最新范文 方案 计划 总结 报告 体会 事迹 讲话 倡议书 反思 制度 入党

《MPLSVPN笔记》

日期:2021-04-29  类别:最新范文  编辑:一流范文网  【下载本文Word版

《MPLSVPN笔记》word版 本文关键词:笔记,MPLSVPN,word

《MPLSVPN笔记》word版 本文简介:MPLSMPLS---multiprotocollabelswitchMPLS是IP的承载层,但与实际的L2链路层还是有区别,所以定义为2.5层MPLS包头结构:32bitLabel----20bit保留----3bit通常用作COSS--------1bit标明是否是栈底,标明MPLS标签可以嵌套

《MPLSVPN笔记》word版 本文内容:

MPLS

MPLS---multiprotocol

label

switch

MPLS是IP的承载层,但与实际的L2链路层还是有区别,所以定义为2.5层

MPLS包头结构:32bit

Label----20bit

保留----3bit

通常用作COS

S--------1bit

标明是否是栈底,标明MPLS标签可以嵌套

TTL------8bit

防环(万一IP出现环路怎么办)

MPLS最有魅力之处:理论上无限制嵌套

MPLS术语:

Label------

FEC-------转发等价类(强调的是一种动作,例如这个接口进那个接口出就是一个动作,这个动作就称作一个FEC,或者从某个接口进打上什么标做什么QOS,这个动作可能就是另一个FEC,作为厂商:最好是一条路由对应一个FEC,而FEC就绑定label,所以可以有一条路由对应一个label)

LSP-------标签交换通道(

假设一条路由从A网段来,到B网段去,那么沿途的路由器如果有该路由的话都会维护相同的FEC,这样就会有一条路径产生,这条路径就是LSP,一个FEC的数据流)LSP很像frame-relay里的PVC概念

LSR-------标签交换路由器

LSR是MPLS网络的核心交换机,提供标签交换和标签分发(分配标签)功能

LER-------标签交换边缘路由器

LER在MPLS的网络边缘

进到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签

提供更多的功能,涉及到进流量打标签,出流量弹标签

链路层协议收到MPLS报文,如何判断这是一个MPLS报文,应该送给MPLS处理,而不是像普通IP报文那样直接送给IP层处理?

以太网中:回顾802.3以太网帧头部有个type字段,如果是0800则表明上层是IP报文,如果是0x8847(单播)0x8848(组播)则表明链路层承载的是MPLS报文

PPP中:增加了一种新的NCP:MPLSCP,用0x8281来标识

LDP(label

distribution

protocol)标签分发协议

Label的转发很容易,如何生成label则很难,LDP就是一个动态生成label的协议

LDP消息:先UDP发现邻居,再TCP形成会话

Discovery:用于通告和维护网络中的LSR的存在

Session:用于建立,维护和结束LDP对等实体间的会话连接

Advertisement:用于创建,改变和删除特定FEC标签绑定

Notification:

用于提供消息通告和差错通知

LDP标签分配方式:

DOD:(不再使用的方式)下游按需标记分发,即上游向下游请求

DU:下游自主标记分发

16以下label值为保留,其中3label是ELSR给倒数第二跳(ELSR的上游LSR)的特殊label,当该LSR收到3label就隐含知道自己是倒数第二跳,当数据(数据层面)传到自己时直接弹出(PHP)label,变成了纯数据交给ELSR直接做路由转发,而不需要等到数据到了ELSR,ESLR发现自己已经没有出label了,即刻做弹出,再做IP路由转发,这样浪费一个周期是不明智的,PHP的价值就在于数据到了自己就弹出,给ESLR的数据已经没有label了,直接由ELSR做IP路由转发

上游与下游:在一条LSR上,数据层面看:相邻LSR分别叫上游LSR和下游LSR,下游是路由的始发者(控制层面)

自己产生的label是IN

label

收到的label都是out

label

心法口诀:入标签是我分给别人的,出标签是别人分给我的

我分配的标签是给别人用的,我不会添加到报文中

LDP标签保留方式:(常用的是自由方式,保留所有label)

自由方式:保留(来自邻居所有发送来的label)-----lsp收敛快

保守方式:丢弃(所有非下一跳邻居发来的label)----lsp收敛慢

LDP标签控制方式:(常用有序方式)

有序方式:

独立方式:

MPLS的衰落:还是基于一种软件转发,当硬件转发出现后(基于ASIC

,NP)

MPLS的这种转发模式似乎没有起到多大的效能提升。。。。。

VPN

Overlay

VPN:是一种基于tunnel的VPN,安全里面所涉及的VPN全部是overlay

VPN

(ipsecVPN,GREVPN)

