BGP-MPLS--江湖恩仇录

《BGP-MPLS--江湖恩仇录》由会员分享，可在线阅读，更多相关《BGP-MPLS--江湖恩仇录（87页珍藏版）》请在装配图网上搜索。

1、1BGP/MPLS VPNBGP/MPLS VPN江湖恩仇录华为技术有限公司数据通信技术支持部华为技术有限公司数据通信技术支持部华为技术有限公司数据通信技术支持部华为技术有限公司数据通信技术支持部2021/7/12帮派帮派MPLSVPNMP-BGPBGP/MPLS VPN2021/7/13MPLS物种起源物种起源IP的危机的危机在在90年代中期，当时路由器技术的发展远远滞后于网络的发展速度与年代中期，当时路由器技术的发展远远滞后于网络的发展速度与规模，主要表现在转发效率低下、无法提供规模，主要表现在转发效率低下、无法提供QOS保证。原因是：当时保证。原因是：当时路由查找算法使用最长匹配原则，必

2、须使用软件查找；而路由查找算法使用最长匹配原则，必须使用软件查找；而IP的本质就的本质就是是“只关心过程，不注重结果只关心过程，不注重结果”的的“尽力而为尽力而为”。当时江湖上流行一。当时江湖上流行一种论调：过于简单的种论调：过于简单的IP技术无法承载网络的未来，基于技术无法承载网络的未来，基于IP技术的因特技术的因特网必将在几年之后崩溃。网必将在几年之后崩溃。ATM的野心的野心此时此时ATM跳了出来，欲收编所有帮派，一统武林。不幸的是：信奉唯跳了出来，欲收编所有帮派，一统武林。不幸的是：信奉唯美主义的美主义的ATM走向了另一个极端，过于复杂的心法与招式导致没有任走向了另一个极端，过于复杂的心

3、法与招式导致没有任何厂商能够完全修练成功，而且无法与何厂商能够完全修练成功，而且无法与IP很好的融合。在与很好的融合。在与IP的大决的大决战中最终落败，战中最终落败，ATM只能寄人篱下，沦落到作为只能寄人篱下，沦落到作为IP链路层的地步。链路层的地步。2021/7/14MPLS物种起源物种起源ATM技术虽然没有成功，但其中的几点心法口诀，却属创新：技术虽然没有成功，但其中的几点心法口诀，却属创新：屏弃了繁琐的路由查找，改为简单快速的标签交换屏弃了繁琐的路由查找，改为简单快速的标签交换将具有全局意义的路由表改为只有本地意义的标签表将具有全局意义的路由表改为只有本地意义的标签表这些都可以大大提高一

4、台路由器的转发功力。这些都可以大大提高一台路由器的转发功力。MPLS的创始人的创始人“label大师大师”充分吸取了充分吸取了ATM的精华，但也同时认识的精华，但也同时认识到到IP为江湖第一大帮派，无法取而代之。遂主动与之修好，甘当为江湖第一大帮派，无法取而代之。遂主动与之修好，甘当IP的的承载层，但为了与一般的链路层小帮有所区别，将自己定位在第承载层，但为了与一般的链路层小帮有所区别，将自己定位在第2.5层层的位置。的位置。“label大师大师”本属于八面玲珑之人，为了不得罪其他帮派，本属于八面玲珑之人，为了不得罪其他帮派，宣称本帮是宣称本帮是“multiprotocol”，来者不拒，也可以

5、承载其他帮派的报，来者不拒，也可以承载其他帮派的报文。在经过一年多的招兵买马、上下打点之后，于文。在经过一年多的招兵买马、上下打点之后，于1997年的武林大会年的武林大会上，正式宣布本帮成立，并命名为上，正式宣布本帮成立，并命名为MPLS（MultiProtocol label Switch）2021/7/15MPLS包头结构包头结构通常，通常，MPLSMPLS包头有包头有32Bit32Bit，其中有：，其中有：20Bit20Bit用作标签（用作标签（LabelLabel）3 3个个BitBit的的EXP,EXP,协议中没有明确，通常用作协议中没有明确，通常用作COSCOS1 1个个BitBi

6、t的的S,S,用于标识是否是栈底，表明用于标识是否是栈底，表明MPLSMPLS的标签可以嵌套。的标签可以嵌套。8 8个个BitBit的的TTLTTL理论上，标记栈可以无限嵌套，从而提供无限的业务支持能力。理论上，标记栈可以无限嵌套，从而提供无限的业务支持能力。这是这是MPLSMPLS技术最大的魅力所在。技术最大的魅力所在。2021/7/16MPLS术语术语标签（标签（LabelLabel）是一个比较短的，定长的，通常只具有局部意义的标识，这些标签通常位于数据链路是一个比较短的，定长的，通常只具有局部意义的标识，这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间，标签通过绑定过程同层的

