MPLS-VPN技术原理与配置-华为数通HCIP

('各层VPN:数据链路层：PPTPL2FL2TP网络层：IpsecGre应用层：SSLDPNVPN技术：虚拟专用网（帧中继、X.25等）定义：是一种逻辑的隔离技术，就好像在两个站点之间跨越公共网络建立了专用的隧道，站点通过隧道实现通信产生原因：能提高带宽利用率，价格相对于专线比较便宜，因此成为构成早期VPN网络的主要技术VPN网络的特点：使用共享的公共网络环境实现各私网的连接不同的私有网络之间相互不可见企业用户接入运营商的网络结构企业用户的网络设备：RTA，RTB，RTF与RTG被称为CE（CustomerEdge）设备运营商的网络设备：RTC与RTE，设备直接与客户设备相连，被称为PE（ProviderEdge）设备RTD，是运营商网络中的骨干设备，被称为P（Provider）设备CE（CustomerEdge）：用户网络边缘设备，有接口直接与服务提供商SP（ServiceProvider）网络相连。CE可以是SVN或交换机，也可以是一台主机。通常情况下，CE“感知”不到VPN的存在，也不需要支持MPLSPE（ProviderEdge）：服务提供商边缘设备，是服务提供商网络的边缘设备，与CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上P（Provider）：服务提供商网络中的骨干设备，不与CE直接相连。P设备只需要具备基本MPLS转发能力，不维护VPN信息用户设备所在的区域，称为一个站点（Site），站点是指相互之间具备IP连通性的一组IP系统，并且这组IP系统的IP连通性不需通过运营商网络实现VPN模型：1。OverlayVPNOverlayVPN的特点：客户路由协议总是在客户设备之间交换，而运营商对客户网络结构一无所知典型的协议：二层——帧中继三层——GRE与IPSec应用层——SSLVPNOverlayVPN可以在CE设备上建立隧道，也可以在PE设备上建立隧道：在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，运营商对客户网络结构一无所知：优点：不同的客户地址空间可以重叠，保密性、安全性非常好缺点：本质是一种“静态”VPN，无法反应网络的实时变化。并且当有新增站点时，需要手工在所有站点上建立与新增站点的连接，配置与维护复杂，不易管理在PE上为每一个VPN用户建立相应的隧道，路由信息在PE与PE之间传递，公网中的P设备不知道私网的路由信息：优点：客户把VPN的创建及维护完全交给运营商，保密性、安全性比较好缺点：不同的VPN用户不能共享相同的地址空间2。Peer-to-PeerVPNPeer-to-PeerVPN特点：在CE设备与PE设备之间交换私网信息，由PE设备将私网信息在运营商网络中传播，实现了VPN部署及路由发布的动态性解决了OverlayVPN的“静态”性质不太适合大规模应用和部署的问题如图所示，所有VPN用户的CE设备都连到同一台PE上，PE与不同的CE之间运行不同的路由协议（或者是相同路由协议的不同进程）。由始发PE将路由发布到公网上，在接收端的PE上将路由过滤后再发给相应的CE设备Peer-to-Peer是在CE与PE之间交换私网路由信息，然后由PE将私网路由在运营商网络中传播，由于CE与PE之间运行了路由协议，所以私网路由会自动地传播到PE上；由于Peer-to-PeerVPN将私网路由泄露到公网上，所以必须通过严格的路由过滤和选择机制来控制私网路由的传播缺点：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL，但这种操作也增加了管理PE设备的负担VPN客户之间如果出现地址重叠问题，PE设备无法识别重叠的地址图中的Peer-to-PeerVPN使用的是共享PE的接入方式，为了减少配置复杂度，便于管理，可以采用Peer-to-PeerVPN的专用PE接入方式Peer-to-PeerVPN的专用PE的接入方式：特点：运营商为每一个VPN单独准备一台PE设备，PE和CE之间可以运行任意的路由协议，与其他VPN无关优点：无需配置任何的ACL，配置复杂度、管理难度有所降低缺点：每新增一个VPN站点都需要新增一台专用的PE设备，代价过于昂贵。而且没有解决VPN客户之间地址空间重叠的问题MPLSVPN：MPLSVPN的优点：降低成本，提高资源利用率，提高灵活性和可扩展性方便用户，安全性高，业务综合能力强产生原因：两个客户的VPN存在相同的地址空间，传统VPN网络结构中的设备无法区分客户重叠的路由信息（地址空间的重叠问题）解决地址空间重叠问题的讨论：解决VPN客户地址空间重叠问题需要解决上述三个问题：1.