1、MPLS提出的意義
傳統(tǒng)的IP數(shù)據(jù)轉(zhuǎn)發(fā)是基于逐跳式的,每個(gè)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器都要根據(jù)IP包頭的目的地址查找路由表來(lái)獲得下一跳的出口,這是個(gè)繁瑣又效率低下的工作,主要的原因是兩個(gè):1、有些路由的查詢必須對(duì)路由表進(jìn)行多次查找,這就是所謂的遞歸搜索;2、由于路由匹配遵循最長(zhǎng)匹配原則,所以迫使幾乎所有的路由器的交換引擎必須用軟件來(lái)實(shí)現(xiàn),用軟件實(shí)現(xiàn)的交換引擎和ATM交換機(jī)上用硬件來(lái)實(shí)現(xiàn)的交換引擎在效率上無(wú)法相抗衡。
當(dāng)今的互聯(lián)網(wǎng)應(yīng)用需求日益增多,對(duì)帶寬、對(duì)時(shí)延的要求也越來(lái)越高。如何提高轉(zhuǎn)發(fā)效率,各個(gè)路由器生產(chǎn)廠家做了大量的改進(jìn)工作,如Cisco在路由器上提供CEF(Cisco Express Forwarding)功能、修改路由表搜索算法等等。但這些修補(bǔ)并不能完全解決目前互聯(lián)網(wǎng)所面臨的問(wèn)題。
IP和ATM曾經(jīng)是兩個(gè)互相對(duì)立的技術(shù),各個(gè)IP設(shè)備制造商和ATM設(shè)備制造商都曾努力想吃掉對(duì)方,想IP一統(tǒng)天下,或者ATM一家獨(dú)秀!但是最終是這兩種技術(shù)的融合,那就是MPLS(Multi-Protocol Label Switching)技術(shù)的誕生!MPLS技術(shù)結(jié)合和IP技術(shù)信令簡(jiǎn)單和ATM交換引擎高效的優(yōu)點(diǎn)!
2、MPLS技術(shù)的實(shí)現(xiàn)細(xì)節(jié)
2.1 標(biāo)簽結(jié)構(gòu)
IP設(shè)備和ATM設(shè)備廠商實(shí)現(xiàn)MPLS技術(shù)是在各自原來(lái)的基礎(chǔ)上做的,對(duì)于IP設(shè)備商,它修改了原來(lái)IP包直接封裝在二層鏈路幀中的規(guī)范,而是在二層和三層包頭之間插了一個(gè)標(biāo)簽(Label),而ATM設(shè)備制造商利用了原來(lái)ATM交換機(jī)上的VPI/VCI的概念,在使用Label來(lái)代替了VPI/CVI,當(dāng)然ATM交換機(jī)上還必修改信令控制部分,引入了路由協(xié)議,ATM交換使用了路由協(xié)議來(lái)和其他設(shè)備交換三層的路由信息。
圖 1 路由協(xié)議標(biāo)簽結(jié)構(gòu)
20比特的LABEL字段用來(lái)表示標(biāo)簽值,由于標(biāo)簽是定長(zhǎng)的,所以對(duì)于路由器來(lái)說(shuō),可以分析定長(zhǎng)的標(biāo)簽來(lái)做數(shù)據(jù)包的轉(zhuǎn)發(fā),這是標(biāo)簽交換的最大優(yōu)點(diǎn),定長(zhǎng)的標(biāo)簽就意味這可以用硬件來(lái)實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),這種硬件轉(zhuǎn)發(fā)方式要比必須用軟件實(shí)現(xiàn)的路由最長(zhǎng)匹配轉(zhuǎn)發(fā)方式效率要高得多!
3比特的EXP用來(lái)實(shí)現(xiàn)QOS
1比特S值用來(lái)表示標(biāo)簽棧是否到底了,對(duì)于VPN,TE等應(yīng)用將在二層和三層頭之間插入兩個(gè)以上的標(biāo)簽,形成標(biāo)簽棧。
8比特TTL值用來(lái)防止數(shù)據(jù)在網(wǎng)上形成環(huán)路。
圖 2 帶有標(biāo)簽的二層幀形式
圖 3 ATM信元模式下的信元結(jié)構(gòu)形式
2.2 LSR設(shè)備的體系結(jié)構(gòu)
通過(guò)修改,能支持標(biāo)簽交換的路由器為L(zhǎng)SR(Label Switch Router),而支持MPLS功能的ATM交換機(jī)我們一般稱之為ATM-LSR。
圖 4 LSR設(shè)備的體系結(jié)構(gòu)
LSR的體系結(jié)構(gòu)分為兩塊:
。1) 控制平面(Control Plane)
該模塊的功能是用來(lái)和其他LSR交換三層路由信息,以此建立路由表;和交換標(biāo)簽對(duì)路由的綁定信息,以此建Label Information Table(LIB)標(biāo)簽信息表。同時(shí)再根據(jù)路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表?刂破矫嬉簿褪俏覀円话闼f(shuō)的路由引擎模塊!