7、数据链路层封装头和三层数据包之间，标签通过绑定过程同FECFEC相映射。相映射。FECFEC：Forwarding Equivalence ClassForwarding Equivalence Class，FECFEC（转发等价类），是在转发过程中以等价的方式（转发等价类），是在转发过程中以等价的方式处理的一组数据分组，处理的一组数据分组，MPLS MPLS创始人在秘笈本来规定：可以通过地址、隧道、创始人在秘笈本来规定：可以通过地址、隧道、COSCOS等来等来标识创建标识创建FECFEC，只可惜后辈弟子大多资质愚钝，不能理解其中的精妙之处，所以我们现，只可惜后辈弟子大多资质愚钝，不能理解其中

8、的精妙之处，所以我们现在看到的在看到的MPLSMPLS中只是一条路由对应一个中只是一条路由对应一个FECFEC。通常在一台设备上，对一个。通常在一台设备上，对一个FECFEC分配相同分配相同的标签。的标签。LSPLSP：标签交换通道。一个标签交换通道。一个FECFEC的数据流，在不同的节点被赋予确定的标签，数据转发按照这的数据流，在不同的节点被赋予确定的标签，数据转发按照这些标签进行。数据流所走的路径就是些标签进行。数据流所走的路径就是LSPLSP。LSRLSR：Label Switching RouterLabel Switching Router，LSRLSR是是MPLSMPLS的网络的核

9、心交换机，它提供标签交换的网络的核心交换机，它提供标签交换和标签分发功能。和标签分发功能。LER:LER:Label Switching Edge Router,Label Switching Edge Router,在在MPLSMPLS的网络边缘，进入到的网络边缘，进入到MPLSMPLS网络的流量由网络的流量由LERLER分为分为不同的不同的FECFEC，并为这些，并为这些FECFEC请求相应的标签。它提供流量分类和标签的映射、标签的移请求相应的标签。它提供流量分类和标签的映射、标签的移除功能。除功能。2021/7/17MPLS北斗七星阵法图北斗七星阵法图该阵法分为内外两层，外层由功力该阵法

10、分为内外两层，外层由功力高强的弟子担纲（至少是个堂主高强的弟子担纲（至少是个堂主（LERLER），在），在IPIP报文冲阵时负责接收报文冲阵时负责接收IPIP报文，查找标签转发表，给报文，查找标签转发表，给IPIP报文打标签操作（报文打标签操作（PUSHPUSH）在）在IPIP报文出阵时对标签报文进行弹出操作报文出阵时对标签报文进行弹出操作（POPPOP），按），按IPIP路由进行转发。路由进行转发。内层由内层由功力较低的入门弟子组成功力较低的入门弟子组成，负责对标签报文进行快速的标签交，负责对标签报文进行快速的标签交换操作（换操作（SWAPSWAP）2021/7/1847.147.247.3

11、IP 47.1.1.112312123IP 47.1.1.1IP 47.1.1.1IP 47.1.1.1IP的的hop-by-hop逐跳转发逐跳转发IP的逐跳转发，在经过的每一跳处，必须进行路由表的最长匹配查找（可能多次），速度缓慢。DESTOUT 接口47.1.0.0147.0.0.0147.1.1.012021/7/19Label Switched Path(LSP)47.147.247.3123121233IP 47.1.1.1IP 47.1.1.1MPLS的标签转发，通过事先分配好的标签，为报文建立了一条标签转发通道（LSP），在通道经过的每一台设备处，只需要进行快速的标签交换即可（一

12、次查找）。2021/7/110Label Switched Path(LSP)FECFEC的精妙之处：的精妙之处：不同目的地址（属于相同的网段）的不同目的地址（属于相同的网段）的IPIP报文，报文，在在ingress处被划分为相同处被划分为相同的的FEC，具有相同的标签，这样在，具有相同的标签，这样在LSRLSR处，只需根据标签做快速的交换即处，只需根据标签做快速的交换即可。而对于传统的可。而对于传统的IPIP路由，在每一跳处实际上都是一次重新划分路由，在每一跳处实际上都是一次重新划分FECFEC的过的过程。如果一台路由器对于程。如果一台路由器对于ipip路由和标签交换同样使用了路由和标签交换

