MPLSVPN協(xié)議原理-B幫派MPLSVPNMP-BGPBGP/MPLSVPNMPLS物種起源IP的危機(jī)在90年代中期，當(dāng)時路由器技術(shù)的發(fā)展遠(yuǎn)遠(yuǎn)滯后于網(wǎng)絡(luò)的發(fā)展速度與規(guī)模，主要表現(xiàn)在轉(zhuǎn)發(fā)效率低下、無法提供QOS保證。原因是：當(dāng)時路由查找算法使用最長匹配原則，必須使用軟件查找；而IP的本質(zhì)就是“只關(guān)心過程，不注重結(jié)果”的“盡力而為”。當(dāng)時江湖上流行一種論調(diào)：過于簡單的IP技術(shù)無法承載網(wǎng)絡(luò)的未來，基于IP技術(shù)的因特網(wǎng)必將在幾年之后崩潰。ATM的野心此時ATM跳了出來，欲收編所有幫派，一統(tǒng)武林。不幸的是：信奉唯美主義的ATM走向了另一個極端，過于復(fù)雜的心法與招式導(dǎo)致沒有任何廠商能夠完全修練成功，而且無法與IP很好的融合。在與IP的大決戰(zhàn)中最終落敗，ATM只能寄人籬下，淪落到作為IP鏈路層的地步。MPLS物種起源ATM技術(shù)雖然沒有成功，但其中的幾點心法口訣，卻屬創(chuàng)新：屏棄了繁瑣的路由查找，改為簡單快速的標(biāo)簽交換將具有全局意義的路由表改為只有本地意義的標(biāo)簽表這些都可以大大提高一臺路由器的轉(zhuǎn)發(fā)功力。MPLS的創(chuàng)始人“l(fā)abel大師”充分吸取了ATM的精華，但也同時認(rèn)識到IP為江湖第一大幫派，無法取而代之。遂主動與之修好，甘當(dāng)IP的承載層，但為了與一般的鏈路層小幫有所區(qū)別，將自己定位在第2.5層的位置。“l(fā)abel大師”本屬于八面玲瓏之人，為了不得罪其他幫派，宣稱本幫是“multiprotocol”，來者不拒，也可以承載其他幫派的報文。在經(jīng)過一年多的招兵買馬、上下打點之后，于1997年的武林大會上，正式宣布本幫成立，并命名為MPLS（MultiProtocollabelSwitch）MPLS包頭結(jié)構(gòu)通常，MPLS包頭有32Bit，其中有：20Bit用作標(biāo)簽（Label）3個Bit的EXP,協(xié)議中沒有明確，通常用作COS1個Bit的S,用于標(biāo)識是否是棧底，表明MPLS的標(biāo)簽可以嵌套。8個Bit的TTL理論上，標(biāo)記棧可以無限嵌套，從而提供無限的業(yè)務(wù)支持能力。這是MPLS技術(shù)最大的魅力所在。MPLS術(shù)語標(biāo)簽（Label）是一個比較短的，定長的，通常只具有局部意義的標(biāo)識，這些標(biāo)簽通常位于數(shù)據(jù)鏈路層的數(shù)據(jù)鏈路層封裝頭和三層數(shù)據(jù)包之間，標(biāo)簽通過綁定過程同F(xiàn)EC相映射。FEC：ForwardingEquivalenceClass，F(xiàn)EC（轉(zhuǎn)發(fā)等價類），是在轉(zhuǎn)發(fā)過程中以等價的方式處理的一組數(shù)據(jù)分組，MPLS創(chuàng)始人在秘笈本來規(guī)定：可以通過地址、隧道、COS等來標(biāo)識創(chuàng)建FEC，只可惜后輩弟子大多資質(zhì)愚鈍，不能理解其中的精妙之處，所以我們現(xiàn)在看到的MPLS中只是一條路由對應(yīng)一個FEC。通常在一臺設(shè)備上，對一個FEC分配相同的標(biāo)簽。LSP：標(biāo)簽交換通道。一個FEC的數(shù)據(jù)流，在不同的節(jié)點被賦予確定的標(biāo)簽，數(shù)據(jù)轉(zhuǎn)發(fā)按照這些標(biāo)簽進(jìn)行。數(shù)據(jù)流所走的路徑就是LSP。LSR：LabelSwitchingRouter，LSR是MPLS的網(wǎng)絡(luò)的核心交換機(jī)，它提供標(biāo)簽交換和標(biāo)簽分發(fā)功能。LER:LabelSwitchingEdgeRouter,在MPLS的網(wǎng)絡(luò)邊緣，進(jìn)入到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC，并為這些FEC請求相應(yīng)的標(biāo)簽。它提供流量分類和標(biāo)簽的映射、標(biāo)簽的移除功能。MPLS北斗七星陣法圖該陣法分為內(nèi)外兩層，外層由功力高強(qiáng)的弟子擔(dān)綱（至少是個堂主（LER），在IP報文沖陣時負(fù)責(zé)接收IP報文，查找標(biāo)簽轉(zhuǎn)發(fā)表，給IP報文打標(biāo)簽操作（PUSH）在IP報文出陣時對標(biāo)簽報文進(jìn)行彈出操作（POP），按IP路由進(jìn)行轉(zhuǎn)發(fā)。內(nèi)層由功力較低的入門弟子組成，負(fù)責(zé)對標(biāo)簽報文進(jìn)行快速的標(biāo)簽交換操作（SWAP）47.147.247.3IP47.1.1.112312123IP47.1.1.1IP47.1.1.1IP47.1.1.1IP的hop-by-hop逐跳轉(zhuǎn)發(fā)IP的逐跳轉(zhuǎn)發(fā)，在經(jīng)過的每一跳處，必須進(jìn)行路由表的最長匹配查找（可能多次），速度緩慢。DESTOUT接口47.1.0.0147.0.0.0147.1.1.01LabelSwitchedPath(LSP)47.147.247.3123121233IP47.1.1.1IP47.1.1.1MPLS的標(biāo)簽轉(zhuǎn)發(fā)，通過事先分配好的標(biāo)簽，為報文建立了一條標(biāo)簽轉(zhuǎn)發(fā)通道（LSP），在通道經(jīng)過的每一臺設(shè)備處，只需要進(jìn)行快速的標(biāo)簽交換即可（一次查找）。LabelSwitchedPath(LSP)FEC的精妙之處：不同目的地址（屬于相同的網(wǎng)段）的IP報文，在ingress處被劃分為相同的FEC，具有相同的標(biāo)簽，這樣在LSR處，只需根據(jù)標(biāo)簽做快速的交換即可。而對于傳統(tǒng)的IP路由，在每一跳處實際上都是一次重新劃分FEC的過程。如果一臺路由器對于ip路由和標(biāo)簽交換同樣使用了cache功能，由于對于路由來說，在cache中只能記錄主機(jī)路由，條目將十分有限，而標(biāo)簽對應(yīng)的是FEC，可能是網(wǎng)段，可以做到很少的條目匹配大量的報文。FEC的致命缺陷：對于一條FEC來說，沿途所有的設(shè)備都必須具有相同的路由（前綴和掩碼必須完全相同）才可以建成一條LSP。換句話說，使用MPLS轉(zhuǎn)發(fā)的所有沿途設(shè)備上，對于要使用標(biāo)簽轉(zhuǎn)發(fā)的路由，都不能做路由聚合的操作。上下打點當(dāng)一個鏈路層協(xié)議收到一個MPLS報文后，她是如何判斷這是一個MPLS報文，應(yīng)該送給MPLS處理，而不是象普通的IP報文那樣，直接送給IP層處理？回答：還記得MPLS的創(chuàng)始人“l(fā)abel大師”曾用了一年的時間來“上下打點”嗎？當(dāng)時主要的工作就是取得各個鏈路層幫派的通行證。例如：在以太網(wǎng)中：使用值是0x8847(單播)和0x8848（組播）來表示承載的是MPLS報文（0800是IP報文）在PPP中：增加了一種新的NCP：MPLSCP，使用0x8281來標(biāo)識LDP有了標(biāo)簽，轉(zhuǎn)發(fā)是很簡單的事，但是如何生成標(biāo)簽，卻是MPLS中最難修練的部分。在MPLS秘笈中，這部分被稱為LDP（LabelDistributionProtocol），是一個動態(tài)的生成標(biāo)簽的協(xié)議。其實LDP與IP幫派中的動態(tài)路由協(xié)議（例如RIP）十分相像，都具備如下的幾大要素：報文（或者叫消息）鄰居的自動發(fā)現(xiàn)和維護(hù)機(jī)制一套算法，用來根據(jù)搜集到的信息計算最終結(jié)果。只不過前者計算的結(jié)果是標(biāo)簽，后者是路由罷了。LDP消息在LDP協(xié)議中，存在4種LDP消息：發(fā)現(xiàn)（Discovery）消息 用于通告和維護(hù)網(wǎng)絡(luò)中LSR的存在。會話（Session）消息 用于建立，維護(hù)和結(jié)束LDP對等實體之間的會話連接。通告（Advertisement）消息 用于創(chuàng)建、改變和刪除特定FEC-標(biāo)簽綁定。通知（Notification）消息 用于提供消息通告和差錯通知。鄰居發(fā)現(xiàn)：通過互發(fā)hello報文(UDP/prot:646/IP:224.0.0.2）建立TCP連接：由地址大的一方主動發(fā)起。(TCP/port:646)會話初始化：由Master發(fā)出初始化消息，并攜帶協(xié)商參數(shù)。由slave檢查參數(shù)能否接受，如果能則發(fā)送初始化消息，并攜帶協(xié)商參數(shù)。并隨后發(fā)送keepalive消息。master檢查參數(shù)能否接受，如果能則發(fā)送keepalive消息。相互收到keepalive消息，會話建立。期間收到任何差錯消息，均關(guān)閉會話，斷開TCP連接MMMMMLDP會話的建立和維護(hù)LDP鄰居狀態(tài)機(jī)標(biāo)簽的分配和管理標(biāo)記分發(fā)方式DOD（DownstreamOnDemand）下游按需標(biāo)記分發(fā)DU（DownstreamUnsolicited）下游自主標(biāo)記分發(fā)標(biāo)記控制方式：有序方式（Odered）標(biāo)記控制獨立方式（Independent）標(biāo)記控制標(biāo)簽保留方式保守方式自由方式上游與下游：在一條LSP上，沿數(shù)據(jù)包傳送的方向，相鄰的LSR分別叫上游LSR(upstreamLSR)和下游LSR（downstreamLSR）。下游是路由的始發(fā)者。LDP標(biāo)簽分配方式（DU）下游主動向上游發(fā)出標(biāo)記映射消息。標(biāo)簽分配方式中同樣存在水平分割，即：對我已經(jīng)選中的出口標(biāo)簽，就不再為下一跳分配出標(biāo)簽。標(biāo)簽是設(shè)備隨機(jī)自動生成的，16以下為系統(tǒng)保留。還有一種DOD方式（由上游向下游請求），修練的人較少。47.147.3131133Mapping:40Mapping:50LDP標(biāo)簽保留方式自由方式（Liberalretentionmode）保留來自鄰居的所有發(fā)送來的標(biāo)簽優(yōu)點：當(dāng)IP路由收斂、下一跳改變時減少了lsp收斂時間缺點：需要更多的內(nèi)存和標(biāo)簽空間。保守方式（Conservativeretentionmode）只保留來自下一跳鄰居的標(biāo)簽，丟棄所有非下一跳鄰居發(fā)來的標(biāo)簽。優(yōu)點：節(jié)省內(nèi)存和標(biāo)簽空間。缺點：當(dāng)IP路由收斂、下一跳改變時lsp收斂慢比較流行的是自由方式。LDP標(biāo)簽控制方式有序方式（Odered）標(biāo)記控制： 除非LSR是路由的始發(fā)節(jié)點，否則LSR必須等收到下一跳的標(biāo)記映射才能向上游發(fā)出標(biāo)記映射。獨立方式（Independent）標(biāo)記控制：

