MPLS/VPN基本原理及配置

IP包在MPLS网络中转发过程

1．MPLS入口路由器根据目的地址查找路由表。

如图5例，假设一目的地址为211.91.168.0/24的IP包到达路由器A。此时路由器A将查找其路由表，发现该路由下一跳为路由器B。

2．将该IP包打上标签，转发给下一跳路由器。

上例中，路由器A将目的地址为211.91.168.0/24的IP包打上标签20，转发给其下一跳路由器B。

3．下一跳路由器查找其转发表，替换标签，继续转发。

上例中，当打有标签的IP包到达B路由器时，路由器不再根据目的地址查找路由表了，而是根据标签查找标签转发表。从A来的出站标签对应于B的入站标签，也就是B通告给A的标签。B路由器通过标签替换，将其入站标签替换成出站标签，即用标签30替换掉标签20，然后转发给其下一跳路由器C。C路由器同样进行标签交换，将带有标签40的IP包送给D路由器。

4．出口路由器查找其转发表，发现其就是目的地网络，弹出标签，送给相应端口处理。

上例中D路由器将查找标签转发表，发现该IP包目的地为自己，则弹出标签。标签交换过程结束。

VPN在MPLS中的实现

RFC2547bis定义了允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。RFC2547bis也被称为BGP/MPLSVPN，因为BGP被用来在提供商骨干网中发布VPN路由信息，而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。首先对MPLS VPN中用到的常用术语作一说明，然后介绍一下MPLS VPN实现的基本原理及常见组网。

MPLS/VPN中常用术语

PE路由器：又称作提供商边缘路由器。该路由器负责用户端网络到提供商网络的接入。

P路由器：又称提供商路由器。P路由器是提供商网络中不连接任何CE设备的路由器。

CE路由器：又称用户边缘设备。CE路由器通过连接至一个或多个提供商边缘（PE）路由器的数据链路为用户提供对服务提供商的接入。

VPN-IPV4地址：VPN用户通常使用私有地址来规划自己的网络。当不同的VPN用户使用相同的私有地址规划时就会出现路由查找问题。

路由区分符RD：路由区分符RD即VPN-Ipv4地址的前8字节，用来区分不同VPN中的相同私网地址。

路由目标RT：RT为MP-BGP中的扩展共同体属性之一。路由目标属性定义了PE路由器发布路由的一组站点（VRF）的集合。PE路由器使用这一属性来对输入远端路由到其VRF进行约束。

VPN路由转发表（VRF）：每个PE路由器为其直连的站点维持一个VRF。每个用户链接被映射至一个特定的VRF。每个VRF与PE路由器的一个端口相关联。

VPN在MPLS网络中的实现

网络拓扑描述

假设一个服务提供商具有一个IP骨干网，为不同的企业提供BGP/MPLSVPN服务。

网络中有3个PE路由器，连接到4个不同的用户站点。

图6中，CE1与CE3属同一VPN1，CE2与CE4同属另一VPN2。站点1（CE1）中的任何主机可以与站点3（CE3）中的任何主机进行通信。

站点2（CE2）中的任何主机可以与站点4（CE4）中的任何主机进行通信。

图6  网络拓扑

图6中，CE1与CE3属同一VPN1，CE2与CE4同属另一VPN2。站点1（CE1）中的任何主机可以与站点3（CE3）中的任何主机进行通信。站点2（CE2）中的任何主机可以与站点4（CE4）中的任何主机进行通信。

路由学习过程

在一个用户站点能够将VPN业务转发到远端站点之前，必须将VPN路由信息从每个用户站点通过骨干网转发至其他用户站点。PE路由器从其直连的CE路由器学习路由，入口PE通过骨干网向出口PE发布路由，出口PE路由器将路由发布至CE。

标签转发过程

在网络中，只有PE及P路由器运行标签转发协议，

图6中CE1与CE3客户属于同一VPN。当CE1的客户需要向CE3客户发送信息时：

CE1路由器查找路由表，将数据包发给PE1路由器；

PE1路由器发现CE1属于VRF1，查找VRF1表，找到目的地址下一跳为MP-BGP对等体路由器PE2；

PE1路由器查找路由表知到达对等体PE2的直连下一跳为P1路由器；

给该数据包分配标签，将该数据包转发给P1路由器；

该数据包通过中间P路由器标签转发，到达PE2；

PE2弹出标签。查找VRF1路由，将该数据包转发给CE3；

到达CE3客户。

MPLS/VPN的几种典型组网

MESH方式

图7 典型的组网图