1 概述

 

1.1 MPLS VPN技术布景

 

    VPN（Virtual Private Network）的概想最早是从专线引发的。先举一个例子注明为什么必要VPN，例如一个公司在全国各地都有分公司，那么通常它必须租用专线实显祗业内部的互联网络，这种方式必要在两地或多个地址之间租用远程线路，不论是否罕见据传输这条远程线路都固定分配，用户支出的价值很高。专线网络拥有以下特点：

 

    1. 安全性高，线路为用户专用，分歧用户间是物理隔离的；
 

    2. 价值昂贵；
 

    3. 带宽浪费严沉；

 

    由于专线网络拥有的一些固出缺点，VPN的主张就是通过公用网络将异地的网点互联实现一个私有网就像用专线联接起来的一样。其实现的方式就是在公网上成立某种大局的链路作为IP的隧路进行异地网点互联。在公网上实现VPN ，用户只必要支出到网络服务提供商的本地线路用度，并且在没罕见据传输时能够断开衔接进一步节俭了开销。

 

1.2 VPN界说

 

    顾名思义，虚构专用网（Virtual Private Network）不是真的专用网络，但却可能实现专用网络的职能。所谓虚构，是指用户不再必要占有现实的远程数据线路，而是使用服务提供商现成网络的数据线路（通过使用隧路技术）。所谓专用网络，是指用户可以为自己造订一个最切合自己需要的网络，就像是私有的网络一样。

 

1.3 BGP/MPLS VPN

 

    我们知路实现VPN的方式有好多种，例如有基于第二层隧路和谈（L2TP）的VPN，也有基于第三层隧路和谈（如IPSec）的VPN。而BGP/MPLS IP VPN是另表一种实现VPN的方式，能够说它是一种介于第二层和第三层隧路和谈的VPN，这重要是由MPLS决定的。

 

    既然是VPN其所实现的职能以及达到的主张和传统的VPN是一样的，只是基于MPLS的IP VPN和传统的IP VPN相迸仔好多优势。如对于VPN用户而言，它能够大大简化用户的治理工作量，不再必要使用专门的VPN设备（如VPN拨入服务器）只必要使用传统的路由器就能够构建VPN。

 

    对于运营商而言，选取MPLS VPN很容易实现VPN的扩大，同时给运营商带来更大的商机。
 

 

    这里诠释一下为什么是叫BGP/MPLS VPN呢

？这是由于MPLS利用于Layer 3的VPN中要使用BGP作为MPLS的标签分发和谈，就好比MPLS利用于IP单播转发中必须使用LDP作为其标签分发和谈，使用BGP和谈在服务提供商网络的PE之间互换VPN路由以及绑定的标签。

 

2 BGP/MPLS VPN架构

 

 

                                  图2-1

 

    在MPLS VPN的衔接模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集中的划分，一个VPN就对应一个由若干site组成的集中。

 

2.1 术语

 

先引入几个概想：

 

    CE（Custom Edge）：用户Site中直接与服务提供商相连的边缘设备，通常是路由器
 

 

    PE（Provider Edge）：骨干网中的边缘设备，它直接与用户的CE相连

 

    P 路由器（Provider Router）：骨干网中不与CE直接相连的设备

 

    VPN Site：VPN用户的站点，是VPN中的一个孤立的IP网络，该网络内部自身是IP互联的，但是和其它站点（或者是子网）通常来说不通过骨干网不拥有连通性。公司总部，分支机构都是site的具体制子。CE通常是VPN Site中的一个路由器或三层互换设备甚至是一个主机。一个CE设备总是被以为处于一个单独的站点，但是一个站点能够同时属于多个VPN。

 

    VRF：每个PE都守护和治理一系列的转颁发， 其中一个转颁发叫做“缺省的转颁发”或者叫“全局转颁发”；其它的转颁发叫“VPN 路由转颁发（VPN Routing and Forwarding tables）”。若是一个报文通过AC达到PE，该AC没有同任何VRF关联的话，那么将使用全局的路由表为该报文的主张地址查找路由

Ｄ芄坏ヒ坏睦斫馕，全局的转颁发存放的是公网的路由（保障SP网络中自身PE和PE，PE和P之间可能互通），VRF存储的是VPN站点的私有路由。

 

2.2 组成道理

 

