MPLS VPN原理与配置

文章目录

  • MPLS VPN原理与配置
    • VPN技术的产生及分类
      • VPN模型 - Overlay VPN
      • VPN模型 - Peer-to-Peer VPN
    • MPLS VPN解决的问题
      • 1.在共享PE设备上使用VRF技术将重叠的路由隔离
      • 2.在网络传递过程中区分冲突路由
      • 3.Hub-Spoke场景中VPN路由的引入
      • 4.解决数据转发过程中冲突路由的查找
    • MPLS VPN工作过程
      • MPLS VPN路由的传递过程
        • 1.CE与PE之间的路由交换
        • 2.VRF路由注入MP- BGP的过程;
        • 3.公网标签的分配过程;
        • 4.MP-BGP路由注入VRF的过程。
      • MPLS VPN数据的转发过程
        • 1.CE设备到PE设备的数据转发;
        • 2.公网设备上的数据转发;
        • 3.PE设备到CE设备的数据转发。
    • 配置:
      • 1.MPLS VPN配置
      • 2.PE与PE间建立MP-BPG邻居关系
      • 3.CE端与PE端交互路由

VPN技术的产生及分类

最初为了实现两个站点之间跨越公网通信,并保护私网的安全,人们通常采用专线来实现私网之间的连接。由于专线固有缺陷的存在,随着复用技术的出现,一些新的共享带宽技术铸件代替了专线。

新的共享带宽的技术有帧中继、X.25等 ,这些技术其实是一种逻辑的隔离技术,就好像在两个站点之间跨越公共网络建立了专用的隧道,站点通过隧道实现通信。

VPN网络特点:

  • 使用共享的公共网络环境实现各私网的连接
  • 不同私有网络之间互相不可见

VPN模型 - Overlay VPN

Overlay VPN可以在CE设备上建立隧道,也可以在PE设备上建立隧道

在CE与CE之间建立隧道,并直接传递路由信息,路由协议数据总是在客户设备之间交换,运营商对客户网络结构一无所知。

  • 优点:不同的客户地址空间可以重叠,保密性、安全性非常好;
  • 缺点:本质是一种"静态”VPN ,无法反应网络的实时变化。并且当有新增站点时,需要手工在所有站点上建立与新增站点的连接,配置与维护复杂,不易管理。

在PE上为每一个VPN用户建立相应的隧道,路由信息在PE与PE之间传递,公网中的P设备不知道私网的路由信息。

  • 优点:客户把VPN的创建及维护完全交给运营商,保密性、安全性比较好;
  • 缺点:不同的VPN用户不能共享相同的地址空间。

VPN模型 - Peer-to-Peer VPN

1.共享PE的接入方式

所有VPN用户的CE设备都连到同一台PE上, PE与不同的CE之间运行不同的路由协议(或者是相同路由协议的不同进程)。由始发PE将路由发布到公网上,在接收端的PE上将路由过滤后再发给相应的CE设备。

2.专用PE接入模式

MPLS VPN解决的问题

三个问题:

1.PE设备怎么区分不同VPN客户端的相同路由?

2.冲突路由在公网传播时,接收端PE如何正确导入VPN客户路由?

3.PE设备收到IP数据包后,如何正确发送给目的VPN客户端?

本地路由冲突的问题:可以通过在同一台PE设备上为不同的VPN建立单独的路由,这样冲突的的路由就被隔离开来;

在路由传递过程中,为不同的VPN路由添加不同的标识,以示区别。这些标识可以作为BGP属性进行传递;

由于IP报文不可更改,可以在IP报文头前加一-些信息。由始发路由器打上标记,接收路由器在收到带标记的的数据包时,根据标记转发给正确的VPN。

1.在共享PE设备上使用VRF技术将重叠的路由隔离

  • 共享PE设备上实现重叠路由的隔离就是在PE设备上将来自每个VPN的路由放入自己对应的VPN Routing Table中,每个VPN Routing Table只记录对应VPN中学来的路由,就像是专用PE一样。这个VPN Routing Table称谓VRF ( VPN Routing and Forwardingtable ) ,即VPN路由转发表。
  • 每一个VRF都需要对应一 个VPN instance , VPN用户对应的接口绑定到VPN instance中。
  • 对于每个PE ,可以维护一个或多个VPN instance ,同时维护一个公网的路由表(也叫全局路由表) ,多个VPN instance实例相互独立且隔离。其实现VPN instance并不困难,关键在于如何在PE.上使用特定的策略规则来协调各VPN instance和全局路由表之间的关系。

