DR002008 NE系列路由器BGP MPLS VPN 特性 ISSUE 1.00

修订记录课程编码适用产品产品版本课程版本ISSUEDR002008NE路由器ALL1.00开发/优化者时间审核人开发类型（新开发/优化）张立2009-11-10周进军新开发本页不打印0NE系列路由器

BGPMPLSVPN特性前言本课程介绍MPLSBGPVPN的基本架构，从控制平面和数据平面两个方面介绍基本实现原理，并对其中涉及的基本概念做初步介绍。2培训目标学完本课程后，您应该能：描述MPLSBGPVPN模型描述MPLSBGPVPN中的基本概念描述MPLSBGPVPN路由传递和标签分发描述MPLSBGPVPN数据转发流程3目录BGPMPLSVPN网络结构BGPMPLSVPN实现原理4目录BGPMPLSVPN网络结构BGPMPLSVPN实现原理5VPN分类VirtualPrivateNetworkOverlayVPNPeer-to-PeerVPNMPLSBGPVPNL2VPNL3VPNFRATMGREIPSec6MPLSBGPVPN网络结构VPNAMPLSDomainPEPEPEPEPPPPCECECECECECECECEVPNBVPNBVPNAVPNAVPNBVPNBVPNA7目录BGPMPLSVPN网络结构BGPMPLSVPN实现原理8MPLSBGPVPN基本工作原理路由信息发布本地CE到入口PE路由信息交换入口PE到出口PE路由信息交换出口PE到出口CE路由信息交换标签分发公网标签的分发私网标签的分发VPN报文转发封装两层标签外层标签用于报文在公网上的转发内层标签用于指示报文到达哪个Site9如何解决同一PE上不同VPN用户地址空间重叠问题PEAPEBPCEACECCEBCED公司A总部公司A分部公司B总部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2PEA连接的公司A总部和公司B总部使用相同的IP地址空间VPNAVPNAVPNBVPNBMPLSDomain10PEAVRF:VPNRouting&ForwardingVRFforSiteAVRFforSiteC公网路由表PEAPEBPCEACECCEBCED公司A总部公司A分部公司B总部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2VPNAVPNAVPNBVPNBMPLSDomain(SiteA)(SiteC)(SiteB)(SiteD)L0:1.1.1.1L0:3.3.3.3L0:2.2.2.211VRF和接口的绑定关系VRF即VPN-instancePEVPN-instance接口SitePEAvpnaS2SiteA（公司A总部）S3SiteX（公司A另一分部）vpnbS1SiteC（公司B总部）PEBvpnaS1SiteB（公司A分部）vpnbS3SiteD（公司B分部）12PEAVRFforSiteA（公司A总部）路由转发表[PEA]display

iprouting-tablevpn-instancevpna

RoutingTables:vpna

Destinations:7Routes:7

Destination/MaskProtoPreCostNextHopInterface

10.1.1.0/30Direct0010.1.1.1Serial210.1.1.1/32Direct00127.0.0.1InLoopBack010.1.1.2/32Direct0010.1.1.2Serial2

10.1.2.0/30BGP25503.3.3.3-----10.1.2.2/32BGP25503.3.3.3-----

10.1.5.0/24BGP255010.1.1.2Serial2

10.1.6.0/24BGP25503.3.3.3-----

13PEAVRFforSiteC

（公司B总部）路由转发表[PEA]display

iprouting-tablevpn-instancevpnb

RoutingTables:vpnb

Destinations:7Routes:7

Destination/MaskProtoPreCostNextHopInterface

10.1.3.0/30Direct0010.1.3.1Serial110.1.3.1/32Direct00127.0.0.1InLoopBack010.1.3.2/32Direct0010.1.3.2Serial1

10.1.4.0/30BGP25503.3.3.3-----10.1.4.2/32BGP25503.3.3.3-----

10.1.5.0/24BGP255010.1.3.2Serial1

10.1.8.0/24BGP25503.3.3.3-----

14PEA公网路由表<PEA>displayiprouting-tableRoutingTables:PublicDestinations:9Routes:9

Destination/MaskProtoPreCostNextHopInterface

1.1.1.1/32Direct00127.0.0.1InLoopBack02.2.2.2/32OSPF10156311.11.11.2Serial33.3.3.3/32OSPF10312511.11.11.2Serial311.11.11.0/30Direct0011.11.11.1Serial311.11.11.1/32Direct00127.0.0.1InLoopBack011.11.11.2/32Direct0011.11.11.2Serial311.11.11.4/30OSPF10312411.11.11.2Serial3127.0.0.0/8Direct00127.0.0.1InLoopBack0127.0.0.1/32Direct00127.0.0.1InLoopBack0