LSR可以向上游發(fā)出標(biāo)記映射，而不必等待來自LSR下一跳的標(biāo)記映射消息。比較流行的是有序方式。LDP標(biāo)簽分配如果采用（DU+自由＋有序）的標(biāo)簽分配及控制方式：發(fā)現(xiàn)自己有直連接口路由時會發(fā)送標(biāo)簽；收到下游到某條路由的標(biāo)簽并且該路由生效（也就是說，在本地已經(jīng)存在該條路由，并且路由的下一跳和標(biāo)簽的下一跳相同）時會發(fā)送標(biāo)簽。標(biāo)簽表中會存在大量的非選中的標(biāo)簽。下面的說法正確嗎：如果某個網(wǎng)絡(luò)中只有部分設(shè)備運(yùn)行MPLS（MPLS域嵌在IP域中），則只會對運(yùn)行MPLS的設(shè)備（MPLS域）的直連路由生成標(biāo)簽，對于其他設(shè)備（IP域）始發(fā)的路由則不會生成標(biāo)簽。如果沒有標(biāo)簽，那對于通過MPLS域的目的地址在IP域的報文如何轉(zhuǎn)發(fā)呢？標(biāo)簽轉(zhuǎn)發(fā)表心法口訣標(biāo)簽轉(zhuǎn)發(fā)表中的IN和OUT，是相對于標(biāo)簽轉(zhuǎn)發(fā)而言，不是相對于標(biāo)簽分配的IN和OUT：心法口訣：入標(biāo)簽是我分給別人的，出標(biāo)簽是別人分給我的。 我分配的標(biāo)簽是給別人用的，我不會添加到報文中。

