1 概述

 

1.1 MPL VPN手艺配景

 

    VPN（Virtual Private Network）的看法最早是从专线引发的。先举一个例子说明为什么需要VPN，例如一个公司在天下各地都有分公司，那么通常它必需租用专线实现企业内部的互联网络，这种方法需要在两地或多个所在之间租用远程线路，岂论是否有数据传输这条远程线路都牢靠分派，用户支付的价钱很高。专线网络具有以下特点：

 

    1. 清静性高，线路为用户专用，差别用户间是物理隔离的；
 

    2. 价钱腾贵；
 

    3. 带宽铺张严重；

 

    由于专线网络具有的一些固有缺陷，VPN的目的就是通过公用网络将异地的网点互联实现一个私有网就像用专线联接起来的一样。着实现的方法就是在公网上建设某种形式的链路作为IP的隧道举行异地网点互联。在公网上实现VPN ，用户只需要支付到网络效劳提供商的外地线路用度，并且在没有数据传输时可以断开毗连进一步节约了开销。

 

1.2 VPN界说

 

    顾名思义，虚拟专用网（Virtual Private Network）不是真的专用网络，但却能够实现专用网络的功效。所谓虚拟，是指用户不再需要拥有现实的远程数据线路，而是使用效劳提供商现成网络的数据线路（通过使用隧道手艺）。所谓专用网络，是指用户可以为自己制订一个最切合自己需求的网络，就像是私有的网络一样。

 

1.3 BGP/MPLS VPN

 

    我们知道实现VPN的方法有许多种，例若有基于第二层隧道协议（L2TP）的VPN，也有基于第三层隧道协议（如IPSec）的VPN。而BGP/MPLS IP VPN是另外一种实现VPN的方法，可以说它是一种介于第二层和第三层隧道协议的VPN，这主要是由MPLS决议的。

 

    既然是VPN其所完成的功效以及抵达的目的和古板的VPN是一样的，只是基于MPLS的IP VPN和古板的IP VPN相比有许多优势。如关于VPN用户而言，它可以大大简化用户的治理事情量，不再需要使用专门的VPN装备（如VPN拨入效劳器）只需要使用古板的路由器就可以构建VPN。

 

    关于运营商而言，接纳MPLS VPN很容易实现VPN的扩展，同时给运营商带来更大的商机。
 

 

    这里诠释一下为什么是叫BGP/MPLS VPN呢？这是由于MPLS应用于Layer 3的VPN中要使用BGP作为MPLS的标签分发协议，就好比MPLS应用于IP单播转发中必需使用LDP作为其标签分发协议，使用BGP协议在效劳提供商网络的PE之间交流VPN路由以及绑定的标签。

 

2 BGP/MPLS VPN架构

 

 

                                  图2-1

 

    在MPLS VPN的毗连模子中，网络由运营商的主干网与用户的各个Site组成，所谓VPN就是对site荟萃的划分，一个VPN就对应一个由若干site组成的荟萃。

 

2.1 术语

 

先引入几个看法：

 

    CE（Custom Edge）：用户Site中直接与效劳提供商相连的边沿装备，一样平常是路由器
 

 

    PE（Provider Edge）：主干网中的边沿装备，它直接与用户的CE相连

 

    P 路由器（Provider Router）：主干网中不与CE直接相连的装备

 

    VPN Site：VPN用户的站点，是VPN中的一个伶仃的IP网络，该网络内部自己是IP互联的，可是和其它站点（或者是子网）一样平常来说欠亨过主干网不具有连通性。公司总部，分支机构都是site的详细例子。CE通常是VPN Site中的一个路由器或三层交流装备甚至是一个主机。一个CE装备总是被以为处于一个单独的站点，可是一个站点可以同时属于多个VPN。

 

    VRF：每个PE都维护和治理一系列的转揭晓， 其中一个转揭晓叫做“缺省的转揭晓”或者叫“全局转揭晓”；其它的转揭晓叫“VPN 路由转揭晓（VPN Routing and Forwarding tables）”。若是一个报文通过AC抵达PE，该AC没有同任何VRF关联的话，那么将使用全局的路由表为该报文的目的地点查找路由？梢约蚱拥拿魅肺，全局的转揭晓存放的是公网的路由（包管SP网络中自己PE和PE，PE和P之间能够互通），VRF存储的是VPN站点的私有路由。

