华为MPLSVPN培训资料(内部员工).ppt

《华为MPLSVPN培训资料(内部员工).ppt》由会员分享，可在线阅读，更多相关《华为MPLSVPN培训资料(内部员工).ppt（92页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ISSUEISSUE数通技术支持部数通技术支持部数通技术支持部数通技术支持部MPLS VPNMPLS VPN培训培训培训培训3.03.02021/9/271学习目标学习目标l掌握MPLS的基本概念和工作过程l掌握标签的分配和控制l掌握MPLS VPN 控制和转发流程l掌握MPLS VPN的配置及故障定位学习完本课程，您应该能够：学习完本课程，您应该能够：2021/9/272课程内容课程内容第一章第一章 MPLS 协议协议第二章第二章 VPN概述概述第三章第三章 BGP/MPLS VPN第四章第四章 配置及排错配置及排错2021/9/273MPLS协议起源协议起源lMPLS最初是用来提高路由器的

2、转发速度而提出的一个协议l1996年，Ipsilon公司推出了IP Switching协议，通过标签交换数据包，引发了路由器技术的一次革命l1997年，IETF成 立 了 一 个 MPLS（Multi-Protocol Label Switching）工作组，作为独立于厂商的一系列标准的名称lMulti-Protocol支持多种三层协议，如IP、IPv6、IPX、SNA等lLabel Switching给报文打上标签，以标签交换取代IP转发2021/9/274MPLS的几个术语（一）的几个术语（一）lLabel：是一个比较短的，定长的，通常只具有局部意义的标识。lFEC（Forwarding

3、Equivalence Class）：转发等价类。是在转发过程中以等价的方式处理的一组数据分组，可以通过地址、隧道、COS等来标识创建FEClLSP：标签交换通道。一个FEC的数据流，在不同的节点被赋予确定的标签，数据转发按照这些标签进行。数据流所走的路径就是LSP2021/9/275MPLS的几个术语（二）的几个术语（二）lLSR：Label Switching Router。LSR是MPLS的网络的核心交换机或者路由器，它提供标签交换和标签分发功能。lLER：Label Switching Edge Router。在MPLS的网络边缘，进入到MPLS网络的流量由LER分为不同的FEC，并为

4、这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能。2021/9/276MPLS封装格式封装格式l通常，MPLS包头有32Bit，其中有：l20Bit用作标签（Label），0到15系统保留l3个Bit的EXP,协议中没有明确，通常用作COSl1个Bit的S,用于标识是否是栈底，表明MPLS的标签可以嵌套。l8个Bit的TTL2021/9/277问题问题l当一个链路层协议收到一个MPLS报文后，是如何判断这是一个MPLS报文，应该送给MPLS处理，而不是象普通的IP报文那样，直接送给IP层处理？2021/9/278解答解答l在 以 太 网 中：使 用 值 是 0 x8847(

5、单 播)和0 x8848（组播）来表示承载的是MPLS报文（0800是IP报文）l在PPP中：增加了一种新的NCP：MPLSCP，使用0 x8281来标识2021/9/279MPLS MPLS 网络拓扑结构网络拓扑结构网络拓扑结构网络拓扑结构LSRCustomerIP NetworkIngress LERLSPLabel Switched PathCustomerIP Networkegress LER2021/9/2710传统传统传统传统传统传统IPIPIP转发转发转发转发转发转发l每一跳分析IP头，查找的方式采用最长匹配，可能查找多次l所有路由器都要知道整个网络的所有路由分析IP头映射到下

6、一跳分析IP头映射到下一跳分析IP头映射到下一跳2021/9/2711标签转发基本概念标签转发基本概念lNHLFE（Next Hop Label Forwarding Entry）：描述标签操作l 下一跳l 标签操作类型：push/pop/swapl 链路层封装类型等l FTN（FEC to NHLFE）：将FEC映射到NHLFEl ILM（Incoming Label Map）：将MPLS标签映射到NHLFE2021/9/2712标签转发（一）标签转发（一）出口LER分析IP头FEC绑定LSPFTN-NHLFE入口LERLSRLSR标签操作：pushABCDA:加上标签加上标签L1E1B10

