《MPLSVPN筆記》word版

1、MPLSMPLS-multiprotocol label switchMPLS是IP的承載層，但與實(shí)際的L2鏈路層還是有區(qū)別，所以定義為2.5層MPLS包頭結(jié)構(gòu)：32bitLabel-20bit保留-3bit 通常用作COSS-1bit 標(biāo)明是否是棧底，標(biāo)明MPLS標(biāo)簽可以嵌套TTL-8bit 防環(huán)（萬(wàn)一IP出現(xiàn)環(huán)路怎么辦）MPLS最有魅力之處：理論上無(wú)限制嵌套MPLS術(shù)語(yǔ)：Label-FEC-轉(zhuǎn)發(fā)等價(jià)類(lèi)（強(qiáng)調(diào)的是一種動(dòng)作，例如這個(gè)接口進(jìn)那個(gè)接口出就是一個(gè)動(dòng)作，這個(gè)動(dòng)作就稱(chēng)作一個(gè)FEC，或者從某個(gè)接口進(jìn)打上什么標(biāo)做什么QOS，這個(gè)動(dòng)作可能就是另一個(gè)FEC，作為廠商：最好是一條路由對(duì)應(yīng)一個(gè)FEC

2、，而FEC就綁定label，所以可以有一條路由對(duì)應(yīng)一個(gè)label）LSP-標(biāo)簽交換通道（ 假設(shè)一條路由從A網(wǎng)段來(lái)，到B網(wǎng)段去，那么沿途的路由器如果有該路由的話都會(huì)維護(hù)相同的FEC，這樣就會(huì)有一條路徑產(chǎn)生，這條路徑就是LSP，一個(gè)FEC的數(shù)據(jù)流）LSP很像frame-relay里的PVC概念LSR-標(biāo)簽交換路由器 LSR是MPLS網(wǎng)絡(luò)的核心交換機(jī)，提供標(biāo)簽交換和標(biāo)簽分發(fā)（分配標(biāo)簽）功能LER-標(biāo)簽交換邊緣路由器 LER在MPLS的網(wǎng)絡(luò)邊緣 進(jìn)到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC，并為這些FEC請(qǐng)求相應(yīng)的標(biāo)簽 提供更多的功能，涉及到進(jìn)流量打標(biāo)簽，出流量彈標(biāo)簽鏈路層協(xié)議收到MPLS報(bào)文，如何

3、判斷這是一個(gè)MPLS報(bào)文，應(yīng)該送給MPLS處理，而不是像普通IP報(bào)文那樣直接送給IP層處理？以太網(wǎng)中：回顧802.3以太網(wǎng)幀頭部有個(gè)type字段，如果是0800則表明上層是IP報(bào)文，如果是0 x8847（單播）0 x8848（組播）則表明鏈路層承載的是MPLS報(bào)文PPP中：增加了一種新的NCP:MPLSCP,用0 x8281來(lái)標(biāo)識(shí)LDP（label distribution protocol）標(biāo)簽分發(fā)協(xié)議Label的轉(zhuǎn)發(fā)很容易，如何生成label則很難，LDP就是一個(gè)動(dòng)態(tài)生成label的協(xié)議LDP消息：先UDP發(fā)現(xiàn)鄰居，再TCP形成會(huì)話Discovery：用于通告和維護(hù)網(wǎng)絡(luò)中的LSR的存在Se

4、ssion：用于建立，維護(hù)和結(jié)束LDP對(duì)等實(shí)體間的會(huì)話連接Advertisement：用于創(chuàng)建，改變和刪除特定FEC標(biāo)簽綁定Notification: 用于提供消息通告和差錯(cuò)通知LDP標(biāo)簽分配方式：DOD:（不再使用的方式）下游按需標(biāo)記分發(fā)，即上游向下游請(qǐng)求DU:下游自主標(biāo)記分發(fā) 16以下label值為保留，其中3label是ELSR給倒數(shù)第二跳（ELSR的上游LSR）的特殊label,當(dāng)該LSR收到3label就隱含知道自己是倒數(shù)第二跳，當(dāng)數(shù)據(jù)(數(shù)據(jù)層面)傳到自己時(shí)直接彈出（PHP）label，變成了純數(shù)據(jù)交給ELSR直接做路由轉(zhuǎn)發(fā)，而不需要等到數(shù)據(jù)到了ELSR，ESLR發(fā)現(xiàn)自己已經(jīng)沒(méi)有出l

