BGPMPLS-VPN介绍教学讲解课件

数据网络基础微课系列讲座——BGP/MPLSVPN介绍数据网络基础微课系列讲座——BGP/MPLSVPN介绍学习内容第二章MPLSVPN工作原理第一节MPLSVPN概述

MPLSL3VPN原理第三节路由信息交换过程第四节数据转发过程学习内容第二章MPLSVPN工作原理MPLSL3VPN实现目标---控制层面在MPLSL3VPN中关键要实现两个目标：VPN的路由信息仅能由本VPN的设备学习而不能被P设备及其他VPN设备学习PE设备上需保存各组VPN及公共网络的相关路由信息，但相互之间不能影响解决办法：可以通过在PE两点间运行BGP协议来实现解决办法：提出VRF的概念，可在PE上识别不同的VPN信息MPLSL3VPN实现目标---控制层面在MPLSL3VRFVRF：VPNRouting&ForwardingVPN路由转发作用：隔离、识别不同的VPN每个VRF存储的路由信息包括：与此VRF有关的直连从CE站点接收到的路由从其他PE路由器接收到的具有可接受的BGP属性的路由只有来自与VRF相关的站点的数据包才会被查询提供不同VPN间的隔离VRFVRF：VPNRouting&Forwarding如何识别VPN—本地识别当PE收到报文后如何判断这是VPN的用户信息还是公网信息？如何分辨VPN呢？

在PE上配置不同的VRF，将不同的接口指定到对应的VRF中。

PE(config)#interfacefei_1/1PE(config-if)#ipvrfforwardingvpn1……PE(config)#interfacefei_1/2PE(config-if)#ipvrfforwardingvpn2……PE(config)#interfacefei_1/3……如何识别VPN—本地识别当PE收到报文后如何判断这是VPN的如何识别VPN——跨公网识别(1)PE发送VPN路由信息时如何标识他们的VPN属性呢？不同的VPN可能使用相同的地址空间，又如何标志路由信息属于哪个VPN呢？如何识别VPN——跨公网识别(1)PE发送VPN路由信息如何识别VPN——跨公网识别(2)VRF中包含两种属性：RD和RT，BGP/MPLSVPN就是通过这两个属性解决以上问题的RD：路由标识符(RouteDistinguisher)

用来解决用户地址复用问题RT：路由目标(route-target)

用来识别不同VPN的路由信息如何识别VPN——跨公网识别(2)VRF中包含两种属性：RRD—VPN-IPv4地址族BGP/MPLSVPN在发送路由信息时构建了一种新的地址结构：VPN-IPv4地址，结构如下：VPN-IPv4地址族支持用户的私有IP地址空间通过MP-iBGP发布，使用“BGP4多协议扩展”(RFC2283)VPN-IPV4地址只在控制层面被使用RD—VPN-IPv4地址族BGP/MPLSVPN在发送RD—VPN-IPv4地址族路由标识符有两种类型：0和1类型0：管理器区域=2字节，AN区域=4字节管理器区域通常为服务提供商的AS号AN区域为由服务提供商分配的一个数值类型1：管理器区域=4字节，AN区域=2字节管理器区域通常为服务提供商的IP地址AN为有服务提供商分配的一个数值例子：20491:21:10.0.1.0/24或71.1.23.1:33:10.0.1.0/24RD—VPN-IPv4地址族路由标识符有两种类型：0和1例RD—VPN-IPv4地址族的使用10.0.1.0/2410670:11:10.0.1.0/2410.0.1.0/24VRFVPN2RD10670：12VRFVPN2RD10670：14int1VPN1CE3VPN1CE3VPN2CE4VPN2CE2CE1int2int3int3int1int2PE1PE2P10.0.1.0/2410.0.1.0/24VRFVPN1RD10670：13VRFVPN1RD10670：11VPN-IPV4地址仅用于公共网络，CE并不接收入口PE在发送路由信息进入公共网络时，将Ipv4路由格式变为Vpn-ipv4格式出口PE在发送给CE路由信息时将Vpn-ipv4地址变为Ipv4地址发送

VPN-IPV4地址仅用于控制层面，即在BGP传递路由消息时使用，而数据报文转发时不会使用RD—VPN-IPv4地址族的使用10.0.1.0/241RT—VPN的识别(1)作用：RT为路由实例VRF配置输入输出的路由策略，指定PE路由器能够接收、发送哪些路由信息，通过这些路由策略定义VPN的连接性实质：RT实质上是BGP的扩展团体属性，用来标识每条路由信息的所属关系

格式：

AS号：分配号或

IP地址：分配号RT—VPN的识别(1)作用：RT为路由实例VRF配置输入输RT—VPN的识别(2)RT实际由两部分组成：importtarget：用于输入策略，只有当输入路由信息属性与PE上VRF的importtarget属性相匹配才能学习保存exporttarget：用于输出策略，PE发送路由信息时携带对应VRF的exporttarget属性，用来标识发送VPNRT—VPN的识别(2)RT实际由两部分组成：RT---VPN的路由策略Importtarget100:1Exporttarget200:1Importtarget200:1Exporttarget100:1Importtarget200:1Exporttarget100:1Importtarget200:1Exporttarget100:1SiteASiteDSiteCSiteDSiteASiteDSiteCSiteBImporttarget100:1Exporttarget100:1Importtarget100:1Exporttarget100:1Importtarget100:1Exporttarget100:1Importtarget100:1Exporttarget100:1Hub-Spoke连接全网状连接RT---VPN的路由策略Importtarget10RD与RT的对比路由标识符RD路由目标RT解决用户地址复用构建VPN-IPV4地址BGP的扩展团体属性一个VRF可以有一组RT（import和export）一个VRF仅有一个RD标识VPN提供路由策略RD与RT的对比路由标识符RD路由目标RT解决用户地址复用谢谢Thanks谢谢Thanks数据网络基础微课系列讲座——BGP/MPLSVPN介绍数据网络基础微课系列讲座——BGP/MPLSVPN介绍学习内容第二章MPLSVPN工作原理第一节MPLSVPN概述

