MPLS_VPN_原理(联通内部培训胶片)

中国联合通信有限公司山东分公司培训中心MPLSVPN原理中国联合通信有限公司山东分公司培训中心.ChinaunicomPage2课程内容VPN定义、分类MPLSVPN工作原理中国联合通信有限公司山东分公司培训中心.ChinaunicomPage3VPN背景总公司租用专线我们有很多分公司，如果用租用专线的方式把他们和总公司连起来，需要花很多钱想节约成本的话，可以用VPN来连接分公司分公司分公司中国联合通信有限公司山东分公司培训中心.ChinaunicomPage4VPN简介IPVPN(VirtualPrivateNetwork，虚拟专用网)就是利用开放的公众IP/MPLS网络建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。IP/MPLS网中心站点分支机构移动办公人员中国联合通信有限公司山东分公司培训中心.ChinaunicomPage5隧道机制IPVPN可以理解为：通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线。隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。被封装的原始IP包新增加的IP头IPSec头乘客协议隧道协议承载协议原始IP包经过IPSec封装后中国联合通信有限公司山东分公司培训中心.ChinaunicomPage6隧道带来的好处隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关Internet被封装的原始IP包新增加的IP头IPSec头私网地址公网地址中心站点分支机构Internet根据这个地址路由可以使用私网地址，感觉双方是用专用通道连接起来的，而不是Internet隧道中国联合通信有限公司山东分公司培训中心.ChinaunicomPage7按隧道类型对VPN分类隧道协议如下：第二层隧道协议，如L2TP第三层隧道协议，如IPSec介于第二层和第三层之间的隧道协议，如MPLSVPN中国联合通信有限公司山东分公司培训中心.ChinaunicomPage8L2TPL2TP封装的乘客协议是位于第二层的PPP协议。原始数据包新增加的IP头L2TP头可以是IP、IPX和AppleTalkPPP封装原始数据包PPP头L2TP封装原始数据包PPP头可以是IP、ATM和帧中继L2TP没有对数据进行加密。中国联合通信有限公司山东分公司培训中心.ChinaunicomPage9L2TP的典型应用--VPDNL2TP连接PPP连接用户发起PPP连接到接入服务器接入服务器封装用户的PPP会话到L2TP隧道，L2TP隧道穿过公共IP网络，终止于电信VPDN机房的LNS用户的PPPsession经企业内部的认证服务器认证通过后即可访问企业内部网络资源中国联合通信有限公司山东分公司培训中心.ChinaunicomPage10IPSecIPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议被封装的原始IP包新增加的IP头IPSec头必须是IP协议必须是IP协议IPSec可以对被封装的数据包进行加密和摘要等，以进一步提高数据传输的安全性中国联合通信有限公司山东分公司培训中心.ChinaunicomPage11MPLSVPN的基本工作模式在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的IP包。MPLS网P1P2PE1PE2CE1CE210.1.1.1MPLS标签10.1.1.110.1.1.1中国联合通信有限公司山东分公司培训中心.ChinaunicomPage12MPLSVPN的特点MPLS标签位于二层和三层之间三层包头MPLS标签二层包头二层包头三层包头MPLS封装中国联合通信有限公司山东分公司培训中心.ChinaunicomPage13三种VPN的比较L2TPIPSecMPLSVPN隧道协议类型第二层第三层第二层和第三层之间是否支持数据加密不支持支持不支持对设备的要求只要求边缘设备支持L2TP只要求边缘设备支持IPSec要求边缘设备和核心设备都支持MPLS中国联合通信有限公司山东分公司培训中心.ChinaunicomPage14课程内容VPN定义、分类MPLSVPN工作原理中国联合通信有限公司山东分公司培训中心.ChinaunicomPage15VPN中的角色CECECECEPEPEPP运营商网络用户网络用户网络CE(CustomEdgeRouter)，用户边缘路由器，直接与运营商网络相连PE(ProviderEdgeRouter)，运营商边缘路由器，与CE相连，主要负责VPN业务的接入。P(ProviderRouter)：运营商核心路由器，主要完成路由和快速转发功能。中国联合通信有限公司山东分公司培训中心.ChinaunicomPage16BGP/MPLSVPN要达到的目标CECECECEPEPEPP隧道在PE与PE之间建立，用户不需要自己维护VPN把VPN隧道的部署及路由发布变为动态实现VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0VPNtunnel中国联合通信有限公司山东分公司培训中心.ChinaunicomPage17要解决的主要问题CECECECEPEPEPP提供一种动态建立的隧道技术解决不同VPN共享相同地址空间的问题VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0MPLSBGPVPNtunnel中国联合通信有限公司山东分公司培训中心.ChinaunicomPage18动态隧道----MPLS中国联合通信有限公司山东分公司培训中心.ChinaunicomPage19MPLS与动态隧道MPLS（MultiProtocollabelSwitch，多协议标签交换）是根据标签对数据包进行转发，因此在三层数据包中可以使用私有地址，从而形成了一种天然的隧道。