BRAS培训- CISCO 经典 培训 MPLS VPN技术

培训MPLSVPN技术大纲MPLS基本概念MPLS基本配置BGP/MPLSIPVPN原理实现BGP/MPLSIPVPN基本配置BGP/MPLSIPVPN的维护MPLS概念LSR：所有LSR都支持MPLSLSR由控制单元和转发单元组成：控制单元：负责标签的分配、路由的选择、标签转发表的建立、标签交换路径的建立、拆除等工作转发单元：依据标签转发表对收到的分组进行转发MPLS概念标签发布协议LDP标签发布协议是MPLS的控制协议负责FEC的分类、标签的分配、LSP的建立、维护等MPLS还可使用的标签发布协议LDP（LabelDistributionProtocol）CR-LDP（Constraint-RoutingLabelDistributionProtocol）也包括现有协议扩展后支持标签发布的，例如：BGP（BorderGatewayProtocol）RSVP（ResourceReservationProtocol）LDP基本概念LDP协议主要使用四类消息：发现（Discovery）消息：用户通告和维护网络中LSR的存在；会话（Session）消息：用于建立、维护和终止LDPPeer间的会话；通告（Advertisement）消息：用于创建、改变和删除FEC的标签映射通知（Notification）消息：用于提供建议性的消息和差错通知为了保证LDP消息的可靠发送，除了Discovery消息使用UDP外，LDP的session消息、advertisement消息、notification消息都使用TCP传输。标签空间与LDP标识符LDP对等体之间分配标签的数值范围称为标签空间（Labelspace）可以为LSR的每个接口指定一个标签空间（per-interfacelabelspace）也可以为整个LSR使用一个标签空间（per0interfacelabelspace）LDP标识符（LDPIdentifier）用于标识特定LSR的标签空间范围。格式：LSRID(4Byte)：标签空间序号(2Byte)MPLS概念LABLE的封装位置：MPLS概念标签交换路径LSP一个FEC在MPLS网络中经过的路径称为LSP；根据数据的传送方向，相邻的LSR分别称为上游LSR和下游LSR；此外，LSP有静态和动态之分。静态由人为配置；动态由路由协议和标签发布协议动态产生。MPLS基本概念MPLS概念MPLS网络结构MPLS的体系结构MPLS与路由协议的关联MPLS的应用领域了解MPLS网络结构基本构成单元位于MPLS域边缘、连接其他用户网络的LSR称为边缘LSR，即LER区域内部的LSR称为核心LSR域内部的LSR间使用MPLS通信MPLS域的边缘由LER和传统的IP技术进行适配MPLS网络结构基本工作过程：LDP和传统路由协议（如OSP、ISIS等）一起，在各个LSR中为有业务需求的FEC建立路由表和标签映射表；入节点接收分组，完成第三层功能，判定分组所属的FEC，并给分组加上标签，形成MPLS标签分组，转发到中间节点；中间节点根据分组上的标签以及标签转发表进行转发，不对标签分组进行任何第三层处理；在出节点去掉分组中的标签，继续进行后面的转发。IngressLabelSwitchedPath(LSP)MPLSEdgeRouter（LER）EgressMPLSCoreSwitch（LSR）IngressLabelSwitchedPath(LSP)MPLSEdgeRouter（LER）EgressMPLSCoreSwitch（LSR）MPLS基本概念MPLS概念MPLS网络结构MPLS的体系结构MPLS与路由协议的关联MPLS的应用领域了解MPLS与路由协议的关联LDP利用路由转发表建立LSPLDP逐跳建立LSP时，利用沿途各LSR路由转发表中的信息来确定下一跳；而路由转发表表中的信息一般是通过IGP、BGP等路由协议收集的；LDP并不直接和各种路由协议关联，只是间接使用路由信息。