MPLSL3VPN原理第三节路由信息交换过程第四节数据转发过程学习内容第二章MPLSVPN工作原理MPLSL3VPN实现目标---控制层面在MPLSL3VPN中关键要实现两个目标：VPN的路由信息仅能由本VPN的设备学习而不能被P设备及其他VPN设备学习PE设备上需保存各组VPN及公共网络的相关路由信息，但相互之间不能影响解决办法：可以通过在PE两点间运行BGP协议来实现解决办法：提出VRF的概念，可在PE上识别不同的VPN信息MPLSL3VPN实现目标---控制层面在MPLSL3VRFVRF：VPNRouting&ForwardingVPN路由转发作用：隔离、识别不同的VPN每个VRF存储的路由信息包括：与此VRF有关的直连从CE站点接收到的路由从其他PE路由器接收到的具有可接受的BGP属性的路由只有来自与VRF相关的站点的数据包才会被查询提供不同VPN间的隔离VRFVRF：VPNRouting&Forwarding如何识别VPN—本地识别当PE收到报文后如何判断这是VPN的用户信息还是公网信息？如何分辨VPN呢？

在PE上配置不同的VRF，将不同的接口指定到对应的VRF中。

PE(config)#interfacefei_1/1PE(config-if)#ipvrfforwardingvpn1……PE(config)#interfacefei_1/2PE(config-if)#ipvrfforwardingvpn2……PE(config)#interfacefei_1/3……如何识别VPN—本地识别当PE收到报文后如何判断这是VPN的如何识别VPN——跨公网识别(1)PE发送VPN路由信息时如何标识他们的VPN属性呢？不同的VPN可能使用相同的地址空间，又如何标志路由信息属于哪个VPN呢？如何识别VPN——跨公网识别(1)PE发送VPN路由信息如何识别VPN——跨公网识别(2)VRF中包含两种属性：RD和RT，BGP/MPLSVPN就是通过这两个属性解决以上问题的RD：路由标识符(RouteDistinguisher)

用来解决用户地址复用问题RT：路由目标(route-target)

用来识别不同VPN的路由信息如何识别VPN——跨公网识别(2)VRF中包含两种属性：RRD—VPN-IPv4地址族BGP/MPLSVPN在发送路由信息时构建了一种新的地址结构：VPN-IPv4地址，结构如下：VPN-IPv4地址族支持用户的私有IP地址空间通过MP-iBGP发布，使用“BGP4多协议扩展”(RFC2283)VPN-IPV4地址只在控制层面被使用RD—VPN-IPv4地址族BGP/MPLSVPN在发送RD—VPN-IPv4地址族路由标识符有两种类型：0和1类型0：管理器区域=2字节，AN区域=4字节管理器区域通常为服务提供商的AS号AN区域为由服务提供商分配的一个数值类型1：管理器区域=4字节，AN区域=2字节管理器区域通常为服务提供商的IP地址AN为有服务提供商分配的一个数值例子：20491:21:10.0.1.0/24或71.1.23.1:33:10.0.1.0/24RD—VPN-IPv4地址族路由标识符有两种类型：0和1例RD—VPN-IPv4地址族的使用10.0.1.0/2410670:11:10.0.1.0/2410.0.1.0/24VRFVPN2RD10670：12VRFVPN2RD10670：14int1VPN1CE3VPN1CE3VPN2CE4VPN2CE2CE1int2int3int3int1int2PE1PE2P10.0.1.0/2410.0.1.0/24VRFVPN1RD10670：13VRFVPN1RD10670：11VPN-IPV4地址仅用于公共网络，CE并不接收入口PE在发送路由信息进入公共网络时，将Ipv4路由格式变为Vpn-ipv4格式出口PE在发送给CE路由信息时将Vpn-ipv4地址变为Ipv4地址发送

VPN-IPV4地址仅用于控制层面，即在BGP传递路由消息时使用，而数据报文转发时不会使用RD—VPN-IPv4地址族的使用10.0.1.0/241RT—VPN的识别(1)作用：RT为路由实例VRF配置输入输出的路由策略，指定PE路由器能够接收、发送哪些路由信息，通过这些路由策略定义VPN的连接性实质：RT实质上是BGP的扩展团体属性，用来标识每条路由信息的所属关系

格式：

AS号：分配号或

IP地址：分配号RT—VPN的识别(1)作用：RT为路由实例VRF配置输入输RT—VPN的识别(2)RT实际由两部分组成：importtarget：用于输入策略，只有当输入路由信息属性与PE上VRF的importtarget属性相匹配才能学习保存exporttarget：用于输出策略，PE发送路由信息时携带对应VRF的exporttarget属性，用来标识发送V