MPLS VPN 技术构架幻灯片.ppt

* * * * RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分：Export Target与import Target；前者表示了我发出的路由的属性，而后者表示了我对那些路由感兴趣。例如： SITE-A：我发的路由是红色的，我也只接收红色的路由。 SITE-B：我发的路由是红色的，我也只接收红色的路由。 SITE-C：我发的路由是黑色的，我也只接收黑色的路由。 SITE-D：我发的路由是黑色的，我也只接收黑色的路由。 这样，SITE－A与SITE-B中就只有自己和对方的路由，两者实现了互访。同理SITE－C与SITE-D也一样。这时我们就可以把SITE-A与SITE－B称为VPN-A，而把SITE-C与SITE-D称为VPN-B。 7、PE VPN流量转发问题 当PE接收到一个IP报文时，他又如何能够知道该发给那个VPN？因为IP报文头中唯一可用的信息就是目的地址，而很多VPN中都可能存在这个地址 采用双层标签，由MP-BGP分发私网路由的时候，同时为每个私网路由分配标签（VPN标签），同一台PE上每个私网路由的标签都不相同，用不同的私网标签指明每个私网路由该转发到哪一个下一跳，内层标签 每个私网流量携带两层标签，外层标签为IGP标签，在P网中路由用于找到PE路由器，内层标签VPN标签在PE路由器上用于找到该发往哪个VPN（下一跳） 概念总结 VRF：在一台PE上虚拟出来的一个路由器，包括一些特定的接口，一张路由表，一个路由协议，一个RD和一组RT规则。 RT：表明了一个VRF的路由喜好，通过他可以实现不同VRF之间的路由互通。他的本质就是BGP的community属性。 RD：为了防止一台PE接收到远端PE发来的不同VRF的相同路由时不知所措，而加在路由前面的特殊信息。在PE发布路由时加上，在远端PE接收到路由后放在本地路由表中，用来与后来接收到的路由进行比较。 Label：为了防止一台PE接收到远端PE发给本地不同VRF的相同地址的主机时不知所措，而加在报文前面的特殊信息。由本地PE在发布路由时加上，远端PE接收到保存在相应的VRF中。 IGP 标签：存在在P网络中，外层标签，帮助P路由器找到吓一跳、 VPN标签：在PE之间发布，帮助PE路由器找到正确VPN下一跳 配置步骤： 1、在P网络中配置IGP协议，及部署MPLS LDP 2、在PE上为VPN客户创建VRF及指定RD， 及RT的导入导出策略 3、在PE上启用MP-BGP，并建立VPNV4邻居 4、运行PE-CE路由选择协议 5、将PE-CE协议相互重发布 * * * * * * * * * * * * ? 2008 Cisco Systems, Inc. All rights reserved. CIPT1 v6.0—* ? 2008 Cisco Systems, Inc. All rights reserved. CIPT1 v6.0—* MPLS VPN 技术构架 什么是VPN？ VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。 虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 为什么选择VPN？ 与任何传统的广域网相比，VPN的运营成本和连接远程用户的成本更低。此外，VPN的固定通讯成本有助于企业了解其经营开支。一个VPN线路还能够提供低成本的全球网络机会 有哪些种类型的VPN？ VPN是一个庞大的概念，任何可以实现虚拟专线的技术都可以称为VPN，主要分为： “Overlay VPN”和“Peer-to-Peer VPN” Overlay VPN－隧道建立在CE上 VPN_A VPN_B 10.3.0.0 10.3.0.0 P PE PE CE CE VPN_A VPN_B 10.1.0.0 10.1.0.0 CE PE CE P-Network GRE/IPsec tunnel 特点： 在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，服务商对客户网络结构一无所知。 典型代表是GRE、IPSec 优点： 不同的客户地址空间可以重叠，保密性、安全性非常好。 缺点： 需要客户自己创建并维护VPN。 GRE穿越Internet 存在安全隐患 IPSec 加密解密又会增大延迟，限制吞吐量，并且也同样存在安全隐患 P Overlay VPN－隧道建立在PE上 特点： 在PE上为每一个VPN用户建立相应的隧道或虚链路 优点： 客户把VPN的创建及维护完全交给服务商，保密性、安全性比