    1. MPLS VPN的网络机关由服务提供商来实现。在这种网络机关中，由服务提供商向用户提供VPN服务，用户感触不到公共网络的存在，就如同占有独立的网络资源一样。

 

    2. 同样对于服务提供商骨干网络内部的 P 路由器，也就是不与CE 直接相连的路由器而言，也不知路有VPN的存在，仅仅掌管骨干网内部的数据传输。但其必须可能支持MPLS和谈，并使能该和谈。

 

    3. 所有的VPN的构建、衔接和治理工作都是在PE上进行的。PE位于服务提供商网络的边缘，从PE的角度来看，用户的一个连通的IP 系统被视为一个site ，每一个site通过CE与PE相连，site 是组成VPN的根基单元。

 

    4. 一个VPN是由多个site组成的，一个site 也能够同时属于分歧的VPN。 属于统一个VPN的两个site通过服务提供商的公共网络相连，VPN数据在公共网络上传布，必必要保障数据传输的私有性和安全性。 也就是说，隶属于某个VPN的site发送出来的报文只能转发到同样属于这个VPN的site 里去，而不能被转发到其他site 中去。

 

    5. 同时，任何两个没有共同的site 的VPN都能够使用沉叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用思考是否与其他VPN或公网的地址空间矛盾。所有这些就都必要依赖于VRF（VPN Routing & Forwarding Instance）。

 

3 BGP MPLS/VPN道理

 

在一个MPLS VPN网络中，必要解决以下三个问题：

 

    1. 本地路由矛盾问题，即：在统一台PE上若何分辨分歧VPN的一样路由。

 

    2. 路由在网络中的传布问题，两条一样的路由，都在网络中传布，对于接管者若何分辨彼此

？

 

    3. 报文的转发问题，即便成功的解决了路由表的矛盾，但是当PE接管到一个IP报文时，他又若何可能知路该发给那个VPN

？由于IP报文头中唯一可用的信息就是主张地址。而好多VPN中都可能存在这个地址。

 

3.1 VRF-VPN路由转发事俘（VPN Routing & Forwarding Instance）

 

    其实解决地址矛盾的问题，也存在一些步骤：使用ACL、IP unnumber、NAT。但这些法子都是基于“打补丁”的思想，没能从性质上解决问题。

 

    要想彻底解决，必须在理论上有所突破

Ｄ芄淮幼ㄓ肞E上得到启迪。专用路由器方式分工明确，每个PE只保留自己VPN的路由。P只保留公网路由。而此刻的思路是：将这些所有设备的职能，和在一台PE上实现。
 

 

                                     图3-1

 

    每一个VRF能够看作虚构的路由器，如同是一台专用的PE设备。该虚构路由器蕴含如下元素：

    一张独立的路由表，当然也蕴含了独立的地址空间。

 

    一组归属于这个VRF的接口的集中。

 

    一组只用于本VRF的路由和谈。

 

    对于每个PE，能够守护一个或多个VRF，同时守护一个公网的路由表（也叫全局路由表），多个VRF事俘相互分离独立。

 

    其实实现VRF并不难题，关键在于若何在PE上使用特定的战术规定来协调各VRF和全局路由表之间的关系。

 

3.2 VRF的路由分发

 

 

                                   图3-2

 

    如图中所示，属于一个VPN的site可能别离衔接到分歧的PE上。 为了保障VPN的连通性，我们必须在PE之间互换VPN路由信息。 VPN路由占有自己独立的地址空间，这种路由在服务提供商的公共网络中传递不能选取通常地址结构，不然会由于地址空间的沉叠导致路由表的混乱，而是通过RD与IP地址一路组成唯一的VPN-IPV4地址结构来传递。同时在PE之间也不能选取通常的路由和谈，而是通过对BGP作肯定的扩大，使用多和谈BGP（MultiProtocol BGP）来互换VPN信息。这些鄙人一部份将会讲到。

 

3.3 RD--路由标识（Route Distinguisher）与VPN-IPv4地址

 

    在前面提到过，PE之间通过公共网络互换VPN路由，不能选取通常的地址结构和路由和谈。因而，首先引入RD（Route Distinguisher）的概想。

 

    RD来标示每个VRF。 RD与VRF是逐一对应的，每一个VRF都有自己的RD，RD在骨干网中维持唯一性，是Site的标识。

 