本地路由冲突的问题：可以通过在同一台PE设备上为不同的VPN建立单独的路由，这样冲突的的路由就被隔离开来2.在路由传递过程中，为不同的VPN路由添加不同的标识，以示区别。这些标识可以作为BGP属性进行传递3.由于IP报文不可更改，可以在IP报文头前加一些信息。由始发路由器打上标记，接收路由器在收到带标记的的数据包时，根据标记转发给正确的VPN详解：1.本地路由冲突的解决方案专用PE设备分工明确，每个PE设备只保存自己的VPN路由，P设备只保存公网路由。因此解决共享PE设备上地址空间重叠的思路是：将专用PE设备与P设备的功能在同一台PE设备上完成，并实现VPN路由的隔离在共享PE设备上使用VRF技术将重叠的路由隔离：每个VPN的路由放入自己对应的VPNRoutingTable中PE设备在维护多个VPNRoutingTable时，同时还维护一个公网的路由表每一个VRF都需要对应一个VPNinstance，VPN用户对应的接口绑定到VPNinstance中对于每个PE，可以维护一个或多个VPNinstance，同时维护一个公网的路由表（全局路由表），多个VPNinstance实例相互独立且隔离。其实实现VPNinstance并不困难，关键在于如何在PE上使用特定的策略规则来协调各VPNinstance和全局路由表之间的关系2.如何在网络传递过程中区分冲突路由将VPN路由发布到全局路由表之前，使用一个全局唯一的标识和路由绑定，以区分冲突的私网路由RD：VPN路由标识符，由8字节组成，配置时同一PE设备上分配给每个VPN的RD必须唯一RD用于区分使用相同地址空间的IPv4前缀，增加了RD的IPv4地址称为VPN-IPv4地址（即VPNv4地址）运营商设备采用BGP协议作为承载VPN路由的协议，并将BGP协议进行了扩展，称为MP-BGP（MultiprotocolExtensionsforBGP-4）PE从CE接收到客户的IPv4私网路由后，将客户的私网路由添加各种标识信息后变为VPNv4路由放入MP-BGP的VPNv4路由表中，并通过MP-BGP协议在公网上传递3.Hub-Spoke场景中VPN路由的引入RD不能解决VPN路由正确引入VPN的问题RT属性用于将路由正确引入VPN：RT封装在BGP的扩展Community属性中，在路由传递过程中作为可选可传递属性进行传递两类VPNTarget属性：ImportTarget：用于VPN路由的导入，对端收到路由时，检查其ExportTarget属性。当此属性与PE上某个VPN实例的ImportTarget匹配时，PE就把路由加入到该VPN实例中ExportTarget：用于VPN路由的导出，本端的路由在导出VRF，转变为VPNv4的路由时，标记该属性Hub-Spoke场景中路由引入问题的优化使用RT实现本端与对端的路由正确引入VPN，原则如下：本端的ExportTarget=对端的ImportTarget，本端的ImportTarget=对端的ExportTarget解决数据转发过程中冲突路由的查找因为数据包没有携带任何标识，所以在ICMP的数据包到达PE1时，PE1并不知道该查找哪个VPN的路由表找到正确的目标地址解决该问题的方案有两种：1.在数据包中增加标识信息，并且使用RD作为区分数据包所属VPN的标识符，数据转发时也携带RD信息缺点：由于RD由8字节组成，额外增大数据包，会导致转发效率降低2.借助公网中已经实施的MPLS协议建立的标签隧道，采用标签作为数据包正确转发的标识，MPLS标签支持嵌套，可以将区分数据包所属VPN的标签封装在公网标签内MPLS标签嵌套的应用使用标签嵌套解决数据转发过程中冲突路由的查找问题公网标签（OuterMPLSLabel）：用于MPLS网络中转发数据。一般公网标签会在到达PE设备时已被倒数第二跳剥掉，漏出InnerLabel私网标签（InnerMPLSLabel）：用于将数据正确发送到相应的VPN中，PE依靠InnerLabel区分数据包属于哪个VPNMPLSVPN的工作过程MPLSVPN的工作过程分为两部分：1.MPLSVPN路由的传递过程：（1）CE与PE之间的路由交换PE与CE之间可以通过静态路由协议交换路由信息，也可以通过动态路由协议（如：RIP，OSPF，ISIS，BGP等）交换路由信息如图所示，以CE1与PE1之间采用BGP协议为例展示配置，其中，VPN1被分配实例名称为VPN1，RD为1:1，RT为1:1。