论网络规划与设计中的VPN技术.doc

论网络规划与设计中的VPN技术 1、相关定义 1.1、BGP/MPLS VPN中几个重要的概念 一、VRF BGP/MPLS vPN的安全举措之一就是路由隔离和信息隔离,它是通过VPN 路由转发(VpN Routing Forwarding:vRF)表和MPLs中的LsP来实现的。在 PE路由器上,存在有多个VRF表,这些VRF表是和PE路由器上的一个或多个 子接口相对应的,用于存放这些子接口所属VPN的路由信息。通常情况下,VRF 北京邮电人学丁程r项卜专业学位论文 表中只包含一个VPN的路由信息,但是当子接口属于多个VPN时,其所对应的 VRF表中就包含了子接口所属的所有VPN的路由信息。 对于每一个VRF表,都具有路山区分符(Route Distin邵isher:RD)和路由 目标(Route Ta嗯et:RT)两大属性。 二二、RD VPN中IP地址的规划是由客户自行制订的,因而有可能会出现客户选择在 RFC 1 918中定义的私有地址作为他们的站点地址或者不同的VPN使用相同的地 址域,也就是所谓的地址重叠现象。地址重叠的后果之一就是BGP无法区分来 自不同VPN的重叠路由,从而导致某个站点不可达。 为了解决这个问题.BGP/MPLSVPN除丁采用在PE路山器上使用多个VRF 表的方法,还引入了RD的概念。RD具有全局唯一性,通过将8个字节的RD 作为IPv4地址前缀的扩展,使不唯一的IPv4地址转化为唯一的VPN一IPv4地址。 VPN一IPv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的 分发。 RD和VRF表之间建立了一一对应的关系。通常情况下,对于不同PE路山 器上属于同一个VPN的子接口,为其所对应的VRF表分配相同的RD,换句话 说,就是为每一个VPN分配一个唯一的RD。但是对于重叠VPN,即某个站点 属于多个VPN的情况,由于PE路由器上的某个子接口属于多个vPN,此时,, 该子接口所对应的VRF表只能被分配一个RD,从而多个VPN共享一个RD。 三、RT RT的作用类似于BGP中扩展团体属性,用于路由信息的分发。它分成ImPort RT和ExportRT,分别用于路由信息的导入、导出策略。当从vRF表中导出VPN 路由时,要用ExPort RT对VPN路由进行标一记;在往vRF表中导入vPN路由 时,只有所带RT标记与VRF表中任意一个Import RT相符的路由刁‘会被导入到 VRF表中。RT使得PE路由器只包含和其直接相连的VPN的路由,而不是全网 所有VPN的路由,从而节省了PE路由器的资源,提高了网络拓展性。RT具有 全局唯一性,并月.只能被一个VPN使用。通过对lmPort RT和ExP0rt RT的合理 配置,运营商可以构建不同拓扑类型的vPN,如重叠式vPN和Hub一and一spoke VPN。 2 2.3 BGP/MPLS VPN的体系结构 体系结构主要分成数据面和控制面。数据面定义了VPN数据的转发过程;控制面则定 义了LSP的建立和VPN路由信息、的分发过程。在此,我们土要讨论一卜数据的转发过程和 路由信息的分发过程。 .数据转发过程 在MPLS网络中传输的VPN数据采用外标签(又称隧道标签)和内标签(又 1七京邮电人学「程硕卜专业学拉论文 称VPN标签)两层标签栈结构,它们分别对应于两个层面的路由:域内路由和 VPN路由。域内路由即MPLS中的LSP是由PE路由器和P路由器通过运行标 签分发协议(Label Distribution Protoeol:LnP)或资源预留协议(Resouree Reservation Protocol:RSVP)建立的,它所产生的标签转发表用于VPN分组外 层标签的交换。VPN路由是由PE路由器之间通过运行MP一iBGP建立的,该协 议跨越骨干网的P路由器分发VPN标签形成VPN路由。 在PE路由器上除了VRF表外,还有MPLS路由表,该表用于存放VPN标 签和子接口的对应关系,为出口PE路由器到CE路由器之间的数据转发提供依 据。 具体数据转发过程如下:当CE路由器通过某个子接口将一个VPN分组发给 入日PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到 VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打 上两层标签之后,就通过输出接口发送到相应LSP上的第一个P路由器。骨干 网中P路由器根据外层标签逐跳转发VPN分组,直至最后一个P路由器弹出外 层标签,将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据 VPN标签,查找MPLS路山表得到对应的输出接口,在弹出VPN标签后通过该 接日将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。特 别的,当出口PE路由器和