第七章 虛擬專用網

一、VPN的基本模型

邏輯專網：VPN是使用IP設施對專用廣域網（WAN）設施的模擬。

VPN的型別：根據網路功能分類：L3VPN、L2VPN、AccessVPN，根據管理責任分類使用者端管理的VPN和服務端管理的VPN，根據裝置位置分類，有VPN裝置在使用者端、VPN裝置在服務提供者端

PPVPN的分類：二層和三層

二、隧道封裝

IP-in-IP封裝：將要傳送的IP報文封裝在另一個IP報文，外層報頭的源宿地址分別是隧道的起點和終點，TTL要足夠大，以穿越隧道。封裝前要檢查由路由迴路所引起的遞迴封裝

最小封裝：通過去掉封裝報文中內層IP報頭和外層IP報頭中的冗餘部分來減少隧道的額外開銷，由於分段欄位被壓縮掉了，因此被封裝的IP報文不能分段。

Generic Routing Encapsulation（GRE）適用於用IP報文封裝任意一種其它報文

三、L2VPN

邏輯協議分層模型

PSN融合提供PSN隧道終點的轉換功能，以支援不同的傳輸網路

PW解複用器提供多個PW共享PSN隧道所需的資訊，例如基於MPLS標記

Encapsulation提供CE-bound PE埠可能需要的資訊，以實現虛線路

PW參考圖：PW終點提供以太幀的交換和過濾功能，PE中的B點是一個邏輯的以太埠，將從A點收到的以太幀轉發給對端PE的A點。NSP (Native Service Processing) 提供以太幀處理功能

MPLS上的第2層傳輸：控制連線、隧道、解複用（基於MPLS標號）、第2層封裝（模擬面向連線、無連線）

VPWS流量封裝：利用隧道標籤在PE之間交換資料包，VC標籤標識PW，在PES之間發訊號，可選控制字（CW）攜帶L2控制位並啟用排序

基於MPLS的乙太網：支援兩種傳輸模式（乙太網VLAN模式、乙太網埠）

虛擬區域網標籤：服務定界：VLAN Tag由服務提供者設定，用來區分不同使用者的流量，NSP在將以太幀交給PW終點之前將raw mode剝去。非服務定界：使用者自己的VLAN定義

如果兩種VLAN Tag同時使用，則服務定界VLAN Tag總在外層。

虛擬專用區域網服務：

VPLS將SP網路模擬成乙太網交換機：同一個VPN的CE之間實現LAN互動、不同VPN

的CE之間不能互動、PE之間通過虛線路連線

VPLS參考模型：虛擬轉發例項VFI、AC連線CE裝置的邏輯或物理以太埠、VC (Virtual Circuit)：一個VFI可同時支援多個VC傳輸

VPLS操作：轉發（基於宿MAC地址）、廣播。MAC Learning / Aging / Withdrawal（基於源MAC地址和VLAN標識的動態學習機制）、核心層環路避免的PWS分裂視域和全網格

VPWS / VPLS的服務建立：建立Provisioning模型、使用發現過程進行端點發現、Signaling

BGP Auto-Discovery：自動檢測VPLS域中PE的變化情況（只需手工配置本地資訊、使用 BGP Update messages來通告PE/VFI、通常要使用路由反射器RR）

RFC 4761：使用BGP進行VPLS PE自動發現和信令控制、對給定VPLS網路中的每個PE都配置一個唯一的VPLS Edge device ID (VE ID)、PE X使用BGP VPLS NLRI向所有其它PE傳送相同的標記塊資訊、其它PE通過自己的VE ID加收到的標記塊底LB匯出 PE X的標記

VPLS BGP NLRI：PE對於每個附接的u-PE都必須手工分配一個不同的VE ID、為PE指定的VE ID需要用RT進行限定，以確定使用範圍。Route Distinguisher用於區分不同VPLS VPN的NLRI

Label Block：標記塊為LB到(LB + VBS - 1) 的連續標號集

PW Setup and Teardown：對於一個PE而言， VPLS中的其它PE構成它的remote VE set

Signaling PE Capabilities：使用Layer2 Info Extended Community來控制虛線路的建立 跟在NLRI後面

Forwarding：MAC Address Learning：SP網路可被視為一個網橋、Aging：轉發表FIB的時效控制、Flooding：PE不轉發Flooding幀

P-VLAN與C-VLAN之間的控制資訊互動：Peer mode（P-VLAN的OAM與C-VLAN的OAM對等交換資訊）Tunnel mode（C-VLAN的控制資訊透明穿越）Discard mode（P-VLAN丟棄C-VLAN的控制幀，例如使用者的PAUSE幀。）

控制資訊的傳輸：Data emulation OAM：與資料幀的轉發和處理方式一樣Non-broadcast data emulation OAM：當轉發表中沒有相應的MAC地址時丟棄該幀Data snooped OAM與資料幀的轉發和處理一樣，但每經過一個交換機，都要向本地的LLC交付一個拷貝

Multi-homing：CE可同時接入多個PE和Path Selection：兩個VPLS NLRI相同：Route Distinguisher、VE ID和VBO均相同

Multi-AS VPLS (第1種方案)：在ASBRS上的VPLS到VPLS連線

Multi-AS VPLS (第2種方案)：隧道T1和T3使用I-BGP，T2使用EBGP。

Multi-AS VPLS (第3種方案)：三層MPLS隧道

四、L3VPN

Peer模型：IP網路的受限互聯結構、CE將自己的路由通告給所附接的PE、CE將自己的路由通告給所附接的PE、PE僅在同一個VPN的PE之間使用BGP相互通告所瞭解的路由，對每個路由都指派一個MPLS標記 (因為可能是私有地址)，也由BGP通告；報文由宿地址對應的MPLS標記標識，然後封裝在SP網路的IP隧道中進行傳輸；

VPN路由轉發表：在PE的各個埠定義VPN、在PE中配置所有的CE (用CE-id標識)，特定的RT屬性，PE中連線這些CE的物理埠、PE對收到的標記資訊要根據其所屬的RT來判定它屬於哪個VPN

基本結構：使用VRF來表示VPN customer，PE使用IGP向全域性路由表提供正常路由，PE使用 VRF-aware路由協議向VRF路由表提供VPN customer路由

控制平面處理流程：PE1收到一個IPv4路由更新，PE1將其翻譯成為VPNv4地址並以此構造 MP-iBGP UPDATE message，PE1使用MP-iBGP將這個路由更新發送到其它PE，PE2接收後檢查是否本地有VRF的 import RT被設定成 RT=1:2，PE2用正常方式將這個IPv4 prefix通告給CE2。

轉發平面處理流程：PE2 使用兩個MPLS標號，外層標號對應PE1的地址，通過LDP分配，內層標號對應VPN地址，通過BGP分配

Inter-AS L3VPN：VPN的各個節點分佈在不同的MPLS網路中

VPN的路由資訊如何在不同的AS之間釋出：VRF直連、使用直接相鄰的MP-BGP釋出VPN路由、基於RR的多跳MP-BGP路由釋出