【資料名稱】：BGP MPLS VPN原理介紹

【資料作者】：張洋

【資料日期】：2012.01.10

【資料語(yǔ)言】：中文

【資料格式】：PPT

【資料目錄和簡(jiǎn)介】：

BGP MPLS VPN原理
ISSUE 2.0
內(nèi)容介紹
MPLS產(chǎn)生背景
MPLS產(chǎn)生背景
MPLS產(chǎn)生背景
MPLS技術(shù)
MPLS基本概念
MPLS包頭結(jié)構(gòu)
MPLS術(shù)語(yǔ)
IP的hop-by-hop逐跳轉(zhuǎn)發(fā)
Label Switched Path (LSP)
Label Switched Path (LSP)
MPLS LDP
LDP消息

LDP鄰居狀態(tài)機(jī)
標(biāo)簽的分配和管理
LDP標(biāo)簽分配方式（DU）
LDP標(biāo)簽保留方式
LDP標(biāo)簽控制方式
LDP標(biāo)簽分配
標(biāo)簽轉(zhuǎn)發(fā)表
倒數(shù)第二跳彈出（P H P）
MPLS的衰落……
內(nèi)容介紹
VPN
VPN中的角色
Overlay VPN－隧道建立在CE上
Overlay VPN－隧道建立在PE上
Overlay VPN的本質(zhì)
Peer-to-Peer VPN
Peer-to-Peer VPN——共享PE方式
Peer-to-Peer VPN——專用PE方式
Peer-to-Peer VPN的本質(zhì)
解決方案
隧道技術(shù)問(wèn)題————MPLS
要確保安全性，則必須使用隧道技術(shù)，雖然并不缺少隧道，但如GRE、IPSec都是靜態(tài)隧道技術(shù)，無(wú)法適應(yīng)大規(guī)模的網(wǎng)絡(luò)。MPLS中的LSP正是一種天然的隧道，而且這種隧道的建立是基于LDP協(xié)議，又恰恰是一種動(dòng)態(tài)的標(biāo)簽生成協(xié)議。
解決方案
地址沖突問(wèn)題————BGP
為什么是BGP？
如果要解決地址沖突問(wèn)題，必須對(duì)現(xiàn)有的協(xié)議進(jìn)行大規(guī)模的修改，這就要求一個(gè)協(xié)議具有良好的可擴(kuò)展性。而B(niǎo)GP是一個(gè)非常合適的人選：
網(wǎng)絡(luò)中VPN路由數(shù)目可能非常大，BGP是唯一支持大量路由的路由協(xié)議；
BGP是基于TCP來(lái)建立連接，可以在不直接相連的路由器間交換信息，這使得P路由器中無(wú)須包含VPN路由信息；
BGP可以運(yùn)載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)它們，這使在PE路由器間傳播路由非常簡(jiǎn)單。

地址沖突問(wèn)題
BGP需要攻克以下三個(gè)難關(guān)：
本地路由沖突問(wèn)題，即：在同一臺(tái)PE上如何區(qū)分不同VPN的相同路由。（控制平面）
路由在網(wǎng)絡(luò)中的傳播問(wèn)題，兩條相同的路由，都在網(wǎng)絡(luò)中傳播，對(duì)于接收者如何分辨彼此？（控制平面）
報(bào)文的轉(zhuǎn)發(fā)問(wèn)題，即使成功的解決了路由表的沖突，但是當(dāng)PE接收到一個(gè)IP報(bào)文時(shí)，他又如何能夠知道該發(fā)給那個(gè)VPN？因?yàn)镮P報(bào)文頭中唯一可用的信息就是目的地址。而很多VPN中都可能存在這個(gè)地址。（轉(zhuǎn)發(fā)平面）
解決思路
本地路由沖突問(wèn)題：專用PE-----用一臺(tái)共享PE模擬成多臺(tái)專用PE �？梢酝ㄟ^(guò)在同一臺(tái)路由器上創(chuàng)建不同的路由表解決，而不同的接口可以分屬不同的路由表中。
路由傳播的地址沖突問(wèn)題：可以在路由傳遞的過(guò)程中為這條路由再添加一個(gè)標(biāo)識(shí)，用以區(qū)別不同的VPN。
報(bào)文轉(zhuǎn)發(fā)地址沖突問(wèn)題：由于IP報(bào)文的格式不可更改，但可以在IP頭之外加上一些信息，由始發(fā)的VPN打上標(biāo)記，這樣PE在接收?qǐng)?bào)文時(shí)可以根據(jù)這個(gè)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)
1、本地地址沖突問(wèn)題
VRF
VRF路由表間關(guān)系——RT
RT 使用了BGP的擴(kuò)展community屬性,并且起了一個(gè)新名字：RT（Route Target）
擴(kuò)展的community有如下兩種格式：其中type字段為0x0002或者0x0102時(shí)表示RT。
RT的本質(zhì)
RT的本質(zhì)是每個(gè)VRF表達(dá)自己的路由取舍及喜好的方式。可以分為兩部分：Export Target與import Target
在一個(gè)VRF中，在發(fā)布路由時(shí)使用RT的export規(guī)則。直接發(fā)送給其他的PE設(shè)備
在接收端的PE上，接收所有的路由，并根據(jù)每個(gè)VRF配置的RT的import規(guī)則進(jìn)行檢查，如果與路由中的RT屬性match，則將該路由加入到相應(yīng)的VRF中。
RT的靈活應(yīng)用
由于每個(gè)RT Export Target與import Target都可以配置多個(gè)屬性，可以實(shí)現(xiàn)非常靈活的VPN訪問(wèn)控制
2、路由在傳播過(guò)程中地址沖突問(wèn)題
在成功的解決了本地路由沖突的問(wèn)題之后，路由在網(wǎng)絡(luò)中傳遞時(shí)的沖突問(wèn)題就迎刃而解了。只要在發(fā)布路由時(shí)加上一個(gè)標(biāo)識(shí)即可。既然路由發(fā)布時(shí)已經(jīng)攜帶了RT，可否就使用RT作為標(biāo)識(shí)呢？
理論上講，肯定是可以的。但BGP的Route withdraw報(bào)文不攜帶屬性，這樣在這種情況下收到的路由就沒(méi)有RT了。所以還是另外定義RD(Route Distinguisher）。
RD

