MPLSBGPVPN基本原理Page1前言

本課程介紹MPLSBGPVPN的基本架構(gòu)，從控制平面和數(shù)據(jù)平面兩個方面介紹基本實現(xiàn)原理，并對其中涉及的基本概念做初步介紹。Page2培訓目標

學習完此課程，您將會：掌握MPLSBGPVPN模型掌握MPLSBGPVPN中的基本概念掌握MPLSBGPVPN路由傳遞和標簽分發(fā)掌握MPLSBGPVPN數(shù)據(jù)轉(zhuǎn)發(fā)流程目錄BGP/MPLSVPN的簡介BGP/MPLSVPN的基本概念BGP/MPLSVPN的實現(xiàn)原理BGP/MPLSVPN的故障案例分析Page3目錄BGP/MPLSVPN的簡介BGP/MPLSVPN的基本概念BGP/MPLSVPN的實現(xiàn)原理BGP/MPLSVPN的故障案例分析Page4Page5MPLSBGPVPN網(wǎng)絡(luò)結(jié)構(gòu)VPNAMPLSDomainPEPEPEPEPPPPCECECECECECECECEVPNBVPNBVPNAVPNAVPNBVPNBVPNAVPN網(wǎng)絡(luò)的網(wǎng)元角色（1）CE：有一個或多個接口直接與服務(wù)提供商（ServiceProvider，SP）網(wǎng)絡(luò)直接相連。（2）PE：PE與CE直接相連。（3）P：該設(shè)備不與CE直接相連。Page6VPN實現(xiàn)需要解決的問題（1）VPNA的CE1節(jié)點要能夠訪問CE5下聯(lián)的業(yè)務(wù)網(wǎng)段，那么CE1上必須要有CE5的路由。但用戶VPN內(nèi)部的私網(wǎng)路由不能夠被通告到中間的骨干網(wǎng)絡(luò)，因為一旦被通告到中間的骨干網(wǎng)絡(luò)，就意味著VPN用戶能夠跟中間的骨干公網(wǎng)進行業(yè)務(wù)互通。那么，CE1和CE5之間的業(yè)務(wù)路由如何跨越中間的骨干網(wǎng)絡(luò)進行傳遞？（2）假設(shè)CE1學到了CE5的路由，用戶的VPN私網(wǎng)數(shù)據(jù)被發(fā)送到PE節(jié)點，但中間的骨干網(wǎng)絡(luò)中，并不維護用戶的私網(wǎng)路由信息，無法借助路由查找的方式實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。那么，用戶的私網(wǎng)數(shù)據(jù)如何透傳中間的運營商網(wǎng)絡(luò)？Page7如何解決問題（1）BGP使用TCP作為傳輸層協(xié)議，而且BGP的主要功能在于路由的控制和選擇。（2）MPLS協(xié)議通過標簽交換的方式實現(xiàn)了數(shù)據(jù)的轉(zhuǎn)發(fā)。Page8目錄BGP/MPLSVPN的簡介BGP/MPLSVPN的基本概念BGP/MPLSVPN的實現(xiàn)原理BGP/MPLSVPN的故障案例分析Page9Page10如何解決同一PE上不同VPN用戶地址空間重疊問題PEAPEBPCEACECCEBCED公司A總部公司A分部公司B總部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2PEA連接的公司A總部和公司B總部使用相同的IP地址空間VPNAVPNAVPNBVPNBMPLSDomainPage11PEAVRF:VPNRouting&ForwardingVRFforSiteAVRFforSiteC公網(wǎng)路由表PEAPEBPCEACECCEBCED公司A總部公司A分部公司B總部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2VPNAVPNAVPNBVPNBMPLSDomain(SiteA)(SiteC)(SiteB)(SiteD)L0:1.1.1.1L0:3.3.3.3L0:2.2.2.2公網(wǎng)路由表和VPN私網(wǎng)路由表信息Page12<PEA>displayiprouting-tableRoutingTables:PublicDestinations:9Routes:9Destination/MaskProtoPreCostNextHopInterface1.1.1.1/32Direct00127.0.0.1InLoopBack02.2.2.2/32OSPF10156311.11.11.2Serial33.3.3.3/32OSPF10312511.11.11.2Serial311.11.11.0/30Direct0011.11.11.1Serial311.11.11.1/32Direct00127.0.0.1InLoopBack011.11.11.2/32Direct0011.11.11.2Serial311.11.11.4/30OSPF10312411.11.11.2Serial3127.0.0.0/8Direct00127.0.0.1InLoopBack0127.0.0.1/32Direct00127.0.0.1InLoopBack0

[PEA]displayiprouting-tablevpn-instancevpnaRoutingTables:vpnaDestinations:7Routes:7Destination/MaskProtoPreCostNextHopInterface10.1.1.0/30Direct0010.1.1.1Serial210.1.1.1/32Direct00127.0.0.1InLoopBack010.1.1.2/32Direct0010.1.1.2Serial210.1.2.0/30BGP25503.3.3.310.1.2.2/32BGP25503.3.3.310.1.5.0/24BGP255010.1.1.2Serial210.1.6.0/24BGP25503.3.3.3Page13如何區(qū)分不同的VPN中相同的IP地址前綴PEAPEBPCEACECCEBCED公司A總部公司A分部公司B總部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2