 

2.2 组成原理

 

    1. MPLS VPN的网络结构由效劳提供商来完成。在这种网络结构中，由效劳提供商向用户提供VPN效劳，用户感受不到公共网络的保存，就似乎拥有自力的网络资源一样。

 

    2. 同样关于效劳提供商主干网络内部的 P 路由器，也就是不与CE 直接相连的路由器而言，也不知道有VPN的保存，仅仅认真主干网内部的数据传输。但其必需能够支持MPLS协议，并使能该协议。

 

    3. 所有的VPN的构建、毗连和治理事情都是在PE上举行的。PE位于效劳提供商网络的边沿，从PE的角度来看，用户的一个连通的IP 系统被视为一个site ，每一个site通过CE与PE相连，site 是组成VPN的基本单位。

 

    4. 一个VPN是由多个site组成的，一个site 也可以同时属于差别的VPN。 属于统一个VPN的两个site通过效劳提供商的公共网络相连，VPN数据在公共网络上撒播，必需要包管数据传输的私有性和清静性。 也就是说，隶属于某个VPN的site发送出来的报文只能转发到同样属于这个VPN的site 里去，而不可被转发到其他site 中去。

 

    5. 同时，任何两个没有配合的site 的VPN都可以使用重叠的地点空间，即在用户的私有网络中使用自己自力的地点空间，而不必思量是否与其他VPN或公网的地点空间冲突。所有这些就都需要依赖于VRF（VPN Routing & Forwarding Instance）。

 

3 BGP MPLS/VPN原理

 

在一个MPLS VPN网络中，需要解决以下三个问题：

 

    1. 外地路由冲突问题，即：在统一台PE上怎样区分差别VPN的相同路由。

 

    2. 路由在网络中的撒播问题，两条相同的路由，都在网络中撒播，关于吸收者怎样区分相互？

 

    3. 报文的转发问题，纵然乐成的解决了路由表的冲突，可是当PE吸收到一个IP报文时，他又怎样能够知道该发给谁人VPN？由于IP报文头中唯一可用的信息就是目的地点。而许多VPN中都可能保存这个地点。

 

3.1 VRF-VPN路由转发实例（VPN Routing & Forwarding Instance）

 

    着实解决地点冲突的问题，也保存一些要领：使用ACL、IP unnumber、NAT。但这些步伐都是基于“打补丁”的头脑，没能从实质上解决问题。

 

    要想彻底解决，必需在理论上有所突破？梢源幼ㄓ肞E上获得启示。专用路由器方法分工明确，每个PE只保存自己VPN的路由。P只保存公网路由。而现在的思绪是：将这些所有装备的功效，和在一台PE上完成。
 

 

                                     图3-1

 

    每一个VRF可以看作虚拟的路由器，似乎是一台专用的PE装备。该虚拟路由器包括如下元素：

    一张自力的路由表，虽然也包括了自力的地点空间。

 

    一组归属于这个VRF的接口的荟萃。

 

    一组只用于本VRF的路由协议。

 

    关于每个PE，可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由表），多个VRF实例相互疏散自力。

 

    着实实现VRF并不难题，要害在于怎样在PE上使用特定的战略规则来协调各VRF和全局路由表之间的关系。

 

3.2 VRF的路由分发

 

 

                                   图3-2

 

    如图中所示，属于一个VPN的site可能划分毗连到差别的PE上。 为了包管VPN的连通性，我们必需在PE之间交流VPN路由信息。 VPN路由拥有自己自力的地点空间，这种路由在效劳提供商的公共网络中转达不可接纳通俗地点结构，不然会由于地点空间的重叠导致路由表的杂乱，而是通过RD与IP地点一起组成唯一的VPN-IPV4地点结构来转达。同时在PE之间也不可接纳通俗的路由协议，而是通过对BGP作一定的扩展，使用多协议BGP（MultiProtocol BGP）来交流VPN信息。这些在下一部份将会讲到。

 

3.3 RD--路由标识（Route Distinguisher）与VPN-IPv4地点

 

    在前面提到过，PE之间通过公共网络交流VPN路由，不可接纳通俗的地点结构和路由协议。因此，首先引入RD（Route Distinguisher）的看法。

 

    RD来标示每个VRF。 RD与VRF是逐一对应的，每一个VRF都有自己的RD，RD在主干网中坚持唯一性，是Site的标识。

 

