MBGP MPLS VPN

一、MPLS的不足与发展

1、在90年代初期，各个厂商的硬件设备性能不足时，MPLS能够很好的替代掉传统路由基于IP路由表多次查表转发数据的问题，但随着硬件性能的不断攀升，MPLS在转发性能上的优势几乎丧失掉；

2、但MPLS由于其使用的标签嵌套能力与转控分离能力，令其在其他诸多领域得到了很好的发挥

3、传统VPN存在诸多不足，其中最为重要的一点是，无论那种VPN，都需要令客户端自行配置与维护，对于非网络公司而言，难度极高，需要付出额外成本

4、在上述问题面前，MBGP MPLS VPN技术诞生，其使用扩展的BGP技术，配合上MPLS的标签分配能力，让VPN技术得到更好的发展

二、传统VPN存在的缺陷

1、所有的VPN都需要静态建立隧道，因此导致其扩展性不强，随着企业内部需要经过VPN的网段数量增加，需要配置的感兴趣流将会成N平方增长

2、传统的VPN均需要用户自行建设，由于各个企业内部死亡地址极有可能产生冲突问题，因此导致运营商的设备很难实现接管，运营商的设备从不同接口接收到来自不同企业的相同路由条目，将造成路由表混乱

3、传统的VPN无法适应大规模的部署及应用，需要一种更新的技术加以实现

三、MBGP MPLS VPN的优势

MBGP MPLS VPN作为一种新的VPN技术，解决了传统VPN的所有缺陷：

1、通过MBGP MPLS VPN搭建的隧道是动态建立的

2、能够让运营商的网络设备识别相同的客户网络，解决本地地址冲突问题

3、很好的控制VPN私网路由

四、隧道技术与MPLS

1、传统的VPN中（例如：GRE隧道），为了能够实现私网IP穿越公有互联网络，需要在原始的3层头部的外面在增加一个4Byte大小的GRE头部与20Btye大小的新IP头部，新的IP头部中包含的是可在公网上路由的公有源IP与目的IP地址

2、在MPLS网络中，MPLS的头部封装在原始3层头部与2层头部之间（MPLS头部在外，原始3层头部在内）

3、MPLS的封装将原始的3层头部包裹在其中，形成了一条天然隧道，起到与GRE隧道一样的封装作用

五、MPLS的隧道应用

1、在MPLS网络中，沿着LSP【Label Switching Path|标签交换路径】转发数据的LSR【Lable Switching Path|标签交换路由器】设备无需知道私网路由，完全根据MPLS头部中的标签进行数据转发

2、只需要在MPLS网络中的LER【Lable Edge Router|标签边界路由器】（数据的入/出口）设备上做处理，就能够实现令私网路由穿越公网

3、在非MPLS网络的客户上，客户与运营商的LER设备需要运行一款路由协议（IGP、EGP）以便将自身内部的私网路由传递至运营商，运营商内部运行BGP协议，将私网路由注入进BGP，令对端设备设法知道数据的目的地所在

4、当运营商的LER设备知道了目标所在地后便可以压标签进行标签转发

5、当运营商连接接收方客户端的LER设备接收到数据包后，发现目标地址是自己，于是将标签抹除，查询自身的IP路由表项，根据IP路由表将数据转发至真正的客户端

六、MPLS的PHP技术（倒数第二条弹出）

1、在LDP分配标签的过程中，倒数第一的路由器为倒数第二的路由器分配的标签永远是3

注：16以下的标签都是系统保留使用的系统标签，在分配时不会分发出去（0：显示空标签、1：路由器报警标签、3：隐式空标签）

2、因此倒数第二路由器在给倒数第一路由器发送数据时，就可以直接将标签3弹出，令倒数第一路由器直接查找路由表将数据转发至目的客户网络即可

3、该技术就称为【MPLS倒数第二跳弹出】

七、MPLS VPN的组网结构

在MBGP MPLS VPN中定义了3个特殊名词：

1、CE（Custom Edge Router）：非MPLS网络的客户端的边界网络设备

2、PE（Provide Edge Router）：运营商的MPLS的边界网络设备，用来连接CE设备

3、P（Provider Router）：工作在MPLS网络内的基于标签转发路由器

八、传统VPN隧道的建立与维护

1、若让用户自行建站维护VPN隧道，首先隧道需要静态手工建立；其次对于非网络公司而言，需要支付额外的费用来聘请专业的人员配置并维护，且工作繁琐，易出现错误

2、若让运营商帮忙建站维护VPN隧道，由于不同的客户网络有可能使用相同的私有网段，因此运营商无法通过同一台设备来连接不同的客户网络，将会造成路由表混乱问题；因此运营商就需要为不同的客户网络来单独使用一台设备连接，相当于运营商为不同的客户搭建了一条专线，成本更加高昂

