華為 MPLS VPN 培訓(xùn)資料(內(nèi)部員工)

MPLSVPN培訓(xùn)3.02021/5/91學(xué)習(xí)目標(biāo)掌握MPLS的基本概念和工作過(guò)程掌握標(biāo)簽的分配和控制掌握MPLSVPN控制和轉(zhuǎn)發(fā)流程掌握MPLSVPN的配置及故障定位學(xué)習(xí)完本課程，您應(yīng)該能夠：2021/5/92課程內(nèi)容

第一章MPLS協(xié)議第二章VPN概述第三章BGP/MPLSVPN第四章配置及排錯(cuò)2021/5/93MPLS協(xié)議起源MPLS最初是用來(lái)提高路由器的轉(zhuǎn)發(fā)速度而提出的一個(gè)協(xié)議1996年，Ipsilon公司推出了IPSwitching協(xié)議，通過(guò)標(biāo)簽交換數(shù)據(jù)包，引發(fā)了路由器技術(shù)的一次革命1997年，IETF成立了一個(gè)MPLS（Multi-ProtocolLabelSwitching）工作組，作為獨(dú)立于廠商的一系列標(biāo)準(zhǔn)的名稱Multi-Protocol

支持多種三層協(xié)議，如IP、IPv6、IPX、SNA等LabelSwitching

給報(bào)文打上標(biāo)簽，以標(biāo)簽交換取代IP轉(zhuǎn)發(fā)2021/5/94MPLS的幾個(gè)術(shù)語(yǔ)（一）Label：是一個(gè)比較短的，定長(zhǎng)的，通常只具有局部意義的標(biāo)識(shí)。FEC（ForwardingEquivalenceClass）：轉(zhuǎn)發(fā)等價(jià)類。是在轉(zhuǎn)發(fā)過(guò)程中以等價(jià)的方式處理的一組數(shù)據(jù)分組，可以通過(guò)地址、隧道、COS等來(lái)標(biāo)識(shí)創(chuàng)建FECLSP：標(biāo)簽交換通道。一個(gè)FEC的數(shù)據(jù)流，在不同的節(jié)點(diǎn)被賦予確定的標(biāo)簽，數(shù)據(jù)轉(zhuǎn)發(fā)按照這些標(biāo)簽進(jìn)行。數(shù)據(jù)流所走的路徑就是LSP2021/5/95MPLS的幾個(gè)術(shù)語(yǔ)（二）LSR：LabelSwitchingRouter。LSR是MPLS的網(wǎng)絡(luò)的核心交換機(jī)或者路由器，它提供標(biāo)簽交換和標(biāo)簽分發(fā)功能。LER：LabelSwitchingEdgeRouter。在MPLS的網(wǎng)絡(luò)邊緣，進(jìn)入到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC，并為這些FEC請(qǐng)求相應(yīng)的標(biāo)簽。它提供流量分類和標(biāo)簽的映射、標(biāo)簽的移除功能。2021/5/96MPLS封裝格式通常，MPLS包頭有32Bit，其中有：20Bit用作標(biāo)簽（Label），0到15系統(tǒng)保留3個(gè)Bit的EXP,協(xié)議中沒(méi)有明確，通常用作COS1個(gè)Bit的S,用于標(biāo)識(shí)是否是棧底，表明MPLS的標(biāo)簽可以嵌套。8個(gè)Bit的TTL2021/5/97問(wèn)題當(dāng)一個(gè)鏈路層協(xié)議收到一個(gè)MPLS報(bào)文后，是如何判斷這是一個(gè)MPLS報(bào)文，應(yīng)該送給MPLS處理，而不是象普通的IP報(bào)文那樣，直接送給IP層處理？2021/5/98解答在以太網(wǎng)中：使用值是0x8847(單播)和0x8848（組播）來(lái)表示承載的是MPLS報(bào)文（0800是IP報(bào)文）在PPP中：增加了一種新的NCP：MPLSCP，使用0x8281來(lái)標(biāo)識(shí)2021/5/99MPLS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)LSRCustomerIPNetworkIngressLERLSPLabelSwitchedPathCustomerIPNetworkegressLER2021/5/910傳統(tǒng)IP轉(zhuǎn)發(fā)每一跳分析IP頭，查找的方式采用最長(zhǎng)匹配，可能查找多次所有路由器都要知道整個(gè)網(wǎng)絡(luò)的所有路由分析IP頭映射到下一跳分析IP頭映射到下一跳分析IP頭映射到下一跳2021/5/911標(biāo)簽轉(zhuǎn)發(fā)基本概念NHLFE（NextHopLabelForwardingEntry）：描述標(biāo)簽操作下一跳標(biāo)簽操作類型：push/pop/swap