13、同样使用了cachecache功能，由于功能，由于对于路由来说，在对于路由来说，在cachecache中只能记录主机路由，条目将十分有限，而标签中只能记录主机路由，条目将十分有限，而标签对应的是对应的是FECFEC，可能是网段，可以做到很少的条目匹配大量的报文。，可能是网段，可以做到很少的条目匹配大量的报文。FECFEC的致命缺陷：的致命缺陷：对于一条对于一条FECFEC来说，沿途所有的设备都必须具有相同的路由（前缀和掩码来说，沿途所有的设备都必须具有相同的路由（前缀和掩码必须完全相同）才可以建成一条必须完全相同）才可以建成一条LSPLSP。换句话说，使用。换句话说，使用MPLSMPLS转发的

14、所有沿转发的所有沿途设备上，对于要使用标签转发的路由，都不能做路由聚合的操作。途设备上，对于要使用标签转发的路由，都不能做路由聚合的操作。2021/7/111上下打点上下打点当一个链路层协议收到一个当一个链路层协议收到一个MPLSMPLS报报文后，她是如何判断这是一个文后，她是如何判断这是一个MPLSMPLS报文，应该送给报文，应该送给MPLSMPLS处理，而不是处理，而不是象普通的象普通的IPIP报文那样，直接送给报文那样，直接送给IPIP层处理？层处理？回答：回答：还记得还记得MPLSMPLS的创始人的创始人“label“label大师大师”曾用了一年的时间来曾用了一年的时间来“上下上下打

15、点打点”吗？当时主要的工作就是取得各个链路层帮派的通行证。吗？当时主要的工作就是取得各个链路层帮派的通行证。例如：例如：在以太网中：使用值是在以太网中：使用值是0 x8847(0 x8847(单播单播)和和0 x88480 x8848（组播）来表示（组播）来表示承载的是承载的是MPLSMPLS报文（报文（08000800是是IPIP报文）报文）在在PPPPPP中：增加了一种新的中：增加了一种新的NCPNCP：MPLSCPMPLSCP，使用，使用0 x82810 x8281来标识来标识2021/7/112LDP有了标签，转发是很简单的事，但是如何生成标签，却是有了标签，转发是很简单的事，但是如何

16、生成标签，却是MPLS中最难修练的部分。在中最难修练的部分。在MPLS秘笈中，这部分被称为秘笈中，这部分被称为LDP（Label Distribution Protocol），是一个动态的生成标），是一个动态的生成标签的协议。签的协议。其实其实LDP与与IP帮派中的动态路由协议（例如帮派中的动态路由协议（例如RIP）十分相像，）十分相像，都具备如下的几大要素：都具备如下的几大要素：报文（或者叫消息）报文（或者叫消息）邻居的自动发现和维护机制邻居的自动发现和维护机制一套算法，用来根据搜集到的信息计算最终结果。一套算法，用来根据搜集到的信息计算最终结果。只不过前者计算的结果是标签，后者是路由罢了。

17、只不过前者计算的结果是标签，后者是路由罢了。2021/7/113LDP消息消息在在LDPLDP协议中，存在协议中，存在4 4种种LDPLDP消息：消息：发现（发现（DiscoveryDiscovery）消息）消息用于通告和维护网络中用于通告和维护网络中LSRLSR的存在。的存在。会话（会话（SessionSession）消息）消息用于建立，维护和结束用于建立，维护和结束LDPLDP对等实体之间的会对等实体之间的会话连接。话连接。通告（通告（AdvertisementAdvertisement）消息）消息用于创建、改变和删除特定用于创建、改变和删除特定FEC-FEC-标签绑定。标签绑定。通知（通

18、知（NotificationNotification）消息）消息用于提供消息通告和差错通知。用于提供消息通告和差错通知。2021/7/114邻居发现：通过互发hello报文(UDP/prot:646/IP:224.0.0.2）建立TCP连接：由地址大的一方主动发起。(TCP/port:646)会话初始化：由Master发出初始化消息，并携带协商参数。由slave检查参数能否接受，如果能则发送初始化消息，并携带协商参数。并随后发送keepalive消息。master检查参数能否接受，如果能则发送keepalive消息。相互收到keepalive消息，会话建立。期间收到任何差错消息，均关闭会话，断

19、开TCP连接MMMMMLDP会话的建立和维护2021/7/115LDP邻居状态机2021/7/116标签的分配和管理标签的分配和管理标记分发方式标记分发方式DODDOD（Downstream On DemandDownstream On Demand）下游按需标记分发）下游按需标记分发DUDU（Downstream UnsolicitedDownstream Unsolicited）下游自主标记分发）下游自主标记分发标记控制方式：标记控制方式：有序方式（有序方式（OderedOdered）标记控制）标记控制独立方式（独立方式（IndependentIndependent）标记控制）标记控制标签

