《BGPMPLSVPN原理-20090603.ppt》由会员分享,可在线阅读,更多相关《BGPMPLSVPN原理-20090603.ppt(61页珍藏版)》请在三一文库上搜索。
1、Page 1,BGP MPLS VPN原理,ISSUE 2.0,,Security Level:,Page 2,内容介绍,第一章 MPLS 原理 第二章 BGP MPLS VPN 第三章 BGP MPLS VPN 应用,Page 3,MPLS产生背景,传统的IP,每一跳分析IP头,效率低 QoS难于部署,而且效率低 所有路由器都要知道整个网络的所有路由,Page 4,MPLS产生背景,ATM的交换过程,面向连接,有N2 问题 靠链路层选路,基于VPI/VCI或标签 业务质量有保证,可保证实时业务,Page 5,MPLS产生背景,MPLS技术,MPLSMulti-Protocol Label S
2、witching Multi-Protocol:支持多种三层协议,如IP、IPv6、IPX、SNA等 Label Switching:给报文打上标签,以标签交换取代IP转发,Page 6,MPLS基本概念,LSR:Label Switch Router LER:Label Edge Router LSP:Label Switch Path,Page 7,MPLS包头结构,通常,MPLS包头有32Bit,其中有: 20Bit用作标签(Label) 3个Bit的EXP, 协议中没有明确,通常用作COS 1个Bit的S,用于标识是否是栈底,表明MPLS的标签可以嵌套。 8个Bit的TTL,理论上,标
3、记栈可以无限嵌套,从而提供无限的业务支持能力。这是MPLS技术最大的魅力所在。,Page 8,MPLS术语,标签(Label) 是一个比较短的,定长的,通常只具有局部意义的标识,这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间,标签通过绑定过程同FEC相映射。 FEC: Forwarding Equivalence Class,FEC(转发等价类),是在转发过程中以等价的方式处理的一组数据分组, 通常MPLS中一条路由条目对应一个FEC。通常在一台设备上,对一个FEC分配相同的标签。 LSP: 标签交换通道。一个FEC的数据流,在不同的节点被赋予确定的标签,数据转发按照这些标签进行
4、。数据流所走的路径就是LSP。 LSR: LSR是MPLS的网络的核心交换机,它提供标签交换和标签分发功能。 LER: 在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能。,Page 9,47.1,47.2,47.3,1,2,3,1,2,1,2,3,IP 47.1.1.1,IP 47.1.1.1,IP 47.1.1.1,IP的hop-by-hop逐跳转发,IP的逐跳转发,在经过的每一跳处,必须进行路由表的最长匹配查找(可能多次),速度缓慢。,Page 10,Label Switched Path (L
5、SP),MPLS的标签转发,通过事先分配好的标签,为报文建立了一条标签转发通道(LSP),在通道经过的每一台设备处,只需要进行快速的标签交换即可(一次查找)。,Page 11,Label Switched Path (LSP),FEC的精妙之处: 不同目的地址(属于相同的网段)的IP报文,在ingress处被划分为相同的FEC,具有相同的标签,这样在LSR处,只需根据标签做快速的交换即可。而对于传统的IP路由,在每一跳处实际上都是一次重新划分FEC的过程。 FEC的致命缺陷: 对于一条FEC来说,沿途所有的设备都必须具有相同的路由(前缀和掩码必须完全相同)才可以建成一条LSP。换句话说,使用M
6、PLS转发的所有沿途设备上,对于要使用标签转发的路由,都不能做路由聚合的操作。,Page 12,MPLS LDP,有了标签,转发是很简单的事,但是如何生成标签,却是MPLS中最难修练的部分。在MPLS秘笈中,这部分被称为LDP(Label Distribution Protocol),是一个动态的生成标签的协议。 其实LDP与IP帮派中的动态路由协议(例如RIP)十分相像,都具备如下的几大要素: 报文(或者叫消息) 邻居的自动发现和维护机制 一套算法,用来根据搜集到的信息计算最终结果。 只不过前者计算的结果是标签,后者是路由罢了。,Page 13,LDP消息,在LDP协议中,存在4种LDP消息