鏈路層封裝類型等

FTN（FECtoNHLFE）：將FEC映射到NHLFEILM（IncomingLabelMap）：將MPLS標(biāo)簽映射到NHLFE2021/5/912標(biāo)簽轉(zhuǎn)發(fā)（一）出口LER分析IP頭FEC綁定LSPFTN->NHLFE入口LERLSRLSR標(biāo)簽操作：pushABCDA:…加上標(biāo)簽L1E1B10.0.1.0/24其他標(biāo)簽操作發(fā)送接口下一跳NHLFEFECIngress接收分組，判定分組所屬的FEC，給分組加上Label2021/5/913標(biāo)簽轉(zhuǎn)發(fā)（二）在MPLS域中只依據(jù)標(biāo)簽和標(biāo)簽轉(zhuǎn)發(fā)表通過(guò)轉(zhuǎn)發(fā)單元進(jìn)行轉(zhuǎn)發(fā)ILM->NHLFE入口LERLSRLSR標(biāo)簽操作：swapABCD…去掉原來(lái)的標(biāo)簽，加上標(biāo)簽L2E0CL1其他標(biāo)簽操作發(fā)送接口下一跳NHLFE入標(biāo)簽B，C:2021/5/914標(biāo)簽轉(zhuǎn)發(fā)（三）在MPLS域中只依據(jù)標(biāo)簽和標(biāo)簽轉(zhuǎn)發(fā)表通過(guò)轉(zhuǎn)發(fā)單元進(jìn)行轉(zhuǎn)發(fā)ILM->NHLFE入口LERLSRLSR標(biāo)簽操作：swapABCD…去掉原來(lái)的標(biāo)簽，加上標(biāo)簽L3E0DL2其他標(biāo)簽操作發(fā)送接口下一跳NHLFE入標(biāo)簽B，C:2021/5/915標(biāo)簽轉(zhuǎn)發(fā)（四）Egress將標(biāo)簽去掉，繼續(xù)轉(zhuǎn)發(fā)ILM->NHLFE分析IP頭映射到下一跳入口LERLSRLSR標(biāo)簽操作：popABCD…去掉標(biāo)簽DL3其他標(biāo)簽操作發(fā)送接口下一跳NHLFE入標(biāo)簽D:2021/5/916倒數(shù)第二跳彈出（PHP）

