPN技術(shù)發(fā)展迅速并已獲得商用。根據(jù)RFC 2764中對(duì)IP VPN技術(shù)的分類，IP VPN可劃分為：VLL（Virtual Leased Lines）、VPDN（Virtual Private Dial Networks）、VPRN（Virtual Private Routed Networks）和VPLS（Virtual Private LAN Segment）四種。MPLS VPN屬于VPRN。

2 MPLS路由器的結(jié)構(gòu)

MPLS路由器結(jié)構(gòu)與傳統(tǒng)的僅支持逐跳路由的路由器結(jié)構(gòu)有所不同，MPLS中的標(biāo)簽交換路由器（LSR）結(jié)構(gòu)如圖1所示，圖中實(shí)線為傳統(tǒng)路由器部分，虛線為L(zhǎng)SR增加的部分，LSR分為路由模塊和轉(zhuǎn)發(fā)模塊，路由模塊中的路由協(xié)議可以是OSPF或IS-IS，也可以是它們基于流量工程的擴(kuò)展，MPLS信令可以是RSVP或CR-LDP，標(biāo)簽分組根據(jù)轉(zhuǎn)發(fā)模塊中的標(biāo)簽轉(zhuǎn)發(fā)表來交換標(biāo)簽，IP轉(zhuǎn)發(fā)表用于傳統(tǒng)逐跳路由的第三層查找。MPLS通常采用拓?fù)潋?qū)動(dòng)方式，路由器根據(jù)路由表項(xiàng)來建立LSP 。

3 MPLS VPN的數(shù)據(jù)轉(zhuǎn)發(fā)過程

MPLS VPN中的路由器有三種：P路由器、PE路由器和CE路由器。P路由器為運(yùn)營(yíng)商主干路由器，負(fù)責(zé)VPN分組外層標(biāo)簽的交換；PE路由器為運(yùn)營(yíng)商邊界路由器，存放著VRF表和全局路由表，VRF中存放著VPN路由，全局路由表中存放著運(yùn)營(yíng)商的域內(nèi)路由；CE路由器為客戶端路由器，由客戶負(fù)責(zé)維護(hù)。當(dāng)CE路由器將一個(gè)VPN分組轉(zhuǎn)發(fā)給入口PE路由器后，PE路由器查找該VPN對(duì)應(yīng)的VRF，從VRF中得到一個(gè)VPN標(biāo)簽和下一跳出口PE路由器的地址，VPN標(biāo)簽作為內(nèi)層標(biāo)簽打在VPN分組上，根據(jù)下一跳出口PE路由器的地址可以在全局路由表中查出到達(dá)該P(yáng)E路由器應(yīng)打上的域內(nèi)路由的標(biāo)簽，即外層標(biāo)簽，于是VPN分組被打上了兩層標(biāo)簽，主干網(wǎng)的P路由器根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)VPN分組，在最后一個(gè)P路由器處，外層標(biāo)簽彈出，VPN分組只剩下內(nèi)層標(biāo)簽（此過程被稱作次末級(jí)彈出機(jī)制），接著VPN分組被發(fā)往出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找到相應(yīng)的出口后，將VPN分組上的內(nèi)層標(biāo)簽刪除，將不含標(biāo)簽的VPN分組轉(zhuǎn)發(fā)給正確的CE路由器，CE路由器根據(jù)自己的路由表將分組轉(zhuǎn)發(fā)到正確的目的地。

4 MP-iBGP 協(xié)議

在基于MP-iBGP協(xié)議的MPLS VPN體系中，存在兩個(gè)層面的路由，即域內(nèi)路由和VPN路由。所有的PE路由器及P路由器上要運(yùn)行主干網(wǎng)的域內(nèi)路由（OSPF或IS-IS等），生成的路由表將觸發(fā)主干網(wǎng)中LSP的建立（拓?fù)潋?qū)動(dòng)方式），通過CR-LDP或RSVP等信令協(xié)議建立LSP，產(chǎn)生的標(biāo)簽轉(zhuǎn)發(fā)表用于VPN分組外層標(biāo)簽的交換。PE路由器之間運(yùn)行MP-iBGP協(xié)議，該協(xié)議跨越主干的P路由器在PE之間分發(fā)VPN標(biāo)簽，形成VPN路由，MP-iBGP發(fā)布的一條VPN路由包含的信息有：IPv4地址、路由區(qū)分符（RD）、路由目標(biāo)（RT）、VPN標(biāo)簽和下一跳PE地址，其中RD用來消除IPv4地址的歧義，以重用IPv4地址；RT用來控制VRF的導(dǎo)入和導(dǎo)出策略，從而控制網(wǎng)絡(luò)的連通和拓?fù)洌幌乱惶鳳E地址是連接域內(nèi)路由和VPN路由的紐帶，在PE路由器上根據(jù)在VRF中得到的下一跳PE地址可以在全局路由表中查找到到達(dá)該地址應(yīng)打上的外層標(biāo)簽。

