MPLS VPN 基础1

VPN的定义：在公共的网络上来传递私有网络的数据包的技术称之为VPN（虚拟私有网络）

VPN的发展：VPN技术的出现替代了P2P的专线，它在公共的网络上是用虚拟电路来替代站点之间专用的P2P线路。客户倾向于使用VPN，是因为可以减少花费。

VPN的术语：P设备是运营商的核心设备；PE设备是运营商的边界设备，主要用于连接客户。CE设备，又称为CPE，是客户网络中连接运营商的设备。

VPN的分类：VPN服务有两种主要模式：

• Overlay VPN（覆盖型VPN）：将运行商看成是一条P2P的线路，两个客户之间看起来是直连。
  • 一层部署：这是传统的TDM（时分多路复用）的解决方案
    • 运营商在客户间建立物理层的连接
    • 客户只需要负责上层的操作就可以
  • 二层部署（传统的）：这是传统的包交换的WAN（广域网）的解决方案
    • 运营商在客户间建立虚电路连接
    • 客户只需要负责上层的操作就可以
  • IP隧道：使用IP-over-IP的技术来部署VPN
    • 使用GRE或IPSec来做Tunnel的连接
    • GRE简单和快速；IPSec提供认证和安全
  • 二层转发：使用PPP-over-IP的隧道技术，主要用于拨号环境
• Peer-to-Peer VPN（对等型VPN）：PE和CE是对等的邻居关系，运营商参与客户的路由。
  • 共享式PE
    • PE路由器承载所有客户的路由
    • 在PE-CE之间的接口上通过ACL的方式做包过滤，可以使客户之间相互独立
  • 专用PE控制路由分发
    • P路由器承载所有客户的路由
    • 每个客户都有专属的PE连接，只存放这个客户的路由
    • 客户之间的相互独立是通过控制路由的泄露来完成的

覆盖型VPN和对等型VPN的优缺点

• 覆盖型VPN的优点：
  • 大家都知道，并且易于配置
  • 运营商不参与客户的路由
  • 客户网络与运营商网络相互独立
  • 可以使用重复的地址空间
• 覆盖型VPN的缺点：
  • 部署最优路径需要全互联的虚拟电路
  • 虚拟电路需要手工配置
  • 会增加额外的负载包头
• 对等型VPN的优点：
  • 在客户站点间保证其是最优路径
  • 易于添加额外的VPN
  • 站点的创建，非常简单
• 对等型VPN的缺点：
  • 运营商参与客户的路由
  • PE承载所有客户的路由
  • 需要有详细的IP路由的知识
  • 地址空间不能重复
  • 共享式PE，性能比较低下（每个数据包都需要查ACL）
  • 专用PE的费用比较高

MPLS VPN的特点

• MPLS VPN既有覆盖型VPN的优点，也有对等型VPN的优点
  • PE参与客户的路由，保证最优路径，并且提供一个新站点非常简单
  • PE路由器承载一系列分割的路由表（客户是客户单独的路由，全局是全局的路由。类似于专用PE的环境）
  • 客户可以使用重复的地址空间

MPLS VPN的体系架构

• MPLS VPN分为两个平面：
  • 控制平面：
    • 研究使用什么样的路由协议，如何传路由
      • 底层IGP使各个设备互联互通；使用BGP将客户路由从一个PE传到另一个PE。
    • 研究使用什么样的标签分发协议，如何分发标签
  • 数据平面：
    • IP包查FIB
    • 标签包查LFIB

MPLS VPN的基本配置 — 六大步骤

1. 核心的IGP
2. 核心的MPLS
3. PE-PE之间的MBGP
4. CE-PE之间路由协议
5. 将CE-PE之间的路由协议重分布进MBGP（可选）
6. 将MBGP路由重分布进CE-PE之间路由协议（可选）

MPLS VPN的RD（route distinguisher 路由区分）

• RD路由区分，一共64bits，没有特别意义。主要用于添加在ipv路由之前，使其全局唯一。
• 形成的96bits路由称之为VPNv4地址。
• 传统的ipv4 unicast的BGP只能用于传32bits的路由。现在96bits的路由需要一个新的BGP的地址簇才可以传递，将可以传递96bits路由的BGP地址簇称为VPNv4 unicast地址簇。这样既支持IPv4 unicast的BGP又支持其他地址簇的BGP称为多协议BGP（MBGP或MPBGP）。
• RD有两种格式：
  • – 16:16:32 AA:NN 例： 1:1
  • – 16:32:16 IP:NN 例： 10.1.0.3:1

MPLS VPN的RT（route target 路由目标）

• RT路由目标，一共64bits，是BGP的扩展团体属性（extcommunity），主要用途是指明路由是属于哪个VPN的成员
• 一条路由可以携带多个RT
• RT有两种格式：
  • – 16:16:32 AA:NN 例： 1:1
  • – 16:32:16 IP:NN 例： 10.1.0.3:1

MPLS VPN数据包的走向

• 顶层标签被称为隧道标签或递送标签，由真实下一跳为BGP的下一跳分配。主要作用是把数据包送到下一跳的设备上去。
• 底层标签又称为VPN标签，由MBGP分配。作用是区分哪个vrf的数据包。