MPLS VPN隧道建立过程与路由传递过程

　　为了更好地完成2个网站中间超越外网地址通讯，并保护私网的安全，大家一般选用专线来完成私网的连接，因为专线的缺陷，也伴随着重复使用技术的出现，一些新的共享带宽技术慢慢替代了专线。

　　新的共享带宽的技术有帧中继、X.25等，这种技术实际上是一种逻辑性的防护技术，就仿佛在2个网站中间超越公共网络创建了专门的隧道施工，网站根据隧道施工完成通讯。这种技术提升了带宽利用率，价格相对于专线较为划算，组成了早上Virtual Private Network网络的主要技术。

　　CE：客户边沿机器设备;直接与运营商网络相接，一般状况下CE认知不上Virtual Private Network的存在，也也不需要适用MPLS。

　　PE：服务项目提供商边沿机器设备，是运营商的边界机器设备，与CE直接相接。在MPLS网络中，对Virtual Private Network的全部解决都出现在PE上。

　　P：服务项目提供商的技术骨干机器设备，不与CE直接相接，P机器设备只需要具有基础的MPLS分享能力就可以了，不维护保养Virtual Private Network信息内容。

　　既可以在CE机器设备上创建隧道施工，也可以在PE机器设备上创建隧道施工

　　在CE与CE中间创建隧道施工，并直接传送路由信息内容，路由协议书数据信息一直在顾客机器设备中间互换，运营商对顾客网络一无所知。不一样的顾客详细地址空间可以重合，安全性很好;实质是一种静态数据Virtual Private Network，没法融入即时网络转变，当有增加网站时，需要手工制作创建增加网站与全部网站的连接，配置繁杂。

　　在PE上为每一个Virtual Private Network创建相应的隧道施工，路由信息内容在PE与PE中间传送，外网地址中的P机器设备不清楚私网的路由信息内容。Virtual Private Network的构建和维护保养由运营商进行，安全性不错;不一样的Virtual Private Network客户不共享同样的详细地址空间。

　　特性：顾客路由协议书一直在顾客机器设备中间互换，而运营商对顾客网结构一无所知。

　　典型性的协议书：二层&—&—帧中继;三层&—&—GRE与IPSec;应用层&—&—SSL Virtual Private Network。

　　全部Virtual Private Network客户的CE机器设备都连接到同一台PE上，PE与差异的CE中间运作不一样的路由协议书(或同样合同的不一样过程)。由始发站PE将路由发送至公在网上，在协调器的PE上把路由过虑后再发给对应的CE机器设备。

　　Peer-to-Peer是在CE与PE中间互换私网路由信息内容，随后由PE将私网路由泄漏到公在网上，因此需要经过严谨的路由过虑和选取体制来控制私网路由的散播。

　　特性：在CE机器设备与PE机器设备中间互换私网信息内容，由PE机器设备将私网信息内容在运营商网络中散播，完成了Virtual Private Network布署及路由公布的动态。

　　图中为共享PE的接入方法，也可以选用专用型PE的接入方法。运营商为每一个Virtual Private Network独立提前准备一台PE机器设备，PE和CE中间可以运作随意的路由协议书，与别的Virtual Private Network不相干。

　　特性：不用配置ACL，配置复杂性减少;可是成本过度价格昂贵，并且沒有解决Virtual Private Network顾客详细地址重合问题。

　　2个顾客的Virtual Private Network存在同样的详细地址空间，传统式Virtual Private Network网络结构中的设施没法区别顾客重合路由信息内容。而MPLS Virtual Private Network解决了传统式Virtual Private Network技术的本身缺点&—&—详细地址空间重合问题。

　　主要问题全是与路由有关的特性，大家再考虑到BGP有着的众多优势，对于此事产生构思：公共网络上的Virtual Private Network路由总数巨大，BGP是唯一适用很多路由的协议书;BGP可以额外在路由后边的一切信息内容，并做为可选特性传送给别的隔壁邻居。

　　(1)当地路由矛盾问题上，可以根据在同一台PE机器设备上为不一样的Virtual Private Network创建直接的路由，那样矛盾的路由就被防护起来。?