    PE路由器之间使用BGP来颁布VPN路由。尺度BGP对每个IP前缀只能装置和颁布一个路由。由于每个VPN有自己的地址空间，意味着同样的IP地址会被肆意数主张VPN所使用，在每个VPN中这个地址暗示一个分歧的系统。 这样就必要允许BGP对每个VPN的一样的IP前缀能够装置和颁布多个路由，同时，要使用特定的战术来决定哪一条路由被哪个site所使用。为此，多和谈BGP 使用了新的地址族--VPN-v4地址。

 

                              图3-3

 

    一个VPN-v4地址有12个字节，起头是8字节的RD，接下去是4字节的IP地址。若是两个VPN使用一样的IP地址，PE路由器为它们增长分歧的RD，转换成唯一的VPN-v4地址，不会造成地址空间的矛盾。

 

    使用VPN-v4地址解决了VPN路由在公共网络中传递时的地址空间矛盾问题，但由于这已经不再是原有的IP地址族的地址结构，不能被通常的路由和谈所承载，同时，每一个用户网络都是独立的系统，它们之间经过服务提供商的路由信息传递使用IGP和谈显然是不适合的，因而我们必要将BGP和谈作肯定的扩大，用它来承载新的VPN-v4地址族路由，同时传递附加在路由上的Route Target属性。

 

    通过RD与VPN-IPv4地址，解决了路由在网络中的传布，两条一样的路由，都在网络中传布，对于接管者若何分辨彼此问题。

 

3.4 BGP扩大与Route Target属性

 

    PE之间互换VPN信息，在BGP的UPDATE报文中承载VPN-v4地址族路由，这就是对BGP进行了扩大的MBGP（多和谈BGP）。MBGP不仅能承载IPv4路由，并且能承载VPN，IPv6，多播等路由。 MBGP有两个重要的工作，为路由指定特定网络层和谈的下一跳和NLRI（网络层可达信息）。

 

                                  图3-4

 

    BGP扩大集体属性是对集体属性做了扩大，增大了值域，并划定了内部结构。扩大集体属性是一个过渡可选属性，它由一个扩大集体的集中组成，每个扩大集体是8字节的数。Route Target属性是由BGP的扩大集体属性来暗示的。

 

Route Target 属性

 

    VPN的成员关系是通过路由所携带的route target属性来获得的。 PE中每个Site的路由表中的路由项能够有一或多个Route Target属性。 它暗示了该路由能够被哪些site所接管，接管哪些site的传送来的路由。

 

    一个拥有这种属性的路由必须发送给所有在Route Target中指明的site所衔接的PE路由器，PE接管到蕴含此属性的路由后，若此属性指明的site同己一致，则参与到相应的路由表中。

 

    RT的性质是每个VRF表白自己的路由弃取及爱好的方式

Ｄ芄环治讲棵牛篍xport Target与import Target；前者暗示了我发出的路由的属性，而后者暗示了我对那些路由感兴致。例如：

 

    SITE-A：我发的路由是红色的，我也只接管红色的路由。

 

    SITE-B：我发的路由是红色的，我也只接管红色的路由。

 

    SITE-C：我发的路由是玄色的，我也只接管玄色的路由。

 

    SITE-D：我发的路由是玄色的，我也只接管玄色的路由。

 

    这样，SITE－A与SITE-B中就只有自己和对方的路由，两者实现了互访。同理SITE－C与SITE-D也一样。这时我们就能够把SITE-A与SITE－B称为VPN-A，而把SITE-C与SITE-D称为VPN-B，如下图：
 

 

 

                                   图3-5

 

    对一个PE，有一个Route Target属性的集中用于附加到从某个site接管的路由上，称为Export Route Target，另一个Route Target属性的集中用于决定哪些路由能够引入到此site的路由表中，称为Import Route Target。它们是分歧的集中。这两个集中的组合能够机关任何拓扑类型的VPN。

 

    在PE上，每个VRF都有一个Import Route Target列表，只有当路由的Export　Route Target与VRF的Import Route Target列表相匹配，路由才会被引入到该VRF的路由表中。

 

RT的矫捷利用

 

    由于每个RT Export Target与import Target都能够配置多个属性，例如：我对红色或者蓝色的路由都感兴致。接管时是“或”操作，红色的、蓝色的以及同时具备两种色彩的路由城市被接受。所以就能够实现极度矫捷的VPN接见节造。