INinterfaceINlabelPrefix/MASKOUTinterface(nexthop)OUTlabelSerial05010.1.1.0/24Eth0（3.3.3.3）80Serial15110.1.1.0/24Eth0（3.3.3.3）80Serial16270.1.2.0/24Eth0（3.3.3.3）52Serial15220.1.2.0/24Eth1（4.4.4.4）52Serial27730.1.2.0/24Serial3（5.5.5.5)3（pop）對于一臺設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表（全局標(biāo)簽空間）來說：所有的入標(biāo)簽(A)對于相同的路由（下一跳也相同），出標(biāo)簽(B)對于不同的路由（但下一跳相同），出標(biāo)簽(A)對于不同的路由（下一跳也不同），出標(biāo)簽(C)對于同一條路由，入標(biāo)簽和出標(biāo)簽(C)A一定不同B一定相同C可能相同倒數(shù)第二跳彈出（PHP）話說MPLS傳到了第二代，由PHP接任掌門。PHP天資聰穎且富有創(chuàng)新精神。他經(jīng)過對MPLS北斗七星陣法的深入研究，發(fā)現(xiàn)本幫的這門絕學(xué)雖然暗合天數(shù)、精妙無比，但并非沒有可改進(jìn)之處：在陣法的出口處，EgressLSR本應(yīng)變MPLS轉(zhuǎn)發(fā)為IP路由查找，但是他收到的仍舊是含有標(biāo)簽的MPLS報文，按照常規(guī)，這個報文應(yīng)該送交MPLS模塊處理，而此時MPLS模塊不需要標(biāo)簽轉(zhuǎn)發(fā)，能做的只是去掉標(biāo)簽，然后送交IP層。其實對于EgressLSR，處理MPLS報文是沒有意義的。最好能夠保證他直接收到的就是IP報文。這就需要在ELSR的上游（倒數(shù)第二跳）就把標(biāo)簽給彈出來。但關(guān)鍵問題是：上游設(shè)備如何知道自己是倒數(shù)第二跳呢？其實很簡單，在倒數(shù)第一跳為其分配標(biāo)簽時做一下特殊說明即可（分配一個特殊的標(biāo)簽3）。經(jīng)過幾次實戰(zhàn)檢驗，效果很好，遂正式以自己的名字命名為：PHP（PenultimateHopPopping),倒數(shù)第二跳彈出。標(biāo)簽分配方式（改革前）標(biāo)簽分配方式（改革后）轉(zhuǎn)發(fā)方式(改革前)轉(zhuǎn)發(fā)方式(改革后)倒數(shù)第一跳隨機(jī)分配分配特定的標(biāo)簽3標(biāo)簽彈出，IP路由轉(zhuǎn)發(fā)IP路由轉(zhuǎn)發(fā)倒數(shù)第二跳隨機(jī)分配隨機(jī)分配標(biāo)簽交換標(biāo)簽彈出路由環(huán)路的預(yù)防與檢測路由環(huán)路的預(yù)防：任何涉及到轉(zhuǎn)發(fā)或者是路由的陣法，都容易發(fā)生“路由環(huán)路”這樣的走火入魔的事件。MPLS也不例外。創(chuàng)始人“l(fā)abel大師”深知武功中“借力打力”的原理，既然LSP的建立是依賴IP路由的，那么環(huán)路的預(yù)防也應(yīng)該交給IP來做。自己無需處理了。路由環(huán)路的檢測：把自己的身家性命完全交給他人，畢竟不妥，萬一IP沒有把持住，后果不堪設(shè)想。所以雖然可以不作預(yù)防，但是必要的檢測手段還是必需的，使用武林中通行的做法TTL即可。每經(jīng)過一次MPLS轉(zhuǎn)發(fā)，TTL減一。在標(biāo)簽轉(zhuǎn)發(fā)過程中，MPLS報文頭中的TTL減一，那么ip報文頭中的TTL是否還減一？MPLS的衰落……雖然MPLS的歷任掌門都致力于本幫的發(fā)揚(yáng)光大，但是要想整個武林都重新學(xué)習(xí)一門新功夫談何容易。更為致命的是：MPLS標(biāo)稱的“身手敏捷”、“讓一臺IP路由器快速完成轉(zhuǎn)發(fā)”也遇到了極大的挑戰(zhàn)。由于社會進(jìn)步，武林界已經(jīng)告別以提升內(nèi)力為主的冷兵器時代（軟件轉(zhuǎn)發(fā)），快速步入火器時代（硬件轉(zhuǎn)發(fā)）。各種自動（ASIC）、半自動（NP）的武器價格低廉、江湖上幾乎人手一把。當(dāng)?shù)诙握崎TPHP發(fā)現(xiàn)憑借自己多年的修行，竟然連一個手持AK47的入門馬仔（L3）都對付不了時，不禁仰頭長嘆，意識到日后再無人會苦練內(nèi)力、提高身手了。聯(lián)想到這幾年的幫派斗爭，自己早已心力交瘁，又感到十分愧對自己的恩師“l(fā)abel大師”，無法擔(dān)當(dāng)掌門的重任，遂棄掌門職位不坐，浪跡江湖，過起了隱居生活，當(dāng)然，他沒忘了在街邊買上一把左輪手槍防身……幫派MPLSVPNMP-BGPBGP/MPLSVPN隱身術(shù)江湖中除了IP、ATM等幾個傳統(tǒng)大派別之外，武林中還有一部分人醉心于修練一種“隱身術(shù)”，他們的領(lǐng)地通常四處分散，中間必須經(jīng)過其他幫派（主要是IP）的地盤，為了免交養(yǎng)路費，在江湖中行走時如果經(jīng)過IP的領(lǐng)地，便打扮成IP幫的弟子模樣，到了本幫的領(lǐng)地，再去掉偽裝，恢復(fù)本來面目。這些人自稱為VPN,掌門為“虛通道長”,手下的兩個堂主分別是：“OverlayVPN”和“Peer-to-PeerVPN”VPN中的角色VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEP-NetworkC-NetworkCE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。由于網(wǎng)絡(luò)規(guī)模不同，網(wǎng)絡(luò)中可能不存在P路由器。PE路由器也可能同時是P路由器。OverlayVPN－隧道建立在CE上VPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnel特點：在CE與CE之間建立隧道，并直接傳遞路由信息，路由協(xié)議數(shù)據(jù)總是在客戶設(shè)備之間交換，服務(wù)商對客戶網(wǎng)絡(luò)結(jié)構(gòu)一無所知。典型代表是GRE、IPSec優(yōu)點：不同的客戶地址空間可以重疊，保密性、安全性非常好。缺點：需要客戶自己創(chuàng)建并維護(hù)VPN。通常客戶不愿意，也沒有這個能力。PE與CE之間互聯(lián)的地址是公網(wǎng)還是私網(wǎng)？POverlayVPN－隧道建立在PE上特點：在PE上為每一個VPN用戶建立相應(yīng)的GRE隧道，路由信息在PE與PE之間傳遞，公網(wǎng)中的P設(shè)備不知道私網(wǎng)的路由信息。優(yōu)點：客戶把VPN的創(chuàng)建及維護(hù)完全交給服務(wù)商，保密性、安全性比較好。缺點：不同的VPN用戶不能共享相同的地址空間，即使可以共享，則PE與CE之間的地址、tunnel之間的地址一定不能相同，并且必須使用大量的ACL和策略路由。在實際中不具備可行性。VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnelPPE與CE之間互聯(lián)的地址是公網(wǎng)還是私網(wǎng)？OverlayVPN的本質(zhì)OverlayVPN的本質(zhì)是一種“靜態(tài)”VPN，這好比是靜態(tài)路由，所以他具有類似靜態(tài)路由的全部缺陷：所有的配置與部署都需要手工完成，而且具有N^2問題：如果某個客戶的VPN中新增了一個結(jié)點，則需要完成如下工作在這個新增結(jié)點上建立與所有已存在的N個結(jié)點的隧道及相關(guān)的路由。對于已存在的N個結(jié)點，需要在每個結(jié)點上都建立一個與新增結(jié)點之間的隧道及相關(guān)的路由。由于是“靜態(tài)”VPN，則無法反應(yīng)網(wǎng)絡(luò)的實時變化。而且，如果隧道建立在CE上，則必須由用戶維護(hù)，如果建立在PE上，則又無法解決地址沖突問題。Peer-to-PeerVPN如同靜態(tài)路由一樣，所有具有“靜態(tài)”性質(zhì)的東西都不太適合大規(guī)模的應(yīng)用和部署，難以擔(dān)當(dāng)重任。所以，首先要解決的問題就是將VPN的部署及路由發(fā)布變?yōu)閯討B(tài)性。Peer－to－PeerVPN的產(chǎn)生就是源于這種思想。這里的Peer－to－Peer是指CE－to－PE，也就是要在CE與PE之間交換私網(wǎng)路由信息，然后由PE將這些私網(wǎng)路由在P－Network中傳播（P-Network上肯定是運(yùn)行了一種動態(tài)路由協(xié)議），這樣這些私網(wǎng)路由會自動的傳播到其他的PE上。這種VPN由于私網(wǎng)路由會泄露到公網(wǎng)上，所以必須嚴(yán)格的通過路由來控制，即：要確保同一個VPN的CE路由器上只能有本VPN的路由。所以，通常CE與PE之間運(yùn)行的路由協(xié)議，與P-Network上運(yùn)行的路由協(xié)議是不同的，即使相同，也要有很好的路由過濾和選擇的機(jī)制。Peer-to-PeerVPN——共享PE方式所有VPN用戶的CE都連到同一臺PE上，PE與不同的CE之間運(yùn)行不同的路由協(xié)議（或者是相同路由協(xié)議的不同進(jìn)程，比如OSPF）。由路由始發(fā)PE將這些路由發(fā)布到公網(wǎng)上，在接收端的PE上將這些路由過濾后再發(fā)給相應(yīng)的CE設(shè)備。缺點：為了防止連接在同一臺PE上的不同CE之間互通，必須在PE上配置大量的ACL。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私網(wǎng)路由在整個公網(wǎng)上傳播ripospfospfisisPeer-to-PeerVPN——專用PE方式VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私網(wǎng)路由在整個公網(wǎng)上傳播ripripospfospf為每一個VPN單獨準(zhǔn)備一臺PE路由器，PE和CE之間可以運(yùn)行任意的路由協(xié)議，與其他VPN無關(guān)。PE與P之間運(yùn)行BGP，并使用路由屬性進(jìn)行過濾。優(yōu)點：無需配置任何的ACL了。缺點：每一個VPN用戶都有新增一臺專用的PE，代價過于昂貴了。PEPE這里的BGP是IBGP還是EBGP，使用了BGP的哪種路由屬性？Peer-to-PeerVPN的本質(zhì)Peer-to-Peer

