版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
第第頁MPLSVPN的原理及構(gòu)建MPLSVPN的原理及構(gòu)建
發(fā)表于:2023-06-23來源::點擊數(shù):標簽:
摘要從數(shù)據(jù)轉(zhuǎn)發(fā)過程、VPN路由協(xié)議等方面闡述了MPLSVPN的原理,介紹了VRF、路由區(qū)分符和路由目標等重要概念,分析了路由目標在控制VPN拓撲方面的重要作用,總結(jié)了MPLSVPN的技術(shù)特點。關(guān)鍵詞MPLSVPNVRF路由目標1概述傳統(tǒng)的VPN通常建立在ATM/DDN/FR
摘要從數(shù)據(jù)轉(zhuǎn)發(fā)過程、VPN路由協(xié)議等方面闡述了MPLSVPN的原理,介紹了VRF、路由區(qū)分符和路由目標等重要概念,分析了路由目標在控制VPN拓撲方面的重要作用,總結(jié)了MPLSVPN的技術(shù)特點。
關(guān)鍵詞MPLSVPNVRF路由目標
1概述
傳統(tǒng)的VPN通常建立在ATM/DDN/FR網(wǎng)上,隨著IP網(wǎng)的大規(guī)模部署及ATM技術(shù)應(yīng)用的衰落,在IP網(wǎng)上提供VPN業(yè)務(wù)被認為是一種非常經(jīng)濟的方式,隨著MPLS技術(shù)的出現(xiàn),基于MPLS的VPN技術(shù)發(fā)展迅速并已獲得商用。根據(jù)RFC2764中對IPVPN技術(shù)的分類,IPVPN可劃分為:VLL(VirtualLeasedLines)、VPDN(VirtualPrivateDialNetworks)、VPRN(VirtualPrivateRoutedNetworks)和VPLS(VirtualPrivateLANSegment)四種。MPLSVPN屬于VPRN。
2MPLS路由器的結(jié)構(gòu)
MPLS路由器結(jié)構(gòu)與傳統(tǒng)的僅支持逐跳路由的路由器結(jié)構(gòu)有所不同,MPLS中的標簽交換路由器(LSR)結(jié)構(gòu)如圖1所示,圖中實線為傳統(tǒng)路由器部分,虛線為LSR增加的部分,LSR分為路由模塊和轉(zhuǎn)發(fā)模塊,路由模塊中的路由協(xié)議可以是OSPF或IS-IS,也可以是它們基于流量工程的擴展,MPLS信令可以是RSVP或CR-LDP,標簽分組根據(jù)轉(zhuǎn)發(fā)模塊中的標簽轉(zhuǎn)發(fā)表來交換標簽,IP轉(zhuǎn)發(fā)表用于傳統(tǒng)逐跳路由的第三層查找。MPLS通常采用拓撲驅(qū)動方式,路由器根據(jù)路由表項來建立LSP。
3MPLSVPN的數(shù)據(jù)轉(zhuǎn)發(fā)過程
MPLSVPN中的路由器有三種:P路由器、PE路由器和CE路由器。P路由器為運營商主干路由器,負責(zé)VPN分組外層標簽的交換;PE路由器為運營商邊界路由器,存放著VRF表和全局路由表,VRF中存放著VPN路由,全局路由表中存放著運營商的域內(nèi)路由;CE路由器為客戶端路由器,由客戶負責(zé)維護。當(dāng)CE路由器將一個VPN分組轉(zhuǎn)發(fā)給入口PE路由器后,PE路由器查找該VPN對應(yīng)的VRF,從VRF中得到一個VPN標簽和下一跳出口PE路由器的地址,VPN標簽作為內(nèi)層標簽打在VPN分組上,根據(jù)下一跳出口PE路由器的地址可以在全局路由表中查出到達該PE路由器應(yīng)打上的域內(nèi)路由的標簽,即外層標簽,于是VPN分組被打上了兩層標簽,主干網(wǎng)的P路由器根據(jù)外層標簽轉(zhuǎn)發(fā)VPN分組,在最后一個P路由器處,外層標簽彈出,VPN分組只剩下內(nèi)層標簽(此過程被稱作次末級彈出機制),接著VPN分組被發(fā)往出口PE路由器。