7、: 发现(Discovery)消息 用于通告和维护网络中LSR的存在。 会话(Session)消息 用于建立,维护和结束LDP对等实体之间的会话连接。 通告(Advertisement)消息 用于创建、改变和删除特定FEC-标签绑定。 通知(Notification)消息 用于提供消息通告和差错通知。,Page 14,邻居发现:通过互发hello报文(UDP/prot:646/IP:224.0.0.2),建立TCP连接:由地址大的一方主动发起。(TCP/port:646),会话初始化:由Master发出初始化消息,并携带协商参数。,由slave检查参数能否接受,如果能则发送初始化消息,并携带协
8、商参数。并随后发送keepalive消息。,master检查参数能否接受,如果能则发送keepalive消息。,相互收到keepalive消息,会话建立。,期间收到任何差错消息,均关闭会话,断开TCP连接,M,M,M,M,M,LDP会话的建立和维护,Page 15,LDP邻居状态机,Page 16,标签的分配和管理,标记分发方式 DOD(Downstream On Demand)下游按需标记分发 DU(Downstream Unsolicited)下游自主标记分发 标记控制方式: 有序方式(Odered)标记控制 独立方式(Independent)标记控制 标签保留方式 保守方式 自由方式 上
9、游与下游:在一条LSP上,沿数据包传送的方向,相邻的LSR分别叫上游LSR(upstream LSR )和下游LSR(downstream LSR)。下游是路由的始发者。,Page 17,LDP标签分配方式(DU),下游主动向上游发出标记映射消息。 标签分配方式中同样存在水平分割,即:对我已经选中的出口标 签,就不再为下一跳分配出标签。 标签是设备随机自动生成的,16以下为系统保留。 还有一种DOD方式(由上游向下游请求),运用较少。,47.1,47.3,1,3,1,1,3,3,Page 18,LDP标签保留方式,自由方式(Liberal retention mode) 保留来自邻居的所有发送
10、来的标签 优点:当IP路由收敛、下一跳改变时减少了lsp收敛时间 缺点:需要更多的内存和标签空间。 保守方式(Conservative retention mode) 只保留来自下一跳邻居的标签,丢弃所有非下一跳邻居发来的标签。 优点:节省内存和标签空间。 缺点:当IP路由收敛、下一跳改变时lsp收敛慢 比较流行的是自由方式。,Page 19,LDP标签控制方式,有序方式(Odered)标记控制: 除非LSR是路由的始发节点,否则LSR必须等收到下一跳的标记映射才能向上游发出标记映射。 独立方式(Independent)标记控制: LSR可以向上游发出标记映射,而不必等待来自LSR下一跳的标记
11、映射消息。 比较流行的是有序方式。,Page 20,LDP标签分配,如果采用(DU+自由有序)的标签分配及控制方式: 发现自己有直连接口路由时会发送标签; 收到下游到某条路由的标签并且该路由生效(也就是说,在本地已经存在该条路由,并且路由的下一跳和标签的下一跳相同)时会发送标签。 标签表中会存在大量的非选中的标签。,下面的说法正确吗: 如果某个网络中只有部分设备运行MPLS(MPLS域嵌在IP域中),则只会对运行MPLS的设备(MPLS域)的直连路由生成标签,对于其他设备(IP域)始发的路由则不会生成标签。,如果没有标签,那对于通过MPLS域的目的地址在IP域的报文如何转发呢?,Page 21
12、,标签转发表,心法口诀:入标签是我分给别人的,出标签是别人分给我的。 我分配的标签是给别人用的,我不会添加到报文中。,对于一台设备的标签转发表(全局标签空间)来说: 所有的入标签( ) 对于相同的路由(下一跳也相同),出标签( ) 对于不同的路由(但下一跳相同),出标签( ) 对于不同的路由(下一跳也不同),出标签( ) 对于同一条路由,入标签和出标签( ) A 一定不同 B 一定相同 C 可能相同,Page 22,倒数第二跳弹出(P H P),Egress LSR本应变MPLS转发为IP路由查找,但是他收到的仍旧是含有标签的MPLS报文,能做的只是去掉标签,然后送交IP层。其实对于Egres
13、s LSR,处理MPLS报文是没有意义的。最好能够保证他直接收到的就是IP报文。这就需要在ELSR的上游(倒数第二跳)就把标签给弹出来,以减少最后一跳的负担。 但关键问题是:上游设备如何知道自己是倒数第二跳呢?其实很简单,在倒数第一跳为其分配标签时做一下特殊说明即可(分配一个特殊的标签3)。,Page 23,MPLS的衰落,MPLS 最初是为了提高路由器的转发速度而提出的。与传统IP 路由方式相比,它在数据转发时,只在网络边缘分析IP 报文头,而不用在每一跳都分析IP 报文头,节约了处理时间。 随着ASIC 技术的发展,路由查找速度已经不是阻碍网络发展的瓶颈。这使得MPLS在提高转发速度方面不