PE设备在维护多个VPN Routing Table时,同时还维护一个公网的路由表

2.在网络传递过程中区分冲突路由

RD(Route Distinguish)路由区分符

  • RD即VPN路由标识符,由8字节组成,配置时同- -PE设备上分配给每个VPN的RD必须唯一。
  • RD用于区分使用相同地址空间的IPv4前缀,增加了RD的IPv4地址称为VPN-IPv4地址(即VPNv4地址)。
  • 运营商设备采用BGP协议作为承载VPN路由的协议,并将BGP协议进行了扩展,称为MP-BGP ( Multiprotocol Extensions for BGP-4 )。PE从CE接收到客户的IPv4私网路由后,将客户的私网路由添加各种标识信息后变为VPNv4路由放入MP- BGP的VPNv4路由表中,并通过MP- BGP协议在公网上传递。

3.Hub-Spoke场景中VPN路由的引入

RD不能解决VPN路由正确引入VPN的问题

问题的解决:

RT(Route Target):

RT的作用类似于BGP中扩展团体属性,用于路由信息的分发。它分成lmport RT和Export RT,分别用于路由信息的导入、导出策略。当从VRF表中导出VPN路由时,要用Export RT对VPN路由进行标记;在往VRF表中导入VPN路由时,只有所带
RT标记与VRF表中任意一个lmport RT相符的路由才会被导入到VRF表中。RT使得PE路由器只包含和其直接相连的VPN的路由,而不是全网所有VPN的路由,从而节省了PE路由器的资源,提高了网络拓展性。RT具有全局唯一性,并且只能被一个VPN使用。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。

如图所示,希望实现分部只能与总部通信,分部之间不能通信。分配给分部1的ExportTarget为1:1 , Import Target为3:3 ;分配给分部2的Export Target为2:2 , Import Target为3:3 ;分配给总部的Export Target为3:3 , Import Target为1:1 , 2:2 ; PE2上收到对端PE1发送的VPNv4的路由后,检查其Export Target。因为总部的Import Target为1:1,2:2 ,所以值为1:1或2:2的路由被引入总部的VRF。PE1的VPNv4的路由引入各分部VRF的过程类似。

  • RT ( Route Target )封装在BGP的扩展Community属性中,在路由传递过程中作为可选
    可传递属性进行传递。
  • RT的本质是每个VRF表达自己的路由取舍及喜好的属性,有两类VPN Target属性:
    • Export Target :本端的路由在导出VRF ,转变为VPNv4的路由时,标记该属性;
    • Import Target :对端收到路由时,检查其Export Target属性。 当此属性与PE上某个VPN实例的Import Target匹配时, PE就把路由加入到该VPN实例中。

4.解决数据转发过程中冲突路由的查找

方案:

  • 在数据包中增加标识信息,并且使用RD作为区分数据包所属VPN的标识符,数据转发时也携带RD信息。缺点是由于RD由8字节组成,额外增大数据包,会导致转发效率降低。
  • 借助公网中已经实施的MPL S协议建立的标签隧道,采用标签作为数据包正确转发的标识, MPLS标签支持嵌套,可以将区分数据包所属VPN的标签封装在公网标签内。

Outer MPLS Label在MPLS VPN中被称为公网标签,用于MPLS网络中转发数据。一般公网标签会在到达PE设备时已被倒数第二跳剥掉,漏出Inner Label。Inner MPLS Label在MPLS VPN中被称为私网标签,用于将数据正确发送到相应的VPN中, PE依靠Inner Label区分数据包属于哪个VPN。

MPLS VPN工作过程

MPLS VPN路由的传递过程

1.CE与PE之间的路由交换

2.VRF路由注入MP- BGP的过程;

两端PE运行MP-BGP ,通过公网将路由传递给对端

3.公网标签的分配过程;

