MPLS VPN 基本原理
中国电信路由型MPLSVPNQOS技术原理及业务实现
CN2 国内业务节点
国内PE/PE-ASBR设置国内覆盖约200城市二期扩容后,大部分城市具备双PE备份接入能力,并为软交换工程配套的PE上新增业务端口,为大客户VPN业务提供双PE接入。国内PE路由器配置有2.5G POS、GE、Channelized STM-1卡,其中采用两条2.5G POS电路分别与该城市节点两台P路由器连接。GE、Channelized STM-1作为VPN接入电路(N*64K,N*2M接入)。
Back-to-Back VRF方式:转发平面
PE-1
PE-2
VPN-B-1
CE-2
CE-3
VPN-B-2
PE-ASBR间VRF to VRF互联
PE-ASBR-1
PE-ASBR-2
152.12.4.0/24
152.12.4.1
32 | 92 | 152.12.4.1
152.12.4.1
Back-to-Back VRF 方式-1/2
需要对VRF进行灵活控制的情况下,推荐使用Back-to-Back VRF ASBR直接通过一条物理链路互联为每个VRF创建和分配一个子端口包转发直接使用 IP封装,无需打上标签每个 PE-ASBR 视对方为CEPE-ASBR to PE-ASBR 链路使用PE-CE支持的常见路由协议大量VRF情况下存在时,配置工作量较大
路由型VPN技术原理-1/10
MPLS VPN网络结构CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设备,一般是路由器; PE(Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连;P 路由器(Provider Router)骨干网中不与CE直接相连的设备。
路由型VPN技术原理-2/10
MPLSVPN技术原理与配置华为数通HCIP
MPLSVPN技术原理与配置华为数通HCIP MPLS VPN通过使用VRF(Virtual Routing and Forwarding)技术来
实现虚拟专有网络的隔离。
每个VRF都有自己的路由表,用于存储与该VRF相关的路由信息。
MPLS VPN还使用了BGP(Border Gateway Protocol)作为控制协议,用于路由选择和通告。
配置MPLSVPN的主要步骤如下:
2.配置MPLSVPN功能:创建VRF实例、配置VRF的路由目标、选择和
配置控制协议(BGP或OSPF)。
3.配置MPLSVPN接口:将接口与VRF关联、配置接口的IP地址和子
网掩码。
4.配置MPLSVPN路由:将主机路由或网络路由添加到VRF的路由表中,控制数据包的转发。
5.配置MPLSVPN安全性:配置MPLSVPN的访问控制(ACL)策略、配
置MPLSVPN的加密和身份验证。
在华为数通HCIP的考试中
1.理解MPLSVPN的原理和工作方式;
3.能够配置MPLSVPN功能,包括创建VRF实例、配置VRF的路由目标等;
4.能够配置MPLSVPN接口,包括将接口与VRF关联、配置接口的IP
地址和子网掩码等;
5.能够配置MPLSVPN路由,包括添加主机路由或网络路由到VRF的路由表中等;
6.能够配置MPLSVPN安全性,包括配置访问控制策略、加密和身份验证等。
通过掌握这些能力,可以有效地配置和管理MPLSVPN,提供安全可靠的虚拟专有网络服务。
中国电信路由型MPLSVPN/QOS技术原理及业务实现
中国电信路由型MPLSVPN/QOS技术原理及业务实现一、MPLSVPN的原理二、MPLSVPN的业务实现1.VPN的划分MPLSVPN将网络划分为三个层级:全局路由器(PE)、边缘路由器(CE)和客户路由器(CPE)。
全局路由器(PE)负责虚拟专线的建立和数据传输,边缘路由器(CE)连接PE和CPE,负责CE与PE之间的数据交换,而客户路由器(CPE)连接到CE上,提供了用户接入功能。
2.路由选择在MPLSVPN中,所有的路由选择都是由PE进行决策的,而不是由CE 或CPE来实现。
