《MPLSVPN筆記》word版

1、MPLSMPLS-multiprotocol label switchMPLS是IP的承載層，但與實際的L2鏈路層還是有區(qū)別，所以定義為2.5層MPLS包頭結(jié)構(gòu)：32bitLabel-20bit保留-3bit 通常用作COSS-1bit 標(biāo)明是否是棧底，標(biāo)明MPLS標(biāo)簽可以嵌套TTL-8bit 防環(huán)（萬一IP出現(xiàn)環(huán)路怎么辦）MPLS最有魅力之處：理論上無限制嵌套MPLS術(shù)語：Label-FEC-轉(zhuǎn)發(fā)等價類（強(qiáng)調(diào)的是一種動作，例如這個接口進(jìn)那個接口出就是一個動作，這個動作就稱作一個FEC，或者從某個接口進(jìn)打上什么標(biāo)做什么QOS，這個動作可能就是另一個FEC，作為廠商：最好是一條路由對應(yīng)一個FEC

2、，而FEC就綁定label，所以可以有一條路由對應(yīng)一個label）LSP-標(biāo)簽交換通道（ 假設(shè)一條路由從A網(wǎng)段來，到B網(wǎng)段去，那么沿途的路由器如果有該路由的話都會維護(hù)相同的FEC，這樣就會有一條路徑產(chǎn)生，這條路徑就是LSP，一個FEC的數(shù)據(jù)流）LSP很像frame-relay里的PVC概念LSR-標(biāo)簽交換路由器 LSR是MPLS網(wǎng)絡(luò)的核心交換機(jī)，提供標(biāo)簽交換和標(biāo)簽分發(fā)（分配標(biāo)簽）功能LER-標(biāo)簽交換邊緣路由器 LER在MPLS的網(wǎng)絡(luò)邊緣 進(jìn)到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC，并為這些FEC請求相應(yīng)的標(biāo)簽 提供更多的功能，涉及到進(jìn)流量打標(biāo)簽，出流量彈標(biāo)簽鏈路層協(xié)議收到MPLS報文，如何

3、判斷這是一個MPLS報文，應(yīng)該送給MPLS處理，而不是像普通IP報文那樣直接送給IP層處理？以太網(wǎng)中：回顧802.3以太網(wǎng)幀頭部有個type字段，如果是0800則表明上層是IP報文，如果是0 x8847（單播）0 x8848（組播）則表明鏈路層承載的是MPLS報文PPP中：增加了一種新的NCP:MPLSCP,用0 x8281來標(biāo)識LDP（label distribution protocol）標(biāo)簽分發(fā)協(xié)議Label的轉(zhuǎn)發(fā)很容易，如何生成label則很難，LDP就是一個動態(tài)生成label的協(xié)議LDP消息：先UDP發(fā)現(xiàn)鄰居，再TCP形成會話Discovery：用于通告和維護(hù)網(wǎng)絡(luò)中的LSR的存在Se

4、ssion：用于建立，維護(hù)和結(jié)束LDP對等實體間的會話連接Advertisement：用于創(chuàng)建，改變和刪除特定FEC標(biāo)簽綁定Notification: 用于提供消息通告和差錯通知LDP標(biāo)簽分配方式：DOD:（不再使用的方式）下游按需標(biāo)記分發(fā)，即上游向下游請求DU:下游自主標(biāo)記分發(fā) 16以下label值為保留，其中3label是ELSR給倒數(shù)第二跳（ELSR的上游LSR）的特殊label,當(dāng)該LSR收到3label就隱含知道自己是倒數(shù)第二跳，當(dāng)數(shù)據(jù)(數(shù)據(jù)層面)傳到自己時直接彈出（PHP）label，變成了純數(shù)據(jù)交給ELSR直接做路由轉(zhuǎn)發(fā)，而不需要等到數(shù)據(jù)到了ELSR，ESLR發(fā)現(xiàn)自己已經(jīng)沒有出l

