通信工程師互聯(lián)網(wǎng)技術(shù)考試MPLSVPN的實現(xiàn)

點擊通信工程師考試在線輔導(dǎo)招生

點擊通信工程師專業(yè)培訓(xùn)面授班招生

點擊閱讀2013年通信工程師考試大綱

點擊了解2013年通信工程師考試指定教材

通信工程師報名及通信工程師成績查詢專題

2012年全國初級中級通信工程師考試成績查詢

5.6.1 MPLSVPN的實現(xiàn)

MPLS為實現(xiàn)IP-VPN提供了一種靈活、具有可擴展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持VPN.因此在MPLS/ATM網(wǎng)絡(luò)中有多種支持VPN的方法，下面介紹其中兩種方法。

第一種方法是使用LDP的一般操作方式，即拓撲驅(qū)動方式來實現(xiàn)基本的LSP建立過程，同時使用兩級LSP隧道（標(biāo)記堆棧）來支持VPN的內(nèi)部路由。

圖5-49所示為在MPLS/ATM核心網(wǎng)絡(luò)中提供VPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。

LER（標(biāo)記邊緣路由器）是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。對于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點。如果一個LER同時為多個用戶所共享，它還應(yīng)當(dāng)具有執(zhí)行虛擬路由的能力。這就是說，它應(yīng)當(dāng)為自己服務(wù)的各個VPN分別建立一個轉(zhuǎn)發(fā)表，這是因為不同VPN的IP地址空間可能是有所重疊的。

LSR（標(biāo)記交換路由器）組成MPLS/ATM核心網(wǎng)絡(luò)，它是服務(wù)提供者的下層網(wǎng)絡(luò)。

希望提供VPN的網(wǎng)絡(luò)提供者必須先對MPLS域進行配置。這里的MPLS域指的是VPN區(qū)域。作為一種普通的LDP操作，基本的LSP建立過程將使用拓撲驅(qū)動方法來進行，這一過程被定義為使用基本標(biāo)記的、基本的或是單級LSP建立。而對于VPN內(nèi)部路由，則將使用兩級LSP隧道（標(biāo)記堆棧）。

每一個LER都有一個任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一VPN服務(wù)的其他所有LER.由于本方法最終目的是要建立第二級MPLS隧道，所以LER發(fā)現(xiàn)對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他LER的每一條基本網(wǎng)絡(luò)LSP,向下游發(fā)送一個LDPHello消息。LDPHello消息中會包含一個基本的MPLS標(biāo)記，以方便這些消息能夠最終到達目的LER。

LDPHello消息實際上是一種查詢消息，通過這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同厲一個VPN的LER（對等實體）。新的Hello消息相鄰實體注冊完成之后，相關(guān)的兩個LER之間將開始發(fā)起LDP會話。隨后，其中一個LER將初始化與對方的TCP連接。當(dāng)TCP連接建立完成而且必要的初始化消息交互也完成之后，對等LER之間的會話便建立起來了。此后，雙方各自為對方到自己的LSP隧道提供一個標(biāo)記。如果LSP隧道是嵌鑾隧道，則該標(biāo)記將被推入標(biāo)記找中，并被置于原有的標(biāo)記之上。

通過路由信息的交換，LER可以學(xué)習(xí)與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些LER是為同一個VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會話。

最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當(dāng)一個LER被配置成一個VPN的一員時，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在此過程中，還可能會配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個LER都將發(fā)布通過它可以到達的、VPN用戶的地址前綴。

LER之間的路由信息交互完成之后，各個LER都將建立起一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴（FEC轉(zhuǎn)發(fā)等價類）與下一跳聯(lián)系起來。當(dāng)收到的IP分組的下一跳是一個LER時，轉(zhuǎn)發(fā)進程將首先把用于該LER的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧，隨后把能夠到達該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標(biāo)記推入標(biāo)記分組。接著帶有兩個標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個LSR;當(dāng)該分組到達目的LER時，最外層的標(biāo)記可能已經(jīng)發(fā)生許多次的改變，而嵌套在內(nèi)部的標(biāo)記始終保持不變：當(dāng)標(biāo)記棧彈出后，繼續(xù)使用嵌套標(biāo)記將分組發(fā)送至正確的LER.在LER上，每一個VPN使用的嵌套標(biāo)記空間必須與該LER所支持的其他所有VPN使用的嵌套標(biāo)記空間不同。

第二種在公共網(wǎng)中實現(xiàn)VPN業(yè)務(wù)的方法是使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來提供，其技術(shù)細節(jié)可以參見RFC2547.圖5-50所示為使用RFC2547的網(wǎng)絡(luò)模型。

提供者邊緣（PE）路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。實際上，它是一個邊緣LSR,即MPLS網(wǎng)絡(luò)與不使用MPLS的用戶或服務(wù)提供者之間的接口。