14、再具备明显的优势。但是MPLS 支持多层标签和转发平面面向连接的特性,使其在VPN(Virtual Private Network)、流量工程、QoS(Quality ofService)等方面得到广泛应用。,Page 24,内容介绍,第一章 MPLS 原理 第二章 BGP MPLS VPN 第三章 BGP MPLS VPN应用,Page 25,VPN,江湖中除了IP、ATM等几个传统大派别之外,武林中还有一部分人醉心于修练一种“隐身术”,他们的领地通常四处分散,中间必须经过其他帮派(主要是IP)的地盘,为了免交养路费,在江湖中行走时如果经过IP的领地,便打扮成IP帮的弟子模样,到了本帮的领地
15、,再去掉伪装,恢复本来面目。这些人自称为VPN,掌门为“虚通道长”,手下的两个堂主分别是:“Overlay VPN”和“Peer-to-Peer VPN”,Page 26,VPN中的角色,VPN_A,VPN_A,VPN_B,10.3.0.0,10.1.0.0,11.5.0.0,P,P,P,P,PE,PE,CE,CE,CE,VPN_A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.6.0.0,CE,PE,PE,CE,CE,VPN_A,10.2.0.0,CE,P-Network,C-Network,CE(Custom Edge):直接与服务提供商相连的用户设备。 PE(Prov
16、ider Edge Router):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。 P (Provider Router):指骨干网上的核心路由器,主要完成路由和快速转发功能。由于网络规模不同,网络中可能不存在P路由器。PE路由器也可能同时是P路由器。,Page 27,Overlay VPN隧道建立在CE上,VPN_A,VPN_B,10.3.0.0,10.3.0.0,P,PE,PE,CE,CE,VPN_A,VPN_B,10.1.0.0,10.1.0.0,CE,PE,CE,P-Network,GRE tunnel,GRE tunnel,特点: 在CE与CE之间建立隧道,并直接传递
17、路由信息,路由协议数据总是在客户设备之间交换,服务商对客户网络结构一无所知。典型代表是GRE、IPSec 优点: 不同的客户地址空间可以重叠,保密性、安全性非常好。 缺点: 需要客户自己创建并维护VPN。通常客户不愿意,也没有这个能力。,PE与CE之间互联的地址是公网还是私网?,P,Page 28,Overlay VPN隧道建立在PE上,特点: 在PE上为每一个VPN用户建立相应的GRE隧道,路由信息在PE与PE之间传递,公网中的P设备不知道私网的路由信息。 优点: 客户把VPN的创建及维护完全交给服务商,保密性、安全性比较好。 缺点: 不同的VPN用户不能共享相同的地址空间,即使可以共享,则
18、PE与CE之间的地址、tunnel之间的地址一定不能相同,并且必须使用大量的ACL和策略路由。在实际中不具备可行性。,VPN_A,VPN_B,11.3.0.0,10.3.0.0,P,PE,PE,CE,CE,VPN_A,VPN_B,11.1.0.0,10.1.0.0,CE,PE,CE,P-Network,GRE tunnel,GRE tunnel,P,PE与CE之间互联的地址是公网还是私网?,Page 29,Overlay VPN的本质,Overlay VPN的本质是一种“静态”VPN,这好比是静态路由,所以 他具有类似静态路由的全部缺陷: 所有的配置与部署都需要手工完成,而且具有N2问题:如果
19、某个客户的VPN中新增了一个结点,则需要完成如下工作 在这个新增结点上建立与所有已存在的N个结点的隧道及相关的路由。 对于已存在的N个结点,需要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。 由于是“静态”VPN,则无法反应网络的实时变化。 而且,如果隧道建立在CE上,则必须由用户维护,如果建立在PE上, 则又无法解决地址冲突问题。,Page 30,Peer-to-Peer VPN,如同静态路由一样,所有具有“静态”性质的东西都不太适合大规模的应用和部署。所以,首先要解决的问题就是将VPN的部署及路由发布变为动态性。PeertoPeer VPN的产生就是源于这种思想。 这里的 Pee