出口PE路由器根據(jù)內(nèi)層標簽查找到相應(yīng)的出口后,將VPN分組上的內(nèi)層標簽刪除,將不含標簽的VPN分組轉(zhuǎn)發(fā)給正確的CE路由器,CE路由器根據(jù)自己的路由表將分組轉(zhuǎn)發(fā)到正確的目的地。
4MP-iBGP協(xié)議
在基于MP-iBGP協(xié)議的MPLSVPN體系中,存在兩個層面的路由,即域內(nèi)路由和VPN路由。所有的PE路由器及P路由器上要運行主干網(wǎng)的域內(nèi)路由(OSPF或IS-IS等),生成的路由表將觸發(fā)主干網(wǎng)中LSP的建立(拓撲驅(qū)動方式),通過CR-LDP或RSVP等信令協(xié)議建立LSP,產(chǎn)生的標簽轉(zhuǎn)發(fā)表用于VPN分組外層標簽的交換。PE路由器之間運行MP-iBGP協(xié)議,該協(xié)議跨越主干的P路由器在PE之間分發(fā)VPN標簽,形成VPN路由,MP-iBGP發(fā)布的一條VPN路由包含的信息有:IPv4地址、路由區(qū)分符(RD)、路由目標(RT)、VPN標簽和下一跳PE地址,其中RD用來消除IPv4地址的歧義,以重用IPv4地址;RT用來控制VRF的導(dǎo)入和導(dǎo)出策略,從而控制網(wǎng)絡(luò)的連通和拓撲;下一跳PE地址是連接域內(nèi)路由和VPN路由的紐帶,在PE路由器上根據(jù)在VRF中得到的下一跳PE地址可以在全局路由表中查找到到達該地址應(yīng)打上的外層標簽。
由于運行MP-iBGP協(xié)議的PE路由器之間必須構(gòu)成全網(wǎng)狀網(wǎng)的會話(因為運行iBGP的路由器不能轉(zhuǎn)發(fā)收到的iBGP路由,這種機制用于避免路由環(huán)路),因此在大規(guī)模的網(wǎng)絡(luò)應(yīng)用中存在可擴展性的問題,解決的方法是采用路由反射器或路由域聯(lián)合,路由反射器允許路由器轉(zhuǎn)發(fā)收到的iBGP路由,以避免全網(wǎng)狀的會話;采用路由域聯(lián)合可以將路由域劃分成多個區(qū)域,這樣,只有區(qū)域內(nèi)的路由器需要構(gòu)成全網(wǎng)狀的連接,減少了域內(nèi)iBGP路由器的鄰接數(shù),當(dāng)然采用路由域聯(lián)合需考慮對跨域連接的規(guī)劃。
5VPN路由轉(zhuǎn)發(fā)實例(VRF)、路由區(qū)分符(RD)和路由目標(RT)的概念
5.1VPN路由轉(zhuǎn)發(fā)實例(VRF)
VPNIP路由表及相關(guān)的VPNIP轉(zhuǎn)發(fā)表被統(tǒng)稱為VPN路由和轉(zhuǎn)發(fā)實例。在極端的情況下,可以為連接到PE路由器上的每個站點都分配一個VRF來存放VPN路由,但連接在同一PE路由器上的站點如果滿足以下三個條件則可以共享一個VRF:(1)各站點屬于同一個VPN;(2)路由信息相同;(3)站點之間允許相互直接通信。通常PE路由器上每個用戶的端口與一個特定的VRF相關(guān)聯(lián),從該端口輸入的VPN分組將根據(jù)各自對應(yīng)的VRF查找其VPN標簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。