PE根据配置的路由策略选择最佳路径,并将其记录到CE 的路由表中。
这样,当数据包到达CE时,它会查找路由表,并将数据转发到相应的PE。
3.数据包的转发三、QoS技术的原理和业务实现1.QoS的原理QoS(Quality of Service)是一种网络流量管理技术,可以为网络中的不同服务提供不同的服务质量,确保关键应用的性能和可靠性。
QoS通过设置和管理数据包的优先级和带宽,控制网络拥塞和带宽分配。
它可以对不同的数据流进行分类和标记,然后根据优先级和带宽的设置,对不同的数据流进行排队、调度和控制。
2.QoS的业务实现QoS的业务实现主要包括三个方面:分类和标记、队列管理和带宽控制。
(1)分类和标记:QoS将从网络中接收到的数据流根据不同的应用或服务的不同需求进行分类和标记,用于后续的管理和处理。
(2)队列管理:QoS使用排队管理来控制流量的传输顺序。
它将不同的数据流放置在不同的队列中,并设置不同的优先级和调度算法,根据优先级和带宽设置,对数据流进行排队和调度。
(3)带宽控制:QoS通过设置和管理带宽来控制网络流量的大小和分配。
它可以设置优先级和带宽的参数,调整不同服务和应用的带宽占用情况,确保关键应用的带宽需求得到满足。
总结:。
32MPLS VPN原理与配置
RD常见格式有两种:
2字节自治系统号:4字节用户自定义数,例如100:1 IPv4地址:2字节用户自定义数,例如192.168.122.15:1
无论采用哪种格式,必须保证RD值全局唯一
VPN实例地址族下一旦配置RD后,RD将不能被修改或删除。如果要修改,需要去使能 VPN实例相应的地址族或者删除VPN实例,然后再重新配置
MPLS VPN原理与配置
概述
VPN 虚拟专用网络,在一个公共的网络中实现虚拟的专用网络 常见的为三层VPN,也有二层的MPLS VPN
网络架构
BGP/MPLS IP VPN的基本模型由三部分组成:CE、PE和P CE(Customer Edge):用户网络边缘设备,直接与服务提供商网络相连,CE不需要支持MPLS PE(Provider Edge):运营商边缘路由器,与CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要 求较高 P(Provider):运营商骨干路由器,只需要具备基本MPLS转发能力,不维护VPN信息
传递到对端PE,对端PE如何正确的导入VPN路由
PE从不同的CE收到了相同的路由,看RD CE端路由条目本端是否接收,看RT
形象记忆
RD:身份证,只有一个 RT:护照,通行证,可以有多个
MP-BGP
采用地址族address family区分不同的网络层协议
MP-BGP新增了两种路径属性
MP_REACH_NLRI Multiprotocol Reachable NLRI,多协议可达NLRI。用于发布可达路由及下一跳信息 MP_UNREACH_NLRI Multiprotocol Unreachable NLRI,多协议不可达NLRI。用于撤销不可达路由
MPLS_VPN标签交换原理
MPLS-VPN 标签交换原理By-勤毅队MPLS-VPN 标签交换原理 (1)MPLS简述 (2)MPLS-VPN简介 (3)1.PE路由器 (4)2.P路由器: (4)3.CE路由器: (4)4.VPN-IPV4地址: (4)5.路由区分符RD: (4)6.路由目标RT: (4)7.VPN路由转发表(VRF): (4)MPLS 基本概念 (5)1.转发等价类FEC (5)2.标签(label) (5)3.标签交换路由器LSR (7)4.. 标签交换路径LSP (7)5.标签分发协议LDP (7)6.LSR (9)7.LER (9)8.倒数第二跳弹出(PHP /Penultimate Hop Popping) (9)标签转发表产生过程 (10)1.路由器之间通过路由协议或静态路由产生路由表。
(10)2.运行MPLS的路由器为路由表中的路由分配标签。
(11)3.通过LDP/RSVP协议发现其MPLS邻居。