公司A總部和公司B總部的路由信息通過MP-BGP傳遞到PEBVPNAVPNAVPNBVPNBMPLSDomainVPNv4AddressPage14RD：RouteDistinguisherRD：RouteDistinguisher64bits前綴

VPNv4Address由64bit的RD加上IPv4地址構(gòu)成RD唯一，VPNV4地址唯一RouteDistinguisherIPv4地址VPNV4Address=+Page15對端PE如何判斷將VPNV4路由注入到

指定VRF中PEAPEBPCEACECCEBCED公司A總部公司A分部公司B總部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2CEA同時可以與VPNA和VPNC通信VPNAVPNAVPNBVPNBMPLSDomainCEE10.1.5.0/30s0.2.1s0公司C（SiteE）VPNCVPNC10.1.9.0/24(SiteA)(SiteC)(SiteB)(SiteD)Page16RouteTargetRouteTarget為路由的擴展屬性ExportRouteTargetImportRouteTargetPEVPN-instanceExportRouteTargetImportRouteTargetPEAvpna100:1300:1100:1300:1vpnb200:1200:1vpnc300:1300:1PEBvpna100:1100:1vpnb200:1200:1目錄BGP/MPLSVPN的簡介BGP/MPLSVPN的基本概念BGP/MPLSVPN的實現(xiàn)原理BGP/MPLSVPN的故障案例分析Page17MP-BGP的能力擴展MP-BGP實現(xiàn)了對多種網(wǎng)絡(luò)層協(xié)議的支持MP-BGP在建立鄰居時，會使用Open消息中包含的能力協(xié)商參數(shù)Capabilities進行能力的協(xié)商。MP_REACH_NLRI用于發(fā)布可達路由及下一跳信息，該屬性由一個或多個三元組組成，其中網(wǎng)絡(luò)可達信息中包含了VPNv4前綴和MP-BGP給VPNv4路由分配的標簽信息。Page18Page19VPN的路由信息發(fā)布

路由信息發(fā)布本地CE到入口PE路由信息交換入口PE到出口PE路由信息交換出口PE到出口CE路由信息交換標簽分發(fā)公網(wǎng)標簽的分發(fā)私網(wǎng)標簽的分發(fā)

VPN報文轉(zhuǎn)發(fā)封裝兩層標簽外層標簽用于報文在公網(wǎng)上的轉(zhuǎn)發(fā)內(nèi)層標簽用于指示報文到達哪個SiteVPN的路由信息發(fā)布本地CE到入口PE路由信息交換入口PE到出口PE路由信息交換出口PE到出口CE路由信息交換Page20CE-PE之間使用靜態(tài)路由Page21CE-PE之間使用動態(tài)路由協(xié)議Page22PE-PE的路由信息交換Page23入口PE到出口PE的路由傳遞Page24出口PE到遠端CE的路由信息交換出口PE在學習遠端傳遞過來的路由，并加入本地VRF中后，可以選擇是否將路由信息繼續(xù)往CE傳遞，方式跟CE向入口PE傳遞路由的方式相同，傳遞的同樣是普通IPv4路由信息。Page25Page26MP-BGP路由注入VRF過程PEAPEBPCEACEB公司A總部公司A分部10.1.5.0/2410.1.6.0/24VPNAVPNA(SiteA)(SiteB)BGP,OSPF,RIPv2updatefor10.1.5.0/24,NH=CEAVPNV4Update100:1:10.1.5.0/24（RD100：1+IPv4）NH=PEASOO=SiteART=100:1Label=15362MPLSDomainVPN-v4路由變?yōu)镮PV4路由，并且根據(jù)本地VRF的importRT屬性加入到相應(yīng)的VRF中，私網(wǎng)標簽保留，留做轉(zhuǎn)發(fā)時使用。再由本VRF的路由協(xié)議引入并轉(zhuǎn)發(fā)給相應(yīng)的CEPage27公網(wǎng)標簽分配過程PEAPEBPCEACEB公司A總部公司A分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/24s1VPNAVPNAMPLSDomainL0:1.1.1.1L0:3.3.3.3L0:2.2.2.2Uselabel3for1.1.1.1/32Uselabel1024for1.1.1.1/32FEC

In/OutLabel1.1.1.1/323/NULLFEC

In/OutLabel1.1.1.1/321024/3FEC

In/OutLabel1.1.1.1/32NULL/1024Page28數(shù)據(jù)轉(zhuǎn)發(fā)過程PEAPEBPCEACEB公司A總部公司A分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/24s1VPNAVPNAMPLSDomainL0:1.1.1.1L0:3.3.3.3L0:2.2.2.210.1.5.110.1.5.115362102410.1.5.115362102410.1.5.11536210.1.5.13目錄BGP/MPLSVPN的簡介BGP/MPLSVPN的基本概念BGP/MPLSVPN的實現(xiàn)原理BGP/MPLSVPN的故障案例分析Page29BGP/MPLSVPN的故障案例分析案例：已配置相同RT的不同VPN之間不能互通。圖4