mpls vpn为什么要配bgp?

2020-05-12 16:48:10 云杰通信 143

mpls vpn为啥要配bgp?

  随着企业规模日益扩张,客户分布日益广泛,合作伙伴日益增多, 基于固定物理地点的专线连接方式的传统企业网,逐渐难以适应企业的需求。

  新形势对企业网提出了更高的需求,主要体现在网络的灵活性、安全性、经济性和扩展性等方面。在这样的背景下VPN(Virtual Private Network,虚拟专用网络)以其独具特色的优势赢得了 越来越多企业的青睐,令企业可以较少地关注网络的运维,可将更多的精力专注于商业目标的实现。

  在VPN技术的发展过程中涌现出大量的VPN技术,如BGP MPLS VPN、 VR VPN、VPLS VPN、L2TP VPN、以及IPsec VPN等。随着理论研究的深入、设备制造商的研发以及运营商的不懈努力,BGP MPLS VPN技术已经成为业界认可的主流运营商VPN解决方案。

  对于构建VPN来说网络,隧道技术是关键,网络隧道指的是利用一种网络协议来传输另一种网络协议的技术。

  网络隧道技术涉及三种网络协议:网络隧道协议、支撑隧道协议的承载协议和隧道协议所承 载的被承载协议。

  MPLS VPN技术是一种以MPLS协议作为网络隧道协议的VPN技术,MPLS协议还可以承载多种协议,包括IP、IPX等网络 层协议,MPLS协议又可以被多种协议所承载,如以太网、ATM以及帧中继等。

  在MPLS VPN中,主要包含PE(Pro-vider Edge Device,运营商 边缘设备)、P(Provider Device,运营商设备)和CE(Cus-tomer Edge Device,用户边缘设备)三种设备,通常均为路由器。

  MPLS VPN通过多协议扩展BGP承载携带标签的VPN IPv4路由信 息。每个VRF配置相应策略来规定一个VPN可以接收那些站点来的路由 信息,可以向外发布那些站点的路由信息。每个PE根据BGP扩展发布 的信息进行路由计算,生成并维护VPN路由表。 MPLS VPN使用MPLS LSP作为隧道穿越运营商网络,要求整个运营 商网络支持MPLS,对于早期建设的IP骨干网运营商来说非常困难。一 种可行的解决方案是利用IP隧道协议(如GRE、IPSec等)来替代MPLS LSP,这种方案中不要求P节点支持MPLS,运营商只需改造边缘PE节点即可。 MPLS VPN跨域中的问题。

  MPLS的体系结构中有一个重要的假设:MPLS域与路由的自治系统域是重叠的。但实际组网中,例如运营商网络以一个省为一个自治系统,要求跨省提供MPLS VPN业务;又如运营商之间相互合作,特别是国际业务与国外运营商之间的合作,经常有MPLS域跨越多个自治系统的情况。当MPLS域跨越多个自治系统时,就会出现跨域问题。对于BGP MPLS VPN来说,跨域问题有两个方面:首先是一个技术问题,如何 把VPN路由和VPN标签扩散到另一个AS;其次是管理问题:一般不允许跨域建立LSP。

  现有的跨域解决方案主要有以下三种方式:

  VRF-to-VRF跨域:在ASBR(AS Border Router,自治域边界路由器)上为每 个VPN创建VRF,在每个VRF中,把对方的ASBR看作CE。这样,报文在 每个域中是两层标签转发,在ASBR之间则是IP转发。这种方法的优点是域间不需要运行MPLS,不需要跨域建立LSP,良好地解决了管理问 题。其缺点是每个跨域的VPN需要在ASBR上创建VRF,同时还要占用一 个子接口,扩展性不足。

  MP-EBGP跨域:通过直接相连的ASBR传播VPN路由,并且为VPN路 由分配标签。这种方法的优点是不需要为每个VPN分配子接口;缺点 是ASBR也需要维护VPN路由,并且跨域需要建立LSP。

  Multi-Hop MP-EBGP跨域:这种方式在跨域的VPN入口/出口PE 之间直接建立Multi-Hop MP-EBGP对等体,通过这种连接传递 VPN路由信息。这种方法不占用ASBR子接口,也不需要维护VPN路由, 但跨域建立了LSP,需要相互信任。

  从理论上讲,MPLS VPN采用路由隔离、地址隔离和信息隐藏等手段抗攻击和标记欺骗,达到了FR/ATM级别的安全性。2003年前, 但是由于缺乏大量的实际运营例证,以及人们谈到IP就觉得不安全的 固有惯性,MPLS VPN的安全性还是遭到很多置疑。但随着应用的逐 步广泛,同时很多客户对低成本、大带宽、便于扩展的VPN的需求越 来越明显,MPLS VPN逐渐成为一种基本的数据业务。