module-1提高企業(yè)網(wǎng)業(yè)務(wù)承載能力mpls技術(shù)原理與配置

1、MPLS VPN技術(shù)原理與配置隨著設(shè)備硬件性能不斷提升，MPLS在提高數(shù)據(jù)轉(zhuǎn)發(fā)速度上的優(yōu)勢逐漸弱化，但其支持多層標(biāo)簽嵌套和設(shè)備內(nèi)轉(zhuǎn)控分離的特點，使其在VPN、TE等新興應(yīng)用中得到廣泛應(yīng)用。傳統(tǒng)的VPN存在一些固有缺陷，導(dǎo)致客戶組網(wǎng)時很多需求不能滿足。MPLS VPN將傳統(tǒng)的兩種VPN模型整合到一起，推動了VPN的發(fā)展。學(xué)完本課程后，您將能夠：了解傳統(tǒng)VPN的模型熟悉MPLS VPN的工作原理掌握MPLS VPN的基本配置MPLS VPN工作原理VPN技術(shù)的產(chǎn)生及分類MPLS VPN解決的問題MPLS VPN工作原理MPLS VPN配置實例VPN技術(shù)的產(chǎn)生 (1)Client1Client1Cl

2、ient2Client2專線有如下的特點：線路專有，安全性高，不同用戶之間物理隔離；價格昂貴；使用不充分，帶寬浪費嚴(yán)重。運營商A網(wǎng)絡(luò)運營商A網(wǎng)絡(luò)運營商B網(wǎng)絡(luò)專線數(shù)據(jù)流VPN技術(shù)的產(chǎn)生 (2)運營商網(wǎng)絡(luò)Client1Client1Client2Client2隧道新的共享帶寬的技術(shù)有幀中繼、X.25等，這些技術(shù)其實是一種邏輯的隔離技術(shù)，就好像在兩個站點之間跨越公共網(wǎng)絡(luò)建立了專用的隧道，站點通過隧道實現(xiàn)通信。企業(yè)用戶接入運營商的網(wǎng)絡(luò)結(jié)構(gòu)RTERTEClient1 總部運營商網(wǎng)絡(luò)RTDRTBRTCRTARTFRTGClient1 分部Client2 分部Client2 總部企業(yè)用戶的網(wǎng)絡(luò)設(shè)備：RTA，

3、RTB，RTF與RTG被稱為CE（Customer Edge）設(shè)備。運營商的網(wǎng)絡(luò)設(shè)備：RTC與RTE，設(shè)備直接與客戶設(shè)備相連，被稱為PE（Provider Edge）設(shè)備；RTD，是運營商網(wǎng)絡(luò)中的骨干設(shè)備，被稱為P（Provider）設(shè)備。VPN模型 - Overlay VPNOverlay VPN的特點：客戶路由協(xié)議總是在客戶設(shè)備之間交換，而運營商對客戶網(wǎng)絡(luò)結(jié)構(gòu)一無所知。典型的協(xié)議：二層幀中繼；三層GRE與IPSec；應(yīng)用層SSL VPN。RTEPE2CE1運營商網(wǎng)絡(luò)PVPN2PE1VPN1VPN1VPN2CE3CE4CE2隧道數(shù)據(jù)流VPN模型 - Peer-to-Peer VPN (1)R

4、TEPE2CE1運營商網(wǎng)絡(luò)PVPN2PE1VPN1VPN1VPN2CE3CE4CE2Peer-to-Peer VPN特點：在CE設(shè)備與PE設(shè)備之間交換私網(wǎng)信息，由PE設(shè)備將私網(wǎng)信息在運營商網(wǎng)絡(luò)中傳播，實現(xiàn)了VPN部署及路由發(fā)布的動態(tài)性。解決了Overlay VPN的“靜態(tài)”性質(zhì)不太適合大規(guī)模應(yīng)用和部署的問題。數(shù)據(jù)流VPN模型 - Peer-to-Peer VPN (2)RTEPE2CE1運營商網(wǎng)絡(luò)PVPN2PE1VPN1VPN1VPN2CE3CE4CE2PE4PE3Peer-to-Peer VPN的專用PE的接入方式特點：運營商為每一個VPN單獨準(zhǔn)備一臺PE設(shè)備，PE和CE之間可以運行任意的路