7、.0.1.0/24其他其他标签操作标签操作发送接口发送接口下一跳下一跳NHLFEFEClIngress接收分组，判定分组所属的FEC，给分组加上Label2021/9/2713标签转发（二）标签转发（二）l在MPLS域中只依据标签和标签转发表通过转发单元进行转发ILM-NHLFE入口LERLSRLSR标签操作：swapABCD去掉原来的标签，加上标签去掉原来的标签，加上标签L2E0CL1其他其他标签操作标签操作发送接口发送接口下一跳下一跳NHLFE入标签入标签B，C:2021/9/2714标签转发（三）标签转发（三）l在MPLS域中只依据标签和标签转发表通过转发单元进行转发ILM-NHLFE入

8、口LERLSRLSR标签操作：swapABCD去掉原来的标签，加上标签去掉原来的标签，加上标签L3E0DL2其他其他标签操作标签操作发送接口发送接口下一跳下一跳NHLFE入标签入标签B，C:2021/9/2715标签转发（四）标签转发（四）lEgress将标签去掉，继续转发ILM-NHLFE分析IP头映射到下一跳入口LERLSRLSR标签操作：popABCD去掉标签去掉标签DL3其他其他标签操作标签操作发送接口发送接口下一跳下一跳NHLFE入标签入标签D:2021/9/2716倒数第二跳弹出（倒数第二跳弹出（倒数第二跳弹出（倒数第二跳弹出（PHPPHP）l 在最后一跳，最外层的标签已经没有意义

9、，因此可以在倒数第二跳将标签弹出，减少最后一跳的负担。l 如果只有一层标签，则最后一跳直接进行IP转发；否则，对内层标签做标签转发分析IP头映射到下一跳标签操作：pop分析IP头FEC绑定LSPFTN-NHLFEILM-NHLFEILM-NHLFE入口LERLSRLSR出口LER标签操作：push标签操作：swap2021/9/2717分配标签的协议分配标签的协议l信令协议，用于在LSR之间分配标签，建立LSPl LDPl CR-LDP l RSVP-TEl MP-BGPl BGP2021/9/2718LDP的基本概念的基本概念lLDP是一个动态的生成标签的协议,与动态路由协议（如OSPF）十

10、分相像，都具备如下的几大要素：l报文（或者叫消息）l邻居的自动发现和维护机制l一套算法，用来根据搜集到的信息计算最终结果。l前者计算的结果是标签，后者是路由l主要功能：l发布LabelFEC映射l建立与维护标签交换路径2021/9/2719LDP的基本概念的基本概念在LDP协议中，存在4种LDP消息：l发现（Discovery）消息用于通告和维护网络中LSR的存在。l会话（Session）消息用于建立，维护和结束LDP对等实体之间的会话连接。l通告（Advertisement）消息用于创建、改变和删除特定FEC-标签绑定。l通知（Notification）消息用于提供消息通告和差错通知。202

11、1/9/2720LDP会话的建立和维护会话的建立和维护邻居发现：通过互发hello报文(UDP/prot:646/IP:224.0.0.2）建立TCP连接：由地址大的一方主动发起。(TCP/port:646)会话初始化：由Master发出初始化消息，并携带协商参数。由slave检查参数能否接受，如果能则发送初始化消息，并携带协商参数。并随后发送keepalive消息。master检查参数能否接受，如果能则发送keepalive消息。相互收到keepalive消息，会话建立。期间收到任何差错消息，均关闭会话，断开TCP连接MMMMM2021/9/2721LDP邻居状态机邻居状态机2021/9/2

12、722标签分配和管理（一）标签分配和管理（一）标签分配和管理（一）标签分配和管理（一）l标签分配模式lDoD：downstream-on-demand 下游按需标记分配lDU：downstream unsolicited 下游自主标记分配l上游与下游：在一条LSP上，沿数据包传送的方向，相邻的 LSR分 别 叫 上 游 LSR（upstream LSR）和 下 游LSR（downstream LSR）。下游是路由的始发者。2021/9/2723标签分配和管理（二）标签分配和管理（二）标签分配和管理（二）标签分配和管理（二）l标签控制模式l有序方式（Ordered）l独立方式（Independe

13、nt）l 标签保持方式l保守模式（Conservative）l自由模式（Liberal）2021/9/2724标签分发模式：标签分发模式：DUl下游LSR在LDP会话建立成功，主动向其上游LSR发布标签映射消息l上游路由器保存标签，存放到标签映射表中l标签是设备随机自动生成的，16以下为系统保留上游下游路由触发到到171.68.10/24可以使用标签可以使用标签20到到171.68.1.0/24可以使用标签可以使用标签20171.68.1.0/24171.68.4.0/24到到171.68.10/24可以使用标签可以使用标签18到到171.68.1.0/24可以使用标签可以使用标签182021