。2) 數(shù)據(jù)平面(Data Plane)
數(shù)據(jù)平面的功能主要是根據(jù)控制平面生成的FIB表和LFIB表轉(zhuǎn)發(fā)IP包和標(biāo)簽包。
對(duì)于控制平面中所使用的路由協(xié)議,可以使用以前的任何一種,如OSPF、RIP、BGP等等,這些協(xié)議的主要功能是和其他設(shè)備交換路由信息,生成路由表。這是實(shí)現(xiàn)標(biāo)簽交換的基礎(chǔ)。在控制平面中導(dǎo)入了一種新的協(xié)議—LDP,該協(xié)議的功能是用來(lái)針對(duì)本地路由表中的每個(gè)路由條目生成一個(gè)本地的標(biāo)簽,由此生成LIB表,再把路由條目和本地標(biāo)簽的綁定通告給鄰居LSR,同時(shí)把鄰居LSR告知的路由條目和標(biāo)簽幫定接收下來(lái)放到LIB表里,最后在網(wǎng)絡(luò)路由收斂的情況下,參照路由表和LIB表的信息生成FIB表和LFIB表。具體的標(biāo)簽分發(fā)模式如下敘述。
2.3 標(biāo)簽的分配和分發(fā)
上面敘述到了,MPLS技術(shù)是IP技術(shù)和ATM技術(shù)的融合。LSR和ATM-LSR上實(shí)現(xiàn)標(biāo)簽的生成和分發(fā)是有點(diǎn)不同的。
2.3.1 包模式(Packet Mode)下的標(biāo)簽的分配和分發(fā)
對(duì)于實(shí)現(xiàn)包模式MPLS網(wǎng)絡(luò)中,是下游LSR獨(dú)立生成路由條目和標(biāo)簽的綁定,并且是主動(dòng)分發(fā)出去的。
圖 5 LSR上的動(dòng)態(tài)平衡
如上圖,所有LSR上啟動(dòng)了LDP協(xié)議。以LSR-B為例,它已經(jīng)通過(guò)路由協(xié)議獲得網(wǎng)絡(luò)X的路由了,一旦啟動(dòng)LDP協(xié)議,LSR-B立即查找路由表,如果X網(wǎng)絡(luò)的路由是由IGP路由協(xié)議學(xué)到的,則在LIB表中為通向X網(wǎng)絡(luò)的路由生成一個(gè)本地標(biāo)簽25,由于LSR-B和LSR-A、LSR-C、LSR-E形成了LDP鄰居關(guān)系,所以下游LSR-B會(huì)主動(dòng)給所有的鄰居發(fā)送這個(gè)X=25的路由條目和標(biāo)簽的綁定!LSR-A、LSR-E、LSR-C會(huì)把該路由條目和標(biāo)簽的綁定放置到本地的LIB表中,再結(jié)合本地的路由表,在FIB表中生成有關(guān)X網(wǎng)絡(luò)的“網(wǎng)絡(luò)地址->出標(biāo)簽”條目,在LFIB中生成有關(guān)X網(wǎng)絡(luò)的“進(jìn)標(biāo)簽->出標(biāo)簽”條目。所有的LSR上都如此操作。最終的結(jié)果使整個(gè)MPLS網(wǎng)絡(luò)內(nèi)部所有LSR上達(dá)到路由表、LIB表、FIB表、LFIB表的動(dòng)態(tài)平衡。
如果LSR-A接收到要去X網(wǎng)段的數(shù)據(jù),由于LSR-A處在MPLS網(wǎng)絡(luò)的邊緣,必須查找FIB表,對(duì)接收到的IP包,做標(biāo)簽插入操作。對(duì)于LSR-B,LSR-C則純粹是分析標(biāo)簽包,對(duì)包頭的標(biāo)簽做轉(zhuǎn)換,在轉(zhuǎn)發(fā)標(biāo)簽包而已。數(shù)據(jù)到了LSR-D,該邊緣LSR會(huì)去掉標(biāo)簽包中的標(biāo)簽,再對(duì)恢復(fù)的IP包做轉(zhuǎn)發(fā)。
圖 6 LSR數(shù)據(jù)流向
2.3.2 信元模式(Cell Mode)下的標(biāo)簽分配和分發(fā)
在信元模式下,下游ATM-LSR接收到了上游ATM-LSR標(biāo)簽綁定請(qǐng)求后,下游受控分配標(biāo)簽,被動(dòng)向上游分發(fā)標(biāo)簽。