　　(2)在路由传送流程中，为不一样的Virtual Private Network路由加上不一样的标志，以表差别;这种标志做为BGP特性进行传送。

　　(3)因为IP报文格式不能变更，可以在IP报头前面一些信息内容。由始发站路由器打上标识，接受路由器在接收这种标注的数据文件时，依据标识发送给正确的Virtual Private Network。

　　<1>当地路由矛盾<!--1-->

　　专用型方法：

　　专用型PE机器设备分工明确，每一个PE机器设备只储存自身的Virtual Private Network路由，P机器设备只储存外网地址路由。因而解决共享PE机器设备上详细地址空间重合的基本思路是：将专用型PE机器设备与P机器设备的功能在同一台PE机器设备上进行并完成Virtual Private Network路由的防护。

　　共享方法：

　　在共享PE机器设备上使用VRF技术将重合的路由防护：每一个Virtual Private Network的路由放进自身相应的Virtual Private Network Routing Table中，就好像专用型PE一样，这一Routing Table 就称之为VRF，即Virtual Private Network路由转发布。每一个VRF都相匹配一个Virtual Private Network instance，Virtual Private Network客户相应的插口关联到Virtual Private Network instance中。PE机器设备在维护保养多个Virtual Private Network Routing Table时，与此同时还维护保养一个外网地址的路由表。

　　<2>网络传送中区别矛盾路由<!--2-->

　　将Virtual Private Network路由路由公布到全局性路由表以前，使用一个全局性唯一的标志和路由关联，以区别矛盾的私网路由，这一标志称之为RD值(Route Distinguisher)，由8字节数构成，配置时同一个PE机器设备上分派给每一个Virtual Private Network的RD务必唯一。RD用以区别使用同样作为前缀的IPV4详细地址，提升了RD值的IPV4详细地址称之为Virtual Private Networkv4详细地址。

　　运营商选用BGP协议书做为安装Virtual Private Network路由的协议书，并将BGP协议书进行了拓展，称之为MP-BGP。PE从CE接受到顾客的的IPv4私网路由后，将顾客私网路由加上各种各样标志信息内容后变成Virtual Private Networkv4路由放进MP-BGP的Virtual Private Networkv4路由表格中，并根据MP-BGP协议书在公在网上传送。

　　<3>路由的引进问题<!--3-->

　　各分部1和各分部2中存在1.1/32和2.1/32的私网地址，企业期待完成各分部只有与总公司通讯，各分部中间不可以相互通信;各分部1使用Virtual Private Network RD数值1：1，各分部2的Virtual Private Network RD数值2:2。可是使用RD解决路由引进问题时，会出现问题，总公司的RD值设定为多大呢?RD值在当地上是唯一的，而且只有配置一个，设定为是多少也不太适合。

　　解决：

　　RT特性用以将路由正确引进Virtual Private Network，有两大类Virtual Private Network target特性，import target和export target，各自用以路由的导出来与导进;RT封裝在BGP的拓展Community特性中，在路由传送中做为可选特性进行传送;Export target：本端路由在导出来VRF，变化为Virtual Private Networkv4路由时，标识该特性，Import target：对端接到路由时，查验其Export Target特性，当此特性与PE上某一Virtual Private Network案例的Import target配对时，PE就把他添加到该Virtual Private Network案例中。

　　分派给各分部1的export target为1:1，import target为3:3;各分部2的export target为2:2，import target为3:3;总公司的export target为3:3，import target为1:1，2:2。那样PE2接到对端PE1推送的Virtual Private Networkv4的路由后，查验其export target，那样路由便会被引进总公司的VRF。

　　优化：

　　使用RT完成路由的正确引进标准：本端export target=对端import target，本端import target=对端export target。

　　全部各分部使用的import target为3:12，export target为12:3;而总公司的值恰好相反，这就能完成各分部与总公司通讯的要求。

　　<4>数据信息分享流程中的矛盾路由的搜索<!--4-->

　　由于数据文件沒有带着一切标志，因此在ICMP的数据文件抵达PE1机器设备时，PE1并不了解该搜索哪一个Virtual Private Network的路由表寻找正确的目标详细地址。

