VPN基本原理知识介绍

VPN基本原理Page2前

言

本课程介绍MPLS

BGP

VPN的基本架构，从控制平面和数据平面两个方面介绍基本实现原理，并对其中涉及的基本概念做初步介绍。Page3培训目标

学完本课程后，您应该能：

掌握MPLS

BGP

VPN模型掌握MPLS

BGP

VPN中的基本概念掌握MPLS

BGP

VPN路由传递和标签分发掌握MPLS

BGP

VPN数据转发流程Page4VPN分类

Virtual

Private

NetworkOverlay

VPNPeer-to-Peer

VPNMPLS

BGP

VPNL2

VPNL3

VPNFRATMGREIPSecPage5MPLS

BGP

VPN网络结构VPNAMPLS

DomainPEPEPEPEPPPPCECECECECECECECE

VPNBVPNBVPNAVPNAVPNBVPNBVPNAMPLS

BGP

VPN

基本工作原理

路由信息发布

本地CE到入口PE路由信息交换入口PE到出口PE路由信息交换出口PE到出口CE路由信息交换

标签分发

公网标签的分发私网标签的分发

VPN报文转发

封装两层标签外层标签用于报文在公网上的转发内层标签用于指示报文到达哪个SitePage7如何解决同一PE上不同VPN用户地址空间重叠问题PEBPCEACECCEBCED公司B总部公司B分部11.11.11.0/30PEA

S3

.1S3

.211.11.11.4/30S0

.5S0

.610.1.5.0/24公司A总部10.1.6.0/24

公司A分部10.1.5.0/2410.1.8.0/24

PEA连接的公司A总部和公司B总部使用相同的IP地址空间VPNAVPNAVPNBVPNBMPLS

DomainPage8PEAVRF:

VPN

Routing

&

Forwarding

VRF

for

SiteAVRF

for

SiteC公网路由表CEACECCEBCED11.11.11.0/30S3

.211.11.11.4/30S0

.510.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24VPNAVPNAVPNBVPNBMPLS

Domain公司A总部

(SiteA)公司B总部

(SiteC)公司A分部

(SiteB)公司B分部

(SiteD)

L0:1.1.1.1PEA

S3

.1L0:3.3.3.3

PEB

S0

.6L0:2.2.2.2

PPEVPN-instance接口SitePEAvpnaS2SiteA（公司A总部）S3SiteX（公司A另一分部）vpnbS1SiteC（公司B总部）PEBvpnaS1SiteB（公司A分部）vpnbS3SiteD（公司B分部）Page9VRF和接口的绑定关系

VRF即VPN-instancePage10

PEA

VRF

for

SiteA（公司A总部）路由

转发表[PEA]display

ip

routing-table

vpn-instance

vpnaRouting

Tables:

vpnaDestinations

:

7Routes

:

7Destination/MaskProtoPreCostNextHopInterface10.1.1.0/3010.1.1.1/3210.1.1.2/32Direct

0Direct

0Direct

000010.1.1.1127.0.0.110.1.1.2Serial2InLoopBack0Serial210.1.2.0/3010.1.2.2/3210.1.5.0/2410.1.6.0/24BGPBGPBGPBGP25525525525500003.3.3.33.3.3.310.1.1.23.3.3.3Serial2Page11

PEA

VRF

for

SiteC

（公司B总部）路由

转发表[PEA]display

ip

routing-table

vpn-instance

vpnbRouting

Tables:

vpnb

Destinations

:

7

Routes

:

7Destination/Mask

10.1.3.0/30

10.1.3.1/32

10.1.3.2/32

10.1.4.0/30

10.1.4.2/32

10.1.5.0/24

10.1.8.0/24ProtoDirectDirectDirectBGPBGPBGPBGPPre000255255255255Cost0000000NextHop10.1.3.1127.0.0.110.1.3.23.3.3.33.3.3.310.1.3.23.3.3.3InterfaceSerial1InLoopBack0Serial1Serial1Page12PEA公网路由表<PEA>display

ip

routing-tableRouting

Tables:

PublicDestinations

:

9Routes

:

9Destination/Mask

1.1.1.1/32

2.2.2.2/32

3.3.3.3/32

11.11.11.0/30

11.11.11.1/32

11.11.11.2/32

11.11.11.4/30

127.0.0.0/8

127.0.0.1/32ProtoDirectOSPFOSPFDirectDirectDirectOSPFDirectDirectPre010100001000Cost015633125000312400NextHop127.0.0.111.11.11.211.11.11.211.11.11.1127.0.0.111.11.11.211.11.11.2127.0.0.1127.0.0.1InterfaceInLoopBack0Serial3Serial3Serial3InLoopBack0Serial3Serial3InLoopBack0InLoopBack0Page13如何区分不同的VPN中相同的IP地址前缀PEBPCEACECCEBCED公司A总部公司A分部公司B总部公司B分部11.11.11.0/30PEA