5、abel了，即刻做彈出，再做IP路由轉(zhuǎn)發(fā)，這樣浪費(fèi)一個周期是不明智的，PHP的價值就在于數(shù)據(jù)到了自己就彈出，給ESLR的數(shù)據(jù)已經(jīng)沒有l(wèi)abel了，直接由ELSR做IP路由轉(zhuǎn)發(fā)上游與下游：在一條LSR上，數(shù)據(jù)層面看：相鄰LSR分別叫上游LSR和下游LSR，下游是路由的始發(fā)者（控制層面）自己產(chǎn)生的label是IN label 收到的label都是out label心法口訣：入標(biāo)簽是我分給別人的，出標(biāo)簽是別人分給我的 我分配的標(biāo)簽是給別人用的，我不會添加到報文中LDP標(biāo)簽保留方式：（常用的是自由方式，保留所有l(wèi)abel）自由方式：保留（來自鄰居所有發(fā)送來的label）-lsp收斂快保守方式：丟棄（所

6、有非下一跳鄰居發(fā)來的label）-lsp收斂慢LDP標(biāo)簽控制方式：（常用有序方式）有序方式：獨立方式：MPLS的衰落：還是基于一種軟件轉(zhuǎn)發(fā)，當(dāng)硬件轉(zhuǎn)發(fā)出現(xiàn)后（基于ASIC ，NP）MPLS的這種轉(zhuǎn)發(fā)模式似乎沒有起到多大的效能提升。VPNOverlay VPN：是一種基于tunnel的VPN,安全里面所涉及的VPN全部是overlay VPN （ipsecVPN，GREVPN）Peer-to-peer VPN:一種動態(tài)VPN的建立VPN角色：CE（custom edge）：客戶邊緣設(shè)備-主要負(fù)責(zé)跟ISP去連接PE（provider edge）：營運(yùn)商邊緣路由器-負(fù)責(zé)接入客戶P （provider

7、 router）：營運(yùn)商核心路由器-負(fù)責(zé)骨干網(wǎng)中的轉(zhuǎn)發(fā)OverlayVPN:1.其隧道建立是在CE上建立的：跟ISP的網(wǎng)絡(luò)環(huán)境沒有任何關(guān)系，ISP只會把這個當(dāng)成普通路由而已（例如：GRE,ipsec）-這種VPN是一種非動態(tài)的，維護(hù)性較差（例如再增加一個VPN站點就存在一個N平方的問題）需要在客戶方（CE設(shè)備上）進(jìn)行配置，通?？蛻舴讲辉敢庖矝]這個能力2.其隧道建立在PE上建立的：在PE上為每個VPN用戶建立相應(yīng)GRE隧道，路由信息在PE于PE之間傳遞，公網(wǎng)中的P設(shè)備不知道私網(wǎng)的路由信息-這種相當(dāng)于客戶把VPN的創(chuàng)建及維護(hù)完全交給ISP，但不同的VPN用戶不能共享相同的地址空間Overlay V

8、PN的本質(zhì)：一種“靜態(tài)”VPN，無法反映網(wǎng)絡(luò)的實時變化，新增VPN結(jié)點后存在N平方問題如果tunnel建在CE上：必須客戶自己建立并維護(hù)如果tunnel建在PE上：無法解決地址沖突問題Peer-to-peer VPN:指CE-to-PE間交換私網(wǎng)路由信息，然后由PE將這些私網(wǎng)路由在P網(wǎng)絡(luò)中傳播（動態(tài)路由協(xié)議），這樣這些私網(wǎng)路由會自動傳播到其他PE上-解決了“動態(tài)”問題，但沒有用到tunnel技術(shù)，私網(wǎng)路由會泄露到公網(wǎng)上，此時需做嚴(yán)格的路由控制才行1.共享PE方式：解決了“動態(tài)”問題，但仍然沒有解決地址沖突和tunnel問題，而且為了防止連接在同一臺PE上的不同CE間互通，需在PE上配置大量AC

