RFC 2547-vpn講課教案

1、Good is good, but better carries it.精益求精，善益求善。RFC 2547-vpnRFC2547bis:BGP/MPLSVPN目錄TOCo1-3內(nèi)容提要PAGEREF_Toc511035417h2BGP/MPLSVPN概述PAGEREF_Toc511035418h2網(wǎng)絡組成部分PAGEREF_Toc511035419h3客戶邊緣設備PAGEREF_Toc511035420h3供應商邊緣路由器PAGEREF_Toc511035421h3供應商路由器PAGEREF_Toc511035422h4運行模型PAGEREF_Toc511035423h4網(wǎng)絡拓撲實例PAGE

2、REF_Toc511035424h4控制流量PAGEREF_Toc511035425h5數(shù)據(jù)流量PAGEREF_Toc511035426h6BGP/MPLSVPN的優(yōu)點PAGEREF_Toc511035427h7挑戰(zhàn)和解決方案PAGEREF_Toc511035428h7重疊客戶地址空間PAGEREF_Toc511035429h8VPN-IPv4地址家族PAGEREF_Toc511035430h8多協(xié)議BGP擴展PAGEREF_Toc511035431h9強制網(wǎng)絡連接PAGEREF_Toc511035432h9多個轉(zhuǎn)發(fā)表PAGEREF_Toc511035433h10BGP擴展區(qū)屬性PAGEREF

3、_Toc511035434h11維護更新的VPN路由信息PAGEREF_Toc511035435h13節(jié)約骨干帶寬和PE路由器分組處理資源PAGEREF_Toc511035436h13案例分析：一個服務供應商骨干PAGEREF_Toc511035437h14VPN路由信息的分配PAGEREF_Toc511035438h16CE路由器到入口PE路由分配PAGEREF_Toc511035439h16入口PE到出口PE路由在骨干中的分配PAGEREF_Toc511035440h19出口路由器到CE路由的分配PAGEREF_Toc511035441h23通過BGP/MPLS骨干轉(zhuǎn)發(fā)客戶VPN流量PAG

4、EREF_Toc511035442h24源CE路由器到入口PE路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035443h25入口PE路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035444h25P路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035445h25PE路由器到信宿CE路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035446h25實例#1：從站點1到站點4轉(zhuǎn)發(fā)VPNRed流量PAGEREF_Toc511035447h26實例#2：把VPNRed流量從站點4轉(zhuǎn)發(fā)到站點1PAGEREF_Toc511035448h27實例#3：把VPNGreen流量從站點6轉(zhuǎn)發(fā)到站點7PAGEREF_Toc511035449h28

5、從VPN站點接入公共InternetPAGEREF_Toc511035450h29非VRFInternet接入PAGEREF_Toc511035451h29VPN主機到公共InternetPAGEREF_Toc511035452h30公共Internet到VPN主機PAGEREF_Toc511035453h30BGP/MPLSVPN的擴充能力PAGEREF_Toc511035454h30結(jié)論PAGEREF_Toc511035455h31內(nèi)容提要直到最近，公共網(wǎng)絡和專用網(wǎng)絡之間一直存在著明顯的區(qū)別。公共網(wǎng)絡如普通老式電話業(yè)務(POTS)或Internet，是允許自由相互交換信息的許多不相關(guān)系統(tǒng)的

6、集合。專用網(wǎng)絡則由單一組織擁有并管理、且互相共享信息的計算機組成。在專用網(wǎng)絡中，不同的站點使用專用租賃線路實現(xiàn)互連，保證站點之間的連接一直是專用的。對部署了專用網(wǎng)絡的企業(yè)，可以保證企業(yè)是唯一使用該網(wǎng)絡的機構(gòu)。盡管部署單一的VPN服務模型可以簡化網(wǎng)絡運行，但這種方法并不能滿足各種客戶要求，因為每個用戶都有特殊的需要。每個客戶在安全問題、站點數(shù)量、用戶數(shù)量、路由復雜性、關(guān)鍵事務型應用、流量模式、通信流量、人員網(wǎng)絡經(jīng)驗、以及外包網(wǎng)絡服務意愿等方面都有所不同。為了滿足廣泛的客戶要求，服務供應商必須為用戶提供一系列產(chǎn)品，其中包含各種不同的VPN服務提供模型。在過去幾年中，人們提出了許多不同的VPN模型：

7、傳統(tǒng)VPN幀中繼（第二層）ATM(第二層)基于CPE的VPNL2TP和PPTP(第二層)IPSec(第三層)供應商開通的VPN(PP-VPNs)基于MPLS的第二層VPNBGP/MPLSVPN或RFC2547bis(第三層)本文的重點是讓您詳細了解RFC2547bis中建議的VPN服務模型，RFC2547bis已經(jīng)在服務供應商界引起了廣泛關(guān)注。它提供了一種機制，簡化了IP路由知識有限的各種客戶的廣域網(wǎng)操作。RFC2547bis為有效地擴充網(wǎng)絡提供了一種方式，同時提供了創(chuàng)收的增值服務。BGP/MPLSVPN概述RFC2547bis定義了一種機制，允許服務供應商使用自己的IP骨干，為客戶提供VPN

8、服務。RFC2547bisVPN也稱為BGP/MPLSVPN，因為它使用BGP把VPN路由信息分布到供應商的骨干中，并使用MPLS把VPN流量從一個站點轉(zhuǎn)發(fā)到另一個站點上。這種方法的主要目標是：極大地簡化服務，即使客戶缺乏IP路由經(jīng)驗，客戶仍可以使用這些服務實現(xiàn)極高的服務擴充能力和靈活性，便于大規(guī)模部署允許服務供應商自己或由服務供應商和客戶一道創(chuàng)建VPN的策略允許服務供應商提供關(guān)鍵增值服務，以提高客戶忠誠度網(wǎng)絡組成部分在RFC2547bis中，VPN是一種策略集合，這些策略控制著一套站點中的連接能力?？蛻粽军c通過一個或多個端口連接到服務供應商網(wǎng)絡上，其中服務供應商把每個端口與VPN路由表關(guān)聯(lián)起

