RFC 2547-vpn講課教案

1、Good is good, but better carries it.精益求精，善益求善。RFC 2547-vpnRFC2547bis:BGP/MPLSVPN目錄TOCo1-3內(nèi)容提要PAGEREF_Toc511035417h2BGP/MPLSVPN概述PAGEREF_Toc511035418h2網(wǎng)絡(luò)組成部分PAGEREF_Toc511035419h3客戶邊緣設(shè)備PAGEREF_Toc511035420h3供應(yīng)商邊緣路由器PAGEREF_Toc511035421h3供應(yīng)商路由器PAGEREF_Toc511035422h4運(yùn)行模型PAGEREF_Toc511035423h4網(wǎng)絡(luò)拓?fù)鋵?shí)例PAGE

2、REF_Toc511035424h4控制流量PAGEREF_Toc511035425h5數(shù)據(jù)流量PAGEREF_Toc511035426h6BGP/MPLSVPN的優(yōu)點(diǎn)PAGEREF_Toc511035427h7挑戰(zhàn)和解決方案PAGEREF_Toc511035428h7重疊客戶地址空間PAGEREF_Toc511035429h8VPN-IPv4地址家族PAGEREF_Toc511035430h8多協(xié)議BGP擴(kuò)展PAGEREF_Toc511035431h9強(qiáng)制網(wǎng)絡(luò)連接PAGEREF_Toc511035432h9多個(gè)轉(zhuǎn)發(fā)表PAGEREF_Toc511035433h10BGP擴(kuò)展區(qū)屬性PAGEREF

3、_Toc511035434h11維護(hù)更新的VPN路由信息PAGEREF_Toc511035435h13節(jié)約骨干帶寬和PE路由器分組處理資源PAGEREF_Toc511035436h13案例分析：一個(gè)服務(wù)供應(yīng)商骨干PAGEREF_Toc511035437h14VPN路由信息的分配PAGEREF_Toc511035438h16CE路由器到入口PE路由分配PAGEREF_Toc511035439h16入口PE到出口PE路由在骨干中的分配PAGEREF_Toc511035440h19出口路由器到CE路由的分配PAGEREF_Toc511035441h23通過BGP/MPLS骨干轉(zhuǎn)發(fā)客戶VPN流量PAG

4、EREF_Toc511035442h24源CE路由器到入口PE路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035443h25入口PE路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035444h25P路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035445h25PE路由器到信宿CE路由器轉(zhuǎn)發(fā)PAGEREF_Toc511035446h25實(shí)例#1：從站點(diǎn)1到站點(diǎn)4轉(zhuǎn)發(fā)VPNRed流量PAGEREF_Toc511035447h26實(shí)例#2：把VPNRed流量從站點(diǎn)4轉(zhuǎn)發(fā)到站點(diǎn)1PAGEREF_Toc511035448h27實(shí)例#3：把VPNGreen流量從站點(diǎn)6轉(zhuǎn)發(fā)到站點(diǎn)7PAGEREF_Toc511035449h28

5、從VPN站點(diǎn)接入公共InternetPAGEREF_Toc511035450h29非VRFInternet接入PAGEREF_Toc511035451h29VPN主機(jī)到公共InternetPAGEREF_Toc511035452h30公共Internet到VPN主機(jī)PAGEREF_Toc511035453h30BGP/MPLSVPN的擴(kuò)充能力PAGEREF_Toc511035454h30結(jié)論P(yáng)AGEREF_Toc511035455h31內(nèi)容提要直到最近，公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)之間一直存在著明顯的區(qū)別。公共網(wǎng)絡(luò)如普通老式電話業(yè)務(wù)(POTS)或Internet，是允許自由相互交換信息的許多不相關(guān)系統(tǒng)的

6、集合。專用網(wǎng)絡(luò)則由單一組織擁有并管理、且互相共享信息的計(jì)算機(jī)組成。在專用網(wǎng)絡(luò)中，不同的站點(diǎn)使用專用租賃線路實(shí)現(xiàn)互連，保證站點(diǎn)之間的連接一直是專用的。對(duì)部署了專用網(wǎng)絡(luò)的企業(yè)，可以保證企業(yè)是唯一使用該網(wǎng)絡(luò)的機(jī)構(gòu)。盡管部署單一的VPN服務(wù)模型可以簡(jiǎn)化網(wǎng)絡(luò)運(yùn)行，但這種方法并不能滿足各種客戶要求，因?yàn)槊總€(gè)用戶都有特殊的需要。每個(gè)客戶在安全問題、站點(diǎn)數(shù)量、用戶數(shù)量、路由復(fù)雜性、關(guān)鍵事務(wù)型應(yīng)用、流量模式、通信流量、人員網(wǎng)絡(luò)經(jīng)驗(yàn)、以及外包網(wǎng)絡(luò)服務(wù)意愿等方面都有所不同。為了滿足廣泛的客戶要求，服務(wù)供應(yīng)商必須為用戶提供一系列產(chǎn)品，其中包含各種不同的VPN服務(wù)提供模型。在過去幾年中，人們提出了許多不同的VPN模型：

7、傳統(tǒng)VPN幀中繼（第二層）ATM(第二層)基于CPE的VPNL2TP和PPTP(第二層)IPSec(第三層)供應(yīng)商開通的VPN(PP-VPNs)基于MPLS的第二層VPNBGP/MPLSVPN或RFC2547bis(第三層)本文的重點(diǎn)是讓您詳細(xì)了解RFC2547bis中建議的VPN服務(wù)模型，RFC2547bis已經(jīng)在服務(wù)供應(yīng)商界引起了廣泛關(guān)注。它提供了一種機(jī)制，簡(jiǎn)化了IP路由知識(shí)有限的各種客戶的廣域網(wǎng)操作。RFC2547bis為有效地?cái)U(kuò)充網(wǎng)絡(luò)提供了一種方式，同時(shí)提供了創(chuàng)收的增值服務(wù)。BGP/MPLSVPN概述RFC2547bis定義了一種機(jī)制，允許服務(wù)供應(yīng)商使用自己的IP骨干，為客戶提供VPN

8、服務(wù)。RFC2547bisVPN也稱為BGP/MPLSVPN，因?yàn)樗褂肂GP把VPN路由信息分布到供應(yīng)商的骨干中，并使用MPLS把VPN流量從一個(gè)站點(diǎn)轉(zhuǎn)發(fā)到另一個(gè)站點(diǎn)上。這種方法的主要目標(biāo)是：極大地簡(jiǎn)化服務(wù)，即使客戶缺乏IP路由經(jīng)驗(yàn)，客戶仍可以使用這些服務(wù)實(shí)現(xiàn)極高的服務(wù)擴(kuò)充能力和靈活性，便于大規(guī)模部署允許服務(wù)供應(yīng)商自己或由服務(wù)供應(yīng)商和客戶一道創(chuàng)建VPN的策略允許服務(wù)供應(yīng)商提供關(guān)鍵增值服務(wù)，以提高客戶忠誠(chéng)度網(wǎng)絡(luò)組成部分在RFC2547bis中，VPN是一種策略集合，這些策略控制著一套站點(diǎn)中的連接能力?？蛻粽军c(diǎn)通過一個(gè)或多個(gè)端口連接到服務(wù)供應(yīng)商網(wǎng)絡(luò)上，其中服務(wù)供應(yīng)商把每個(gè)端口與VPN路由表關(guān)聯(lián)起