14、/9/2725标签分发模式：标签分发模式：DoDl上游LSR向下游LSR发送标签请求消息（包含FEC的描述信息）l下游LSR为此FEC分配标签，并将绑定的标签通过标签映射消息反馈给上游LSR 上游下游路由触发171.68.1.0/24171.68.4.0/24LSR1 LSR2 LSR3请求到目的地址请求到目的地址171.68.10/24的标签的标签请求到目的地址请求到目的地址171.68.1.0/24的标签的标签请求到目的地址请求到目的地址171.68.10/24的标签的标签请求到目的地址请求到目的地址171.68.1.0/24的标签的标签分配到分配到171.68.10/24的标签为的标签为

15、20分配到分配到171.68.1.0/24的标签为的标签为 20分配到分配到171.68.10/24的标签为的标签为18分配到分配到171.68.1.0/24的标签为的标签为 182021/9/2726标签控制模式：有序标签控制模式：有序l只有收到它的下游返回的标签映射消息后才向其上游发送标签映射消息上游下游标签请求标签请求标签请求标签请求标签请求标签请求标签映射标签映射标签映射标签映射标签映射标签映射2021/9/2727标签控制模式：独立标签控制模式：独立l不管有没有收到它的下游返回的标签映射消息都立即向其上游发送标签映射消息上游下游标签映射标签映射标签映射标签映射标签映射标签映射2021

16、/9/2728标签保持方式保守标签保持方式保守l保守方式（Conservative retention mode）l只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。l优点：节省内存和标签空间。l缺点：当IP路由收敛、下一跳改变时LSP收敛慢LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel 20mappinglabel 30mappinglabel 17mappinglabel 16不是到172.16.2/24的下一跳邻居发来的标签，丢弃2021/9/2729标签保持方式自由标签保持方式自由l自由方式（Liberal retention mode

17、）l保留来自邻居的所有发送来的标签l优点：当IP路由收敛、下一跳改变时减少了lsp收敛时间l缺点：需要更多的内存和标签空间。LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel 20mappinglabel 30mappinglabel 17mappinglabel 16不是到172.16.2/24的下一跳邻居发来的标签，保留2021/9/2730标签转发表标签转发表l标签转发表中的IN和OUT，是相对于标签转发而言，不是相对于标签分配的IN和OUT：l入标签是我分给别人的，出标签是别人分给我的l我分配的标签是给别人用的IN interfaceIN label

18、Prefix/MASKOUT interface(nexthop)OUT labelSerial05010.1.1.0/24Eth0（3.3.3.3）80Serial15110.1.1.0/24Eth0（3.3.3.3）80Serial16270.1.2.0/24Eth0（3.3.3.3）52Serial15220.1.2.0/24Eth1（4.4.4.4）52Serial27730.1.2.0/24Serial3（5.5.5.5)3（pop）2021/9/2731问题问题对于一台设备的标签转发表（基于全局）来说：l所有的入标签（）l对于不同的路由（但下一跳相同），出标签（）l对于不同的路由（

19、下一跳也不同），出标签（）l对于同一条路由，入标签和出标签（）A 一定不同 B 一定相同 C 可能相同2021/9/2732解答解答对于一台设备的标签转发表（基于全局）来说：l所有的入标签（A）l对于不同的路由（但下一跳相同），出标签（A）l对于不同的路由（下一跳也不同），出标签（C）l对于同一条路由，入标签和出标签（C）A 一定不同 B 一定相同 C 可能相同2021/9/2733课程内容课程内容第一章第一章 MPLS 协议协议第二章第二章 VPN概述概述第三章第三章 BGP/MPLS VPN第四章第四章 配置及排错配置及排错2021/9/2734VPN的基本概念的基本概念Internet出

20、差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构合作伙伴合作伙伴异地办事处异地办事处2021/9/2735传统传统VPN的分类（一）的分类（一）l按业务用途分类：lAccess VPNlIntranet VPNlExtranet VPNl按实现的层次分类：l二层隧道 VPNl三层隧道 VPN2021/9/2736传统传统VPN的分类（二）的分类（二）l按运营模式lCPE-based VPNlNetwork-based VPNl按组网模型按组网模型l虚拟租用线（VLL）l虚拟专用拨号网络（VPDN）l虚拟专用LAN网段（VPLS）业务 l虚拟专用路由网（VPRN）业务 2021