    PE路由器之间使用BGP来宣布VPN路由。标准BGP对每个IP前缀只能装置和宣布一个路由。由于每个VPN有自己的地点空间，意味着同样的IP地点会被恣意数目的VPN所使用，在每个VPN中这个地点体现一个差别的系统。 这样就需要允许BGP对每个VPN的相同的IP前缀可以装置和宣布多个路由，同时，要使用特定的战略来决议哪一条路由被哪个site所使用。为此，多协议BGP 使用了新的地点族--VPN-v4地点。

 

                              图3-3

 

    一个VPN-v4地点有12个字节，最先是8字节的RD，接下去是4字节的IP地点。若是两个VPN使用相同的IP地点，PE路由器为它们添加差别的RD，转换成唯一的VPN-v4地点，不会造成地点空间的冲突。

 

    使用VPN-v4地点解决了VPN路由在公共网络中转达时的地点空间冲突问题，但由于这已经不再是原有的IP地点族的地点结构，不可被通俗的路由协议所承载，同时，每一个用户网络都是自力的系统，它们之间经由效劳提供商的路由信息转达使用IGP协议显然是不适合的，于是我们需要将BGP协议作一定的扩展，用它来承载新的VPN-v4地点族路由，同时转达附加在路由上的Route Target属性。

 

    通过RD与VPN-IPv4地点，解决了路由在网络中的撒播，两条相同的路由，都在网络中撒播，关于吸收者怎样区分相互问题。

 

3.4 BGP扩展与Route Target属性

 

    PE之间交流VPN信息，在BGP的UPDATE报文中承载VPN-v4地点族路由，这就是对BGP举行了扩展的MBGP（多协议BGP）。MBGP不但能承载IPv4路由，并且能承载VPN，IPv6，多播等路由。 MBGP有两个主要的事情，为路由指定特定网络层协议的下一跳和NLRI（网络层可达信息）。

 

                                  图3-4

 

    BGP扩展整体属性是对整体属性做了扩展，增大了值域，并划定了内部结构。扩展整体属性是一个过渡可选属性，它由一个扩展整体的荟萃组成，每个扩展整体是8字节的数。Route Target属性是由BGP的扩展整体属性来体现的。

 

Route Target 属性

 

    VPN的成员关系是通过路由所携带的route target属性来获得的。 PE中每个Site的路由表中的路由项可以有一或多个Route Target属性。 它体现了该路由可以被哪些site所吸收，吸收哪些site的传送来的路由。

 

    一个具有这种属性的路由必需发送给所有在Route Target中指明的site所毗连的PE路由器，PE吸收到包括此属性的路由后，若此属性指明的site同己一致，则加入到响应的路由表中。

 

    RT的实质是每个VRF表达自己的路由取舍及喜欢的方法？梢苑治讲糠郑篍xport Target与import Target；前者体现了我发出的路由的属性，此后者体现了我对那些路由感兴趣。例如：

 

    SITE-A：我发的路由是红色的，我也只吸收红色的路由。

 

    SITE-B：我发的路由是红色的，我也只吸收红色的路由。

 

    SITE-C：我发的路由是玄色的，我也只吸收玄色的路由。

 

    SITE-D：我发的路由是玄色的，我也只吸收玄色的路由。

 

    这样，SITE－A与SITE-B中就只有自己和对方的路由，两者实现了互访。同理SITE－C与SITE-D也一样。这时我们就可以把SITE-A与SITE－B称为VPN-A，而把SITE-C与SITE-D称为VPN-B，如下图：
 

 

 

                                   图3-5

 

    对一个PE，有一个Route Target属性的集适用于附加到从某个site吸收的路由上，称为Export Route Target，另一个Route Target属性的集适用于决议哪些路由可以引入到此site的路由表中，称为Import Route Target。它们是差别的荟萃。这两个荟萃的组合可以结构任何拓扑类型的VPN。

 

    在PE上，每个VRF都有一个Import Route Target列表，只有当路由的Export　Route Target与VRF的Import Route Target列表相匹配，路由才会被引入到该VRF的路由表中。

 

RT的无邪应用

 

    由于每个RT Export Target与import Target都可以设置多个属性，例如：我对红色或者蓝色的路由都感兴趣。吸收时是“或”操作，红色的、蓝色的以及同时具备两种颜色的路由都会被接受。以是就可以实现很是无邪的VPN会见控制。