20、rtoPeer是指CEtoPE,也就是要在CE与PE之间交换私网路由信息,然后由PE将这些私网路由在PNetwork中传播这样这些私网路由会自动的传播到其他的PE上。 这种VPN由于私网路由会泄露到公网上,所以必须严格的通过路由来控制,即:要确保同一个VPN的CE路由器上只能有本VPN的路由。所以,通常CE与PE之间运行的路由协议,与P-Network上运行的路由协议是不同的,即使相同,也要有很好的路由过滤和选择的机制。,Page 31,Peer-to-Peer VPN共享PE方式,所有VPN用户的CE都连到同一台PE上,PE与不同的CE之间运行不同的路由协议(或者是相同路由协议的不同进程,比
21、如OSPF)。由路由始发PE将这些路由发布到公网上,在接收端的PE上将这些路由过滤后再发给相应的CE设备。 缺点:为了防止连接在同一台PE上的不同CE之间互通,必须在PE上配置大量的ACL。,VPN_A,VPN_B,10.3.0.0,11.3.0.0,P,P,PE,CE,CE,VPN_A,VPN_B,10.1.0.0,11.1.0.0,CE,PE,CE,P-Network,私网路由在整个公网上传播,rip,ospf,ospf,isis,Page 32,Peer-to-Peer VPN专用PE方式,VPN_A,VPN_B,10.3.0.0,11.3.0.0,P,P,PE,CE,CE,VPN_A,
22、VPN_B,10.1.0.0,11.1.0.0,CE,PE,CE,P-Network,私网路由在整个公网上传播,rip,rip,ospf,ospf,为每一个VPN单独准备一台PE路由器,PE和CE之间可以运行任意的路由协议,与其他VPN无关。PE之间运行BGP,并使用路由属性进行过滤。 优点:无需配置任何的ACL了。 缺点:每一个VPN用户都有新增一台专用的PE,代价过于昂贵了。,PE,PE,Page 33,Peer-to-Peer VPN的本质,Peer-to-Peer VPN虽然很好的解决了“静态的问题”,但是仍旧有很多局限性: 由于没有使用隧道技术,导致私网路由泄露到公网上,安全性很差。
23、 仍旧存在所有的设备无法共享相同的地址空间问题。 如何解决?How?,Page 34,解决方案,隧道技术问题MPLS 要确保安全性,则必须使用隧道技术,虽然并不缺少隧道,但如GRE、IPSec都是静态隧道技术,无法适应大规模的网络。MPLS中的LSP正是一种天然的隧道,而且这种隧道的建立是基于LDP协议,又恰恰是一种动态的标签生成协议。,Page 35,解决方案,地址冲突问题BGP 为什么是BGP? 如果要解决地址冲突问题,必须对现有的协议进行大规模的修改,这就要求一个协议具有良好的可扩展性。而BGP是一个非常合适的人选: 网络中VPN路由数目可能非常大,BGP是唯一支持大量路由的路由协议;
24、BGP是基于TCP来建立连接,可以在不直接相连的路由器间交换信息,这使得P路由器中无须包含VPN路由信息; BGP可以运载附加在路由后的任何信息,作为可选的BGP属性,任何不了解这些属性的BGP路由器都将透明的转发它们,这使在PE路由器间传播路由非常简单。,Page 36,地址冲突问题,BGP需要攻克以下三个难关: 本地路由冲突问题,即:在同一台PE上如何区分不同VPN的相同路由。(控制平面) 路由在网络中的传播问题,两条相同的路由,都在网络中传播,对于接收者如何分辨彼此?(控制平面) 报文的转发问题,即使成功的解决了路由表的冲突,但是当PE接收到一个IP报文时,他又如何能够知道该发给那个VP
25、N?因为IP报文头中唯一可用的信息就是目的地址。而很多VPN中都可能存在这个地址。(转发平面),Page 37,解决思路,本地路由冲突问题:专用PE-用一台共享PE模拟成多台专用PE 。可以通过在同一台路由器上创建不同的路由表解决,而不同的接口可以分属不同的路由表中。 路由传播的地址冲突问题:可以在路由传递的过程中为这条路由再添加一个标识,用以区别不同的VPN。 报文转发地址冲突问题:由于IP报文的格式不可更改,但可以在IP头之外加上一些信息,由始发的VPN打上标记,这样PE在接收报文时可以根据这个标记进行转发,Page 38,1、本地地址冲突问题,其实解决地址冲突的问题,也存在一些方法:使用