21、/9/2737传统传统VPN的实现模型的实现模型2021/9/2738设备角色设备角色lCE（Custom Edge）：直接与服务提供商相连的用户设备。lPE（Provider Edge Router）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。lP（Provider Router）：指骨干网上的核心路由器，主要完成路由和快速转发功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECEVPN_A10.2.0.0CEP-Netw

22、orkP-NetworkP-NetworkP-NetworkC-Network2021/9/2739Overlay VPN隧道建立在隧道建立在CE上上l特点：在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，服务商对客户网络结构一无所知。典型代表是GRE、IPSecl优点：不同的客户地址空间可以重叠，保密性、安全性非常好。l缺点：需要客户自己创建并维护VPN。VPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-Network

23、GRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelP2021/9/2740Overlay VPN隧道建立在隧道建立在PE上上l特点：在PE上为每一个VPN用户建立相应的GRE隧道，路由信息在PE与PE之间传递，公网中的P设备不知道私网的路由信息。l优点：客户把VPN的创建及维护完全交给服务商，保密性、安全性比较好。l缺点：不同的VPN用户不能共享相同的地址空间。VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CE

24、PECEP-NetworkP-NetworkP-NetworkP-NetworkGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelP2021/9/2741Overlay VPN的本质的本质lOverlay VPN的本质是一种“静态”VPN，这好比是静态路由，所以他具有类似静态路由的全部缺陷：所有的配置与部署都需要手工完成，而且具有N2问题：l由于是“静态”VPN，则无法反应网络的实时变化。l如果隧道建立在CE上，则必须由用户维护。l如果建立在PE上，则又无法解决地址冲突问题。2021/

25、9/2742Peer-to-Peer VPNlPeertoPeer是指CEtoPE，也就是要在CE与PE之间交换私网路由信息，然后由PE将这些私网路由在PNetwork中传播（P-Network上肯定是运行了一种动态路由协议），这样这些私网路由会自动的传播到其他的PE上。l这种VPN由于私网路由会泄露到公网上，所以必须严格的通过路由来控制，即：要确保同一个VPN的CE路由器上只能有本VPN的路由。l所以，通常CE与PE之间运行的路由协议，与P-Network上运行的路由协议是不同的，即使相同，也要有很好的路由过滤和选择的机制。2021/9/2743Peer-to-Peer VPN共享共享PE方

26、式方式l所有VPN用户的CE都连到同一台PE上，PE与不同的CE之间运行不同的路由协议（或者是相同路由协议的不同进程，比如OSPF）。由PE将这些路由发布到公网上，在接收端的PE上将这些路由过滤后再发给相应的CE设备。l缺点：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL。VPN_AVPN_B10.3.0.011.3.0.0P PPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-Network私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上

27、传播ripospfospfisis2021/9/2744Overlay VPN隧道建立在隧道建立在PE上上l为每一个VPN单独准备一台PE路由器，PE和CE之间可以运行任意的路由协议，与其他VPN无关。PE与P之间运行BGP，并使用路由属性进行过滤。l优点：无需配置任何的ACL了。l缺点：每一个VPN用户都有新增一台用的PE，代价过于昂贵了。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-Network私网路由在整个公网上传播私网路由在整个公网上传播私网

28、路由在整个公网上传播私网路由在整个公网上传播ripripospfospfPEPE2021/9/2745Peer-to-Peer VPN的本质的本质lPeer-to-Peer VPN虽然很好的解决了“静态的问题”，但是仍旧有很多局限性：l由于没有使用隧道技术，导致私网路由泄露到公网上，安全性很差。lVPN的“私有”特性完全靠路由来保证，导致在CE设备上无法配置缺省路由。（why）l仍旧存在所有的设备无法共享相同的地址空间问题。2021/9/2746课程内容课程内容第一章第一章 MPLS 简介简介第二章第二章 VPN概述概述第三章第三章 BGP/MPLS VPN第四章第四章 配置及排错配置及排错2

29、021/9/2747MPLS VPN 网络结构网络结构lCE（Custom Edge）：直接与服务提供商相连的用户设备。lPE（Provider Edge Router）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。lP（Provider Router）：指骨干网上的核心路由器，主要完成路由和快速转发功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.