通过已有协议的扩展支持MPLS的标签分发LDP是通常用来实现标签分发到协议，但并不是唯一的；通过对BGP、RSVP等已有协议进行扩展也可以支持MPLS的标签分发。MPLS基本概念MPLS概念MPLS网络结构MPLS的体系结构MPLS与路由协议的关联MPLS的应用领域了解MPLS的应用了解随着ASIC技术的发展，路由查找技术已经不是阻，，碍网络发展的瓶颈。那么，MPLS在提高转发速度方面就不再有明显的优势；MPLS结合了IP网络强大三层路由功能和传统二层网络的高效转发机制；MPLS在转发平面采用面向连接方式，使得MPLS能够很容易的实现IP与ATM、帧中继等二层网络的无缝融合，并未支持TE、VPN等应用提供了更好的解决方案。•基于MPLS的VPN有以下优点：•PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户分支间路由分发；•PE间路由分派通常是用LDP或扩展的BGP协议实现；•支持不同分支间IP地址复用和不同VPN间互通。VPNBranch3MPLSBackbonenetworkVPNBranch2VPNBranch1CE1PE1PE3CE3PE2CE2VPNBranch3MPLSBackbonenetworkVPNBranch2VPNBranch1CE1PE1PE3CE3PE2CE2大纲MPLS基本概念MPLS基本配置BGP/MPLSIPVPN原理实现BGP/MPLSIPVPN基本配置BGP/MPLSIPVPN跨域配置BGP/MPLSIPVPN的维护BGP/MPLSIPVPN原理实现BGP/MPLSIPVPN基本概念BGP/MPLSIPVPN路由发布原理BGP/MPLSIPVPN报文转发原理BGP/MPLSIPVPN访问控制BGP/MPLSIPVPN跨域解决方案分析BGP/MPLSIPVPN基本概念BGP/MPLSIPVPN是提供是那个VPN解决方案PPVPN（ProviderProvisionedVPN）中一种基于PE的L3VPN技术，它使用BGP在ISP骨干网上发布VPN路由，使用MPLS在ISP骨干网上转发VPN报文；BGP/MPLSIPVPN组网方式灵活、可扩展性好、并可方便支持MPLSQOS和MPLSTE；BGP/MPLSIPVPN模型由三部分组成：CE、PE、PCE：用户网络边缘设备，不需要支持MPLSPE：服务提供商边缘路由器，在MPLS网络中，对VPN的所有处理都发生在PE上；P：ISP中的骨干路由器，P设备只需具备基本的MPLS转发能力，不维护VPN信息。PE路由器上存在多个VRF表，和PE路由器上的一个或多个子接口相对应，用于存放这些子接口所属VPN的路由信息；BGP/MPLSIPVPN基本概念VRF:对于每个VRF表，都具有路由区分符（RouteDistinguisher，RD）和路由目标（RouteTarget，RT）两大属性；RD:VPN中的IP地址是由客户自行制定的，如果是私有IP地址可能会与不同VPN使用的IP地址发生地址重叠。从而导致BGP无法区分来自不同VPN的重叠路由；BGP/MPLSIPVPN引入了RD的概念。RD具有全局唯一性，通过将8个字节的RD作为IPv4地址前缀的扩展，使不是唯一的IPv4地址转化为唯一的VPN-IPv4地址。一个VPN-IPv4地址包括12个字节，8Byte的RD和4Byte的IPv4地址；通常情况下，为每个VPN分配一个唯一的RD。但是对于重叠VPN，即某站点那属于多个VPN的情况，多个VPN共享一个RD。RD用于区分使用相同地址空间的IPv4前缀，不能用于判断某条路由的发起者，也不能用于判断某条路由属于哪个VPN；为了保证RD的唯一性，建议不要使用私有AS或私有IP地址作为RD中Administrator的值。BGP/MPLSIPVPN基本概念RT：RT的作用类似于BGP中扩展团体属性，用于路由信息的分发；RT利用importRT和exportRT属性实现路由信息的导入和导出控制；RT使得PE只包含和其直连的VPN的路由，从而节省了PE的路由器资源；VPNTarget同样适用于在同一PE上不同VPN之间的路由发布控制。