網(wǎng)絡(luò)協(xié)議簡(jiǎn)介

BGP邊界網(wǎng)關(guān)協(xié)議(BGP)是運(yùn)行于TCP上的一種自治系統(tǒng)的路由協(xié)議。BGP是唯 個(gè)用來處理像因特網(wǎng)大小的網(wǎng)絡(luò)的協(xié)議，也是唯一能夠妥善處理好不相關(guān)路由域間的多路連接的協(xié)議。BGP構(gòu)建在EGP的經(jīng)驗(yàn)之上。BGP系統(tǒng)的主要功能是和其他的BGP系統(tǒng)交換網(wǎng)絡(luò)可達(dá)信息。網(wǎng)絡(luò)可達(dá)信息包括列出的自治系統(tǒng)(AS)的信息。這些信息有效地構(gòu)造了AS互聯(lián)的拓樸圖并由此清除了路由環(huán)路，同時(shí)在AS級(jí)別上可實(shí)施策略決策。BGP-4提供了一套新的機(jī)制以支持無類域間路由。這些機(jī)制包括支持網(wǎng)絡(luò)前綴的通告、取消BGP網(wǎng)絡(luò)中“類”的概念。BGP-4也引入機(jī)制支持路由聚合，包括AS路徑的集合。這些改變?yōu)樘嶙h的超網(wǎng)方案提供了支持。BGP-4采用了路由向量路由協(xié)議，在配置BGP時(shí)，每一個(gè)自治系統(tǒng)的管理員要選擇至少一個(gè)路由器作為該自治系統(tǒng)的“BGP發(fā)言人”1989年發(fā)布了主要的外部網(wǎng)關(guān)協(xié)議：邊界路由協(xié)議(BGP)，新版本BGP-4是在1995年發(fā)布的。BGP路由選擇協(xié)議執(zhí)行中使用4種分組：打開分組(open)、更新分組(update)、存活分組(keepalive)、通告分組(notification)。BGP用于在不同的自治系統(tǒng)(AS)之間交換路由信息。當(dāng)兩個(gè)AS需要交換路由信息時(shí)，每個(gè)AS都必須指定一個(gè)運(yùn)行BGP的節(jié)點(diǎn)，來代表AS與其他的AS交換路由信息。這個(gè)節(jié)點(diǎn)可以是一個(gè)主機(jī)。但通常是路由器來執(zhí)行BGP。兩個(gè)AS中利用BGP交換信息的路由器也被稱為邊界網(wǎng)關(guān)(BorderGateway)或邊界路由器(BorderRouter)[1]。由于可能與不同的AS相連，在一個(gè)AS內(nèi)部可能存在多個(gè)運(yùn)行BGP的邊界路由器。同一個(gè)自治系統(tǒng)(AS)中的兩個(gè)或多個(gè)對(duì)等實(shí)體之間運(yùn)行的BGP被稱為IBGP(Internal/lnteriorBGP)。歸屬不同的AS的對(duì)等實(shí)體之間運(yùn)行的BGP稱為EBGP(External/ExteriorBGP)。在AS邊界上與其他AS交換信息的路由器被稱作邊界路由器(border/edgerouter)。在互聯(lián)網(wǎng)操作系統(tǒng)(CiscoIOS)中，IBGP通告的路由的距離為200,優(yōu)先級(jí)比EBGP和任何內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)通告的路由都低。其他的路由器實(shí)現(xiàn)中，優(yōu)先級(jí)順序也是EBGP高于IGP，而IGP又高于IBGP。BGP屬于外部網(wǎng)關(guān)路由協(xié)議，可以實(shí)現(xiàn)自治系統(tǒng)間無環(huán)路的域間路由。BGP是溝通Internet廣域網(wǎng)的主用路由協(xié)議,例如不同省份、不同國家之間的路由大多要依靠BGP協(xié)議。BGP可分為IBGP(InternalBGP)和EBGP(ExternalBGP)。BGP的鄰居關(guān)系(或稱通信對(duì)端/對(duì)等實(shí)體)是通過人工配置實(shí)現(xiàn)的，對(duì)等實(shí)體之間通過TCP(端口179)會(huì)話交互數(shù)據(jù)。BGP路由器會(huì)周期地發(fā)送19字節(jié)的保持存活keep-alive消息來維護(hù)連接(默認(rèn)周期為30秒)。在路由協(xié)議中，只有BGP使用TCP作為傳輸層協(xié)議。