MPLS L3 VPN的基本概念

小乔

思科知识点汇总贴
http://bbs.hh010.com/thread-529979-1-1.html
(出处: 鸿鹄论坛)
MPLS L3 VPN的基本概念

1.Site

在介绍VPN时经常会提到“Site”，Site（站点）的含义可以从下述几个方面理解：

①Site是指相互之间具备IP连通性的一组IP系统，并且，这组IP系统的IP连通性不需通过服务提供商网络实现；

②Site的划分是根据设备的拓扑关系，而不是地理位置，尽管在大多数情况下一个Site中的设备地理位置相邻；

③一个Site中的设备可以属于多个VPN，换言之，一个Site可以属于多个VPN；

④Site通过CE连接到服务提供商网络，一个Site可以包含多个CE，但一个CE只属于一个Site。

注：对于多个连接到同一服务提供商网络的Sites，通过制定策略，可以将它们划分为不同的集合（set），只有属于相同集合的Sites

之间才能通过服务提供商网络互访，这种集合就是VPN。

2.地址空间重叠

VPN是一种私有网络，不同的VPN独立管理自己使用的地址范围，也称为地址空间（Address Space）。不同VPN的地址空间可能会

在一定范围内重合，比如，VPN1和VPN2都使用了10.110.10.0/24网段的地址，这就发生了地址空间重叠（Overlapping Address

Spaces）。

3.VPN实例

在MPLS VPN中，不同VPN之间的路由隔离通过VPN实例（VPN-instance）实现。

PE为每个直接相连的Site建立并维护专门的VPN实例。VPN实例中包含对应Site的VPN成员关系和路由规则。如果一个Site中的

用户同时属于多个VPN，则该Site的VPN实例中将包括所有这些VPN的信息。

为保证VPN数据的独立性和安全性，PE上每个VPN实例都有相对独立的路由表和LFIB（Label Forwarding Information Base，标

签转发表）。

具体来说，VPN实例中的信息包括：标签转发表、IP路由表、与VPN实例绑定的接口以及VPN实例的管理信息。VPN实例的管理信

息包括RD（Route Distinguisher，路由标识符）、路由过滤策略、成员接口列表等。

4.VPN-IPv4地址

传统BGP无法正确处理地址空间重叠的VPN的路由。假设VPN1和VPN2都使用了10.110.10.0/24网段的地址，并各自发布了一条去

往此网段的路由，BGP将只会选择其中一条路由，从而导致去往另一个VPN的路由丢失。

PE路由器之间使用MP-BGP来发布VPN路由，并使用VPN-IPv4地址族来解决上述问题。VPN-IPv4地址共有12个字节，包括8字节

的RD和4字节的IPv4地址前缀，如下图所示。

PE从CE接收到普通IPv4路由后，需要将这些私网VPN路由发布给对端PE。私网路由的独立性是通过为这些路由附加RD实现的。

ISP可以独立地分配RD，但必须保证RD的全局唯一性。这样，即使来自不同服务提供商的VPN使用了同样的IPv4地址空间，PE路

由器也可以向各VPN发布不同的路由。

建议为PE上每个VPN实例配置专门的RD，以保证到达同一CE的路由都使用相同的RD。RD为0的VPN-IPv4地址相当于全局唯一的

IPv4地址。

RD的作用是添加到一个特定的IPv4前缀，使之成为全局唯一的VPN IPv4前缀。

RD或者是与自治系统号（ASN）相关的，在这种情况下，RD是由一个自治系统号和一个任意的数组成；或者是与IP地址相关的，在

这种情况下，RD是由一个IP地址和一个任意的数组成。

RD有三种格式，通过2字节的Type字段区分：
①Type为0时，Administrator子字段占2字节，Assigned number子字段占4字节，格式为：16bits自治系统号:32bits用户自定

义数字。例如：100:1

②Type为1时，Administrator子字段占4字节，Assigned number子字段占2字节，格式为：32bitsIPv4地址:16bits用户自定义

数字。例如：172.1.1.1:1

③Type为2时，Administrator子字段占4字节，Assigned number子字段占2字节，格式为：32bits自治系统号：16bits用户自定

义数字，其中的自治系统号最小值为65536。例如：65536:1

注：为保证RD的全局唯一性，建议不要将Administrator子字段的值设置为私有AS号或私有IP地址。

5.VPN Target属性

MPLS L3 VPN使用BGP扩展团体属性——VPN Target（也称为Route Target）来控制VPN路由信息的发布。它的本质是每个VRF表

达自己的路由取舍及喜好的方式。

①PE路由器上的VPN实例有两类VPN Target属性：

a)Export Target属性：在本地PE将从与自己直接相连的Site学到的VPN-IPv4路由发布给其它PE之前，为这些路由设置Export

Target属性（表示我发出的路由的属性）；

b)Import Target属性：PE在接收到其它PE路由器发布的VPN-IPv4路由时，检查其Export Target属性，只有当此属性与PE上

VPN实例的Import Target属性匹配时，才把路由加入到相应的VPN路由表中（表示我对哪些路由感兴趣）。

注：VPN Target属性定义了一条VPN-IPv4路由可以为哪些Site所接收，PE路由器可以接收哪些Site发送来的路由。当为一台PE设

备同时配置多个RT Import属性时，它们之间是“或”的关系。

②与RD类似，VPN Target也有三种格式：

a)16bits自治系统号:32bits用户自定义数字，例如：100:1。

b)32bits IPv4地址:16bits用户自定义数字，例如：172.1.1.1:1。

c)32bits自治系统号：16bits用户自定义数字，其中的自治系统号最小值为65536。例如：65536:1。

6.MP-BGP

MP-BGP（Multiprotocol extensions for BGP-4）在PE路由器之间传播VPN组成信息和路由。MP-BGP向下兼容，既可以支持传统

的IPv4地址族，又可以支持其他地址族（比如VPN-IPv4地址族）。使用MP-BGP既确保VPN的私网路由只在VPN内发布，又实现了

MPLS VPN成员间的通信。

7.路由策略（Routing Policy）

在通过入口、出口扩展团体来控制VPN路由发布的基础上，如果需要更精确地控制VPN路由的引入和发布，可以使用入方向或出方

向路由策略。

入方向路由策略根据路由的VPN Target属性进一步过滤可引入到VPN实例的路由，它可以拒绝接收引入列表中的团体选定的路由，

而出方向路由策略则可以拒绝发布输出列表中的团体选定的路由。VPN实例创建完成后，可以选择是否需要配置入方向或出方向路

由策略。

8.隧道策略（Tunneling Policy）

隧道策略用于选择给特定VPN实例的报文使用的隧道。隧道策略是可选配的，VPN实例创建完成后，就可以配置隧道策略。缺省情

况下，选择LSP做为隧道，不进行负载分担（负载分担条数为1）。另外，隧道策略只在同一AS域内生效。

q466265670

学习

IT小白888

谢谢

wjlovezzd

感谢楼主分享！

matt6116

感谢楼主分享！

xpc1990

初来乍到，谢谢分享

淼渺淼渺

感谢楼主分享