在最后一跳，最外層的標(biāo)簽已經(jīng)沒(méi)有意義，因此可以在倒數(shù)第二跳將標(biāo)簽彈出，減少最后一跳的負(fù)擔(dān)。如果只有一層標(biāo)簽，則最后一跳直接進(jìn)行IP轉(zhuǎn)發(fā)；否則，對(duì)內(nèi)層標(biāo)簽做標(biāo)簽轉(zhuǎn)發(fā)分析IP頭映射到下一跳標(biāo)簽操作：pop分析IP頭FEC綁定LSPFTN->NHLFEILM->NHLFEILM->NHLFE入口LERLSRLSR出口LER標(biāo)簽操作：push標(biāo)簽操作：swap2021/5/917分配標(biāo)簽的協(xié)議信令協(xié)議，用于在LSR之間分配標(biāo)簽，建立LSPLDPCR-LDPRSVP-TEMP-BGPBGP＋2021/5/918LDP的基本概念LDP是一個(gè)動(dòng)態(tài)的生成標(biāo)簽的協(xié)議,與動(dòng)態(tài)路由協(xié)議（如OSPF）十分相像，都具備如下的幾大要素：報(bào)文（或者叫消息）鄰居的自動(dòng)發(fā)現(xiàn)和維護(hù)機(jī)制一套算法，用來(lái)根據(jù)搜集到的信息計(jì)算最終結(jié)果。前者計(jì)算的結(jié)果是標(biāo)簽，后者是路由主要功能：發(fā)布Label－FEC映射建立與維護(hù)標(biāo)簽交換路徑2021/5/919LDP的基本概念在LDP協(xié)議中，存在4種LDP消息：發(fā)現(xiàn)（Discovery）消息用于通告和維護(hù)網(wǎng)絡(luò)中LSR的存在。會(huì)話（Session）消息用于建立，維護(hù)和結(jié)束LDP對(duì)等實(shí)體之間的會(huì)話連接。通告（Advertisement）消息用于創(chuàng)建、改變和刪除特定FEC-標(biāo)簽綁定。通知（Notification）消息用于提供消息通告和差錯(cuò)通知。2021/5/920LDP會(huì)話的建立和維護(hù)鄰居發(fā)現(xiàn)：通過(guò)互發(fā)hello報(bào)文(UDP/prot:646/IP:224.0.0.2）建立TCP連接：由地址大的一方主動(dòng)發(fā)起。(TCP/port:646)會(huì)話初始化：由Master發(fā)出初始化消息，并攜帶協(xié)商參數(shù)。由slave檢查參數(shù)能否接受，如果能則發(fā)送初始化消息，并攜帶協(xié)商參數(shù)。并隨后發(fā)送keepalive消息。master檢查參數(shù)能否接受，如果能則發(fā)送keepalive消息。相互收到keepalive消息，會(huì)話建立。期間收到任何差錯(cuò)消息，均關(guān)閉會(huì)話，斷開(kāi)TCP連接MMMMM2021/5/921LDP鄰居狀態(tài)機(jī)2021/5/922標(biāo)簽分配和管理（一）標(biāo)簽分配模式DoD：downstream-on-demand下游按需標(biāo)記分配DU：downstreamunsolicited下游自主標(biāo)記分配上游與下游：在一條LSP上，沿?cái)?shù)據(jù)包傳送的方向，相鄰的LSR分別叫上游LSR（upstreamLSR）和下游LSR（downstreamLSR）。下游是路由的始發(fā)者。2021/5/923標(biāo)簽分配和管理（二）標(biāo)簽控制模式有序方式（Ordered）獨(dú)立方式（Independent）標(biāo)簽保持方式保守模式（Conservative）自由模式（Liberal）2021/5/924標(biāo)簽分發(fā)模式：DU下游LSR在LDP會(huì)話建立成功，主動(dòng)向其上游LSR發(fā)布標(biāo)簽映射消息上游路由器保存標(biāo)簽，存放到標(biāo)簽映射表中標(biāo)簽是設(shè)備隨機(jī)自動(dòng)生成的，16以下為系統(tǒng)保留上游下游路由觸發(fā)到171.68.10/24可以使用標(biāo)簽20到171.68.1.0/24可以使用標(biāo)簽20171.68.1.0/24171.68.4.0/24到171.68.10/24可以使用標(biāo)簽18到171.68.1.0/24可以使用標(biāo)簽182021/5/925標(biāo)簽分發(fā)模式：DoD上游LSR向下游LSR發(fā)送標(biāo)簽請(qǐng)求消息（包含F(xiàn)EC的描述信息）下游LSR為此FEC分配標(biāo)簽，并將綁定的標(biāo)簽通過(guò)標(biāo)簽映射消息反饋給上游LSR上游下游路由觸發(fā)171.68.1.0/24171.68.4.0/24LSR1LSR2LSR3請(qǐng)求到目的地址171.68.10/24的標(biāo)簽請(qǐng)求到目的地址171.68.1.0/24的標(biāo)簽請(qǐng)求到目的地址171.68.10/24的標(biāo)簽請(qǐng)求到目的地址171.68.1.0/24的標(biāo)簽分配到171.68.10/24的標(biāo)簽為20分配到171.68.1.0/24的標(biāo)簽為20分配到171.68.10/24的標(biāo)簽為18分配到171.68.1.0/24的標(biāo)簽為182021/5/926標(biāo)簽控制模式：有序只有收到它的下游返回的標(biāo)簽映射消息后才向其上游發(fā)送標(biāo)簽映射消息上游下游標(biāo)簽請(qǐng)求標(biāo)簽請(qǐng)求標(biāo)簽請(qǐng)求標(biāo)簽映射標(biāo)簽映射標(biāo)簽映射2021/5/927標(biāo)簽控制模式：獨(dú)立不管有沒(méi)有收到它的下游返回的標(biāo)簽映射消息都立即向其上游發(fā)送標(biāo)簽映射消息上游下游標(biāo)簽映射標(biāo)簽映射標(biāo)簽映射2021/5/928標(biāo)簽保持方式－保守保守方式（Conservativeretentionmode）只保留來(lái)自下一跳鄰居的標(biāo)簽，丟棄所有非下一跳鄰居發(fā)來(lái)的標(biāo)簽。優(yōu)點(diǎn)：節(jié)省內(nèi)存和標(biāo)簽空間。缺點(diǎn)：當(dāng)IP路由收斂、下一跳改變時(shí)LSP收斂慢LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel20mappinglabel30mappinglabel17mappinglabel16不是到172.16.2/24的下一跳鄰居發(fā)來(lái)的標(biāo)簽，丟棄2021/5/929標(biāo)簽保持方式－自由自由方式（Liberalretentionmode）保留來(lái)自鄰居的所有發(fā)送來(lái)的標(biāo)簽優(yōu)點(diǎn)：當(dāng)IP路由收斂、下一跳改變時(shí)減少了lsp收斂時(shí)間缺點(diǎn)：需要更多的內(nèi)存和標(biāo)簽空間。LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel20mappinglabel30mappinglabel17mappinglabel16不是到172.16.2/24的下一跳鄰居發(fā)來(lái)的標(biāo)簽，保留2021/5/930標(biāo)簽轉(zhuǎn)發(fā)表標(biāo)簽轉(zhuǎn)發(fā)表中的IN和OUT，是相對(duì)于標(biāo)簽轉(zhuǎn)發(fā)而言，不是相對(duì)于標(biāo)簽分配的IN和OUT：入標(biāo)簽是我分給別人的，出標(biāo)簽是別人分給我的我分配的標(biāo)簽是給別人用的INinterfaceINlabelPrefix/MASKOUTinterface(nexthop)OUTlabelSerial05010.1.1.0/24Eth0（3.3.3.3）80Serial15110.1.1.0/24Eth0（3.3.3.3）80Serial16270.1.2.0/24Eth0（3.3.3.3）52Serial15220.1.2.0/24Eth1（4.4.4.4）52Serial27730.1.2.0/24Serial3（5.5.5.5)3（pop）2021/5/931問(wèn)題對(duì)于一臺(tái)設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表（基于全局）來(lái)說(shuō)：所有的入標(biāo)簽（）對(duì)于不同的路由（但下一跳相同），出標(biāo)簽（）對(duì)于不同的路由（下一跳也不同），出標(biāo)簽（）對(duì)于同一條路由，入標(biāo)簽和出標(biāo)簽（）A一定不同B一定相同C可能相同2021/5/932解答對(duì)于一臺(tái)設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表（基于全局）來(lái)說(shuō)：所有的入標(biāo)簽（A）對(duì)于不同的路由（但下一跳相同），出標(biāo)簽（A）對(duì)于不同的路由（下一跳也不同），出標(biāo)簽（C）對(duì)于同一條路由，入標(biāo)簽和出標(biāo)簽（C）

A一定不同B一定相同C可能相同2021/5/933課程內(nèi)容

第一章MPLS協(xié)議第二章VPN概述第三章BGP/MPLSVPN第四章配置及排錯(cuò)2021/5/934VPN的基本概念I(lǐng)nternet出差員工隧道專線辦事處總部分支機(jī)構(gòu)合作伙伴異地辦事處2021/5/935傳統(tǒng)VPN的分類（一）按業(yè)務(wù)用途分類：AccessVPNIntranetVPNExtranetVPN按實(shí)現(xiàn)的層次分類：二層隧道VPN三層隧道VPN2021/5/936傳統(tǒng)VPN的分類（二）按運(yùn)營(yíng)模式CPE-basedVPNNetwork-basedVPN按組網(wǎng)模型虛擬租用線（VLL）虛擬專用撥號(hào)網(wǎng)絡(luò)（VPDN）虛擬專用LAN網(wǎng)段（VPLS）業(yè)務(wù)虛擬專用路由網(wǎng)（VPRN）業(yè)務(wù)