(11)4.将打标签的路由通告给其MPLS邻居。
(11)5.路由器将其下一跳路由器(单播路由表)通告的标签加到其转发表中。
(11)6.路由器只将其下一跳路由器通告的标签加到其转发表中。
(11)IP包在MPLS网络中转发过程 (12)1.MPLS入口路由器根据目的地址查找路由表。
(12)2.将该IP包打上标签,转发给下一跳路由器。
(12)3.下一跳路由器查找其转发表,替换标签,继续转发。
(13)4.出口路由器查找其转发表,发现其就是目的地网络,弹出标签,送给相应端口处理。
(13)MPLS简述MPLS(多协议标签交换) 2.5层技术;MPLS(multi-protocol-label-switch)是Internet核心多层交换计算的最新发展;MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度;1)RIB:常规理解的路由表2)FIB:基于CEF的快速转发表3)LIB:LDP学习到的邻居标签表4)LFIB:根据LIB和RIB得出的转发表MPLS可以运行在任何链接层技术之上,从而简化了向基于SONET/WDM 和IP/WDM结构的下一代光Internet的转化。
mpls vpn基本原理
温馨小提示:本文主要介绍的是关于mpls vpn基本原理的文章,文章是由本店铺通过查阅资料,经过精心整理撰写而成。
文章的内容不一定符合大家的期望需求,还请各位根据自己的需求进行下载。
本文档下载后可以根据自己的实际情况进行任意改写,从而已达到各位的需求。
愿本篇mpls vpn基本原理能真实确切的帮助各位。
本店铺将会继续努力、改进、创新,给大家提供更加优质符合大家需求的文档。
感谢支持!(Thank you for downloading and checking it out!)阅读本篇文章之前,本店铺提供大纲预览服务,我们可以先预览文章的大纲部分,快速了解本篇的主体内容,然后根据您的需求进行文档的查看与下载。
mpls vpn基本原理(大纲)一、MPLSVPN概述1.1VPN的定义与分类1.2MPLS技术背景1.3MPLSVPN的优势二、MPLSVPN的基本工作原理2.1MPLS标签交换机制2.2VPN路由与转发2.3VPN标签分配与分发三、MPLSVPN的关键技术3.1VPN标识符3.2虚拟路由与转发(VRF)3.3标签控制协议(LDP)3.4标签分配策略四、MPLSVPN的网络架构4.1PE(ProviderEdge)路由器4.2CE(CustomerEdge)路由器4.3P(Provider)路由器4.4VPN站点与互联五、MPLSVPN的配置与实现5.1VPN实例的创建与配置5.2VRF的配置5.3LDP的配置5.4跨域MPLSVPN的实现六、MPLSVPN的安全与优化6.1安全机制与策略6.2VPN隔离与访问控制6.3性能优化与故障排查七、MPLSVPN的应用场景7.1企业内部网络互联7.2互联网数据中心(IDC)互联7.3城域网(MAN)与广域网(WAN)互联八、总结与展望8.1MPLSVPN技术的总结8.2MPLSVPN技术的发展趋势8.3未来研究方向与挑战一、MPLSVPN概述1.1 VPN的定义与分类VPN(Virtual Private Network,虚拟专用网络)是一种利用公共网络资源为用户提供专用网络服务的技术。
BGPMPLSVPN基本原理
BGPMPLSVPN基本原理
BGP MPLS VPN(Border Gateway Protocol Multi-Protocol Label Switching Virtual Private Network)是一种用于构建虚拟私有网络的技术,通过使用BGP和MPLS协议结合,为企业提供了安全、可靠的数据通信解决方案。
2. 路由选择:BGP(Border Gateway Protocol)是一种路由选择协议,它通过收集并传递各个路由器之间的网络信息,用于选择最佳的数据传输路径。
