组网架构
/1_Terms_and_Fundamentals/pasted_image.png)
基本的 MPLS VPN 网络架构由三部分组成:
1)CE(Customer Edge):用户网络边缘设备,任何设备,有接口直接与运营商网络相连。通常 CE 感知不到 VPN 的存在,也不需要支持 MPLS 协议;
2)PE(Provider Edge):运营商边缘路由器,是运营商网络的边缘设备,与 CE 直接相连。在 MPLS 网络中,对 VPN 的所有处理都发生在 PE 上,对 PE 性能要求较高;
3)P(Provider):运营商网络的骨干路由器,不与 CE 直接相连。P 设备只需要具备基本 MPLS 转发能力,不维护 VPN 相关信息;
Site
Site(站点)就是 MPLS VPN 的用户,由 CE 和其他用户设备构成。注意:Site 也有可能仅为一台主机的情况,此时该主机就是 CE 设备。我们学习的 Site 是一个或多个子网,用路由器或交换机作为 CE 的情况;
Site 的含义可以从下述几个方面理解:
1)站点是指相互之间具备 IP 连通性的一组 IP 系统,并且这组 IP 系统的 IP 连通性不需通过运营商网络实现;
2)站点的划分是根据设备的拓扑关系,而非地理位置。如图所示,公司 A 的 X 省网络和公司 A 的 Y 省网络需要通过运营商的骨干网进行互联,所以它们被划分为两个站点。若在当前 X 省网络和 Y 省网络的 CE 之间增加一条物理专线,不需要通过运营商网络就可以互通,那么这两张网络就是一个站点;
Site 与 VPN 的关系:
1)对于多个连接到同一服务提供商网络的站点,通过制定策略,可将它们划分为不同的集合,只有属于相同集合的站点间才能通过服务提供商网络互访,该集合就是 VPN;
2)一个 Site 中的设备可以属于多个 VPN,换言之,一个 Site 可以属于多个 VPN;
技术架构
MPLS VPN 不是单一的一种 VPN 技术,是多种技术结合的综合解决方案,主要包含下列技术:
/1_Terms_and_Fundamentals/pasted_image001.png)
1)路由协议:静态路由、IGP、BGP,负责 PE 与 CE 之间的路由信息交换;
2)MP-BGP:负责在 PE 与 PE 间传递站点内的路由信息;
3)LDP:负责 PE 与 PE 间的隧道建立;
4)VRF:负责 PE 的 VPN 用户管理;
组网形态(组网方案,常见组网)
根据 VPN 用户的需求不同,可采用以下几种常见的组网方案:
Intranet
特征:同个 VPN 的所有用户形成闭合用户群,同个 VPN 站点之间可以互访,不同 VPN 站点间不能互访;
场景:Intranet 组网是最简单也是最典型的 MPLS VPN 组网方案,我们将基于该组网方案对 MPLS VPN 技术原理进行学习;
/1_Terms_and_Fundamentals/pasted_image002.png)
本例中有四个CE站点分别属于用户X和Y,要求相同用户的站点可以互访,不同用户站点无法互访。
要实现用户X的站点A和B的互访有两个阶段:路由交互和数据转发。
Extranet
特征:适用于同个 VPN 用户希望提供部分本 VPN 的站点资源给其他 VPN 的用户访问的场景;
Hub-spoke
特征:如果希望在 VPN 中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行,可采用 Hub&Spoke 组网方案;
VRF, RD
VRF RD 加入 BGP:Route 将增加 RD;加入 ERT;分配标签(内层);