30、0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGP sessionsPPPPPEPE2021/9/2748与传统与传统VPN模型的比较模型的比较l与传统的Overlay VPN模型相比，MPLS VPN可以提供一种动态建立的隧道技术l MPLS中的LSP正是一种天然的隧道，而且这种隧道的建立是基于LDP协议，又恰恰是一种动态的标签生成协议l与传统的Peer to Peer VPN模型相比，MPLS VPN可以解决不同VPN共享相同地址空间的问题，即解决地址冲突的问题l 通过动态路由协议来解决2021/9/2749为什么是为什么是BGP

31、l要解决地址冲突问题，必须对现有的路由协议进行大规模的修改，这就要求一个路由协议具有良好的可扩展性。而具备条件的协议一定是基于TLV元素的。符合标准的只有EIGRP、BGP、ISIS。为什么选择BGP：l网络中VPN路由数目可能非常大，BGP是唯一支持大量路由的路由协议；lBGP是基于TCP来建立连接，可以在不直接相连的路由器间交换信息，这使得P路由器中无须包含VPN路由信息；lBGP可以运载附加在路由后的任何信息，作为可选的BGP属性，任何不了解这些属性的BGP路由器都将透明的转发它们，这使在PE路由器间传播路由非常简单。2021/9/2750解决地址冲突的办法（一）解决地址冲突的办法（一）

32、l本地路由冲突问题，即：在同一台PE上如何区分不同VPN的相同路由？l可以通过在同一台路由器上创建不同的路由表解决，而不同的接口可以分属不同的路由表中，这就相当于将一台共享PE模拟成多台专用PE。l路由在网络中的传播问题，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此？l可以在路由传递的过程中为这条路由再添加一个标识，用以区别不同的VPN。2021/9/2751解决地址冲突的办法（二）解决地址冲突的办法（二）l报文的转发问题，即使成功的解决了路由表的冲突，但是当PE接收到一个IP报文时，他又如何能够知道该发给那个VPN？因为IP报文头中唯一可用的信息就是目的地址。而很多VPN中都可能存

33、在这个地址。l在IP头之外加上一些信息，由始发的VPN打上标记，这样PE在接收报文时可以根据这个标记进行转发。2021/9/2752VPN Instance解决本地路由冲突解决本地路由冲突l每一个VPN实例可以看作虚拟的路由器，好像是一台专用的PE设备。该虚拟路由器包括如下元素：l一张独立的路由表，当然也包括了独立的地址空间。l一组归属于这个VPN实例的接口的集合。l一组只用于本VPN实例的路由协议。l对于每个PE，可以维护一个或多个VPN实例，同时维护一个公网的路由表（也叫全局路由表），多个VPN实例相互分离独立。l其实实现VPN实例并不困难，关键在于如何在PE上使用特定的策略规则来协调各V

34、PN实例之间的关系。2021/9/2753Route TargetlBGP的扩展community属性：RT（Route Target）l扩展的community有如下两种格式：其中type字段为0 x0002或者0 x0102时表示RT。TYPE(2字节）字节）Administrator FieldAssigned Number Field0 x00022字节字节AS号号4字节分配编号字节分配编号 0 x01024字节字节IP地址地址 2字节分配编号字节分配编号2021/9/2754Route Target本质本质lRT的本质是每个VPN实例表达自己的路由取舍及喜好的方式。可以分为两部分：E

35、xport Target与import Targetl在一个VPN实例中，在发布路由时使用RT的export规则。直接发送给其他的PE设备l在接收端的PE上，接收所有的路由，并根据每个VPN实例配置的RT的import规则进行检查，如果与路由中的RT属性match，则将该路由加入到相应的VPN实例中。2021/9/2755RT的灵活应用的灵活应用l由于每个RT Export Target与import Target都可以配置多个value，接收时是“或”操作，所以就可以实现非常灵活的VPN访问控制。2021/9/2756RD（Route Distinguisher）l在成功的解决了本地路由冲突

