BGP MPLS VPN原理-20090603-A.ppt

BGP MPLS VPN原理 内容介绍 MPLS产生背景 MPLS产生背景 MPLS产生背景 MPLS技术 MPLS基本概念 MPLS包头结构 MPLS术语 IP的hop-by-hop逐跳转发 Label Switched Path (LSP) Label Switched Path (LSP) MPLS LDP LDP消息 LDP邻居状态机 标签的分配和管理 LDP标签分配方式（DU） LDP标签保留方式 LDP标签控制方式 LDP标签分配 标签转发表 倒数第二跳弹出（P H P） MPLS的衰落…… 内容介绍 VPN VPN中的角色 Overlay VPN－隧道建立在CE上 Overlay VPN－隧道建立在PE上 Overlay VPN的本质 Peer-to-Peer VPN Peer-to-Peer VPN——共享PE方式 Peer-to-Peer VPN——专用PE方式 Peer-to-Peer VPN的本质 解决方案 隧道技术问题————MPLS 要确保安全性，则必须使用隧道技术，虽然并不缺少隧道，但如GRE、IPSec都是静态隧道技术，无法适应大规模的网络。MPLS中的LSP正是一种天然的隧道，而且这种隧道的建立是基于LDP协议，又恰恰是一种动态的标签生成协议。 解决方案 地址冲突问题————BGP 为什么是BGP？ 如果要解决地址冲突问题，必须对现有的协议进行大规模的修改，这就要求一个协议具有良好的可扩展性。而BGP是一个非常合适的人选： 网络中VPN路由数目可能非常大，BGP是唯一支持大量路由的路由协议； BGP是基于TCP来建立连接，可以在不直接相连的路由器间交换信息，这使得P路由器中无须包含VPN路由信息； BGP可以运载附加在路由后的任何信息，作为可选的BGP属性，任何不了解这些属性的BGP路由器都将透明的转发它们，这使在PE路由器间传播路由非常简单。 地址冲突问题 BGP需要攻克以下三个难关： 本地路由冲突问题，即：在同一台PE上如何区分不同VPN的相同路由。（控制平面） 路由在网络中的传播问题，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此？（控制平面） 报文的转发问题，即使成功的解决了路由表的冲突，但是当PE接收到一个IP报文时，他又如何能够知道该发给那个VPN？因为IP报文头中唯一可用的信息就是目的地址。而很多VPN中都可能存在这个地址。（转发平面） 解决思路 本地路由冲突问题：专用PE-----用一台共享PE模拟成多台专用PE 。可以通过在同一台路由器上创建不同的路由表解决，而不同的接口可以分属不同的路由表中。 路由传播的地址冲突问题：可以在路由传递的过程中为这条路由再添加一个标识，用以区别不同的VPN。 报文转发地址冲突问题：由于IP报文的格式不可更改，但可以在IP头之外加上一些信息，由始发的VPN打上标记，这样PE在接收报文时可以根据这个标记进行转发 1、本地地址冲突问题 VRF VRF路由表间关系——RT RT 使用了BGP的扩展community属性,并且起了一个新名字：RT（Route Target） 扩展的community有如下两种格式：其中type字段为0x0002或者0x0102时表示RT。 RT的本质 RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分：Export Target与import Target 在一个VRF中，在发布路由时使用RT的export规则。直接发送给其他的PE设备 在接收端的PE上，接收所有的路由，并根据每个VRF配置的RT的import规则进行检查，如果与路由中的RT属性match，则将该路由加入到相应的VRF中。 RT的灵活应用 由于每个RT Export Target与import Target都可以配置多个属性，可以实现非常灵活的VPN访问控制 2、路由在传播过程中地址冲突问题 在成功的解决了本地路由冲突的问题之后，路由在网络中传递时的冲突问题就迎刃而解了。只要在发布路由时加上一个标识即可。既然路由发布时已经携带了RT，可否就使用RT作为标识呢？ 理论上讲，肯定是可以的。但BGP的Route withdraw报文不携带属性，这样在这种情况下收到的路由就没有RT了。所以还是另外定义RD(Route Distinguisher）。 RD RD的格式: 16位自治系统号ASN：32位用户自定义数，例如：100:1 32位IP地址：16位用户自定义数，例如：:1 一般为一个site分配唯一一个RD，它是VRF的标识符 VPNv4和IPv4 地址族 为了解决不同的VPN可以使用相同的地址空间的问题，引入了新的地址族——VPNv4。而原来的标准