9、來。在RFC2547bis中，VPN路由表稱為VPN路由和轉(zhuǎn)發(fā)(VRF)表。圖1說明了BGP/MPLSVPN的基本構(gòu)件。圖1：RFC2547bis網(wǎng)絡組成部分客戶邊緣設備客戶邊緣(CE)設備允許客戶通過連接一臺或多臺供應商邊緣(PE)路由器的一條數(shù)據(jù)鏈路接入服務供應商網(wǎng)絡。CE設備可以是一臺主機或一臺第二層交換機，但典型的CE設備是一臺IP路由器，它與其直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后，CE路由器把站點的本地VPN路由廣播到PE路由器，并從PE路由器上學習遠程VPN路由。供應商邊緣路由器PE路由器使用靜態(tài)路由、RIPv2、OSPF或EBGP與CE路由器交換路由信息。盡管PE路由器

10、維護著VPN路由信息，但它只需為其直接相連的那些VPN維護VPN路由。這種設計增強了RFC2547bis模型的擴充能力，因為PE路由器不需維護服務供應商的所有VPN路由。每臺PE路由器為其直接相連的每個站點維護一個VRF。每個客戶連接(如幀中繼PVC、ATMPVC和VLAN)映射到某個VRF上。因此，PE路由器上的一個端口（而不是一個站點）與VRF相關(guān)。注意，PE路由器上的多個端口可以與一個VRF相關(guān)。PE路由器能夠維護多個轉(zhuǎn)發(fā)表，支持按VPN分隔路由信息。在從CE路由器上學習本地VPN路由后，PE路由器使用IBGP與其它路由器交換VPN路由信息。PE路由器可以保持到路由反射器的IBGP會話，

11、作為全網(wǎng)狀I(lǐng)BGP會話的替代方案。部署多個路由反射器增強了RFC2547bis模型的擴充能力，因為它不需任何單個網(wǎng)元維護所有VPN路由。最后，使用MPLS在供應商骨干中轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時，入口PE路由器作為入口LSR使用，出口PE路由器作為出口LSR使用。供應商路由器供應商路由器是沒有連接CE設備的供應商網(wǎng)絡中的任何路由器。在PE路由器之間轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時，供應商路由器作為MPLS轉(zhuǎn)接LSR使用。由于是在采用兩層標記堆棧的MPLS骨干中轉(zhuǎn)發(fā)流量，因此供應商路由器只需維護到供應商PE路由器的路由，而不需維護每個客戶站點專用的VPN路由信息。運行模型BGP/MPLSVPN中有兩個基本的通信流

12、量：控制流量，用來分配VPN路由和建立標記交換路徑(LSP)；數(shù)據(jù)流量，用來轉(zhuǎn)發(fā)客戶數(shù)據(jù)流量。網(wǎng)絡拓撲實例圖2是一個網(wǎng)絡拓撲實例，其中一個服務供應商為不同的企業(yè)客戶提供BGP/MPLSVPN服務。在網(wǎng)絡中，有兩臺PE路由器與四個不同的客戶站點相連。圖2：BGP/MPLSVPN網(wǎng)絡拓撲實例通過下述策略，可以描述站點間連接能力：站點1中的任何主機可以與站點2中的任何主機通信站點2中的任何主機可以與站點1中的任何主機通信站點3中的任何主機可以與站點4中的任何主機通信站點4中的任何主機可以與站點3中的任何主機通信控制流量在BGP/MPLSVPN中，控制流量由兩個子流量構(gòu)成。第一個控制子流量負責在供應商

13、骨干邊緣的CE和PE路由器之間及在供應商骨干中的PE路由器之間交換路由信息。第二個控制子流量負責在供應商PE路由器之間建立LSP。交換路由信息在本例中，PE1被配置成把VRFRed與其用來從CE1上了解路由的接口或子接口關(guān)聯(lián)起來。當CE1把前綴10.1/16的路由廣播到PE1時，PE1在VRFRed中安裝到10.1/16的本地路由。PE1把使用IBGP把10.1/16的路由廣播給PE2。在廣播路由之前，PE1選擇一個MPLS標記(在本例中是222)，這個標記與路由一起廣播，并分配其環(huán)回地址作為路由的BGP下站。通過使用路由識別符（RD）和VPN-IPv4地址家族，RFC2547bis支持重疊地

14、址空間(RFC1918定義的專用地址)。RFC2547bis通過使用基于BGP擴展區(qū)屬性（路由目標）的路由過濾技術(shù)，強制在PE路由器之間分配路由信息。在PE2接到PE1的路由廣播時，它在路由攜帶的BGP擴展區(qū)屬性基礎上執(zhí)行路由過濾，確定是否應該把到前綴10.1/16的路由安裝到VRFRed中。如果PE2決定在VRFRed中安裝路由，那么它將把前綴10.1/16的路由廣播到CE2。建立LSP為使用MPLS在供應商骨干上轉(zhuǎn)發(fā)VPN流量，必須在學習路由的PE路由器和廣播路由的PE路由器之間建立LSP(圖3)。圖3：站點1和站點2之間的LSP可以使用標記分布協(xié)議（LDP）或資源預留協(xié)議（RSVP），在