5、由協(xié)議，與其他VPN無關(guān)。數(shù)據(jù)流MPLS VPN工作原理VPN技術(shù)的產(chǎn)生及分類MPLS VPN解決的問題MPLS VPN工作原理MPLS VPN配置實例MPLS VPN產(chǎn)生的原因RTEPE2CE1運營商網(wǎng)絡(luò)PVPN2PE1VPN1VPN1VPN2CE3CE4CE2172.16.1.1/32172.16.1.1/32172.16.1.1/32的路由來自于哪個客戶VPN呢？兩個客戶的VPN存在相同的地址空間，傳統(tǒng)VPN網(wǎng)絡(luò)結(jié)構(gòu)中的設(shè)備無法區(qū)分客戶重疊的路由信息。解決地址空間重疊問題的討論解決VPN客戶地址空間重疊問題需要解決上述三個問題。RTEPE2CE1運營商網(wǎng)絡(luò)PVPN2PE1VPN1VPN1

6、VPN2CE3CE4CE2172.16.1.1/32172.16.1.1/321.PE設(shè)備怎么區(qū)分不同VPN客戶的相同路由？2.沖突路由在公網(wǎng)中傳播時，接收端PE如何正確導(dǎo)入VPN客戶路由？3.PE設(shè)備收到IP數(shù)據(jù)包后，如何正確的發(fā)送給目的VPN客戶？數(shù)據(jù)路由本地路由沖突的解決方案 (1)專用PE設(shè)備分工明確，每個PE設(shè)備只保存自己的VPN路由，P設(shè)備只保存公網(wǎng)路由。因此解決共享PE設(shè)備上地址空間重疊的思路是：將專用PE設(shè)備與P設(shè)備的功能在同一臺PE設(shè)備上完成，并實現(xiàn)VPN路由的隔離。CE2CE1PE2PE1CE4CE3PPE4PE3VPN1VPN1VPN2VPN2VPN2 Routing T

7、ableVPN1 Routing Table專用PE方式Global Routing Table本地路由沖突的解決方案 (2)CE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2VPN2VPN1 Routing TableGlobalRoutingTableVPN2 Routing TableVRF技術(shù)方式在共享PE設(shè)備上使用VRF技術(shù)將重疊的路由隔離：每個VPN的路由放入自己對應(yīng)的VPN Routing Table中。PE設(shè)備在維護(hù)多個VPN Routing Table時，同時還維護(hù)一個公網(wǎng)的路由表。如何在網(wǎng)絡(luò)傳遞過程中區(qū)分沖突路由CE1CE2PPE1CE3PE2CE4VPN1：1

8、72.16.1.1/32VPN1VPN2：172.16.1.1/32VPN2VPN1172.16.1.1/32VPN2172.16.1.1/32VRF172.16.1.1/32RD=1:1172.16.1.1/32RD=2:2VPNv4 routing-tableVRFVPNv4 routing-tableVPN1172.16.1.1/32VPN2172.16.1.1/32172.16.1.1/32RD=1:1172.16.1.1/32RD=2:2將VPN路由發(fā)布到全局路由表之前，使用一個全局唯一的標(biāo)識和路由綁定，以區(qū)分沖突的私網(wǎng)路由。這個標(biāo)識被稱為RD（Route Distinguisher

9、）。Hub-Spoke場景中VPN路由的引入問題CE1CE2PPE1CE3PE2分部1總部172.16.1.1/32172.16.2.1/32分部2運營商骨干網(wǎng)絡(luò)RD=2:2RD=1:1VRFVPNv4 routing-table總部VPN172.16.1.1/32172.16.1.1/32RD=1:1172.16.2.1/32RD=2:2RD能區(qū)分沖突路由，但是如何解決將不同分部的沖突路由都引入到總部的VRF中呢？RD=1:1RD不能解決VPN路由正確引入VPN的問題。我們需要一種類似于Tag的標(biāo)識。這個標(biāo)識由人工分配，發(fā)送端PE發(fā)送時打上標(biāo)識，接收端PE收到后，根據(jù)需要將帶有相應(yīng)標(biāo)識的路由