VPN雖然很好的解決了“靜態(tài)的問題”，但是仍舊有很多局限性：由于沒有使用隧道技術(shù)，導(dǎo)致私網(wǎng)路由泄露到公網(wǎng)上，安全性很差。VPN的“私有”特性完全靠路由來保證，導(dǎo)致在CE設(shè)備上無法配置缺省路由。（why？）仍舊存在所有的設(shè)備無法共享相同的地址空間問題。如果要確保安全性，則必須使用隧道技術(shù)，雖然本幫并不缺少隧道，但如GRE、IPSec都已被證實由于其“靜態(tài)性”無法委以重任。而地址沖突的問題根本就不是本幫的勢力范圍，更是無法解決。至此VPN幫已經(jīng)黔驢技窮，好在掌門“虛通道長”是個留洋多年的“海龜”，思想很開放，覺得這個問題的解決需要整個武林一起出力。于是貼出了一張“招賢榜”——

為了尊重報文的隱私，提高我華夏的人權(quán)水準(zhǔn)，大力推動網(wǎng)絡(luò)私有化的進(jìn)程，特向各位武林高手招賢納士。如有能解決如下問題的好漢，無論出身、派別，皆可得千金重賞，并與本幫結(jié)為友好鄰邦，共舉VPN大業(yè)。可以提供一種動態(tài)建立的隧道技術(shù)。可以解決不同VPN共享相同地址空間的問題。