Peer-to-peer

VPN:一种动态VPN的建立

VPN角色:

CE(custom

edge):客户边缘设备-------主要负责跟ISP去连接

PE(provider

edge):营运商边缘路由器-------负责接入客户

P

(provider

router):营运商核心路由器-------负责骨干网中的转发

OverlayVPN:

1.其隧道建立是在CE上建立的:跟ISP的网络环境没有任何关系,ISP只会把这个当成普通路由而已(例如:GRE,ipsec)------这种VPN是一种非动态的,维护性较差(例如再增加一个VPN站点就存在一个N平方的问题)需要在客户方(CE设备上)进行配置,通常客户方不愿意也没这个能力

2.其隧道建立在PE上建立的:在PE上为每个VPN用户建立相应GRE隧道,路由信息在PE于PE之间传递,公网中的P设备不知道私网的路由信息--------这种相当于客户把VPN的创建及维护完全交给ISP,但不同的VPN用户不能共享相同的地址空间

Overlay

VPN的本质:一种“静态”VPN,无法反映网络的实时变化,新增VPN结点后存在N平方问题

如果tunnel建在CE上:必须客户自己建立并维护

如果tunnel建在PE上:无法解决地址冲突问题

Peer-to-peer

VPN:指CE-to-PE间交换私网路由信息,然后由PE将这些私网路由在P网络中传播(动态路由协议),这样这些私网路由会自动传播到其他PE上------解决了“动态”问题,但没有用到tunnel技术,私网路由会泄露到公网上,此时需做严格的路由控制才行

1.共享PE方式:解决了“动态”问题,但仍然没有解决地址冲突和tunnel问题,而且为了防止连接在同一台PE上的不同CE间互通,需在PE上配置大量ACL

2.专用PE方式:解决了“动态”问题,无需配任何ACL,但是代价太高,

新加一个VPN用户就需要一台专用PE,而且也没有解决地址冲突问题和tunnel问题

Peer-to-peer

VPN

本质:虽然解决“动态”问题,但不是一种tunnel技术,造成私网路由会泄露到公网,还是无法解决地址冲突问题

以上VPN的各种局限性总结

1.要想保障安全性,需要tunnel技术

2.GRE,ipsec都是一种静态tunnel技术,无法解决“动态性”

3.地址冲突的问题是以上任何一种VPN技术无法解决的

使用VPN一定要解决的问题:

1.如何提供一种动态建立的tunnel技术?

2.如何解决不同VPN地址冲突问题?

解决动态建立tunnel技术的问题:

MPLS的PHP技术可以提供一种动态建立的tunnel技术,其LSP就是一种天然的tunnel并且基于LDP,这种协议又恰恰是一种动态的标签生成协议

分析:

解决地址冲突问题:必须是一种协议具有良好扩展性-----基于TLV元素的

满足的的协议为:eigrp

bgp

isis

而eigrp太私有化,isis则不是基于TCP/IP开发的,所以只剩下bgp了

BGP的优势:

第一:BGP支持大量路由,满足网络中VPN路由数量大

第二:IBGP中可以满足不直连的路由器间建邻居特性,在设计时假设两个不直连的路由器是都是一个AS内的边界,他们之间可建邻居,但AS内的其他路由器可只运行IGP帮其传BGP的路由(这里指VPN信息)但自身不用包含VPN路由,这些路由器在设计时可选为P路由器------只传递VPN路由,但不包含VPN路由信息

第三:AS内的两台边缘路由器选作PE路由器后,BGP可运载附加在路由后的任何信息(作为可选BGP属性),其他不了解这些属性的BGP路由器都将透明的转发这些带可选BGP属性的路由,使得PE路由器间能简单的传播路由(这里可以是带VPN信息的路由)

至此,仍然未解决地址冲突问题,三大难关:识别,传输,转发

解决思路:

1.可将一台PE模拟成多个虚拟的专用PE

理论:VRF(VPN

路由转发实例)

每个VRF可看做一个虚拟路由器,即一台专用PE(包括独立路由表,独立地址空间,属于该VRF的接口集合,只用于本VRF的路由协议)

RT的本质:每个VRF表达自己的路由取舍及喜好的方式

分两部分:

Export

target:表示我发出的路由的属性

Import

target:

表示我对哪些路由感兴趣

RT很好的解决了地址冲突的问题,但RT能否作为传递时的标识呢?理论上可以

但是:

