3基于MPLS的VPN实现

3基于MPLS的VPN实现3.1VPN的历史VPN服务是很早就提出的概念，不过以前电信提供商提供VPN是在传输网上提供的覆盖型的VPN服务。电信运营商给用户出租线路，用户上层使用何种的路由协议、路由怎么走等等，这些电信运营商不管。这种租用线路来搭建VPN的好处是安全，但是价格昂贵，线路资源浪费严重。后来随着IP网络的全面铺开，电信服务提供商在竞争的压力下，不得不提供更加廉价的VPN服务，也就是三层VPN服务。通过提供给用户一个IP平台，用户通过IPOverIP的封装格式在公网上打隧道，同时也提供了加密等等的手段提供安全保障。这类VPN用户在目前的网络上数量还是相当巨大的！但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满足。MPLS技术的出现和BGP协议的改进，让大家看到了另一种实现VPN的曙光。3.2MPLS/VPN体系结构3.2.1PE路由器的改造和VRF的导入为了让PE路由器上能区分是哪个本地接口上送来的VPN用户路由，在PE路由器上创建了大量的虚拟路由器，每个虚拟路由器都有各自的路由表和转发表，这些路由表和转发表统称为VRF(VPNRoutingandForwardinginstances)。一个VRF定义了连到PE路由器上的VPN成员。VRF中包含了IP路由表，IP转发表（也成为CEF表），使用该CEF表的接口集和路由协议参数和路由导入导出规则等等。在VRF中定义的和VPN业务有关的两个重要参数是RD(RouteDistinguisher)和RT(RouteTarget)。RD和RT长度都是64比特。有了虚拟路由器就能隔离不同VPN用户之间的路由，也能解决不同VPN之间IP地址空间重叠的问题。3.2.2MP-BGP协议对VPN用户路由的发布正常的BGP4协议能只传递IPv4的路由，由于不同VPN用户具有地址空间重叠的问题，必须修改BGP协议。BGP最大的优点是扩展性好，可以在原来的基础上再定义新的属性，通过对BGP修改，把BGP4扩展成MP-BGP。在MP-IBGP邻居间传递VPN用户路由时打上RD标记，这样VPN用户传来的IPv4路由转变为VPNv4路由，这样保证VPN用户的路由到了对端的PE上，能够使对端PE区分开地址空间重叠但不同的VPN用户路由。例子如下：在PE1、PE2、PE3上分别配置VRF参数，其中VPN1用户的RD=6500:1，RT=100:1，VPN2用户的RD=6500:2、RT=100:2。所有VRF可以同时导入和导出所定义的RT。以PE2为例，PE2从接口S0上获得由CE4传来的有关10.1.1.0/8的路由，PE2把该路由放置到和S0有关的VRF所管辖的IP路由表中，并且分配该路由的本地标签，注重该标签是本地唯一的。通过路由重新发布把VRF所管辖的IP路由表中的路由重新发布到BGP表中，此时通过参考VRF表的RD、RT参数，把正常的IPv4路由变成VPNv4路由，如10.1.1.0/8变成6500:1:10.1.1.0/8，同时把导出(EXPort)RT值和该路由的本地标签值等等的属性全部加到该路由条目中去。通过MP-IBGP会话，PE2把这条VPNv4路由发送的PE1处，PE1收到了两条有关10.1.1.0/8的路由，其中一条是由PE3发来的，由于RD的不同，导致该两条路由没有可比性。MP-BGP接受到该两条路由后的后继工作是：去掉VPN4路由所带的RD值，使之恢复IPv4路由原貌，并且根据各VRF配置的答应导入(Import)的RT值，把IPv4倒到各个VRF管辖的路由表和CEF表中，也就是说带有RT=100:1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中，带有RT=100:2的10.1.1.0/8的路由倒到VRF2所管辖的路由表和CEF表中。再通过CE和PE之间的路由协议，PE把不同的VRF管辖的路由表内容通告的各自的相联的CE中去。目前PE和CE之间可支持的路由协议只有四种BGP、OSPF、RIP2或者静态路由。3.2.3MPLS/VPN中标签分组的转发同过MP-BGP协议各个VPN用户路由器学习到正确的路由，现在看看如何转发用户数据的。1.CE1接收到发往10.1.1.1的IP数据包，查询路由表，把该IP数据包发送到PE1。2.PE1从S1口上收到IP数据包后，根据S1所在的VRF，查询对应的CEF表，数据包打上标签8，注重该标签就是通过MP-BGP协议传来的。PE1继续查询全局CEF表，获知要把数据发往10.1.1.1，必须先发送到PE2，而要发送到PE2，则必须打上由P1告知的标签2。所以该IP包被打上了两个标签。3.P1接收到标签包后，分析顶层的标签，把顶层标签换成4，继续发送的P2。4.P2和P1一样做同样的操作，由于次末中继弹出机制，P2去掉标签4，直接把只带有一个标签的标签包发送的PE2。5.PE2收到标签包后，分析标签头，由于该标签8是它本地产生的，而且是本地唯一的，所以PE2很轻易查出带有标签8的标签包应该去掉标签，恢复IP包原貌，从S1端口发出。6.CE2获得IP数据包后，进行路由查找，把数据发送到10.1.1.0/8网段上。4MPLS/VPN配置实例要提供VPN服务的前提是：服务提供商的网络必须启用标签交换功能，即把以前的数据网络升级为MPLS网络。然后具体配置PE，PE上的配置按六步走：1.定义并且配置VRF2.定义并且配置RD3.定义RT，并且配置导入导出策略4.配置MP-BGP协议5.配置PE到CE的路由协议6.配置连接CE的接口，将该接口和前面定义的VRF联系起来。上图中CE1、CE2、CE3组成一个VPN，其中PE3和CE3之间走RIP2协议，PE2和CE2之间走BGP协议。整个As6500中走OSPF协议。