Mpls虚拟专用网络

已于 2022-03-30 17:24:34 修改
阅读量630 收藏 6
点赞数 5
文章标签: 网络 网络协议
于 2022-03-29 13:03:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57686163/article/details/123770145
版权

文章目录

简介

类似GRE,MPLS VPN也是一种隧道技术,它提供了一条虚拟通路,使经过特殊封装的数据报能够在这个通路上传输。在隧道的两端分别对数据报进行封装及解封装。MPLS VPN相比传统的VPN,可以满足更多客户的需求,MPLS VPN不仅仅是单一VPN技术,是一种由多种技术结合的综合解决方案。由于MPLS VPN是由运行商提供的服务,所以在安全和传输有更好的保障。
在这里插入图片描述

名词介绍

  • PE:服务提供商边界设备,为公网设备,搭建MPLS VPN时需要连接私网,拥有私网接口
  • CE:客户边界设备,私网的边界设备

VRF空间

  • 在图1中,PE连接了两个公司私网,私网路由都会来到PE设备上,但由于私网网段极有可能是重复的,如果都来PE设备上难以区分,而且PE是公网设备,公网是不允许出现私网路由的,故在PE上划分两个空间专门用来存放私网路由,该空间在cisco被称为VRF空间,在华为设备上称为Vpn-Instances(vpn 实例)。划分VRF空间时可以将本地的接口与VRF空间绑定,绑定后从该接口学来的路由和该接口的路由都属于VRF空间,这些路由独立于全局路由表,进行相关配置时需指定VRF空间。
    在这里插入图片描述
# 创建VRF空间
[r2]ip vpn-instance a # ip vpn-instance 空间名,空间名区分大小写
[r2-vpn-instance-a]quit
[r2]inter GigabitEthernet 
[r2-GigabitEthernet0/0/0]ip binding vpn-instance a  # 将接口绑定到VRF空间
# 查看VRF空间
[r2]display ip routing-table vpn-instance a # 查看VRF空间路由表
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: a
         Destinations : 5        Routes : 5        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

    192.168.1.0/24  Direct  0    0           D   192.168.1.1     GigabitEthernet 0/0/0
    192.168.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet 0/0/0
  192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet 0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
# 在空间中配置静态路由
[r2]ip route-static vpn-instance a 192.168.1.0 24 192.168.2.1

RD

  • 使用VPN技术连接私网后,私网间需要传递路由,PE上不同VRF空间内可能都是172.16.0.0/24网段内的路由,这些路由来到对端PE设备上,PE如何区分这些路由是一个私网的路由还是多个私网的路由,所以MPLS VPN使用RD(路由区分码)来辨别这些相同网段的路由信息。
  • RD值是由64位二进制构成,形式为:AS号:NN,NN为自定义数值,在传递路由信息时,VRF空间会将64位的RD值放在32位IP路由前缀前面,形成96位的路由前缀,形成VPNv4路由进行传递。
[r2-vpn-instance-a]route-distinguisher 1:1 # 配置该VRF空间的RD值

RD值一旦确定后不可更改,如果需要更改只能删除VRF空间重新创建。

MP-BGP

  • PE间的传递的是私网路由,如果通过IGP协议传递这些路由,会导致私网路由信息洪泛到公网中,所以PE间的路由传递使用的使BGP协议,通过BGP单播建邻,一对一传输。
  • 由于PE传递的路由时携带RD值的VPNv4路由,普通的BGP协议只能携带ipv4路由,故使用BGP V4的拓展版:MP-BGP,该协议支持多种地址族,包括IPV4,VPNV4,IPV6…
#
bgp 1
 router-id 2.2.2.2
 peer 4.4.4.4 as-number 1 
 peer 4.4.4.4 connect-interface LoopBack0
 # 配置后,MP-BGP可携带VPNv4路由
 ipv4-family vpnv4
  policy vpn-target
  peer 4.4.4.4 enable
 # 宣告某个VRF空间的路由
 ipv4-family vpn-instance a 
  network 192.168.1.0 
  import-route static
#

