2022年BGP-MPLSVPN的实现技术教学文案 .pdf

BGP-MPLSVPN 的 实 现技 术名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 9 页 -BGP/MPLS VPN 的实现技术中国数据网 http:/ 22600）摘要 MPLS VPN 技术是未来构建VPN 的发展方向，越来越受到客户和运营商的青睐。BGP/MPLS VPN 是第三层 MPLS VPN 技术。本文在对 VRF、RD、RT 几个重要概念进行解释之后，对BGP/MPLS VPN 的数据转发过程和路由信息分发过程进行了较为详细的叙述。最后通过分析BGP/MPLS VPN 的特点，分析了其市场前景。关键词多协议标签交换（MPLS）虚拟局域网（VPN）一、VPN 技术概述 VPN（Virtual Private Network）是基于公网，利用隧道、加密等技术，为用户提供的虚拟专用网络，它给用户一种直接连接到私人局域网的感觉。1.传统 VPN 组网方式传统 VPN 组网方式分成两种，一种是专线VPN，一种是基于客户端设备的 VPN（CPE-based VPN）。专线 VPN 使用 DDN 电路或者虚电路（如ATM PVC、FR PVC 等）连接客户的站点，形成一个叠加式的二层VPN 网络。这种方式的VPN，成本高、建设周期长、网络拓展性不好，并且可管理性差。CPE-based VPN，其 VPN 功能都集成在各种各样的CPE设备之中，运营商的公网为客户提供透明的数据传输。因为VPN 是跨越不可信任的公网构建而成的，所以一般 CPE-based VPN都采用隧道、加密、认证等方式来防止数据被复名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 9 页 -制、篡改和丢失。这种方式的VPN，其最大缺点就在于需要客户投入较大的人力、物力去管理和维护VPN，同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响。2.Provider Provisioned VPN（PP-VPN）随着通信技术的不断发展，特别是MPLS 技术的出现，基于运营商网络的 VPN，即 PP-VPN 应运而生。PP-VPN 整个操作是作为一个运营商的外包资源实现在网络上，而不是在客户端设备上。这种方式的VPN，降低了客户的投入，增加了运营商的收入，同时又具有较好的网络拓展性、可管理性，因而赢得了越来越多客户和运营商的青睐。基于MPLS 的 VPN 就属于 PP-VPN。二、MPLS VPN 简介 MPLS（Multi-Protocol Label Switch，多协议标签交换）是由IETF 提出的新一代 IP骨干网络交换标准，是一种集成式的IP Over ATM 技术。它融合了 IP路由技术灵活性和ATM 交换技术简洁性的优点，在面向无连接的IP 网络中引入了 MPLS 面向连接的属性，提供了类似于虚电路的标签交换业务。MPLS VPN 有三种类型的路由器，CE 路由器、PE路由器和 P路由器。其中，CE 路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商边缘路由器，也就是MPLS 网络中的标签边缘路由器（LER），它根据存放的路由信息将来自CE 路由器或标签交换路径（LSP）的 VPN 数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS 网络中的标签交换路由器（LSR），它根据分组的外名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 9 页 -层标签对 VPN 数据进行透明转发，P 路由器只维护到 PE路由器的路由信息而不维护 VPN 相关的路由信息。根据 PE路由器是否参与客户的路由，MPLS VPN 分成 Layer3 MPLS VPN和 Layer2 MPLS VPN。其中 Layer3 MPLS VPN 遵循 RFC2547bis标准，使用BGP 在 PE路由器之间分发路由信息，使用MPLS 技术在 VPN 站点之间传送数据，因而又称为BGP/MPLS VPN。三、BGP/MPLS VPN 中几个重要的概念 1.VRF BGP/MPLS VPN 的安全举措之一就是路由隔离和信息隔离，它是通过VPN路由转发（VPN Routing&Forwarding：VRF）表和 MPLS 中的 LSP来实现的。在 PE路由器上，存在有多个VRF 表，这些 VRF 表是和 PE路由器上的一个或多个子接口相对应的，用于存放这些子接口所属VPN 的路由信息。