圖 7 信元模式下的標(biāo)簽分配和分發(fā)
最上游的LSR-A向ATM-LSR-B發(fā)起對(duì)網(wǎng)絡(luò)X的標(biāo)簽求情,ATM-LSR-B再向ATM-LSR-C發(fā)請(qǐng)求,最后請(qǐng)求到達(dá)LSR-D,LSR-D生成本地對(duì)X網(wǎng)絡(luò)的標(biāo)簽1/37,把該標(biāo)簽告訴ATM-LSR-C,C做同樣操作,這樣一步一步到達(dá)LSR-A。最終生成一條從A->B->C->D的LSP(Label Switch Path)。這樣如果A收到要到X網(wǎng)絡(luò)的數(shù)據(jù),A就把IP數(shù)據(jù)包分割成帶有標(biāo)簽的信元,通過(guò)ATM接口發(fā)送到B,接下來(lái)B和C就純粹做ATM信元的轉(zhuǎn)發(fā),到了D后再把信元組合成IP數(shù)據(jù)包,發(fā)向網(wǎng)絡(luò)X。
在此要強(qiáng)調(diào)的如果要組建以ATM交換機(jī)為核心的MPLS網(wǎng)絡(luò),那么在ATM網(wǎng)絡(luò)的邊緣必須設(shè)置路由器,原因在于ATM交換機(jī)只轉(zhuǎn)發(fā)信元,無(wú)法處理用戶數(shù)據(jù)IP包。當(dāng)然上面也提到要在ATM交換機(jī)上實(shí)現(xiàn)MPLS功能,必須在ATM交換機(jī)的信令控制部分加入路由協(xié)議,而路由信息包往往是打在IP包中的,如RIP,OSPF,BGP等路由協(xié)議。ATM交換機(jī)為了確保這些以IP包形式傳遞的路由信息能夠在ATM交換機(jī)間傳遞,使用了專門(mén)的帶外連接通道或者帶內(nèi)的管理VC。
2.4 BGP協(xié)議在MPLS網(wǎng)絡(luò)中的特殊應(yīng)用
上面提到LSR根據(jù)路由表分配標(biāo)簽時(shí),只對(duì)從IGP協(xié)議獲得的路由條目分配標(biāo)簽。原因何在?
圖 8 Transit AS中的MPLS交換
整個(gè)Transit AS中啟動(dòng)MPLS交換。保證ISP2和LSR-Border2之間的網(wǎng)段發(fā)布到Transit AS內(nèi)部的IGP路由協(xié)議中,對(duì)ISP1和LSR-Border2之間的網(wǎng)段也做同樣的要求。前面提到過(guò)LSR為路由條目分配標(biāo)簽時(shí),只對(duì)從IGP學(xué)來(lái)的路由分配標(biāo)簽,而網(wǎng)絡(luò)1.2.3.4是被發(fā)布到Transit AS內(nèi)部的IGP路由協(xié)議中了,可以肯定在Border1處是可以獲得Core1告訴它有關(guān)1.2.3.4網(wǎng)絡(luò)的標(biāo)簽23。LSR-Border1,LSR-Border2之間形成IBGP鄰居關(guān)系,通過(guò)BGP協(xié)議,LSR-Border2把從ISP2處學(xué)來(lái)的10.0.0.0/8這條路由告訴給LSR-Border1,這條路由的下一跳地址是1.2.3.4,這樣一來(lái)讓LSR-Border1得知要給網(wǎng)絡(luò)10.0.0.0/8發(fā)送數(shù)據(jù),先把數(shù)據(jù)發(fā)送到1.2.3.4這個(gè)網(wǎng)絡(luò)來(lái)。1.2.3.4被綁定了標(biāo)簽23,所以在生成FIB表時(shí),也給10.0.0.0/8這個(gè)網(wǎng)段綁定一個(gè)標(biāo)簽23。這樣,如果有數(shù)據(jù)從ISP1穿越Transit AS到達(dá)ISP2,在Border1處就會(huì)給IP包插上23這個(gè)標(biāo)簽,把生成的標(biāo)簽包轉(zhuǎn)發(fā)到Core1,Core1就只要分析標(biāo)簽頭做標(biāo)簽包的轉(zhuǎn)發(fā)就可以了!