RSVP資源預(yù)留協(xié)議(ResourceReservationProtocol,簡(jiǎn)稱RSVP)是一個(gè)通過網(wǎng)絡(luò)進(jìn)行資源預(yù)留的協(xié)議，是為實(shí)現(xiàn)綜合業(yè)務(wù)網(wǎng)而設(shè)計(jì)的，其具體可見RFC2205。RSVP要求接收者在連接建立之初進(jìn)行資源預(yù)留，它必須支持單播和多播數(shù)據(jù)流，并具有很好的可伸縮性和強(qiáng)壯性。主機(jī)或者路由器可以使用RSVP滿足不同應(yīng)用程序數(shù)據(jù)流所需的不同的服務(wù)質(zhì)量(QoS)。RSVP定義應(yīng)用程序如何進(jìn)行資源預(yù)留并在預(yù)留的資源不用時(shí)如何進(jìn)行預(yù)留資源的刪除。RSVP將會(huì)使得路徑上每個(gè)節(jié)點(diǎn)都進(jìn)行資源預(yù)留。RSVP本身不是一個(gè)路由協(xié)議，而是被設(shè)計(jì)用于互聯(lián)現(xiàn)在的和將來的路由協(xié)議。主要特征RSVP為每個(gè)流請(qǐng)求資源：這是只有一個(gè)發(fā)送者但可以有一個(gè)或多個(gè)接收者的流。RSVP不是一個(gè)路由協(xié)議，而是用于互聯(lián)現(xiàn)在的和將來的路由協(xié)議。RSVP是由數(shù)據(jù)流的接收者發(fā)起并維護(hù)資源預(yù)留。RSVP維護(hù)主機(jī)和路由器的軟狀態(tài)（每個(gè)節(jié)點(diǎn)上的資源預(yù)留都需要周期性的更新），因此支持源自適應(yīng)網(wǎng)絡(luò)變化。RSVP提供多種預(yù)留類型（一組預(yù)留選項(xiàng)）并允許將來加入其他類型，進(jìn)行協(xié)議改進(jìn),以支持不同的應(yīng)用程序。RSVP傳輸并維持通信和策略控制參數(shù)，這些對(duì)于RSVP都是不透明的。VRFVPN路由轉(zhuǎn)發(fā)表，也稱VPN-instance（VPN實(shí)例），是PE為直接相連的site建立并維護(hù)的一個(gè)專門實(shí)體，每個(gè)site在PE上都有自己的VPN-instance，每個(gè)VPN-instance包含到一個(gè)或多個(gè)與該P(yáng)E直接相連的CE的路由和轉(zhuǎn)發(fā)表，另外如果要實(shí)現(xiàn)同一VPN各個(gè)Site間的互通，該VPN-instance還就應(yīng)該包含連接在其他PE上的發(fā)出該VPN的Site的路由信息。MPLSVPN網(wǎng)絡(luò)主要由CE、PE和P等3部分組成：CE（CustomerEdgeRouter，用戶網(wǎng)絡(luò)邊緣路由器）設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)（圖1中的MPLS骨干網(wǎng)絡(luò)）相連，它“感知”不到VPN的存在；PE（ProviderEdgeRouter，骨干網(wǎng)邊緣路由器）設(shè)備與用戶的CE直接相連，負(fù)責(zé)VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實(shí)現(xiàn)者：P（ProviderRouter，骨干網(wǎng)核心路由器）負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。在整個(gè)MPLSVPN中，P、PE設(shè)備需要支持MPLS的基本功能，CE設(shè)備不必支持MPLS。PE是MPLSVPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù)PE路由器是否參與客戶的路由，MPLSVPN分成Layer3MPLSVPN和Layer2MPLSVPN。其中Layer3MPLSVPN遵循RFC2547bis標(biāo)準(zhǔn)，使用MBGP在PE路由器之間分發(fā)路由信息，使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù)，因而又稱為BGP/MPLSVPN。本文主要闡述的是Layer3MPLSVPN。