15、服務供應商網(wǎng)絡中建立和維護LSP。如果希望在兩臺PE路由器之間建立一個盡力而為的LSP，則供應商使用LDP。在這種情況下，LSP遵循與盡力而為的流量相同的路由。如果希望為LSP分配帶寬或使用流量工程為LSP選擇一條明確的路徑，那么供應商則使用RSVP?；赗SVP的LSP支持特定的服務質(zhì)量(QoS)保障和/或特定的流量工程目標。為了保證多廠商互操作能力，所有PE和P路由器至少都要支持LDP。如果供應商選擇使用LDP，那么將在骨干中建立一個全網(wǎng)狀盡力而為的LSP，以支持PE到PE連接能力。如果供應商選擇使用RSVP，那么基于RSVP的LSP的優(yōu)先權(quán)要高于基于LDP的LSP?；贚DP的LSP和基

16、于RSVP的LSP都位于一對PE路由器之間，入口標記交換路由器(LSR)選擇基于RSVP的LSP，而不是基于LDP的LSP。這種模型支持在服務供應商的骨干中遞增配置基于RSV的LSP。注意，在PE路由器之間可以建立一個LSP或多個并行LSP(可能有不同的QoS功能)。此外，路由器反射器可以作為服務器，把入口PE路由器的路由反射到出口PE路由器上。如果供應商使用路由反射，他們?nèi)孕柙赑E路由器之間建立LSP，因為路由反射器不一定是PE路由器之間轉(zhuǎn)接路徑的組成部分。數(shù)據(jù)流量圖4說明了VPN數(shù)據(jù)流量在服務供應商骨干中從一個客戶站點流到另一個客戶站點上。假設站點2上主機10.2.3.4希望與站點1上服務

17、器10.1.3.8通信。圖4：從站點2到站點1的數(shù)據(jù)流量主機10.2.3.4把服務器10.1.3.8的所有數(shù)據(jù)包轉(zhuǎn)發(fā)到默認的網(wǎng)關(guān)上。在分組到達CE2時，它執(zhí)行最長匹配路由查找操作，把IPv4分組轉(zhuǎn)到PE2上。PE2收到分組，在VRFRed查找路由，獲得下述信息：PE1與路由一起廣播的MPLS標記(標記=222)路由的BGP下站(PE1的環(huán)回地址)從PE2到PE1的LSP的外發(fā)子接口從PE2到PE1的LSP的初始MPLS標記通過使用帶有一個標記堆棧（其中含兩個標記）的MPLS，把用戶流量從PE2轉(zhuǎn)發(fā)到PE1上。對這一數(shù)據(jù)流，PE2是LSP的入口LSR，PE1是LSP的出口LSR。在傳輸分組前，P

18、E2把標記222推送到標記堆棧上，使其成為底部(或內(nèi)部)標記。當PE2收到PE1針對到10.1/16的路由的IBGP廣播時，標記在剛開始時會安裝在VRFRed中。然后，PE2把基于LDP的或基于RSVP的到PE1(路由的BGP下站)的LSP關(guān)聯(lián)標記推送到標記堆棧上，使其成為頂部(或路由器)標記。在創(chuàng)建標記堆棧后，PE2沿著從PE2到PE1的LSP，把外發(fā)接口上的MPLS分組轉(zhuǎn)發(fā)到第一臺P路由器上。P路由器根據(jù)頂部標記，在供應商骨干網(wǎng)絡的核心中交換分組。PE1的倒數(shù)第二臺路由器彈出頂部標記(暴露底部或內(nèi)部標記)，把分組轉(zhuǎn)發(fā)到PE1上。當PE1收到分組時，它彈出創(chuàng)建本機IPv4分組的標記。PE1使

19、用底部標記(222)識別作為到10.1/16下站的直接連接的CE。最后，PE1把本機IPv4分組轉(zhuǎn)發(fā)到CE1，CE1則把分組轉(zhuǎn)發(fā)到站點1的服務器10.1.3.8上。BGP/MPLSVPN的優(yōu)點BGP/MPLSVPN的主要目標是簡化客戶的網(wǎng)絡操作，同時允許服務供應商提供可擴充的、創(chuàng)收的增值服務。BGP/MPLSVPN具有許多優(yōu)點，包括：每個VPN客戶使用的地址方案沒有任何限制?？蛻艨梢允褂萌蛭ㄒ坏幕?qū)Ｓ玫腎P地址空間。從服務供應商角度，不同的客戶可以有重疊的地址空間。每個客戶站點的CE路由器不與其它CE路由器直接交換路由信息?？蛻舨槐靥幚碚军c間路由問題，因為解決站點間路由問題是服務供應商的職責

20、。VPN客戶不必管理骨干或虛擬骨干。因此客戶不需要管理訪問PE或P路由器。供應商不需為每個客戶VPN管理單獨的骨干或虛擬骨干。因此，供應商不要求管理訪問CE路由器。確定某個站點是否某個VPN成員的策略是客戶的策略。RFC2547bisVPN的管理模型允許由供應商自己或由服務供應商與客戶一道實現(xiàn)客戶策略。VPN可以涵蓋多個服務供應商。盡管BGP/MPLSVPN的這種功能非常重要，但本文并沒有描述供應商之間的VPN解決方案。如果不使用密碼技術(shù)，那么其安全性相當于現(xiàn)有的第二層(ATM或幀中繼)骨干網(wǎng)支持的安全性。服務供應商可以使用公共基礎設施，同時提供VPN和Internet連接服務。通過使用MPL

21、S墊片包頭中的實驗位或通過使用流量工程LSP(通過RSVP進行信令處理)，可以為客戶VPN服務提供靈活的可擴充的服務質(zhì)量。RFC2547bis模型獨立于鏈路層(第二層)。挑戰(zhàn)和解決方案RFC2547bis使用多種機制，增強了該方法的擴充能力，解決了特定的VPN運行問題。這些挑戰(zhàn)包括：支持重疊客戶地址空間強制網(wǎng)絡連接保持更新的VPN路由信息節(jié)約骨干帶寬和PE路由器分組處理資源重疊客戶地址空間VPN客戶經(jīng)常管理自己的網(wǎng)絡，并使用RFC1918專用地址空間。如果客戶沒有使用全球唯一的IP地址，那么可以使用相同的32位IPv4地址，識別不同VPN中的不同系統(tǒng)，這會導致路由困難，因為BGP假設它攜帶的每