9、來。在RFC2547bis中，VPN路由表稱為VPN路由和轉(zhuǎn)發(fā)(VRF)表。圖1說明了BGP/MPLSVPN的基本構(gòu)件。圖1：RFC2547bis網(wǎng)絡(luò)組成部分客戶邊緣設(shè)備客戶邊緣(CE)設(shè)備允許客戶通過連接一臺(tái)或多臺(tái)供應(yīng)商邊緣(PE)路由器的一條數(shù)據(jù)鏈路接入服務(wù)供應(yīng)商網(wǎng)絡(luò)。CE設(shè)備可以是一臺(tái)主機(jī)或一臺(tái)第二層交換機(jī)，但典型的CE設(shè)備是一臺(tái)IP路由器，它與其直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后，CE路由器把站點(diǎn)的本地VPN路由廣播到PE路由器，并從PE路由器上學(xué)習(xí)遠(yuǎn)程VPN路由。供應(yīng)商邊緣路由器PE路由器使用靜態(tài)路由、RIPv2、OSPF或EBGP與CE路由器交換路由信息。盡管PE路由器

10、維護(hù)著VPN路由信息，但它只需為其直接相連的那些VPN維護(hù)VPN路由。這種設(shè)計(jì)增強(qiáng)了RFC2547bis模型的擴(kuò)充能力，因?yàn)镻E路由器不需維護(hù)服務(wù)供應(yīng)商的所有VPN路由。每臺(tái)PE路由器為其直接相連的每個(gè)站點(diǎn)維護(hù)一個(gè)VRF。每個(gè)客戶連接(如幀中繼PVC、ATMPVC和VLAN)映射到某個(gè)VRF上。因此，PE路由器上的一個(gè)端口（而不是一個(gè)站點(diǎn)）與VRF相關(guān)。注意，PE路由器上的多個(gè)端口可以與一個(gè)VRF相關(guān)。PE路由器能夠維護(hù)多個(gè)轉(zhuǎn)發(fā)表，支持按VPN分隔路由信息。在從CE路由器上學(xué)習(xí)本地VPN路由后，PE路由器使用IBGP與其它路由器交換VPN路由信息。PE路由器可以保持到路由反射器的IBGP會(huì)話，

11、作為全網(wǎng)狀I(lǐng)BGP會(huì)話的替代方案。部署多個(gè)路由反射器增強(qiáng)了RFC2547bis模型的擴(kuò)充能力，因?yàn)樗恍枞魏螁蝹€(gè)網(wǎng)元維護(hù)所有VPN路由。最后，使用MPLS在供應(yīng)商骨干中轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時(shí)，入口PE路由器作為入口LSR使用，出口PE路由器作為出口LSR使用。供應(yīng)商路由器供應(yīng)商路由器是沒有連接CE設(shè)備的供應(yīng)商網(wǎng)絡(luò)中的任何路由器。在PE路由器之間轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時(shí)，供應(yīng)商路由器作為MPLS轉(zhuǎn)接LSR使用。由于是在采用兩層標(biāo)記堆棧的MPLS骨干中轉(zhuǎn)發(fā)流量，因此供應(yīng)商路由器只需維護(hù)到供應(yīng)商PE路由器的路由，而不需維護(hù)每個(gè)客戶站點(diǎn)專用的VPN路由信息。運(yùn)行模型BGP/MPLSVPN中有兩個(gè)基本的通信流

12、量：控制流量，用來分配VPN路由和建立標(biāo)記交換路徑(LSP)；數(shù)據(jù)流量，用來轉(zhuǎn)發(fā)客戶數(shù)據(jù)流量。網(wǎng)絡(luò)拓?fù)鋵?shí)例圖2是一個(gè)網(wǎng)絡(luò)拓?fù)鋵?shí)例，其中一個(gè)服務(wù)供應(yīng)商為不同的企業(yè)客戶提供BGP/MPLSVPN服務(wù)。在網(wǎng)絡(luò)中，有兩臺(tái)PE路由器與四個(gè)不同的客戶站點(diǎn)相連。圖2：BGP/MPLSVPN網(wǎng)絡(luò)拓?fù)鋵?shí)例通過下述策略，可以描述站點(diǎn)間連接能力：站點(diǎn)1中的任何主機(jī)可以與站點(diǎn)2中的任何主機(jī)通信站點(diǎn)2中的任何主機(jī)可以與站點(diǎn)1中的任何主機(jī)通信站點(diǎn)3中的任何主機(jī)可以與站點(diǎn)4中的任何主機(jī)通信站點(diǎn)4中的任何主機(jī)可以與站點(diǎn)3中的任何主機(jī)通信控制流量在BGP/MPLSVPN中，控制流量由兩個(gè)子流量構(gòu)成。第一個(gè)控制子流量負(fù)責(zé)在供應(yīng)商

13、骨干邊緣的CE和PE路由器之間及在供應(yīng)商骨干中的PE路由器之間交換路由信息。第二個(gè)控制子流量負(fù)責(zé)在供應(yīng)商PE路由器之間建立LSP。交換路由信息在本例中，PE1被配置成把VRFRed與其用來從CE1上了解路由的接口或子接口關(guān)聯(lián)起來。當(dāng)CE1把前綴10.1/16的路由廣播到PE1時(shí)，PE1在VRFRed中安裝到10.1/16的本地路由。PE1把使用IBGP把10.1/16的路由廣播給PE2。在廣播路由之前，PE1選擇一個(gè)MPLS標(biāo)記(在本例中是222)，這個(gè)標(biāo)記與路由一起廣播，并分配其環(huán)回地址作為路由的BGP下站。通過使用路由識(shí)別符（RD）和VPN-IPv4地址家族，RFC2547bis支持重疊地

14、址空間(RFC1918定義的專用地址)。RFC2547bis通過使用基于BGP擴(kuò)展區(qū)屬性（路由目標(biāo)）的路由過濾技術(shù)，強(qiáng)制在PE路由器之間分配路由信息。在PE2接到PE1的路由廣播時(shí)，它在路由攜帶的BGP擴(kuò)展區(qū)屬性基礎(chǔ)上執(zhí)行路由過濾，確定是否應(yīng)該把到前綴10.1/16的路由安裝到VRFRed中。如果PE2決定在VRFRed中安裝路由，那么它將把前綴10.1/16的路由廣播到CE2。建立LSP為使用MPLS在供應(yīng)商骨干上轉(zhuǎn)發(fā)VPN流量，必須在學(xué)習(xí)路由的PE路由器和廣播路由的PE路由器之間建立LSP(圖3)。圖3：站點(diǎn)1和站點(diǎn)2之間的LSP可以使用標(biāo)記分布協(xié)議（LDP）或資源預(yù)留協(xié)議（RSVP），在

15、服務(wù)供應(yīng)商網(wǎng)絡(luò)中建立和維護(hù)LSP。如果希望在兩臺(tái)PE路由器之間建立一個(gè)盡力而為的LSP，則供應(yīng)商使用LDP。在這種情況下，LSP遵循與盡力而為的流量相同的路由。如果希望為L(zhǎng)SP分配帶寬或使用流量工程為L(zhǎng)SP選擇一條明確的路徑，那么供應(yīng)商則使用RSVP?；赗SVP的LSP支持特定的服務(wù)質(zhì)量(QoS)保障和/或特定的流量工程目標(biāo)。為了保證多廠商互操作能力，所有PE和P路由器至少都要支持LDP。如果供應(yīng)商選擇使用LDP，那么將在骨干中建立一個(gè)全網(wǎng)狀盡力而為的LSP，以支持PE到PE連接能力。如果供應(yīng)商選擇使用RSVP，那么基于RSVP的LSP的優(yōu)先權(quán)要高于基于LDP的LSP?；贚DP的LSP和基