用戶邊緣（CE）路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS,它只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。

提供者（P）路由器是指網(wǎng)絡(luò)中的核心LSR。

站點（Site）是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過一條或多條PE/CE鏈路接至VPN.VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。

服務(wù)提供者將為每一個VPN分配一個標(biāo)志符，該標(biāo)志符稱為路徑區(qū)別標(biāo)志（RD），它對應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個Intranet或Extranet都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列地址，這些地址稱為VPNIP地址，它們是由RD與用戶的IP地址連接而成的。VPNIP地址對于服務(wù)提供者網(wǎng)絡(luò)中的每一個端點都是，對于VPN中的每一個節(jié)點（即VPN中的每一個PE路由器），轉(zhuǎn)發(fā)表中都將存儲有一個條目。

從圖5-50可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時使用IP路由技術(shù)來與CE路由器通信。P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實現(xiàn)路由器之間的標(biāo)記分發(fā)。

PE路由器使用多協(xié)議BGP4來實現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個VPN策略。除非使用了路徑映射標(biāo)志（routereflector），否則PE之間是BGP全網(wǎng)狀連接。特別地，圖5-50中的PE處于同一自治域中，它們之間使用內(nèi)部BGP（iBGP）協(xié)議。

P路由器不使用BGP而且對VPN-無所知，它們使用普通的MPLS協(xié)議與進程。

PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現(xiàn)MPLS或?qū)PN有任何特別了解。

PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現(xiàn)路徑分發(fā)，BGP使用VPN-IP地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生VPN-IP地址重復(fù)的情況。PE路由器將BGP計算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。

這一方案使用兩級標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對于各個VPN的識別：外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用，它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE.

希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對網(wǎng)絡(luò)進行設(shè)計與配置，這包括：

PE必須為其支持的VPN以及與之相連的CE所屬的VPN進行配置；MPLS網(wǎng)絡(luò)或者是一個路徑映射標(biāo)志中的PE路由器之間必須進行對等關(guān)系的配置：為了與CE進行通信，還必須進行件通的路由協(xié)議配H:為了與MPLS核心網(wǎng)絡(luò)進行通信，還必須進行鋅通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN.PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息，并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。

PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外，PE路由器還要通過BGP與其PE路由器對等實體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP.這些標(biāo)記用做第二級標(biāo)記，P路由器看不到這些標(biāo)記。

PE路由器將為其支持的每一個VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。

PE之間的路由信息交換完成之后，每一個PE都將為每一個VPN建立一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。

當(dāng)收到發(fā)自CE路由器的IP分組時，PE路由器將在轉(zhuǎn)發(fā)表中查詢該分組對應(yīng)的VPN。

如果找到匹配的條目，路由器將執(zhí)行以下操作：

如果下一跳是一個PE路由器，轉(zhuǎn)發(fā)進程將先把從路由表中得到的、該PE路由器所對應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧：PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達目的PE路由器、基本網(wǎng)絡(luò)LSP上的第一跳：帶有兩級標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個LSR。

P路由器（LSR）使用頂層標(biāo)記及其路由表對分組繼續(xù)進行轉(zhuǎn)發(fā)。當(dāng)該分組到達目的LER時，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。

當(dāng)PE收到分組時，它使用內(nèi)部標(biāo)記來識別VPN此后，PE將檢査與該VPN相關(guān)的路由表，以便決定對分組進行轉(zhuǎn)發(fā)所要使用的接口。

如果在VPN路由表中找不到匹配的條目，PE路由器將檢査Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。

VPNIP轉(zhuǎn)發(fā)表中包含VPNIP地址所對應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個站點。這一過程由于使用的是標(biāo)記而不是IP地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進行業(yè)務(wù)傳輸時無需網(wǎng)絡(luò)地址翻譯（NAT）。通過為每一個VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開。使用BGP,交換機可以根據(jù)入口選擇一個特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個VPN有效目的地址。

為了建立企業(yè)的Extranet,服務(wù)提供者需要對VPN之間的可到達性進行明確指定（可能還需進行NAT配置）。

在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個分組都將與一個RD相關(guān)聯(lián)，這樣，用戶無法將其業(yè)務(wù)流或者是分組偷偷送入另一個用戶的VPN.注意，在用戶數(shù)據(jù)分組中沒有攜帶RD‘只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中己經(jīng)配置的、適當(dāng)?shù)腞D時’用戶才能加入一個Intranet或Extranet.這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級。

返回目錄：通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點匯總

編輯相關(guān)推薦：

初級通信工程師考試電信網(wǎng)概述匯總

2013年通信工程師考試學(xué)習(xí)在線輔導(dǎo)

通信考試終端與業(yè)務(wù)通信員工職業(yè)規(guī)范

通信專業(yè)實務(wù)互聯(lián)網(wǎng)技術(shù)數(shù)據(jù)通信基礎(chǔ)教程

互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總