MPLS 虚拟专用网络技术原理与配置
MPLS VPN原理与配置
文章目录
- MPLS VPN原理与配置
-
- VPN技术的产生及分类
-
- VPN模型 - Overlay VPN
- VPN模型 - Peer-to-Peer VPN
- MPLS VPN解决的问题
-
- 1.在共享PE设备上使用VRF技术将重叠的路由隔离
- 2.在网络传递过程中区分冲突路由
- 3.Hub-Spoke场景中VPN路由的引入
- 4.解决数据转发过程中冲突路由的查找
- MPLS VPN工作过程
-
- MPLS VPN路由的传递过程
-
- 1.CE与PE之间的路由交换
- 2.VRF路由注入MP- BGP的过程;
- 3.公网标签的分配过程;
- 4.MP-BGP路由注入VRF的过程。
- MPLS VPN数据的转发过程
-
- 1.CE设备到PE设备的数据转发;
- 2.公网设备上的数据转发;
- 3.PE设备到CE设备的数据转发。
- 配置:
-
- 1.MPLS VPN配置
- 2.PE与PE间建立MP-BPG邻居关系
- 3.CE端与PE端交互路由
VPN技术的产生及分类
最初为了实现两个站点之间跨越公网通信,并保护私网的安全,人们通常采用专线来实现私网之间的连接。由于专线固有缺陷的存在,随着复用技术的出现,一些新的共享带宽技术铸件代替了专线。
新的共享带宽的技术有帧中继、X.25等 ,这些技术其实是一种逻辑的隔离技术,就好像在两个站点之间跨越公共网络建立了专用的隧道,站点通过隧道实现通信。
VPN网络特点:
- 使用共享的公共网络环境实现各私网的连接
- 不同私有网络之间互相不可见
VPN模型 - Overlay VPN
Overlay VPN可以在CE设备上建立隧道,也可以在PE设备上建立隧道
在CE与CE之间建立隧道,并直接传递路由信息,路由协议数据总是在客户设备之间交换,运营商对客户网络结构一无所知。
- 优点:不同的客户地址空间可以重叠,保密性、安全性非常好;
- 缺点:本质是一种"静态”VPN ,无法反应网络的实时变化。并且当有新增站点时,需要手工在所有站点上建立与新增站点的连接,配置与维护复杂,不易管理。
在PE上为每一个VPN用户建立相应的隧道,路由信息在PE与PE之间传递,公网中的P设备不知道私网的路由信息。
- 优点:客户把VPN的创建及维护完全交给运营商,保密性、安全性比较好;
- 缺点:不同的VPN用户不能共享相同的地址空间。
VPN模型 - Peer-to-Peer VPN
1.共享PE的接入方式
所有VPN用户的CE设备都连到同一台PE上, PE与不同的CE之间运行不同的路由协议(或者是相同路由协议的不同进程)。由始发PE将路由发布到公网上,在接收端的PE上将路由过滤后再发给相应的CE设备。
2.专用PE接入模式
MPLS VPN解决的问题
三个问题:
1.PE设备怎么区分不同VPN客户端的相同路由?
2.冲突路由在公网传播时,接收端PE如何正确导入VPN客户路由?
3.PE设备收到IP数据包后,如何正确发送给目的VPN客户端?
本地路由冲突的问题:可以通过在同一台PE设备上为不同的VPN建立单独的路由,这样冲突的的路由就被隔离开来;
在路由传递过程中,为不同的VPN路由添加不同的标识,以示区别。这些标识可以作为BGP属性进行传递;
由于IP报文不可更改,可以在IP报文头前加一-些信息。由始发路由器打上标记,接收路由器在收到带标记的的数据包时,根据标记转发给正确的VPN。
1.在共享PE设备上使用VRF技术将重叠的路由隔离
- 共享PE设备上实现重叠路由的隔离就是在PE设备上将来自每个VPN的路由放入自己对应的VPN Routing Table中,每个VPN Routing Table只记录对应VPN中学来的路由,就像是专用PE一样。这个VPN Routing Table称谓VRF ( VPN Routing and Forwardingtable ) ,即VPN路由转发表。
- 每一个VRF都需要对应一 个VPN instance , VPN用户对应的接口绑定到VPN instance中。
- 对于每个PE ,可以维护一个或多个VPN instance ,同时维护一个公网的路由表(也叫全局路由表) ,多个VPN instance实例相互独立且隔离。其实现VPN instance并不困难,关键在于如何在PE.上使用特定的策略规则来协调各VPN instance和全局路由表之间的关系。
PE设备在维护多个VPN Routing Table时,同时还维护一个公网的路由表
2.在网络传递过程中区分冲突路由
RD(Route Distinguish)路由区分符
- RD即VPN路由标识符,由8字节组成,配置时同- -PE设备上分配给每个VPN的RD必须唯一。
- RD用于区分使用相同地址空间的IPv4前缀,增加了RD的IPv4地址称为VPN-IPv4地址(即VPNv4地址)。
- 运营商设备采用BGP协议作为承载VPN路由的协议,并将BGP协议进行了扩展,称为MP-BGP ( Multiprotocol Extensions for BGP-4 )。PE从CE接收到客户的IPv4私网路由后,将客户的私网路由添加各种标识信息后变为VPNv4路由放入MP- BGP的VPNv4路由表中,并通过MP- BGP协议在公网上传递。
3.Hub-Spoke场景中VPN路由的引入
RD不能解决VPN路由正确引入VPN的问题
问题的解决:
RT(Route Target):
RT的作用类似于BGP中扩展团体属性,用于路由信息的分发。它分成lmport RT和Export RT,分别用于路由信息的导入、导出策略。当从VRF表中导出VPN路由时,要用Export RT对VPN路由进行标记;在往VRF表中导入VPN路由时,只有所带
RT标记与VRF表中任意一个lmport RT相符的路由才会被导入到VRF表中。RT使得PE路由器只包含和其直接相连的VPN的路由,而不是全网所有VPN的路由,从而节省了PE路由器的资源,提高了网络拓展性。RT具有全局唯一性,并且只能被一个VPN使用。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。
