MPLS_VPN介绍

服务提供商网络中最诱人的MPLS(多协议标签交换)驱动程序之一就是它对VPN(虚拟专用网)的支持。服务提供商的用户在VPN中能够连接到它的整个网络上地理位置分散的站点。

【IT专家网独家】务提供商网络中最诱人的MPLS(多协议标签交换)驱动程序之一就是它对VPN(虚拟专用网)的支持。服务提供商的用户在VPN中能够连接到它的整个网络上地理位置分散的站点。

有三种基于MPLS的VPN：

·3层VPN：采用3层VPN，服务提供商参加客户的3层路由。客户每一个站点使用的CE(客户端)路由器向服务提供商的PE(提供商端)路由器发送BGP(边界网关协议)或者OSPF(开放式最短路径优先)等路由协议。每一个客户站点播出的IP前缀都在服务提供商的网络上传送。3层VPN对于那些想利用服务提供商的技术专长保证站点之间充分的路由的客户来说是有吸引力的。

·2层VPN：服务提供商通过客户选择的2层技术(如ATM<异步传输模式>、帧中继或者以太网)把客户的站点相互连接起来。客户可是使用他要运行的任何3层协议，服务提供商不参与

这层的工作。对于那些想要完全控制自己的路由的那些客户来说，2层VPN是有吸引力的。2层VPN对于服务提供商也是有吸引力的，因为在PE路由器上增加适当的接口就可以提供客户需要的任何连接。

·虚拟专用局域网服务：从客户的观点看，VPLS(虚拟专用局域网服务)使服务提供商的网络看起来就像是一个单个的以太网交换机。VPLS吸引客户的地方是它们能够让广域网看起来就像是他们本地园区或者大楼范围内的网络，使用一种价格便宜和容易理解的技术(以太网技术)。与围绕实际的以太网交换机建立起来的城域以太网服务不同，服务提供商能够连接到从局域网到全球网络的VPLD一位全减器客户。因此，一个在伦敦、迪拜、班加罗尔、香港、洛杉矶和纽约都有站点的客户能够使用一台以太网交换机连接所有这些站点。

虚拟专用网(VPN)中的“虚拟”就是个人的一些服务有独特的外表，但是，实际上，这些服务都是在一个共享的基础设施(MPLS网络)上建立的。这对于服务提供商的好处是他能够建立一个服务组合吸引广泛的用户，不用显著提高资本投资或者运营开支。

但是，我要讨论的是虚拟专用网中的“专用”部分。即使这些服务在一个MPLS网络上得到支持，这些服务不仅要保持独特的特点，而且单个客户的网络必须安全地相互隔开：

·客户A和客户B(都使用3层VPN)都不能相互看到对方的IP前缀。事实上，它们各自的地址空间能够重叠。例如，这两个客户能够使用相同的10.0.0.0地址解决其网络问题。服务提供商网络保持客户的地址前缀分开。

·客户C和客户D(都使用2层VPN)都不能看到对方的2层地址或者除了自己站点以外的人和其它类型的连接。

·VPLS客户E和客户F虽然都能把服务提供商网络看作是一个单独的以太网交换机，但是，他们都不能连接到同一台以太网交换机。连接客户E的各个站点的虚拟以太网交换机与连接客户F的站点的虚拟以太网交换机一定不能是同一台设备。

图1显示了在VPN之间创建专用的关键组件：每一个客户的个人信息表和MPLS LSPs (MPLS虚拟电路)连接的每一个客户的站点。这个表的信息内容取决于它支持的VPN类型：

·3层VPN信息表包含IP前缀，称作“虚拟路由和转发表”(VRF)。VRF专门用于路由表。

·2层VPN信息表称作“虚拟转发表”(VFT)，包含它支持的所有2层技术的2层地址，如帧中

继DLCI。

·VPLS信息表包含以太网MAC地址，如果使用VLANS的话，还有VLAN ID，映射到本地端口或者指向其它站点的LSP。这些表担负以太网交换机中MAC表的相同任务。

图1显示的VPN网络是简单的，它仅规定了三个客户，每个客户拥有两三个站点。一个用于生产的MPLS VPN网络至少有数百个客户和数千个信息表。保持一个像图1这样的基本的LSP结构会很快升级这个限制。

幽灵楼道因此，不要单独转换MPLS核心网络中的每一个具体的LSP表，LSP是在每一个PE平果铝设备之间创建的，如图2所示。接下来，这个具体的LSP表在这些PE至PE的重型地中海贫血LPS中间建立隧道，允许这个核心网络更好地升级，交换必须在这些更少的隧道LSP中间进行。

这就是在上一篇文章中强调标记堆栈的原因：这是MPLS VPN升级的一个重要功能。当一台PE设备收到一个来自本地连接的PE设备发出的IP数据包或者2层帧的时候，它将查看

本地信息表。如果这个数据包或者帧的目的地是另一个站点的CE设备，它将在一个MPLS头文件后面封装一个连接到远程信息表的正确标记。结果产生的MPLS数据包将封装到另一个MPLS头文件的后面，带着连接到远程信息表所在的远程PE设备的隧道LSP的标记。

在这个远程PE设备中，外部的头文件出现了并且对内部的头文件标记进行检查。这个标记告诉PE设备要查询什么本地信息表。这个内部的头文件然后弹出来，解开封装的数据包或者帧就可以发送到正确的信息表指定的本地连接的CE设备。