VPN掌門

虛通道長敬上招賢榜重賞之下，必有勇夫話說招賢榜一貼出來，立刻轟動了整個武林。一日，眾多武林中人正圍著一張榜議論紛紛，忽然人群中一個腰掛左輪手槍，狀如乞丐者撫掌大笑，口中念道，“嗌~~~~~~,中了！中了！”，言迄休克倒地。眾人急忙將其救醒。此人醒來之后，揭下招賢榜，發(fā)足狂奔，喊道“興邦有望！興邦有望！……”沒錯，當(dāng)然是MPLS隱居的掌門PHP了，“可以提供一種動態(tài)建立的隧道技術(shù)”，MPLS中的LSP正是一種天然的隧道，而且這種隧道的建立是基于LDP協(xié)議，又恰恰是一種動態(tài)的標(biāo)簽生成協(xié)議。舍我其誰！！自從PHP揭了第一張招賢榜之后，江湖上紛紛猜測會由誰來搞掂第二個問題，大家普遍認(rèn)為最佳人選應(yīng)該在幾個路由協(xié)議中產(chǎn)生。這是誰啊？幫派MPLSVPNMP-BGPBGP/MPLSVPN為什么是BGP如果要解決地址沖突問題，必須對現(xiàn)有的協(xié)議進(jìn)行大規(guī)模的修改，這就要求一個協(xié)議具有良好的可擴(kuò)展性。而具備條件的協(xié)議一定是基于TLV元素的。符合標(biāo)準(zhǔn)的只有EIGRP、BGP、ISIS。ISIS本不是中土人士，前年剛剛從OSI逃荒過來，幫中弟兄都不會說IP語，而說NSAP語，目前連戶口還沒解決，估計無暇他顧了。EIGRP向來閉關(guān)鎖幫，夜郎自大的認(rèn)為本幫的功夫天下一流，從不與別人切磋，也不參加武林大會。而且看見別人的武功與自己有幾分相似，便跳出來要與他打官司。在江湖上名聲臭極。而BGP看來是十分合適的人選：網(wǎng)絡(luò)中VPN路由數(shù)目可能非常大，BGP是唯一支持大量路由的路由協(xié)議；BGP是基于TCP來建立連接，可以在不直接相連的路由器間交換信息，這使得P路由器中無須包含VPN路由信息；BGP可以運(yùn)載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)它們，這使在PE路由器間傳播路由非常簡單。BGP的掌門叫——無為長老，是位得道的高僧。無為長老話說當(dāng)年IP的掌門人——“盡力而為”，自知年事已高，便想在幫中選擇下一任接班人。在眾多弟子，唯有兩個最為得意——OSPF和BGP。一日，掌門將二人叫到面前，讓他們說一下這些年的修行心得。OSPF念道：“身如路由器，心似轉(zhuǎn)發(fā)表，報文何其多，日夜勤查找。”BGP念道：“路由本非器，轉(zhuǎn)發(fā)何需表？報文雖然多，自有他人找。”“盡力而為”撫掌大笑曰：“BGP得吾真?zhèn)饕玻　保谑菍⒁吕弬鹘o了他。OSPF很不服氣，說：“弟子日夜辛勞，編撰的OSPF心法一共300多頁，構(gòu)思精妙，算法復(fù)雜，堪稱武林絕學(xué)。而師弟BGP終日游山玩水，草草寫了一本70多頁的心得就交差了。”掌門笑問他“那你的心法一共可以管理多少臺路由器，多少條路由呢？”O(jiān)SPF答道：“設(shè)備百臺，路由千條。”掌門又問BGP：“那么你呢？”BGP道：“整個internet百萬臺路由器，十余萬路由皆由弟子一人掌管。”掌門笑道：“BGP雖然表面看來無所作為，其實他只是不想過分的拘泥于細(xì)節(jié)，實際上是“無為而治”啊。我當(dāng)年就是靠的這一點才將來勢兇猛的ATM斬于馬下。”從此BGP便在武林中得到了“無為長老”的雅號。冥思苦想無為長老雖然覺得此事責(zé)無旁貸，但確實非常麻煩，要想解決地址沖突的問題，至少有如下三個難題需攻克：本地路由沖突問題，即：在同一臺PE上如何區(qū)分不同VPN的相同路由。路由在網(wǎng)絡(luò)中的傳播問題，兩條相同的路由，都在網(wǎng)絡(luò)中傳播，對于接收者如何分辨彼此？報文的轉(zhuǎn)發(fā)問題，即使成功的解決了路由表的沖突，但是當(dāng)PE接收到一個IP報文時，他又如何能夠知道該發(fā)給那個VPN？因為IP報文頭中唯一可用的信息就是目的地址。而很多VPN中都可能存在這個地址。計上心來無為閉關(guān)修練了數(shù)月，冥思苦想了很久，漸漸有了些思路：本地路由沖突問題，可以通過在同一臺路由器上創(chuàng)建不同的路由表解決，而不同的接口可以分屬不同的路由表中，這就相當(dāng)于將一臺共享PE模擬成多臺專用PE。可以在路由傳遞的過程中為這條路由再添加一個標(biāo)識，用以區(qū)別不同的VPN。由于IP報文的格式不可更改，估計指望不上他了，但可以在IP頭之外加上一些信息，由始發(fā)的VPN打上標(biāo)記，這樣PE在接收報文時可以根據(jù)這個標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。雖然大致的解決方案已有，但要做到可以具體實施，卻還有很多工作要做。理論突破——vpn-instance其實解決地址沖突的問題，也存在一些方法：使用ACL、IPunnumber、NAT。但這些辦法都是基于“打補(bǔ)丁”的思想，沒能從本質(zhì)上解決問題。要想徹底解決，必須在理論上有所突破。可以從專用PE上得到啟示。專用路由器方式分工明確，每個PE只保留自己VPN的路由。P只保留公網(wǎng)路由。而現(xiàn)在的思路是：將這些所有設(shè)備的功能，和在一臺PE上完成。PECEVPN-AVPN-ACEVPN-BGlobalRoutingTableVPNRoutingTableCEIGP&/orBGPPEP專用PE方式PECEVPN-AVPN-ACEVPN-BGlobalRoutingTablevpn-instanceforVPN-Avpn-instanceforVPN-BVPNRoutingTableCEIGP&/orBGPvpn-instance方式vpn-instancevpn-instance---VPN路由轉(zhuǎn)發(fā)實例（VPNRouting&ForwardingInstance）每一個vpn-instance可以看作虛擬的路由器，好像是一臺專用的PE設(shè)備。該虛擬路由器包括如下元素：一張獨立的路由表，當(dāng)然也包括了獨立的地址空間。一組歸屬于這個vpn-instance的接口的集合。一組只用于本vpn-instance的路由協(xié)議。對于每個PE，可以維護(hù)一個或多個vpn-instance，同時維護(hù)一個公網(wǎng)的路由表（也叫全局路由表），多個vpn-instance實例相互分離獨立。其實實現(xiàn)vpn-instance并不困難，關(guān)鍵在于如何在PE上使用特定的策略規(guī)則來協(xié)調(diào)各vpn-instance和全局路由表之間的關(guān)系。RT我們回憶一下，其實在專用PE的方式中，已經(jīng)很好的解決了這個問題。當(dāng)時使用了BGP的community屬性。這次仍舊使用這個思路，只不過“舊瓶裝新酒”把community擴(kuò)展了一下，并且起了一個新名字：RT（RouteTarget）。擴(kuò)展的community有如下兩種格式：其中type字段為0x0002或者0x0102時表示RT。Type（0x0002）

