企业网VPN应用.docVIP

企业网VPN应用 【摘 要】MPLS L3VPN是一种基于L3的MPLS VPN技术，它使用BGP在企业骨干网上发布本集团的业务路由，使集团不同业务有了良好的隔离性，并能够方便地支持 QoS和，因此在企业网应用良好。 【关键词】VPN；VRF；RD；RT 1. MPLS L3VPN概述 CE（Customer Edge）设备：用户网络边缘设备，有接口直接与SP（Service Provider，服务提供商）相连。CE可以是路由器或交换机，也可以是一台主机。CE“感知”不到VPN的存在，也不需要必须支持MPLS。 PE（Provider Edge）路由器：服务提供商边缘路由器，是服务提供商网络的边缘设备，与用户的CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上。 P（Provider）路由器：服务提供商网络中的骨干路由器，不与CE直接相连。P设备只需要具备基本MPLS转发能力。 图 1是一个MPLS L3VPN组网方案的示意图。 2.技术要点 2.1VRF（VPN RoutingForwarding，VPN路由转发实例） 在同一个PE设备中，通过配置不同VRF来实现不同VPN之间的路由隔离。PE为每个独立的VPN业务建立并维护专属区域用于保存相对独立的路由表项。当然，如果一个站点中的用户同时属于多个VPN，则该站点的VPN实例中将包括所有这些VPN的信息。 2.2VPN-IPv4地址及RD（Route Distinguisher，路由标识符） 传统BGP无法正确处理地址空间重叠的VPN的路由。单独的VPN代表单独运行的业务，相互间独立，也就意味着各VPN间可使用相同私有地址段，假设VPN A和VPN B都使用了10.1.1.0/24网段的地址，并各自发布了一条去往此网段的路由，BGP将只会选择其中一条路由，从而导致去往另一个VPN的路由丢失。 PE路由器之间使用MP-BGP来发布VPN路由，并使用VPN-IPv4地址族来解决上述问题。 VPN-IPv4地址共有12个字节，包括8字节的RD和4字节的IPv4地址前缀，如图 2所示。 图2 VPNV4 地址结构 PE从CE接收到普通IPv4路由后，需要将这些私网VPN路由发布给对端PE。 为PE上每个VPN实例配置专门的RD，以保证到达同一CE的路由都使用相同的RD。RD或者是与自治系统号（ASN）相关的，在这种情况下，RD是由一个自治系统号和一个任意的数组成。 2.3RT （Router Target，路由控制） MPLS L3VPN使用BGP扩展团体属性——Route Target来控制VPN路由信息的发布。 PE路由器上的VPN实例有两类VPN Target属性： Export Target属性：在本地PE将从与自己直接相连的Site学到的VPN-IPv4路由发布给其它PE之前，为这些路由设置Export Target属性； Import Target属性：PE在接收到其它PE路由器发布的VPN-IPv4路由时，检查其Export Target属性，只有当此属性与PE上VPN实例的Import Target属性匹配时，才把路由加入到相应的VPN路由表中。 3.业务转发流程 在基本MPLS L3VPN应用中（不包括跨域的情况），VPN报文转发采用两层标签方式： 第一层（外层）标签在骨干网内部进行交换，由MPLS中的LDP协议分配。VPN报文利用这层标签，可以沿LSP到达对端PE； 第二层（内层）标签在PE到达CE时使用，由MPBGP指定送到哪个Site。这样，对端PE根据内层标签可以找到转发报文的接口。如图3所示： 图 3 MPLS L3VPN业务流程 4.航运网中部分测试配置案例 PE1（config）#ip vrf test1 PE1（config-vrf）#rd 100：1 PE1（config-vrf）#address-family ipv4 PE1（config-vrf-af）#route-target import 100：1 PE1（config-vrf-af）#route-target export 100：1 PE1（config）#router bgp 100 PE1（config-bgp）#neighbor 10.10.3.3 remote-as 100 PE1（config-bgp）#address-family ipv4 vrf test1 PE1（config-bgp-af）#neighbor 10.1.1.2 remote-as 200 PE1（config-bgp）#address-family vpnv4 PE1（config-bgp-af）#neighbor 10.10.3.3 activate 5.总结 实际组网中，VPN用户