20、保留方式标签保留方式保守方式保守方式自由方式自由方式上游与下游：上游与下游：在一条在一条LSPLSP上，沿数据包传送的方向，相邻的上，沿数据包传送的方向，相邻的LSRLSR分别分别叫上游叫上游LSR(upstream LSR)LSR(upstream LSR)和下游和下游LSRLSR（downstream LSRdownstream LSR）。下游）。下游是路由的始发者。是路由的始发者。2021/7/117LDP标签分配方式（标签分配方式（DU）下游主动向上游发出标记映射消息。下游主动向上游发出标记映射消息。标签分配方式中同样存在水平分割，即：对我已经选中的出口标标签分配方式中同样存在水平分割

21、，即：对我已经选中的出口标签，就不再为下一跳分配出标签。签，就不再为下一跳分配出标签。标签是设备随机自动生成的，标签是设备随机自动生成的，1616以下为系统保留。以下为系统保留。还有一种还有一种DODDOD方式（由上游向下游请求），修练的人较少。方式（由上游向下游请求），修练的人较少。47.147.3131133Mapping:40Mapping:502021/7/118LDP标签保留方式标签保留方式自由方式（自由方式（Liberal retention modeLiberal retention mode）保留来自邻居的所有发送来的标签保留来自邻居的所有发送来的标签优点：当优点：当IPIP路

22、由收敛、下一跳改变时减少了路由收敛、下一跳改变时减少了lsplsp收敛时间收敛时间缺点：需要更多的内存和标签空间。缺点：需要更多的内存和标签空间。保守方式（保守方式（Conservative retention mode）只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。优点：节省内存和标签空间。优点：节省内存和标签空间。缺点：当缺点：当IP路由收敛、下一跳改变时路由收敛、下一跳改变时lsp收敛慢收敛慢比较流行的是自由方式。比较流行的是自由方式。2021/7/119LDP标签控制方式标签控制方式有序方式（有序方式（Odere

23、dOdered）标记控制：）标记控制：除非除非LSRLSR是路由的始发节点，否则是路由的始发节点，否则LSRLSR必须等收到下一跳的必须等收到下一跳的标记映射才能向上游发出标记映射。标记映射才能向上游发出标记映射。独立方式（独立方式（IndependentIndependent）标记控制：）标记控制：LSRLSR可以向上游发出标记映射，而不必等待来自可以向上游发出标记映射，而不必等待来自LSRLSR下一跳下一跳的标记映射消息。的标记映射消息。比较流行的是有序方式。比较流行的是有序方式。2021/7/120LDP标签分配标签分配如果采用（如果采用（DU+DU+自由有序）的标签分配及控制方式：自由

24、有序）的标签分配及控制方式：发现自己有直连接口路由时会发送标签；发现自己有直连接口路由时会发送标签；收到下游到某条路由的标签并且该路由生效（也就是说，收到下游到某条路由的标签并且该路由生效（也就是说，在本地已经存在该条路由，并且路由的下一跳和标签的下在本地已经存在该条路由，并且路由的下一跳和标签的下一跳相同）时会发送标签。一跳相同）时会发送标签。标签表中会存在大量的非选中的标签。标签表中会存在大量的非选中的标签。下面的说法正确吗：下面的说法正确吗：如果某个网络中只有部分设备运行如果某个网络中只有部分设备运行MPLSMPLS（MPLSMPLS域嵌在域嵌在IPIP域中），则只会对运行域中），则只会

25、对运行MPLSMPLS的设备（的设备（MPLSMPLS域）的直域）的直连路由生成标签，对于其他设备（连路由生成标签，对于其他设备（IPIP域）始发的路由域）始发的路由则不会生成标签。则不会生成标签。如果没有标签，那对于通过如果没有标签，那对于通过MPLSMPLS域的目的地址在域的目的地址在IPIP域的域的报文如何转发呢？报文如何转发呢？2021/7/121标签转发表心法口诀标签转发表心法口诀标签转发表中的标签转发表中的ININ和和OUTOUT，是相对于标签转发而言，不是相对于标签分，是相对于标签转发而言，不是相对于标签分配的配的ININ和和OUTOUT：心法口诀：入标签是我分给别人的，出标签是