在BGP MPLS VPN中,企业网关路由器(CE路由器)通过向PE 路由器发送路由信息,告知PE路由器如何转发数据包。
3. VPN分离:BGP MPLS VPN采用了一种称为“VRF(Virtual Routing and Forwarding)”的技术,通过在PE路由器上创建不同的虚拟路由器实例,将不同的VPN隔离开来。
每个VRF实例都有自己的路由表和转发表,保证了不同VPN之间的数据不会泄漏。
5.安全性:BGPMPLSVPN提供了很高的安全性,通过使用VPN隔离和数据加密等安全机制,确保了企业数据的机密性和完整性。
此外,BGPMPLSVPN还支持访问控制列表(ACL)和防火墙等安全策略,以进一步增强网络安全性。
mpls vpn工作原理
mpls vpn工作原理
MPLS VPN是一种基于多协议标签交换(MPLS)技术的虚拟
专用网络(VPN)。
它提供了一种安全、可靠的方式来连接
位于不同地理位置的分支机构和远程用户。
MPLS VPN的工作原理是将数据包标记转发。
当数据包进入MPLS网络时,它会被加上一个标签。
该标签指示了数据包在
网络上的路径。
网络中的每个路由器都维护着一个标签转发表,用于确定数据包应该被转发到哪个接口。
当数据包达到目的地时,接收方的路由器会根据标签将数据包解封,并将其传递给目标设备。
MPLS VPN使用两种类型的标签:前缀标签和VPN标签。
前
缀标签用于确定数据包的源IP地址和目的IP地址,以确定数
据包的路径。
VPN标签则用于将数据包路由到正确的VPN。
这使得多个不同的VPN可以在同一个MPLS网络上共存。
MPLS VPN的主要优点之一是提供了良好的性能和可伸缩性。
它使用标签交换技术来转发数据包,与传统的IP路由相比,
可以更快地进行数据包转发。
此外,MPLS VPN还具有灵活
的扩展性,可以轻松添加新的分支机构或远程用户。
另一个重要的优点是MPLS VPN提供了高级的安全性。
由于
数据包在传输过程中被标记,只有正确的路由器可以解开数据包并将其传递给目标设备。
这有效地防止了未经授权的访问和数据泄漏。
总而言之,MPLS VPN通过使用标签交换技术来提供安全可靠的连接,可以连接不同地理位置的分支机构和远程用户。
它具有良好的性能和可伸缩性,并提供高级的安全性功能。
BGPMPLSVPN基本原理
BGPMPLSVPN基本原理
BGPMPLSVPN(BGP/MPLS Virtual Private Network)是一种基于BGP 和MPLS的虚拟专用网络技术,用于构建安全可靠的虚拟专用网络,使得企业或组织能够安全地在Internet上建立和运行私有网络。
BGPMPLSVPN 的基本原理是通过BGP协议建立和维护VPN路由,并利用MPLS技术在公共网络中为VPN数据流建立隧道。
1. VPN路由分发:首先,VPN路由提供者(VPN Service Provider)通过BGP协议向VPN客户(VPN Customer)分发VPN路由信息。
VPN客户可以根据自己的需求和策略,选择将哪些子网内的流量传送到VPN路由分发点。
2.VPN路由选择:VPN客户接收到VPN路由分发后,可以通过本地的路由选择过程来决定将流量传送到哪个VPN路由分发点。
VPN客户根据路由选择算法来选择最佳的路径,并建立到VPN路由分发点的连接。
通过以上的步骤,BGPMPLSVPN实现了在公共网络上建立安全可靠的虚拟专用网络。
VPN客户可以通过在BGP和MPLS的支持下,将其流量隔离在公共网络之外,增加了数据传输的安全性和可靠性。
此外,BGPMPLSVPN还支持不同客户之间的流量隔离和不同服务质量(QoS)的提供,以满足不同应用场景的需求。
总结起来,BGPMPLSVPN利用BGP协议建立和维护VPN路由,通过MPLS技术在公共网络中为VPN数据流建立隧道,从而实现了在公共网络中构建安全可靠的虚拟专用网络的目的。
mpls vpn原理
mpls vpn原理MPLS VPN原理MPLS(Multiprotocol Label Switching)是一种高效的数据传输技术,可以在网络中快速转发数据包。
