MPLS VPN
IPSec VPN都屬於傳統VPN
傳統VPN的缺陷:範圍都是點對點
1、需要手工靜態指定建立,隨著用戶網絡規模增長,可擴展性不強
2、VPN維護和管理工作屬於用戶自行完成
MPLS VPN的優點:
1、實現隧道的動態建立(通過MPLS中的LDP實現)
2、解決IP地址沖突問題
3、VPN私網路由易於控制
VPN核心思想就是隧道,實際上隧道就是進來封裝,出去解封裝,但不安全,只是打標簽,隱藏IP報文
傳統IP轉發是逐包轉發,檢查路由表中的目標地址,轉發是它的瓶頸(ATM由於成本太高)
註:
1、面對去往目標存在多條路由,經過多次查表計算,選擇IP轉發采用最長匹配,算法效率不高
2、當前路由器多采用CPU進行轉發處理,性能有限
ATM:采用定長標簽來代替IP地址
1、ATM轉發采用唯一標簽匹配,一次查表,效率很高
2、但ATM控制層面配置復雜,成本高,難以普及
MPLS介於IP與ATM協議之間
MPLS報文格式:MPLS封裝方式位於2.5層
MPLS用一個短而定長的標簽來封裝網絡層分組,交換機路由器根據標簽轉發報文
MPLS多協議標簽交換,起源於IPv4,最初是為了提高轉發速度而提出的,其核心技術可擴展到多種網絡協議,包括IPv6、IPX等
Label報文格式:
MPLS標簽是一個長度固定,僅具有本地意義的標識符,用於唯一標識一個分組所屬的FEC,一個標簽只能代表一個FEC
路由器根據標簽決定如何轉發,不查找IP轉發
MPLS網絡組成:
LSR(標簽交換機路由器):是MPLS網絡中的基本元素(提供標簽交換,標簽分發功能)
FEC(轉發等價類):MPLS作為一種分類轉發技術,通過標簽與IP的映射將具有相同轉發處理方式的分組歸為一類
LSP(標簽交換路徑):一個FEC的數據流,在不同的節點賦予確定的標簽,數據按照這些標簽進行轉發,數據流所走的路徑就是LSP
傳統IP網絡中,轉發數據是基於路由表轉發,MPLS網絡中,轉發數據是基於LDP轉發
標簽分配協議,用於在LSR之間分配標簽,建立LSP(LDP、CR-LDP、RSVP-TE、MP-BGP)
LDP(標簽分發協議):是MPLS的控制協議,它相當於傳統網絡中的路由協議,負責FEC的分類、標簽的分配以及LSP的建立和維護一些列操作
LDP消息類型:
發現消息:用於LDP鄰居的發現和維持,通過互發hello包,使用UDP傳輸端口646
會話消息:用於LDP鄰居會話建立、維持和終止,使用TCP傳輸(類似於keepalive消息)
通告消息:用於LDP實體向LDP鄰居宣告Label、地址等消息,使用TCP傳輸
通知消息:用於向LDP鄰居通知事件或者錯誤消息,使用TCP傳輸
LDP采用組播地址224.0.0.2,選擇最優路徑
上遊LSR和下遊LSR:數據先到打的設備是上遊,後到達的設備是下遊
主要針對標簽分發:往往標簽分發是下遊為上遊分發,數據的傳輸肯定是上遊到下遊
標簽分發過程:
1、路由器根據路由表進行標簽分配,形成MPLS標簽轉發表
2、標簽轉發表主要包含入標簽、出標簽、出接口,路由器可以根據標簽轉發表轉發MPLS報文
3、標簽是設備隨機自動生成的,16以下為系統保留
PUSH壓標簽進行封裝標簽,POP彈出標簽解封裝操作
高速路由器:采用多核CPU轉發
MPLS VPN模型中,包含三個組成部分:CE、PE和P。
CE:是用戶網絡邊緣設備,接口直接與服務提供商相連,可以是路由器或是交換機等
PE:即運營商邊緣路由器,是運營商網絡的邊緣設備,與用戶的CE直接相連
P:運營商網絡中的骨幹路由器,不和CE直接相連。P路由器需要支持MPLS能力
CE和PE的劃分主要是從運營商與用戶的管理範圍來劃分的,CE和PE是兩者管理範圍的邊界。
GRE隧道在PE上啟用
1、IPS是否幫你傳路由
2、MPLS可以保障QOS、CE端配置簡單
3、IPsec安全性、費用低
1、MPLS基本能力配置
[H3C]mpls lsr-id 1.1.1.1 配置MPLS的LSR ID(必須為32位的loopback口地址)
[H3C]mpls 全局使能MPLS
[H3C-mpls]mpls ldp 全局使能MPLS LDP
2、定義VPN實例、VRF虛擬路由轉發(彼此之間各自學各自的路由)
[H3C]ip vpn-instance vpna 創建並進入VPN實例視圖
[H3C-vpn-vpna]route-distinguisher 100:100 配置vpna的RD
[H3C-vpn-vpna]vpn-target 100:100 200:200 300:300 import-extcommunity 為vpna引入vpn-target團體
[H3C-vpn-vpna]vpn-target 100:100 export-extcommunity 為vpna導出vpn-target團體
3、配置PE與CE間進行路由交換
[H3C]interface Ethernet1/0/0 進入連接用戶CE接口
[H3C-Ethernet1/0/0]ip binding vpn-instance vpna接口綁定在vpna下
[H3C-Ethernet1/0/0]ip address ip-address 192.168.1.1 255.255.255.0 配置地址
[H3C]ospf 110 router-id 1.1.1.1 vpn-instance vpna 創建OSPF多實例
[H3C-ospf-110]area 0 進入area0
[H3C-ospf-110-area-0.0.0.0]ip vpn-instance vpna 創建RIP多實例
[H3C-ospf-110-area-0.0.0.0]network 192.168.1.0 0.0.0.255 發布與CE相連路由
[H3C-ospf-110]import-route direct 發布直連路由
[H3C]interface tunnel 1
[H3C-tunnel1]tunnel-protocol gre
[H3C-tunnel1]source ip-address
[H3C-tunnel1]destination ip-address
[H3C-tunnel1]ip address ip-address net-mask
[H3C-tunnel1]mpls 接口使能MPLS
[H3C-tunnel1]mpls ldp enable 接口使能MPLS LDP
[H3C]ip route-static ip-address1 32 ip-address2
本文出自 “馬廣傑——博客” 博客,請務必保留此出處http://maguangjie.blog.51cto.com/11214671/1925270
MPLS VPN