5、abel了，即刻做彈出，再做IP路由轉(zhuǎn)發(fā)，這樣浪費(fèi)一個(gè)周期是不明智的，PHP的價(jià)值就在于數(shù)據(jù)到了自己就彈出，給ESLR的數(shù)據(jù)已經(jīng)沒(méi)有l(wèi)abel了，直接由ELSR做IP路由轉(zhuǎn)發(fā)上游與下游：在一條LSR上，數(shù)據(jù)層面看：相鄰LSR分別叫上游LSR和下游LSR，下游是路由的始發(fā)者（控制層面）自己產(chǎn)生的label是IN label 收到的label都是out label心法口訣：入標(biāo)簽是我分給別人的，出標(biāo)簽是別人分給我的 我分配的標(biāo)簽是給別人用的，我不會(huì)添加到報(bào)文中LDP標(biāo)簽保留方式：（常用的是自由方式，保留所有l(wèi)abel）自由方式：保留（來(lái)自鄰居所有發(fā)送來(lái)的label）-lsp收斂快保守方式：丟棄（所

6、有非下一跳鄰居發(fā)來(lái)的label）-lsp收斂慢LDP標(biāo)簽控制方式：（常用有序方式）有序方式：獨(dú)立方式：MPLS的衰落：還是基于一種軟件轉(zhuǎn)發(fā)，當(dāng)硬件轉(zhuǎn)發(fā)出現(xiàn)后（基于ASIC ，NP）MPLS的這種轉(zhuǎn)發(fā)模式似乎沒(méi)有起到多大的效能提升。VPNOverlay VPN：是一種基于tunnel的VPN,安全里面所涉及的VPN全部是overlay VPN （ipsecVPN，GREVPN）Peer-to-peer VPN:一種動(dòng)態(tài)VPN的建立VPN角色：CE（custom edge）：客戶(hù)邊緣設(shè)備-主要負(fù)責(zé)跟ISP去連接PE（provider edge）：營(yíng)運(yùn)商邊緣路由器-負(fù)責(zé)接入客戶(hù)P （provider

7、 router）：營(yíng)運(yùn)商核心路由器-負(fù)責(zé)骨干網(wǎng)中的轉(zhuǎn)發(fā)OverlayVPN:1.其隧道建立是在CE上建立的：跟ISP的網(wǎng)絡(luò)環(huán)境沒(méi)有任何關(guān)系，ISP只會(huì)把這個(gè)當(dāng)成普通路由而已（例如：GRE,ipsec）-這種VPN是一種非動(dòng)態(tài)的，維護(hù)性較差（例如再增加一個(gè)VPN站點(diǎn)就存在一個(gè)N平方的問(wèn)題）需要在客戶(hù)方（CE設(shè)備上）進(jìn)行配置，通?？蛻?hù)方不愿意也沒(méi)這個(gè)能力2.其隧道建立在PE上建立的：在PE上為每個(gè)VPN用戶(hù)建立相應(yīng)GRE隧道，路由信息在PE于PE之間傳遞，公網(wǎng)中的P設(shè)備不知道私網(wǎng)的路由信息-這種相當(dāng)于客戶(hù)把VPN的創(chuàng)建及維護(hù)完全交給ISP，但不同的VPN用戶(hù)不能共享相同的地址空間Overlay V

8、PN的本質(zhì)：一種“靜態(tài)”VPN，無(wú)法反映網(wǎng)絡(luò)的實(shí)時(shí)變化，新增VPN結(jié)點(diǎn)后存在N平方問(wèn)題如果tunnel建在CE上：必須客戶(hù)自己建立并維護(hù)如果tunnel建在PE上：無(wú)法解決地址沖突問(wèn)題Peer-to-peer VPN:指CE-to-PE間交換私網(wǎng)路由信息，然后由PE將這些私網(wǎng)路由在P網(wǎng)絡(luò)中傳播（動(dòng)態(tài)路由協(xié)議），這樣這些私網(wǎng)路由會(huì)自動(dòng)傳播到其他PE上-解決了“動(dòng)態(tài)”問(wèn)題，但沒(méi)有用到tunnel技術(shù)，私網(wǎng)路由會(huì)泄露到公網(wǎng)上，此時(shí)需做嚴(yán)格的路由控制才行1.共享PE方式：解決了“動(dòng)態(tài)”問(wèn)題，但仍然沒(méi)有解決地址沖突和tunnel問(wèn)題，而且為了防止連接在同一臺(tái)PE上的不同CE間互通，需在PE上配置大量AC