而VPN(Virtual Private Network)则是一种安全的网络连接方式,可以在公共网络上创建一个私有网络。
MPLS VPN将这两种技术结合起来,提供了一种高效且安全的远程连接方式。
MPLS VPN的原理是将VPN数据包封装在MPLS数据包中进行传输。
在MPLS网络中,每个数据包都会被分配一个标签,这个标签是一个短的固定长度的二进制串,用于标识数据包的路由信息。
MPLS VPN 使用标签交换技术,可以在网络中快速转发数据包,提高了网络传输的效率。
MPLS VPN的工作原理分为两个部分:控制平面和转发平面。
控制平面负责维护路由信息和标签信息,转发平面则负责实际的数据传输和标签交换。
在控制平面中,MPLS VPN使用路由协议来维护网络拓扑和路由信息。
常用的路由协议有OSPF和BGP。
当一个数据包进入MPLS VPN网络时,控制平面会根据路由信息为这个数据包分配一个标签。
标签的分配是根据VPN的配置信息和路由协议的信息进行的。
在MPLS VPN 网络中,每个VPN都有一个唯一的标识符,称为VPN ID。
当一个数据包进入MPLS VPN网络时,控制平面会根据VPN ID将数据包分配到正确的VPN中。
在转发平面中,MPLS VPN会将VPN数据包封装在MPLS数据包中进行传输。
当一个数据包进入MPLS VPN网络时,转发平面会根据标签信息将数据包转发到正确的下一跳路由器。
每个路由器在转发数据包时,只需要根据标签信息来进行转发,而不需要进行复杂的路由计算,提高了网络传输的效率。
MPLS VPN提供了多种连接方式,包括点到点连接和点到多点连接。
点到点连接是指将两个VPN网关连接起来,点到多点连接是指将多个VPN网关连接起来,形成一个虚拟的私有网络。
MPLSVPN的原理以及过程
MPLSVPN的原理以及过程
MPLS(Multiprotocol Label Switching)VPN是一种基于Multiprotocol Label Switching技术的虚拟专用网络。
它允许企业在公
共IP网络上创建安全、高性能的通信通道,以实现不同地点之间的数据
传输和互联。
1.虚拟路由设置:首先,网络管理员需要在网络设备上进行虚拟路由
设置。
虚拟路由定义了每个VPN网络的路由信息,包括IP地址范围、子
网掩码、网关等。
1.安全性:由于MPLSVPN使用了隔离的虚拟专用网络,因此不同的VPN网络之间相互隔离,数据包不会被非授权的用户拦截和访问。
2.可扩展性:MPLSVPN可以根据企业的需求进行扩展,支持大规模的
网络部署和资源共享。
3.高性能:MPLSVPN能够在公共IP网络上提供高性能的数据传输,
通过减少计算开销和数据包转发的时间,提高了数据传输的效率。
4.灵活性:MPLSVPN可以根据企业的需求灵活配置,可以根据企业的
分支机构和不同地点的需求创建不同的VPN网络,满足企业的多样化需求。
MPLSVPN原理
中心站点
分支机构
IP/MPLS网
移动办公人员
培训中心.
Page 4
隧道机制
IP VPN可以理解为:通过隧道技术在公众IP/MPLS网络上仿真一条
RT的本质是每个VRF表达自己的路由取舍及喜好的方式 ,分为两
Vrf3:export red import red Vrf4:export yellow PE2 import yellow
部分:
export target,表示发出路由的属性
import target,表示愿意接收什么路由
培训中心.
培训中心.
Page 20
MPLS标签的生成1
In 20
172.16.1/24
R1 R2
R3
Label 20
R4 172.16.1/24
路由器发现有直连路由时就会向外发送标签
培训中心.
Page 21
MPLS标签的生成2
In 30 172.16.1/24 out 30 In 20 172.16.1/24 out 20 172.16.1/24 out 20 In 20 172.16.1/24
原始数据包
可以是IP、ATM和帧中继
L2TP没有对数据进行加密。
培训中心.