AS#（16bit）Value（32bit）Type（0x0102）IPaddress（32bit）Value（16bit）RT的本質(zhì)RT的本質(zhì)是每個vpn-instance表達(dá)自己的路由取舍及喜好的方式。可以分為兩部分：ExportTarget與importTarget；前者表示了我發(fā)出的路由的屬性，而后者表示了我對那些路由感興趣。例如：SITE-A：我發(fā)的路由是紅色的，我也只接收紅色的路由。SITE-B：我發(fā)的路由是紅色的，我也只接收紅色的路由。SITE-C：我發(fā)的路由是黑色的，我也只接收黑色的路由。SITE-D：我發(fā)的路由是黑色的，我也只接收黑色的路由。這樣，SITE－A與SITE-B中就只有自己和對方的路由，兩者實現(xiàn)了互訪。同理SITE－C與SITE-D也一樣。這時我們就可以把SITE-A與SITE－B稱為VPN-A，而把SITE-C與SITE-D稱為VPN-B。發(fā)出路由接收路由專用PE方式在屬于特定VPN的路由器上，使用BGP的community屬性，將本VPN的路由打上特殊標(biāo)記。并將路由發(fā)給P路由器。在P路由器上接收所有的路由，并根據(jù)路由中的community屬性發(fā)給特定的VPN的PE設(shè)備。vpn-instance方式在一個vpn-instance中，在發(fā)布路由時使用RT的export規(guī)則。直接發(fā)送給其他的PE設(shè)備。在接收端的PE上，接收所有的路由，并根據(jù)每個vpn-instance配置的RT的import規(guī)則進(jìn)行檢查，如果與路由中的RT屬性match，則將該路由加入到相應(yīng)的vpn-instance中。RT的靈活應(yīng)用由于每個RTExportTarget與importTarget都可以配置多個屬性，例如：我對紅色或者藍(lán)色的路由都感興趣。接收時是“或”操作，紅色的、藍(lán)色的以及同時具備兩種顏色的路由都會被接受。所以就可以實現(xiàn)非常靈活的VPN訪問控制。RD(RouteDistinguisher)在成功的解決了本地路由沖突的問題之后，路由在網(wǎng)絡(luò)中傳遞時的沖突問題就迎刃而解了。只要在發(fā)布路由時加上一個標(biāo)識即可。既然路由發(fā)布時已經(jīng)攜帶了RT，可否就使用RT作為標(biāo)識呢？理論上講，肯定是可以的。但RT不是一個簡單的數(shù)字，通常是一個列表，而且他是一種路由屬性，不是與IP前綴放在一起的，這樣在比較的時候不好操作。特別是：BGP的Routewithdraw報文不攜帶屬性，這樣在這種情況下收到的路由就沒有RT了。所以還是另外定義一個東西比較好，這個東東就叫做RD。他的格式與RT基本上一樣。RD的本質(zhì)在IPv4地址加上RD之后，就變成VPN-IPv4地址族了。理論上可以為每個vpn-instance配置一個RD。通常建議為每個VPN都配置相同的RD，不同的VPN配置不同的RD。但是實際上只要保證存在相同地址的兩個vpn-instance的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果兩個vpn-instance中存在相同的地址，則一定要配置不同的RD，而且兩個vpn-instance一定不能互訪，間接互訪也不成。同一臺PE上的不同vpn-instance不能配置相同的RD（why？）。RD并不會影響不同vpn-instance之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標(biāo)準(zhǔn)的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時需要為這條路由附加一個RD。VPN-IPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。在PE發(fā)布路由時添加，在PE接收路由后放在本地路由表中，用來與后來接收到的路由進(jìn)行比較。CE不知道使用的是VPN-IPv4地址。在其穿越供應(yīng)商骨干時，在VPN數(shù)據(jù)流量的包頭中沒有攜帶VPN-IPv4地址。

革命尚未成功至此，前兩個問題：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過程的沖突都已解決。但是如果一個PE的兩個本地vpn-instance同時存在10.0.0.0/24的路由，當(dāng)他接收到一個目的地址為10.0.0.1的報文時，他如何知道該把這個報文發(fā)給與哪個vpn-instance相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報文中增加一些信息。既然路由發(fā)布時已經(jīng)攜帶了RD，可否就使用RD作為標(biāo)識呢？理論上講肯定是可以的。但是RD一共有64個bit，太大了。這會導(dǎo)致轉(zhuǎn)發(fā)效率的降低。所以只需要一個短小、定長的標(biāo)記即可。由于公網(wǎng)的隧道已經(jīng)由MPLS來提供，而且MPLS支持多層標(biāo)簽的嵌套，這個標(biāo)記定義成MPLS標(biāo)簽的格式。這個私網(wǎng)的標(biāo)簽就由MP-BGP來分配，與私網(wǎng)的路由一同發(fā)布出去。概念總結(jié)vpn-instance：在一臺PE上虛擬出來的一個路由器，包括一些特定的接口，一張路由表，一個路由協(xié)議，一個RD和一組RT規(guī)則。RT：表明了一個vpn-instance的路由喜好，通過他可以實現(xiàn)不同vpn-instance之間的路由互通。他的本質(zhì)就是BGP的community屬性。RD：為了防止一臺PE接收到遠(yuǎn)端PE發(fā)來的不同vpn-instance的相同路由時不知所措，而加在路由前面的特殊信息。在PE發(fā)布路由時加上，在遠(yuǎn)端PE接收到路由后放在本地路由表中，用來與后來接收到的路由進(jìn)行比較。Label：為了防止一臺PE接收到遠(yuǎn)端PE發(fā)給本地不同vpn-instance的相同地址的主機(jī)時不知所措，而加在報文前面的特殊信息。由本地PE在發(fā)布路由時加上，遠(yuǎn)端PE接收到保存在相應(yīng)的vpn-instance中。SITE：一個vpn-instance加上與其相連的所有的CE的集合。VPN：是一些SITE的集合，這些SITE由于共享了相同的路由信息可以互通。BGP發(fā)布路由時需要攜帶的信息MP_REACH_NLRI：ipv4-family：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopback地址。NLRI:label：24個bit，與MPLS標(biāo)簽一樣，但沒有TTL。prefix：RD:64bit＋ip前綴Extended_Communities（RT1）Extended_Communities（RT2）Extended_Communities（RT3）一個擴(kuò)展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私網(wǎng)label和RD。跟隨之后的是RT的列表對于使用了擴(kuò)展屬性MP_REACH_NLRI的BGP，我們稱之為MP-BGP。幫派MPLSVPNMP-BGPBPG/MPLSVPN宴桃園豪杰三結(jié)義MPLS掌門PHP與BGP掌門無為一起來到VPN掌門虛通道長處商議結(jié)盟之事，賓主談笑甚歡。三人皆是性情中人，胸懷坦蕩，知無不言，感覺甚是投機(jī)。于是效仿古人，結(jié)拜兄弟。祭拜天地之后，序了長幼，無為年長，做大哥，PHP次之，虛通道長年幼，做了小弟。三個掌門在本幫中精選得力弟子，成立JV公司，各占三分之一的股份。新幫派命名為：BGP/MPLSVPN。并且詳細(xì)規(guī)定了新幫派的各項規(guī)章制度，并昭示天下。一時在江湖中傳為佳話。雖然成立了新幫派，但是三個掌門并沒閑著。MPLS繼續(xù)潛心鉆研QOS和流量工程；BGP準(zhǔn)備和IPv6以及組播成立新公司；而虛通道長則致力于擴(kuò)大VPN家族的勢力范圍。CE與PE之間如何交換路由PECECESite-2Site-1EBGP,OSPF,RIPv2,Staticvpn-instance在PE上配置。PE維護(hù)獨立的路由表，包括公網(wǎng)和私網(wǎng)(vpn-instance)路由表公網(wǎng)路由表：包含全部PE和P路由器之間的路由，由骨干網(wǎng)IGP產(chǎn)生。私網(wǎng)路由表：包含本VPN用戶可達(dá)信息的路由和轉(zhuǎn)發(fā)表。PE和CE通過標(biāo)準(zhǔn)的EBGP、OSPF、RIP或者靜態(tài)路由交換路由信息。靜態(tài)路由、RIP都是標(biāo)準(zhǔn)的協(xié)議，但是每個vpn-instance運(yùn)行不同的實例。相互之間沒有干擾。與PE的MP-iBGP之間只是的import操作。EBGP也是普通的EBGP，而不是MP-EBGP，只交換經(jīng)過PE過濾后的本VPN路由。OSPF則做了很多修改，可以將本site的LSA放在bgp的擴(kuò)展community屬性中攜帶，與遠(yuǎn)端VPN中的ospf之間交換LSA。每個site中的OSPF都可以存在area0，而骨干網(wǎng)則可以看作是superarea0。此時的OSPF由兩極拓?fù)洌ü歉蓞^(qū)域＋非骨干區(qū)域）變?yōu)?級拓?fù)洌ǔ壒歉蓞^(qū)域＋骨干區(qū)域＋非骨干區(qū)域）vpn-instance路由注入到MP-iBGPPECE-1