9、L2.專(zhuān)用PE方式：解決了“動(dòng)態(tài)”問(wèn)題，無(wú)需配任何ACL，但是代價(jià)太高， 新加一個(gè)VPN用戶(hù)就需要一臺(tái)專(zhuān)用PE，而且也沒(méi)有解決地址沖突問(wèn)題和tunnel問(wèn)題Peer-to-peer VPN 本質(zhì)：雖然解決“動(dòng)態(tài)”問(wèn)題，但不是一種tunnel技術(shù)，造成私網(wǎng)路由會(huì)泄露到公網(wǎng)，還是無(wú)法解決地址沖突問(wèn)題以上VPN的各種局限性總結(jié)：1.要想保障安全性，需要tunnel技術(shù)2.GRE，ipsec都是一種靜態(tài)tunnel技術(shù)，無(wú)法解決“動(dòng)態(tài)性”3.地址沖突的問(wèn)題是以上任何一種VPN技術(shù)無(wú)法解決的使用VPN一定要解決的問(wèn)題：1.如何提供一種動(dòng)態(tài)建立的tunnel技術(shù)？2.如何解決不同VPN地址沖突問(wèn)題？解決動(dòng)

10、態(tài)建立tunnel技術(shù)的問(wèn)題：MPLS的PHP技術(shù)可以提供一種動(dòng)態(tài)建立的tunnel技術(shù)，其LSP就是一種天然的tunnel并且基于LDP，這種協(xié)議又恰恰是一種動(dòng)態(tài)的標(biāo)簽生成協(xié)議分析：解決地址沖突問(wèn)題：必須是一種協(xié)議具有良好擴(kuò)展性-基于TLV元素的 滿(mǎn)足的的協(xié)議為：eigrp bgp isis而eigrp太私有化，isis則不是基于TCP/IP開(kāi)發(fā)的，所以只剩下bgp了BGP的優(yōu)勢(shì)：第一：BGP支持大量路由，滿(mǎn)足網(wǎng)絡(luò)中VPN路由數(shù)量大第二：IBGP中可以滿(mǎn)足不直連的路由器間建鄰居特性，在設(shè)計(jì)時(shí)假設(shè)兩個(gè)不直連的路由器是都是一個(gè)AS內(nèi)的邊界，他們之間可建鄰居，但AS內(nèi)的其他路由器可只運(yùn)行IGP幫其

11、傳BGP的路由（這里指VPN信息）但自身不用包含VPN路由，這些路由器在設(shè)計(jì)時(shí)可選為P路由器-只傳遞VPN路由，但不包含VPN路由信息第三：AS內(nèi)的兩臺(tái)邊緣路由器選作PE路由器后，BGP可運(yùn)載附加在路由后的任何信息（作為可選BGP屬性），其他不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)這些帶可選BGP屬性的路由，使得PE路由器間能簡(jiǎn)單的傳播路由（這里可以是帶VPN信息的路由）至此，仍然未解決地址沖突問(wèn)題，三大難關(guān)：識(shí)別，傳輸，轉(zhuǎn)發(fā)解決思路：1.可將一臺(tái)PE模擬成多個(gè)虛擬的專(zhuān)用PE理論：VRF(VPN 路由轉(zhuǎn)發(fā)實(shí)例) 每個(gè)VRF可看做一個(gè)虛擬路由器，即一臺(tái)專(zhuān)用PE（包括獨(dú)立路由表，獨(dú)立地址空間，屬

12、于該VRF的接口集合，只用于本VRF的路由協(xié)議）RT的本質(zhì)：每個(gè)VRF表達(dá)自己的路由取舍及喜好的方式 分兩部分：Export target：表示我發(fā)出的路由的屬性Import target: 表示我對(duì)哪些路由感興趣RT很好的解決了地址沖突的問(wèn)題，但RT能否作為傳遞時(shí)的標(biāo)識(shí)呢？理論上可以但是：RT實(shí)際就是一個(gè)路由屬性，不是與IP前綴放在一起，而RD則是在IP前綴之前的，相當(dāng)于和IP前綴在一起，很好的起到在路由傳遞過(guò)程的區(qū)分問(wèn)題，更重要的是:BGP在撤銷(xiāo)路由的時(shí)候是不帶屬性的，盡管更新的時(shí)候可以使用RT，但在撤銷(xiāo)路由的時(shí)候，RT作為community屬性，不知道到底撤銷(xiāo)哪個(gè)VPN，所以必須用到RD

