【資料名稱】：BGP MPLS VPN原理介紹

【資料作者】：張洋

【資料日期】：2012.01.10

【資料語言】：中文

【資料格式】：PPT

【資料目錄和簡介】：

BGP MPLS VPN原理
ISSUE 2.0
內(nèi)容介紹
MPLS產(chǎn)生背景
MPLS產(chǎn)生背景
MPLS產(chǎn)生背景
MPLS技術(shù)
MPLS基本概念
MPLS包頭結(jié)構(gòu)
MPLS術(shù)語
IP的hop-by-hop逐跳轉(zhuǎn)發(fā)
Label Switched Path (LSP)
Label Switched Path (LSP)
MPLS LDP
LDP消息

LDP鄰居狀態(tài)機
標簽的分配和管理
LDP標簽分配方式（DU）
LDP標簽保留方式
LDP標簽控制方式
LDP標簽分配
標簽轉(zhuǎn)發(fā)表
倒數(shù)第二跳彈出（P H P）
MPLS的衰落……
內(nèi)容介紹
VPN
VPN中的角色
Overlay VPN－隧道建立在CE上
Overlay VPN－隧道建立在PE上
Overlay VPN的本質(zhì)
Peer-to-Peer VPN
Peer-to-Peer VPN——共享PE方式
Peer-to-Peer VPN——專用PE方式
Peer-to-Peer VPN的本質(zhì)
解決方案
隧道技術(shù)問題————MPLS
要確保安全性，則必須使用隧道技術(shù)，雖然并不缺少隧道，但如GRE、IPSec都是靜態(tài)隧道技術(shù)，無法適應(yīng)大規(guī)模的網(wǎng)絡(luò)。MPLS中的LSP正是一種天然的隧道，而且這種隧道的建立是基于LDP協(xié)議，又恰恰是一種動態(tài)的標簽生成協(xié)議。
解決方案
地址沖突問題————BGP
為什么是BGP？
如果要解決地址沖突問題，必須對現(xiàn)有的協(xié)議進行大規(guī)模的修改，這就要求一個協(xié)議具有良好的可擴展性。而BGP是一個非常合適的人選：
網(wǎng)絡(luò)中VPN路由數(shù)目可能非常大，BGP是唯一支持大量路由的路由協(xié)議；
BGP是基于TCP來建立連接，可以在不直接相連的路由器間交換信息，這使得P路由器中無須包含VPN路由信息；
BGP可以運載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)它們，這使在PE路由器間傳播路由非常簡單。

地址沖突問題
BGP需要攻克以下三個難關(guān)：
本地路由沖突問題，即：在同一臺PE上如何區(qū)分不同VPN的相同路由。（控制平面）
路由在網(wǎng)絡(luò)中的傳播問題，兩條相同的路由，都在網(wǎng)絡(luò)中傳播，對于接收者如何分辨彼此？（控制平面）
報文的轉(zhuǎn)發(fā)問題，即使成功的解決了路由表的沖突，但是當PE接收到一個IP報文時，他又如何能夠知道該發(fā)給那個VPN？因為IP報文頭中唯一可用的信息就是目的地址。而很多VPN中都可能存在這個地址。（轉(zhuǎn)發(fā)平面）
解決思路
本地路由沖突問題：專用PE-----用一臺共享PE模擬成多臺專用PE �？梢酝ㄟ^在同一臺路由器上創(chuàng)建不同的路由表解決，而不同的接口可以分屬不同的路由表中。
路由傳播的地址沖突問題：可以在路由傳遞的過程中為這條路由再添加一個標識，用以區(qū)別不同的VPN。
報文轉(zhuǎn)發(fā)地址沖突問題：由于IP報文的格式不可更改，但可以在IP頭之外加上一些信息，由始發(fā)的VPN打上標記，這樣PE在接收報文時可以根據(jù)這個標記進行轉(zhuǎn)發(fā)
1、本地地址沖突問題
VRF
VRF路由表間關(guān)系——RT
RT 使用了BGP的擴展community屬性,并且起了一個新名字：RT（Route Target）
擴展的community有如下兩種格式：其中type字段為0x0002或者0x0102時表示RT。
RT的本質(zhì)
RT的本質(zhì)是每個VRF表達自己的路由取舍及喜好的方式�？梢苑譃閮刹糠郑篍xport Target與import Target
在一個VRF中，在發(fā)布路由時使用RT的export規(guī)則。直接發(fā)送給其他的PE設(shè)備
在接收端的PE上，接收所有的路由，并根據(jù)每個VRF配置的RT的import規(guī)則進行檢查，如果與路由中的RT屬性match，則將該路由加入到相應(yīng)的VRF中。
RT的靈活應(yīng)用
由于每個RT Export Target與import Target都可以配置多個屬性，可以實現(xiàn)非常靈活的VPN訪問控制
2、路由在傳播過程中地址沖突問題
在成功的解決了本地路由沖突的問題之后，路由在網(wǎng)絡(luò)中傳遞時的沖突問題就迎刃而解了。只要在發(fā)布路由時加上一個標識即可。既然路由發(fā)布時已經(jīng)攜帶了RT，可否就使用RT作為標識呢？
理論上講，肯定是可以的。但BGP的Route withdraw報文不攜帶屬性，這樣在這種情況下收到的路由就沒有RT了。所以還是另外定義RD(Route Distinguisher）。
RD