2021/5/937傳統(tǒng)VPN的實(shí)現(xiàn)模型2021/5/938設(shè)備角色CE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECEVPN_A10.2.0.0CEP-NetworkC-Network2021/5/939OverlayVPN－隧道建立在CE上特點(diǎn)：在CE與CE之間建立隧道，并直接傳遞路由信息，路由協(xié)議數(shù)據(jù)總是在客戶設(shè)備之間交換，服務(wù)商對(duì)客戶網(wǎng)絡(luò)結(jié)構(gòu)一無(wú)所知。典型代表是GRE、IPSec優(yōu)點(diǎn)：不同的客戶地址空間可以重疊，保密性、安全性非常好。缺點(diǎn)：需要客戶自己創(chuàng)建并維護(hù)VPN。VPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnelP2021/5/940OverlayVPN－隧道建立在PE上特點(diǎn)：在PE上為每一個(gè)VPN用戶建立相應(yīng)的GRE隧道，路由信息在PE與PE之間傳遞，公網(wǎng)中的P設(shè)備不知道私網(wǎng)的路由信息。優(yōu)點(diǎn)：客戶把VPN的創(chuàng)建及維護(hù)完全交給服務(wù)商，保密性、安全性比較好。缺點(diǎn)：不同的VPN用戶不能共享相同的地址空間。VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnelP2021/5/941OverlayVPN的本質(zhì)OverlayVPN的本質(zhì)是一種“靜態(tài)”VPN，這好比是靜態(tài)路由，所以他具有類似靜態(tài)路由的全部缺陷：所有的配置與部署都需要手工完成，而且具有N^2問(wèn)題：由于是“靜態(tài)”VPN，則無(wú)法反應(yīng)網(wǎng)絡(luò)的實(shí)時(shí)變化。如果隧道建立在CE上，則必須由用戶維護(hù)。如果建立在PE上，則又無(wú)法解決地址沖突問(wèn)題。2021/5/942Peer-to-PeerVPNPeer－to－Peer是指CE－to－PE，也就是要在CE與PE之間交換私網(wǎng)路由信息，然后由PE將這些私網(wǎng)路由在P－Network中傳播（P-Network上肯定是運(yùn)行了一種動(dòng)態(tài)路由協(xié)議），這樣這些私網(wǎng)路由會(huì)自動(dòng)的傳播到其他的PE上。這種VPN由于私網(wǎng)路由會(huì)泄露到公網(wǎng)上，所以必須嚴(yán)格的通過(guò)路由來(lái)控制，即：要確保同一個(gè)VPN的CE路由器上只能有本VPN的路由。所以，通常CE與PE之間運(yùn)行的路由協(xié)議，與P-Network上運(yùn)行的路由協(xié)議是不同的，即使相同，也要有很好的路由過(guò)濾和選擇的機(jī)制。2021/5/943Peer-to-PeerVPN——共享PE方式所有VPN用戶的CE都連到同一臺(tái)PE上，PE與不同的CE之間運(yùn)行不同的路由協(xié)議（或者是相同路由協(xié)議的不同進(jìn)程，比如OSPF）。由PE將這些路由發(fā)布到公網(wǎng)上，在接收端的PE上將這些路由過(guò)濾后再發(fā)給相應(yīng)的CE設(shè)備。缺點(diǎn)：為了防止連接在同一臺(tái)PE上的不同CE之間互通，必須在PE上配置大量的ACL。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私網(wǎng)路由在整個(gè)公網(wǎng)上傳播ripospfospfisis2021/5/944OverlayVPN－隧道建立在PE上為每一個(gè)VPN單獨(dú)準(zhǔn)備一臺(tái)PE路由器，PE和CE之間可以運(yùn)行任意的路由協(xié)議，與其他VPN無(wú)關(guān)。PE與P之間運(yùn)行BGP，并使用路由屬性進(jìn)行過(guò)濾。優(yōu)點(diǎn)：無(wú)需配置任何的ACL了。缺點(diǎn)：每一個(gè)VPN用戶都有新增一臺(tái)用的PE，代價(jià)過(guò)于昂貴了。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私網(wǎng)路由在整個(gè)公網(wǎng)上傳播ripripospfospfPEPE2021/5/945Peer-to-PeerVPN的本質(zhì)Peer-to-Peer

VPN雖然很好的解決了“靜態(tài)的問(wèn)題”，但是仍舊有很多局限性：由于沒(méi)有使用隧道技術(shù)，導(dǎo)致私網(wǎng)路由泄露到公網(wǎng)上，安全性很差。VPN的“私有”特性完全靠路由來(lái)保證，導(dǎo)致在CE設(shè)備上無(wú)法配置缺省路由。（why）仍舊存在所有的設(shè)備無(wú)法共享相同的地址空間問(wèn)題。2021/5/946課程內(nèi)容

第一章MPLS簡(jiǎn)介第二章VPN概述第三章BGP/MPLSVPN第四章配置及排錯(cuò)2021/5/947MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)CE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPE2021/5/948與傳統(tǒng)VPN模型的比較與傳統(tǒng)的OverlayVPN模型相比，MPLSVPN可以提供一種動(dòng)態(tài)建立的隧道技術(shù)

MPLS中的LSP正是一種天然的隧道，而且這種隧道的建立是基于LDP協(xié)議，又恰恰是一種動(dòng)態(tài)的標(biāo)簽生成協(xié)議與傳統(tǒng)的PeertoPeerVPN模型相比，MPLSVPN可以解決不同VPN共享相同地址空間的問(wèn)題，即解決地址沖突的問(wèn)題

