MPLS VPN 技术构架

©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—1MPLSVPN技术构架©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—2什么是VPN？VPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—3为什么选择VPN？与任何传统的广域网相比，VPN的运营成本和连接远程用户的成本更低。此外，VPN的固定通讯成本有助于企业了解其经营开支。一个VPN线路还能够提供低成本的全球网络机会©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—4©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—5©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—6©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—7有哪些种类型的VPN？VPN是一个庞大的概念，任何可以实现虚拟专线的技术都可以称为VPN，主要分为：“OverlayVPN”和“Peer-to-PeerVPN”©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—8©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—9OverlayVPN－隧道建立在CE上VPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkGRE/IPsectunnel特点：在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，服务商对客户网络结构一无所知。典型代表是GRE、IPSec优点：不同的客户地址空间可以重叠，保密性、安全性非常好。缺点：需要客户自己创建并维护VPN。GRE穿越Internet存在安全隐患IPSec加密解密又会增大延迟，限制吞吐量，并且也同样存在安全隐患P©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—10OverlayVPN－隧道建立在PE上特点：在PE上为每一个VPN用户建立相应的隧道或虚链路优点：客户把VPN的创建及维护完全交给服务商，保密性、安全性比较好。典型代表Frame-relay缺点：客户不与运营商建立对等关系，不与运营商交换路由信息运营商内部虚链路静态配置，实施难度大VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CEPECEP-NetworkP©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—11OverlayVPNs:FrameRelayExample©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—12OverlayVPN的缺点OverlayVPN的本质是一种“静态”VPN，这好比是静态路由，所以他具有类似静态路由的全部缺陷：1.所有的配置与部署都需要手工完成，而且具有N^2问题：如果某个客户的VPN中新增了一个结点，则需要完成如下工作•在这个新增结点上建立与所有已存在的N个结点的隧道及相关的路由。•对于已存在的N个结点，需要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。2.由于是“静态”VPN，则无法反应网络的实时变化。©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—13Peer-to-PeerVPN的特点“静态”性质VPN不太适合大规模的应用和部署所以要解决的问题就是将VPN的部署及路由发布变为动态性。Peer-to-PeerVPN的产生就是源于这种思想。Peer-to-Peer是指CE-to-PE运行路由选择协议，由P网络负责传输路由©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—14©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—15Peer-to-PeerVPN的优点对等模型使得VPN服务提供商可以提供规模非常大的VPN服务(每一个服务提供商提供几千到几百万个VPN)。并存在如下优点:(1)配置非常简单。因为客户路由器(CE)只与一台提供商路由器(PE)交换路由信息,所以技术人员只需这一台提供商路由器的路由信息,而不用配置其他VPN站点相关信息。(2)容易实现QoS。对等模型使得更容易配置彼此之间的带宽。(3)更具可扩展性。因为新加入一个站点,不需要与其他站点建立连接,不存在覆盖模型的扩展问题。©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—16Peer-to-PeerVPN的问题？MPLSVPN的概念提出的很早，但在很长一段时间里难于实现，有几种存在的Peer-to-Peer的解决方案©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—17Peer-to-PeerVPN——（Sharedrouter）ACLs所有VPN用户的CE都连到同一台PE上，PE与不同的CE之间运行不同的路由协议（或者是相同路由协议的不同进程，比如OSPF）。由路由始发PE将这些路由发布到公网上，在接收端的PE上将这些路由过滤后再发给相应的CE设备。缺点：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL。客户的地址空间不能重叠VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私网路由在整个公网上传播ripospfospfisis©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—18Peer-to-PeerVPN——DedicatedRouterVPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私网路由在整个公网上传播ripripospfospf为每一个VPN单独准备一台PE路由器，PE和CE之间可以运行任意的路由协议，与其他VPN无关。PE与P之间运行BGP，并使用路由属性进行过滤。优点：无需配置任何的ACL了。缺点：每一个VPN用户都有新增一台专用的PE，代价过于昂贵了。地址空间不能重叠PEPE©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—19Peer-to-PeerVPN的问题？1.本地路由冲突问题，在同一台PE上区分不同VPN的相同路由。2.采用何种隧道技术，才能保证几百万条隧道的扩展性3.私网泄漏问题，P网络不应该学习上百万个VPN的私网路由4.P网流量转发问题，如何让没有私网路由的P路由器转发私网流量5.路由在网络中的传播问题，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此？6.在接收方如何决定收到了一条路由芳到哪个VPN的VRF表中7.报文的转发问题，即使成功的解决了路由表的冲突，但是当PE接收到一个IP报文时，他又如何能够知道该发给那个VPN？因为IP报文头中唯一可用的信息就是目的地址。而很多VPN中都可能存在这个地址。©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—201、地址冲突问题的解决VRF-虚拟路由转发，路由器上的虚拟机PECEVPN-AVPN-ACEVPN-B与全局路由表独立VRFforVPN-AVRFforVPN-B为每个VPN维护一张路由表CEIGP&/orBGP©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—212、可扩展的动态隧道技术采用MPLS作为动态隧道技术MPLS中的LSP是一种天然的隧道这种隧道的建立可以基于LDP协议，又是一种动态的标签生成协议©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—22LabelSwitchedPath(LSP)IntfInLabelInDestIntfOut34047.11IntfInLabelInDestIntfOutLabelOut35047.114047.147.247.3123121233IntfInDestIntfOutLabelOut347.1150IP47.1.1.1IP47.1.1.1MPLS的标签转发：通过自动配的标签，为报文建立了一条标签转发通道（LSP），实际就是一条单向隧道©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—233、私网泄漏问题的解决使用MP-BGP公告私网路由，P路由器不运行MP-BGP©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—244、P网转发问题的解决？对P网路由器来说，上百万条VPN路由，下一跳仍然只有几个（PE路由器），对去往相同的PE路由器的流量分配相同标签（IGP标签）©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—255、路由转发问题的解决？两条相同的IP路由在BGP中传播，对于中间路由器如何分辨彼此？使用路由区分符（RD），将每个32位的IPv4路由前面加上唯一的64位区分符RD变成独一无二的96位VPNv4路由，使用MP-BGP传输独一无二的VPNv4路由。©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—26©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—27©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—286、路由的插表问题？对于接收端的PE路由器，接受到了一条IPv4路由（已剥离了RD）该如何决定此放入哪个VRF的表项中，使用路由目标（RT），RT是BGP扩展团体属性community，会伴随MP-BGP的VPNv4路由发送，有很高的灵活性©2008CiscoSystems,Inc.Allrightsreserved.CIPT1v6.0—29RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分：ExportTarget与importTarget；前者表示了我发出的路由的属性，而后者表示了我对那些路由感兴趣。例如：SITE-A：我发的路由是红色的，我也只接收红色的路由。SITE-B：我发的路由是红色的，我也只接收红色的路由。SITE-C：我发的路由是黑色的，我也只接收黑色的路由。SITE-D：我发的路由是黑色的，我也只接收黑色的路由。这样，SITE－A与SITE-B中就只有自己和对方的路由，两者实现了互访。同理SITE－C与SITE-D也一样。这时我们就可以把SITE-A与SITE－B称为VPN-A，而把SITE-C与SITE-D称为VPN-B。baim:aex:bim:bex:aim:aex:aaim:aex:acbim