10、引入VPN。Hub-Spoke場景中路由引入問題的解決CE1CE2PPE1CE3PE2總部分部2：172.16.2.1/32運營商骨干網(wǎng)絡(luò)RD=2:2Export=2:2Import=3:3RD=1:1Export=1:1Import=3:3VRFVPNv4 routing-table總部VPN172.16.1.1/32172.16.2.1/32172.16.1.1/32RD=1:1; Export=1:1172.16.2.1/32RD=2:2; Export=2:2分部1：172.16.1.1/32RD=3:3Import=1:1, 2:2Export=3:3RT屬性用于將路由正確引入VPN

11、，有兩類VPN Target屬性，Import Target和Export Target，分別用于VPN路由的導(dǎo)出與導(dǎo)入。Hub-Spoke場景中路由引入問題的優(yōu)化使用RT實現(xiàn)本端與對端的路由正確引入VPN，原則如下：本端的Export Target=對端的Import Target，本端的Import Target=對端的Export Target。CE1CE2PPE1CE3PE2總部分部2：172.16.2.1/32運營商骨干網(wǎng)絡(luò)Export=12:3Import=3:12Export=12:3Import=3:12VRFVPNv4 routing-table總部VPN172.16.1.1

12、/32172.16.2.1/32172.16.1.1/32RD=1:1;Export=12:3172.16.2.1/32RD=2:2;Export=12:3分部1：172.16.1.1/32Import=12:3 Export=3:12VRFVPNv4 routing-table172.16.1.1/32;RD=1:1;Export=12:3172.16.2.1/32;RD=2:2;Export=12:3VPN1172.16.1.1/32VPN2172.16.2.1/32解決數(shù)據(jù)轉(zhuǎn)發(fā)過程中沖突路由的查找CE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2VPN2我要訪問 172.16

13、.1.1是查找VPN1 routing-table？還是查找VPN2 routing-table？ping 172.16.1.1172.16.1.1/32172.16.1.1/32因為數(shù)據(jù)包沒有攜帶任何標(biāo)識，所以在ICMP的數(shù)據(jù)包到達(dá)PE1時，PE1并不知道該查找哪個VPN的路由表找到正確的目標(biāo)地址。MPLS標(biāo)簽嵌套的應(yīng)用VPN1172.16.1.1/32VPN2172.16.1.1/32VRFVPN1172.16.1.1/32; Label:1026VPN2172.16.1.1/32; Label:1027Layer 3 headerInner MPLS LabelOuter MPLS La

14、belLink Lager headerLayer 3 payloadLabel StackCE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2VPN2ping 172.16.1.1172.16.1.1/32172.16.1.1/32VPNv4 routing-table來自VPN1的路由分配1026的Label使用標(biāo)簽嵌套解決數(shù)據(jù)轉(zhuǎn)發(fā)過程中沖突路由的查找問題。數(shù)據(jù)路由MPLS VPN工作原理VPN技術(shù)的產(chǎn)生及分類MPLS VPN解決的問題MPLS VPN工作原理MPLS VPN配置實例MPLS VPN的工作過程MPLS VPN的工作過程分為兩部分：MPLS VPN路由的傳遞過程；M

15、PLS VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。CE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2VPN2路由數(shù)據(jù)運營商骨干網(wǎng)絡(luò)CE與PE之間的路由交換CE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2AS 20010.1.23.0/2410.1.13.0/24AS 100AS 500AS 300AS 400VPN210.1.34.0/2410.1.56.0/2410.1.67.0/2410.1.58.0/24運營商骨干網(wǎng)絡(luò)G0/0/0G0/0/1G0/0/0G0/0/1OSPF Area 0PE與CE之間可以通過靜態(tài)路由協(xié)議交換路由信息，也可以通過動態(tài)路由協(xié)議（如：RIP，OSPF，I

16、SIS，BGP等）交換路由信息。VPN路由注入MP-BGP的過程CE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2VPN2172.16.1.1/32172.16.1.1/32VPN1172.16.1.1/32VPN2172.16.1.1/32172.16.1.1/32, RD=1:1;RT=1:1(Export); Label=1026;172.16.1.1/32, RD=2:2;RT=2:2(Export); Label=1027;IPV4VPNv4 routing-tableAS 5003.3.3.35.5.5.5OSPF Area 0VRF中的IPv4路由被添加上RD，RT與

