BGP MPLS VPN网络技术概述
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在pe设备上发送某一个vpn用户的私网路由给其bgp邻居时需要在mpbgp的扩展团体属性区域中增加该vpn的exporttarget属在pe设备上需要将收到的mpbgp路由的扩展团体属性中所携带的rt属性值与本地每一个vpn的importtarget属性值相比较当这两个值存在交集时就需要将这条路由添加到该vpn的路由表中32rt的灵活应用由于每个rtexporttarget与importtarget都可以配置多个value接收时是或操作所以就可以实现非常灵活的vpn访问控制
36 3 S1/1
(1)
36 D:192.168.1.1 S:192.168.0.1 Date
LER3
IN OUT next-hop 3 NULL LP
私网用户B
192.168.1.1
(2)
3 D:192.168.1.1 S:192.168.0.1 Date
(3)
D:192.168.1.1 S:192.168.0.1 Date
MPLS封装: MPLS
私网IP头部
数据
9
MPLS隧道应用
destination next-hop 20.0.0.1/24 S0/1
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
destination next-hop 20.0.0.1/24 eth0/0
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
隧道技术与MPLS
隧道:一个虚拟的点对点的连接。它提供了一条虚拟 通路,使经过特殊封装的数据报能够在这个通路上传 输。在隧道的两端分别对数据报进行封装及解封装。 如GRE封装,隧道上的路由器根据报文外层的公网IP 头进行数据转发。
GRE封装: 公网IP头部 GRE 私网IP头部
数据
MPLS是天然的隧道,隧道上的路由器可以根据报 文的MPLS头进行报文转发:
(2)
3 D:192.168.1.1 S:192.168.0.1 Date
(2)
D:192.168.1.1 S:192.168.0.1 Date
私网用户B
192.168.1.1
既然报文在隧道出口处(LER3上)查完标签后还 要根据IP头进行转发,不如在LSR2出就直接弹出 MPLS标签,这个技术就叫着MPLS倒数第二跳。
私网用户B
192.168.1.1
只要LER1设法知道该私网用户的目的LER,就可 以将数据封装到该LER的MPLS隧道中。
11
私网报文离开MPLS隧道
destination next-hop 20.0.0.1/24 S0/1
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
然而,不同的VPN用户可能选用相同的私网地址空间, PE设备上将存在地址冲突。
18
多VRF的作用
10.0.0.1
用户1
VPN1 CE1
CE2 VPN2
用户2
10.0.0.1
IP Routing Table
目标网络
出接口
10.0.0.0/24
E0/0
10.0.0.0/24
E0/1
……
冲突
PE1
多VRF技术就是用来解决同一台设备上的地址冲 突问题。
PE(Provider Edge Router):指骨干网上的边缘 路由器,与CE相连,主要负责VPN业务的接入。
P(Provider Router):指骨干网上的核心路由器, 主要完成路由和快速转发功能。
15
用户维护隧道
VPN1 CE1
VPN1 CE3
PE1 VPN2 CE2
P 公网
PE2
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
destination next-hop 20.0.0.1/24 eth0/0
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
CE4 VPN2
传统的VPN技术如GRE、IPSec等均采用这种隧道维护 方案;
缺点在于隧道建立维护工作完全由VPN用户完成,对于 网络使用者来说工作繁琐而复杂,成本高昂。
16
运营商维护隧道
VPN1 CE1
VPN1 CE3
VPN2 CE2
P 公网
CE4 VPN2
将VPN的维护工作移交给运营商,运营商作为公网的运 营者,有充足的网络维护资源,又能以向用户提供VPN 服务,而从中获利;
BGP MPLS VPN网络技术概述
技术创新,变革未来
引入
BGP MPLS VPN以其更合理的结构模型,更简单的 维护需要,更灵活的业务控制方法,解决了传统 VPN及技术的一系列问题,逐渐成为当今应用最为 广泛的VPN技术之一。
课程目标
学习完本课程,您应该能够:
了解BGP MPLS VPN技术的产生背景 掌握BGP MPLS VPN技术的基本原理
Unfeasible Routes Length
Withdraw Routes
Total Path Attribute Length