 

 

 

                                  图3-6

 

3.5 私网标签

 

    至此，前两个问题：在PE外地的路由冲突和网络撒播历程的冲突都已解决。可是若是一个PE的两个外地VRF同时保存10.0.0.0/24的路由，当他吸收到一个目的地点为10.0.0.1的报文时，他怎样知道该把这个报文发给与哪个VRF相连的CE？一定还需要在被转发的报文中增添一些信息。

 

    路由宣布时已经携带了RD，理论上可以使用RD作为标识呢，可是RD一共有64个bit，太大了。这会导致转发效率的降低。以是只需要一个短小、定长的标记即可。由于公网的隧道已经由MPLS来提供，并且MPLS支持多层标签的嵌套，这个标记界说成MPLS标签的名堂。这个私网的标签就由MP-BGP来分派，与私网的路由一同宣布出去。

 

3.6 BGP宣布路由时需要携带的信息

 

    一个扩展之后的NLRI（Network Layer Reachability Information），增添了地点族的形貌，以及私网label和RD。
 

 

    追随之后的是RT的列表

 

    关于使用了扩展属性MP_REACH_NLRI的BGP，我们称之为MP-BGP。

 

4 BGP MPLS/VPN路由分发、报文转发机制

 

    在MPLS VPN中，由于接纳了两层标签栈结构，以是P并不加入VPN路由信息的交互，VPN站点内部是通过CE与PE、PE与PE之间的路由交互知道属于某个VPN的网络拓扑信息。
 

详细可以归纳为如下3个办法：
 

    1. CE与PE之间的路由交流
 

    2. PE与PE之间的路由交流
 

    3. PE与CE之间的路由交流

 

4.1 CE与PE之间的路由交流

 

    在PE上为差别的VPN站点设置VRF。PE上维护多个自力的路由表，包括公网和私网路由表（VRF），其中：
 

    1. 公网路由表：包括抵达其他PE和P的路由，由主干网的IGP爆发。
 

    2. 私网路由表：包括本VPN可抵达的路由（即属于该VPN的差别站点之间的路由）。

 

                              图4-1

 

    CE与PE之间通过接纳静态路由、动态路由协议（如OSPF,RIP…）举行路由信息的交互。 当Ingress PE从某个接口吸收到来自CE的路由信息时，将该路由导入对应的VRF。

 

4.2 PE与PE之间的路由交流

 

    PE与PE之间的路由交流实质上就是将PE上得VRF路由注入到MP-IBGP并通过MP-IBGP在PE间交流的历程。

 

 

                              图4-2

 

    PE通过维持IBGP确保路由信息被分发给所有其它的PE。当Ingress PE分发路由信息时，将同时携领路由所在VRF的RD，即将路由的IPv4地点前缀转化为VPN-IPv4地点。

 

    分发的详细路由信息（VPN-IPv4路由信息）包括：
 

    该路由的VPN-IPv4地点前缀
 

    下一跳地点即Ingress PE的VPN-IPv4地点（通常是PE上的Loopback接口地点，其RD=0）
 

    分派给该路由的VPN标签（用来标识属于哪个VPN或者说是哪个VRF）
 

    该路由所在VRF的Export RT
 

 

4.3 PE与CE之间的路由交流

 

    PE与CE之间的路由交流即为MP-IBGP把路由注入到PE上的VRF然后通过PE与CE上运行的路由协议再分发给CE的历程。

 

 

                                 图4-3

 

    当Egress PE收到路由信息时，将审查该路由的RT，若是RT和其恣意VRF中恣意一个Import RT相符时，就将该路由存入VPN-IPv4的路由表。

 

    在举行路由选择之后，将最优路由中的VPN-IPv4地点转化成IPv4地点（即去掉地点中的RD）导入到响应的VRF，私网标签保存，纪录到转揭晓中，留做转发时使用。
再由本VRF的路由协议引入并转达给响应的CE。发给CE时下一跳为吸收端PE自己的接口地点。这样就完成了从MP-IBGP路由注入到VRF的历程。

 

4.4 MPLS/VPN 报文转发

 

 

