CCIE---MPLS--VPN.ppt

MPLS L3 VPN 路由交换及数据转发流程 MPLS L3 VPN路由交换及数据转发流程 MPLS/VPN的路由交换过程主要分为四部分： 公网标签分配过程； CE与PE之间的路由交换； PE和PE之间的路由交换使用MP-IBGP VRF路由注入到MP-IBGP的过程； MP-IBGP路由注入到VRF的过程。 3.1.1 CE与PE之间的路由交换 在PE上为不同的VPN站点配置VRF。PE上维护多个独立的路由表，包括公网和私网(VRF)路由表，其中： 1、公网路由表：包含全部PE和P路由器之间的路由，由骨干网IGP产生。 2、私网路由表：包含本VPN用户可达信息的路由和转发表。 3.1.2 VRF路由注入到MP-IBGP的过程 在从CE端接收到路由信息后，PE路由器需要对该路由加上RD（RD为手工配置），使其变为一条VPN-IPv4路由。然后在路由通告中更改下一跳属性为自己（通常是自己的loopback地址），为这条路由加上私网标签（由MP-IBGP协议随机自动生成，无需配置）、加上RT属性（RT需手工配置）。这一系列工作完成后，由PE发给其它所有的PE邻居。其它的PE邻居也进行同样的操作用于交换不同CE端的路由。 3.1.3 公网标签分配过程 首先PE和P路由器通过骨干网IGP学习到BGP邻居下一跳的地址。通过运行LDP协议，分配标签，建立LSP通道。标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳 ，内层标签表示报文的出接口或者属于哪个VRF（属于哪个VPN）。MPLS节点转发是基于外层标签，而不管内层标签是多少。此时通过MPLS的外层标签空间，PE设备间就可以进行正常的路由交换了。 3.1.4 MP-IBGP路由注入到VRF的过程 如图所示，接收端PE在接收到发送端PE发送的路由后，将VPN-v4路由变为IPv4路由，并且根据本地VRF的import RT属性将路由条目加入到相应的VRF中，私网标签保留，记录到转发表中，留做转发时使用。再由本VRF的路由协议引入并传递给相应的CE。发给CE时下一跳为接收端PE自己的接口地址。这样就完成了从MP-IBGP路由注入到VRF的过程。 经过以上四个步骤，整个MPLS VPN网络的路由交换就完成了。此时VPN构建完成，可以进行正常的业务数据转发了。 3.2 MPLS L3 VPN数据转发流程 MPLS/VPN的数据转发过程也需要分为两部分来进行处理： 1、 从CE到Ingress PE。 2、 Ingress PE－P 3. P → Egress PE 4. Egress PE－CE 我们还是通过具体的实例来进行分析。 3.2.1 数据转发——从CE到Ingress PE CE将报文发给与其相连的VRF接口，PE在本VRF的路由表中进行查找，得到了该路由的公网下一跳地址（即：对端PE的loopback地址）和私网标签。 在把该报文封装一层私网标签后，在公网的标签转发表中查找下一跳地址，再封装一层公网标签，交与MPLS转发。 3.2.2 数据转发—Ingress PE－Egress PE－CE 如图所示，从Ingress PE－Egress PE－CE的数据报文转发过程如下： 如前一部分所述，交由MPLS转发的报文在公网上沿着LSP转发，并根据途径的每一台P设备的标签转发表进行标签交换。在倒数第二跳P设备处，将外层的公网标签弹出，并由该P设备交给目的PE设备，PE设备根据内层的私网标签判断该报文属于哪个VRF。然后弹出内层的私网标签，在目的VRF中查找路由表，根据下一跳发给相应的CE。 这样VPN站点间的一次数据交换就完成了。 MP-BGP(多协议BGP） 如上图所示，用户局域网LAN1连接Internet，用户局域网LAN2也连接Internet， 当LAN1要和LAN2直接通过内网地址进行相互访问时，只要之间实现MPLS_VPN即可，在实施MPLS_VPN时，Internet 中之前是运行着MPLS的，我们已经知道，在MPLS中，中间的LSR称为P，而MPLS中连接着用户网络的边缘LSR称为PE，用户连接PE的路由器称为CE，而用户自己内部的路由器可以称为是CE。 MP-BGP(多协议BGP） 用户的网段到达PE时，因为要让BGP区分不同的用户网段，所以PE会为它加上RD，加上了RD的网段称为vpnv4，这时PE会将vpnv4的路由放入MP-BGP，然后MP-BGP再将vpnv4从MPLS网络中通告给对端的BGP邻居，但是要保证vpnv4到达对端BGP邻居之后，对方还能够认识这这些vpnv4的RD，那么BGP就必须为vpnv4打上相应的标签，对方BGP邻居看了这个标签，就能根据RD将