16、于RSVP的LSP都位于一對(duì)PE路由器之間，入口標(biāo)記交換路由器(LSR)選擇基于RSVP的LSP，而不是基于LDP的LSP。這種模型支持在服務(wù)供應(yīng)商的骨干中遞增配置基于RSV的LSP。注意，在PE路由器之間可以建立一個(gè)LSP或多個(gè)并行LSP(可能有不同的QoS功能)。此外，路由器反射器可以作為服務(wù)器，把入口PE路由器的路由反射到出口PE路由器上。如果供應(yīng)商使用路由反射，他們?nèi)孕柙赑E路由器之間建立LSP，因?yàn)槁酚煞瓷淦鞑灰欢ㄊ荘E路由器之間轉(zhuǎn)接路徑的組成部分。數(shù)據(jù)流量圖4說明了VPN數(shù)據(jù)流量在服務(wù)供應(yīng)商骨干中從一個(gè)客戶站點(diǎn)流到另一個(gè)客戶站點(diǎn)上。假設(shè)站點(diǎn)2上主機(jī)10.2.3.4希望與站點(diǎn)1上服務(wù)

17、器10.1.3.8通信。圖4：從站點(diǎn)2到站點(diǎn)1的數(shù)據(jù)流量主機(jī)10.2.3.4把服務(wù)器10.1.3.8的所有數(shù)據(jù)包轉(zhuǎn)發(fā)到默認(rèn)的網(wǎng)關(guān)上。在分組到達(dá)CE2時(shí)，它執(zhí)行最長(zhǎng)匹配路由查找操作，把IPv4分組轉(zhuǎn)到PE2上。PE2收到分組，在VRFRed查找路由，獲得下述信息：PE1與路由一起廣播的MPLS標(biāo)記(標(biāo)記=222)路由的BGP下站(PE1的環(huán)回地址)從PE2到PE1的LSP的外發(fā)子接口從PE2到PE1的LSP的初始MPLS標(biāo)記通過使用帶有一個(gè)標(biāo)記堆棧（其中含兩個(gè)標(biāo)記）的MPLS，把用戶流量從PE2轉(zhuǎn)發(fā)到PE1上。對(duì)這一數(shù)據(jù)流，PE2是LSP的入口LSR，PE1是LSP的出口LSR。在傳輸分組前，P

18、E2把標(biāo)記222推送到標(biāo)記堆棧上，使其成為底部(或內(nèi)部)標(biāo)記。當(dāng)PE2收到PE1針對(duì)到10.1/16的路由的IBGP廣播時(shí)，標(biāo)記在剛開始時(shí)會(huì)安裝在VRFRed中。然后，PE2把基于LDP的或基于RSVP的到PE1(路由的BGP下站)的LSP關(guān)聯(lián)標(biāo)記推送到標(biāo)記堆棧上，使其成為頂部(或路由器)標(biāo)記。在創(chuàng)建標(biāo)記堆棧后，PE2沿著從PE2到PE1的LSP，把外發(fā)接口上的MPLS分組轉(zhuǎn)發(fā)到第一臺(tái)P路由器上。P路由器根據(jù)頂部標(biāo)記，在供應(yīng)商骨干網(wǎng)絡(luò)的核心中交換分組。PE1的倒數(shù)第二臺(tái)路由器彈出頂部標(biāo)記(暴露底部或內(nèi)部標(biāo)記)，把分組轉(zhuǎn)發(fā)到PE1上。當(dāng)PE1收到分組時(shí)，它彈出創(chuàng)建本機(jī)IPv4分組的標(biāo)記。PE1使

19、用底部標(biāo)記(222)識(shí)別作為到10.1/16下站的直接連接的CE。最后，PE1把本機(jī)IPv4分組轉(zhuǎn)發(fā)到CE1，CE1則把分組轉(zhuǎn)發(fā)到站點(diǎn)1的服務(wù)器10.1.3.8上。BGP/MPLSVPN的優(yōu)點(diǎn)BGP/MPLSVPN的主要目標(biāo)是簡(jiǎn)化客戶的網(wǎng)絡(luò)操作，同時(shí)允許服務(wù)供應(yīng)商提供可擴(kuò)充的、創(chuàng)收的增值服務(wù)。BGP/MPLSVPN具有許多優(yōu)點(diǎn)，包括：每個(gè)VPN客戶使用的地址方案沒有任何限制?？蛻艨梢允褂萌蛭ㄒ坏幕?qū)Ｓ玫腎P地址空間。從服務(wù)供應(yīng)商角度，不同的客戶可以有重疊的地址空間。每個(gè)客戶站點(diǎn)的CE路由器不與其它CE路由器直接交換路由信息?？蛻舨槐靥幚碚军c(diǎn)間路由問題，因?yàn)榻鉀Q站點(diǎn)間路由問題是服務(wù)供應(yīng)商的職責(zé)

20、。VPN客戶不必管理骨干或虛擬骨干。因此客戶不需要管理訪問PE或P路由器。供應(yīng)商不需為每個(gè)客戶VPN管理單獨(dú)的骨干或虛擬骨干。因此，供應(yīng)商不要求管理訪問CE路由器。確定某個(gè)站點(diǎn)是否某個(gè)VPN成員的策略是客戶的策略。RFC2547bisVPN的管理模型允許由供應(yīng)商自己或由服務(wù)供應(yīng)商與客戶一道實(shí)現(xiàn)客戶策略。VPN可以涵蓋多個(gè)服務(wù)供應(yīng)商。盡管BGP/MPLSVPN的這種功能非常重要，但本文并沒有描述供應(yīng)商之間的VPN解決方案。如果不使用密碼技術(shù)，那么其安全性相當(dāng)于現(xiàn)有的第二層(ATM或幀中繼)骨干網(wǎng)支持的安全性。服務(wù)供應(yīng)商可以使用公共基礎(chǔ)設(shè)施，同時(shí)提供VPN和Internet連接服務(wù)。通過使用MPL

21、S墊片包頭中的實(shí)驗(yàn)位或通過使用流量工程LSP(通過RSVP進(jìn)行信令處理)，可以為客戶VPN服務(wù)提供靈活的可擴(kuò)充的服務(wù)質(zhì)量。RFC2547bis模型獨(dú)立于鏈路層(第二層)。挑戰(zhàn)和解決方案RFC2547bis使用多種機(jī)制，增強(qiáng)了該方法的擴(kuò)充能力，解決了特定的VPN運(yùn)行問題。這些挑戰(zhàn)包括：支持重疊客戶地址空間強(qiáng)制網(wǎng)絡(luò)連接保持更新的VPN路由信息節(jié)約骨干帶寬和PE路由器分組處理資源重疊客戶地址空間VPN客戶經(jīng)常管理自己的網(wǎng)絡(luò)，并使用RFC1918專用地址空間。如果客戶沒有使用全球唯一的IP地址，那么可以使用相同的32位IPv4地址，識(shí)別不同VPN中的不同系統(tǒng)，這會(huì)導(dǎo)致路由困難，因?yàn)锽GP假設(shè)它攜帶的每