Path Attribute
Network layer Reachability Information (NLRI)
BGP协议更新(UPDATE)消息主要包含以下三个 部分:
6
BGP MPLS VPN的优点
BGP MPLS VPN技术作为一种新的VPN技术,在 传统VPN技术基础上解决了以下三个重大问题:
实现隧道的动态建立 解决本地地址冲突问题 VPN私网路由易于控制
7
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN基本原理
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
IN OUT next-hop IN OUT next-hop
NULL 36 S0/1
36 3 S1/1
(1)
36 D:192.168.1.1 S:192.168.0.1 Date
LER3
IN OUT next-hop 3 NULL LP
目标网络
出接口
VPN2
10.0.0.0/24
E0/1
用户2
10.0.0.1
……
……
各个VRF与各自的用户网络之间运行一个路由实例,
该路由实例学习到的路由只能加入该VPN的路由表。
各个路由实例与所属的VPN进行绑定,他们之间互相 独立,只能学习到各自的邻居信息。
22
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN基本原理
LER3
IN OUT next-hop IN OUT next-hop IN OUT next-hop
NULL 36 S0/1
36 3 S1/1
3 NULL LP
私网用户B
192.168.1.1
(3)
D:192.168.1.1 S:192.168.0.1 Date
报文到达LER3设备(隧道出口设备)后,LER3 设备检查报文标签发现该发文发给自己(下一跳是 自己的loopback接口),进一步解析标签内部的IP 头,发现报文真正的目的地址,再查询路由表成功 转发报文给私网用户。
隧道中间的LSR设备直接根据MPLS标签转发表进行数 据转发,无需查询路由表,也无需学习到私网用户的路 由,只要在进出MPLS网络的LER设备(隧道入出口)上 进行处理,私网数据就能穿越公共网络。
10
私网报文进入MPLS隧道
192.168.1.1在LER3
destination next-hop 20.0.0.1/24 S0/1
25
MP-BGP协议
普通BGP只能传递IPv4路由信息,为了能够承载多 个协议的路由信息,RFC2858对BGP进行了扩展, 扩展后的BGP协议称之为多协议BGP(MBGP或 MP-BGP)。
20
多VRF和设备端口
10.0.0.1
用户1
VPN1 CE1
VPN1 Routing Table
目标网络
出接口
10.0.0.0/24
PE1 ……
E0/0 ……
CE2
VPN2 Routing Table
目标网络
出接口
VPN2
用户2
10.0.0.1
10.0.0.0/24 ……
E0/1 ……
Eth0/0接口绑定VPN1,从Eth0/0接口进入路由器 的报文只能查询VPN1的路由表进行转发;
12
MPLS倒数第二跳
destination next-hop 20.0.0.1/24 S0/1
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
destination next-hop 20.0.0.1/24 eth0/0
13
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN技术原理
VPN组网结构
VPN1 CE1
CE3 VPN1
PE1 VPN2 CE2
P 公网
PE2
CE4 VPN2
CE(Custom Edge):直接与服务提供商相连的用 户设备。
Eth0/1接口绑定VPN2,从Eth0/1接口进入路由器 的报文只能查询VPN2的路由表进行转发。
21
多VRF和路由协议多实例
10.用0.0户.1 1
VPN1 CE1
VPN1 Routing Table
目标网络
出接口
10.0.0.0/24
E0/0
……
……
PE1
CE2
VPN2 Routing Table
Unfeasible Routes:之前发布过,不再有效的路由;
Path Attributes:路由信息的属性(附加描述),是BGP用以 进行路由控制和决策的信息;
NLRI:路由信息,有一个或多个IPV4地址/前缀长度组成。
由此可以看出普通的BGP路由更新消息只能发布或 删除IPv4路由。
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
LER3
IN OUT next-hop IN OUT next-hop IN OUT next-hop
NULL 36 S0/1
36 3 S1/1
3 NULL LP
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN技术原理