通過(guò)動(dòng)態(tài)路由協(xié)議來(lái)解決2021/5/949為什么是BGP要解決地址沖突問(wèn)題，必須對(duì)現(xiàn)有的路由協(xié)議進(jìn)行大規(guī)模的修改，這就要求一個(gè)路由協(xié)議具有良好的可擴(kuò)展性。而具備條件的協(xié)議一定是基于TLV元素的。符合標(biāo)準(zhǔn)的只有EIGRP、BGP、ISIS。為什么選擇BGP：網(wǎng)絡(luò)中VPN路由數(shù)目可能非常大，BGP是唯一支持大量路由的路由協(xié)議；BGP是基于TCP來(lái)建立連接，可以在不直接相連的路由器間交換信息，這使得P路由器中無(wú)須包含VPN路由信息；BGP可以運(yùn)載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)它們，這使在PE路由器間傳播路由非常簡(jiǎn)單。2021/5/950解決地址沖突的辦法（一）本地路由沖突問(wèn)題，即：在同一臺(tái)PE上如何區(qū)分不同VPN的相同路由？可以通過(guò)在同一臺(tái)路由器上創(chuàng)建不同的路由表解決，而不同的接口可以分屬不同的路由表中，這就相當(dāng)于將一臺(tái)共享PE模擬成多臺(tái)專用PE。路由在網(wǎng)絡(luò)中的傳播問(wèn)題，兩條相同的路由，都在網(wǎng)絡(luò)中傳播，對(duì)于接收者如何分辨彼此？可以在路由傳遞的過(guò)程中為這條路由再添加一個(gè)標(biāo)識(shí)，用以區(qū)別不同的VPN。2021/5/951解決地址沖突的辦法（二）報(bào)文的轉(zhuǎn)發(fā)問(wèn)題，即使成功的解決了路由表的沖突，但是當(dāng)PE接收到一個(gè)IP報(bào)文時(shí)，他又如何能夠知道該發(fā)給那個(gè)VPN？因?yàn)镮P報(bào)文頭中唯一可用的信息就是目的地址。而很多VPN中都可能存在這個(gè)地址。在IP頭之外加上一些信息，由始發(fā)的VPN打上標(biāo)記，這樣PE在接收?qǐng)?bào)文時(shí)可以根據(jù)這個(gè)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。2021/5/952VPNInstance－解決本地路由沖突每一個(gè)VPN實(shí)例可以看作虛擬的路由器，好像是一臺(tái)專用的PE設(shè)備。該虛擬路由器包括如下元素：一張獨(dú)立的路由表，當(dāng)然也包括了獨(dú)立的地址空間。一組歸屬于這個(gè)VPN實(shí)例的接口的集合。一組只用于本VPN實(shí)例的路由協(xié)議。對(duì)于每個(gè)PE，可以維護(hù)一個(gè)或多個(gè)VPN實(shí)例，同時(shí)維護(hù)一個(gè)公網(wǎng)的路由表（也叫全局路由表），多個(gè)VPN實(shí)例相互分離獨(dú)立。其實(shí)實(shí)現(xiàn)VPN實(shí)例并不困難，關(guān)鍵在于如何在PE上使用特定的策略規(guī)則來(lái)協(xié)調(diào)各VPN實(shí)例之間的關(guān)系。2021/5/953RouteTargetBGP的擴(kuò)展community屬性：RT（RouteTarget）擴(kuò)展的community有如下兩種格式：其中type字段為0x0002或者0x0102時(shí)表示RT。TYPE(2字節(jié)）AdministratorFieldAssignedNumberField0x00022字節(jié)AS號(hào)4字節(jié)分配編號(hào)0x01024字節(jié)IP地址2字節(jié)分配編號(hào)2021/5/954RouteTarget本質(zhì)RT的本質(zhì)是每個(gè)VPN實(shí)例表達(dá)自己的路由取舍及喜好的方式?？梢苑譃閮刹糠郑篍xportTarget與importTarget在一個(gè)VPN實(shí)例中，在發(fā)布路由時(shí)使用RT的export規(guī)則。直接發(fā)送給其他的PE設(shè)備在接收端的PE上，接收所有的路由，并根據(jù)每個(gè)VPN實(shí)例配置的RT的import規(guī)則進(jìn)行檢查，如果與路由中的RT屬性match，則將該路由加入到相應(yīng)的VPN實(shí)例中。2021/5/955RT的靈活應(yīng)用由于每個(gè)RTExportTarget與importTarget都可以配置多個(gè)value，接收時(shí)是“或”操作，所以就可以實(shí)現(xiàn)非常靈活的VPN訪問(wèn)控制。2021/5/956RD（RouteDistinguisher）在成功的解決了本地路由沖突的問(wèn)題之后，路由在網(wǎng)絡(luò)中傳遞時(shí)的沖突問(wèn)題就迎刃而解了。只要在發(fā)布路由時(shí)加上一個(gè)標(biāo)識(shí)即可，這個(gè)標(biāo)識(shí)就是RD。TYPE(2字節(jié)）AdministratorFieldAssignedNumberField0x00022字節(jié)AS號(hào)4字節(jié)分配編號(hào)0x01024字節(jié)IP地址2字節(jié)分配編號(hào)RD的格式16位自治系統(tǒng)號(hào)ASN:32位用戶自定義數(shù)，例如：100:12位IP地址:16位用戶自定義數(shù)，例如：172.1.1.1:12021/5/957RD的本質(zhì)理論上可以為每個(gè)VPN實(shí)例配置一個(gè)RD。通常建議為每個(gè)VPN都配置相同的RD，不同的VPN配置不同的RD。但是實(shí)際上只要保證存在相同地址的兩個(gè)VPN實(shí)例的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果兩個(gè)VPN實(shí)例中存在相同的地址，則一定要配置不同的RD，而且兩個(gè)VPN實(shí)例一定不能互訪，間接互訪也不成。RD并不會(huì)影響不同VPN實(shí)例之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標(biāo)準(zhǔn)的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時(shí)需要為這條路由附加一個(gè)RD。2021/5/958VPNv4和IPv4地址族在IPv4地址加上RD之后，就變成VPN-IPv4地址族了——VPNv4。而原來(lái)的標(biāo)準(zhǔn)的地址族就稱為IPv4。VPNv4地址族主要用于PE路由器之間傳遞VPN路由VPN-IPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。在PE發(fā)布路由時(shí)添加，在PE接收路由后放在本地路由表中，用來(lái)與后來(lái)接收到的路由進(jìn)行比較。CE不知道使用的是VPN-IPv4地址。在VPN數(shù)據(jù)流量穿越供應(yīng)商骨干時(shí)，包頭中沒(méi)有攜帶VPN-IPv4地址。