4.MP-BGP路由注入VRF的过程。

MPLS VPN数据的转发过程

1.CE设备到PE设备的数据转发;

2.公网设备上的数据转发;

3.PE设备到CE设备的数据转发。

配置:

1.MPLS VPN配置

[r2]ip vpn-instance a    创建名为a的vrf空间
[r2-vpn-instance-a]ipv4-family    进入IPV4的配置模式下
[r2-vpn-instance-a-af-ipv4]route-distinguisher 1:1   RD值
[r2-vpn-instance-a-af-ipv4]vpn-target 1:1   RT值 必须对端的PE端一致
[r2]interface GigabitEthernet 0/0/0    进入链接CE端的接口
[r2-GigabitEthernet0/0/0]ip binding vpn-instance a  关联到vrf空间
[r2-GigabitEthernet0/0/0]ip address 192.168.2.2 24   配置私有ip地址
注:在关联到vrf空间前不能配置接口ip,否则该地址的直连路由将进入公有路由表;
[r2]display  ip routing-table vpn-instance a    查看空间内的私有路由表
[r2]ping -vpn-instance  a  192.168.2.1   正常测试将在公有路由表中查询记录;该命令为基于VRF空间
a进行路由查询

2.PE与PE间建立MP-BPG邻居关系

[r2]bgp 2 [r2-bgp]router-id 2.2.2.2
先和对端建立正常BGP邻居关系,可用于传递正常的公网路由[r2-bgp]pe 4.4.4.4 as-number 2 [r2-bgp]pe 4.4.4.4 connect-interface LoopBack 0[r2-bgp]pe 4.4.4.4 next-hop-local     同时还需要再在IPV4的家族模式中,与对端建立一个VPNV4的关系,用于传递VPNV4路由[r2-bgp]ipv4-family vpnv4 [r2-bgp-af-vpnv4]peer 4.4.4.4 enable
[r2-bgp]display bgp vpnv4 all peer  查看mp-bgp邻居关系

3.CE端与PE端交互路由

静态

  • CE端直接编写静态路由即可;
  • PE端编写到VRF空间内的静态路由
[r2]ip route-static vpn-instance  a 192.168.1.0 24 192.168.2.1将本地vrf空间内的静态和直连路由重发布到BGP协议传递到对端的PE
[r2]bgp 2[r2-bgp]ipv4 vpn-instance a[r2-bgp-a]import-route direct [r2-bgp-a]import-route static
<r4>display  bgp vpnv4 vpn-instance a routing-table  查看mp-bpg的BGP表

OSPF

  • CE端正常启动OSPF即可
  • PE端,启动VPNV4专用的ospf协议
[r4]ospf 2 vpn-instance a
[r4-ospf-2]area  0
[r4-ospf-2-area-0.0.0.0]network 192.168.3.1 0.0.0.0
之后使用双向重发布,实现路由共享
[r4]bgp 2
[r4-bgp]ipv4-family vpn-instance a
[r4-bgp-a]import-route ospf  2 [r4]ospf 2 vpn-instance a
[r4-ospf-2]import-route bgp  [r4]display  mpls lsp vpn-instance a  查看双层标记的内层标签号

MPLS 虚拟专用网络技术原理与配置相关推荐

  1. MPLS工作机制及MPLS 虚拟专用网络技术

    一.MPLS概述 1.1 概述 传统的IP网络中,路由基于IP头部中的目的地址进行寻址以及转发操作,所有的路由设备需要维护路由表用于指导数据的转发.路由设备执行查询时,依据最长前缀匹配原则进行操作.在 ...

  2. 商业虚拟专用网络技术六IPSec配置

    一.配置IPSec 1.配置的前提 配置IPSec前需要做好准备工作: (1).网络可达 需要确定网络流量的可达性,就是从出站口发送的数据包是否能够通过网络到达指定IP地址的设备. (2).确定需要保 ...

  3. 商业虚拟专用网络技术十三 BGP/MPLS报文转发

    二.MP-BGP路由协议 1.4.RD前缀 假设VPN1和VPN2都使用了10.110.10.0/24网段的地址,并各自发布了一条去往此网段的路由.虽然本端PE通过不同的VPN实例可以区分地址空间重叠 ...