22、個(gè)IPv4地址都是全球唯一的。為了解決這個(gè)問題，BGP/MPLSVPN支持一種機(jī)制，通過使用VPN-IPv4地址家族及部署多協(xié)議BGP擴(kuò)展(MP-BGP)，把非唯一的IP地址轉(zhuǎn)換成全球唯一的地址。VPN-IPv4地址家族重疊地址空間提出的一個(gè)挑戰(zhàn)是，如果傳統(tǒng)BGP看到同一個(gè)Ipv4地址前綴有兩條不同的路由(前綴被分配給不同VPN中的系統(tǒng))，BGP將象它們相同、而且安裝僅一條路由一樣處理前綴。結(jié)果，另一個(gè)系統(tǒng)是不可達(dá)的。解決這個(gè)問題要求一種機(jī)制，允許BGP消除前綴歧義，這樣就可以安裝兩條到達(dá)該地址的完全不同的路由，一個(gè)VPN一條。通過定義VPN-IPv4地址家族，RFC2547bis支持這種功能

23、。VPN-IPv4地址是一個(gè)12字節(jié)數(shù)字，其中包括一個(gè)8節(jié)字RD，后面跟一個(gè)4字節(jié)IPv4地址前綴。圖5說明了VPN-IPv4地址的結(jié)構(gòu)。圖5：路由識(shí)別符和IPv4地址的編碼8字節(jié)RD由一個(gè)2字節(jié)類型字段和一個(gè)6字節(jié)取值字段構(gòu)成。類型字段決定著取值字段兩個(gè)子字段（管理員和分配號(hào)碼）的長(zhǎng)度，以及管理員字段的語義。目前，為類型字段定義了兩個(gè)值，即0和1。對(duì)類型0，管理員子字段含有2個(gè)字節(jié)，分配號(hào)碼子字段含有4個(gè)字節(jié)。管理員子字段保持一個(gè)自治系統(tǒng)號(hào)碼(ASN)。我們堅(jiān)決不鼓勵(lì)使用專用ASN空間中的ASN。分配號(hào)碼子字段保持提供VPN服務(wù)的服務(wù)供應(yīng)商管理的、ASN分配的編號(hào)空間取值。對(duì)類型1，管理員子

24、字段含有4個(gè)字節(jié)，分配號(hào)碼子字段含有2個(gè)字節(jié)。管理員子字段保持一個(gè)IPv4地址。我們堅(jiān)決不鼓勵(lì)使用專用ASN空間中的ASN。分配號(hào)碼子字段保持提供VPN服務(wù)的服務(wù)供應(yīng)商管理的、ASN分配的編號(hào)空間取值。類型1RD的一個(gè)配置選項(xiàng)是在4字節(jié)管理員子字段中使用發(fā)起路由的PE路由器的環(huán)回地址，對(duì)2字節(jié)分配號(hào)碼子字段則選擇一個(gè)2字節(jié)分配號(hào)碼子字段。在PE路由器上配置RD時(shí)，RFC2547bis不要求一個(gè)VPN內(nèi)部的所有路由都使用相同的RD，實(shí)際上，一個(gè)VPN內(nèi)部的每個(gè)VRF都可以使用自己的RD。但是，服務(wù)供應(yīng)商必須保證每個(gè)RD在全球是唯一的。為此，我們堅(jiān)決不鼓勵(lì)在定義RD時(shí)使用專用ASN空間或?qū)Ｓ肐P地

25、址空間。使用公共ASN空間或公共IP地址空間保證了每個(gè)RD在全球是唯一的。全球唯一的RD提供了一種機(jī)制，允許每個(gè)服務(wù)供應(yīng)商管理自己的地址空間，創(chuàng)建全球唯一的VPN-IPv4地址，而不會(huì)與其它服務(wù)供應(yīng)商的RD賦值相沖突。使用全球唯一的RD支持：為一個(gè)公共IPv4前綴創(chuàng)建多條不同的路由。為同一個(gè)系統(tǒng)創(chuàng)建多個(gè)全球唯一的路由。使用策略決定哪些分組使用哪條路由。最后，注意下述觀點(diǎn)有助于避免混淆在BGP/MPLSVPN中使用VPN-IPv4的方式。VPN-IPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。VPN客戶不知道使用的是VPN-IPv4地址。只有在服務(wù)供應(yīng)商骨干中運(yùn)行的路由協(xié)議內(nèi)才攜帶VPN-IPv4地址。在

26、其穿越供應(yīng)商骨干時(shí)，在VPN數(shù)據(jù)流量的包頭中沒有攜帶VPN-IPv4地址。多協(xié)議BGP擴(kuò)展使用傳統(tǒng)的BGP4支持BGP/MPLSVPN的另一個(gè)局限性是，其最初的設(shè)計(jì)目的是只承載IPv4地址家族使用的路由信息。在意識(shí)到這種局限性后，IETF正在努力實(shí)現(xiàn)BGP4多協(xié)議擴(kuò)展的標(biāo)準(zhǔn)化。這些擴(kuò)展最初是在RFC2283中定義的(1998年2月)，之后在RFC2858作了更新(2000年6月)。擴(kuò)展允許BGP4承載多個(gè)網(wǎng)絡(luò)層協(xié)議(IPv6,IPX,VPN-IPv4等等)使用的路由信息。因此，為了部署B(yǎng)GP/MPLSVPN及支持VPN-IPv4路由分配，PE路由器必需支持MP-BGP擴(kuò)展，而不僅僅是支持傳統(tǒng)的

27、BGP。在交換VPN-IPv4路由信息前，RFC2547bis要求協(xié)調(diào)BGP功能，以保證BGP對(duì)等雙方都能夠處理VPN-IPv4地址家族。注意，MP-BGP擴(kuò)展具有向下兼容能力，因此支持這些擴(kuò)展的路由器仍能與不支持這些擴(kuò)展、使用傳統(tǒng)BGP4的路由器互操作(但傳統(tǒng)的BGP4不支持RFC2547bisVPN)。強(qiáng)制網(wǎng)絡(luò)連接假設(shè)路由表中沒有包含默認(rèn)的路由，那么一個(gè)基本IP路由假設(shè)是，如果在路由器的轉(zhuǎn)發(fā)表中沒有安裝到特定網(wǎng)絡(luò)的路由，那么從該路由器上不能到達(dá)網(wǎng)絡(luò)。通過強(qiáng)制路由信息的流動(dòng)，服務(wù)供應(yīng)商可以有效地控制客戶VPN數(shù)據(jù)通信的流量。BGP/MPLSVPN模型使用兩種機(jī)制強(qiáng)制路由信息的流動(dòng)：多個(gè)轉(zhuǎn)發(fā)表