由于Transit AS內(nèi)部核心路由器不必要運(yùn)行BGP協(xié)議,這樣一來(lái),MPLS網(wǎng)絡(luò)的核心路由器就不會(huì)知道外部用戶的路由,縮小了核心路由器的路由表,提高了搜索效率。大家也看到,由于打上了標(biāo)簽,IP包頭是不會(huì)在核心路由器被分析的,即使IP包頭含有10.0.0.1這樣的私有IP地址,也會(huì)因?yàn)橹环治鰳?biāo)簽的原因被正常轉(zhuǎn)發(fā),這就是服務(wù)提供商提供VPN服務(wù)所追求的。當(dāng)然在此必須重聲,LSP在整個(gè)Transit AS不能被斷開(kāi),如果斷開(kāi),標(biāo)簽包就恢復(fù)成IP包,而核心路由器是不含用戶路由的,最終導(dǎo)致數(shù)據(jù)包的丟失。
BGP在MPLS網(wǎng)絡(luò)中的作用為我們提供了VPN服務(wù)打開(kāi)了方便之門(mén),但也應(yīng)該意識(shí)到VPN服務(wù)兩個(gè)最基本的要求是1.用戶可以獨(dú)立規(guī)劃IP地址;2.安全性非常重要。
圖 9 VPN數(shù)據(jù)傳輸
以上為兩個(gè)VPN實(shí)例,PE1(PE=Provider Edge device)上分別接了CE1 (CE=Customer Edge device)和CE3,但是CE1和CE3上帶到IP地址相同的網(wǎng)段10.1.2.0/8,很明顯如果不對(duì)PE1路由器做修改,PE1只能認(rèn)為往10.1.2.0/8的數(shù)據(jù)要么從S0出,要么從S1出,這樣的話,不是CE1就是CE3就更本收不到從PE1發(fā)來(lái)的前往10.1.2.0/8網(wǎng)段的數(shù)據(jù)!
如果不對(duì)BGP4協(xié)議做修改,那么PE2和PE3發(fā)送給的PE1的有關(guān)10.1.1.0/8網(wǎng)絡(luò)的路由更新就有可比性,PE1最終會(huì)選擇一條路由,認(rèn)為或是PE2或者PE3是發(fā)送數(shù)據(jù)到10.1.1.0/8的必經(jīng)路由器。這樣如果CE1帶的10.1.2.0/8網(wǎng)段上的主機(jī)給10.1.1.0/8網(wǎng)段上的主機(jī)發(fā)送數(shù)據(jù)時(shí),可能會(huì)發(fā)到CE4所帶的10.1.1.0/8的網(wǎng)段上,這樣造成了數(shù)據(jù)泄露。
所以,為了使LSR能提供基于MPLS的VPN服務(wù),還必須對(duì)此類(lèi)設(shè)備做修改。
3、基于MPLS的VPN實(shí)現(xiàn)
3.1 VPN的歷史
圖10 VPN體系
VPN服務(wù)是很早就提出的概念,不過(guò)以前電信提供商提供VPN是在傳輸網(wǎng)上提供的覆蓋型的VPN服務(wù)。電信運(yùn)營(yíng)商給用戶出租線路,用戶上層使用何種的路由協(xié)議、路由怎么走等等,這些電信運(yùn)營(yíng)商不管。這種租用線路來(lái)搭建VPN的好處是安全,但是價(jià)格昂貴,線路資源浪費(fèi)嚴(yán)重。
后來(lái)隨著IP網(wǎng)絡(luò)的全面鋪開(kāi),電信服務(wù)提供商在競(jìng)爭(zhēng)的壓力下,不得不提供更加廉價(jià)的VPN服務(wù),也就是三層VPN服務(wù)。通過(guò)提供給用戶一個(gè)IP平臺(tái),用戶通過(guò)IP Over IP的封裝格式在公網(wǎng)上打隧道,同時(shí)也提供了加密等等的手段提供安全保障。這類(lèi)VPN用戶在目前的網(wǎng)絡(luò)上數(shù)量還是相當(dāng)巨大的!但是這類(lèi)VPN服務(wù)因大量的加密工作、傳統(tǒng)路由器根據(jù)IP包頭的目的地址轉(zhuǎn)發(fā)效率不高等等的原因不是非常令人滿意。