                                    图4-4

    在MPLS VPN中，属于统一的VPN的两个Site 之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在主干网内部举行交流，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP抵达对端PE，这时间就需要使用第二层（内层）标签，这层标签指示了报文应该抵达哪个site，或者更详细一些，抵达哪一个CE，这样，凭证内层标签，就可以找到转发的接口？梢砸晕，内层标签代表了通过主干网相连的两个CE之间的一个隧道。

 

5 55世纪网络BGP MPLS VPN实现

 

5.1 组网需求

 

    要求：有两个VPN用户，VPNA和VPNB。VPNA在福州和上海有自己的站点，VPNB 在北京和上海有自己的站点，现在要VPNA 内的用户可以会见自己福州和上海的资源，VPNB 内的用户可以会见自己北京和上海的资源，两个VPN 之间不可相互会见。

 

5.2 组网拓扑

 

 

                                    图5-1

 

5.3 设置办法

 

1. 设置PE

 

    以PE_SH 为例：
 

    设置VRF
 

    在PE_SH上界说两个VRF，VRFA_SH和VRFB_SH，划分为这两个VRF界说R值和RT值，并把VRF和对应的接口关联起来。
 

设置BGP 协议

 

在PE_FZ和PE_BJ设置历程和上面类似。

 

2. 设置CE

 

    以VPNB_SH 为例:
 

    设置BGP
 

VPNA_SH、VPNA_FZ和VPNB_BJ的上CE的设置和VPNB_SH类似。

 

3. 设置P

 

以P1为例：
 

P2上的设置和P1类似。

6 BGP/MPLS IP VPN标准系统生长

 

    IETF已经在2004年建设了L3VPN的事情组专门研究L3VPN的手艺和应用，这里主要讲与BGP/MPLS VPN最直接相关的RFC， BGP/MPLS IP VPN的手艺最早由IETF在1999年在RFC 2547提出，厥后出了一个修订版叫RFC2547bis，现有的网络装备提供商实现的BGP/MPLS VPN都是凭证RFC2547bis实现的。随着该手艺被各个网络装备厂商支持并应用，该手艺已经被实践证实较量成熟。2006年IETF凭证这些年在应用历程中的实践总结进一步完善了该手艺，重新宣布了RFC4364并声明放弃了RFC2547。RFC4364内里详细叙述了BGP/MPLS IP VPNs的架构、手艺实现和安排。另外由于BGP/MPLS IP VPNs的手艺实现需求，对BGP协议的特征举行了大宗的扩展，主要包括：
 

    RFC2858 Multiprotocol Extensions for BGP-4 支持多协议扩展的BGP
 

    draft-ietf-idr-as4bytes AS号由原来的2字节变为4字节的处置惩罚
 

    RFC1997 BGP Communities Attribute BGP的整体属性
 

    RFC2918 Route Refresh Capability for BGP-4 BGP的刷新机制
 

    draft-ietf-idr-route-filter Cooperative Route Filtering Capability for BGP-4 BGP的ORF机制
 

    RFC2796 BGP Route Reflection BGP的路由反射器实现
 

    RFC3107 Carrying Label Information in BGP-4 怎样在BGP中携带MPLS标签
 

    RFC4360 BGP Extended Communities Attribute BGP的扩展整体属性

 

使用BGP/MPLS实现的Layer3 VPN主要有如下特点：

 

    VPN的隧道是在网络效劳提供商的PE上建设的，而不是在用户的CE之间建设的。VPN的路由也是在PE和PE之间转达，而不在CE之间转达。这样用户就不需要发什么精神维护自己的VPN。BGP/MPLS IP VPN也属于服 务商提供的VPN手艺，关于效劳商提供的VPN，IETF给其了一个术语叫Provider Provisioned VPN，简称为PPVPN

 

    把VPN隧道的安排及路由宣布变为动态实现，这样有利于VPN的规模扩大，可以很容易实现添加一个新的VPN或者是新的站点加入到一个现有的VPN中。

 

    支持地点重叠（差别VPN可以使用相同的地点空间）。

 

    在效劳提供商的网络中，VPN的营业流使用标签交流转发而不是古板的路由转发。

 

    能够抵达和用户租用专线一样的清静性。

 

    可以使用MPLS手艺实现流量工程，支持用户的种种Qos需求。

 

    由于基于MPLS手艺的VPN有其固有的优点是古板VPN手艺无法相比的，因此MPLS VPN手艺是未来构建VPN的生长偏向，会越来越受到客户和运营商的关注。