26、ACL、IP unnumber、NAT。但这些办法都是基于“打补丁”的思想,没能从本质上解决问题。要想彻底解决,必须在理论上有所突破。可以从专用PE上得到启示。专用路由器方式分工明确,每个PE只保留自己VPN的路由。P只保留公网路由。而现在的思路是:将这些所有设备的功能,和在一台PE上完成。,PE,CE,VPN-A,VPN-A,CE,VPN-B,Global Routing Table,VPN Routing Table,CE,IGP &/or BGP,PE,P,专用PE方式,Page 39,VRF,VRF-VPN路由转发实例(VPN Routing & Forwarding Instance
27、) 每一个VRF可以看作虚拟的路由器,好像是一台专用的PE设备。该虚拟路由器包括如下元素: 一张独立的路由表,当然也包括了独立的地址空间。 一组归属于这个VRF的接口的集合。 一组只用于本VRF的路由协议。 对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由表(也叫全局路由表),多个VRF实例相互分离独立。 其实实现VRF并不困难,关键在于如何在PE上使用特定的策略规则来协调各VRF和全局路由表之间的关系。,Page 40,VRF路由表间关系RT,RT 使用了BGP的扩展community属性,并且起了一个新名字:RT(Route Target) 扩展的community有如下两种
28、格式:其中type字段为0x0002或者0x0102时表示RT。,Page 41,RT的本质,RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分:Export Target与import Target 在一个VRF中,在发布路由时使用RT的export规则。直接发送给其他的PE设备 在接收端的PE上,接收所有的路由,并根据每个VRF配置的RT的import规则进行检查,如果与路由中的RT属性match,则将该路由加入到相应的VRF中。,Page 42,RT的灵活应用,由于每个RT Export Target与import Target都可以配置多个属性,可以实现非常灵活的VP
29、N访问控制,Page 43,2、路由在传播过程中地址冲突问题,在成功的解决了本地路由冲突的问题之后,路由在网络中传递时的冲突问题就迎刃而解了。只要在发布路由时加上一个标识即可。既然路由发布时已经携带了RT,可否就使用RT作为标识呢? 理论上讲,肯定是可以的。但BGP的Route withdraw报文不携带属性,这样在这种情况下收到的路由就没有RT了。所以还是另外定义RD(Route Distinguisher)。,Page 44,RD,RD的格式: 16位自治系统号ASN:32位用户自定义数,例如:100:1 32位IP地址:16位用户自定义数,例如:172.1.1.1:1 一般为一个site
30、分配唯一一个RD,它是VRF的标识符,RD的结构:,Page 45,VPNv4和IPv4 地址族,为了解决不同的VPN可以使用相同的地址空间的问题,引入了新的地址族VPNv4。而原来的标准的地址族就称为IPv4。 VPNv4 地址族主要用于PE路由器之间传递VPN路由 由于RD在不同的VPN间具有唯一性。如果两个VPN使用相同的IP地址,PE路由器为它们添加不同的RD,转换成唯一的VPN-v4地址,不会造成地址空间的冲突。 PE从CE接收的标准的路由是IPv4路由,如果需要引入VRF路由表并发布给其他的路由器,此时需要附加一个RD。建议相同VPN的RD配置成相同的。,Route Disting
31、uisher(8个字节),IPv4 地址,VPNV4地址结构:,Page 46,3、报文转发地址冲突问题,至此,前两个问题:在PE本地的路由冲突和网络传播过程的冲突都已解决。但是如果一个PE的两个本地VRF同时存在10.0.0.0/24的路由,当他接收到一个目的地址为10.0.0.1的报文时,他如何知道该把这个报文发给与哪个VRF相连的CE?肯定还需要在被转发的报文中增加一些信息。 需要一个短小的标记来标识,由于公网的隧道已经由MPLS来提供,而且MPLS支持多层标签的嵌套,这个标记定义成MPLS标签格式的私网标签。这个私网的标签就由MP-BGP来分配。,Page 47,MBGP,MBGP (
32、Multiprotocol Extensions for BGP-4 ) BGP-4仅仅支持IPv4,MBGP是为了让BGP可以用于传输更多协议(IPv6, IPX,.)的路由信息而进行的扩展。 为了保持兼容性,MBGP仅仅添加了两个BGP属性:MP_REACH_NLRI、MP_UNREACH_NLRI,这两个属性可以用在BGP Update消息中用于通告或废止网络可达性信息。,Page 48,BGP发布路由时需要携带的信息,一个扩展之后的NLRI( Network Layer Reachability Information),增加了地址族的描述,以及私网label和RD。,跟随之后的是RT