RD的格式:
16位自治系統(tǒng)號(hào)ASN：32位用戶自定義數(shù)，例如：100:1
32位IP地址：16位用戶自定義數(shù)，例如：172.1.1.1:1
一般為一個(gè)site分配唯一一個(gè)RD，它是VRF的標(biāo)識(shí)符
VPNv4和IPv4 地址族
為了解決不同的VPN可以使用相同的地址空間的問(wèn)題，引入了新的地址族——VPNv4。而原來(lái)的標(biāo)準(zhǔn)的地址族就稱為IPv4。
VPNv4 地址族主要用于PE路由器之間傳遞VPN路由
由于RD在不同的VPN間具有唯一性。如果兩個(gè)VPN使用相同的IP地址，PE路由器為它們添加不同的RD，轉(zhuǎn)換成唯一的VPN-v4地址，不會(huì)造成地址空間的沖突。
PE從CE接收的標(biāo)準(zhǔn)的路由是IPv4路由，如果需要引入VRF路由表并發(fā)布給其他的路由器，此時(shí)需要附加一個(gè)RD。建議相同VPN的RD配置成相同的。
3、報(bào)文轉(zhuǎn)發(fā)地址沖突問(wèn)題
至此，前兩個(gè)問(wèn)題：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過(guò)程的沖突都已解決。但是如果一個(gè)PE的兩個(gè)本地VRF同時(shí)存在10.0.0.0/24的路由，當(dāng)他接收到一個(gè)目的地址為10.0.0.1的報(bào)文時(shí)，他如何知道該把這個(gè)報(bào)文發(fā)給與哪個(gè)VRF相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報(bào)文中增加一些信息。
需要一個(gè)短小的標(biāo)記來(lái)標(biāo)識(shí)，由于公網(wǎng)的隧道已經(jīng)由MPLS來(lái)提供，而且MPLS支持多層標(biāo)簽的嵌套，這個(gè)標(biāo)記定義成MPLS標(biāo)簽格式的私網(wǎng)標(biāo)簽。這個(gè)私網(wǎng)的標(biāo)簽就由MP-BGP來(lái)分配。
MBGP
MBGP (Multiprotocol Extensions for BGP-4 )
BGP-4僅僅支持IPv4，MBGP是為了讓BGP可以用于傳輸更多協(xié)議（IPv6, IPX,...）的路由信息而進(jìn)行的擴(kuò)展。
為了保持兼容性，MBGP僅僅添加了兩個(gè)BGP屬性：MP_REACH_NLRI、MP_UNREACH_NLRI，這兩個(gè)屬性可以用在BGP Update消息中用于通告或廢止網(wǎng)絡(luò)可達(dá)性信息。
BGP發(fā)布路由時(shí)需要攜帶的信息
概念總結(jié)
內(nèi)容介紹
CE與PE之間如何交換路由
VRF路由注入到MP-iBGP
MP-iBGP路由注入到VRF
公網(wǎng)標(biāo)簽分配過(guò)程
報(bào)文轉(zhuǎn)發(fā)——從CE到Ingress PE
Ingress PE－>Egress PE－>CE



MPLS/VPN入門考試試題