由于運(yùn)行MP-iBGP協(xié)議的PE路由器之間必須構(gòu)成全網(wǎng)狀網(wǎng)的會(huì)話（因?yàn)檫\(yùn)行iBGP的路由器不能轉(zhuǎn)發(fā)收到的iBGP路由，這種機(jī)制用于避免路由環(huán)路），因此在大規(guī)模的網(wǎng)絡(luò)應(yīng)用中存在可擴(kuò)展性的問題，解決的方法是采用路由反射器或路由域聯(lián)合，路由反射器答應(yīng)路由器轉(zhuǎn)發(fā)收到的iBGP路由，以避免全網(wǎng)狀的會(huì)話；采用路由域聯(lián)合可以將路由域劃分成多個(gè)區(qū)域，這樣，只有區(qū)域內(nèi)的路由器需要構(gòu)成全網(wǎng)狀的連接，減少了域內(nèi)iBGP路由器的鄰接數(shù)，當(dāng)然采用路由域聯(lián)合需考慮對(duì)跨域連接的規(guī)劃。

5 VPN路由轉(zhuǎn)發(fā)實(shí)例（VRF）、路由區(qū)分符（RD）和路由目標(biāo)（RT）的概念

5.1 VPN路由轉(zhuǎn)發(fā)實(shí)例（VRF）

VPN IP路由表及相關(guān)的VPN IP轉(zhuǎn)發(fā)表被統(tǒng)稱為VPN路由和轉(zhuǎn)發(fā)實(shí)例。在極端的情況下，可以為連接到PE路由器上的每個(gè)站點(diǎn)都分配一個(gè)VRF來存放VPN路由，但連接在同一PE路由器上的站點(diǎn)假如滿足以下三個(gè)條件則可以共享一個(gè)VRF：（1）各站點(diǎn)屬于同一個(gè)VPN；（2）路由信息相同；（3）站點(diǎn)之間答應(yīng)相互直接通信。通常PE路由器上每個(gè)用戶的端口與一個(gè)特定的VRF相關(guān)聯(lián)，從該端口輸入的VPN分組將根據(jù)各自對(duì)應(yīng)的VRF查找其VPN標(biāo)簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。

5.2 路由區(qū)分符（RD）

由于VPN數(shù)量巨大且不少原先的VPN用戶不愿修改自身的IPv4地址，因此有必要答應(yīng)不同的VPN客戶使用相同的IPv4地址，對(duì)于不同VPN中相同的地址，采用RD可以實(shí)現(xiàn)IPv4地址的重用。PE路由器通過MP-iBGP協(xié)議通告站點(diǎn)的路由時(shí)，將同時(shí)攜帶各路由的RD，即將IPv4地址轉(zhuǎn)化為VPN-IPv4地址，PE路由器在收到MP-iBGP通告的路由后，將查看該路由的RD，然后將VPN-IPv4地址轉(zhuǎn)化成IPv4地址，即將地址中的RD去掉，將其導(dǎo)入到相應(yīng)的VRF中。由于不同VPN被VRF隔離了，因此不同VPN中相同的IPv4地址，將被導(dǎo)入到不同的VRF中。在同一個(gè)VPN中，地址必須是唯一的；當(dāng)多個(gè)VPN之間需要相互通信時(shí)（例如有公共的站點(diǎn)），則要求地址必須在多個(gè)VPN中是唯一的，此時(shí)多個(gè)VPN只能使用同一個(gè)RD。

5.3 路由目標(biāo)（RT）

RT來控制VRF的導(dǎo)入和導(dǎo)出策略，以構(gòu)成各種復(fù)雜的VPN拓?fù)?。一個(gè)VPN有可能不止使用一個(gè)RT，RT的具體使用與VPN的拓?fù)浣Y(jié)構(gòu)密切相關(guān), 對(duì)于全網(wǎng)狀相接的VPN可以用一個(gè)RT，對(duì)于非全網(wǎng)狀相連的VPN，一個(gè)VPN往往需要多個(gè)RT。當(dāng)從PE導(dǎo)出VPN路由時(shí)，要用RT對(duì)VPN路由進(jìn)行標(biāo)記，在往VRF中導(dǎo)入路由時(shí)，可以使用多個(gè)RT，只要有一個(gè)VPN路由中附帶的RT與導(dǎo)入路由中的任意RT相同，都將被導(dǎo)入到該VRF中。

上一篇：BGP/MPLS VPN的實(shí)現(xiàn)技術(shù)(1)

下一篇：組播在MPLS VPN網(wǎng)絡(luò)中的實(shí)現(xiàn)