5.2路由區(qū)分符(RD)
由于VPN數(shù)量巨大且不少原先的VPN用戶不愿修改自身的IPv4地址,因此有必要允許不同的VPN客戶使用相同的IPv4地址,對于不同VPN中相同的地址,采用RD可以實現(xiàn)IPv4地址的重用。PE路由器通過MP-iBGP協(xié)議通告站點的路由時,將同時攜帶各路由的RD,即將IPv4地址轉(zhuǎn)化為VPN-IPv4地址,PE路由器在收到MP-iBGP通告的路由后,將查看該路由的RD,然后將VPN-IPv4地址轉(zhuǎn)化成IPv4地址,即將地址中的RD去掉,將其導(dǎo)入到相應(yīng)的VRF中。由于不同VPN被VRF隔離了,因此不同VPN中相同的IPv4地址,將被導(dǎo)入到不同的VRF中。在同一個VPN中,地址必須是唯一的;當(dāng)多個VPN之間需要相互通信時(例如有公共的站點),則要求地址必須在多個VPN中是唯一的,此時多個VPN只能使用同一個RD。
5.3路由目標(RT)
RT來控制VRF的導(dǎo)入和導(dǎo)出策略,以構(gòu)成各種復(fù)雜的VPN拓撲。一個VPN有可能不止使用一個RT,RT的具體使用與VPN的拓撲結(jié)構(gòu)密切相關(guān),對于全網(wǎng)狀相接的VPN可以用一個RT,對于非全網(wǎng)狀相連的VPN,一個VPN往往需要多個RT。當(dāng)從PE導(dǎo)出VPN路由時,要用RT對VPN路由進行標記,在往VRF中導(dǎo)入路由時,可以使用多個RT,只要有一個VPN路由中附帶的RT與導(dǎo)入路由中的任意RT相同,都將被導(dǎo)入到該VRF中。
6通過RT控制網(wǎng)絡(luò)的拓撲
下面的例子可以看出RT在控制VPN的連通性和拓撲結(jié)構(gòu)中的重要作用。
VPNA和VPNB的邏輯結(jié)構(gòu)如圖2所示,它們擁有共同的站點C,這種結(jié)構(gòu)被稱作重疊VPN,VPNA中各站點之間均可以相互通信,VPNB中的兩個站點B1、B2只能和中心站點C通信,對應(yīng)這種拓撲結(jié)構(gòu)。圖3給出了各PE路由器上的VRF導(dǎo)入導(dǎo)出策略和包含的站點路由。由于兩個VPN之間存在站點間的通信,因此這兩個VPN中的站點地址必須唯一,它們可以使用一個統(tǒng)一的RD,以區(qū)分其他VPN中重用的地址。站點A2和A3同屬一個VPN,其路由信息相同且可以相互通信,因此可以共用一個VRFA23;其他站點分別都有各自的VRF,本拓撲中共使用了三個RT,即100:1、100:2和100:3。PE2通過MP-iBGP協(xié)議通告A2、A3和B2的路由(因為這三個站點與其相連),其中A2和A3的路由標記為RT=100:1,B2的路由標記為RT=100:3;PE3通告C的路由,標記為RT=100:2;PE1收到這些通告后,發(fā)現(xiàn)VRFA1允許導(dǎo)入標記RT=100:1和100:2的路由,于是PE1將A2、A3和C的路由導(dǎo)入到VRFA1中,而不會將B2的路由導(dǎo)入到VRFA1中;PE1上的VRFB1只允許導(dǎo)入RT=100:2的路由,因此VRFB1拒絕導(dǎo)入A2、A3和B2的路由而只導(dǎo)入C的路由;PE2和PE3上的VRF所包含的路由可以用類似的方法分析出來。最后看一看各VRF中所包含的路由,由于C站點可以訪問任何一個站點,因此VRFC上具有所有站點的路由,當(dāng)然,各站點也都可以訪問C站點,因此C站點的路由也出現(xiàn)在所有的VRF中;B1、B2站點除了可以訪問站點C外,不能訪問其他任何站點,它們相互之間也不能訪問,因此其VRF中只包含站點C的路由和自己的路由;站點A1、A2、A3和C可以兩兩互相訪問,因此他們各自的VRF中均包含了A1、A2、A3和C的路由。從這個例子可以看出,利用RT可以非常方便地控制VPN的拓撲結(jié)構(gòu),構(gòu)成各種結(jié)構(gòu)的VPN。