 

 

 

                                  图3-6

 

3.5 私网标签

 

    至此，前两个问题：在PE本地的路由矛盾和网络传布过程的矛盾都已解决。但是若是一个PE的两个本地VRF同时存在10.0.0.0/24的路由，当他接管到一个主张地址为10.0.0.1的报文时，他若何知路该把这个报文发给与哪个VRF相连的CE

？注定还必要在被转发的报文中增长一些信息。

 

    路由颁布时已经携带了RD，理论上能够使用RD作为标识呢，但是RD一共有64个bit，太大了。这会导致转发效能的降低。所以只必要一个短幼、定长的象征即可。由于公网的隧路已经由MPLS来提供，并且MPLS支持多层标签的嵌套，这个象征界说成MPLS标签的体式。这个私网的标签就由MP-BGP来分配，与私网的路由一起颁布出去。

 

3.6 BGP颁布路由时必要携带的信息

 

    一个扩大之后的NLRI（Network Layer Reachability Information），增长了地址族的描述，以及私网label和RD。
 

 

    追随之后的是RT的列表

 

    对于使用了扩大属性MP_REACH_NLRI的BGP，我们称之为MP-BGP。

 

4 BGP MPLS/VPN路由分发、报文转发机造

 

    在MPLS VPN中，由于选取了两层标签栈结构，所以P并不参加VPN路由信息的交互，VPN站点内部是通过CE与PE、PE与PE之间的路由交互知路属于某个VPN的网络拓扑信息。
 

具体能够综合为如下3个步骤：
 

    1. CE与PE之间的路由互换
 

    2. PE与PE之间的路由互换
 

    3. PE与CE之间的路由互换

 

4.1 CE与PE之间的路由互换

 

    在PE上为分歧的VPN站点配置VRF。PE上守护多个独立的路由表，蕴含公网和私网路由表（VRF），其中：
 

    1. 公网路由表：蕴含达到其他PE和P的路由，由骨干网的IGP产生。
 

    2. 私网路由表：蕴含本VPN可达到的路由（即属于该VPN的分歧站点之间的路由）。

 

                              图4-1

 

    CE与PE之间通过选取静态路由、动态路由和谈（如OSPF,RIP…）进行路由信息的交互。 当Ingress PE从某个接口接管到来自CE的路由信息时，将该路由导入对应的VRF。

 

4.2 PE与PE之间的路由互换

 

    PE与PE之间的路由互换性质上就是将PE上得VRF路由注入到MP-IBGP并通过MP-IBGP在PE间互换的过程。

 

 

                              图4-2

 

    PE通过维持IBGP确保路由信息被分发给所有其它的PE。当Ingress PE分发路由信息时，将同时携引路由地点VRF的RD，即将路由的IPv4地址前缀转化为VPN-IPv4地址。

 

    分发的具体路由信息（VPN-IPv4路由信息）蕴含：
 

    该路由的VPN-IPv4地址前缀
 

    下一跳地址即Ingress PE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）
 

    分配给该路由的VPN标签（用来标识属于哪个VPN或者说是哪个VRF）
 

    该路由地点VRF的Export RT
 

 

4.3 PE与CE之间的路由互换

 

    PE与CE之间的路由互换即为MP-IBGP把路由注入到PE上的VRF而后通过PE与CE上运行的路由和谈再分发给CE的过程。

 

 

                                 图4-3

 

    当Egress PE收到路由信息时，将查看该路由的RT，若是RT和其肆意VRF中肆意一个Import RT相符时，就将该路由存入VPN-IPv4的路由表。

 

    在进行路由选择之后，将最优路由中的VPN-IPv4地址转化成IPv4地址（即去掉地址中的RD）导入到相应的VRF，私网标签保留，纪录到转颁发中，留做转发时使用。
再由本VRF的路由和谈引入并传递给相应的CE。发给CE时下一跳为接管端PE自己的接口地址。这样就实现了从MP-IBGP路由注入到VRF的过程。

 

4.4 MPLS/VPN 报文转发

 

 

                                    图4-4

    在MPLS VPN中，属于统一的VPN的两个Site 之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（表层）标签在骨干网内部进行互换，代表了从PE到对端PE的一条隧路，VPN报文打上这层标签，就能够沿着LSP达到对端PE，这时辰就必要使用第二层（内层）标签，这层标签批示了报文应该达到哪个site，或者更具体一些，达到哪一个CE，这样，凭据内层标签，就能够找到转发的接口