配置命令如下：CE1上的配置：bgp100peer10.1.13.3as-number500#ipv4-familyunicastpeer10.1.13.3enablePE1上的配置：ipvpn-instanceVPN1ipv4-familyroute-distinguisher1:1vpn-target1:1export-extcommunityvpn-target1:1import-extcommunity#interfaceGigabitEthernet0/0/0ipbindingvpn-instanceVPN1ipaddress10.1.13.3255.255.255.0#bgp500#ipv4-familyvpn-instanceVPN1peer10.1.13.1as-number100（2）VRF路由注入MP-BGP的过程VRF中的IPv4路由被添加上RD，RT与标签等信息成为VPN-IPv4的路由放入到MP-BGP的路由表中，并通过MP-BGP协议在PE设备之间交换路由信息两端PE运行MP-BGP，通过公网将路由传递给对端，以PE1为例配置如下：bgp500peer5.5.5.5as-number500peer5.5.5.5connect-interfaceLoopBack0#ipv4-familyunicastundosynchronizationpeer5.5.5.5enable#ipv4-familyvpnv4policyvpn-targetpeer5.5.5.5enable（3）公网标签的分配过程MPLS协议在运营商网络分配公网标签，建立标签隧道，实现私网数据在公网上的转发PE之间运行的MP-BGP协议为VPN路由分配私网标签，PE设备根据私网标签将数据正确转发给相应的VPN运营商的骨干网络中的PE设备与P设备，需要运行IGP协议使运营商网络中的路由可达。图中以OSPF为例，配置略。PE设备与P设备需要运行LDP协议，动态分配标签，以建立标签隧道。以P设备上的配置为例：mplslsr-id4.4.4.4mplsmplsldpinterfaceGigabitEthernet0/0/0ipaddress10.1.34.4255.255.255.0mplsmplsldp#interfaceGigabitEthernet0/0/1ipaddress10.1.45.4255.255.255.0mplsmplsldp（4）MP-BGP路由注入VRF的过程PE2在接收到PE1发送的VPNv4路由后将检查路由的扩展团体属性，将携带的ExportTarget值与本端VPN的ImportTarget值比较，数值相同则将路由引入VPN的路由表，实现路由的正确导入2.MPLSVPN数据的转发过程：（1）CE设备到PE设备的数据转发数据从CE4转发给PE2，在PE2设备上需要查找VPN2的路由表，确定数据进行标签转发后，再查找下一跳与出接口，根据分配的标签进行MPLS的封装数据从CE设备到PE设备的转发：如图所示，CE4所连接的VPN2的用户要与对端VPN2中的172.16.1.1/32用户通信，PE2收到数据包后，查找本地VPN2的路由表，发现数据包需要进行标签转发，分配的私网标签为1027，到达目标地址的下一跳为PE1。PE2通过查找LFIB表，发现到达PE1被分配的公网标签为1030，出接口为G0/0/0，PE2将数据包进行MPLS封装，内层为1027，外层为1030，从接口G0/0/0转发出去（2）公网设备上的数据转发数据包在公网上转发时，通过MPLS协议已建立好的标签隧道将数据报文转发到PE1。转发过程中，只改变公网标签数据包在公网上的传递过程：如图所示，PE2收到VPN用户的数据包后，封装上MPLS的标签，将私网数据通过MPLS建立的标签隧道进行转发，PE2上数据包封装的公网标签为1030，转发给P设备后，查找LFIB表，进标签为1030的数据包，对应的出标签为3，即将公网标签标签剥离后，将数据包发送给PE1，PE1收到的是只有内层私网标签的数据包（3）PE设备到CE设备的数据转发PE1收到剥离公网标签的数据包后，根据私网标签查找转发数据包的下一跳，将数据包正确发送给相应VPN客户数据包转发给相应VPN的过程：如图所示，PE1收到只有一层标签的数据包，查找标签表，发现标签为1027的数据包对应的下一跳为CE2，于是PE2将数据包剥离私网标签，进行IP封装，查找出接口，将数据包发送给CE2处理。至此，数据包到达正确的目标用户，我们是以单向的数据转发过程为例进行的介绍，其实数据转发的过程是双向的，但过程都是类似的MPLSVPN配置实例',)