通常情况下，VRF 表中只包含一个VPN 的路由信息，但是当子接口属于多个VPN时，其所对应的VRF 表中就包含了子接口所属的所有VPN 的路由信息。对于每一个 VRF 表，都具有路由区分符（Route Distinguisher：RD）和路由目标（Route Target：RT）两大属性。2.RD VPN 中 IP 地址的规划是由客户自行制订的，因而有可能会出现客户选择在RFC1918中定义的私有地址作为他们的站点地址或者不同的VPN 使用相同的地址域，也就是所谓的地址重叠现象。地址重叠的后果之一就是BGP 无法区分来自不同 VPN 的重叠路由，从而导致某个站点不可达。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 9 页 -为了解决这个问题，BGP/MPLS VPN 除了采用在 PE路由器上使用多个VRF 表的方法，还引入了RD 的概念。RD 具有全局唯一性，通过将8 个字节的RD 作为 IPv4 地址前缀的扩展，使不唯一的IPv4 地址转化为唯一的VPN-IPv4地址。VPN-IPv4 地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。RD 和 VRF 表之间建立了一一对应的关系。通常情况下，对于不同PE路由器上属于同一个VPN 的子接口，为其所对应的VRF 表分配相同的 RD，换句话说，就是为每一个VPN 分配一个唯一的 RD。但是对于重叠VPN，即某个站点属于多个 VPN 的情况，由于 PE路由器上的某个子接口属于多个VPN，此时，该子接口所对应的VRF 表只能被分配一个RD，从而多个 VPN 共享一个 RD。3.RT RT 的作用类似于 BGP中扩展团体属性，用于路由信息的分发。它分成Import RT 和 Export RT，分别用于路由信息的导入、导出策略。当从VRF 表中导出 VPN 路由时，要用 Export RT 对 VPN 路由进行标记；在往VRF 表中导入VPN 路由时，只有所带RT 标记与 VRF 表中任意一个 Import RT 相符的路由才会被导入到 VRF 表中。RT 使得 PE路由器只包含和其直接相连的VPN 的路由，而不是全网所有VPN 的路由，从而节省了PE路由器的资源，提高了网络拓展性。RT 具有全局唯一性，并且只能被一个VPN 使用。通过对 Import RT 和Export RT 的合理配置，运营商可以构建不同拓扑类型的VPN，如重叠式 VPN和 Hub-and-spoke VPN。四、BGP/MPLS VPN 的体系结构名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 9 页 -1.BGP/MPLS VPN 的体系结构体系结构主要分成数据面和控制面。数据面定义了VPN 数据的转发过程；控制面则定义了LSP的建立和 VPN 路由信息的分发过程。在此，我们主要讨论一下数据的转发过程和路由信息的分发过程。2.数据转发过程在 MPLS 网络中传输的 VPN 数据采用外标签（又称隧道标签）和内标签（又称 VPN 标签）两层标签栈结构，它们分别对应于两个层面的路由：域内路由和 VPN 路由。域内路由即MPLS 中的 LSP是由 PE路由器和 P路由器通过运行标签分发协议（Label Distribution Protocol：LDP）或资源预留协议（Resource Reservation Protocol：RSVP）建立的，它所产生的标签转发表用于VPN 分组外层标签的交换。VPN 路由是由 PE路由器之间通过运行MP-iBGP 建立的，该协议跨越骨干网的P路由器分发 VPN 标签形成 VPN 路由。在 PE路由器上除了 VRF 表外，还有 MPLS 路由表，该表用于存放VPN 标签和子接口的对应关系，为出口PE路由器到 CE 路由器之间的数据转发提供依据。具体数据转发过程如下：当CE 路由器通过某个子接口将一个VPN 分组发给入口 PE路由器后，PE路由器查找该子接口对应的VRF 表，从 VRF 表中得到 VPN 标签、初始外层标签以及到出口PE路由器的输出接口。当VPN 分组被打上两层标签之后，就通过输出接口发送到相应LSP上的第一个 P路由器。骨干网中 P路由器根据外层标签逐跳转发VPN 分组，直至最后一个P路由器弹出外层标签，将只含有VPN 标签的分组转发给出口PE路由器。出口 PE路由器名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 9 页 -根据 VPN 标签，查找 MPLS 路由表得到对应的输出接口，在弹出VPN 标签后通过该接口将 VPN 分组发送给正确的CE 路由器，从而实现了整个数据转发过程。