28、BGP擴(kuò)展區(qū)屬性多個(gè)轉(zhuǎn)發(fā)表每個(gè)PE路由器維護(hù)一個(gè)或多個(gè)逐個(gè)站點(diǎn)的轉(zhuǎn)發(fā)表，稱為VRF。在配置一臺(tái)PE路由器時(shí)，每個(gè)VRF與直接連接服務(wù)供應(yīng)商的客戶的PE路由器上一個(gè)或多個(gè)端口（接口/子接口）相關(guān)。如果給定站點(diǎn)包含屬于多個(gè)VPN的主機(jī)，那么與客戶站點(diǎn)相關(guān)VRF包含該站點(diǎn)所屬的所有VPN的路由。在從直接連接的CE路由器上接到外發(fā)客戶數(shù)據(jù)包時(shí)，PE路由器在與該站點(diǎn)相關(guān)的VRF中查找路由。接收數(shù)據(jù)包的子接口決定著具體的VRF。支持多個(gè)轉(zhuǎn)發(fā)表使PE路由器能夠簡(jiǎn)便地按VPN分隔路由信息。圖6說明了PE1是怎樣填充VRFRed的。PE1從CE1中學(xué)習(xí)站點(diǎn)1的VPNRed路由，并把其安裝到VRFRed上。通過M

29、P-IBGP從其它PE路由器上學(xué)習(xí)遠(yuǎn)程路由，這些PE路由器直接連接擁有作為VPNRed成員的主機(jī)的站點(diǎn)。PE1從CE2中學(xué)習(xí)站點(diǎn)2的VPNRed路由，并把其安裝到VRFRed上。通過使用BGP擴(kuò)展區(qū)路由屬性，可以把遠(yuǎn)程路由導(dǎo)入VRFRed。站點(diǎn)4的本地VPNBlue路由和站點(diǎn)3的遠(yuǎn)程VPNBlue路由不與VPNRed相關(guān)，也不導(dǎo)入VRFRed中。圖6：PE路由器填充VPN路由和轉(zhuǎn)發(fā)表PE路由器支持多個(gè)轉(zhuǎn)發(fā)表具有許多優(yōu)點(diǎn)：同一臺(tái)PE路由器服務(wù)的不同VPN站點(diǎn)可以使用重疊地址空間。由策略（路由器子接口與VRF的映射），而不是由分組的用戶內(nèi)容，決定數(shù)據(jù)流量使用的具體路由表選擇。增強(qiáng)了擴(kuò)充能力，因?yàn)镻

30、E路由器不必為供應(yīng)商網(wǎng)絡(luò)支持的所有VPN維護(hù)一個(gè)專用的VRF。每臺(tái)PE路由器只需為每個(gè)直接相連的站點(diǎn)維護(hù)一個(gè)VRF。最后，骨干網(wǎng)絡(luò)可以支持到同一個(gè)系統(tǒng)的多條路由，其中從分組進(jìn)入供應(yīng)商骨干的站點(diǎn)決定具體的分組路由。BGP擴(kuò)展區(qū)屬性通過使用BGP擴(kuò)展區(qū)屬性，可以強(qiáng)制分配VPN路由信息。擴(kuò)展區(qū)屬性與路由屬性一起承載在BGP報(bào)文中。它們把該路由識(shí)別為屬于某個(gè)路由集合，這個(gè)集合中的所有路由在路由策略方面都獲得同等對(duì)等。每個(gè)BGP擴(kuò)展區(qū)在全球必須是唯一的(包含公共IP地址或ASN)，只能由一個(gè)VPN使用。但是，給定客戶VPN可以使用多個(gè)全球唯一的BGP擴(kuò)展區(qū)，以幫助控制路由信息的分配。BGP/MPLSVP

31、N使用32位BGP擴(kuò)展區(qū)屬性而不是傳統(tǒng)的16位BGP區(qū)屬性。使用32位擴(kuò)展區(qū)屬性增強(qiáng)了擴(kuò)充能力，因?yàn)橐粋€(gè)服務(wù)供應(yīng)商可以支持最多232個(gè)區(qū)(而不是216)。由于每個(gè)區(qū)屬性包含供應(yīng)商全球唯一的自治系統(tǒng)(AS)號(hào)碼，因此服務(wù)供應(yīng)商可以控制本地賦值，同時(shí)還可以保持該賦值的全球唯一性。RFC2547bisVPN可以使用最多三類BGP擴(kuò)展區(qū)屬性：路由目標(biāo)（routetarget）屬性確定PE路由器分配路由的一個(gè)站點(diǎn)集合(VRF)。PE路由器使用這個(gè)屬性，強(qiáng)制把遠(yuǎn)程路由引入其VRF。源VPN（VPN-of-origin）屬性確定一個(gè)站點(diǎn)集合，并建立來自該集合中一個(gè)站點(diǎn)的相關(guān)路由。源站點(diǎn)（site-of-or

32、igin）屬性確定PE路由器學(xué)習(xí)路由的具體站點(diǎn)。它編碼成路由源擴(kuò)展區(qū)屬性，可以用來防止路由環(huán)路。運(yùn)行模型在把本地路由分配給其它PE路由器之前，入口PE路由器把一個(gè)路由目標(biāo)屬性附到從直接相連的站點(diǎn)中學(xué)習(xí)的每條路由上。附到路由上的路由目標(biāo)基于VRF配置的導(dǎo)出目標(biāo)策略的值。這種方法提供了巨大的靈活性，允許PE路由器為一條路由分配一個(gè)路由目標(biāo)屬性。入口PE路由器可以配置成把一個(gè)路由目標(biāo)屬性賦值給從給定站點(diǎn)上學(xué)習(xí)的所有路由。入口PE路由器可以配置成把一個(gè)路由對(duì)象屬性賦值給從一個(gè)站點(diǎn)上學(xué)習(xí)的一個(gè)路由集合，而把其它路由目標(biāo)屬性賦值給從一個(gè)站點(diǎn)中學(xué)習(xí)的其它路由集合。如果CE路由器通過EBGP與PE路由器通信，

33、那么CE路由器可以為每條路由指定一個(gè)或多個(gè)路由目標(biāo)。這種方法把實(shí)現(xiàn)VPN策略的控制能力從服務(wù)供應(yīng)商轉(zhuǎn)到了客戶。在安裝另一臺(tái)PE路由器分配的遠(yuǎn)程路由之前，出口PE路由器上的每個(gè)VRF配置一個(gè)導(dǎo)入目標(biāo)策略。如果路由攜帶的路由目標(biāo)屬性與PE路由器VRF導(dǎo)入目標(biāo)之一相符，那么PE路由器可以在一個(gè)VRF中只安裝一條VPN-IPv4路由。這種方法允許服務(wù)供應(yīng)商使用一種機(jī)制，來支持擁有廣泛的站點(diǎn)間連接策略的VPN客戶。通過認(rèn)真配置導(dǎo)出目標(biāo)和導(dǎo)入目標(biāo)策略，服務(wù)供應(yīng)商可以建設(shè)不同類型的VPN拓?fù)浣Y(jié)構(gòu)。實(shí)現(xiàn)VPN拓?fù)浣Y(jié)構(gòu)的機(jī)制可以完全限制在服務(wù)供應(yīng)商，這樣VPN客戶并不知道這個(gè)過程。實(shí)例1：全網(wǎng)狀VPN拓?fù)浼僭O(shè)C

34、orporationRed希望其BGP/MPLSVPN服務(wù)供應(yīng)商創(chuàng)建一個(gè)支持全網(wǎng)狀站點(diǎn)連接的VPN(圖7)。CorporationRed的每個(gè)站點(diǎn)都可以把流量直接發(fā)送到另一個(gè)CorporationRed站點(diǎn)，但從同一個(gè)服務(wù)供應(yīng)商獲得BGP/MPLSVPN服務(wù)的CorporationBlue站點(diǎn)不能向CorporationRed站點(diǎn)發(fā)送流量，或從CorporationRed站點(diǎn)接收流量。圖7：全網(wǎng)狀VPN連接每個(gè)CorporationRed站點(diǎn)都與其PE路由器上的VRFRed相關(guān)。對(duì)每個(gè)VRFRed都配置一個(gè)全球唯一的路由目標(biāo)(Red)，作為導(dǎo)入目標(biāo)和導(dǎo)出目標(biāo)。這個(gè)路由目標(biāo)(Red)沒有作為導(dǎo)入