PE3的部分配置如下：ipcef----启用CEF转发功能ipvrfRed----定义一个VRF,名字为ReddescriptionForRedUserVpnrd6500:1----定义RD值为6500:1route-targetexport6500:1----定义导出策略route-targetimport6500:1---定义导入策略routerrip----配置PE3到CE3的路由协议RIP2version2!address-familyipv4vrfRedversion2redistributebgp6500metric1---将BGP学到的路由从新发布的RIP2中，network192.168.1.0使CE3能学到同一VPN中的其他路由noauto-summaryexit-address-familyrouterbgp6500---配置BGP协议nosynchronizationnobgpdefaultipv4-unicastbgplog-neighbor-changesneighbor192.168.168.2remote-as6500---和PE2建立邻居关系neighbor192.168.168.2update-sourceLoopback0noauto-summary!address-familyipv4vrfRed----为VPN用户配置IPv4地址家族，使redistributeripmetric1VRFRed所管辖的路由表中的路由从新发布到BGP协议中去。noauto-summarynosynchronizationexit-address-family!address-familyvpnv4----具体配置和PE2的关系，使PE3和PE2之间能交换VPNv4路由neighbor192.168.168.2activateneighbor192.168.168.2send-communitybothnoauto-summaryexit-address-familyinterfaceEthernet0/1-----配置连接CE3的接口ipvrfforwardingRed-----使该接口和前面定义的VRFRed联系起来ipaddress192.168.1.17255.255.255.252interfaceEthernet0/0---配置联系到7206上接口ipaddress192.168.1.10255.255.255.252half-duplextag-switchingip---在该接口上启用标签交换!PE2上的部分配置如下：ipcef----启用CEF转发功能ipvrfRed----定义一个VRF,名字为ReddescriptionForRedUserVpnrd6500:1----定义RD值为6500:1route-targetexport6500:1----定义导出策略route-targetimport6500:1---定义导入策略!同时上传附件routerbgp6500---?配制BGP协议nosynchronizationnobgpdefaultipv4-unicastbgplog-neighbor-changesneighbor192.168.168.4remote-as6500neighbor192.168.168.4update-sourceLoopback0neighbor192.168.168.4next-hop-self----这点在PE-CE之间路由协议为BGP时，一定要配置。noauto-summary!address-familyipv4vrfRedneighbor10.10.40.1remote-as6504--配置和CE2之间的路由协议BGPneighbor10.10.40.1activatenoauto-summarynosynchronizationexit-address-family!address-familyvpnv4ne无论是在欧美还是在中国，ＭＰＬＳＶＰＮ都是一项最新的技术。今年以来，这一技术有了突飞猛进的发展，已经成为一项成熟的专网技术。随着ＭＰＬＳＶＰＮ技术的成熟，它已被应用在全球５００强企业中的大部分企业中，成为欧美国家企业专网组网的首选方案，毫无疑问，它代表着ＶＰＮ发展的方向。ＶＰＮ（虚拟专网）是利用公共网络资源为客户组建专用网的一种技术，它通过对网络数据进行封包和加密传输，在公网上传输私有数据，达到私有网络的安全级别，从而利用公网构筑专网（即ＶＰＮ）。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个独立的物理网络。最初的ＶＰＮ是架构在Ｉｎｔｅｒｎｅｔ之上的，因此，当时人们最关心的是它的安全性，这也就成为当时ＶＰＮ需要解决的焦点问题。随后，为了解决安全性，运营商开始将ＶＰＮ架构在其运营的公网之上。而采用ＭＰＬＳ技术的ＶＰＮ的出现也不过是近几年的事，今年更是成为欧美国家企业专网组网的首选方案。而在中国，ＶＰＮ进入市场较晚，到目前为止，企业组网还是以专线方案和电路方式为主，只有部分使用集成商提供的基于ＩＰＳｅｃ技术的ＶＰＮ服务，今年１０月，中国网通正式公布对外推出ＭＰＬＳＶＰＮ，可以说是这一技术在中国的首次亮相，但它已引起了中国业界的足够重视。那么，这一技术究竟有何优势呢？对此，记者采访了中国网通数据产品治理部高级经理高寅。他指出，这一技术优势可以通过与传统的ＤＤＮ、帧中继方式进行比较来看。首先从用户自身网络的维护治理来看，当采用ＤＤＮ或帧中继进行组网时，用户需要维护的是一个广域网，高档次的设备和多而复杂的线路使得维护治理复杂、难度大、工作量大，相应的对技术人员的要求也非常高，用户需要在广域网的建设上投注极大的精力，甚至需要投入数名资深工程师的大量工作时间。而对于以ＭＰＬＳＶＰＮ进行组网的用户来说，大量繁杂、技术含量高的广域网维护工作已经由运营商担负了，因此用户需要维护的只是简单的设备，维护治理简单，工作量小，相应的对技术人员的要求也低，用户可以把几乎全部的精力都放在局域网的建设上。可以说，ＭＰＬＳＶＰＮ与ＤＤＮ、帧中继两种组网方式最大的区别就在于，ＭＰ