MPLS技術(shù)的出現(xiàn)和BGP協(xié)議的改進(jìn),讓大家看到了另一種實(shí)現(xiàn)VPN的曙光。
3.2 MPLS/VPN體系結(jié)構(gòu)
3.2.1 PE路由器的改造和VRF的導(dǎo)入
為了讓PE路由器上能區(qū)分是哪個(gè)本地接口上送來(lái)的VPN用戶路由,在PE路由器上創(chuàng)建了大量的虛擬路由器,每個(gè)虛擬路由器都有各自的路由表和轉(zhuǎn)發(fā)表,這些路由表和轉(zhuǎn)發(fā)表統(tǒng)稱為VRF(VPN Routing and Forwarding instances)。一個(gè)VRF定義了連到PE路由器上的VPN成員。VRF中包含了IP路由表,IP轉(zhuǎn)發(fā)表(也成為CEF表),使用該CEF表的接口集和路由協(xié)議參數(shù)和路由導(dǎo)入導(dǎo)出規(guī)則等等。
在VRF中定義的和VPN業(yè)務(wù)有關(guān)的兩個(gè)重要參數(shù)是RD(Route Distinguisher)和RT(Route Target)。RD和RT長(zhǎng)度都是64比特。
有了虛擬路由器就能隔離不同VPN用戶之間的路由,也能解決不同VPN之間IP地址空間重疊的問(wèn)題。
3.2.2 MP-BGP協(xié)議對(duì)VPN用戶路由的發(fā)布
圖 11 MP-BGP協(xié)議對(duì)VPN用戶路由的發(fā)布
正常的BGP4協(xié)議能只傳遞IPv4的路由,由于不同VPN用戶具有地址空間重疊的問(wèn)題,必須修改BGP協(xié)議。BGP最大的優(yōu)點(diǎn)是擴(kuò)展性好,可以在原來(lái)的基礎(chǔ)上再定義新的屬性,通過(guò)對(duì)BGP修改,把BGP4擴(kuò)展成MP-BGP。在MP-IBGP鄰居間傳遞VPN用戶路由時(shí)打上RD標(biāo)記,這樣VPN用戶傳來(lái)的IPv4路由轉(zhuǎn)變?yōu)閂PNv4路由,這樣保證VPN用戶的路由到了對(duì)端的PE上,能夠使對(duì)端PE區(qū)分開(kāi)地址空間重疊但不同的VPN用戶路由。例子如下:
在PE1、PE2、PE3上分別配置VRF參數(shù),其中VPN1用戶的RD=6500:1,RT=100:1,VPN2用戶的RD=6500:2、RT=100:2。所有VRF可以同時(shí) 導(dǎo)入和導(dǎo)出所定義的RT。
以PE2為例,PE2從接口S0上獲得由CE4傳來(lái)的有關(guān)10.1.1.0/8的路由,PE2把該路由放置到和S0有關(guān)的VRF所管轄的IP路由表中,并且分配該路由的本地標(biāo)簽,注意該標(biāo)簽是本地唯一的。通過(guò)路由重新發(fā)布把VRF所管轄的IP路由表中的路由重新發(fā)布到BGP表中,此時(shí)通過(guò)參考VRF表的RD、RT參數(shù),把正常的IPv4路由變成VPNv4路由,如10.1.1.0/8變成6500:1:10.1.1.0/8,同時(shí)把導(dǎo)出(Export)RT值和該路由的本地標(biāo)簽值等等的屬性全部加到該路由條目中去。通過(guò)MP-IBGP會(huì)話,PE2把這條VPNv4路由發(fā)送的PE1處,PE1收到了兩條有關(guān)10.1.1.0/8的路由,其中一條是由PE3發(fā)來(lái)的,由于RD的不同,導(dǎo)致該兩條路由沒(méi)有可比性。MP-BGP接受到該兩條路由后的后繼工作是:去掉VPN4路由所帶的RD值,使之恢復(fù)IPv4路由原貌,并且根據(jù)各VRF配置的允許導(dǎo)入(Import)的RT值,把IPv4倒到各個(gè)VRF管轄的路由表和CEF表中,也就是說(shuō)帶有RT=100:1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中,帶有RT=100:2的10.1.1.0/8的路由倒到VRF2所管轄的路由表和CEF表中。再通過(guò)CE和PE之間的路由協(xié)議,PE把不同的VRF管轄的路由表內(nèi)容通告的各自的相聯(lián)的CE中去。