22、個IPv4地址都是全球唯一的。為了解決這個問題，BGP/MPLSVPN支持一種機制，通過使用VPN-IPv4地址家族及部署多協(xié)議BGP擴展(MP-BGP)，把非唯一的IP地址轉(zhuǎn)換成全球唯一的地址。VPN-IPv4地址家族重疊地址空間提出的一個挑戰(zhàn)是，如果傳統(tǒng)BGP看到同一個Ipv4地址前綴有兩條不同的路由(前綴被分配給不同VPN中的系統(tǒng))，BGP將象它們相同、而且安裝僅一條路由一樣處理前綴。結(jié)果，另一個系統(tǒng)是不可達的。解決這個問題要求一種機制，允許BGP消除前綴歧義，這樣就可以安裝兩條到達該地址的完全不同的路由，一個VPN一條。通過定義VPN-IPv4地址家族，RFC2547bis支持這種功能

23、。VPN-IPv4地址是一個12字節(jié)數(shù)字，其中包括一個8節(jié)字RD，后面跟一個4字節(jié)IPv4地址前綴。圖5說明了VPN-IPv4地址的結(jié)構(gòu)。圖5：路由識別符和IPv4地址的編碼8字節(jié)RD由一個2字節(jié)類型字段和一個6字節(jié)取值字段構(gòu)成。類型字段決定著取值字段兩個子字段（管理員和分配號碼）的長度，以及管理員字段的語義。目前，為類型字段定義了兩個值，即0和1。對類型0，管理員子字段含有2個字節(jié)，分配號碼子字段含有4個字節(jié)。管理員子字段保持一個自治系統(tǒng)號碼(ASN)。我們堅決不鼓勵使用專用ASN空間中的ASN。分配號碼子字段保持提供VPN服務的服務供應商管理的、ASN分配的編號空間取值。對類型1，管理員子

24、字段含有4個字節(jié)，分配號碼子字段含有2個字節(jié)。管理員子字段保持一個IPv4地址。我們堅決不鼓勵使用專用ASN空間中的ASN。分配號碼子字段保持提供VPN服務的服務供應商管理的、ASN分配的編號空間取值。類型1RD的一個配置選項是在4字節(jié)管理員子字段中使用發(fā)起路由的PE路由器的環(huán)回地址，對2字節(jié)分配號碼子字段則選擇一個2字節(jié)分配號碼子字段。在PE路由器上配置RD時，RFC2547bis不要求一個VPN內(nèi)部的所有路由都使用相同的RD，實際上，一個VPN內(nèi)部的每個VRF都可以使用自己的RD。但是，服務供應商必須保證每個RD在全球是唯一的。為此，我們堅決不鼓勵在定義RD時使用專用ASN空間或?qū)Ｓ肐P地

25、址空間。使用公共ASN空間或公共IP地址空間保證了每個RD在全球是唯一的。全球唯一的RD提供了一種機制，允許每個服務供應商管理自己的地址空間，創(chuàng)建全球唯一的VPN-IPv4地址，而不會與其它服務供應商的RD賦值相沖突。使用全球唯一的RD支持：為一個公共IPv4前綴創(chuàng)建多條不同的路由。為同一個系統(tǒng)創(chuàng)建多個全球唯一的路由。使用策略決定哪些分組使用哪條路由。最后，注意下述觀點有助于避免混淆在BGP/MPLSVPN中使用VPN-IPv4的方式。VPN-IPv4地址僅用于服務供應商網(wǎng)絡內(nèi)部。VPN客戶不知道使用的是VPN-IPv4地址。只有在服務供應商骨干中運行的路由協(xié)議內(nèi)才攜帶VPN-IPv4地址。在

26、其穿越供應商骨干時，在VPN數(shù)據(jù)流量的包頭中沒有攜帶VPN-IPv4地址。多協(xié)議BGP擴展使用傳統(tǒng)的BGP4支持BGP/MPLSVPN的另一個局限性是，其最初的設計目的是只承載IPv4地址家族使用的路由信息。在意識到這種局限性后，IETF正在努力實現(xiàn)BGP4多協(xié)議擴展的標準化。這些擴展最初是在RFC2283中定義的(1998年2月)，之后在RFC2858作了更新(2000年6月)。擴展允許BGP4承載多個網(wǎng)絡層協(xié)議(IPv6,IPX,VPN-IPv4等等)使用的路由信息。因此，為了部署B(yǎng)GP/MPLSVPN及支持VPN-IPv4路由分配，PE路由器必需支持MP-BGP擴展，而不僅僅是支持傳統(tǒng)的

27、BGP。在交換VPN-IPv4路由信息前，RFC2547bis要求協(xié)調(diào)BGP功能，以保證BGP對等雙方都能夠處理VPN-IPv4地址家族。注意，MP-BGP擴展具有向下兼容能力，因此支持這些擴展的路由器仍能與不支持這些擴展、使用傳統(tǒng)BGP4的路由器互操作(但傳統(tǒng)的BGP4不支持RFC2547bisVPN)。強制網(wǎng)絡連接假設路由表中沒有包含默認的路由，那么一個基本IP路由假設是，如果在路由器的轉(zhuǎn)發(fā)表中沒有安裝到特定網(wǎng)絡的路由，那么從該路由器上不能到達網(wǎng)絡。通過強制路由信息的流動，服務供應商可以有效地控制客戶VPN數(shù)據(jù)通信的流量。BGP/MPLSVPN模型使用兩種機制強制路由信息的流動：多個轉(zhuǎn)發(fā)表