Page 8
L2TP的典型应用--VPDN
PPP连接
L2TP连接
用户发起PPP连接到接入服务器 接入服务器封装用户的PPP会话到L2TP隧道,L2TP隧道穿过公共IP网络,终止于电信 VPDN机房的LNS 用户的PPP session经企业内部的认证服务器认证通过后即可访问企业内部网络资源
mpls vpn工作原理
mpls vpn工作原理
MPLS VPN(Multiprotocol Label Switching Virtual Private Network)工作原理如下:
1. 路由选择:首先,每个站点的路由器将IP数据包传输到MPLS VPN网络中。
路由器通过查找路由表确定最佳路径。
在MPLS网络中,标签交换路由器(LSR)用于智能地选择数据包传输的路径。
2. 标记:当数据包进入MPLS网络时,每个标签交换路由器
会给该数据包附加一个标签。
这个标签是一个短的二进制串,用于唯一标识该数据包在MPLS网络中的路径。
3. 路由选择和标记总结:路由选择决定了数据包的最佳路径,而标记则是为了区分并标识不同的数据包。
4. 数据转发:一旦数据包被标记,MPLS网络中的每个路由器
会根据标签来转发数据包。
路由器根据标签查找相应的转发表,以确定数据包应该转发到哪个接口。
5. 边界路由器:边界路由器是连接MPLS VPN网络和其他网络,如互联网的入口和出口点。
边界路由器负责将数据包进入和离开MPLS网络。
总的来说,MPLS VPN通过将标签应用于数据包并在MPLS
网络内部进行路由选择和转发,实现了安全而高效的私有网络
连接。
数据被封装和标记,以确保数据的安全性和准确性,并通过优化路由选择来提高网络性能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
MPLS/VPN 基本原理MPLS简述MPLS(multi-protocollabelswitch)是Internet核心多层交换计算的最新发展。
MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度。
而且,MPLS可以运行在任何链接层技术之上,从而简化了向基于SONET/WDM和IP/WDM结构的下一代光Internet的转化。
在这里,主要描述一下标签转发表的产生过程及IP包如何通过MPLS转发。
MPLS标签栈头图1 MPLS标签栈头32位的MPLS栈头包括以下区域(如图1所示):承载MPLS标记实际值的标记区域(20位);CoS区域(3位),用于在分组通过网络时施加在分组上的排队和丢弃算法;堆栈区域(S区域,1位),用于支持标记堆栈序列;TTL区域(8位),提供传统的I PTT L功能。
标签转发表产生过程1.路由器之间通过路由协议或静态路由产生路由表。
图2 路由器之间通过路由协议或静态路由产生路由表如图2所示,假设途中A、B、C、D四台路由器之间运行了OSPF协议,A路由器学习到D路由器网段211.91.168.0/24的路由。
2.运行MPLS的路由器为路由表中的路由分配标签。
图3 运行MPLS的路由器为路由表中的路由分配标签图3A、B、C、D四台路由器的路由表中都有211.91.168.0/24网段的路由,假设各路由器都已运行MPLS协议,则每台路由器都会为该路由分配一个标签。
3.通过LDP/RSVP协议发现其MPLS邻居。
假设在各路由器接口启动LDP协议。
通过LDP发现协议,A路由器知道B路由器为其MPLS邻居,B路由器知道A、C为其MPLS邻居,C路由器知道B、D为其MPLS邻居,D的MPLS邻居为C。
4.将打标签的路由通告给其MPLS邻居。
各路由器将其打了标签的路由通告给其MPLS邻居,而不管是否已从其邻居学习到该路由的标签。
这样对于路由211.91.168.0/24在各路由器中的标签情况如图4所示。
图4 各路由器中的标签情况5.路由器将其下一跳路由器通告的标签加到其转发表中。
