华为中文培训DTL210010 MPLS_L3_V-P-N原理.ppt

首先介绍MPLS BGP VPN的基本工作原理。 MPLS BGP VPN基本工作原理是：利用BGP在运用商骨干网上传播VPN的私网路由信息，用MPLS来转发VPN业务流。 1、VPN路由信息发布 1）CE到PE间的路由信息交换 PE需要了解与它相连的CE的VPN路由信息，并存放到相应的VPN-instance中。在目前的实现中，PE与CE之间的路由信息交换可以通过静态路由、RIP等IGP协议或EBGP来实现。 2）入口PE到出口PE的路由信息交换 入口PE路由器利用MBGP把它从CE学习到的路由信息发布给出口PE，并获得出口PE学习到的CE路由信息。 PE根据Export VPN Target检查所有VPN-instance的Import VPN Target属性，决定是否对路由添加前缀，作为VPNv4路由加入到VPN-instance。 PE之间通过IGP来保证内部的连通性，通过MBGP来传播VPN路由信息，并完成VPN-instance的更新。 3）出口PE到出口CE间的路由信息交换 出口CE可以通过静态路由、RIP等IGP协议或EBGP，从相连的PE上学习VPN路由。 经过以上的步骤，CE之间将建立可达的路由，完成VPN私网路由信息在公网上的传播。 其中MBGP（Multiprotocol extensions for BGP-4，请参见RFC2283）用来在PE路由器之间传播VPN组成信息和路由。MBGP向下兼容，既可以支持传统的IPv4地址族，又可以支持其他地址族（比如VPN-IPv4地址族）。使用MBGP确保VPN的私网路由只在VPN内发布，并实现MPLS VPN成员间的通信。 2、VPN报文转发 VPN报文转发采用两层标签方式： 第一层（外层）标签在骨干网内部进行交换，指示从PE到对端PE的一条LSP。VPN报文利用这层标签，可以沿LSP到达对端PE； 第二层（内层）标签在从出口PE到达出口CE时使用，指示报文应被送到哪个Site，或者更具体一些，到达哪一个CE。这样，出口PE根据内层标签，就可以找到转发报文的接口。 特殊情况下，属于同一个VPN的两个Site连接到同一个PE，这种情况下不存在如何到达对方PE的问题，只需要知道如何到达对端CE。 这里简单介绍了MPLS BGP VPN的基本工作过程，本课程后续会对MPLS BGP VPN的路由信息发布和报文转发进行详细介绍。为了由浅入深地理解MPLS BGP VPN的路由信息发布和报文转发流程，本课程接下来首先介绍几个基本地概念：VRF，RD，RT。 假设有两个公司A和B，通过MPLS VPN实现公司A和公司B的隔离，同时实现公司A总部和分公司A分部之间的互通，公司B总部和公司B分部之间的互通。规划公司A总部和分部属于VPNA，公司B总部和分部属于VPNB。一个VPN包含多个Site，如VPNA包含两个Site（公司A总部和公司A分部），VPNB也包含两个Site（公司B总部和公司B分部）。 两个公司的IP地址规划如图所示。 由于两个公司各自规划自己内部网络的IP地址，有可能会选用相同的IP地址空间。如PEA连接的总公司A和总公司B使用了相同的地址空间/24。PEA如何解决地址重叠的问题呢？PEA如何隔离VPNA和VPNB之间的路由信息呢？ PE上维护若干独立的路由转发表，包括一个公网路由转发表，以及一个或多个VRF（VPN Routing Forwarding）。 公网路由表，包含全部PE和P路由器的路由，由VPN的骨干网IGP产生 VRF ：VPN routing forwarding（VPN路由转发表），也称VPN-instance（ VPN实例），是PE为直接相连的site建立并维护的一个专门实体，每个site在PE上都有自己的VPN-instance ，每个VPN-instance包含到一个或多个与该PE直接相连的CE的路由和转发表，另外如果要实现同一VPN各个Site之间的互通，该VPN-instance还就应该包含连接在其他PE上的属于该VPN的Site的路由信息。 在RFC2547（BGP/MPLS VPNs）中， VPN-instance被称为per-site forwarding table，顾名思义， VPN-instance与site对应。更准确的描述是：每台CE与PE的连接对应一个VPN-instance 。PE上的各VPN-instance之间相互独立，并与公网路由转发表相互独立，可以将每个VPN-instance看作一台虚拟的路由器：维护独立的地址空间、有连接到该路由器的接口。 一个PE上的VPN-instance可以与该PE的任何类型接口绑定在一起，如果直接相连的site属于同一VPN，那这几个接口可以使用同一个VP