MP-iBGPPEBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-1VPN-v4update:

RD:1:27:149.27.2.0/24,

Next-hop=PE-1

SOO=Paris,RT=VPN-A,

Label=(28)CE-2PE路由器需要對一條路由進(jìn)行如下操作：加上RD（RD為手工配置），變?yōu)橐粭lVPN-IPV4路由。更改下一跳屬性為自己（通常是自己的loopback地址）加上私網(wǎng)標(biāo)簽（隨機(jī)自動生成，無需配置）加上RT屬性（RT需手工配置）發(fā)給所有的PE鄰居。為何要更改下一跳屬性？攜帶RT的export還是import屬性？MP-iBGP路由注入到vpn-instancePECE-1

MP-iBGPPEipvpn-instanceVPN-Aroute-targetimportVPN-AVPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

SOO=Paris,RT=VPN-A,Label=(28)CE-2VPN-v4路由變?yōu)镮PV4路由，并且根據(jù)本地vpn-instance的importRT屬性加入到相應(yīng)的vpn-instance中，私網(wǎng)標(biāo)簽保留，留做轉(zhuǎn)發(fā)時使用。再由本vpn-instance的路由協(xié)議引入并轉(zhuǎn)發(fā)給相應(yīng)的CEVPN-v4路由變?yōu)镮PV4路由，并且根據(jù)本地vpn-instance的importRT屬性加入到相應(yīng)的vpn-instance中，私網(wǎng)標(biāo)簽保留，留做轉(zhuǎn)發(fā)時使用。再由本vpn-instance的路由協(xié)議引入并轉(zhuǎn)發(fā)給相應(yīng)的CE。這條VPN路由的下一跳是誰？公網(wǎng)標(biāo)簽分配過程PE和P路由器通過骨干網(wǎng)IGP學(xué)習(xí)到BGP鄰居下一跳的地址。通過運(yùn)行LDP協(xié)議，分配標(biāo)簽，建立LSP通道。標(biāo)簽棧用于報文轉(zhuǎn)發(fā)，外層標(biāo)簽用來指示如何到達(dá)BGP下一跳，內(nèi)層標(biāo)簽表示報文的出接口或者屬于哪個vpn-instance（屬于哪個VPN）。MPLS節(jié)點轉(zhuǎn)發(fā)是基于外層標(biāo)簽，而不管內(nèi)層標(biāo)簽是多少。Prouter

InLabelFECOutLabel-197.26.15.1/32-InLabelFECOutLabel41

197.26.15.1/32

POP

InLabelFECOutLabel

-

197.26.15.1/3241ParisUselabelimplicit-nullfordestination197.26.15.1/32Uselabel

41

fordestination197.26.15.0/24VPN-v4update:

RD:1:27:149.27.2.0/24,NH=197.26.15.1

RT=VPN-A,Label=(28)PE-1London149.27.2.0/24報文轉(zhuǎn)發(fā)——從CE到IngressPECE將報文發(fā)給與其相連的vpn-instance接口，PE在本vpn-instance的路由表中進(jìn)行查找，得到了該路由的公網(wǎng)下一跳地址（即：對端PE的loopback地址）和私網(wǎng)標(biāo)簽。在把該報文封裝一層私網(wǎng)標(biāo)簽后，在公網(wǎng)的標(biāo)簽轉(zhuǎn)發(fā)表中查找下一跳地址，再封裝一層公網(wǎng)標(biāo)簽后，交與MPLS轉(zhuǎn)發(fā)。InLabelFECOutLabel-

197.26.15.1/32

41Paris149.27.2.27PE-1London149.27.2.0/24149.27.2.272841VPN-Avpn-instance

149.27.2.0/24,NH=197.26.15.1

Label=(28)IngressPE－>EgressPE－>CE該報文在公網(wǎng)上沿著LSP轉(zhuǎn)發(fā)，并根據(jù)途徑的每一臺設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行標(biāo)簽交換。在倒數(shù)第二跳處，將外層的公網(wǎng)標(biāo)簽彈出，交給目的PE設(shè)備PE設(shè)備根據(jù)內(nèi)層的私網(wǎng)標(biāo)簽判斷該報文的出接口和下一跳。去掉私網(wǎng)標(biāo)簽后，請報文轉(zhuǎn)發(fā)給相應(yīng)的vpn-instance中的CE。InLabelFECOutLabel41

197.26.15.1/32

POPParis149.27.2.27PE-1London149.27.2.0/24149.27.2.272841VPN-Avpn-instance

149.27.2.0/24,NH=197.26.15.1

Label=(28)149.27.2.2728InLabelFECOutLabel28(V)