MPLS标签的分发可以通过LDP等协议动态完成，所以MPLS能够提供动态的隧道。三层包头MPLS标签二层包头中国联合通信有限公司山东分公司培训中心.ChinaunicomPage20MPLS包头结构MPLS包头通常有32Bit:20Bit用作标签（Label）3个Bit的EXP,协议中没有明确，通常用作COS1个Bit的S,用于标识是否是栈底，表明MPLS的标签可以嵌套。理论上，标记栈可以无限嵌套，从而提供无限的业务支持能力。8个Bit的TTL2层头部MPLS头部IP头部数据标签EXPSTTL32Bit020232432中国联合通信有限公司山东分公司培训中心.ChinaunicomPage21MPLS标签的生成1R1R2R3R4172.16.1/24路由器发现有直连路由时就会向外发送标签172.16.1/24Label20In20中国联合通信有限公司山东分公司培训中心.ChinaunicomPage22MPLS标签的生成2R1R2R3R4172.16.1/24路由器发现自己有直连路由时就会向外发送标签收到下游到某条路由的标签并且该路由生效（也就是说，在本地已经存在该条路由，并且路由的下一跳和标签的下一跳相同）时会发送标签。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30中国联合通信有限公司山东分公司培训中心.ChinaunicomPage23MPLS标签生成的要点R1R2R3R4172.16.1/24运行MPLS的路由器中必须同时运行普通路由协议通过标签形成的路经，与查找路由表形成的路径是相同的In标签是由本地路由器发给其他路由器的，Out标签是由其他路由器发给自己的。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30中国联合通信有限公司山东分公司培训中心.ChinaunicomPage24MPLS数据包转发R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2中国联合通信有限公司山东分公司培训中心.ChinaunicomPage25MPLS的优化1R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2最后一跳路由器收到数据包后，并不需要进行标签转发，所做的只是去掉标签，然后送交IP层。最好在倒数第二跳路由器就去掉标签，直接把IP报文发送给最后一跳路由器。问题：路由器怎么知道自己是倒数第二跳？中国联合通信有限公司山东分公司培训中心.ChinaunicomPage26MPLS的优化2R1R2R3R4172.16.1/24172.16.1/24In3172.16.1/24In30out3172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.24172.16.1.25172.16.1.2最后一跳路由器向倒数第二跳分配一个特殊的标签3。路由器查看标签转发表，如果发现out标签是3，就认为自己是倒数第二跳路由器。标签分配方式（优化前）标签分配方式（优化后）转发方式(优化前)转发方式(优化后)倒数第一跳随机分配分配特定的标签3标签弹出，IP路由转发IP路由转发倒数第二跳随机分配随机分配标签交换标签弹出中国联合通信有限公司山东分公司培训中心.ChinaunicomPage27地址冲突----BGP中国联合通信有限公司山东分公司培训中心.ChinaunicomPage28地址冲突的细分CECECECEPEPEPP本地路由冲突问题，即在同一台PE上如何区分不同VPN的相同路由。（PE发时）路由在网络中的传播问题，即在PE上接收到来自不同VPN的两条相同路由时，如何进行辨别（PE收时）数据包的转发问题，即使成功解决了路由表的冲突，但在PE接收到一个IP数据包时，怎么知道该发给那个VPN？因为IP数据包头中唯一可用的信息就是目的地址，而很多VPN中都可能存在这个地址。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0中国联合通信有限公司山东分公司培训中心.ChinaunicomPage29解决本地路由冲突的思路CECEPE在PE上同时维护多张相互独立路由表一张全局路由表（公网路由表）为每个VPN建立一个路由表由于每个VPN使用自己独立的路由表，因此可以有效地解决本地路由冲突。VPN_AVPN_B10.1.0.010.1.0.0GlobalRoutingTableVRFforVPN-AVRFforVPN-BVPNRoutingTableIGP&/orBGP中国联合通信有限公司山东分公司培训中心.ChinaunicomPage30VRFVRF(VPNRouting&ForwardingInstance，VPN路由转发实例)可以看作虚拟的路由器，该虚拟路由器包括以下元素：一张独立的路由表，从而包括了独立的地址空间；一组归属于这个VRF的路由器接口的集合；一组只用于本VRF的路由协议。问题：VRF实现了不同VPN之间路由的隔离，这并不够，如何实现VRF之间的路由发布和交互呢？中国联合通信有限公司山东分公司培训中心.ChinaunicomPage31RT（Routetarget）PE2PE1Vrf1：exportredimp