[r2]display bgp vpnv4 vpn-instance a routing-table #  查看空间内部BGP表

 BGP Local router ID is 2.2.2.2 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete


 VPN-Instance a, Router ID 2.2.2.2:

 Total Number of Routes: 3
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn

 *>   192.168.1.0        0.0.0.0         0                     0      i
 *>i  192.168.2.0        4.4.4.4         0          100        0      i

RT

  • 当PE收到对端PE传来的VPNv4路由时,通过RD可以辨别这些私网路由是否属于同一个私网,但它是如何知道应该把这些路由放到本地的哪一个路由表中?MPLS VPN使用RT(路由目标值)辨别这些路由应该放到哪个VRF空间。
  • RT(VPN Target),由32位二进制构成,一个VPNv4路由可以携带多个RT值,通过BGP的社团属性来携带,RT值分为出站RT和入站RT。
  • 出站RT:PE为不同的VRF空间定义的发出路由时社团属性中携带RT值
  • 入站RT:PE收到携带一个或多个RT值的路由时,会将这些路由携带的RT值与本地所有VRF空间定义的入站RT值进行对比,只要相同,则允许该路由进入该VRF空间。
[r2-vpn-instance-a]vpn-target 1:1 export-extcommunity  # 配置出战RT

2-vpn-instance-a]vpn-target 1:1 import-extcommunity # 配置入站RT

[r2-vpn-instance-a]vpn-target 1:1 both  # 同时配置出战RT和入站RT

在这里插入图片描述

双层标签

  • 当两个私网控制层面可达后,在通信时,如一个ping包从一个私网来到另一端的PE设备上时,PE如何知道这个流量需要看哪张路由表,只有看相应的路由表才能正常通信。
  • MP-BGP会为每个VRF空间设置一个标签号,通过社团属性携带给对端PE,对端PE在于本地私网通信时,会先在流量中添加该标签,本地根据该表签选择需要查看的路由表。
    在这里插入图片描述

工作过程

PE上创建VRF空间,并设置该空间的RD和RT值,MP-BGP会自动给该空间分配一个标签号,然后将本地的私网接口与VRF空间绑定,绑定后该私网的路由会进入所绑定的VRF空间内,PE间通过MP-BGP传递路由信息,将私网路由重发布到BGP中,BGP携带VPNv4路由、出站RT值和本地VRF空间的标签号,通过MPLS将路由传递给对端PE,对端PE收到路由后根据路由所携带的出站RT值将路由放到对应的VRF空间,该空间的路由可以由IGP协议传递到私网内,对端私网访问本地私网的流量首先来到对端PE上,然后由MP-BGP添加VRF空间标签,在由MPLS添加标签,于是公网的设备基于标签转发执行次末跳,本端PE收到访问的流量首先查看到标签号,根据标签号查看对应的路由表,最后转发到对应的私网网段中。

