MPLSVPN技术原理和配置解析

1、MPLSVPN技术原理和配置解析MPLSVPN技术原理和配置1MPLS提出的意义传统的IP数据转发是基于逐跳式的，每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口，这是个繁琐又效率低下的工作，主要的原因是 MPLS VPN技术原理和配置1 MPLS提出的意义传统的IP数据转发是基于逐跳式的，每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口， 这是个繁琐又效率低下的工作，主要的原因是两个： 1、有些路由的查询必须对路由表进行多次查找，这就是所谓的递归搜索； 2、由于路由匹配遵循最长匹配原则，所以迫使几乎所有的路由器的交换引擎必须用软件来实现，用软件实现的交换引擎和ATM交换机上用硬件来实现的交换引擎在效率上无法相抗衡。 当今的协议，ATM 交换使用了路由协议来和其他设备交换三层的路由信息。 标签的结构入下： 20比特的LABEL字段用来表示标签值，由于标签是定长的，所以对于路由器来说，可以分析定长的标签来做数据包的转发，这是标签交换的最大优点，定长的标签就意味这可以用硬件来实现数据转发，这种硬件转发方式要比必须用软件实现的路由最长匹配转

2、发方式效率要高得多！3比特的EXP用来实现QOS1比特S 值用来表示标签栈是否到底了，对于VPN,TE等应用将在二层和三层头之间插入两个以上的标签，形成标签栈。8比特TTL值用来防止数据在网上形成环路。这样完整的带有标签的二层帧就成了如下形式： 在ATM信元模式下，信元的结构如下形式： 2.2 LSR设备的体系结构通过修改，能支持标签交换的路由器为LSR（Label Switch Router），而支持MPLS功能的ATM交换机我们一般称之为ATM-LSR.LSR设备的体系结构如下：LSR的体系结构分为两块： 1. 控制平面（Control Plane）该模块的功能是用来和其他LSR交换三层路由信息，以此建立路由表；和交换标签对路由的绑定信息，以此建Label Information Table（LIB）标签信息表。同时再根据路由表和LIB生成Forwarding Information Table（FIB）表和Label Forwarding Information Table（LFIB）表。控制平面也就是我们一般所说的路由引擎模块！ 2. 数据平面（Data Plane）数据平面的

3、功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。对于控制平面中所使用的路由协议，可以使用以前的任何一种，如OSPF、RIP、 BGP等等，这些协议的主要功能是和其他设备交换路由信息，生成路由表。这是实现标签交换的基础。在控制平面中导入了一种新的协议-LDP,该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签，由此生成LIB表，再把路由条目和本地标签的绑定通告给邻居LSR,同时把邻居LSR告知的路由条目和标签帮定接收下来放到LIB表里，最后在网络路由收敛的情况下，参照路由表和LIB表的信息生成FIB表和LFIB表。具体的标签分发模式如下叙述。 2.3 标签的分配和分发上面叙述到了，MPLS技术是IP技术和ATM技术的融合。LSR和ATM-LSR上实现标签的生成和分发是有点不同的。 2.3.1 包模式（Packet Mode）下的标签的分配和分发对于实现包模式MPLS网络中，是下游LSR独立生成路由条目和标签的绑定，并且是主动分发出去的。 如上图，所有LSR 上启动了LDP协议。以LSR-B为例，它已经通过路由协议获得网络X的路由了，一旦启动LDP协议，

4、LSR-B立即查找路由表，如果X网络的路由是由 IGP路由协议学到的，则在LIB表中为通向X网络的路由生成一个本地标签25,由于LSR-B和LSR-A、LSR-C、LSR-E形成了LDP邻居关系，所以下游LSR-B会主动给所有的邻居发送这个X=25的路由条目和标签的绑定！LSR-A、LSR-E、LSR-C会把该路由条目和标签的绑定放置到本地的LIB表中，再结合本地的路由表，在FIB表中生成有关X网络的网络地址-出标签条目，在LFIB中生成有关X网络的进标签 -出标签条目。所有的LSR上都如此操作。最终的结果使整个MPLS网络内部所有LSR上达到路由表、LIB表、FIB表、LFIB表的动态平衡。如果LSR-A接收到要去X网段的数据，由于LSR-A处在MPLS网络的边缘，必须查找FIB表，对接收到的IP包，做标签插入操作。对于LSR- B,LSR-C则纯粹是分析标签包，对包头的标签做转换，在转发标签包而已。数据到了LSR-D,该边缘LSR会去掉标签包中的标签，再对恢复的IP包做转发！MPLSVPN技术原理和配置1MPLS提出的意义传统的IP数据转发是基于逐跳式的，每个转发数据的路由器都要根

5、据IP包头的目的地址查找路由表来获得下一跳的出口，这是个繁琐又效率低下的工作，主要的原因是 2.3.2 信元模式（Cell Mode）下的标签分配和分发在信元模式下，下游ATM-LSR接收到了上游ATM-LSR标签绑定请求后，下游受控分配标签，被动向上游分发标签。如下图 最上游的LSR-A向ATM-LSR-B发起对网络X的标签求情，ATM-LSR-B再向ATM-LSR-C发请求，最后请求到达LSR- D,LSR-D生成本地对X网络的标签1/37,把该标签告诉ATM-LSR-C,C做同样操作，这样一步一步到达LSR-A.最终生成一条从 A-B-C-D的LSP（Label Switch Path）。这样如果A收到要到X网络的数据，A就把IP数据包分割成带有标签的信元，通过ATM接口发送到B,接下来B和C就纯粹做ATM信元的转发，到了D后再把信元组合成IP数据包，发向网络X.在此要强调的如果要组建以ATM交换机为核心的MPLS网络，那么在ATM网络的边缘必须设置路由器，原因在于ATM交换机只转发信元，无法处理用户数据IP包。当然上面也提到要在ATM交换机上实现MPLS功能，必须在ATM交换机