7MPLSVPN的技術(shù)特點
MPLSVPN技術(shù)具有如下四個方面的技術(shù)特點。
7.1能提供QoS或CoS的保證
主干的MPLS網(wǎng)絡(luò)可以通過RSVP以面向連接的方式提供集成服務(wù),也可以通過劃分類以面向無連接的方式提供差分服務(wù),另外,還可以通過流量工程技術(shù)間接地為QoS的實現(xiàn)提供一定的資源保障?;诹鞯募煞?wù)因其需要信令的支持造成可擴展性較差,不適合在骨干網(wǎng)上應(yīng)用,MPLS骨干網(wǎng)上服務(wù)質(zhì)量的保證主要依靠基于類的差分服務(wù)和流量工程來滿足,另外在傳統(tǒng)的盡力而為的IP網(wǎng)上的專線技術(shù)IPSec/GRE等也可以構(gòu)建VPN,但這些技術(shù)無法保證QoS。
7.2安全性較高
MPLS骨干不負責(zé)維護任何VPN路由,只進行標簽交換,因此其安全性與二層的ATM技術(shù)相當(dāng)。在PE路由器上,各VPN路由通過VRF來隔離,也具有良好的安全性。
7.3可擴展性好
MPLSVPN的路由只存在于PE路由器上,PE路由器只保存與之相連的客戶站點的VPN路由,骨干的P路由器無需任何VPN路由的知識,這大大減少了VPN路由的維護量。另外,MPLSVPN通過二層標簽棧區(qū)分域內(nèi)路由和VPN路由,使網(wǎng)絡(luò)具有較好的可擴展性。
7.4減輕客戶的維護負擔(dān)
MPLSVPN技術(shù)中的VPN路由存在于運營商的PE路由器上,由運營商替客戶維護路由,其初衷是為了減輕用戶的管理和維護負擔(dān),以利于將VPN業(yè)務(wù)向各類高中低端客戶大規(guī)模推廣,然而在網(wǎng)絡(luò)安全性越來越重要的今天,這個最初看來是優(yōu)點的初衷卻成為發(fā)展高端大客
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 土石方挖機合作協(xié)議書范文模板
- 會計章節(jié)練習(xí)-第二十七章-合并財務(wù)報表
- 七年級上學(xué)期班主任工作計劃
- 直線與直線方程課件
- 建設(shè)工程檔案管理流程圖
- 泡沫混凝土買賣合同(34篇)
- 自來水廠綜合應(yīng)急預(yù)案范文(3篇)
- 幼兒園志愿者活動方案(11篇)
- 幼兒園中班母親節(jié)活動主持稿
- 世界環(huán)境日國旗下講話稿
- 國家高新技術(shù)企業(yè)評定打分表
- 成語故事鉆木取火
- MOOC 自然地理學(xué)-西北大學(xué) 中國大學(xué)慕課答案
- 計算機組成原理與匯編語言課后習(xí)題及作業(yè)答案
- 中華民族共同體
- 2024年社區(qū)工作者考試必考1000題及參考答案(模擬題)
- 跨平臺移動應(yīng)用開發(fā)技術(shù)
- 十二指腸潰瘍伴穿孔的護理查房
- 2023-2024學(xué)年北京市房山區(qū)九年級上學(xué)期期中考試數(shù)學(xué)試卷含詳解
- 市場營銷策劃(本)-形考任務(wù)三(第八~十章)-國開(CQ)-參考資料
- 公司留學(xué)展推廣方案
評論
0/150
提交評論