9、L2.專用PE方式：解決了“動態(tài)”問題，無需配任何ACL，但是代價太高， 新加一個VPN用戶就需要一臺專用PE，而且也沒有解決地址沖突問題和tunnel問題Peer-to-peer VPN 本質(zhì)：雖然解決“動態(tài)”問題，但不是一種tunnel技術(shù)，造成私網(wǎng)路由會泄露到公網(wǎng)，還是無法解決地址沖突問題以上VPN的各種局限性總結(jié)：1.要想保障安全性，需要tunnel技術(shù)2.GRE，ipsec都是一種靜態(tài)tunnel技術(shù)，無法解決“動態(tài)性”3.地址沖突的問題是以上任何一種VPN技術(shù)無法解決的使用VPN一定要解決的問題：1.如何提供一種動態(tài)建立的tunnel技術(shù)？2.如何解決不同VPN地址沖突問題？解決動

10、態(tài)建立tunnel技術(shù)的問題：MPLS的PHP技術(shù)可以提供一種動態(tài)建立的tunnel技術(shù)，其LSP就是一種天然的tunnel并且基于LDP，這種協(xié)議又恰恰是一種動態(tài)的標(biāo)簽生成協(xié)議分析：解決地址沖突問題：必須是一種協(xié)議具有良好擴(kuò)展性-基于TLV元素的 滿足的的協(xié)議為：eigrp bgp isis而eigrp太私有化，isis則不是基于TCP/IP開發(fā)的，所以只剩下bgp了BGP的優(yōu)勢：第一：BGP支持大量路由，滿足網(wǎng)絡(luò)中VPN路由數(shù)量大第二：IBGP中可以滿足不直連的路由器間建鄰居特性，在設(shè)計時假設(shè)兩個不直連的路由器是都是一個AS內(nèi)的邊界，他們之間可建鄰居，但AS內(nèi)的其他路由器可只運(yùn)行IGP幫其

11、傳BGP的路由（這里指VPN信息）但自身不用包含VPN路由，這些路由器在設(shè)計時可選為P路由器-只傳遞VPN路由，但不包含VPN路由信息第三：AS內(nèi)的兩臺邊緣路由器選作PE路由器后，BGP可運(yùn)載附加在路由后的任何信息（作為可選BGP屬性），其他不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)這些帶可選BGP屬性的路由，使得PE路由器間能簡單的傳播路由（這里可以是帶VPN信息的路由）至此，仍然未解決地址沖突問題，三大難關(guān)：識別，傳輸，轉(zhuǎn)發(fā)解決思路：1.可將一臺PE模擬成多個虛擬的專用PE理論：VRF(VPN 路由轉(zhuǎn)發(fā)實例) 每個VRF可看做一個虛擬路由器，即一臺專用PE（包括獨立路由表，獨立地址空間，屬

12、于該VRF的接口集合，只用于本VRF的路由協(xié)議）RT的本質(zhì)：每個VRF表達(dá)自己的路由取舍及喜好的方式 分兩部分：Export target：表示我發(fā)出的路由的屬性Import target: 表示我對哪些路由感興趣RT很好的解決了地址沖突的問題，但RT能否作為傳遞時的標(biāo)識呢？理論上可以但是：RT實際就是一個路由屬性，不是與IP前綴放在一起，而RD則是在IP前綴之前的，相當(dāng)于和IP前綴在一起，很好的起到在路由傳遞過程的區(qū)分問題，更重要的是:BGP在撤銷路由的時候是不帶屬性的，盡管更新的時候可以使用RT，但在撤銷路由的時候，RT作為community屬性，不知道到底撤銷哪個VPN，所以必須用到RD

13、2.RD的本質(zhì)：（解決傳遞中的區(qū)分問題）IPV4地址加上RD后變成VPN-IPv4地址族，每個VRF配一個RD，并保證全球唯一，通常為每個VPN配相同的RD，如果兩個VRF中存在相同的地址，但是RD不同，則兩個VRF一定不能互訪，間接互訪也不成。RD不影響不同VRF間的路選擇以及VPN的形成，這些事情由RT搞定PE從CE接收的是標(biāo)準(zhǔn)IPV4路由，當(dāng)需要發(fā)布給其他的PE路由器時打上RD，變成VPN-IPV4地址僅在ISP網(wǎng)絡(luò)內(nèi)部傳遞，到了接收PE路由器后，該路由器將接收的路由放入本地路由表，用于后來接收的路由進(jìn)行比較，CE從開始,到路由穿越ISP骨干傳給另一個CE，都不知道使用的是VPN-IPV