在ensp中的配置

  • 在如下拓扑中,我们通过MPLS VPN将A公司的站点1和站点2连接,以下配置为R2上的配置。
    在这里插入图片描述
  • 配置完所有的IP地址后,首先在公网部分启动IGP协议
#
ospf 1 router-id 2.2.2.2 
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 23.1.1.1 0.0.0.0 
#
  • 开启MPLS
#
mpls lsr-id 2.2.2.2
mpls
#
mpls ldp
#
interface GigabitEthernet0/0/1
 mpls
 mpls ldp
#
  • 在PE上创建VRF空间并配置RD值域RT值
#
ip vpn-instance a
 ipv4-family
  route-distinguisher 1:1
  vpn-target 1:1 export-extcommunity
  vpn-target 1:1 import-extcommunity
#
  • 启动MP-BGP并于对端PE建立对等体关系
#
bgp 1
 router-id 2.2.2.2
 peer 4.4.4.4 as-number 1 
 peer 4.4.4.4 connect-interface LoopBack0
 #
 ipv4-family vpnv4
  peer 4.4.4.4 enable
#
  • 私网内可以允许IGP协议也可以使用静态路由,我这里使用静态路由
#
ip route-static vpn-instance a 192.168.4.0 255.255.255.0 192.168.2.1
ip route-static vpn-instance a 192.168.3.0 255.255.255.0 192.168.1.2
#
  • MP-BGP宣告路由,使PE间传递私网路由
#
bgp 1
 ipv4-family vpn-instance a 
  network 192.168.1.0 
  import-route static
#
傲然*
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MPLS 虚拟专用网络技术原理与配置
qq_43710889的博客
02-19 3323
MPLS VPN原理与配置
浅析基于MPLS虚拟专用网络
Arise P. Song-曾经的你(风)
04-15 1717
http://www.ce.net.cn 技术时空  2005年3月15日
MPLS-虚拟专用网络
qq_43685364的博客
01-17 2371
MPLS-虚拟专用网络
生活中无处不在的MPLS虚拟专用网
qq_40741808的博客
05-18 1010
目录 前言 原理描述 MPLS VPN数据的转发 常见问题 一、前言 VPN(虚拟专用网)在公网上为用户提供一个发送数据的专用的隧道,提供安全性和专用性。 相关概念 CE ( Custom Edge,用户边界) : 直接与服务提供商相连的用户设备。通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS。 PE ( Provider Edge Router 提供商边界) : 指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能
基于MPLS虚拟专用网技术
06-09
基于MPLS虚拟专用网技术,希望脑部网络技术的可以看看
软考网络工程师MPLS
05-20
2. 虚拟专用网络(Virtual Private Network,VPN):MPLS可创建不同层次的MPLS标签,实现不同用户或业务之间的隔离,提供安全的连接。 3. QoS(Quality of Service):通过预留带宽、优先级标签等手段,保证关键业务...
MPLS.rar_mpls
09-23
5. **虚拟专用网络(VPNs)**:MPLS可以创建多个逻辑上的独立网络,提供安全的私有连接。 **MPLS的标签栈** 一个数据包可能包含多个标签,形成标签栈。标签栈按照“后进先出”(LIFO)原则处理,最上方的标签最先...
网工必备MPLS技术解析白皮书
05-09
4. **虚拟专用网络(VPNs)**:MPLS支持多租户环境下的VPNs,为不同用户提供隔离且安全的数据传输通道。 5. **融合多种协议**:MPLS名称中的“多协议”意味着它可以与多种网络层协议如IP、ATM、帧中继等共存。 **...
mpls.ppt参考文档
10-15
- **虚拟专用网络(VPNs)**:MPLS可以创建逻辑上的隔离网络,提供安全且高性能的连接服务。 **5. MPLS环路检测:** 为了防止MPLS网络中的路由环路,MPLS使用了类似OSPF或IS-IS等路由协议中的环路检测机制。例如,...
MPLS工作机制及MPLS 虚拟专用网络技术
hughwupan的博客
10-10 2008
一、MPLS概述 1.1 概述 传统的IP网络中,路由基于IP头部中的目的地址进行寻址以及转发操作,所有的路由设备需要维护路由表用于指导数据的转发。路由设备执行查询时,依据最长前缀匹配原则进行操作。在IP技术发展的早起,IP路由根据路由表进行数据寻址转发,工作效率低下,随着数据业务的迅猛发展,这种转发机制渐渐不能适应当时的需求,在后来,出现了一些新技术,其中之一就是标签交换技术,例如ATM等,提供...