13、2.RD的本質(zhì)：（解決傳遞中的區(qū)分問(wèn)題）IPV4地址加上RD后變成VPN-IPv4地址族，每個(gè)VRF配一個(gè)RD，并保證全球唯一，通常為每個(gè)VPN配相同的RD，如果兩個(gè)VRF中存在相同的地址，但是RD不同，則兩個(gè)VRF一定不能互訪，間接互訪也不成。RD不影響不同VRF間的路選擇以及VPN的形成，這些事情由RT搞定PE從CE接收的是標(biāo)準(zhǔn)IPV4路由，當(dāng)需要發(fā)布給其他的PE路由器時(shí)打上RD，變成VPN-IPV4地址僅在ISP網(wǎng)絡(luò)內(nèi)部傳遞，到了接收PE路由器后，該路由器將接收的路由放入本地路由表，用于后來(lái)接收的路由進(jìn)行比較，CE從開(kāi)始,到路由穿越ISP骨干傳給另一個(gè)CE，都不知道使用的是VPN-IPV

14、4地址3.MPLS的嵌套解決路由的轉(zhuǎn)發(fā)問(wèn)題總結(jié)：以上所有技術(shù)都是為實(shí)現(xiàn)動(dòng)態(tài)VPN而設(shè)計(jì)的 通過(guò)MBGP解決了本地路由的沖突和路由傳遞時(shí)的沖突問(wèn)題 通過(guò)MPLS解決了數(shù)據(jù)包在發(fā)送時(shí)區(qū)分的問(wèn)題（通過(guò)label實(shí)現(xiàn)）通過(guò)MBGP和MPLS就實(shí)現(xiàn)了動(dòng)態(tài)VPN技術(shù)，稱(chēng)之為MPLS/MBGP/VPNRT用來(lái)導(dǎo)入導(dǎo)出路RD用來(lái)區(qū)分CE的相同路由MP-IBGP用來(lái)傳遞VPN私有路由信息，該VPN私有路由信息已被加上RD,RT和私有l(wèi)abel（加在VPN的IP路由頭部，那么VPN的私有IPV4路由變成了VPNV4路由，BGP能很好支持不同協(xié)議，所以VPN私有路由信息便在公網(wǎng)中傳遞到另一端的PE路由器中）如果再對(duì)

15、SP內(nèi)的路由器全部開(kāi)啟MPLS轉(zhuǎn)發(fā)方式，那么在SP內(nèi)部無(wú)需做IBGP的full-mesh，因?yàn)閿?shù)據(jù)包的轉(zhuǎn)發(fā)不用再查路由表而是通過(guò)MPLS轉(zhuǎn)發(fā)，不用擔(dān)心路由黑洞的發(fā)生（即使發(fā)生也不怕，因?yàn)椴徊槁酚杀恚ㄟ^(guò)MPLS的轉(zhuǎn)發(fā)方式只用知道下一跳就行了，在SP內(nèi)部經(jīng)過(guò)PHP和最后一個(gè)PE，MPLS的label（即公網(wǎng)label）被彈出，露出私網(wǎng)label，最后一個(gè)PE通過(guò)不同的私網(wǎng)label將數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)的CERT,RD是為控制層面服務(wù)的，而私網(wǎng)label和公網(wǎng)label是為數(shù)據(jù)層面服務(wù)的實(shí)例：私網(wǎng)label：是通過(guò)MBGP隨機(jī)分配的，主要是為了對(duì)方在收到一條路由后，對(duì)方可以轉(zhuǎn)發(fā)數(shù)據(jù)包了，此時(shí)對(duì)于數(shù)據(jù)

16、來(lái)說(shuō)是通過(guò)私網(wǎng)label來(lái)區(qū)分如何到達(dá)正確的VPN即-私網(wǎng)label是由MBGP分配做數(shù)據(jù)轉(zhuǎn)發(fā)區(qū)分VPN而用的，私網(wǎng)label在內(nèi)層通過(guò)MBGP隨機(jī)分配的私網(wǎng)label，RT，RD就構(gòu)成了VPN的三要素，其中的私網(wǎng)label就是為了區(qū)分?jǐn)?shù)據(jù)是給哪個(gè)VPN的公網(wǎng)label：主要是為了強(qiáng)調(diào)如何到達(dá)BGP的下一跳，通過(guò)LDP算出來(lái)的，公網(wǎng)label嵌套在最外層，當(dāng)數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)充分利用了PHP（倒數(shù)第二跳彈出）原理，當(dāng)數(shù)據(jù)傳到PHP路由器時(shí)，外層的公網(wǎng)label被彈出，剩下內(nèi)層的私網(wǎng)label，而私網(wǎng)label正好可以判定如何到達(dá)正確的VPN 配置步驟：1. 預(yù)配。常見(jiàn)VRF，配置相應(yīng)的route-target，RD；將接口加入VRF中，配置IP address（注意：如果接口本身之前有ip地址，然后再把接口加入到VRF中，之前的ip地址將被抹掉，所以要注意先后順序），routing protocol（CE-PE）2. 驗(yàn)證CE-PE的路由信息3. 在PE和P路由器上起B(yǎng)G