6、的信令控制部分加入路由协议，而路由信息包往往是打在IP包中的，如RIP,OSPF,BGP等路由协议。ATM交换机为了确保这些以IP包形式传递的路由信息能够在ATM交换机间传递，使用了专门的带外连接通道或者带内的管理VC. 2.4 BGP协议在MPLS网络中的特殊应用上面提到LSR根据路由表分配标签时，只对从IGP协议获得的路由条目分配标签。原因何在？这是有特殊意义的！看下 整个Transit AS中启动MPLS交换。保证ISP2和LSR-Border2之间的网段发布到Transit AS内部的IGP路由协议中，对ISP1和LSR-Border2之间的网段也做同样的要求。前面提到过LSR为路由条目分配标签时，只对从IGP学来的路由分配标签，而网络1.2.3.4是被发布到Transit AS内部的IGP路由协议中了，可以肯定在Border1处是可以获得Core1告诉它有关1.2.3.4网络的标签23.LSR- Border1,LSR-Border2之间形成IBGP邻居关系，通过BGP协议，LSR-Border2把从ISP2处学来的10.0.0.0/8这条路由告诉给LSR-Border1,这

7、条路由的下一跳地址是1.2.3.4,这样一来让LSR-Border1得知要给网络10.0.0.0/8发送数据，先把数据发送到1.2.3.4这个网络来。1.2.3.4被绑定了标签23,所以在生成FIB表时，也给10.0.0.0/8这个网段绑定一个标签 23.Cisco ios 下载这样，如果有数据从ISP1穿越Transit AS到达ISP2,在Border1处就会给IP包插上23这个标签，把生成的标签包转发到Core1,Core1就只要分析标签头做标签包的转发就可以了！由于Transit AS内部核心路由器不必要运行BGP协议，这样一来，MPLS网络的核心路由器就不会知道外部用户的路由，缩小了核心路由器的路由表，提高了搜索效率。 大家也看到，由于打上了标签，IP包头是不会在核心路由器被分析的，即使IP包头含有10.0.0.1这样的私有IP地址，也会因为只分析标签的原因被正常转发，这就是服务提供商提供VPN服务所追求的。当然在此必须重声，LSP在整个Transit AS不能被断开，如果断开，标签包就恢复成IP包，而核心路由器是不含用户路由的，最终导致数据包的丢失。BGP在MPLS网络中的

8、作用为我们提供了 VPN服务打开了方便之门，但也应该意识到VPN服务两个最基本的要求是1.用户可以独立规划IP地址； 2.安全性非常重要！看下 以上为两个VPN 实例，PE1（PE=Provider Edge device）上分别接了CE1 （CE=Customer Edge device）和CE3,但是CE1和CE3上带到IP地址相同的网段10.1.2.0/8,很明显如果不对PE1路由器做修改，PE1只能认为往 10.1.2.0/8的数据要么从S0出，要么从S1出，这样的话，不是CE1就是CE3就更本收不到从PE1发来的前往10.1.2.0/8网段的数据！如果不对BGP4协议做修改，那么PE2和PE3发送给的PE1的有关10.1.1.0/8网络的路由更新就有可比性，PE1最终会选择一条路由，认为或是PE2或者PE3是发送数据到10.1.1.0/8的必经路由器。这样如果CE1带的10.1.2.0/8网段上的主机给10.1.1.0/8网段上的主机发送数据时，可能会发到CE4所带的10.1.1.0/8的网段上，这样造成了数据泄露。所以，为了使LSR能提供基于MPLS的VPN服务，还必须对此

9、类设备做修改。 3 基于MPLS的VPN实现 3.1 VPN的历史VPN服务是很早就提出的概念，不过以前电信提供商提供VPN是在传输网上提供的覆盖型的VPN服务。电信运营商给用户出租线路，用户上层使用何种的路由协议、路由怎么走等等，这些电信运营商不管。这种租用线路来搭建VPN的好处是安全，但是价格昂贵，线路资源浪费严重。后来随着IP网络的全面铺开，电信服务提供商在竞争的压力下，不得不提供更加廉价的VPN服务，也就是三层VPN服务。通过提供给用户一个IP平台，用户通过IP Over IP的封装格式在公网上打隧道，同时也提供了加密等等的手段提供安全保障。这类VPN用户在目前的网络上数量还是相当巨大的！但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。MPLS技术的出现和BGP协议的改进，让大家看到了另一种实现 VPN的曙光。 3.2 MPLS/VPN体系结构3.2.1 PE路由器的改造和VRF的导入为了让PE路由器上能区分是哪个本地接口上送来的VPNciscopix防火墙接管smtp现象：25Tryingddd.ddd.ddd.dddC.Escapech 现象： telnet 25 Trying ddd.ddd.ddd.ddd Connected to . Escape character is . 220 *0* ehlo 502 Error: command not implemented helo 250 mail01.aaa

《MPLSVPN技术原理和配置解析》由会员jia****ihe分享，可在线阅读，更多相关《MPLSVPN技术原理和配置解析》请在金锄头文库上搜索。