28、BGP擴展區(qū)屬性多個轉(zhuǎn)發(fā)表每個PE路由器維護一個或多個逐個站點的轉(zhuǎn)發(fā)表，稱為VRF。在配置一臺PE路由器時，每個VRF與直接連接服務供應商的客戶的PE路由器上一個或多個端口（接口/子接口）相關(guān)。如果給定站點包含屬于多個VPN的主機，那么與客戶站點相關(guān)VRF包含該站點所屬的所有VPN的路由。在從直接連接的CE路由器上接到外發(fā)客戶數(shù)據(jù)包時，PE路由器在與該站點相關(guān)的VRF中查找路由。接收數(shù)據(jù)包的子接口決定著具體的VRF。支持多個轉(zhuǎn)發(fā)表使PE路由器能夠簡便地按VPN分隔路由信息。圖6說明了PE1是怎樣填充VRFRed的。PE1從CE1中學習站點1的VPNRed路由，并把其安裝到VRFRed上。通過M

29、P-IBGP從其它PE路由器上學習遠程路由，這些PE路由器直接連接擁有作為VPNRed成員的主機的站點。PE1從CE2中學習站點2的VPNRed路由，并把其安裝到VRFRed上。通過使用BGP擴展區(qū)路由屬性，可以把遠程路由導入VRFRed。站點4的本地VPNBlue路由和站點3的遠程VPNBlue路由不與VPNRed相關(guān)，也不導入VRFRed中。圖6：PE路由器填充VPN路由和轉(zhuǎn)發(fā)表PE路由器支持多個轉(zhuǎn)發(fā)表具有許多優(yōu)點：同一臺PE路由器服務的不同VPN站點可以使用重疊地址空間。由策略（路由器子接口與VRF的映射），而不是由分組的用戶內(nèi)容，決定數(shù)據(jù)流量使用的具體路由表選擇。增強了擴充能力，因為P

30、E路由器不必為供應商網(wǎng)絡支持的所有VPN維護一個專用的VRF。每臺PE路由器只需為每個直接相連的站點維護一個VRF。最后，骨干網(wǎng)絡可以支持到同一個系統(tǒng)的多條路由，其中從分組進入供應商骨干的站點決定具體的分組路由。BGP擴展區(qū)屬性通過使用BGP擴展區(qū)屬性，可以強制分配VPN路由信息。擴展區(qū)屬性與路由屬性一起承載在BGP報文中。它們把該路由識別為屬于某個路由集合，這個集合中的所有路由在路由策略方面都獲得同等對等。每個BGP擴展區(qū)在全球必須是唯一的(包含公共IP地址或ASN)，只能由一個VPN使用。但是，給定客戶VPN可以使用多個全球唯一的BGP擴展區(qū)，以幫助控制路由信息的分配。BGP/MPLSVP

31、N使用32位BGP擴展區(qū)屬性而不是傳統(tǒng)的16位BGP區(qū)屬性。使用32位擴展區(qū)屬性增強了擴充能力，因為一個服務供應商可以支持最多232個區(qū)(而不是216)。由于每個區(qū)屬性包含供應商全球唯一的自治系統(tǒng)(AS)號碼，因此服務供應商可以控制本地賦值，同時還可以保持該賦值的全球唯一性。RFC2547bisVPN可以使用最多三類BGP擴展區(qū)屬性：路由目標（routetarget）屬性確定PE路由器分配路由的一個站點集合(VRF)。PE路由器使用這個屬性，強制把遠程路由引入其VRF。源VPN（VPN-of-origin）屬性確定一個站點集合，并建立來自該集合中一個站點的相關(guān)路由。源站點（site-of-or

32、igin）屬性確定PE路由器學習路由的具體站點。它編碼成路由源擴展區(qū)屬性，可以用來防止路由環(huán)路。運行模型在把本地路由分配給其它PE路由器之前，入口PE路由器把一個路由目標屬性附到從直接相連的站點中學習的每條路由上。附到路由上的路由目標基于VRF配置的導出目標策略的值。這種方法提供了巨大的靈活性，允許PE路由器為一條路由分配一個路由目標屬性。入口PE路由器可以配置成把一個路由目標屬性賦值給從給定站點上學習的所有路由。入口PE路由器可以配置成把一個路由對象屬性賦值給從一個站點上學習的一個路由集合，而把其它路由目標屬性賦值給從一個站點中學習的其它路由集合。如果CE路由器通過EBGP與PE路由器通信，

33、那么CE路由器可以為每條路由指定一個或多個路由目標。這種方法把實現(xiàn)VPN策略的控制能力從服務供應商轉(zhuǎn)到了客戶。在安裝另一臺PE路由器分配的遠程路由之前，出口PE路由器上的每個VRF配置一個導入目標策略。如果路由攜帶的路由目標屬性與PE路由器VRF導入目標之一相符，那么PE路由器可以在一個VRF中只安裝一條VPN-IPv4路由。這種方法允許服務供應商使用一種機制，來支持擁有廣泛的站點間連接策略的VPN客戶。通過認真配置導出目標和導入目標策略，服務供應商可以建設不同類型的VPN拓撲結(jié)構(gòu)。實現(xiàn)VPN拓撲結(jié)構(gòu)的機制可以完全限制在服務供應商，這樣VPN客戶并不知道這個過程。實例1：全網(wǎng)狀VPN拓撲假設C

34、orporationRed希望其BGP/MPLSVPN服務供應商創(chuàng)建一個支持全網(wǎng)狀站點連接的VPN(圖7)。CorporationRed的每個站點都可以把流量直接發(fā)送到另一個CorporationRed站點，但從同一個服務供應商獲得BGP/MPLSVPN服務的CorporationBlue站點不能向CorporationRed站點發(fā)送流量，或從CorporationRed站點接收流量。圖7：全網(wǎng)狀VPN連接每個CorporationRed站點都與其PE路由器上的VRFRed相關(guān)。對每個VRFRed都配置一個全球唯一的路由目標(Red)，作為導入目標和導出目標。這個路由目標(Red)沒有作為導入