目前PE和CE之間可支持的路由協(xié)議只有四種BGP、OSPF、RIP2或者靜態(tài)路由。
3.2.3 MPLS/VPN中標(biāo)簽分組的轉(zhuǎn)發(fā)
通過(guò)MP-BGP協(xié)議各個(gè)VPN用戶路由器學(xué)習(xí)到正確的路由,現(xiàn)在看看如何轉(zhuǎn)發(fā)用戶數(shù)據(jù)的。
圖 12 MP-BGP協(xié)議下VPN用戶路由器數(shù)據(jù)轉(zhuǎn)發(fā)
。1)CE1接收到發(fā)往10.1.1.1的IP數(shù)據(jù)包,查詢路由表,把該IP數(shù)據(jù)包發(fā)送到PE1。
。2)PE1從S1口上收到IP數(shù)據(jù)包后,根據(jù)S1所在的VRF,查詢對(duì)應(yīng)的CEF表,數(shù)據(jù)包打上標(biāo)簽8,注意該標(biāo)簽就是通過(guò)MP-BGP協(xié)議傳來(lái)的。PE1繼續(xù)查詢?nèi)諧EF表,獲知要把數(shù)據(jù)發(fā)往10.1.1.1,必須先發(fā)送到PE2,而要發(fā)送到PE2,則必須打上由P1告知的標(biāo)簽2。所以該IP包被打上了兩個(gè)標(biāo)簽。
。3)P1接收到標(biāo)簽包后,分析頂層的標(biāo)簽,把頂層標(biāo)簽換成4,繼續(xù)發(fā)送的P2。
。4)P2和P1一樣做同樣的操作,由于次末中繼彈出機(jī)制,P2去掉標(biāo)簽4,直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送的PE2。
。5)PE2收到標(biāo)簽包后,分析標(biāo)簽頭,由于該標(biāo)簽8是它本地產(chǎn)生的,而且是本地唯一的,所以PE2很容易查出帶有標(biāo)簽8的標(biāo)簽包應(yīng)該去掉標(biāo)簽,恢復(fù)IP包原貌,從S1端口發(fā)出。
。6)CE2獲得IP數(shù)據(jù)包后,進(jìn)行路由查找,把數(shù)據(jù)發(fā)送到10.1.1.0/8網(wǎng)段上。
4、MPLS/VPN配置實(shí)例
要提供VPN服務(wù)的前提是:服務(wù)提供商的網(wǎng)絡(luò)必須啟用標(biāo)簽交換功能,即把以前的數(shù)據(jù)網(wǎng)絡(luò)升級(jí)為MPLS網(wǎng)絡(luò)。然后具體配置PE,PE上的配置按六步走:
。1)定義并且配置VRF
(2)定義并且配置RD
。3)定義RT,并且配置導(dǎo)入導(dǎo)出策略
(4)配置MP-BGP協(xié)議
(5)配置PE到CE的路由協(xié)議
。6)配置連接CE的接口,將該接口和前面定義的VRF聯(lián)系起來(lái)。
圖 13 VPN協(xié)議配置
上圖中CE1、CE2、CE3組成一個(gè)VPN,其中PE3和CE3之間走RIP2協(xié)議,PE2和CE2之間走BGP協(xié)議。整個(gè)As 6500中走OSPF協(xié)議。
PE3的部分配置如下:
ip cef ──啟用CEF轉(zhuǎn)發(fā)功能
ip vrf Red ──定義一個(gè) VRF ,名字為Red
description For Red User Vpn
rd 6500:1 ──定義RD值為6500:1
route-target export 6500:1 ──定義導(dǎo)出策略
route-target import 6500:1 ──定義導(dǎo)入策略
router rip ──配置PE3到CE3的路由協(xié)議RIP2
version 2 !