RouteDistinguisher(8個(gè)字節(jié))IPv4地址VPNV4地址結(jié)構(gòu)：2021/5/959私網(wǎng)Label至此，前兩個(gè)問(wèn)題：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過(guò)程的路由沖突都已解決。但如果一個(gè)PE的兩個(gè)本地VPN實(shí)例同時(shí)存在10.0.0.0/24的路由，當(dāng)他接收到一個(gè)目的地址為10.0.0.1的報(bào)文時(shí)，他如何知道該把這個(gè)報(bào)文發(fā)給與哪個(gè)VPN實(shí)例相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報(bào)文中增加一個(gè)標(biāo)識(shí)。由于MPLS支持多層標(biāo)簽的嵌套，這個(gè)標(biāo)識(shí)可以定義成MPLS標(biāo)簽的格式，即私網(wǎng)Label。2021/5/960BGP發(fā)布路由時(shí)攜帶的信息一個(gè)擴(kuò)展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私網(wǎng)Label和RD。MP_REACH_NLRI：address－family：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopback地址。NLRI:私網(wǎng)label：24個(gè)bit，與MPLS標(biāo)簽一樣。prefix：RD:64bit＋ip前綴跟隨之后的是擴(kuò)展團(tuán)體屬性RT的列表Extended_Communities（RT1）Extended_Communities（RT2）對(duì)于使用了擴(kuò)展屬性MP_REACH_NLRI和擴(kuò)展團(tuán)體屬性RT的BGP，我們稱之為MP-BGP協(xié)議2021/5/961MP-BGP協(xié)議MP-BGP(MultiprotocolExtensionsforBGP-4)BGP-4僅僅支持IPv4，MP-BGP是為了讓BGP可以用于傳輸更多協(xié)議（IPv6,IPX,...）的路由信息而進(jìn)行的擴(kuò)展。為了保持兼容性，MP-BGP僅僅添加了兩個(gè)BGP屬性：MP_REACH_NLRI（MP_UNREACH_NLRI）和擴(kuò)展團(tuán)體屬性。MP_REACH_NLRI（MP_UNREACH_NLRI）可以用在BGPUpdate消息中用于通告或廢止網(wǎng)絡(luò)可達(dá)性信息。私網(wǎng)Label映射消息攜帶在MP_REACH_NLRI屬性中，前20位是標(biāo)簽，后4位則的前3位是EXP域，最后一位用于指示是否是棧底。2021/5/962PE和CE設(shè)備之間的關(guān)系PE和CE路由器通過(guò)EBGP、RIP和靜態(tài)路由交換信息，CE運(yùn)行標(biāo)準(zhǔn)路由協(xié)議PE維護(hù)獨(dú)立的路由表：公網(wǎng)路由表和VPN實(shí)例的私網(wǎng)路由表PECPECECESite-2Site-2Site-1Site-1