17、標(biāo)簽等信息成為VPN-IPv4的路由放入到MP-BGP的路由表中，并通過MP-BGP協(xié)議在PE設(shè)備之間交換路由信息。公網(wǎng)標(biāo)簽的分配過程CE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2VPN2LDPOSPF Area 0AS 5003.3.3.35.5.5.5LDPFEC=PE1In/Out Label3/NULL4.4.4.4FEC=PE1In/Out Label1030/3FEC=PE1In/Out LabelNULL/1030MPLS協(xié)議在運營商網(wǎng)絡(luò)分配公網(wǎng)標(biāo)簽，建立標(biāo)簽隧道，實現(xiàn)私網(wǎng)數(shù)據(jù)在公網(wǎng)上的轉(zhuǎn)發(fā)。PE之間運行的MP-BGP協(xié)議為VPN路由分配私網(wǎng)標(biāo)簽，PE設(shè)備根據(jù)私網(wǎng)

18、標(biāo)簽將數(shù)據(jù)正確轉(zhuǎn)發(fā)給相應(yīng)的VPN。MP-BGP路由注入VPN的過程172.16.1.1/32,RD=1:1;RT=1:1(Export);Label=1026;172.16.1.1/32,RD=2:2;RT=2:2(Export);Label=1027;VPN1172.16.1.1/32VPN2172.16.1.1/32VRFVPNv4 routing-tableCE1CE2PPE1CE3PE2CE4VPN1VPN1VPN2VPN2OSPF Area 0AS 5003.3.3.35.5.5.5PE2在接收到PE1發(fā)送的VPNv4路由后將檢查路由的擴(kuò)展團(tuán)體屬性，將攜帶的Export Target

19、值與本端VPN的Import Target值比較，數(shù)值相同則將路由引入VPN的路由表，實現(xiàn)路由的正確導(dǎo)入。CE設(shè)備到PE設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)VPN2:172.16.1.1/32FEC=PE1Out Label:1030IF:G0/0/0VPN2:172.1.1.1/32Label=1027NH=PE1VRF2 routing-tableCE1CE2PPE1CE3PE2CE4VPN1VPN2AS 500VPN1:172.16.1.1/32LFIB1030172.16.1.11027OSPF Area 0數(shù)據(jù)從CE4轉(zhuǎn)發(fā)給PE2，在PE2設(shè)備上需要查找VPN2的路由表，確定數(shù)據(jù)進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)后，再查找下一

20、跳與出接口，根據(jù)分配的標(biāo)簽進(jìn)行MPLS的封裝。公網(wǎng)設(shè)備上的數(shù)據(jù)轉(zhuǎn)發(fā)VPN2:172.16.1.1/32CE1CE2PPE1CE3PE2CE4VPN1VPN2AS 500VPN1:172.16.1.1/32FEC=PE1In/Out Label3/NULLFEC=PE1In/Out Label1030/3FEC=PE1In/Out LabelNULL/1030172.16.1.110271030172.16.1.11027數(shù)據(jù)包在公網(wǎng)上轉(zhuǎn)發(fā)時，通過MPLS協(xié)議已建立好的標(biāo)簽隧道將數(shù)據(jù)報文轉(zhuǎn)發(fā)到PE1。轉(zhuǎn)發(fā)過程中，只改變公網(wǎng)標(biāo)簽。PE設(shè)備到CE設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)VPN1172.16.1.1/32VPN

21、2172.16.1.1/32Label=1026;Next-hop=CE1;Label=1027;Next-hop=CE2;VPN2:172.16.1.1/32CE1CE2PPE1CE3PE2CE4VPN1VPN2AS 500VPN1:172.16.1.1/32172.16.1.11027PE1收到剝離公網(wǎng)標(biāo)簽的數(shù)據(jù)包后，根據(jù)私網(wǎng)標(biāo)簽查找轉(zhuǎn)發(fā)數(shù)據(jù)包的下一跳，將數(shù)據(jù)包正確發(fā)送給相應(yīng)VPN客戶。MPLS VPN工作原理MPLS VPN配置實例MPLS VPN配置實例VPN1（分部1）172.16.1.1/32172.16.2.1/32VPN2（分部2）AS200CE1CE2PPE1PE2CE3（總