通常在实际应用中路由器将目的地不是本地的IP包转发给其下一跳。
因此在MPLS中,路由器只将其下一跳路由器通告的标签加到其转发表中。
对于211.91.168.0/24网段对应的转发如图5所示。
图5 路由器将其下一跳路由器通告的标签加到其转发表中IP包在MPLS网络中转发过程1.MPLS入口路由器根据目的地址查找路由表。
如图5例,假设一目的地址为211.91.168.0/24的IP包到达路由器A。
此时路由器A将查找其路由表,发现该路由下一跳为路由器B。
2.将该IP包打上标签,转发给下一跳路由器。
上例中,路由器A将目的地址为211.91.168.0/24的IP包打上标签20,转发给其下一跳路由器B。
3.下一跳路由器查找其转发表,替换标签,继续转发。
上例中,当打有标签的IP包到达B路由器时,路由器不再根据目的地址查找路由表了,而是根据标签查找标签转发表。
从A来的出站标签对应于B的入站标签,也就是B通告给A的标签。
B路由器通过标签替换,将其入站标签替换成出站标签,即用标签30替换掉标签20,然后转发给其下一跳路由器C。
C路由器同样进行标签交换,将带有标签40的IP 包送给D路由器。
4.出口路由器查找其转发表,发现其就是目的地网络,弹出标签,送给相应端口处理。
上例中D路由器将查找标签转发表,发现该IP包目的地为自己,则弹出标签。
标签交换过程结束。
VPN在MPLS中的实现RFC2547bis定义了允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。
RFC2547bis也被称为BGP/MPLSVPN,因为BGP被用来在提供商骨干网中发布VPN路由信息,而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。
首先对MPLS VPN中用到的常用术语作一说明,然后介绍一下MPLS VPN实现的基本原理及常见组网。
MPLS/VPN中常用术语PE路由器:又称作提供商边缘路由器。
该路由器负责用户端网络到提供商网络的接入。
P路由器:又称提供商路由器。
P路由器是提供商网络中不连接任何CE设备的路由器。
CE路由器:又称用户边缘设备。
CE路由器通过连接至一个或多个提供商边缘(PE)路由器的数据链路为用户提供对服务提供商的接入。
VPN-IPV4地址:VPN用户通常使用私有地址来规划自己的网络。
当不同的VPN用户使用相同的私有地址规划时就会出现路由查找问题。
路由区分符RD:路由区分符RD即VPN-Ipv4地址的前8字节,用来区分不同VPN中的相同私网地址。
路由目标RT:RT为MP-BGP中的扩展共同体属性之一。
路由目标属性定义了PE路由器发布路由的一组站点(VRF)的集合。
PE路由器使用这一属性来对输入远端路由到其VRF 进行约束。
VPN路由转发表(VRF):每个PE路由器为其直连的站点维持一个VRF。
每个用户链接被映射至一个特定的VRF。
每个VRF与PE路由器的一个端口相关联。
VPN在MPLS网络中的实现网络拓扑描述假设一个服务提供商具有一个IP骨干网,为不同的企业提供BGP/MPLSVPN服务。
网络中有3个PE路由器,连接到4个不同的用户站点。
图6 网络拓扑图6中,CE1与CE3属同一VPN1,CE2与CE4同属另一VPN2。
站点1(CE1)中的任何主机可以与站点3(CE3)中的任何主机进行通信。
站点2(CE2)中的任何主机可以与站点4(CE4)中的任何主机进行通信。
路由学习过程在一个用户站点能够将VPN业务转发到远端站点之前,必须将VPN路由信息从每个用户站点通过骨干网转发至其他用户站点。
PE路由器从其直连的CE路由器学习路由,入口PE通过骨干网向出口PE发布路由,出口PE路由器将路由发布至CE。
标签转发过程在网络中,只有PE及P路由器运行标签转发协议,图6中CE1与CE3客户属于同一VPN。