35、目標或?qū)С瞿繕朔峙浣o任何其它VRF。結(jié)果是在CorporationRed站點之間實現(xiàn)了全網(wǎng)狀連接。實例2：輪軸與輪輻式VPN拓撲結(jié)構(gòu)假設CorporationRed希望其BGP/MPLSVPN服務供應商創(chuàng)建一個支持輪軸與輪輻式連接的VPN(圖8)。下述策略可以描述CorporationRed的站點間連接。站點1可以直接與站點5通信，但不能直接與站點2通信。如果站點1希望與站點2通信，它必須通過站點5發(fā)送流量。站點2可以直接與站點5通信，但不能直接與站點1通信。如果站點2希望與站點1通信，它必須通過站點5發(fā)送流量。站點5可以直接與站點1和站點2通信。當然，專用性要求CorporationRed站

36、點和CorporationBlue站點不能彼此收發(fā)流量。圖8：輪軸和輪輻式VPN連接通過使用兩個全球唯一的路由目標值，可以輪軸和輪輻式拓撲，這兩個值即輪軸和輪輻。輪軸站點的VRF配置成exporttarget=hub和importtarget=spoke。輪軸站點的VRF為其VRF中的所有路由分配一個輪軸屬性，由輪輻站點導入路由。輪軸站點上的VRF支持帶有輪輻屬性的所有遠程路由。每個輪輻站點的VRF配置成exporttarget=spoke和importtarget=hub。每個輪輻站點的VRF為其路由分配一個輪輻屬性，由輪軸站點導入路由，但其它輪輻站點丟棄路由。輪輻站點的VRF只導入帶有輪軸

37、屬性的路由，從而只由輪軸站點廣播的路由填充其VRF。維護更新的VPN路由信息通過創(chuàng)建一個新的VRF或在現(xiàn)有的VRF中增加一個或多個導入目標策略，進而改變PE路由器的配置時，PE路由器可能需要獲得它過去丟棄的VPN-IPv4路由。傳統(tǒng)的BGP4在提供更新路由信息的速度上可能存在問題，因為它是一種實時協(xié)議，不支持路由刷新請求報文的交換及路由的后續(xù)重新廣播。一旦BGP對等實現(xiàn)了路由表同步化，那么它們直到路由信息發(fā)生變化時才交換路由信息。BGP路由刷新功能為這種設計特點提供了一種解決方案。在MP-IBGP會話建立過程中，希望從對等或路由反射器收到路由刷新報文的BGP發(fā)話方使用BGP功能廣播來廣播BGP

38、路由刷新功能。BGP路由刷新功能指明，只有在它已經(jīng)從對等或路由反射器收到路由刷新功能廣播時，BGP發(fā)話方才能向?qū)Φ然蚵酚煞瓷淦靼l(fā)送路由刷新報文。在PE路由器的配置發(fā)生變化時，PE路由器可以請求從其MP-IBGP對等重傳路由信息，以獲得它過去丟棄的路由信息。在重新廣播路由，在PE路由器填充VRF時，將應用更新后的導入目標策略。節(jié)約骨干帶寬和PE路由器分組處理資源在填充VRF過程中，BGP發(fā)話方通常會從對等收到路由，然后根據(jù)每個VRF的導入目標策略過濾不希望的路由。由于路由更新的生成、傳輸和處理都會消耗骨干帶寬和路由器分組處理資源，因此消除不必要的路由更新傳輸可以節(jié)約這些資產(chǎn)。通過啟動新的BGP合

39、作路由過濾功能，可以降低BGP路由更新的數(shù)目。在建立MP-IBGP會話的過程中，希望向其對等或路由反射器收發(fā)出局路由過濾器（ORF）的BGP發(fā)話方使用BGP功能廣播來廣播合作路由過濾功能。BGP發(fā)話方把一套以BGP區(qū)表示的ORF發(fā)給對等。BGP路由刷新報文中攜帶的ORF項目。除本地配置的導出目標策略外，對等還應用收到的ORF，對BGP發(fā)話方強制實施和過濾出局路由更新。注意，BGP對等可以兌現(xiàn)、也可以不兌現(xiàn)從BGP發(fā)話方收到的ORF。通過實現(xiàn)這一機制，可以使用BGP合作路由過濾節(jié)約服務供應商骨干帶寬和PE路由器分組處理資源。案例分析：一個服務供應商骨干假設一個服務供應商擁有一個IP骨干，為不同的

40、企業(yè)提供BGP/MPLSVPN服務。在網(wǎng)絡中有三臺PE路由器連接七個不同的客戶站點(圖9)。圖9：案例分析：網(wǎng)絡拓撲結(jié)構(gòu)下述策略描述了本案例分析中希望的站點間連接：站點1中的任何主機都可以與站點4中的任何主機通信。站點2中的任何主機都可以與站點5中的任何主機通信。站點3中的任何主機都可以與站點6和站點7中的任何主機通信。站點4中的任何主機都可以與站點1中的任何主機通信。站點5中的任何主機都可以與站點2中的任何主機通信。站點6中的任何主機都可以與站點3和站點7中的任何主機通信。站點7中的任何主機都可以與站點3和站點6中的任何主機通信。假設服務供應商使用RSVP在骨干中建立下述LSP(圖10)。每

41、個LSP入口上顯示的標記是PE路由器與其用來把流量轉(zhuǎn)發(fā)到遠程PE路由器上的路由相關(guān)的標記。注意，如果供應商使用LDP建立LSP，那么LSP可能看不去不是點到點連接，而是多點到單點連接。圖10：案例分析：標記交換路徑圖11中說明了PE1的一般配置。圖11：案例分析：PE1的一般配置圖12中描述了PE2的一般配置。圖12：案例分析：PE2的一般配置圖13中描述了PE3的一般配置。圖13：案例分析：PE3的一般配置VPN路由信息的分配在客戶站點能夠把VPN流量轉(zhuǎn)發(fā)到遠程站點之前，必須通過骨干把VPN路由信息從一個客戶站點分配到其它客戶站點。CE路由器到入口PE路由分配CE路由器把IPv4路由前綴廣播