这篇文章介绍了MPLS VPN信息如何发送的基础知识。在第二部分，我们将讨论各种信息表中包含的这种可到达性信息是如何穿过MPLS发送到远程PE设备的。

应用技巧：理解MPLS VPN（第二部分）

作者: 东缘, 　出处:IT专家网,　责任编辑: 董柱,　

2008-02-28 11:06

虽然路由识别和路由目标在格式上是相同的，但是，它们是不同的动物，执行完全不同

的任务。请记住，路由标识只是让潜在的相同的前缀变成唯一的前缀，而路由目标是一种BGP社区属性，把可达信息的发布传送正确的信息表。

【IT专家网独家】上一篇文章讨论了MPLS VPN网络的转发层面，特别是如何通过在每一个服务提供商端(PE)保持单独的信息表和把有关的通讯经过单独的LSP(分层服务提供程序)协议连接到每一个表以保持隐密性。

还有控制层面：每一个信息表中包含的本地可达信息是如何传播到其它服务提供商的?

要记住，MPLS VPN和MPLS的基本目标之一是在一个通用的、共享的基础设施上支持多项服务，本地可达信息在服务提供商之间的传播还应该由一个单独的和共享的协议处理。

它确实如此，使用BGP(边界网关协议)。(对于2层VPN和VPLS来说，你有使用LDP(标签分发协议)的替代方法。但是，在我的头脑中，这只是不必要地增加了一个协议。使用BGP支持所有的VPN功能对我更有意义。也许对于这个问题的支持和反对的讨论将成为以后的好文章)。

然而，普遍使用BGP在所有的VPN之间传送全部可达信息提出了一个令人担心的问题：如果每一个服务提供商端的全部可达信息进入一个共享的BGP表并且使用相同的BGP更新消息进行传播，如何保证每一个VPN信息的秘密呢?

重叠的信息会出现什么情况呢?腾讯网迷你首页例如，3层VPN用户A、用户B和用户C可能都使用10.0.0.0/8专用地址空间作为自己的网络地址。我们说，PE_1用户A、B和C每个用户都有一个连接的网站，没一个网站的地址是在10.1.1.0/24的范围之内并且是单独传送的。在本地的PE_1，通过网站分开的连接和分开的信息表把这三个重叠的前缀分开。因此，用户A网站播出的10.1.1.0/24地址保存在用户A的VRF(VPN路由转发)中。用户B播出的10.1.1.0/24地址保存在用户B的VRF中。用户C播出的10.1.1.0/24地址保存在用户C的VRF中。

但是，PE-1现在必须要播出数字相同、但是实际上却不同的这三个前缀，因为它们属于三个不同的用户，都属于在这个网络上使用一个BGP处理的其它服务提供商。因此，10.1.1.0/24前缀将通过三个不同的VRF添加到BGP表。更有趣的是，用户D和用户E也播出连接到这个网络上的其它服务提供商的网站的10.1.1.0/24地址。从BGP的观点看，它只是

得到了通向同一个目的地的五个不同的路由，而不是五个不同的目的地。在服务提供商端，BGP仅选择它认为通向10.1.1.0/24地址的最佳路由，并且把它安装到所有本地的VRF。这显然不是我们要的东西。

要支持这些重叠的地址，我们需要满足两个要求：

(1)我们需要一个识别机制识别相同的前缀，并且把它们变成唯一的前缀，这样，BGP就不会把它们简单地解释为通向同一个目的地的多个可达通知。

(2)我们需要一个围绕前缀制定政策的方法，这样，我们就能够控制什么前缀能够进入什么信息表。

使用路由标识(RD，Route Distinguisher)能够满足第一个要求。路由标识是一个预先把一个前缀与一个具体的VPN用户关联起来的64位值。这个VPN服务提供商为每一个用户分配一个唯一的路由标识，并且可能为每一个用户网站分配一个路由标识。在这个前缀添加到BGP表的时候，这个路由标识将预先计划每一个用户发出的每一个前缀。

在我们提供的五个不同的VPN用户发出的10.1.1.0/24地址的例子中，路由标识可以按照

下列情况预先计划：

- 用户A, 在站点1: 1:1:10.1.1.0/24

- 用户B, 在站点1: 2:1:10.1.1.0/24

- 用户C, 在站点1: 3:1:10.1.1.0/24

- 用户D, 在站点2: 4:2:10.1.1.0/24

- 用户E, 在站点3: 5:3:10.1.1.0/24

由于这些路由标识，你能够方便地看到这五个在数字上相似的前缀现在都是唯一的。

但是，这些地址的长度不能超过IPv4地址。通过预先计划路由标识创建的地址属于VPN-IPv4地址家族。由于除了默认的IPv4地址家族之外BGP必须要发送这种VPN-IPv4系列地址，我们要使用多协议BGP(MBGP)。

对于第二个要求，制定一些政策确定什么前缀属于什么信息表。这个解决方案是对于每一

个本地的信息表都要创建一个VPN-IPv4前缀过滤器。但是，前缀过滤器在操作的上不能很好地升级，特别是在有数百或者数千个用户的时候。

过滤VPN-IPv4地址也不像我们喜欢的那样灵活。例如，用户A和用户B可能要在他们之间建立一个基于VPN的内部网，相互传送一个有限的共同地址空间的子集。