3、若让运营商帮忙建站维护VPN隧道，不向使用运营商的独立设备建站时，希望多个客户网络可以使用同一条VPN隧道（共享隧道）来完成数据的传输，那么地址冲突如何解决呢？

九、VRF技术

1、若运营商同一台路由器连接不同的客户网络，而不同的客户网络内部使用相同的私网网段，这将造成运营商设备（PE）的路由表混乱，造成地址冲突问题

2、因此提出的解决方案为：VRF（Virtual Routing Forwarding|虚拟路由转发）

        2.1、VRF相当于是让一台物理路由器分裂为多台逻辑路由器

        2.2、每台VRF路由器负责维护自身单独的路由表项，各个VRF路由器的路由表项完全独立，互不可见

        2.3、每台VRF路由器拥有3个独立：

                2.3.1、独立的IP路由表项

                2.3.2、独立的端口/接口

                2.3.3、独立的路由协议

3、将运营商同一个PE设备的不同接口绑定在不同的VRF中，从某一个接口接收到的路由条目，只查询其绑定的VRF路由表项，各个VRF之间相互不可互访

4、同一个PE设备上的不同VRF与不同的客户网络之间运行不同或相同的路由协议（只需进程号不同即可），本协议只学习自己绑定的客户网络的路由条目，只与自身连接的客户网络建立邻居关系，不同的VRF之间不建立任何关系，达到完全独立的状态，能够很好的避免客户的私网路由冲突问题

十、BGP协议的特点

1、BGP作为运营商网络中的主路由信息承载协议，是运营商最为重要的通讯协议，MPLS VPN是能够让网络设备基于标签进行数据转发，而并非使用标签进行路由学习，因此在主网络中，依旧需要使用BGP协议进行网络联通

2、BGP基于TCP的连接架构，只要与会双方的BGP的TCP三次握手能够成功建立，双方就可以建立BGP的对等体关系，实现跨越设备的对等体建立，防止因为中间设备不运行BGP而导致的网络连接中断

3、BGP从设计之初就考虑到未来的扩展性，因此BGP基于TLV【Type | Length | Value，类型 | 长度 | 值】架构设计并开发的，再加上BGP拥有非常丰富的属性，因此通过TLV架构可以扩展属性位，令BGP可以携带更多表明路由特征的信息

十一、普通的BGPv4更新

1、在没有被升级扩展的BGPv4中，BGP路由器通过【Update】更新消息来通告或删除一条路由，在更新消息中，主要包括以下：

        1.1、withdrawn-routes（删除的路由）：曾经发布过，现在已经不再有效的路由

        1.2、Path Attributes（路径属性）：路由信息的属性，是BGP用以进行路由控制与决策的信息

        1.3、NLRI【Network Layer Reach Information | 网络层可达性信息】：其中包括一个或多个IPv4地址与前缀长度

2、由此可以看出，普通的BGPv4仅仅只能够发布或删除IPv4的路由

3、当BGP与MPLS VPN结合使用时，需要让BGP能够识别其他的协议，因此需要将BGP进行扩展升级【MBGP】

十二、MBGP协议

1、普通的BGPv4仅仅能够传递或删除IPv4路由，为了能够让BGP承载多个协议的路由信息，RFC对BGP进行扩展升级，升级后的BGP被称为【MBGP、MP-BGP | Multi-Protocol | 多协议】

2、扩展后的BGP新增了3种属性：

        2.1、MP_REACH_NLRI：多协议_可达性_网络层可达性信息

        2.2、MP_UNREACH_NLRI：多协议_非可达性_网络层可达性信息

        2.3、Extended_Communities（扩展的团体属性）

3、升级后的MBGP就能够传递MBGP MPLS VPN、L2VPN、6PE等路由信息

十三、MBGP的路由更新

扩展后的MBGP相较于普通的BGPv4做了如下改动

1、使用MP_REACH_NLRI代替了普通BGP中的NLRI与Next_Hop属性

2、使用MP_UNREACH_NLRI代替了普通BGP中的Withdrawn-routes

3、在属性部分新增了Extended_Communities（扩展团体属性）

十四、MP_REACH_NLRI属性

1、普通BGP更新消息中包含：

        1.1、下一跳属性

        1.2、MLRI：IPv4地址与前缀长度

        1.3、其他属性

2、MBGP更新消息中包含：

        2.1、下一跳属性

        2.2、NLRI：IPv4地址与前缀长度

        2.3、其他属性

        2.4、地址族

        2.5、RD【路由区分器】

十五、