42、到其PE路由器上。PE路由器可以使用多種機制，從其直接相連的每臺CE路由器上學習路由。靜態(tài)路由與CE路由器運行一個IGP(RIPv2,OSPF)與CE路由器建立一條EBGP連接在路由信息從CE流向入口PE的過程中，PE路由器執(zhí)行多種功能。它為其直接相連的每個站點創(chuàng)建和維護一個VRF。注意，在本例中，PE3被配置成把多個站點(站點6和站點7)與一個VRF關(guān)聯(lián)起來。PE針對PE路由器和CE路由器之間運行的本地配置的路由協(xié)議導入策略檢查所有路由。如果路由通過導入策略，那么前綴作為Ipv4路由安裝在VRF中。PE必須注意的是，它從每個CE（通過IGP連接）學習到的路由并沒有漏到供應商的骨干IGP中。在

43、廣播路由前，PE為路由分配一個MPLS標記。如果路由是通過點到點鏈路學習的，那么可以根據(jù)進入的邏輯接口分配標記。在點到點鏈路中，所有路由都分配相同的標記。如果路由是通過共享介質(zhì)接口（如快速以太網(wǎng)）學習的，則根據(jù)廣播前綴的具體CE路由器分配標記。在共享介質(zhì)接口的情況下，從給定CE路由器學習的所有路由都分配相同的標記，而從另一臺CE路由器學習的所有路由則分配一個不同的標記。PE1假設PE把標記1001分配給從站點1學習的路由，標記1002分配給從站點2學習的路由，標記1003分配給從站點3學習的路由。PE1安裝三條MPLS路由，這樣在從骨干上接受一個帶有標記1001、1002或1003的分組時，它

44、可以簡單地彈出標記，根據(jù)分組的標記把IPv4分組直接轉(zhuǎn)發(fā)給CE1、CE2或CE3。MPLSForwardingTable(PE1)InputOutputInterfaceLabelActionInterfaceIf_21001Popif_1If_21002Popif_4If_21003Popif_3這些操作的結(jié)果是，PE1中的VRF將包含下述本地路由：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_11001-VRFBlueBGPBottomTopDestinationNext-HopInterfa

45、ceLabelLabel10.1/16Directif_41002-VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_31003-PE2假設PE2把標記1004分配給從站點4學習的路由，標記1005分配給從站點5學習的路由。PE2安裝兩條MPLS路由，這樣在從骨干上收到帶有標記1004或1005的分組時，它可以簡單地彈出標記，并根據(jù)分組的標記把IPv4分組直接發(fā)送到CE4或CE5上。MPLSForwardingTable(PE2)InputOutputInterfaceLabelActionInt

46、erfaceIf_11004Popif_2If_11005Popif_3這些操作的結(jié)果是，PE2中的VRF包含下述本地路由：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.2/16Directif_21004-VRFBlueBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.2/16Directif_31005PE3假設PE3把標記1006分配給從站點6學習的路由，把標記1007分配給從站點7學習的路由。PE3安裝兩條MPLS路由，這樣在從骨干上收到帶有標記1006或10

47、07的分組時，它可以簡單地彈出標記，根據(jù)分組的標記把IPv4分組直接轉(zhuǎn)發(fā)到CE6或CE7。MPLSForwardingTable(PE3)InputOutputInterfaceLabelActionInterfaceIf_11006Popif_2If_11007Popif_3這些操作的結(jié)果是，PE3中的VRFGreen包含下述本地路由：VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.2/16Directif_21006-10.3/16Directif_31007-入口PE到出口PE路由在骨干中的分配入口PE路由器使用M

48、P-IBGP，把從直接相連的站點上獲得的路由分配給出口PE路由器。PE路由器必需維護一個MP-IBGP網(wǎng)狀或使用路由反射器，以保證可以把路由信息分配給所有PE路由器。在入口PE路由器把本地VPN路由分配給其MP-IBGP對等之前，它使用為含有路由的VRF配置的RD，把每個IPv4前綴轉(zhuǎn)化成VPN-IPv4前綴。每條路由的廣播包含如下信息：路由的VPN-IPv4地址前綴。包含入口PE路由器環(huán)回地址的BGP下站。該地址被編碼成RD=0的VPN-IPv4地址，因為MP-BGP要求下一站是與廣播路由相同地址家族的成員。在其從直接相連的CE路由器上學習本地路由時，入口PE路由器為路由分配的MPLS標記。

49、路由目標屬性，其基于包含本地路由的VRF本地配置的導出目標策略。本例中所有PE路由器已經(jīng)配置成在廣播VPNRed路由時分配routetarget=Red，在廣播VPNBlue路由時分配routetarget=Blue，在廣播VPNGreen路由時分配routetarget=Green。作為選項，源站點（site-of-origin）屬性可以編碼為路由來源擴展區(qū)。在入口PE路由器把其本地VPN-IPv4路由廣播到其MP-IBGP對等時，它可以把VRF中的所有路由發(fā)送到所有MP-IBGP對等，也可以為每個對等構(gòu)建一個不同的廣播，其中不包括其沒有與給定對等共享的特定VPN路由。這通過使用ORF實現(xiàn)，