RD的格式:
16位自治系統(tǒng)號ASN：32位用戶自定義數(shù)，例如：100:1
32位IP地址：16位用戶自定義數(shù)，例如：172.1.1.1:1
一般為一個site分配唯一一個RD，它是VRF的標識符
VPNv4和IPv4 地址族
為了解決不同的VPN可以使用相同的地址空間的問題，引入了新的地址族——VPNv4。而原來的標準的地址族就稱為IPv4。
VPNv4 地址族主要用于PE路由器之間傳遞VPN路由
由于RD在不同的VPN間具有唯一性。如果兩個VPN使用相同的IP地址，PE路由器為它們添加不同的RD，轉(zhuǎn)換成唯一的VPN-v4地址，不會造成地址空間的沖突。
PE從CE接收的標準的路由是IPv4路由，如果需要引入VRF路由表并發(fā)布給其他的路由器，此時需要附加一個RD。建議相同VPN的RD配置成相同的。
3、報文轉(zhuǎn)發(fā)地址沖突問題
至此，前兩個問題：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過程的沖突都已解決。但是如果一個PE的兩個本地VRF同時存在10.0.0.0/24的路由，當他接收到一個目的地址為10.0.0.1的報文時，他如何知道該把這個報文發(fā)給與哪個VRF相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報文中增加一些信息。
需要一個短小的標記來標識，由于公網(wǎng)的隧道已經(jīng)由MPLS來提供，而且MPLS支持多層標簽的嵌套，這個標記定義成MPLS標簽格式的私網(wǎng)標簽。這個私網(wǎng)的標簽就由MP-BGP來分配。
MBGP
MBGP (Multiprotocol Extensions for BGP-4 )
BGP-4僅僅支持IPv4，MBGP是為了讓BGP可以用于傳輸更多協(xié)議（IPv6, IPX,...）的路由信息而進行的擴展。
為了保持兼容性，MBGP僅僅添加了兩個BGP屬性：MP_REACH_NLRI、MP_UNREACH_NLRI，這兩個屬性可以用在BGP Update消息中用于通告或廢止網(wǎng)絡(luò)可達性信息。
BGP發(fā)布路由時需要攜帶的信息
概念總結(jié)
內(nèi)容介紹
CE與PE之間如何交換路由
VRF路由注入到MP-iBGP
MP-iBGP路由注入到VRF
公網(wǎng)標簽分配過程
報文轉(zhuǎn)發(fā)——從CE到Ingress PE
Ingress PE－>Egress PE－>CE



MPLS/VPN入門考試試題