EBGP,RIP,StaticVPNAVPNBVPN實(shí)例forVPNAVPN實(shí)例forVPNBGlobalroute2021/5/963VPN實(shí)例路由的發(fā)布PE路由器通過(guò)MPLS/VPN骨干網(wǎng)發(fā)布本地的VPN路由信息。發(fā)送端PE通過(guò)使用MP-iBGP將VPN實(shí)例路由從本地發(fā)布出去（帶有export-target屬性）接收端PE將路由引入到所屬的VPN實(shí)例中（有相匹配的import-target屬性）PEPECERouterCERouterPRouterSiteSiteMP-iBGP2021/5/964VPN實(shí)例路由注入到MP-iBGPPE路由器需要對(duì)一條路由進(jìn)行如下操作：加上RD（RD為手工配置），變?yōu)橐粭lVPN-IPV4路由。更改下一跳屬性為自己（通常是自己的loopback地址）加上私網(wǎng)標(biāo)簽（隨機(jī)自動(dòng)生成，無(wú)需配置）加上RT屬性（RT需手工配置）發(fā)給所有的PE鄰居PE-1CE-1MP-iBGPPE-2BGP,RIPv2updatefor149.27.2.0/24,NH=CE-1CE-2北京上海VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-A,Label=(28)2021/5/965MP-iBGP路由注入到VPN實(shí)例每個(gè)VPN實(shí)例都有importroute-target和exportroute-target的配置發(fā)送PE發(fā)出MP-iBGPupdates時(shí)，報(bào)文攜帶export屬性。接受PE收到VPN-IPv4的MP-iBGPupdates時(shí)，判斷收到的export是否與本地的VPN實(shí)例的import相等，相等就加入到相應(yīng)的VPN實(shí)例路由表中，否則丟棄PECE-1MP-iBGPPECE-2北京上海VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-ALabel=(28)VPN-v4路由變?yōu)镮PV4路由，并且根據(jù)本地VPN實(shí)例的importRT屬性加入到相應(yīng)的VPN實(shí)例中，私網(wǎng)標(biāo)簽保留，留做轉(zhuǎn)發(fā)時(shí)使用。再由本VPN實(shí)例的路由協(xié)議引入并轉(zhuǎn)發(fā)給相應(yīng)的CE2021/5/966MPLS/VPN公網(wǎng)標(biāo)簽分配PE和P路由器通過(guò)骨干網(wǎng)IGP具有到bgp下一跳的可達(dá)性；通過(guò)運(yùn)行IGP和LDP，分配標(biāo)簽，建立LSP，獲得到BGP下一跳的LSP通道標(biāo)簽棧用于報(bào)文轉(zhuǎn)發(fā)，外層標(biāo)簽用來(lái)指示如何到達(dá)BGP下一跳，內(nèi)層標(biāo)簽表示報(bào)文的出接口或者屬于哪個(gè)VPN實(shí)例（屬于哪個(gè)VPN）MPLS節(jié)點(diǎn)轉(zhuǎn)發(fā)是基于外層標(biāo)簽，而不管內(nèi)層標(biāo)簽是多少ProuterProuterInLabelFECOutLabel-197.26.15.1/32-InLabelFECOutLabel41197.26.15.1/30POPInLabelFECOutLabel-197.26.15.1/3241Uselabelimplicit-nullfordestination197.26.15.1/32Uselabel41fordestination197.26.15.1/32VPN-v4update:RD:1:27:149.27.2.0/24,NH=197.26.15.1RT=VPN-A-Label=(28)PE-1上海北京149.27.2.0/242021/5/967MPLS/VPN報(bào)文轉(zhuǎn)發(fā)（一）入口PE收到CE的普通IP報(bào)文后，PE根據(jù)入接口所屬的VPN實(shí)例加入到相應(yīng)的VPN轉(zhuǎn)發(fā)表，查找下一跳和標(biāo)簽InLabelFECOutLabel-197.26.15.1/3241149.27.2.27PE-1149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)上海北京149.27.2.0/242021/5/968MPLS/VPN報(bào)文轉(zhuǎn)發(fā)（二）倒數(shù)第二跳路由器彈出外層標(biāo)簽，根據(jù)下一跳發(fā)送至出口PE出口PE路由器根據(jù)內(nèi)層標(biāo)簽判斷報(bào)文是去向哪個(gè)CE彈出內(nèi)層標(biāo)簽，用普通IP報(bào)文向目的CE進(jìn)行轉(zhuǎn)發(fā)InLabelFECOutLabel41197.26.15.1/32POP北京149.27.2.27PE-1上海149.27.2.0/24149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)149.27.2.2728InLabelFECOutLabel28(V)149.27.2.0/24-VPN-A149.27.2.0/24,NH=北京149.27.2.27197.25.15.1/302021/5/969MPLSVPN控制流程－私網(wǎng)路由及標(biāo)簽傳遞MPLSPE－AP－BPE－CMP-BGPIBGPPeerCEA1CEB1CEA2CEB2VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)BGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-ABGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-A2149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PEC2021/5/970MPLSVPN控制流程－公網(wǎng)LSP的建立MPLSPE－AP－BPE－C201.1.1.1/321.1.1.1/321.1.1.1/32IGPIGPPEC的loopback地址為1.1.1.1In20out33out20149.27.2.0/24Out28NH:PEC149.27.2.0/24IN28NH:A22021/5/971MPLSVPN數(shù)據(jù)流程－私網(wǎng)數(shù)據(jù)包的轉(zhuǎn)發(fā)MPLSPE－AP－BPE－CCEA1CEB1CEA2CEB2Ping149.27.2.1202831.1.1.1/32out201.1.1.1/32In20out31.1.1.1/32149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PECBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-A2021/5/972課程內(nèi)容

第一章MPLS協(xié)議第二章VPN簡(jiǎn)介第三章BGP/MPLSVPN第四章配置及排錯(cuò)2021/5/973MPLSVPN配置步驟要實(shí)現(xiàn)BGP/MPLSVPN的功能一般需要完成以下步驟：在PE、CE、P上配置基本信息建立PE到PE的具有IP能力的邏輯或物理的鏈路發(fā)布、更新VPN信息BGP/MPLSVPN的配置包括：定義BGP/MPLSVPNPE-CE間路由交換的配置PE-PE間路由交換的配置2021/5/974定義BGP/MPLSVPN說(shuō)明：以下所有命令均適用于VRP3.1創(chuàng)建并進(jìn)入VPN實(shí)例視圖

ipvpn-instance

vpn_name

為vpn-instance創(chuàng)建RD

route-distinguisher

route-distinguisher

為vpn-instance創(chuàng)建vpn-target擴(kuò)展團(tuán)體

vpn-targetvpn-target-ext-community[import-extcommunity|export-extcommunity|both]