35、目標(biāo)或?qū)С瞿繕?biāo)分配給任何其它VRF。結(jié)果是在CorporationRed站點(diǎn)之間實(shí)現(xiàn)了全網(wǎng)狀連接。實(shí)例2：輪軸與輪輻式VPN拓?fù)浣Y(jié)構(gòu)假設(shè)CorporationRed希望其BGP/MPLSVPN服務(wù)供應(yīng)商創(chuàng)建一個(gè)支持輪軸與輪輻式連接的VPN(圖8)。下述策略可以描述CorporationRed的站點(diǎn)間連接。站點(diǎn)1可以直接與站點(diǎn)5通信，但不能直接與站點(diǎn)2通信。如果站點(diǎn)1希望與站點(diǎn)2通信，它必須通過站點(diǎn)5發(fā)送流量。站點(diǎn)2可以直接與站點(diǎn)5通信，但不能直接與站點(diǎn)1通信。如果站點(diǎn)2希望與站點(diǎn)1通信，它必須通過站點(diǎn)5發(fā)送流量。站點(diǎn)5可以直接與站點(diǎn)1和站點(diǎn)2通信。當(dāng)然，專用性要求CorporationRed站

36、點(diǎn)和CorporationBlue站點(diǎn)不能彼此收發(fā)流量。圖8：輪軸和輪輻式VPN連接通過使用兩個(gè)全球唯一的路由目標(biāo)值，可以輪軸和輪輻式拓?fù)?，這兩個(gè)值即輪軸和輪輻。輪軸站點(diǎn)的VRF配置成exporttarget=hub和importtarget=spoke。輪軸站點(diǎn)的VRF為其VRF中的所有路由分配一個(gè)輪軸屬性，由輪輻站點(diǎn)導(dǎo)入路由。輪軸站點(diǎn)上的VRF支持帶有輪輻屬性的所有遠(yuǎn)程路由。每個(gè)輪輻站點(diǎn)的VRF配置成exporttarget=spoke和importtarget=hub。每個(gè)輪輻站點(diǎn)的VRF為其路由分配一個(gè)輪輻屬性，由輪軸站點(diǎn)導(dǎo)入路由，但其它輪輻站點(diǎn)丟棄路由。輪輻站點(diǎn)的VRF只導(dǎo)入帶有輪軸

37、屬性的路由，從而只由輪軸站點(diǎn)廣播的路由填充其VRF。維護(hù)更新的VPN路由信息通過創(chuàng)建一個(gè)新的VRF或在現(xiàn)有的VRF中增加一個(gè)或多個(gè)導(dǎo)入目標(biāo)策略，進(jìn)而改變PE路由器的配置時(shí)，PE路由器可能需要獲得它過去丟棄的VPN-IPv4路由。傳統(tǒng)的BGP4在提供更新路由信息的速度上可能存在問題，因?yàn)樗且环N實(shí)時(shí)協(xié)議，不支持路由刷新請(qǐng)求報(bào)文的交換及路由的后續(xù)重新廣播。一旦BGP對(duì)等實(shí)現(xiàn)了路由表同步化，那么它們直到路由信息發(fā)生變化時(shí)才交換路由信息。BGP路由刷新功能為這種設(shè)計(jì)特點(diǎn)提供了一種解決方案。在MP-IBGP會(huì)話建立過程中，希望從對(duì)等或路由反射器收到路由刷新報(bào)文的BGP發(fā)話方使用BGP功能廣播來廣播BGP

38、路由刷新功能。BGP路由刷新功能指明，只有在它已經(jīng)從對(duì)等或路由反射器收到路由刷新功能廣播時(shí)，BGP發(fā)話方才能向?qū)Φ然蚵酚煞瓷淦靼l(fā)送路由刷新報(bào)文。在PE路由器的配置發(fā)生變化時(shí)，PE路由器可以請(qǐng)求從其MP-IBGP對(duì)等重傳路由信息，以獲得它過去丟棄的路由信息。在重新廣播路由，在PE路由器填充VRF時(shí)，將應(yīng)用更新后的導(dǎo)入目標(biāo)策略。節(jié)約骨干帶寬和PE路由器分組處理資源在填充VRF過程中，BGP發(fā)話方通常會(huì)從對(duì)等收到路由，然后根據(jù)每個(gè)VRF的導(dǎo)入目標(biāo)策略過濾不希望的路由。由于路由更新的生成、傳輸和處理都會(huì)消耗骨干帶寬和路由器分組處理資源，因此消除不必要的路由更新傳輸可以節(jié)約這些資產(chǎn)。通過啟動(dòng)新的BGP合

39、作路由過濾功能，可以降低BGP路由更新的數(shù)目。在建立MP-IBGP會(huì)話的過程中，希望向其對(duì)等或路由反射器收發(fā)出局路由過濾器（ORF）的BGP發(fā)話方使用BGP功能廣播來廣播合作路由過濾功能。BGP發(fā)話方把一套以BGP區(qū)表示的ORF發(fā)給對(duì)等。BGP路由刷新報(bào)文中攜帶的ORF項(xiàng)目。除本地配置的導(dǎo)出目標(biāo)策略外，對(duì)等還應(yīng)用收到的ORF，對(duì)BGP發(fā)話方強(qiáng)制實(shí)施和過濾出局路由更新。注意，BGP對(duì)等可以兌現(xiàn)、也可以不兌現(xiàn)從BGP發(fā)話方收到的ORF。通過實(shí)現(xiàn)這一機(jī)制，可以使用BGP合作路由過濾節(jié)約服務(wù)供應(yīng)商骨干帶寬和PE路由器分組處理資源。案例分析：一個(gè)服務(wù)供應(yīng)商骨干假設(shè)一個(gè)服務(wù)供應(yīng)商擁有一個(gè)IP骨干，為不同的

40、企業(yè)提供BGP/MPLSVPN服務(wù)。在網(wǎng)絡(luò)中有三臺(tái)PE路由器連接七個(gè)不同的客戶站點(diǎn)(圖9)。圖9：案例分析：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下述策略描述了本案例分析中希望的站點(diǎn)間連接：站點(diǎn)1中的任何主機(jī)都可以與站點(diǎn)4中的任何主機(jī)通信。站點(diǎn)2中的任何主機(jī)都可以與站點(diǎn)5中的任何主機(jī)通信。站點(diǎn)3中的任何主機(jī)都可以與站點(diǎn)6和站點(diǎn)7中的任何主機(jī)通信。站點(diǎn)4中的任何主機(jī)都可以與站點(diǎn)1中的任何主機(jī)通信。站點(diǎn)5中的任何主機(jī)都可以與站點(diǎn)2中的任何主機(jī)通信。站點(diǎn)6中的任何主機(jī)都可以與站點(diǎn)3和站點(diǎn)7中的任何主機(jī)通信。站點(diǎn)7中的任何主機(jī)都可以與站點(diǎn)3和站點(diǎn)6中的任何主機(jī)通信。假設(shè)服務(wù)供應(yīng)商使用RSVP在骨干中建立下述LSP(圖10)。每

