网络mpls三层vpn技术白皮书

网络mpls三层vpn技术白皮书内容摘要：

标签分发过程： DoD（ downstreamondemand）模式 上游 LSR向下游 LSR 发送标签请求消息（ Label Request Message），其中包含 FEC 的描述信息。 下游 LSR为此 FEC分配标签，并将绑定的标签通过标签映射消息（ Label Mapping Message）反馈给上游 LSR。 下游 LSR 何时反馈标签映射消息，取决于该 LSR 采用的标签分配控制方式。 ? 采用 Ordered 方式时，只有收到它的下游返回的标签映射消息后，才向其上游发送标签映射消息； ? 采用 Independent 方式时，不管有没有收到它的下游返回的标签映射消息，都立即向其上游发送标签映射消息。 上游 LSR 一般是根据其路由表中的信息来选择下游 LSR。 在下图中， LSP 沿途的 LSR都采用 Ordered 方式。 DU（ downstream unsolicited）模式 下游 LSR 在 LDP 会话建立成功后，主动向其上游 LSR 发布标签映射消息。 上游 LSR保存标签映射信息，并根据路由表信息来处理收到的标签映射信息。 标签上下游简图 2. MPLS VPN 在目前 MPLS网络中最为流行和最为广泛的是 MPLS VPN(MPLS虚拟私有网络 )技术，对于 MPLS VPN技术的应用从它诞生到现在一直以来都是成指数级的增长。 因为 MPLS VPN可以提供高扩展性，并且可以将整个网络可以分割成相互独立的小网络，而该技术正是大型企业网络所需要的，因为大型企业网络的通用架构必须要能为单独的部门或不同的分部进行隔离的网络，因此现在 MPLS VPN技术已经被大型企业看重。 VPN简介 VPN（ Virtual Private Network）即虚拟专用网。 它是在 Inter网络中建立一条虚拟的专用通道，让两个远距离的网络客户能在一个专用的 网络通道中相互传递资料而不会被外界干扰或窃听。 神州数码网络有限公司 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用 Inter公众数据网络的长途数据线路。 所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 按照以前的企业互连方式，企业与其子公司之间要拉一根专线，而每年却需为这根专线支付昂贵的专线费，如若改用 VPN方案，利用 Inter组建私有网，将大笔的专线费用缩减为少量的市话费用和 Inter费，如果愿意，企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的 ISP来完成。 MPLS VPN技术 MPLS VPN能够提供所有上述 VPN中所提到的功能， MPLS VPN的实现是因为服务提供商的骨干网络中运行了 MPLS，这就使得该骨干网络可以支持分离的转发层面和控制层面，而该特性在 IP的骨干网络中是无法实现的。 MPLS VPN网络构成： MPLS VPN 中 由三部分组成： CE、 PE 和 P。 ? P 路由器（ Provide Router）：供应商路由器。 位于 MPLS 域的内部。 可以基于标签交换快速转发 MPLS 数据流。 P 路由器接收 MPLS 报文，交换标签后，输出 MPLS报文。 ? PE路由器（ Provide Edge Router）：供应商边界路由器。 位于 MPLS 域的边界，用于转换 IP 报文和 MPLS 报文。 PE 路由器接收 IP 报文，压入 MPLS 标签后，输出MPLS 报文；并且接收 MPLS报文，弹出标签之后，输出 IP 报文。 PE 路由器上，与其它 P 路由器或者 PE 路由器连接的端口被称为“公网端口”，配置公网 IP 地址；与 CE 路由器连接的端口被称为“私网端口”，配置私网 IP 地址。 ? CE 路由器（ Customer Edge Router）：用户边界路由器。 位于用户 IP 域边界，直接和 PE路由器连接，用于汇聚用户数据，并把用 户 IP 域的路由信息转发到 PE 路由器。 CE 和 PE的划分主要是根据 SP 与用户的管理范围， CE 和 PE 是两者管理范围的边界。 当 CE 与直接相连的 PE建立邻接关系后， CE 把本站点的 VPN路由发布给 PE，并从 PE 学到远端 VPN 的路由。 CE 与 PE 之间使用 BGP/IGP 交换路由信息，也可以使用静态路由。 PE从 CE 学到 CE 本地的 VPN路由信息后，通过 BGP 与其它 PE 交换 VPN 路由信息。 PE 路由器只维护与它直接相连的 VPN 的路由信息，不维护服务提供商网络中的所有 VPN路由。 P 路由器只维护到 PE 的路由，不需要了解任何 VPN 路由信息。 当在 MPLS 骨干网上传输 VPN流量时，入口 PE 做为 Ingress LSR（ Label Switch Router），出口 PE做为 Egress LSR， P 路由器则做为 Transit LSR。 神州数码网络有限公司 BGP/MPLS VPN 到今天， BGP4(BGP版本 4)是个非常成熟的协议，已经成为域间路由的标准使用协议， BGP非常适合承载成百上千条路由协议，并且能够对稳定性提供很好的支持。 同时它具有 良好的可扩展性，可以实施扩展策略的路由协议。 所以选择 BGP来承载 MPLS L3 VPN的路由。 要实现 MPLS L3 VPN还需要解决一些基本问题，这些问题包括 VRF、路由区分器 RD、路由对象RT等 全新的路由转发表 VRF VRF即 VPN Routing amp。 Forwarding Instance， VPN路由转发实例，由 VPN路由表和 VPN IP转发表 (转发表包含了 MPLS封装信息 )组成，是实现 MPLS VPN分组转发的核心表项。 在 PE上的每一个 VPN有自己独立的一个 VRF实例，不同 VPN的 VRF地址空间可以重叠。 在 MPLS VPN网络中一个 PE通常包含有多个独立运作的 VRF，一个 PE维护了一张 IP路 由表，同时由于在 PE上的路由需要被相互隔离，以确保队每一个用户 VPN的私有性，所以为每一个连到 PE的 VPN维护了一张 VRF表，在 PE上，指向 CE的接口只属于一个 VRF，同样地，所有在 VRF接口上收到的 IP报文都应该毫无疑问地属于这个 VRF，如下图所示： PE上的 VRF图示 路由区分器 RD 由于 BGP/MPLS VPN提供私密性，支持不同用户之间使用重叠的 IP地址，如果没有保障机制来区分的话，那样会乱套了，路由肯定会产生错误，为了解决这个问题， RD的构想被定义来让 IPv4前缀唯一。 其基本原理就是每一个用户 收到一个前缀都会有一个唯一的标识符 (即 RD)来区分来自不同用户的相同前缀。 我们将这种 IPv4前缀和 RD的前缀结合在一起的形式称为 vpnv4 前缀。 而BGP/MPLS VPN需要将这些 vpnv4前缀在 PE之间进行传递。 在 IPv4地址加上 RD之后，就变成 VPNIPv4地址族了。 理论上可以为每个 VRF配置一个 RD，但要保证这个 RD全球唯一 ， 通常建议为每个 VPN都配置相同的 RD， 如果两个 VRF中存在相同的地址，但是 RD不同，则两个 VRF一定不能互访，间接互访也不成。 PE从 CE接收的标准的路由是 IPv4路由，如果 需要发布给其他的 PE路由器，此时需要为这条路由附加一个 RD。 VPNIPv4地址仅用于服务供应商网络内部。 在 PE发布路由时添加，在 PE接收路由后放在本地路由表中，用来与后来接收到的路由进行比较。 CE不知道使用的是 VPNIPv4地址。 在其穿越供应商骨干时，在 VPN数据流量的包头中没有携带 VPNIPv4地址。 路由对象 RT RD仅仅标识。