36、的问题之后，路由在网络中传递时的冲突问题就迎刃而解了。只要在发布路由时加上一个标识即可，这个标识就是RD。TYPE(2字节）字节）Administrator FieldAssigned Number Field0 x00022字节字节AS号号4字节分配编号字节分配编号 0 x01024字节字节IP地址地址 2字节分配编号字节分配编号lRD的格式l16位自治系统号ASN:32位用户自定义数，例如：100:1l2位IP地址:16位用户自定义数，例如：172.1.1.1:12021/9/2757RD的本质的本质l理论上可以为每个VPN实例配置一个RD。通常建议为每个VPN都配置相同的RD，不同的VP

37、N配置不同的RD。但是实际上只要保证存在相同地址的两个VPN实例的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。l如果两个VPN实例中存在相同的地址，则一定要配置不同的RD，而且两个VPN实例一定不能互访，间接互访也不成。lRD并不会影响不同VPN实例之间的路由选择以及VPN的形成，这些事情由RT搞定。lPE从CE接收的标准的路由是IPv4路由，如果需要发布给其他的PE路由器，此时需要为这条路由附加一个RD。2021/9/2758VPNv4和和IPv4 地址族地址族l在IPv4地址加上RD之后，就变成VPN-IPv4地址族了VPNv4。而原来的标准的地址族就称

38、为IPv4。lVPNv4 地址族主要用于PE路由器之间传递VPN路由lVPN-IPv4地址仅用于服务供应商网络内部。在PE发布路由时添加，在PE接收路由后放在本地路由表中，用来与后来接收到的路由进行比较。CE不知道使用的是VPN-IPv4地址。l在VPN数据流量穿越供应商骨干时，包头中没有携带VPN-IPv4地址。Route Distinguisher(8个字节)IPv4 地址VPNV4地址结构：地址结构：2021/9/2759私网私网Labell至此，前两个问题：在PE本地的路由冲突和网络传播过程的路由冲突都已解决。但如果一个PE的两个本地VPN实例同时存在10.0.0.0/24的路由，当他

39、接收到一个目的地址为10.0.0.1的报文时，他如何知道该把这个报文发给与哪个VPN实例相连的CE？肯定还需要在被转发的报文中增加一个标识。l由于MPLS支持多层标签的嵌套，这个标识可以定义成MPLS标签的格式，即私网Label。2021/9/2760BGP发布路由时携带的信息发布路由时携带的信息l一 个 扩 展 之 后 的 NLRI（Network Layer Reachability Information），增加了地址族的描述，以及私网Label和RD。MP_REACH_NLRI：addressfamily：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopbac

40、k地址。NLRI:私网label：24个bit，与MPLS标签一样。prefix：RD:64bitip前缀l跟随之后的是扩展团体属性RT的列表Extended_Communities（RT1）Extended_Communities（RT2）l对于使用了扩展属性MP_REACH_NLRI和扩展团体属性RT的BGP，我们称之为MP-BGP协议2021/9/2761MP-BGP协议协议lMP-BGP(Multiprotocol Extensions for BGP-4)lBGP-4仅仅支持IPv4，MP-BGP是为了让BGP可以用于传输更多协议（IPv6,IPX,.）的路由信息而进行的扩展。l为

41、了 保 持 兼 容 性，MP-BGP仅 仅 添 加 了 两 个 BGP属 性：MP_REACH_NLRI（MP_UNREACH_NLRI）和扩展团体属性。lMP_REACH_NLRI（MP_UNREACH_NLRI）可以用在BGP Update消息中用于通告或废止网络可达性信息。l私网Label映射消息携带在MP_REACH_NLRI属性中，前20位是标签，后4位则的前3位是EXP域，最后一位用于指示是否是栈底。2021/9/2762PE和和CE设备之间的关系设备之间的关系lPE 和 CE 路由器通过EBGP、RIP和静态路由交换信息，CE 运行标准路由协议lPE 维护独立的路由表：公网路由表

42、和VPN实例的私网路由表PECPECECESite-2Site-2Site-1Site-1 EBGP,RIP,StaticVPNAVPNBVPN实例实例 for VPNAVPN实例实例 for VPNBGlobal route2021/9/2763VPN实例路由的发布实例路由的发布lPE路由器通过MPLS/VPN骨干网发布本地的VPN路由信息。l发送端 PE通过使用 MP-iBGP 将VPN实例路由从本地发布出去（带有export-target属性）l接收端 PE 将路由引入到所属的VPN实例中（有相匹配的import-target属性）PEPECE RouterCE RouterP Rout