即同一PE上的不同VPN之间可以设置相同的VPNTarget来实现路由的互相引入。MP-BGPMP-BGP（MultiprotocolextensionsforBGP-4）在PE路由器之间传播VPN组成信息和VPN-IPv4路由；MP-BGP向下兼容，既支持传统的IPv4地址族，又可以支持其他地址族（VPN-IPv4地址族、IPv6地址族等）。BGP/MPLSIPVPN原理实现BGP/MPLSIPVPN基本概念BGP/MPLSIPVPN路由发布原理BGP/MPLSIPVPN报文转发原理BGP/MPLSIPVPN访问控制BGP/MPLSIPVPN跨域解决方案分析BGP/MPLSIPVPN路由发布原理本地CE到入口PE的路由信息交换CE与直连的PE建立邻接关系后，把本站点的VPN路由通过标准的IPv4路由形式发布给PE；CE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或BGP。入口PE到出口PE的路由信息交换PE从CE学到VPN路由信息后，为该标准IPv4路由增加RD和VPNTarget属性，形成VPN-IPv4路由，存放到为CE创建的VPN实例中；入口PE通过MP-BGP把VPN-IPv4路由发布给出口PE；出口PE根据VPN-IPv4路由的ExportTarget属性与自己维护的VPN实例的ImportTarget，决定是否将该路由加入到VPN实例的路由表；骨干网通过IGP保证内部的连通性。BGP/MPLSIPVPN路由发布原理出口PE到远端CE的路由信息交换远端CE有多种方式可以从出口PE学习到VPN路由，包括静态路由、RIP、OSPF、IS-IS和BGP；与本地CE到入口PE的路由信息交换相同。BGP的AS号替换在BGP/MPLSIPVPN中，如果PE和CE之间运行EBGP，由于BGP使用AS号检查路由环路，为保证路由信息正确发送，需要为物理位置不同的节点分配不同的AS号；如果物理分散的CE复用相同的AS号，则PE上应配置BGP的AS号替换功能；AS号替换功能是BGP出口策略，在路由发布时有效。BGP/MPLSIPVPN原理实现BGP/MPLSIPVPN基本概念BGP/MPLSIPVPN路由发布原理BGP/MPLSIPVPN报文转发原理BGP/MPLSIPVPN访问控制BGP/MPLSIPVPN跨域解决方案分析BGP/MPLSIPVPN报文转发原理在BGP/MPLSIPVPN骨干网中，P路由器并不知道VPN路由信息，VPN报文通过隧道在PE之间转发。PE之间可以使用的隧道类型包括LDP和CR-LSP在基本L3VPN应用中（不包括跨域的情况），VPN报文转发采用两层标签方式：第一层（外层）标签在骨干网内部进行交换，指示从PE到对端PE的一条LSP。VPN报文利用这层标签，可沿LSP到达对端PE;第二层（内层）标签在从对端PE到达CE时使用，指示报文应该送到那个CE，对端PE根据内层标签可以找到转发报文的接口；特殊情况下，属于同一VPN的两站点连接到同一个PE，这时只需要知道如何到达对端CE。BGP/MPLSIPVPN报文转发原理BGP/MPLSIPVPN报文转发图例说明：Site1发出一个目的地址为1.1.1.2的IP报文，由CE1将报文发送至PE1；PE1根据报文到达的接口及目的地址查找VRF表项，匹配后将报文转发出去，同时打上内层和外层两个标签；MPLS网络利用报文的外层标签，将报文传送到PE注：报文在达到PE2前跳时已经剥离外层标签，仅含内层标签。PE2根据内层标签和目的地址查找VRF表项，确定报文的出接口，将报文转发至CE2；CE2根据普通的IP转发过程将报文传送到目的地。1.1.1.2Layer2Layer11.1.1.2Layer2Layer11.1.1.21.1.1.21.1.1.21.1.1.21.1.1.