33、的列表,对于使用了扩展属性MP_REACH_NLRI的BGP,我们称之为MP-BGP。,Page 49,概念总结,VRF:在一台PE上虚拟出来的一个路由器,包括一些特定的接口,一张路由表,一个路由协议,一个RD和一组RT规则。 RT:表明了一个VRF的路由喜好,通过他可以实现不同VRF之间的路由互通。他的本质就是BGP的community属性。 RD:为了防止一台PE接收到远端PE发来的不同VRF的相同路由时不知所措,而加在路由前面的特殊信息。在PE发布路由时加上,在远端PE接收到路由后放在本地路由表中,用来与后来接收到的路由进行比较。 Label:为了防止一台PE接收到远端PE发给本地不同V
34、RF的相同地址的主机时不知所措,而加在报文前面的特殊信息。 SITE:一个VRF加上与其相连的所有的CE的集合。 VPN:是一些SITE的集合,这些SITE由于共享了相同的路由信息可以互通。,Page 50,内容介绍,第一章 MPLS 原理 第二章 BGP MPLS VPN 第三章 BGP MPLS VPN应用,Page 51,CE与PE之间如何交换路由,VRF在PE上配置。PE 维护独立的路由表,包括公网和私网(VRF)路由表: 公网路由表:包含全部PE和P 路由器之间的路由,由骨干网IGP产生。 私网路由表:包含本VPN用户可达信息的路由和转发表。 PE 和 CE 通过标准的EBGP、OS
35、PF、RIP或者静态路由交换路由信息。 静态路由、RIP、OSPF、EBGP都是标准的协议,但是每个VRF运行不同的实例。相互之间没有干扰。与PE的MP-iBGP之间import操作。,Page 52,VRF路由注入到MP-iBGP,PE路由器需要对一条路由进行如下操作: 加上RD(RD为手工配置),变为一条VPN-IPV4路由。 更改下一跳属性为自己(通常是自己的loopback地址) 加上私网标签(随机自动生成,无需配置) 加上RT属性(RT需手工配置) 发给所有的PE邻居。,为何要更改下一跳属性?,携带RT的export还是import属性?,Page 53,MP-iBGP路由注入到VR
36、F,PE,CE-1,MP-iBGP,PE,ip vrf VPN-A route-target import VPN-A,VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-1 SOO=Paris, RT=VPN-A, Label=(28),CE-2,VPN-v4 路由变为IPV4路由,并且根据本地VRF的import RT属性加入到相应的VRF中,私网标签保留,留做转发时使用。再由本VRF的路由协议引入并转发给相应的CE,每个VRF都有import route-target和 export route-target 的配置 发送PE发出MP-iB
37、GP updates时,报文携带 export 属性。 接受PE 收到VPN-IPv4的MP-iBGP updates 时,判断收到的export是否与本地的VRF的import相等,相等就加入到相应的VRF路由表中,否则丢弃,Page 54,公网标签分配过程,PE和P路由器通过骨干网IGP学习到BGP邻居下一跳的地址。 通过运行LDP协议,分配标签,建立LSP通道。 标签栈用于报文转发,外层标签用来指示如何到达BGP下一跳 ,内层标签表示报文的出接口或者属于哪个VRF(属于哪个VPN)。 MPLS 节点转发是基于外层标签,而不管内层标签是多少。,P router,In Label FEC O
38、ut Label - 197.26.15.1/32 -,In Label FEC Out Label 41 197.26.15.1/32 POP,In Label FEC Out Label - 197.26.15.1/32 41,Paris,Use label implicit-null for destination 197.26.15.1/32,Use label 41 for destination 197.26.15.0/24,VPN-v4 update: RD:1:27:149.27.2.0/24, NH=197.26.15.1 RT=VPN-A, Label=(28),PE-1,