將接口與vpn-instance關(guān)聯(lián)

ipbindingvpn-instancevpn-instance_name2021/5/975PE-PE間路由交換的配置說(shuō)明：以下所有命令均適用于VRP3.1進(jìn)入MBGP的VPNv4地址族視圖

ipv4-familyvpnv4[unicast]激活MBGP對(duì)等體

peer{group-name|peer-address}enable2021/5/976PE-CE間路由交換的配置說(shuō)明：以下所有命令均適用于為VRP3.1PE和CE間通過(guò)靜態(tài)路由鏈接的配置

iproute-staticvpn-instance

vpn-instance-nameprefixmask[next-hop-address][interface{interface-number}]PE和CE間通過(guò)EBGP交換路由信息的配置進(jìn)入BGP的VPN地址族視圖ipv4-familyvpn-instance

vpn-instance_name

配置指定鄰居的AS號(hào)peerpeer-address

as-number

as-number

PE和CE間通過(guò)RIP交換路由信息的配置進(jìn)入RIP的IPVPNV4地址族視圖

ipv4-family[unicast]vpn-instance

vpn-instance-name

2021/5/977MPLS/VPN配置舉例（一）PE1的配置使能MPLSLDP[PE1]mplslsr-id172.1.1.1[PE1-mpls]mplsldp[PE1]interfacePos1/0/0[PE1-Pos/0/0]mplsldpenablePEEthernet1/0/0:168.1.1.1/16PE-2CE-1Ethernet2/0/0:168.1.1.1/16

-1CE-2PPos1/0/0:172.1.1.1/16

Pos1/0/0AS100vpn-instance配置[PE1]ipvpn-instancevpna[PE1-vpn-instance]route-distinguisher100:1[PE1-vpn-instance]vpn-target100:1both[PE1-vpn-instance]vpn-target100:2import-extcommunity[PE1-vpn-instance]vpn-target100:3export-extcommunityAS1AS2Loopback0:202.100.0.1/16

Pos3/0/0:200.10.0.1/16

2021/5/978MPLS/VPN配置舉例（二）接口配置[PE1]interfaceloopback0[PE1-LoopBack0]ipaddress202.100.0.1255.255.255.255[PE1]interfaceethernet1/0/0[PE1-Ethernet1/0/0]ipbindingvpn-instancevpna[PE1-Ethernet1/0/0]ipaddress168.1.1.2255.255.0.0[PE1]interfacepos1/0/0[PE1-Pos1/0/0]ipaddress172.1.1.1255.255.0.0BGP配置PE-CE[PE1]bgp100[PE1-bgp]import-routedirect[PE1-bgp]ipv4-familyvpn-instancevpna[PE1-bgp-af-vpn-instance]peer168.1.1.1as-number12021/5/979MPLS/VPN配置舉例（三）BGP配置PE-PE[PE1]bgp100[PE1-bgp]peer200.10.0.1as-number100[PE1-bgp]peer200.10.0.1connect-interfaceloopback0[PE1-bgp]ipv4-familyvpnv4[PE1-bgp-af-vpn]peer200.10.0.1enable配置OSPF[PE1]ospf[PE1-ospf]area0[PE1-ospf-area-0.0.0.0]network172.1.1.00.0.255.255[PE1-ospf-area-0.0.0.0]network202.10.0.10.0.0.0[PE1-ospf]import-routedirect2021/5/980常見(jiàn)調(diào)試命令（一）查看MPLS的鄰居狀態(tài)DisplaymplsldpsessionShowinginformationaboutallsessions:PeerLDPIdent:192.168.255.38:0;LocalLDPIdent:220.163.42.126:3Tcpconnection:192.168.255.38-220.163.42.66SessionState:OperationalSessionRole:ActiveHellopacketssent/received:72121/82424KeepAlivepacketssent/received:15018/20607NegotiatedKeepaliveTimerValue:60PeerPVLimit:0LDPdiscoverysource:GigabitEthernet4/1/0.1

2021/5/981常見(jiàn)調(diào)試命令（二）查看MPLS的公網(wǎng)標(biāo)簽分配情況displaymplslspbriefIDI/O-LabelIn-InterfacePrefix/MaskNext-Hop27153/24Eth4/1/010.5.22.250/3210.5.3.1028155/24Eth10/2/010.5.22.250/3210.5.3.1029---/20----------10.5.23.250/3210.5.3.1030186/20VT4910.5.23.250/3210.5.3.1031229/20Eth4/1/010.5.23.250/3210.5.3.10

2021/5/982常見(jiàn)調(diào)試命令（三）查看VPN的路由

displayiproutevpn-instanceVPN-HW

VPN-HWRouteInformationRoutingTable:VPN-HWRD:65400:1Destination/MaskProtoPreMetricNexthop1.1.1.1/32BGP1700220.163.42.62192.168.20.0/29BGP1700220.163.42.62192.168.20.0/30BGP1700220.163.42.62192.168.20.65/32DIRECT00127.0.0.1

2021/5/983常見(jiàn)調(diào)試命令（四）查看BGP的VPNv4路由displaybgpvpnv4allrouting-tableBGPlocalrouterIDis220.163.42.126Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,iinternalOrigincodes:i-IGP,e-EGP,?-incompleteNetworkNextHopLabel（I/O）LocPrfRouteDistinguisher:65400:1*>i1.1.1.1/32220.163.42.620/17100*>i192.168.20.0/29220.163.42.620/17100*>i192.168.20.0/30220.163.42.620/16100*>192.168.20.65/320.0.0.019/0*>192.168.20.96/290.0.0.018/0此命令用來(lái)查看BGP學(xué)習(xí)到的VPNv4路由的具體信息，以及私網(wǎng)標(biāo)簽的分配情況。特別是本地始發(fā)的路由（nexthop0.0.0.0）的標(biāo)簽分配情況，只能通過(guò)本命令查看。

2021/5/984常見(jiàn)調(diào)試命令（五）查看BGP的VPNv4路由d