14、4地址3.MPLS的嵌套解決路由的轉(zhuǎn)發(fā)問題總結(jié)：以上所有技術(shù)都是為實現(xiàn)動態(tài)VPN而設(shè)計的 通過MBGP解決了本地路由的沖突和路由傳遞時的沖突問題 通過MPLS解決了數(shù)據(jù)包在發(fā)送時區(qū)分的問題（通過label實現(xiàn)）通過MBGP和MPLS就實現(xiàn)了動態(tài)VPN技術(shù)，稱之為MPLS/MBGP/VPNRT用來導(dǎo)入導(dǎo)出路RD用來區(qū)分CE的相同路由MP-IBGP用來傳遞VPN私有路由信息，該VPN私有路由信息已被加上RD,RT和私有l(wèi)abel（加在VPN的IP路由頭部，那么VPN的私有IPV4路由變成了VPNV4路由，BGP能很好支持不同協(xié)議，所以VPN私有路由信息便在公網(wǎng)中傳遞到另一端的PE路由器中）如果再對

15、SP內(nèi)的路由器全部開啟MPLS轉(zhuǎn)發(fā)方式，那么在SP內(nèi)部無需做IBGP的full-mesh，因為數(shù)據(jù)包的轉(zhuǎn)發(fā)不用再查路由表而是通過MPLS轉(zhuǎn)發(fā)，不用擔(dān)心路由黑洞的發(fā)生（即使發(fā)生也不怕，因為不查路由表），通過MPLS的轉(zhuǎn)發(fā)方式只用知道下一跳就行了，在SP內(nèi)部經(jīng)過PHP和最后一個PE，MPLS的label（即公網(wǎng)label）被彈出，露出私網(wǎng)label，最后一個PE通過不同的私網(wǎng)label將數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)的CERT,RD是為控制層面服務(wù)的，而私網(wǎng)label和公網(wǎng)label是為數(shù)據(jù)層面服務(wù)的實例：私網(wǎng)label：是通過MBGP隨機(jī)分配的，主要是為了對方在收到一條路由后，對方可以轉(zhuǎn)發(fā)數(shù)據(jù)包了，此時對于數(shù)據(jù)

16、來說是通過私網(wǎng)label來區(qū)分如何到達(dá)正確的VPN即-私網(wǎng)label是由MBGP分配做數(shù)據(jù)轉(zhuǎn)發(fā)區(qū)分VPN而用的，私網(wǎng)label在內(nèi)層通過MBGP隨機(jī)分配的私網(wǎng)label，RT，RD就構(gòu)成了VPN的三要素，其中的私網(wǎng)label就是為了區(qū)分?jǐn)?shù)據(jù)是給哪個VPN的公網(wǎng)label：主要是為了強(qiáng)調(diào)如何到達(dá)BGP的下一跳，通過LDP算出來的，公網(wǎng)label嵌套在最外層，當(dāng)數(shù)據(jù)轉(zhuǎn)發(fā)時充分利用了PHP（倒數(shù)第二跳彈出）原理，當(dāng)數(shù)據(jù)傳到PHP路由器時，外層的公網(wǎng)label被彈出，剩下內(nèi)層的私網(wǎng)label，而私網(wǎng)label正好可以判定如何到達(dá)正確的VPN 配置步驟：1. 預(yù)配。常見VRF，配置相應(yīng)的route-target，RD；將接口加入VRF中，配置IP address（注意：如果接口本身之前有ip地址，然后再把接口加入到VRF中，之前的ip地址將被抹掉，所以要注意先后順序），routing protocol（CE-PE）2. 驗證CE-PE的路由信息3. 在PE和P路由器上起B(yǎng)G