如图所示,希望实现分部只能与总部通信,分部之间不能通信。分配给分部1的ExportTarget为1:1 , Import Target为3:3 ;分配给分部2的Export Target为2:2 , Import Target为3:3 ;分配给总部的Export Target为3:3 , Import Target为1:1 , 2:2 ; PE2上收到对端PE1发送的VPNv4的路由后,检查其Export Target。因为总部的Import Target为1:1,2:2 ,所以值为1:1或2:2的路由被引入总部的VRF。PE1的VPNv4的路由引入各分部VRF的过程类似。
- RT ( Route Target )封装在BGP的扩展Community属性中,在路由传递过程中作为可选
可传递属性进行传递。 - RT的本质是每个VRF表达自己的路由取舍及喜好的属性,有两类VPN Target属性:
-
- Export Target :本端的路由在导出VRF ,转变为VPNv4的路由时,标记该属性;
- Import Target :对端收到路由时,检查其Export Target属性。 当此属性与PE上某个VPN实例的Import Target匹配时, PE就把路由加入到该VPN实例中。
4.解决数据转发过程中冲突路由的查找
方案:
- 在数据包中增加标识信息,并且使用RD作为区分数据包所属VPN的标识符,数据转发时也携带RD信息。缺点是由于RD由8字节组成,额外增大数据包,会导致转发效率降低。
- 借助公网中已经实施的MPL S协议建立的标签隧道,采用标签作为数据包正确转发的标识, MPLS标签支持嵌套,可以将区分数据包所属VPN的标签封装在公网标签内。
Outer MPLS Label在MPLS VPN中被称为公网标签,用于MPLS网络中转发数据。一般公网标签会在到达PE设备时已被倒数第二跳剥掉,漏出Inner Label。Inner MPLS Label在MPLS VPN中被称为私网标签,用于将数据正确发送到相应的VPN中, PE依靠Inner Label区分数据包属于哪个VPN。
MPLS VPN工作过程
MPLS VPN路由的传递过程
1.CE与PE之间的路由交换
2.VRF路由注入MP- BGP的过程;
两端PE运行MP-BGP ,通过公网将路由传递给对端
3.公网标签的分配过程;
4.MP-BGP路由注入VRF的过程。
MPLS VPN数据的转发过程
1.CE设备到PE设备的数据转发;
2.公网设备上的数据转发;
3.PE设备到CE设备的数据转发。
配置:
1.MPLS VPN配置
[r2]ip -instance a 创建名为a的vrf空间
[r2--instance-a]ipv4-family 进入IPV4的配置模式下
[r2--instance-a-af-ipv4]route-distinguisher 1:1 RD值
[r2--instance-a-af-ipv4]-target 1:1 RT值 必须对端的PE端一致
[r2]interface GigabitEthernet 0/0/0 进入链接CE端的接口
[r2-GigabitEthernet0/0/0]ip binding -instance a 关联到vrf空间
[r2-GigabitEthernet0/0/0]ip address 192.168.2.2 24 配置私有ip地址
注:在关联到vrf空间前不能配置接口ip,否则该地址的直连路由将进入公有路由表;
[r2]display ip routing-table -instance a 查看空间内的私有路由表
[r2]ping --instance a 192.168.2.1 正常测试将在公有路由表中查询记录;该命令为基于VRF空间
a进行路由查询
2.PE与PE间建立MP-BPG邻居关系
[r2]bgp 2
[r2-bgp]router-id 2.2.2.2
先和对端建立正常BGP邻居关系,可用于传递正常的公网路由
[r2-bgp]pe 4.4.4.4 as-number 2
[r2-bgp]pe 4.4.4.4 connect-interface LoopBack 0
[r2-bgp]pe 4.4.4.4 next-hop-local
同时还需要再在IPV4的家族模式中,与对端建立一个VPNV4的关系,用于传递VPNV4路由
[r2-bgp]ipv4-family v4
[r2-bgp-af-v4]peer 4.4.4.4 enable
[r2-bgp]display bgp v4 all peer 查看mp-bgp邻居关系
3.CE端与PE端交互路由
静态:
- CE端直接编写静态路由即可;
- PE端编写到VRF空间内的静态路由
[r2]ip route-static -instance a 192.168.1.0 24 192.168.2.1
将本地vrf空间内的静态和直连路由重发布到BGP协议传递到对端的PE
[r2]bgp 2
[r2-bgp]ipv4 -instance a
[r2-bgp-a]import-route direct
[r2-bgp-a]import-route static
display bgp v4 -instance a routing-table 查看mp-bpg的BGP表
OSPF:
- CE端正常启动OSPF即可
- PE端,启动VPNV4专用的ospf协议
[r4]ospf 2 -instance a
[r4-ospf-2]area 0
[r4-ospf-2-area-0.0.0.0]network 192.168.3.1 0.0.0.0
之后使用双向重发布,实现路由共享
[r4]bgp 2
[r4-bgp]ipv4-family -instance a
[r4-bgp-a]import-route ospf 2
[r4]ospf 2 -instance a
[r4-ospf-2]import-route bgp
[r4]display mpls lsp -instance a 查看双层标记的内层标签号