149.27.2.0/24

-VPN-Avpn-instance

149.27.2.0/24,NH=Paris149.27.2.27MPLSVPN控制流程－“私網(wǎng)”路由及標(biāo)簽傳遞MPLSPE－AP－BPE－CMP-BGPIBGPPeerCEA1CEB1CEA2CEB2VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)BGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-ABGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-A2149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PECMPLSVPN控制流程－“公網(wǎng)”LSP的建立MPLSPE－AP－BPE－C201.1.1.1/321.1.1.1/321.1.1.1/32IGPIGPPEC的loopback地址為1.1.1.1In20out33out20149.27.2.0/24Out28NH:PEC149.27.2.0/24IN28NH:A2為何在PEC上沒有公網(wǎng)路由的IN標(biāo)簽和OUT標(biāo)簽?zāi)兀縈PLSVPN數(shù)據(jù)流程－私網(wǎng)數(shù)據(jù)包的轉(zhuǎn)發(fā)MPLSPE－AP－BPE－CCEA1CEB1CEA2CEB2Ping149.27.2.1202831.1.1.1/32out201.1.1.1/32In20out31.1.1.1/32149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PECBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-A當(dāng)PE-C收到標(biāo)簽為28的報文時，如何知道這是一個私網(wǎng)報文，應(yīng)該在vpn-instance路由表中查找路由，還是一個公網(wǎng)報文，應(yīng)該在全局路由表中查找路由？配置MPLS配置MP-BGP配置調(diào)試命令TroubleshootingMPLS的配置全局模式下：Lsr的ID，可以配置成與routerid相同。mplslsrid10.5.80.250!在全局模式啟動MPLS和LDP協(xié)議mplsmplsldp!在接口上啟動LDPSessioninterfaceEthernet4/1/0ipaddress10.5.3.93255.255.255.252mplsmplsldpenable查看MPLS的鄰居狀態(tài)PE3_NE16#displaymplsldpsessiondisplayinginformationaboutallsessions:PeerLDPIdent:192.168.255.38:0;LocalLDPIdent:220.163.42.126:3Tcpconnection:192.168.255.38-220.163.42.66SessionState:OperationalSessionRole:Active

Hellopacketssent/received:72121/82424KeepAlivepacketssent/received:15018/20607NegotiatedKeepaliveTimerValue:60PeerPVLimit:0LDPdiscoverysource:GigabitEthernet4/1/0.1查看MPLS的標(biāo)簽分配情況NCC-R#displaymplslspbriefIDI/O-LabelIn-InterfacePrefix/MaskNext-Hop22382/264VT2010.5.61.250/3210.5.3.9423388/266VT2010.5.37.250/3210.5.3.9424408/274VT2010.5.32.250/3210.5.3.9425---/24----------10.5.22.250/3210.5.3.1026132/24VT4910.5.22.250/3210.5.3.1027153/24Eth4/1/010.5.22.250/3210.5.3.1028155/24Eth10/2/010.5.22.250/3210.5.3.1029---/20----------10.5.23.250/3210.5.3.1030186/20VT4910.5.23.250/3210.5.3.1031229/20Eth4/1/010.5.23.250/3210.5.3.10配置MPLS配置MP-BGP配置配置vpn-instance配置RD配置RT配置PE到CE之間的連接將vpn-instance與接口關(guān)連PE與CE之間的路由協(xié)議配置MP－BGP調(diào)試命令TroubleshootingPE上的配置vpn-instance配置：ipvpn-instanceVPN-HW創(chuàng)建一個vpn-instance并命名。同時進(jìn)入vpn-instance配置模式RD配置：在vpn-instance模式下，每個vpn-instance配置一個RD，建議相同的VPN配置相同的RD。

rd100:1RT配置：在vpn-instance模式下，每個vpn-instance配置不同的RT列表，如果只要一個RT,建議與RD配成相同。

route-targetimport100:1route-targetexport100:1PE上的配置PECEVPN-HWVPN-HWCEVPN-3COMvpn-instanceVPN-HWvpn-instanceVPN-3COMCE北京上海紐約ipvpn-instanceVPN-HWrd100:1route-targetexport100:1route-targetimport100:1ipvpn-instanceVPN-3COMrd100:2route-targetexport100:2route-targetimport100:2vpn-instance

forVPN-HW

(RT100:1)北京routes

上海routesvpn-instance

forVPN-B

(RT100:2)紐約routes將vpn-instance與接口關(guān)連

在與某個VPN相連的接口下配置如下命令：interfaceSerial3/5

ipbindingvpn-instanceVPN-HWipaddress10.168.61.6255.255.255.252encapsulationpppPE與CE之間的路由協(xié)議目前支持：RIPv2、BGP、Static，每個協(xié)議都被改造成多實例的了，換句話說，就是“vpn-instance化”了。Static：iproutevpn-instanceVPN-HW10.10.1.0255.255.255.010.10.1.2iproutevpn-instanceVPN-3COM10.10.1.0255.255.255.010.10.1.2RIPv2:

routerrip ! ipv4-familyipv4vpn-instanceVPN-HW noauto-summary

network10.0.0.0 ! ipv4-familyipv4vpn-instanceVPN-3COM noauto-summary

network10.0.0.0PE與CE之間的路由協(xié)議BGP：bgp109!IPV4-family

vpn-instanceVPN-HW

peer10.168.62.5remote-as65503!

vpn-instanceVPN-3C0M

import-routestaticimport-route

driect!MP-BGP的配置bgp30000/*普通的BGP鄰居*/

nosynchronizationneighbor10.5.80.240remote-as30000neighbor10.5.80.240update-sourceLoopBack0/*對于每個vpn-instance的特定操作，將該vpn-instance的路由發(fā)布到BGP中*/ipv4-familyipv4vpn-instanceVPN-HWimportconnectedimportstaticnosynchronizationexit-ipv4-family/*對于普通的鄰居，使其可以傳遞vpnv4的路由*/ipv4-familyvpnv4neighbor10.5.80.240activateexit-ipv4-family配置MPLS配置MP-BGP配置調(diào)試命令Troubleshooting查看VPN的路由PE3_NE16#displayiproutevpn-instanceVPN-HW

VPN-HWRouteInformationRoutingTable:VPN-HWRD:65400:1Destination/MaskProtoPreMetricNexthopInterface1.1.1.1/32BGP1700220.163.42.62LoopBack0192.168.20.0/29BGP1700220.163.42.62LoopBack0192.168.20.0/30BGP1700220.163.42.62LoopBack0192.168.20.65/32DIRECT00127.0.0.1InLoopBack0192.168.20.96/29DIRECT00192.168.20.101GE4/1/0.2192.168.20.101/32DIRECT00127.0.0.1InLoopBack0對于路由表中的BGP路由，下一跳地址是對端PE的loopback地址，出接口則是自己的loopback接口。查看BGP的VPN路由PE3_NE16#displaybgpvpnv4allroute

BGPlocalrouterIDis220.163.42.126Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,iinternalOrigincodes:i-IGP,e-EGP,?-incomplete

NetworkNextHopLabel(I/O)MetricLocPrfPath

RouteDistinguisher:65400:1(defaultforvpn-instancevpna)*>i1.1.1.1/32220.163.42.620/17100?

*>i192.168.20.0/29220.163.42.620/17100?

*>i192.168.20.0/30220.163.42.620/16100?*>192.168.20.65/320.0.0.0

19/0?*>192.168.20.96/290.0.0.0

18/0?此命令用來查看BGP學(xué)習(xí)到的VPNv4路由的具體信息，以及私網(wǎng)標(biāo)簽的分配情況。特別是本地始發(fā)的路由（nexthop0.0.0.0）的標(biāo)簽分配情況，只能通過本命令查看。查看私網(wǎng)標(biāo)簽命令PE3_NE16#displaymplslspvpn-instancebriefIDI/O-LabelIn-InterfacePrefix/MaskNext-Hop1---/141|17----------1.1.1.1/32220.163.42