大规模VPN应用
某企业用户需实现各个分部之间的私网业务互通, 假设该企业拥有N个分部,如下图所示:
总部
分部2
分部1
分部n
Internet
分部3
分部4
5
传统VPN的缺陷
BGP协议的特点
基于TCP链接,可以跨越多台设备建立路由邻居, 传递路由;
基于TLV架构,可以扩展属性位,以便携带更多 表明路由特征的信息;
BGP路由协议还有很多的特点,而上述的两个特 点是他被选作VPN私网路由协议的主要原因。
24
BGP路由更新
BGP协议通过BGP更新(UPDATE)消息发布和 删除路由,BGP更新消息结构如下:
然而,运营商需要为每个VPN用户的每一个分支提供一 台接入设备,这样的硬件成本过于高昂。
17
运营商维护共享隧道
VPN1 CE1
VPN1 CE3
PE1 VPN2 CE2
P 公网
PE2
CE4 VPN2
更优的解决方案是运营商可以将同一网络位置的不同用 户,采用同一台设备进行接入,并在相同的接入设备之 间共用隧道;
19
多VRF的实现原理
10.0.0.1
用户1
VPN1
VPN1 Routing Table
目标网络
出接口
10.0.0.0/24
E0/0
……
……
VPN2
用户2
10.0.0.1
PE1
VPN2 Routing Table
目标网络
出接口
10.0.0.0/24
E0/1
……
……
多VRF技术将一台路由器划分成多个VRF, 每个VRF之间互相独立,互不可见,拥有独立的 路由表项、端口、路由协议等。
静态隧道的可扩展性不强。传统VPN技术的隧 道需要静态建立,随着用户网络规模的扩大, VPN隧道的数量成N Nhomakorabea方增长。
VPN维护和管理工作只能由用户自行完成。因 不同的VPN用户,私网地址可能存在冲突,负责 维护和管理公共网络的运营商因为不能区分开用 户,无法接管用户的VPN。
因此传统VPN无法适应大规模VPN网络应用,需要 一种新型的VPN技术解决上述的问题。
destination next-hop 20.0.0.1/24 eth0/0
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
IN OUT next-hop IN OUT next-hop
NULL 36 S0/1
36 3 S1/1
(1)
36 D:192.168.1.1 S:192.168.0.1 Date
LER3
IN OUT next-hop 3 NULL LP
私网用户B
192.168.1.1
(2)
3 D:192.168.1.1 S:192.168.0.1 Date
(3)
D:192.168.1.1 S:192.168.0.1 Date
MPLS封装: MPLS
私网IP头部
数据
9
MPLS隧道应用
destination next-hop 20.0.0.1/24 S0/1
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
destination next-hop 20.0.0.1/24 eth0/0
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
隧道技术与MPLS
隧道:一个虚拟的点对点的连接。它提供了一条虚拟 通路,使经过特殊封装的数据报能够在这个通路上传 输。在隧道的两端分别对数据报进行封装及解封装。 如GRE封装,隧道上的路由器根据报文外层的公网IP 头进行数据转发。
GRE封装: 公网IP头部 GRE 私网IP头部
数据
MPLS是天然的隧道,隧道上的路由器可以根据报 文的MPLS头进行报文转发:
(2)
3 D:192.168.1.1 S:192.168.0.1 Date
(2)
D:192.168.1.1 S:192.168.0.1 Date
私网用户B
192.168.1.1
既然报文在隧道出口处(LER3上)查完标签后还 要根据IP头进行转发,不如在LSR2出就直接弹出 MPLS标签,这个技术就叫着MPLS倒数第二跳。
私网用户B
192.168.1.1
只要LER1设法知道该私网用户的目的LER,就可 以将数据封装到该LER的MPLS隧道中。
11
私网报文离开MPLS隧道
destination next-hop 20.0.0.1/24 S0/1
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
然而,不同的VPN用户可能选用相同的私网地址空间, PE设备上将存在地址冲突。
18
多VRF的作用
10.0.0.1
用户1
VPN1 CE1
CE2 VPN2
用户2
10.0.0.1
IP Routing Table
目标网络
出接口
10.0.0.0/24
E0/0
10.0.0.0/24
E0/1
……
冲突
PE1
多VRF技术就是用来解决同一台设备上的地址冲 突问题。
PE(Provider Edge Router):指骨干网上的边缘 路由器,与CE相连,主要负责VPN业务的接入。
P(Provider Router):指骨干网上的核心路由器, 主要完成路由和快速转发功能。