41、個(gè)LSP入口上顯示的標(biāo)記是PE路由器與其用來把流量轉(zhuǎn)發(fā)到遠(yuǎn)程PE路由器上的路由相關(guān)的標(biāo)記。注意，如果供應(yīng)商使用LDP建立LSP，那么LSP可能看不去不是點(diǎn)到點(diǎn)連接，而是多點(diǎn)到單點(diǎn)連接。圖10：案例分析：標(biāo)記交換路徑圖11中說明了PE1的一般配置。圖11：案例分析：PE1的一般配置圖12中描述了PE2的一般配置。圖12：案例分析：PE2的一般配置圖13中描述了PE3的一般配置。圖13：案例分析：PE3的一般配置VPN路由信息的分配在客戶站點(diǎn)能夠把VPN流量轉(zhuǎn)發(fā)到遠(yuǎn)程站點(diǎn)之前，必須通過骨干把VPN路由信息從一個(gè)客戶站點(diǎn)分配到其它客戶站點(diǎn)。CE路由器到入口PE路由分配CE路由器把IPv4路由前綴廣播

42、到其PE路由器上。PE路由器可以使用多種機(jī)制，從其直接相連的每臺(tái)CE路由器上學(xué)習(xí)路由。靜態(tài)路由與CE路由器運(yùn)行一個(gè)IGP(RIPv2,OSPF)與CE路由器建立一條EBGP連接在路由信息從CE流向入口PE的過程中，PE路由器執(zhí)行多種功能。它為其直接相連的每個(gè)站點(diǎn)創(chuàng)建和維護(hù)一個(gè)VRF。注意，在本例中，PE3被配置成把多個(gè)站點(diǎn)(站點(diǎn)6和站點(diǎn)7)與一個(gè)VRF關(guān)聯(lián)起來。PE針對(duì)PE路由器和CE路由器之間運(yùn)行的本地配置的路由協(xié)議導(dǎo)入策略檢查所有路由。如果路由通過導(dǎo)入策略，那么前綴作為Ipv4路由安裝在VRF中。PE必須注意的是，它從每個(gè)CE（通過IGP連接）學(xué)習(xí)到的路由并沒有漏到供應(yīng)商的骨干IGP中。在

43、廣播路由前，PE為路由分配一個(gè)MPLS標(biāo)記。如果路由是通過點(diǎn)到點(diǎn)鏈路學(xué)習(xí)的，那么可以根據(jù)進(jìn)入的邏輯接口分配標(biāo)記。在點(diǎn)到點(diǎn)鏈路中，所有路由都分配相同的標(biāo)記。如果路由是通過共享介質(zhì)接口（如快速以太網(wǎng)）學(xué)習(xí)的，則根據(jù)廣播前綴的具體CE路由器分配標(biāo)記。在共享介質(zhì)接口的情況下，從給定CE路由器學(xué)習(xí)的所有路由都分配相同的標(biāo)記，而從另一臺(tái)CE路由器學(xué)習(xí)的所有路由則分配一個(gè)不同的標(biāo)記。PE1假設(shè)PE把標(biāo)記1001分配給從站點(diǎn)1學(xué)習(xí)的路由，標(biāo)記1002分配給從站點(diǎn)2學(xué)習(xí)的路由，標(biāo)記1003分配給從站點(diǎn)3學(xué)習(xí)的路由。PE1安裝三條MPLS路由，這樣在從骨干上接受一個(gè)帶有標(biāo)記1001、1002或1003的分組時(shí)，它

44、可以簡(jiǎn)單地彈出標(biāo)記，根據(jù)分組的標(biāo)記把IPv4分組直接轉(zhuǎn)發(fā)給CE1、CE2或CE3。MPLSForwardingTable(PE1)InputOutputInterfaceLabelActionInterfaceIf_21001Popif_1If_21002Popif_4If_21003Popif_3這些操作的結(jié)果是，PE1中的VRF將包含下述本地路由：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_11001-VRFBlueBGPBottomTopDestinationNext-HopInterfa

45、ceLabelLabel10.1/16Directif_41002-VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_31003-PE2假設(shè)PE2把標(biāo)記1004分配給從站點(diǎn)4學(xué)習(xí)的路由，標(biāo)記1005分配給從站點(diǎn)5學(xué)習(xí)的路由。PE2安裝兩條MPLS路由，這樣在從骨干上收到帶有標(biāo)記1004或1005的分組時(shí)，它可以簡(jiǎn)單地彈出標(biāo)記，并根據(jù)分組的標(biāo)記把IPv4分組直接發(fā)送到CE4或CE5上。MPLSForwardingTable(PE2)InputOutputInterfaceLabelActionInt

46、erfaceIf_11004Popif_2If_11005Popif_3這些操作的結(jié)果是，PE2中的VRF包含下述本地路由：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.2/16Directif_21004-VRFBlueBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.2/16Directif_31005PE3假設(shè)PE3把標(biāo)記1006分配給從站點(diǎn)6學(xué)習(xí)的路由，把標(biāo)記1007分配給從站點(diǎn)7學(xué)習(xí)的路由。PE3安裝兩條MPLS路由，這樣在從骨干上收到帶有標(biāo)記1006或10

47、07的分組時(shí)，它可以簡(jiǎn)單地彈出標(biāo)記，根據(jù)分組的標(biāo)記把IPv4分組直接轉(zhuǎn)發(fā)到CE6或CE7。MPLSForwardingTable(PE3)InputOutputInterfaceLabelActionInterfaceIf_11006Popif_2If_11007Popif_3這些操作的結(jié)果是，PE3中的VRFGreen包含下述本地路由：VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.2/16Directif_21006-10.3/16Directif_31007-入口PE到出口PE路由在骨干中的分配入口PE路由器使用M

48、P-IBGP，把從直接相連的站點(diǎn)上獲得的路由分配給出口PE路由器。PE路由器必需維護(hù)一個(gè)MP-IBGP網(wǎng)狀或使用路由反射器，以保證可以把路由信息分配給所有PE路由器。在入口PE路由器把本地VPN路由分配給其MP-IBGP對(duì)等之前，它使用為含有路由的VRF配置的RD，把每個(gè)IPv4前綴轉(zhuǎn)化成VPN-IPv4前綴。每條路由的廣播包含如下信息：路由的VPN-IPv4地址前綴。包含入口PE路由器環(huán)回地址的BGP下站。該地址被編碼成RD=0的VPN-IPv4地址，因?yàn)镸P-BGP要求下一站是與廣播路由相同地址家族的成員。在其從直接相連的CE路由器上學(xué)習(xí)本地路由時(shí)，入口PE路由器為路由分配的MPLS標(biāo)記。

49、路由目標(biāo)屬性，其基于包含本地路由的VRF本地配置的導(dǎo)出目標(biāo)策略。本例中所有PE路由器已經(jīng)配置成在廣播VPNRed路由時(shí)分配routetarget=Red，在廣播VPNBlue路由時(shí)分配routetarget=Blue，在廣播VPNGreen路由時(shí)分配routetarget=Green。作為選項(xiàng)，源站點(diǎn)（site-of-origin）屬性可以編碼為路由來源擴(kuò)展區(qū)。在入口PE路由器把其本地VPN-IPv4路由廣播到其MP-IBGP對(duì)等時(shí)，它可以把VRF中的所有路由發(fā)送到所有MP-IBGP對(duì)等，也可以為每個(gè)對(duì)等構(gòu)建一個(gè)不同的廣播，其中不包括其沒有與給定對(duì)等共享的特定VPN路由。這通過使用ORF實(shí)現(xiàn)，