在MPLSVPN網(wǎng)絡(luò)中，對(duì)VPN的所有處理都發(fā)生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD（RouteDistinguished和RT（RouteTarget）等屬性。RD具有全局唯一性，通過將8byte的RD作為IPv4地址前綴的擴(kuò)展，使不唯一的IPv4地址轉(zhuǎn)化為唯一的VPNv4地址。VPNv4地址對(duì)客戶端設(shè)備來說是不可見的，它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。PE對(duì)等體之間需要發(fā)布基于VPNv4地址族的路由，這通常是通過MBGP實(shí)現(xiàn)的。正常的BGP4能只傳遞IPv4的路由，MP-BGP在BGP的基礎(chǔ)上定義了新的屬性。MP-iBGP在鄰居間傳遞VPN用戶路由時(shí)會(huì)將IPv4地址打上RD前綴，這樣VPN用戶傳來的IPv4路由就轉(zhuǎn)變?yōu)閂PNv4路由，從而保證VPN用戶的路由到了對(duì)端的PE上以后，即使存在地址空間重疊，對(duì)端PE也能夠區(qū)分開分屬不同VPN的用戶路由。RT使用了BGP中擴(kuò)展團(tuán)體屬性，用

于路由信息的分發(fā)，具有全局唯一性，同一個(gè)RT只能被一個(gè)VPN使用，它分成ImportRT和ExportRT,分別用于路由信息的導(dǎo)入和導(dǎo)出策略。在PE路由器上針對(duì)每個(gè)site都創(chuàng)建了一個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(VPNRouting&Forwarding)，VRF為每個(gè)site維護(hù)邏輯上分離的路由表，每個(gè)VRF都有ImportRT和ExportRT屬性。當(dāng)PE從VRF表中導(dǎo)出VPN路由時(shí)，要用ExportRT對(duì)VPN路由進(jìn)行標(biāo)記；當(dāng)PE收到VPNv4路由信息時(shí)，只有所帶RT標(biāo)記與VRF表中任意一個(gè)ImportRT相符的路由才會(huì)被導(dǎo)入到VRF表中，而不是全網(wǎng)所有VPN的路由，從而形成不同的VPN，實(shí)現(xiàn)VPN的互訪與隔離。通過對(duì)ImportRT和ExportRT的合理配置，運(yùn)營商可以構(gòu)建不同拓?fù)漕愋偷腣PN,如重疊式VPN和Hub-and-spokeVPN。整個(gè)MPLSVPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔?。CE-PE路由器之間通過采用靜態(tài)/默認(rèn)路由或采用IGP(RIPv2、OSPF)等動(dòng)態(tài)路由協(xié)議。PE-PE之間通過采用MP-iBGP進(jìn)行路由信息的交互，PE路由器通過維持iBGP網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的PE路由器。除了路由協(xié)議外，在控制層面工作的還有LDP，它在整個(gè)MPLS網(wǎng)絡(luò)中進(jìn)行標(biāo)簽的分發(fā)，形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLSVPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個(gè)VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接什么是VRFVRF---VPN路由轉(zhuǎn)發(fā)實(shí)例(VPNRouting&ForwardingInstance)每一個(gè)VRF可以看作虛擬的路由器，好像是一臺(tái)專用的PE設(shè)備。該虛擬路由器包括如一張獨(dú)立的路由表，當(dāng)然也包括了獨(dú)立的地址空間；一組歸屬于這個(gè)VRF的接口的集合；一組只用于本VRF的路由協(xié)議。對(duì)于每個(gè)PE，可以維護(hù)一個(gè)或多個(gè)VRF，同時(shí)維護(hù)一個(gè)公網(wǎng)的路由表(也叫全局路由表)，多個(gè)VRF實(shí)例相互分離獨(dú)立。VRF可以解決什么問題2?1實(shí)現(xiàn)類似專用PE的功能，用路由隔離不同的vpn用戶。