15
用户维护隧道
VPN1 CE1
VPN1 CE3
PE1 VPN2 CE2
P 公网
PE2
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
destination next-hop 20.0.0.1/24 eth0/0
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
CE4 VPN2
传统的VPN技术如GRE、IPSec等均采用这种隧道维护 方案;
缺点在于隧道建立维护工作完全由VPN用户完成,对于 网络使用者来说工作繁琐而复杂,成本高昂。
16
运营商维护隧道
VPN1 CE1
VPN1 CE3
VPN2 CE2
P 公网
CE4 VPN2
将VPN的维护工作移交给运营商,运营商作为公网的运 营者,有充足的网络维护资源,又能以向用户提供VPN 服务,而从中获利;
BGP MPLS VPN网络技术概述
技术创新,变革未来
引入
BGP MPLS VPN以其更合理的结构模型,更简单的 维护需要,更灵活的业务控制方法,解决了传统 VPN及技术的一系列问题,逐渐成为当今应用最为 广泛的VPN技术之一。
课程目标
学习完本课程,您应该能够:
了解BGP MPLS VPN技术的产生背景 掌握BGP MPLS VPN技术的基本原理
Unfeasible Routes Length
Withdraw Routes
Total Path Attribute Length
Path Attribute
Network layer Reachability Information (NLRI)
BGP协议更新(UPDATE)消息主要包含以下三个 部分:
6
BGP MPLS VPN的优点
BGP MPLS VPN技术作为一种新的VPN技术,在 传统VPN技术基础上解决了以下三个重大问题:
实现隧道的动态建立 解决本地地址冲突问题 VPN私网路由易于控制
7
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN基本原理
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
IN OUT next-hop IN OUT next-hop
NULL 36 S0/1
36 3 S1/1
(1)
36 D:192.168.1.1 S:192.168.0.1 Date
LER3
IN OUT next-hop 3 NULL LP
目标网络
出接口
VPN2
10.0.0.0/24
E0/1
用户2
10.0.0.1
……
……
各个VRF与各自的用户网络之间运行一个路由实例,
该路由实例学习到的路由只能加入该VPN的路由表。
各个路由实例与所属的VPN进行绑定,他们之间互相 独立,只能学习到各自的邻居信息。
22
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN基本原理
LER3
IN OUT next-hop IN OUT next-hop IN OUT next-hop
NULL 36 S0/1
36 3 S1/1
3 NULL LP
私网用户B
192.168.1.1
(3)
D:192.168.1.1 S:192.168.0.1 Date
报文到达LER3设备(隧道出口设备)后,LER3 设备检查报文标签发现该发文发给自己(下一跳是 自己的loopback接口),进一步解析标签内部的IP 头,发现报文真正的目的地址,再查询路由表成功 转发报文给私网用户。
隧道中间的LSR设备直接根据MPLS标签转发表进行数 据转发,无需查询路由表,也无需学习到私网用户的路 由,只要在进出MPLS网络的LER设备(隧道入出口)上 进行处理,私网数据就能穿越公共网络。
10
私网报文进入MPLS隧道
192.168.1.1在LER3
destination next-hop 20.0.0.1/24 S0/1
25
MP-BGP协议
普通BGP只能传递IPv4路由信息,为了能够承载多 个协议的路由信息,RFC2858对BGP进行了扩展, 扩展后的BGP协议称之为多协议BGP(MBGP或 MP-BGP)。
20
多VRF和设备端口
10.0.0.1
用户1
VPN1 CE1
VPN1 Routing Table
目标网络
出接口
10.0.0.0/24
PE1 ……
E0/0 ……
CE2
VPN2 Routing Table
目标网络
出接口
VPN2
用户2
10.0.0.1
10.0.0.0/24 ……
E0/1 ……
Eth0/0接口绑定VPN1,从Eth0/0接口进入路由器 的报文只能查询VPN1的路由表进行转发;
12
MPLS倒数第二跳
destination next-hop 20.0.0.1/24 S0/1
192.168.0.1/24 eth0/0
Loopback:10.0.0.1
S0/1
destination next-hop
20.0.0.1/24 S1/1
?