特别的，当出口PE路由器和入口 PE路由器是同一个路由器时，PE路由器对收到的 VPN 分组将不经过任何处理直接转发给目的CE 路由器。3.路由信息分发过程在 MPLS VPN 中，因为采用了两层标签栈结构，所以P路由器并不参与VPN 路由信息的交互，客户路由器是通过CE 和 PE路由器之间、PE路由器之间的路由交互知道属于某个VPN 的网络拓扑信息。（1）CE-PE路由器之间通过采用静态/缺省路由，或采用IGP（RIPv2、OSPF）等动态路由协议，或建立EBGP连接等方式进行路由信息的交互。当入口 PE路由器从某个子接口接收到来自CE 路由器的路由信息时，除了将该路由导入对应的VRF 表，PE路由器还要为该路由分配一个VPN 标签。该VPN 标签用以识别接收路由信息的子接口，因此从同一个子接口接收到的路由信息将被分配同样的VPN 标签，从而 PE路由器可以将收到的VPN 分组转发到合适的子接口。（2）PE-PE之间通过采用 MP-iBGP 进行路由信息的交互。PE路由器通过维持 iBGP 网状连接或使用路由反射器来确保路由信息被分发给所有的PE路由器。当入口 PE路由器分发路由信息时，将同时携带路由所在VRF 表的 RD，即将路由的 IPv4地址转化为 VPN-IPv4 地址。分发的具体路由信息包括该路由的VPN-IPv4 地址前缀、下一跳BGP 即入口 PE路由器的 VPN-IPv4 地址（其中名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 9 页 -RD=0）、分配给该路由的VPN 标签和该路由所在 VRF 表的 Export RT。该路由信息我们称为带有标签的VPN-IPv4 路由信息。当出口 PE路由器收到路由信息时，将查看该路由的RT，如果 RT 和其任意 VRF 表中任意一个 Import RT 相符时，就将该路由存入VPN-IPv4.RIB 表。在进行路由选择之后，将最优路由中的VPN-IPv4 地址转化成 IPv4 地址，即去掉地址中的 RD，导入到相应的 VRF 表中。五、跨越多个运营商网络的MPLS VPN 的实现在某个客户的 MPLS/VPN 跨越多个运营商网络的情况下，如果假定运营商所用地址域不重叠，那么可以通过下述方法来解决：为了分发带有标签的IPv4 路由信息，在边缘路由器上建立EBGP连接；为了分发带有标签的VPN-IPv4 路由信息，在属于不同运营商的PE路由器之间建立多跳的EBGP连接。值得注意的是，这种用于不同运营商之间的EBGP解决方案同样适用于一个具有多个 AS 值的运营商。六、结束语 1.BGP/MPLS VPN 的特点作为 PP-VPN，提高了用户网络管理效率，降低了用户在网络管理方面投入的费用。解决了纯三层 IP VPN 所不能解决的地址重叠和重叠VPN 的问题。具有较好的网络拓展性，解决了传统VPN 在实现用户节点全网状连接时的 N2 问题。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 9 页 -不需要采用加密、认证等手段，通过路由隔离、地址隔离等多种方式，实现与传统 VPN 相类似的安全保证。运营商勿需经过网络调整可以同时为用户提供VPN 业务和一些相关的 IP增值业务（如 Internet接入，防火墙，NAT 等）。支持用户各种 Qos和 Cos业务需求。但是 BGP/MPLS VPN 也具有它的局限性，比如只能支持IP技术，不能支持IP多播应用等。2.市场前景综上所述，BGP/MPLS VPN 可以作为传统的基于二层专线的VPN、纯三层的IP VPN 和隧道方式的 VPN 的替代技术，是未来构建VPN 技术的发展方向。但是由于 VPN 路由存在于 PE路由器上，由运营商代替用户维护路由，所以对于一些网络安全意识较高的高端用户，他们更倾向于使用传统的二层VPN 技术或者新兴的 Layer2 MPLS VPN。因此，目前 BGP/MPLS VPN 应定位于缺乏专门技术人员而想尽量节省资金的那些以接入互联网为主，其次才是通过互联网访问公司内部网络的中小规模的企业VPN 用户。运营商在向BGP/MPLS VPN 演进过程中，可采用循序渐进的方式，在保持原有业务的同时，将BGP/MPLS VPN 业务作为传统 VPN 的补充，在积累一定运营经验后再进行全网的推广。名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 9 页 -