15如何区分不同的VPN中相同的IP地址前缀PEAPEBPCEACECCEBCED公司A总部公司A分部公司B总部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2公司A总部和公司B总部的路由信息通过MP-BGP传递到PEBVPNAVPNAVPNBVPNBMPLSDomainVPNv4Address16RD：RouteDistinguisherRD：RouteDistinguisher64bits前缀VPNv4Address由64bit的RD加上IPv4地址构成RD唯一，VPNV4地址唯一RouteDistinguisherIPv4地址VPNV4Address=+17对端PE如何判断将VPNV4路由注入到指定VRF中PEAPEBPCEACECCEBCED公司A总部公司A分部公司B总部公司B分部11.11.11.0/30.1.2S3S311.11.11.4/30.5.6S0S010.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24s310.1.1.0/30s2.2.110.1.3.0/30s1s0.1.210.1.2.0/30.2.1s0s110.1.4.0/30.1.2s3s2CEA同时可以与VPNA和VPNC通信VPNAVPNAVPNBVPNBMPLSDomainCEE10.1.5.0/30s0.2.1s0公司C（SiteE）VPNCVPNC10.1.9.0/24(SiteA)(SiteC)(SiteB)(SiteD)18PEAVRFforSiteA

（公司A总部）路由转发表[PEA]display

iprouting-tablevpn-instancevpna

RoutingTables:vpna

Destinations:11Routes:11

Destination/MaskProtoPreCostNextHopInterface

10.1.1.0/30Direct0010.1.1.1Serial210.1.1.1/32Direct00127.0.0.1InLoopBack010.1.1.2/32Direct0010.1.1.2Serial210.1.2.0/30BGP25503.3.3.3-----10.1.2.2/32BGP25503.3.3.3-----10.1.5.0/24BGP255010.1.1.2Serial210.1.5.0/30BGP255010.1.5.1Serial010.1.5.1/32BGP2550127.0.0.1InLoopBack010.1.5.2/32BGP255010.1.5.2Serial010.1.6.0/24BGP25503.3.3.3-----

10.1.9.0/24BGP255010.1.5.2Serial0

19PEAVRFforSiteE

（公司C）路由转发表[PEA]display

iprouting-tablevpn-instancevpnc

RoutingTables:vpnc

Destinations:8Routes:8

Destination/MaskProtoPreCostNextHopInterface

10.1.1.0/30BGP255010.1.1.1Serial210.1.1.1/32BGP2550127.0.0.1InLoopBack010.1.1.2/32BGP255010.1.1.2Serial2

10.1.5.0/24BGP255010.1.1.2Serial2

10.1.5.0/30Direct0010.1.5.1Serial010.1.5.1/32Direct00127.0.0.1InLoopBack010.1.5.2/32Direct0010.1.5.2Serial010.1.9.0/24BGP255010.1.5.2Serial0

20PEAVRFforSiteC

（公司B总部）路由转发表<PEA>displayiprouting-tablevpn-instancevpnb

RoutingTables:vpnb

Destinations:7Routes:7

Destination/MaskProtoPreCostNextHopInterface

10.1.3.0/30Direct0010.1.3.1Serial110.1.3.1/32Direct00127.0.0.1InLoopBack010.1.3.2/32Direct0010.1.3.2Serial110.1.4.0/30BGP25503.3.3.3-----10.1.4.2/32BGP25503.3.3.3-----10.1.5.0/24BGP255010.1.3.2Serial110.1.8.0/24BGP25503.3.3.3-----

21RouteTargetRouteTarget为路由的扩展属性ExportRouteTargetImportRouteTargetPEVPN-instanceExportRouteTargetImportRouteTargetPEAvpna100:1300:1100:1300:1vpnb200:1200:1vpnc300:1300:1PEBvpna100:1100:1vpnb200:1200:122通过设置不同的import、exportRT，可以灵活的实现多种不同的VPN应用。RouteTarget的应用传统模式Hub-Spoke模式extranet模式im:aex:aim:bex:aim:aex:bim:aex:aim:acex:abim:bex:c23MPLSL3VPNCE与PE之间路由信息的交换PEACEACEC公司A总部公司B总部10.1.5.0/2410.1.5.0/24VPNAVPNB(SiteA)(SiteC)CE与PE之间路由交换BGPOSPFIS-ISRIPv2StaticMPLSDomain24MP-IBGP交换路由信息以及私网标签分配过程PEAPEBPCEACEB公司A总部公司A分部10.1.5.0/2410.1.6.0/24VPNAVPNA(SiteA)(SiteB)BGP,OSPF,RIPv2updatefor10.1.5.0/24,NH=CEAVPNV4Update100:1:10.1.5.0/24