2.2解決地址重疊的問題2.2解決地址重疊的問題即同時(shí)支持使用公有地址的客戶端設(shè)備和私有地址的客戶端設(shè)備，或者多個(gè)VPN使用同一個(gè)地址空間；也可以支持創(chuàng)建重疊VPN，所謂重疊VPN是指同一個(gè)站點(diǎn)同時(shí)屬于多個(gè)VPN的情況。引入RT的概念在PE中，存在全局路由表、vrf等，從全局路由表選擇路由到vrf稱為export導(dǎo)出；從vrf中選擇路由到全局路由表稱為import。RT用于路由信息的分發(fā)，它分成ImportRT和ExportRT,分別用于路由信息的導(dǎo)入、導(dǎo)出策略。當(dāng)從全局路由表中導(dǎo)出路由到vrf時(shí)，要用ExportRT對(duì)VPN路由進(jìn)行標(biāo)記；在往全局路由導(dǎo)入VPNv4路由時(shí)，只有所帶RT標(biāo)記與VRF表中任意一個(gè)ImportRT相符的路由才會(huì)被導(dǎo)入到全局路由表中。RT使得PE路由器只包含和其直接相連的VPN的路由，而不是全網(wǎng)所有ipvpnv4的路由，從而節(jié)省了PE路由器的資源，提高了網(wǎng)絡(luò)拓展性。在一個(gè)VRF中，在發(fā)布路由時(shí)使用RT的export規(guī)則。直接發(fā)送給其他的PE設(shè)備。在接收端的PE上，接收所有的路由，并根據(jù)每個(gè)VRF配置的RT的import規(guī)則進(jìn)行檢查，如果與路由中的RT屬性match,則將該路由加入到相應(yīng)的VRF中。ExportTarget:我這個(gè)VRF發(fā)出的路由打上什么標(biāo)記；ImportTarget：我這個(gè)VRF接受什么標(biāo)記的路由。引入RD的概念I(lǐng)SP網(wǎng)絡(luò)需要把來自CE用戶的路由，通過公用網(wǎng)絡(luò)傳遞到用戶的其他CE路由器。但是來自不同用戶的路由可能相同(重疊)。假設(shè)A用戶有個(gè)路由條目是10.180.0.0/16,B用戶有個(gè)路由也是10.180.0.0/16。這樣在ISP內(nèi)部將不能區(qū)分10.180.0.0/16到底是那個(gè)用戶的。為了解決這個(gè)問題映入RD(64bit)概念，將ipv4地址擴(kuò)展為ipvpn4地址(RD:ipv4),在ISP內(nèi)部傳播路由時(shí)為每個(gè)來自CE的路由加一個(gè)區(qū)別標(biāo)識(shí)，這樣對(duì)端ISP,PE收到不同vrf的相同路由，就能準(zhǔn)確區(qū)分。假設(shè)A用戶的RD是65001:1,B用戶的RD為65002:1,這樣A的10.180.0.0/16就擴(kuò)充為65001:1:10.180.0.0/16,B擴(kuò)充為65002：1：10.180.0.0/16,這種擴(kuò)充后的路由成為ipvpn4route。只要RD全局唯一，將不唯一的IPv4地址轉(zhuǎn)化為唯一的IPVPNv4地址，但是IPVPNv4地址對(duì)客戶端設(shè)備來說是不可見的。VRF在PE上部署和配置公網(wǎng)路由表：包含全部PE和P路由器之間的路由，由骨干網(wǎng)IGP產(chǎn)生。私網(wǎng)路由表：包含本VPN用戶可達(dá)信息的路由和轉(zhuǎn)發(fā)表。配置RD理論上可以為每個(gè)VRF配置一個(gè)RD。通常建議為每個(gè)VPN都配置相同的RD,不同的VPN配置不同的RD。但是實(shí)際上只要保證存在相同地址的兩個(gè)VRF的RD不同即可，不同的VPN可以配置相同的RD,相同的VPN也可以配置不同的RD。VPNRD的關(guān)系比較松散，只需要保證存在地址相同的兩個(gè)VRF的RD不同即可。只要能區(qū)分不同vrf的系統(tǒng)路由就可以了。PE1(config-vrf)#rdASN:nnorIP-address:nnVPNRouteDistinguisher一般采用：ASN:nn配置RTPE1(config-vrf)#route-targetimportASN:nnorIP-address:nnTargetVPNExtendedCommunityPE1(config-vrf)#route-targetexportASN:nnorIP-ad