39、London,149.27.2.0/24,Page 55,报文转发从CE到Ingress PE,CE将报文发给与其相连的VRF接口,PE在本VRF的路由表中进行查找,得到了该路由的公网下一跳地址(即:对端PE的loopback地址)和私网标签。 在把该报文封装一层私网标签后,在公网的标签转发表中查找下一跳地址,再封装一层公网标签后,交与MPLS转发。,In Label FEC Out Label - 197.26.15.1/32 41,Paris,149.27.2.27,PE-1,London,149.27.2.0/24,149.27.2.27,28,41,VPN-A VRF 149.27.2
40、.0/24, NH=197.26.15.1 Label=(28),Page 56,Ingress PEEgress PECE,该报文在公网上沿着LSP转发,并根据途径的每一台设备的标签转发表进行标签交换。 在倒数第二跳处,将外层的公网标签弹出,交给目的PE设备 PE设备根据内层的私网标签判断该报文的出接口和下一跳。 去掉私网标签后,请报文转发给相应的VRF中的CE。,In Label FEC Out Label 41 197.26.15.1/32 POP,Paris,149.27.2.27,PE-1,London,149.27.2.0/24,149.27.2.27,28,41,VPN-A VR
41、F 149.27.2.0/24, NH=197.26.15.1 Label=(28),149.27.2.27,28,In Label FEC Out Label 28(V) 149.27.2.0/24 -,VPN-A VRF 149.27.2.0/24, NH=Paris,149.27.2.27,Page 57,MPLS VPN控制流程“私网”路由及标签传递,MPLS,PEA,PB,PEC,MP-BGP IBGP Peer,CE A1,CE B1,CE A2,CE B2,VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-C RT=VPN-A,
42、Label=(28),VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-C RT=VPN-A, Label=(28),BGP, OSPF, RIPv2 update for 149.27.2.0/24,NH=PE-A,BGP, OSPF, RIPv2 update for 149.27.2.0/24,NH=CE-A2,Page 58,MPLS VPN控制流程“公网”LSP的建立,MPLS,PEA,PB,PEC,20,1.1.1.1/32,1.1.1.1/32,1.1.1.1/32,IGP,IGP,PE C的loopback地址为1.1.1.1,
43、In 20,out 3,3,out 20,Page 59,MPLS VPN数据流程私网数据包的转发,MPLS,PEA,PB,PEC,CE A1,CE B1,CE A2,CE B2,Ping 149.27.2.1,20,28,3,1.1.1.1/32,out 20,1.1.1.1/32,In 20,out 3,1.1.1.1/32,BGP, OSPF, RIPv2 update for 149.27.2.0/24,NH=PE-A,当PE-C收到标签为28的报文时,如何知道这是一个私网报文,应该在VRF路由表中查找路由,还是一个公网报文,应该在全局路由表中查找路由?,Page 60,MPLS/VP
44、N入门考试试题,在MPLS/VPN中公网标签是由()分配的,私网标签是由()分配的。 在CE上需要运行(),在PE上需要运行(),在P上需要运行() A. 普通的路由协议 B.MP-BGP C.MPLS RD是(),RT是(),私网标签是(),公网标签是() A.手工配置的 B.随机生成的 虽然运行MPLS协议后,路由器会自动为公网路由表中的所有路由分配标签,但实际上,只需要为所有PE的loopback地址分配标签即可,不必为其他的任何公网路由分配标签。()T or F 虽然建议为不同的VPN配置不同的RD,相同的VPN配置相同的RD。但根本就别理他,只要保证存在相同地址的两个VRF的RD不同即可,不同的VPN可以配置相同的RD,相同的VPN也可以配置不同的RD。()T or F 既然已经定义了RD,就不可能存在两条相同的路由同时在网络中传播。() 对于一台PE,可能会出现接收到的不同目的地址的报文具有相同的私网标签,不可能会出现发送的不同目的地址的报文具有相同的私网标签() 一台运行MPLS的路由器如何知道自己相对于每个LSP是倒数第二跳,又如何知道自己是倒数第一跳?,