CN2网络概况及MPLS VPN简介.ppt

* VPN路由转发实例简称为VRF。VRF只存在于PE上，在PE 上，针对每一个site ，我们都创建一个与之对应的VRF， 一个VRF包括一张路由表和一张转发表、一组使用这个VRF的接口集合以及一组与之相关的策略。VRF 不是直接对应于VPN，而是综合了和它所对应site的VPN成员关系和路由规则。VRF为每个site维护逻辑上分离的路由表。每一个VRF维护独立的地址空间，在VRF中应当包含了到达所有与本site 属于同一个VPN的site 路由信息。 这样，在PE上，来自CE的报文就可以根据相应的VRF来进行转发，而不用担心不同VPN之间地址空间的冲突。 在CE和PE之间通过静态路由、RIP、OSPF、EBGP等来传播路由信息，在骨干网内通过运行IGP（内部路由协议）来保证内部的连通性，通过IBGP来传播VPN组成信息和路由。 分离的路由表防止了数据泄漏出VPN之外，同时防止了VPN之外的数据进入。 每个PE可以维护一个或多个VRF，每个VRF可以被看作是一个虚拟的路由器。VRF可以与任何类型的接口关联起来，不管是物理接口还是逻辑接口（例如以太网口，子接口，虚接口等）。这样，当报文直接通过一个与VRF关联的接口到达时，只需在该VRF中查找报文的目的地址。 一个VRF接口，即当一个接口与一个VRF关联起来，这个接口不再是传统意义上的公用网络的接口，而是一个私有网络的接口。VRF可以与任何类型的接口关联起来，不管是物理接口还是逻辑接口。 * * 在前面提到过，PE之间通过公共网络交换VPN路由，不能采用普通的地址结构和路由协议。因此，首先引入RD（Route Distinguisher）的概念。RD是一个8字节的数，由于采用了Per-Site的VRF，所以可以摒弃了VPN-ID的概念，采用RD来标示每个VRF。 RD与VRF是一一对应的，每一个VRF都有自己的RD，RD在骨干网中保持唯一性，是Site的标识。 PE路由器之间使用BGP来发布VPN路由。标准BGP对每个IP前缀只能安装和发布一个路由。由于每个VPN有自己的地址空间，意味着同样的IP地址会被任意数目的VPN所使用，在每个VPN中这个地址表示一个不同的系统。 这样就需要允许BGP对每个IP前缀可以安装和发布多个路由，同时，要使用特定的策略来决定哪一条路由被哪个site所使用。为此，多协议BGP 使用了新的地址族--VPN-v4地址。一个VPN-v4地址有12个字节，开始是8字节的RD，接下去是4字节的IP地址。 如果两个VPN使用相同的IP地址，PE路由器为它们添加不同的RD，转换成唯一的VPN-v4地址，不会造成地址空间的冲突。 * RD的结构为一个两字节的类型域、一个管理者域和一个编码域。管理者域和编码域的长度由类型域决定。RD为零的VPN-v4地址同全局唯一的IP地址是同义的。对PE中每个site的路由表来说，对应一个IP地址只有唯一的VPN-v4地址。PE路由器可以为从每个CE路由器来的路由设置相同的RD，也可以为从同一CE路由器来的不同路由设置不同的RD。 RD加上IP地址构成了VPN-v4地址。 使用VPN-v4地址解决了VPN路由在公共网络中传递时的地址空间冲突问题，但由于这已经不再是原有的IP地址族的地址结构，不能被普通的路由协议所承载，同时，每一个用户网络都是独立的系统，它们之间经过服务提供商的路由信息传递使用IGP协议显然是不适合的，于是我们需要将BGP协议作一定的扩展，用它来承载新的VPN-v4地址族路由，同时传递附加在路由上的Route Target属性。 对PE中每个site的路由表来说，对应一个IPv4地址只有唯一的VPN-IPv4地址。 RD的值来自本地的配置。 PE从CE接收的路由是IPv4路由，需要引入VRF路由表中，此时需要附加一个RD。 PE路由器可以为从每个CE路由器来的路由设置相同的RD，也可以为从同一CE路由器来的不同路由设置不同的RD * PE之间交换VPN信息，在BGP的UPDATE报文中承载VPN-v4地址族路由，这就需要对BGP进行了扩展的MBGP（多协议BGP）。MBGP不仅能承载IPv4路由，而且能承载VPN，IPv6，多播等路由。 MBGP有两个主要的工作，为路由指定特定网络层协议的下一跳和NLRI（网络层可达信息），为此MBGP引入了两个路由属性，MP_REACH_NLRI和MP_UNREACH_NLRI。 MP_REACH_NLRI属性是用于发送可达新协议的路由；发送新协议下的下一跳信息，以NLRI的方式编码；允许路由器报告部分或全部存在于本地系统的SNPA（子网接入点）。 MP_UNREACH_NLRI属性是用于撤销多个不可达路由。 * Route Target属性是BGP的一种扩展团体属性。