Ｄ芄灰晕，内层标签代表了通过骨干网相连的两个CE之间的一个隧路。

 

5 iSlot官方网站网络BGP MPLS VPN实现

 

5.1 组网需要

 

    要求：有两个VPN用户，VPNA和VPNB。VPNA在内江和上海有自己的站点，VPNB 在北京和上海有自己的站点，此刻要VPNA 内的用户能够接见自己内江和上海的资源，VPNB 内的用户能够接见自己北京和上海的资源，两个VPN 之间不能相互接见。

 

5.2 组网拓扑

 

 

                                    图5-1

 

5.3 配置步骤

 

1. 配置PE

 

    以PE_SH 为例：
 

    配置VRF
 

    在PE_SH上界说两个VRF，VRFA_SH和VRFB_SH，别离为这两个VRF界说R值和RT值，并把VRF和对应的接口关联起来。
 

配置BGP 和谈

 

在PE_FZ和PE_BJ配置过程和上面类似。

 

2. 配置CE

 

    以VPNB_SH 为例:
 

    配置BGP
 

VPNA_SH、VPNA_FZ和VPNB_BJ的上CE的配置和VPNB_SH类似。

 

3. 配置P

 

以P1为例：
 

P2上的配置和P1类似。

6 BGP/MPLS IP VPN尺度系统发展

 

    IETF已经在2004年成立了L3VPN的工作组专门钻研L3VPN的技术和利用，这里重要讲与BGP/MPLS VPN最直接有关的RFC， BGP/MPLS IP VPN的技术最早由IETF在1999年在RFC 2547提出，后来出了一个订正版叫RFC2547bis，现有的网络设备提供商实现的BGP/MPLS VPN都是凭据RFC2547bis实现的。随着该技术被各个网络设备厂商支持并利用，该技术已经被实际证明比力成熟。2006年IETF凭据这些年在利用过程中的实际总结进一步美满了该技术，沉新颁布了RFC4364并申明拔除了RFC2547。RFC4364里面具体论述了BGP/MPLS IP VPNs的架构、技术实现和部署。另表由于BGP/MPLS IP VPNs的技术实现需要，对BGP和谈的个性进行了大量的扩大，重要蕴含：
 

    RFC2858 Multiprotocol Extensions for BGP-4 支持多和谈扩大的BGP
 

    draft-ietf-idr-as4bytes AS号由原来的2字节变为4字节的处置
 

    RFC1997 BGP Communities Attribute BGP的集体属性
 

    RFC2918 Route Refresh Capability for BGP-4 BGP的刷新机造
 

    draft-ietf-idr-route-filter Cooperative Route Filtering Capability for BGP-4 BGP的ORF机造
 

    RFC2796 BGP Route Reflection BGP的路由反射器实现
 

    RFC3107 Carrying Label Information in BGP-4 若何在BGP中携带MPLS标签
 

    RFC4360 BGP Extended Communities Attribute BGP的扩大集体属性

 

使用BGP/MPLS实现的Layer3 VPN重要有如下特点：

 

    VPN的隧路是在网络服务提供商的PE上成立的，而不是在用户的CE之间成立的。VPN的路由也是在PE和PE之间传递，而不在CE之间传递。这样用户就不必要发什么精力守护自己的VPN。BGP/MPLS IP VPN也属于服 务商提供的VPN技术，对于服务商提供的VPN，IETF给其了一个术语叫Provider Provisioned VPN，简称为PPVPN

 

    把VPN隧路的部署及路由颁布变为动态实现，这样有利于VPN的规模扩大，能够很容易实现增长一个新的VPN或者是新的站点参与到一个现有的VPN中。

 

    支持地址沉叠（分歧VPN能够使用一样的地址空间）。

 

    在服务提供商的网络中，VPN的业务流使用标签互换转发而不是传统的路由转发。

 

    可能为企业提供具备专线级安全保险的互联规划。

 

    能够利用MPLS技术实现流量工程，支持用户的各类Qos需要。

 

    相较于传统方式，基于MPLS的VPN在可扩大性、服务质量和安全性等方面展示出显著特点。因而MPLS VPN技术是未来构建VPN的发展方向，会越来越受到客户和运营商的关注。