　　解决：

　　1、在数据文件中提升标志信息内容，而且使用RD做为区别数据文件隶属Virtual Private Network的标志符，数据信息分享时也带上RD信息内容。缺陷是因为RD由8字节构成，附加扩大数据文件，造成分享高效率减少。

　　2、依靠外网地址中早已执行的MPLS协议书创建的标识隧道施工，选用标识做为数据文件正确分享的标志，MPLS适用标识嵌入，可以将数据文件隶属Virtual Private Network的标识封裝在外网地址标识内。

　　Outer MPLS Label在MPLS Virtual Private Network中被称作外网地址标识，用以MPLS网络中分享数据信息。一般外网地址标识会在抵达PE机器设备时已被最后第二跳剥去，露出Inner Label。Inner MPLS Label在MPLS Virtual Private Network中被称作私网标识，用以将数据信息正确发送至对应的Virtual Private Network中，PE借助Inner Label区别数据文件属于哪一个Virtual Private Network。

　　MPLS Virtual Private Network路由传送全过程：

　　(1)CE与PE中间的路由互换;

　　PE与CE中间可以根据静态数据路由协议书互换路由信息内容，也可以根据动态性路由协议书(如：OSPF、ISIS、BGP等)互换路由信息内容。

　　(2)VRF路由引入MP-BGP的全过程;

　　VRF中的IPv4路由被加上上RD，RT与标识等信息内容变成Virtual Private Networkv4路由方入到MP-BGP的路由表格中，而且根据MP-BGP协议书在PE机器设备中间互换路由信息内容。

　　(3)外网地址标识的配置全过程;

　　MPLS协议书在运营商网络分派外网地址标识，创建标识隧道施工，完成私网数据信息在公在网上的分享。PE中间运转的MP-BGP协议书为Virtual Private Network 路由分派私网标识，PE机器设备依据私网标识将数据信息正确发送给相对应的Virtual Private Network。

　　(4)MP-BGP路由引入VRF的全过程;

　　PE2在读取到PE1推送的Virtual Private Networkv4路由后将查验路由的拓展团队特性将带上Export Target值与本端Virtual Private Network的import target值较为，标值同样则将路由引进Virtual Private Network路由表，完成路由的正确导进。

　　MPLS Virtual Private Network的信息分享全过程：

　　(1)CE机器设备到PE机器设备的信息分享;

　　数据信息从CE4发送给PE2，在PE2机器设备上需要搜索Virtual Private Network2的路由表，确定数据信息进行标识分享后，在搜索下一跳与出插口，依据分派的标识进行MPLS的封裝。

　　(2)外网地址机器设备上的信息分享;

　　数据文件在公在网上分享时根据MPLS协议书创建好的标识隧道施工将数据信息报文格式分享到PE1。分享流程中只更改外网地址标识。

　　注：PE2接到Virtual Private Network客户的数据文件后，封裝上MPLS的标识，将私网数据信息根据MPLS创建的标识隧道施工进行分享，PE2上数据文件封裝的外网地址标识为1030，转至P机器设备后，搜索LFIB，进行标识为1030的数据文件，针对出标识为3，将要外网地址标识脱离，将信息发送给PE1，PE1接到的仅为里层私网标识的数据文件。

　　(3)PE机器设备到CE机器设备的信息分享。

　　PE1接到脱离外网地址标识的数据文件后，依据私网标识搜索分享数据文件的下一跳，将数据文件正确发给相对应Virtual Private Network顾客。这儿留意数据信息的发送是双边的，可是全过程相近，这儿就不再过多阐释。

微云网络做为国内著名的云服务器综合性解决方案提供商，有着包含数据中心专线、互联网技术专线、MPLS专线、云专线及其SD-WAN以内的多种多样产品，可为您提供技术专业、灵便、多元性的专线及SD-WAN组网方案解决方案。详细信息咨询在线客服400-028-9798，官方网站http://www.kd010.com/。