RT实际就是一个路由属性,不是与IP前缀放在一起,而RD则是在IP前缀之前的,相当于和IP前缀在一起,很好的起到在路由传递过程的区分问题,更重要的是:BGP在撤销路由的时候是不带属性的,尽管更新的时候可以使用RT,但在撤销路由的时候,RT作为community属性,不知道到底撤销哪个VPN,所以必须用到RD

2.RD的本质:(解决传递中的区分问题)

IPV4地址加上RD后变成VPN-IPv4地址族,每个VRF配一个RD,并保证全球唯

一,通常为每个VPN配相同的RD,如果两个VRF中存在相同的地址,但是RD

不同,则两个VRF一定不能互访,间接互访也不成。RD不影响不同VRF间的路

选择以及VPN的形成,这些事情由RT搞定

PE从CE接收的是标准IPV4路由,当需要发布给其他的PE路由器时打上RD,

变成VPN-IPV4地址仅在ISP网络内部传递,到了接收PE路由器后,该路由器将

接收的路由放入本地路由表,用于后来接收的路由进行比较,CE从开始,到路由穿越ISP骨干传给另一个CE,都不知道使用的是VPN-IPV4地址

3.MPLS的嵌套解决路由的转发问题

总结:以上所有技术都是为实现动态VPN而设计的

通过MBGP解决了本地路由的冲突和路由传递时的冲突问题

通过MPLS解决了数据包在发送时区分的问题(通过label实现)

通过MBGP和MPLS就实现了动态VPN技术,称之为MPLS/MBGP/VPN

RT用来导入导出路

RD用来区分CE的相同路由

MP-IBGP用来传递VPN私有路由信息,该VPN私有路由信息已被加上RD,RT和

私有label(加在VPN的IP路由头部,那么VPN的私有IPV4路由变成了VPNV4

路由,BGP能很好支持不同协议,所以VPN私有路由信息便在公网中传递到另

一端的PE路由器中)

如果再对SP内的路由器全部开启MPLS转发方式,那么在SP内部无需做IBGP

的full-mesh,因为数据包的转发不用再查路由表而是通过MPLS转发,不用担心

路由黑洞的发生(即使发生也不怕,因为不查路由表),通过MPLS的转发方式

只用知道下一跳就行了,在SP内部经过PHP和最后一个PE,MPLS的label(即

公网label)被弹出,露出私网label,最后一个PE通过不同的私网label将数据

转发到相应的CE

RT,RD是为控制层面服务的,而私网label和公网label是为数据层面服务的

实例:

私网label:是通过MBGP随机分配的,主要是为了对方在收到一条路由后,对

方可以转发数据包了,此时对于数据来说是通过私网label来区分如何到达正确

的VPN即---------私网label是由MBGP分配做数据转发区分VPN而用的,私网label在内层

通过MBGP随机分配的私网label,RT,RD就构成了VPN的三要素,其中的私网label就是为了区分数据是给哪个VPN的

公网label:主要是为了强调如何到达BGP的下一跳,通过LDP算出来的,公网label嵌套在最外层,当数据转发时充分利用了PHP(倒数第二跳弹出)原理,当数据传到PHP路由器时,外层的公网label被弹出,剩下内层的私网label,而私网label正好可以判定如何到达正确的VPN

配置步骤:

1.

预配。常见VRF,配置相应的route-target,RD;将接口加入VRF中,配置IP

address(注意:如果接口本身之前有ip地址,然后再把接口加入到VRF中,之

前的ip地址将被抹掉,所以要注意先后顺序),routing

protocol(CE-PE)

2.

验证CE-PE的路由信息

3.

在PE和P路由器上起BGP,注意update-source,next-hop-self

4.

在两个PE间启用MBGP,address

family

vpnv4

Neighbor

x.x.x.x

activate

Neighbor

x.x.x.x

send-community

5.

验证在不同的VRF之内的路由信息

6.

起MPLS配置LDP

7.

将VRF内的路由协议和BGP做redistribute

show

ip

bgp

vpnv4

all

show

ip

bgp

vpnv4

vrf

A/B/C….

show

ip

bgp

vpnv4

vrf

A

192.168.200.1/24

    以上《《MPLSVPN笔记》》范文由一流范文网精心整理,如果您觉得有用,请收藏及关注我们,或向其它人分享我们。转载请注明出处 »一流范文网»最新范文»《MPLSVPN笔记》
‖大家正在看...
设为首页 - 加入收藏 - 关于范文吧 - 返回顶部 - 手机版
Copyright © 一流范文网 如对《《MPLSVPN笔记》》有疑问请及时反馈。All Rights Reserved