MPLS VPN基本知识

MPLS VPN基本

1、VPN中设备的角色

        1.1 CE：Custom Edge，直接与服务商相连的用户设备。（企业用户的网络设备：RTA，RTB，RTF，RTG）

        1.2 PE：Provider Edge Router，指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。（运营商的设备：RTC，RTE）

        1.3 P：Provider Router，指骨干网上的核心路由器，主要完成路由和快速转发功能。（运营商的设备：RTD）

2、VPN的分类-模型

        2.1 Overlay VPN，本质上是一种“静态”VPN

                2.1.1 特点：客户路由协议总是在客户设备之间交换，而运营商对客户网络结构一无所知。

隧道建立在CE上，不同的VPN用户可以共享相同的地址空间不冲突，需要用户自己维护。

隧道建立在PE上，不同的VPN用户不能共享相同的地址空间，并且必须使用大量的ACL和策略等等特点。

典型的协议：二层——帧中继；三层——GRE与IPSec；应用层——SSL VPN。

优点：客户把VPN的创建及维护完全交给服务商，保密性、安全性比较好。

缺点：不同的VPN用户不能共享相同的地址空间，即使可以共享，则PE与CE之间的地址、tunnel之间的地址一定不能相同，并且必须使用大量的ACL和策略路由。在实际中不具备可行性。

        2.2 Peer-to-Peer VPN（CE-to-PE）

                2.2.1 特点：在CE设备与PE设备之间交换私网信息，由PE设备将私网信息在运营商网络中传播，实现了VPN部署及路由发布的动态性。

解决了Overlay VPN的“静态”性质不太适合大规模应用和部署的问题。

优点、缺点

两种部署方式：共享PE方式，专用PE方式。

SDN：netconf配置下放，openflow转控分离。

2.3 MPLS VPN

提供动态建立隧道的VPN技术——MPLS；解决路由冲突问题——BGP。

要求一中动态建立的隧道技术——MPLS

如何解决地址空间冲突——对BGP协议进行扩展

需要解决的问题：

1.本地路由冲突问题：如何解决PE设备本地路由冲突。（在同一台PE上如何区分不同VPN的相同路由）

2.路由在网络中的传播问题：路由传递过程中如何区分不同用户的相同路由。

3.报文的转发问题：数据转发过程中如何区分数据属于哪个用户。

上述问题1解决：VRF（virtual Router Forword）——虚拟路由转发（思科）、VPN实例——虚拟路9由转发实例（华为）

每一个VRF：拥有专属于该VRF的路由表；拥有专属于该VRF的接口；拥有专属于该VRF的IP。

不同实例之间不能互通！！！

多个接口可以学习到同一个MAC（处于不同的VLAN_广播域）；一个接口可以学到多个MAC！！！

[Huawei]ip vpn-instance name

[Huawei-vpn-instance-name]ipv4-family

[Huawei-LoopBack0]ip binding vpn-instance name

[Huawei]display ip routing-table vpn-instance name，查看VPN路由表

[AR3]ospf 2 vpn-instance VPN1，在VPN实例下启用OSPF协议。

[AR3]ip route-static vpn-instance VPN1 1.1.1.1 32 NULL 0，在VPN实例下进行路由泄露。

1、PE本地如何区分本地不同VPN客户的相同私网路由？

VRF：1、独立的路由表；2、独立的路由协议；3、独立的接口。

2、远端PE如何知道路由属于哪一个VPN客户端？

RT（路由标记，route-target，扩展团体属性），可以携带多个和接收多个不同的RT。拥有灵活的组网方式。

源端PE发送路由携带RT，接收端PE可以根据RT执行接收。

3、RR以及远端PE如何区分不同VPN客户端的相同私网路由？

RD（路由区分器，route distinguishers），64bit，64bit的RD + 32bit的IPv4地址就是96bit的VPNv4。

建议一个VPN客户的所有站点配置相同RD。

[Huawei-vpn-instance-vpn1]route-distinguisher 1:1

4、PE从远端接收到数据，如何知道该发送到哪个站点？

私网标签

lable

site

vpn

BGP协议只传最优的BGP路由。