S1/1
destination next-hop 20.0.0.1/24 eth0/0
13
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN技术原理
VPN组网结构
VPN1 CE1
CE3 VPN1
PE1 VPN2 CE2
P 公网
PE2
CE4 VPN2
CE(Custom Edge):直接与服务提供商相连的用 户设备。
Eth0/1接口绑定VPN2,从Eth0/1接口进入路由器 的报文只能查询VPN2的路由表进行转发。
21
多VRF和路由协议多实例
10.用0.0户.1 1
VPN1 CE1
VPN1 Routing Table
目标网络
出接口
10.0.0.0/24
E0/0
……
……
PE1
CE2
VPN2 Routing Table
Unfeasible Routes:之前发布过,不再有效的路由;
Path Attributes:路由信息的属性(附加描述),是BGP用以 进行路由控制和决策的信息;
NLRI:路由信息,有一个或多个IPV4地址/前缀长度组成。
由此可以看出普通的BGP路由更新消息只能发布或 删除IPv4路由。
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
LER3
IN OUT next-hop IN OUT next-hop IN OUT next-hop
NULL 36 S0/1
36 3 S1/1
3 NULL LP
目录
BGP MPLS VPN 技术背景 MPLS隧道 多VRF技术 MP-BGP技术 BGP MPLS VPN技术原理
大规模VPN应用
某企业用户需实现各个分部之间的私网业务互通, 假设该企业拥有N个分部,如下图所示:
总部
分部2
分部1
分部n
Internet
分部3
分部4
5
传统VPN的缺陷
BGP协议的特点
基于TCP链接,可以跨越多台设备建立路由邻居, 传递路由;
基于TLV架构,可以扩展属性位,以便携带更多 表明路由特征的信息;
BGP路由协议还有很多的特点,而上述的两个特 点是他被选作VPN私网路由协议的主要原因。
24
BGP路由更新
BGP协议通过BGP更新(UPDATE)消息发布和 删除路由,BGP更新消息结构如下:
然而,运营商需要为每个VPN用户的每一个分支提供一 台接入设备,这样的硬件成本过于高昂。
17
运营商维护共享隧道
VPN1 CE1
VPN1 CE3
PE1 VPN2 CE2
P 公网
PE2
CE4 VPN2
更优的解决方案是运营商可以将同一网络位置的不同用 户,采用同一台设备进行接入,并在相同的接入设备之 间共用隧道;
19
多VRF的实现原理
10.0.0.1
用户1
VPN1
VPN1 Routing Table
目标网络
出接口
10.0.0.0/24
E0/0
……
……
VPN2
用户2
10.0.0.1
PE1
VPN2 Routing Table
目标网络
出接口
10.0.0.0/24
E0/1
……
……
多VRF技术将一台路由器划分成多个VRF, 每个VRF之间互相独立,互不可见,拥有独立的 路由表项、端口、路由协议等。
静态隧道的可扩展性不强。传统VPN技术的隧 道需要静态建立,随着用户网络规模的扩大, VPN隧道的数量成N Nhomakorabea方增长。
VPN维护和管理工作只能由用户自行完成。因 不同的VPN用户,私网地址可能存在冲突,负责 维护和管理公共网络的运营商因为不能区分开用 户,无法接管用户的VPN。
因此传统VPN无法适应大规模VPN网络应用,需要 一种新型的VPN技术解决上述的问题。
destination next-hop 20.0.0.1/24 eth0/0
192.168.1.1/24 eth0/0
Loopback:20.0.0.1
私网用户A
192.168.0.1
eth0/1 LER1
LSR2
IN OUT next-hop IN OUT next-hop
NULL 36 S0/1