S3

.1S3

.211.11.11.4/30S0

.5S0

.610.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24

公司A总部和公司B总部的路由信息通过MP-BGP传递到PEBVPNAVPNAVPNBVPNBMPLS

DomainVPNv4

AddressPage14RD：Route

Distinguisher

RD：Route

Distinguisher

64bits前缀

VPNv4

Address

由64bit的RD加上IPv4地址构成RD唯一，VPNV4地址唯一Route

DistinguisherIPv4

地址VPNV4

Address=+Page15对端PE如何判断将VPNV4路由注入到指定VRF中PEBCEACECCEBCED11.11.11.0/30PEA

S3

.111.11.11.4/30S0

.5S0

.610.1.5.0/2410.1.6.0/2410.1.5.0/2410.1.8.0/24

VPNBVPNBMPLS

DomainCEE

公司C

（SiteE）

PS3

.2CEA同时可以与VPNA和VPNC通信

VPNC10.1.9.0/24公司A总部

(SiteA)

VPNA

VPNC公司B总部

(SiteC)公司A分部

(SiteB)

VPNA公司B分部

(SiteD)Page16PEA

VRF

for

SiteA

（公司A总部）路由转发表[PEA]display

ip

routing-table

vpn-instance

vpnaRouting

Tables:

vpna

Destinations

:

11

Routes

:

11Destination/Mask

10.1.1.0/30

10.1.1.1/32

10.1.1.2/32

10.1.2.0/30

10.1.2.2/32

10.1.5.0/24

10.1.5.0/30

10.1.5.1/32

10.1.5.2/32

10.1.6.0/24

10.1.9.0/24ProtoDirectDirectDirectBGPBGPBGPBGPBGPBGPBGPBGPPre000255255255255255255255255Cost00000000000NextHop10.1.1.1127.0.0.110.1.1.23.3.3.33.3.3.310.1.1.210.1.5.1127.0.0.110.1.5.23.3.3.310.1.5.2InterfaceSerial2InLoopBack0Serial2Serial2Serial0InLoopBack0Serial0Serial0Page17PEA

VRF

for

SiteE

（公司C）路由转发表[PEA]display

ip

routing-table

vpn-instance

vpncRouting

Tables:

vpnc

Destinations

:

8

Routes

:

8Destination/Mask

10.1.1.0/30

10.1.1.1/32

10.1.1.2/32

10.1.5.0/24

10.1.5.0/30

10.1.5.1/32

10.1.5.2/32

10.1.9.0/24ProtoBGPBGPBGPBGPDirectDirectDirect

BGPPre255255255255000

255Cost0000000

0NextHop10.1.1.1127.0.0.110.1.1.210.1.1.210.1.5.1127.0.0.110.1.5.2

10.1.5.2InterfaceSerial2InLoopBack0Serial2Serial2Serial0InLoopBack0Serial0

Serial0Page18PEA

VRF

for

SiteC

（公司B总部）路由转发表<PEA>display

ip

routing-table

vpn-instance

vpnbRouting

Tables:

vpnb

Destinations

:

7

Routes

:

7Destination/Mask

10.1.3.0/30

10.1.3.1/32

10.1.3.2/32

10.1.4.0/30

10.1.4.2/32

10.1.5.0/24

10.1.8.0/24ProtoDirectDirectDirectBGPBGPBGPBGPPre000255255255255Cost0000000NextHop10.1.3.1127.0.0.110.1.3.23.3.3.33.3.3.310.1.3.23.3.3.3InterfaceSerial1InLoopBack0Serial1Serial1PEVPN-instanceExportRouteTargetImportRouteTargetPEAvpna100:1300:1100:1300:1vpnb200:1200:1vpnc300:1300:1PEBvpna100:1100:1vpnb200:1200:1Route

Target

Route

Target为路由的扩展属性

Export

Route

TargetImport

Route

TargetPage20CECMPLS

L3

VPN

CE与PE之间路由信息的交换

10.1.5.0/24

CEA

公司A总部(SiteA)

VPNA10.1.5.0/24

公司B总部

(SiteC)

VPNBCE与PE之间路由交换

BGPOSPF

IS-ISRIPv2StaticPEA

MPLS

DomainPage21MP-IBGP

交换路由信息以及私网标签分配过程PEAPEBPCEB10.1.5.0/24

CEA10.1.6.0/24VPNAVPNA公司A总部

(SiteA)公司A分部

(SiteB)BGP,OSPF,RIPv2update

for10.1.5.0/24,NH=CEA

MPLS

DomainVPNV4

Update100:1:10.1.5.0/24（RD100：1+IPv4）NH=PEASOO=SiteA

RT=100:1Label=15362Page22MP-BGP路由注入VRF过程PEAPEBPCEACEB10.1.5.0/2410.1.6.0/24VPNAVPNA公司A总部

(SiteA)公司A分部

(SiteB)BGP,OSPF,RIPv2update

for10.1.5.0/24,NH=CEA

MPLS

DomainVPNV4

Update100:1:10.1.5.0/24（RD100：1+IPv4）NH=PEASOO=SiteA

RT=100:1Label=15362VPN-v4

路由变为IPV4路由，并且根据本地VRF的importRT属性加入到相应的VRF中，私网标签保留，留做转发时使用。再由本VRF的路由协议引入并转发给相应的CEPag