mpls ***访问internet
weixin_33749131的博客
05-27 141
方案一:集中式防火墙思路:在某个PE上单独创建一个internet ***,这个internet接一台支持NAT的路由器或firewall设备,作为internet ***的CE设备。在PE的internet ***里创建一条缺省路由指向CE(NAT路由器或firewall)设备,并将这条缺省路由引入到internet ***中里。 转载于:https://blog...
MPLS VPN详解
weixin_68261415的博客
11-13 3736
所有PE路由器和P路由器都运行主干网的域内路由(OSPF或者ISIS等),生成的路由表将触发主干网中LSP的建立(拓扑驱动方式),通过LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换(也就说在数据转发时,在PE收到CE的数据报文时,VRF为数据报文打上内层VPN标签和获取下一跳出口PE路由器的地址,根据这个地址进行外层标签的转发,因此这个下一跳地址是连接域内路由和VPN路由的纽带)。其实就是在IPv4的加上64bit的字段,保证在IPv4地址进入PE后保持全局唯一性。
2023-01-20 网工进阶(三十九)MPLS 虚拟专用网络---概述、路由交互、CE接入PE方法、基本组网方案详解、团体属性、防环、MCE组网、伪连接方案、跨域组网详解、各种组网方案配置举例
x629242的博客
03-14 3187
VPN(Virtual Private Network,虚拟专用网络)指的是在一个公共网络中实现虚拟的专用网络,从而使得用户能够基于该专用网络实现通信的技术。MPLS VPN也是VPN技术中的一种。本文特指。BGP/MPLS IP VPN网络VPN服务来。MPLS VPN的骨干网也可以由企业自行搭建,技术层面与运营商搭建基本一致。MPLS VPN在运营商骨干网(IP网络)上发布VPN路由,使用MPLS在运营商骨干网上转发VPN报文。
MPLS网络的架构以及详解
xiao_xiong123的博客
03-12 5648
(1)MPLS网络的原理        透传业务报文;控制平面(control plane)和数据平面(data plane)的分离。        MPLS TP-OAM报文作为MPLS网内的管理报文进行网内故障管理。(2)MPLS报文的结构        报文总长为4字节        20bits的MPLS LABEL        3bits的Exp---优先级        1bit的B...
ENSP实验:MPLS VPN
qq_28563707的博客
08-15 2665
"ENSP"是华为企业级网络设备模拟器(Enterprise Network Simulation Platform)的缩写。它是华为公司提供的一款网络仿真软件,旨在帮助网络管理员和工程师在虚拟环境中规划、配置和测试企业级网络设备和拓扑。网络拓扑模拟:ENSP允许用户在虚拟环境中构建复杂的企业级网络拓扑。用户可以添加和连接不同类型的虚拟设备,例如华为路由器、交换机、防火墙等,并设置它们之间的链路和端口属性。设备模拟:ENSP提供华为企业级网络设备的模拟器,可以模拟华为的不同系列路由器和交换机。
MPLS VPN技术简介与基本配置案例
最新发布
LiMITV的博客
12-13 5710
MPLS VPN技术的简介以及一个简单的配置案例,仅作学习分享,欢迎大家一起学习交流
HCIP-十五、MPLS-VPN&GRE
qq_33794290的博客
12-02 1034
HCIP-十五、MPLS-VPN&GRE
城域网MPLS ×××的几种实现方法
weixin_34306676的博客
01-19 501
城域网MPLS ×××的几种实现方法 一、MPLS ×××技术的发展 随着IP城域网逐步发展成为城域网建设的主流方案,具有解决企业互连能力和提供丰富业务能力的MPLS ×××技术,正在成为IP网络运营增值业务的重要手段。MPLS ×××技术可将IP网络分解为逻辑上隔离的网络,这种逻辑隔离的网络的应用可以千变万化:企业单独互连、政府办事部门单独互连、提供新业务—如为IP...
MPLS 与GRE 的互补作用
wjw7869的专栏
06-06 3523
 MPLS是多协议标签交换的简称,它用短而定长的标签来封装网络层分组。MPLS最初是为提高路由器的转发速度而提出一个协议。 GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。 MPLS在VPN中的应用,用MPLS为转发通道运行私网流量,使一个运营商的网络可以
mpls和虚拟专用网的关系
05-26
MPLS(Multiprotocol Label Switching)和虚拟专用网(VPN,Virtual Private Network)是两个不同的概念,但它们可以结合...因此,MPLS和VPN可以结合使用,通过建立安全的MPLS虚拟专用网,来提高网络的性能和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值