新闻  |   论坛  |   博客  |   在线研讨会
MPLS VPN概述
光联集团 | 2018-07-19 13:59:07    阅读:284   发布文章

MPLS VPN概述

 

虚拟专用网络(VPN)是使用公共网络连接两个或多个远程站点的专用网络。VPN不是通过网络之间的专用连接,而是使用通过服务提供商网络的公共网络路由(隧道)的虚拟连接。VPN是昂贵专用线路的经济型替代方案。VPN的类型由其使用的连接以及客户网络或提供商网络是否执行虚拟隧道确定。

MPLS VPN拓扑

有许多方法可以设置MPLS VPN并通过它来引导流量。图1显示了典型的MPLS VPN拓扑。

MPLS VPN拓扑.gif

图1:典型的VPN拓扑

MPLS VPN有三种主要类型:第2层VPN,第2层电路和第3层VPN。所有类型的MPLS VPN共享某些组件:

提供商网络中的提供商边缘(PE)路由器连接到位于客户站点的客户边缘(CE)路由器。PE路由器支持VPN和MPLS标签功能。在单个VPN中,成对的PE路由器通过虚拟隧道连接,通常是标签交换路径(LSP)。

提供商网络核心内的提供商路由器不连接到客户站点的任何路由器,而是成对PE路由器之间的隧道的一部分。提供商路由器支持LSP功能作为隧道支持的一部分,但不支持VPN功能。

CE路由器是位于客户站点的连接到提供商网络的路由器或交换机。CE路由器通常是IP路由器,但它们也可以是异步传输模式(ATM),帧中继或以太网交换机。

所有VPN功能都由PE路由器执行。CE路由器和提供商路由器都不需要执行任何VPN功能。

MPLS VPN路由

当满足某些要求时,VPN将流量从一个客户站点隧道传输到另一个客户站点,使用公共网络作为传输网络:

流量通过标准IP转发从CE路由器转发到PE路由器。

PE路由器通过提供商网络建立LSP。

入站PE路由器接收流量,并执行路由查找。查找产生LSP下一跳,并且流量沿LSP转发。

流量到达出站PE路由器,PE路由器弹出MPLS标签,并使用标准IP路由转发流量。

VRF实例

路由实例是路由表,接口和路由协议参数的集合。接口属于路由表,路由协议参数控制路由表中的信息。在MPLS VPN的情况下,每个VPN都有一个VPN路由和转发(VRF)实例。

VRF实例由一个或多个路由表,派生转发表,使用转发表的接口以及确定转发表中的内容的策略和路由协议组成。由于每个实例都是针对特定VPN配置的,因此每个VPN都有单独的表,规则和策略来控制其操作。

为连接到CE路由器的每个VPN创建单独的VRF表。VRF表填充有从与VRF实例关联的直接连接的CE站点接收的路由,以及从同一VPN中的其他PE路由器接收的路由。

路线识别者

由于典型的传输网络配置为处理多个VPN,因此提供商路由器可能配置了多个VRF实例。因此,根据流量的来源和应用于流量的任何过滤规则,BGP路由表可以包含特定目标地址的多个路由。由于BGP要求每个目的地只有一条BGP路由被导入转发表,因此BGP必须能够区分从不同VPN接收的可能相同的网络层可达性信息(NLRI)消息。

路由标识符是本地唯一编号,用于标识特定VPN的所有路由信息。唯一的数字标识符允许BGP区分其他方面相同的路由。

在PE路由器上配置的每个路由实例都必须具有唯一的路由标识符。有两种可能的格式:

as-number:number,其中 as-number是1到65,535范围内的自治系统(AS)编号(2字节值), number是任意4字节值。我们建议你使用Internet Assigned Numbers Authority(IANA)分配的非私有AS号码,最好是ISP或客户AS号码。

ip-address:number,其中 ip-address是IP地址(4字节值), number是任意2字节值。IP地址可以是任何全球唯一的单播地址。我们建议你使用在 router-id语句中配置的地址,该语句是指定前缀范围内的公共IP地址。

路由目标定义哪条路由是VPN的一部分。唯一的路由目标有助于区分同一路由器上的不同VPN服务。每个VPN还有一个策略,用于定义如何将路由导入路由器上的VRF表。第2层VPN配置了导入和导出策略。三层VPN使用唯一的路由目标来区分VPN路由。

然后,PE路由器将IBGP会话中的路由导出到其他提供商路由器。路由导出由已应用于特定VRF表的任何路由策略控制。要通过提供商网络传播路由,PE路由器还必须将路由转换为VPN格式,其中包括路由标识符。

当出站PE路由器收到该路由时,它会剥离路由识别符,并通常通过标准的BGP IPv4路由通告将该路由通告给连接的CE路由器。


参与讨论
登录后参与讨论
推荐文章
最近访客