43、erSiteSiteMP-iBGP2021/9/2764VPN实例路由注入到实例路由注入到MP-iBGPlPE路由器需要对一条路由进行如下操作：l加上RD（RD为手工配置），变为一条VPN-IPV4路由。l更改下一跳属性为自己（通常是自己的loopback地址）l加上私网标签（随机自动生成，无需配置）l加上RT属性（RT需手工配置）l发给所有的PE邻居PE-1CE-1MP-iBGPPE-2BGP,RIPv2 update for 149.27.2.0/24,NH=CE-1CE-2北京北京上海上海VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-1R

44、T=VPN-A,Label=(28)2021/9/2765MP-iBGP路由注入到路由注入到VPN实例实例l每个VPN实例都有import route-target和 export route-target 的配置l发送PE发出MP-iBGP updates时，报文携带 export 属性。l接受PE 收到VPN-IPv4的MP-iBGP updates 时，判断收到的export是否与本地的VPN实例的import相等，相等就加入到相应的VPN实例路由表中，否则丢弃PECE-1MP-iBGPPECE-2北京北京上海上海VPN-v4 update:RD:1:27:149.27.2.0/24,N

45、ext-hop=PE-1RT=VPN-A Label=(28)VPN-v4 路由变为IPV4路由，并且根据本地VPN实例的import RT属性加入到相应的VPN实例中，私网标签保留，留做转发时使用。再由本VPN实例的路由协议引入并转发给相应的CE2021/9/2766MPLS/VPN 公网标签分配公网标签分配lPE 和 P 路由器通过骨干网IGP具有到bgp下一跳的可达性；l通过运行IGP和LDP，分配标签，建立LSP，获得到BGP下一跳的LSP通道l标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳，内层标签表示报文的出接口或者属于哪个VPN实例（属于哪个VPN）lMPLS 节点转发

46、是基于外层标签，而不管内层标签是多少P routerP routerIn Label FEC Out Label-197.26.15.1/32 -In Label FEC Out Label41197.26.15.1/30POPIn Label FEC Out Label-197.26.15.1/32 41Use label implicit-null for destination 197.26.15.1/32Use label41 for destination 197.26.15.1/32VPN-v4 update:RD:1:27:149.27.2.0/24,NH=197.26.15.1

47、RT=VPN-A-Label=(28)PE-1上海上海北京北京149.27.2.0/242021/9/2767MPLS/VPN 报文转发（一）报文转发（一）l入口PE收到CE的普通IP报文后，PE根据入接口所属的VPN实例加入到相应的VPN转发表，查找下一跳和标签In Label FEC Out Label-197.26.15.1/3241149.27.2.27PE-1149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)上海上海北京北京149.27.2.0/242021/9/2768MPLS/VPN 报文转发（二）报文转发（二）l

48、倒数第二跳路由器弹出外层标签，根据下一跳发送至出口PEl出口PE路由器根据内层标签判断报文是去向哪个CEl弹出内层标签，用普通IP报文向目的CE进行转发In Label FEC Out Label41197.26.15.1/32POP北京北京149.27.2.27PE-1上海上海149.27.2.0/24149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)149.27.2.2728In Label FEC Out Label28(V)149.27.2.0/24-VPN-A 149.27.2.0/24,NH=北京北京149.27.2

49、.27197.25.15.1/302021/9/2769MPLS VPN控制流程私网路由及标签传递控制流程私网路由及标签传递MPLSPEAPBPECMP-BGP IBGP PeerCE A1CE B1CE A2CE B2VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-CRT=VPN-A,Label=(28)VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-CRT=VPN-A,Label=(28)BGP,OSPF,RIPv2 update for 149.27.2.0/24,NH=PE-ABGP,OSP

50、F,RIPv2 update for 149.27.2.0/24,NH=CE-A2149.27.2.0/24IN 28NH:A2149.27.2.0/24Out 28NH:PEC2021/9/2770MPLS VPN控制流程控制流程 公网公网LSP的建立的建立MPLSPEAPBPEC201.1.1.1/321.1.1.1/321.1.1.1/32IGPIGPPE C的loopback地址为1.1.1.1In 20out 33out 20149.27.2.0/24Out 28NH:PEC149.27.2.0/24IN 28NH:A22021/9/2771MPLS VPN数据流程私网数据包的转发数