50、ORF允許BGP發(fā)話方通知對(duì)等或路由反射器可以導(dǎo)入由PE路由器維護(hù)的一個(gè)或多個(gè)VRF的路由集合。當(dāng)出口PE路由器從對(duì)等收到一條VPN-IPv4路由時(shí)，它會(huì)把該路由與直接連接出口PE路由器的所有VPN使用的所有VRF導(dǎo)入策略進(jìn)行對(duì)比。如果路由攜帶的路由目標(biāo)與至少一個(gè)出口PE的VRF的導(dǎo)入目標(biāo)策略相符，那么則在其VPN_IPv4.RIB表中安裝VPN-IPv4路由。VPN_IPv4.RIB是一個(gè)龐大的路由信息庫(kù)(RIB)，其中含有符合至少一個(gè)出口PE路由器的VRF導(dǎo)入策略的所有路由。該表格是唯一依賴RD消除路由歧義的表格，因?yàn)樗俏ㄒ话苯舆B接給定PE路由器的所有VPN所有路由的表格。這個(gè)表格中

51、的路由在全球應(yīng)該是唯一的，因?yàn)橐呀?jīng)為重疊的IPv4地址分配了全球唯一的RD。在路由導(dǎo)出到目標(biāo)VRF之前，在這一表中先選擇BGP路徑。注意，在配置RD時(shí)的用戶錯(cuò)誤可能會(huì)導(dǎo)致這個(gè)表格中的VPN-IPv4路由在本應(yīng)不同時(shí)卻擁有相同的結(jié)構(gòu)。如果發(fā)生這種情況，則會(huì)執(zhí)行BGP路徑選擇，在其VRF中只安裝其中一條路由。為此，RFC2547bis建議在服務(wù)供應(yīng)商定義其RD時(shí)使用全球唯一的公共ASN和IPv4地址，如果BGP/MPLSVPN涵蓋多個(gè)服務(wù)供應(yīng)商，這一點(diǎn)會(huì)變得非常關(guān)鍵。將為每個(gè)VPN-IPv4前綴選擇最佳路由，并(根據(jù)與路由一起存儲(chǔ)的路由目標(biāo))作為IPv4路由安裝在目標(biāo)VRF中。入口PE路由廣播本節(jié)

52、描述本成功案例中的入口PE路由器怎樣通過服務(wù)供應(yīng)商骨干把本地路由廣播到出口PE路由器上。PE1路由廣播PE1向每個(gè)MP-IBGP對(duì)等廣播下述路由：Destination=RD_Red:10.1/16Label=1001BGPNextHop=PE1RouteTarget=RedDestination=RD_Blue:10.1/16Label=1002BGPNextHop=PE1RouteTarget=BlueDestination=RD_Green:10.1/16Label=1003BGPNextHop=PE1RouteTarget=GreenPE2路由廣播PE2向每個(gè)MP-IBGP對(duì)等廣播下述

53、路由：Destination=RD_Red:10.2/16Label=1004BGPNextHop=PE2RouteTarget=RedDestination=RD_Blue:10.2/16Label=1005BGPNextHop=PE2RouteTarget=BluePE3路由廣播PE3向每個(gè)MP-IBGP對(duì)等廣播下述路由：Destination=RD_Green:10.2/16Label=1006BGPNextHop=PE3RouteTarget=GreenDestination=RD_Green:10.3/16Label=1007BGPNextHop=PE3RouteTarget=Gre

54、en出口PE路由安裝本節(jié)描述在這個(gè)成功案例中的出口PE路由器怎樣過濾、然后安裝從入口PE路由器上收到的遠(yuǎn)程路由。PE1路由安裝PE1把從對(duì)等PE2上收到的下述路由安裝到VRFRed中：Destination=RD_Red:10.2/16Label=1004BGPNextHop=PE2RouteTarget=RedPE1把從對(duì)等PE2上收到的下述路由安裝到VRFBlue中：Destination=RD_Blue:10.2/16Label=1005BGPNextHop=PE2RouteTarget=BluePE1把從對(duì)等PE3上收到的下述路由安裝到VRFGreen中：Destination=RD_

55、Green:10.2/16Label=1006BGPNextHop=PE3RouteTarget=GreenDestination=RD_Green:10.3/16Label=1007BGPNextHop=PE3RouteTarget=Green在交換所有路由之后，PE1的VRF內(nèi)容如下：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_11001-10.2/16PE-2if_2100411VRFBlueBGPBottomTopDestinationNext-HopInterfaceLabelLabe

56、l10.1/16Directif_41002-10.2/16PE-2if_2100511VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16Directif_31003-10.2/16PE-3if_210061110.3/16PE-3if_2100766PE2路由安裝PE2把從對(duì)等PE1上收到的下述路由安裝到VRFRed中：Destination=RD_Red:10.1/16Label=1001BGPNextHop=PE1RouteTarget=RedPE2把從對(duì)等PE1上收到的下述路由安裝到VRFBlue中：Des

57、tination=RS_Blue:10.1/16Label=1002BGPNextHop=PE1RouteTarget=Blue在交換所有路由后，PE2的VRF內(nèi)容如下：VRFRedBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16PE-1if_110012210.2/16Directif_21004-VRFBlueBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16PE1if_110022210.2/16Directif_21005-PE3路由安裝PE3把從對(duì)等PE1

58、上收到的下述路由安裝到VRFGreen中：Destination=RD_Green:10.1/16Label=1003BGPNextHop=PE1RouteTarget=Green在交換所有路由后，PE3的VRF內(nèi)容如下：VRFGreenBGPBottomTopDestinationNext-HopInterfaceLabelLabel10.1/16PE-1if_110035510.2/16Directif_21006-10.3/16Directif_31007-出口路由器到CE路由的分配如果出口路由器在VRF中安裝一條路由，用來路由從直接連接的CE路由器上收到的分組，那么PE路由器可以把該路

59、由分配給CE路由器。CE路由器可以使用多種機(jī)制，從直接相連的PE路由器上學(xué)習(xí)VPN路由。與PE路由器運(yùn)行一個(gè)IGP(RIPv2,OSPF)與PE路由器建立一條EBGP連接作為備選方案，PE路由器也可以簡(jiǎn)單地執(zhí)行下述功能：PE到CE路由協(xié)議可以分配一條指向PE路由器的默認(rèn)路由。CE可以配置一條指向PE路由器的靜態(tài)默認(rèn)路由。在所有路由從出口PE路由器分配給CE路由器后，CE路由表包含下述信息：CE1RoutingTableDestinationNext-HopInterface10.1/16Directif_x10.2/16PE1if_zCE2RoutingTableDestinationNext

60、-HopInterface10.1/16Directif_x10.2/16PE1if_zCE3RoutingTableDestinationNext-HopInterface10.1/16Directif_x10.2/16PE1if_z10.3/16PE1if_zCE4RoutingTableDestinationNext-HopInterface10.1/16PE2if_z10.2/16Directif_xCE5RoutingTableDestinationNext-HopInterface10.1/16PE2if_z10.2/16Directif_xCE6RoutingTableDesti