address-family ipv4 vrf Red version 2 redistribute bgp 6500 metric 1──-將BGP學(xué)到的路由從新發(fā)布的RIP2中,network 192.168.1.0 使CE3能學(xué)到同一VPN中的其他路由
no auto-summary
exit-address-family
router bgp 6500 ──-配置BGP協(xié)議
no synchronization
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 192.168.168.2 remote-as 6500 ──-和PE2建立鄰居關(guān)系
neighbor 192.168.168.2 update-source Loopback0
no auto-summary !
address-family ipv4 vrf Red ────為VPN用戶配置IPv4地址家族,使
redistribute rip metric 1 VRF Red 所管轄的路由表中的路由從新發(fā)布到BGP協(xié)議中去。
no auto-summary
no synchronization
exit-address-family !
address-family vpnv4 ────具體配置和PE2的關(guān)系,使PE3和PE2之間能交換VPNv4路由
neighbor 192.168.168.2 activate
neighbor 192.168.168.2 send-community both
no auto-summary
exit-address-family
interface Ethernet0/1 ────-配置連接CE3的接口
ip vrf forwarding Red ────-使該接口和前面定義的VRF Red聯(lián)系起來(lái)
ip address 192.168.1.17 255.255.255.252
interface Ethernet0/0 ──-配置聯(lián)系到7206上接口
ip address 192.168.1.10 255.255.255.252
half-duplex
tag-switching ip ──-在該接口上啟用標(biāo)簽交換 !
PE2上的部分配置如下:
ip cef ──啟用CEF轉(zhuǎn)發(fā)功能
ip vrf Red ──定義一個(gè) VRF ,名字為Red description For Red User Vpn
rd 6500:1 ──定義RD值為6500:1
route-target export 6500:1 ──定義導(dǎo)出策略
route-target import 6500:1 ─-定義導(dǎo)入策略!
同時(shí)上傳附件router bgp 6500 ─-配制BGP協(xié)議
no synchronization
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 192.168.168.4 remote-as 6500
neighbor 192.168.168.4 update-source Loopback0
neighbor 192.168.168.4 next-hop-self
──這點(diǎn)在PE-CE之間路由協(xié)議為BGP時(shí),一定要配置。
no auto-summary !
address-family ipv4 vrf Red
neighbor 10.10.40.1 remote-as 6504 ──配置和CE2之間的路由協(xié)議BGP
neighbor 10.10.40.1 activate
no auto-summary
no synchronization
exit-address-family !
address-family vpnv4
neighbor 192.168.168.4 activate ──激活和PE3的MP-IBGP鄰居關(guān)系
neighbor 192.168.168.4 send-community both
no auto-summary
exit-address-family !
interface Serial1/0 ──-配置連接到CE2的接口
ip vrf forwarding Red ──把該接口和VRF Red聯(lián)系起來(lái)
ip address 10.10.40.2 255.255.255.252
interface Ethernet0/1 ──配置連接到7206的接口
ip address 192.168.1.13 255.255.255.252
half-duplex
tag-switching ip ──在此接口上啟用標(biāo)簽交換
interface Serial1/1 ──-配置連接到PE1的接口
bandwidth 1544
ip address 10.10.30.2 255.255.255.252
encapsulation ppp
tag-switching ip ──在此接口上啟用MPLS交換
5、總結(jié)
上面的配置展現(xiàn)了在單個(gè)AS內(nèi)部實(shí)現(xiàn)VPN的配置,當(dāng)然VPN用戶的各個(gè)接入點(diǎn)往往是地域跨度很大的,所以經(jīng)常要涉及到跨AS提供VPN業(yè)務(wù)的需求。這樣的配置會(huì)更加復(fù)雜,而且需要各個(gè)電信運(yùn)營(yíng)商配合行動(dòng)才行,這里就不在具體展開(kāi)敘述了。
MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢(shì)的新技術(shù)。在MPLS網(wǎng)絡(luò)上不僅僅能提供VPN業(yè)務(wù),也能夠開(kāi)展QOS、TE、組播等等的業(yè)務(wù)。
目前中國(guó)聯(lián)通已經(jīng)在大規(guī)模地在提供基于MPLS技術(shù)的VPN業(yè)務(wù),其他運(yùn)營(yíng)商,如中國(guó)電信等也在迎頭趕上。很快地,就象WWW技術(shù)一樣,MPLS技術(shù)將會(huì)影響我們生活的方方面面!
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:MPLS VPN技術(shù)原理
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121515527.html