  4. 商业虚拟专用网络技术十一 MPLS转发

    商业虚拟专用网络技术十一 MPLS转发 4.MPLS转发的实现 4.1.标签压入PUSH 4.2.标签交换SWAP 4.3.标签弹出POP 4.4.华为设备转发过程 4.5.MPLS对TTL的操作 4 ...

  5. BGP/MPLS 虚拟专用网络 Option C 1

    图一拓扑图 一.实验目的 1.配置BGP/MPLS 虚拟专用网络 Option C 1 二.BGP/MPLS 虚拟专用网络 Option C 1 1.底层路由协议可以配置为OSPF.ISIS等 2.利 ...

  6. 【直通华为HCNA/HCNP系列R篇8】VRRP技术原理及配置与管理-王达-专题视频课程

    [直通华为HCNA/HCNP系列R篇8]VRRP技术原理及配置与管理-10465人已学习 课程介绍         本课程以笔者编写,由华为公司指定作为ICT认证培训教材--<华为路由器学习指南 ...

  7. 2023-01-20 网工进阶(三十九)MPLS 虚拟专用网络---概述、路由交互、CE接入PE方法、基本组网方案详解、团体属性、防环、MCE组网、伪连接方案、跨域组网详解、各种组网方案配置举例

    概述 VPN(Virtual Private Network,虚拟专用网络)指的是在一个公共网络中实现虚拟的专用网络,从而使得用户能够基于该专用网络实现通信的技术.MPLS VPN也是VPN技术中的一 ...

  8. 商业虚拟专用网络技术十 MPLS技术

    一.MPLS协议 1.MPLS简介 在90年代传统路由器设备因其.转发性能低下,无法提供QOS保证.逐渐成为网络的瓶颈.为什么会出现这样的状况? 主要是因为路由器采用的转发效率不高,路由器使用的是IP ...

  9. linux 虚拟专用网络设置,centos安装配置pptp 虚拟专用网络服务器步骤分享

    说明: 服务器操作系统:CentOS 5.X 64位 服务器IP地址:192.168.21.128 实现目的:服务器安装配置pptp软件,对外提供虚拟专用网络拨号服务 具体操作: 一.安装包下载 1. ...

最新文章

  1. 招聘|阿丘科技招系统软件与图像算法工程师(内推)
  2. opencv2函数学习之threshold:实现图像阈值化
  3. jsp stc_为什么说jsp的本质是servlet?
  4. JDBC预处理对象prepareStatement
  5. 数据包捕获计算机网络实训,计算机网络-使用网络协议分析器捕捉和分析协议数据包...
  6. UML类图操作(一)
  7. python learning1.py
  8. 修ecshop品牌筛选以LOGO图片形式显示
  9. Mysql JOIN连接算法
  10. 幼儿抽象逻辑思维举例_四个锻炼幼儿推理能力的小游戏,让孩子的逻辑思维更上一层楼...
  11. python 判断完全平方数
  12. Android开发 环境搭建(ubuntu)
  13. stringstream切割字符串
  14. vue路由懒加载resolve方式与import方式
  15. iOS开发--下滑返回dismiss
  16. NOIP2020划水记
  17. 暮光之城 - Eclipse的DVD发行 - 另一个重磅炸弹DVD
  18. cms系统有哪些_常见建站cms系统推荐
  19. Java中夏令时问题
  20. Intellij Idea 好用插件之GsonFormat

热门文章

  1. 我们应该为了爱,还是为了钱而找工作?
  2. 微软亚洲研究院成立理论中心,以理论研究打破AI发展瓶颈
  3. 与阿尔茨海默病不一样 最新研究出现新型痴呆症
  4. Topaz Video AI for mac(视频增强和修复工具)
  5. 模式识别学习笔记之——统计决策方法
  6. 性能统计工具 sysstat 使用介绍
  7. win11下载配置CIC Flowmeter环境并提取流量特征
  8. README文档模板 含下载地址0积分 项目文档模板 springboot文档示例 readme参考文档 目录跳转 项目架构 使用说明 目录结构 等等 (含附件下载)
  9. 20款电脑剪贴板软件良心推荐汇总
  10. bootmgr添加引导linux,基于bootmgr用EasyBCD制作多启动项引导U盘教程