50、ORF允許BGP發(fā)話方通知對等或路由反射器可以導入由PE路由器維護的一個或多個VRF的路由集合。當出口PE路由器從對等收到一條VPN-IPv4路由時，它會把該路由與直接連接出口PE路由器的所有VPN使用的所有VRF導入策略進行對比。如果路由攜帶的路由目標與至少一個出口PE的VRF的導入目標策略相符，那么則在其VPN_IPv4.RIB表中安裝VPN-IPv4路由。VPN_IPv4.RIB是一個龐大的路由信息庫(RIB)，其中含有符合至少一個出口PE路由器的VRF導入策略的所有路由。該表格是唯一依賴RD消除路由歧義的表格，因為它是唯一包含直接連接給定PE路由器的所有VPN所有路由的表格。這個表格中

51、的路由在全球應該是唯一的，因為已經(jīng)為重疊的IPv4地址分配了全球唯一的RD。在路由導出到目標VRF之前，在這一表中先選擇BGP路徑。注意，在配置RD時的用戶錯誤可能會導致這個表格中的VPN-IPv4路由在本應不同時卻擁有相同的結(jié)構(gòu)。如果發(fā)生這種情況，則會執(zhí)行BGP路徑選擇，在其VRF中只安裝其中一條路由。為此，RFC2547bis建議在服務供應商定義其RD時使用全球唯一的公共ASN和IPv4地址，如果BGP/MPLSVPN涵蓋多個服務供應商，這一點會變得非常關(guān)鍵。將為每個VPN-IPv4前綴選擇最佳路由，并(根據(jù)與路由一起存儲的路由目標)作為IPv4路由安裝在目標VRF中。入口PE路由廣播本節(jié)

52、描述本成功案例中的入口PE路由器怎樣通過服務供應商骨干把本地路由廣播到出口PE路由器上。PE1路由廣播PE1向每個MP-IBGP對等廣播下述路由：Destination=RD_Red:10.1/16Label=1001BGPNextHop=PE1RouteTarget=RedDestination=RD_Blue:10.1/16Label=1002BGPNextHop=PE1RouteTarget=BlueDestination=RD_Green:10.1/16Label=1003BGPNextHop=PE1RouteTarget=GreenPE2路由廣播PE2向每個MP-IBGP對等廣播下述

53、路由：Destination=RD_Red:10.2/16Label=1004BGPNextHop=PE2RouteTarget=RedDestination=RD_Blue:10.2/16Label=1005BGPNextHop=PE2RouteTarget=BluePE3路由廣播PE3向每個MP-IBGP對等廣播下述路由：Destination=RD_Green:10.2/16Label=1006BGPNextHop=PE3RouteTarget=GreenDestination=RD_Green:10.3/16Label=1007BGPNextHop=PE3RouteTarget=Gre

54、en出口PE路由安裝本節(jié)描述在這個成功案例中的出口PE路由器怎樣過濾、然后安裝從入口PE路由器上收到的遠程路由。PE1路由安裝PE1把從對等PE2上收到的下述路由安裝到VRFRed中：Destination=RD_Red:10.2/16Label=1004BGPNextHop=PE2RouteTarget=RedPE1把從對等PE2上收到的下述路由安裝到VRFBlue中：Destination=RD_Blue:10.2/16Label=1005BGPNextHop=PE2RouteTarget=BluePE1把從對等PE3上收到的下述路由安裝到VRFGreen中：Destination=RD_

55、Green:10.2/16Label=1006BGPNextHop=PE3RouteTarget=GreenDestination=RD_Green:10.3/16Label=1007BGPNextHop=PE3RouteTarget=Green在交換所有路由之后，PE1的VRF內(nèi)容如下：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_11001-10.2/16PE-2if_2100411VRFBlueBGPBottomTopDestinationNext-HopInterfaceLabelLabe

56、l10.1/16Directif_41002-10.2/16PE-2if_2100511VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_31003-10.2/16PE-3if_210061110.3/16PE-3if_2100766PE2路由安裝PE2把從對等PE1上收到的下述路由安裝到VRFRed中：Destination=RD_Red:10.1/16Label=1001BGPNextHop=PE1RouteTarget=RedPE2把從對等PE1上收到的下述路由安裝到VRFBlue中：Des

57、tination=RS_Blue:10.1/16Label=1002BGPNextHop=PE1RouteTarget=Blue在交換所有路由后，PE2的VRF內(nèi)容如下：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16PE-1if_110012210.2/16Directif_21004-VRFBlueBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16PE1if_110022210.2/16Directif_21005-PE3路由安裝PE3把從對等PE1

58、上收到的下述路由安裝到VRFGreen中：Destination=RD_Green:10.1/16Label=1003BGPNextHop=PE1RouteTarget=Green在交換所有路由后，PE3的VRF內(nèi)容如下：VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16PE-1if_110035510.2/16Directif_21006-10.3/16Directif_31007-出口路由器到CE路由的分配如果出口路由器在VRF中安裝一條路由，用來路由從直接連接的CE路由器上收到的分組，那么PE路由器可以把該路

59、由分配給CE路由器。CE路由器可以使用多種機制，從直接相連的PE路由器上學習VPN路由。與PE路由器運行一個IGP(RIPv2,OSPF)與PE路由器建立一條EBGP連接作為備選方案，PE路由器也可以簡單地執(zhí)行下述功能：PE到CE路由協(xié)議可以分配一條指向PE路由器的默認路由。CE可以配置一條指向PE路由器的靜態(tài)默認路由。在所有路由從出口PE路由器分配給CE路由器后，CE路由表包含下述信息：CE1RoutingTableDestinationNext-HopInterface10.1/16Directif_x10.2/16PE1if_zCE2RoutingTableDestinationNext

60、-HopInterface10.1/16Directif_x10.2/16PE1if_zCE3RoutingTableDestinationNext-HopInterface10.1/16Directif_x10.2/16PE1if_z10.3/16PE1if_zCE4RoutingTableDestinationNext-HopInterface10.1/16PE2if_z10.2/16Directif_xCE5RoutingTableDestinationNext-HopInterface10.1/16PE2if_z10.2/16Directif_xCE6RoutingTableDesti