当CE1的客户需要向CE3客户发送信息时:CE1路由器查找路由表,将数据包发给PE1路由器;PE1路由器发现CE1属于VRF1,查找VRF1表,找到目的地址下一跳为MP-BGP对等体路由器PE2;PE1路由器查找路由表知到达对等体PE2的直连下一跳为P1路由器;给该数据包分配标签,将该数据包转发给P1路由器;该数据包通过中间P路由器标签转发,到达PE2;PE2弹出标签。
查找VRF1路由,将该数据包转发给CE3;到达CE3客户。
MPLS/VPN的几种典型组网MESH方式图7 典型的组网图MESH方式为普通VPN业务,是客户对VPN的最基本的需求。
基本的VPN服务要求相同的VPN客户之间能相互通信,而不同的VPN客户间不能通信。
典型的组网图如图7所示,VPN1间互相通信,VPN2间互相通信,而VPN1与VPN2间不能通信。
HUB-SPOKE方式对于有很多子公司的大客户来说,普通的VPN业务可能无法满足其需求。
通常总公司可能需要监控子公司间的通信,同时要能够与各子公司直接通信。
这就要求子公司间通信时必须经过总公司中转。
图8 HUB-SPOKE方式一种典型的组网图如图8所示,总公司可以直接与子公司1、子公司2通信,而子公司1和子公司2间通信时必须经过总司中转,如此总公司可以监控各子公司间的通信。
其中PE-3为HUB路由器,PE-1及PE-2为SPOKE路由器。
INTERNET接入VPN客户间通信使用的是私网地址,可以自由规划内部网络,但同样可能需要能连上INTERNET。
图9 INTERNET接入一种典型的组网图如图9所示,通过在VPN1的某个网关上提供NAT完成私网地址到公网地址的转换即可完成INTERNET业务。
在ZXR10中配置MPLS/VPNZXR10中配置MPLS/VPN的基本步骤目前ZXR10中MPLS/VPN应用最多的为T64E/T128及T32C/T64C等中高档路由器产品。
其中E系列中,T64E/T128支持MPLS/VPN的常用单板有8端口FEI板、2端口GEI 接口板、4端口POS3接口板、E1接口板。
C系列中支持MPLS/VPN的常用单板有GEI 板、POS接口板。
对于T64E/T128而言,要配置MPLS/VPN业务必须使用V1.2以上版本或平台版本,对于C系列路由器而言需要使用ros9302以上版本。
在ZXR10中配置MPLS/VPN业务主要步骤如下。
1.在PE路由器上定义一个VPN名称或者说一个VPN的转发表(VRF)的名称。
名称长度为1到16个字符。
注意该名称只是本地有效,在某个接口与VPN绑定时将使用到该名称。
2.定义该VRF的路由标识符(RD)和路由目标(RT),定义导入导出策略,该策略将在MP-BGP中用来区分不同的VPN。
3.定义指定的接口与VRF关联。
如果这个接口预先配置了IP地址,那么需将原IP地址删除,定义好关联后,再行配置IP地址。
4.定义VRF路由。
PE路由器与CE路由器之间可以定义静态路由,也可以运行动态路由协议。
5.配置MPBGP协议。
PE路由器从CE路由器学习到VRF路由后,需要通过运行MPBGP 协议通告给其他PE。
配置MPBGP协议通常分以下三步:(1)在BGP路由配置模式下,用neighbor命令指定PE对等体,必须是IBGP对等体;(2)进入BGP的address-familaryvpnv4地址模式,激活该对等体;(3)对于不同的VRF,将其路由(直连、静态、OSPF、ISIS)重分布到MPBGP中进行通告。
MPSL/VPN配置实例下面通过一个组网实例讲述MPLS/VPN业务在ZXR10中的应用。
实例中描述的是E系列路由器独立组网配置。
图10 E系列路由器独立组网配置图10中,CE1和CE2在同一个VPN中,CE1的loopback地址为100.1.1.1/24,CE2的loopback地址为200.1.1.1/24,需要能互相学习到对端的loopback路由。
CE1与PE1之间运行BGP协议,CE2与PE2之间运行OSPF协议。