22、部）VPN310.1.23.0/2410.1.13.0/24AS100AS 500AS30010.1.34.0/2410.1.45.0/2410.1.56.0/24運營商骨干網(wǎng)絡(luò)G0/0/0G0/0/1G0/0/1OSPF Area 0G0/0/0G0/0/1G0/0/0172.16.3.1/32G1/0/0G0/0/0G0/0/0G0/0/0分部1與分部2只能與總部通信，分部之間不能通信。根據(jù)圖上信息進(jìn)行正確配置，使總部的用戶能正確訪問各分部的用戶。MPLS VPN配置實例 - 用戶側(cè)設(shè)備配置VPN1（分部1）172.16.1.1/32172.16.2.1/32VPN2（分部2）AS200C

23、E1CE2PPE1PE2CE3（總部）VPN310.1.23.0/2410.1.13.0/24AS100AS 500AS30010.1.34.0/2410.1.45.0/2410.1.56.0/24運營商骨干網(wǎng)絡(luò)G0/0/0G0/0/1G0/0/1OSPF Area 0G0/0/0G0/0/1G0/0/0172.16.3.1/32G1/0/0G0/0/0G0/0/0G0/0/0bgp 200 peer 10.1.23.3 as-number 500 ipv4-family unicast network 172.16.2.1 255.255.255.255 peer 10.1.23.3 ena

24、blebgp 300 peer 10.1.56.5 as-number 500 ipv4-family unicast network 172.16.3.1 255.255.255.255 peer 10.1.56.5 enablebgp 100 peer 10.1.13.3 as-number 500 ipv4-family unicast network 172.16.1.1 255.255.255.255 peer 10.1.13.3 enableMPLS VPN配置實例 - 骨干網(wǎng)IGP配置VPN1（分部1）172.16.1.1/32172.16.2.1/32VPN2（分部2）AS20

25、0CE1CE2PPE1PE2CE3（總部）VPN310.1.23.0/2410.1.13.0/24AS100AS 500AS30010.1.34.0/2410.1.45.0/2410.1.56.0/24G0/0/0G0/0/1G0/0/1OSPF Area 0G0/0/0G0/0/1G0/0/0172.16.3.1/32G1/0/0G0/0/0G0/0/0G0/0/0router id 3.3.3.3 ospf 1 area 0.0.0.0 network 3.3.3.3 0.0.0.0 network 10.1.34.0 0.0.0.255router id 4.4.4.4ospf 1 ar

26、ea 0.0.0.0 network 4.4.4.4 0.0.0.0 network 10.1.34.0 0.0.0.255 network 10.1.45.0 0.0.0.255 router id 5.5.5.5 ospf 1 area 0.0.0.0 network 5.5.5.5 0.0.0.0 network 10.1.45.5 0.0.0.255MPLS VPN配置實例 - VPN實例配置AS200CE1CE2CE3（總部）VPN310.1.23.0/2410.1.13.0/24AS100AS 500AS30010.1.34.0/2410.1.45.0/2410.1.56.0/24

27、G0/0/0G0/0/1G0/0/1OSPF Area 0G0/0/0G0/0/1G0/0/0172.16.3.1/32G1/0/0G0/0/0G0/0/0G0/0/0ip vpn-instance VPN1 ipv4-family route-distinguisher 1:1 vpn-target 12:3 munity vpn-target 3:12 munity#ip vpn-instance VPN2 ipv4-family route-distinguisher 2:2 vpn-target 12:3 munity vpn-target 3:12 munityinterface G

28、igabitEthernet0/0/0 ip binding vpn-instance VPN1#interface GigabitEthernet0/0/1 ip binding vpn-instance VPN2ip vpn-instance VPN3 ipv4-family route-distinguisher 3:3 vpn-target 3:12 munity vpn-target 12:3 munityinterface GigabitEthernet0/0/1 ip binding vpn-instance VPN3MPLS VPN配置實例 - MP-BGP配置（總部）VPN1

29、（分部1）172.16.1.1/32172.16.2.1/32VPN2（分部2）AS200CE1CE2PPE1PE2CE3VPN310.1.23.0/2410.1.13.0/24AS100AS 500AS30010.1.34.0/2410.1.45.0/2410.1.56.0/24G0/0/0G0/0/1G0/0/1OSPF Area 0G0/0/0G0/0/1G0/0/0172.16.3.1/32G1/0/0G0/0/0G0/0/0G0/0/0bgp 500 peer 5.5.5.5 as-number 500 peer 5.5.5.5 connect-interface LoopBack0# ipv4-fami