26、别人分给我的。心法口诀：入标签是我分给别人的，出标签是别人分给我的。我分配的标签是给别人用的，我不会添加到报文中。我分配的标签是给别人用的，我不会添加到报文中。IN interfaceIN labelPrefix/MASKOUT interface(nexthop)OUT labelSerial05010.1.1.0/24Eth0（3.3.3.3）80Serial15110.1.1.0/24Eth0（3.3.3.3）80Serial16270.1.2.0/24Eth0（3.3.3.3）52Serial15220.1.2.0/24Eth1（4.4.4.4）52Serial27730.1.2.0/

27、24Serial3（5.5.5.5)3（pop）对于一台设备的标签转发表（全局标签空间）来说：对于一台设备的标签转发表（全局标签空间）来说：所有的入标签所有的入标签()()对于相同的路由（下一跳也相同），出标签对于相同的路由（下一跳也相同），出标签()()对于不同的路由（但下一跳相同），出标签对于不同的路由（但下一跳相同），出标签()()对于不同的路由（下一跳也不同），出标签对于不同的路由（下一跳也不同），出标签()()对于同一条路由，入标签和出标签对于同一条路由，入标签和出标签()()A A 一定不同一定不同 B B 一定相同一定相同 C C 可能相同可能相同2021/7/122倒数第二跳弹

28、出（倒数第二跳弹出（P H P）话说话说MPLSMPLS传到了第二代，由传到了第二代，由PHPPHP接任掌门。接任掌门。PHPPHP天资聪颖且富有创新精神。天资聪颖且富有创新精神。他经过对他经过对MPLSMPLS北斗七星阵法的深入研究，发现本帮的这门绝学虽然暗合北斗七星阵法的深入研究，发现本帮的这门绝学虽然暗合天数、精妙无比，但并非没有可改进之处：天数、精妙无比，但并非没有可改进之处：在阵法的出口处，在阵法的出口处，Egress LSREgress LSR本应变本应变MPLSMPLS转发为转发为IPIP路由查找，但是他收路由查找，但是他收到的仍旧是含有标签的到的仍旧是含有标签的MPLSMPLS

29、报文，按照常规，这个报文应该送交报文，按照常规，这个报文应该送交MPLSMPLS模模块处理，而此时块处理，而此时MPLSMPLS模块不需要标签转发，能做的只是去掉标签，然后模块不需要标签转发，能做的只是去掉标签，然后送交送交IPIP层。其实对于层。其实对于Egress LSREgress LSR，处理，处理MPLSMPLS报文是没有意义的。最好能报文是没有意义的。最好能够保证他直接收到的就是够保证他直接收到的就是IPIP报文。这就需要在报文。这就需要在ELSRELSR的上游（倒数第二跳）的上游（倒数第二跳）就把标签给弹出来。但关键问题是：上游设备如何知道自己是倒数第二就把标签给弹出来。但关键问

30、题是：上游设备如何知道自己是倒数第二跳呢？其实很简单，在倒数第一跳为其分配标签时做一下特殊说明即可跳呢？其实很简单，在倒数第一跳为其分配标签时做一下特殊说明即可（分配一个特殊的标签（分配一个特殊的标签3 3）。）。经过几次实战检验，效果很好，遂正式以自己的名字命名为：经过几次实战检验，效果很好，遂正式以自己的名字命名为：PHPPHP（Penultimate Hop Popping),Penultimate Hop Popping),倒数第二跳弹出。倒数第二跳弹出。标签分配方式标签分配方式（改革前）（改革前）标签分配方式标签分配方式（改革后）（改革后）转发方式转发方式(改革前改革前)转发方式转发

31、方式(改革后改革后)倒数第一跳倒数第一跳随机分配随机分配分配特定的标分配特定的标签签3标签弹出，标签弹出，IP路由转发路由转发IP路由转发路由转发倒数第二跳倒数第二跳随机分配随机分配随机分配随机分配标签交换标签交换标签弹出标签弹出2021/7/123路由环路的预防与检测路由环路的预防与检测路由环路的预防：路由环路的预防：任何涉及到转发或者是路由的阵法，都容易发生任何涉及到转发或者是路由的阵法，都容易发生“路由环路路由环路”这样这样的走火入魔的事件。的走火入魔的事件。MPLSMPLS也不例外。创始人也不例外。创始人“label“label大师大师”深知武深知武功中功中“借力打力借力打力”的原理，

32、既然的原理，既然LSPLSP的建立是依赖的建立是依赖IPIP路由的，那么路由的，那么环路的预防也应该交给环路的预防也应该交给IPIP来做。自己无需处理了。来做。自己无需处理了。路由环路的检测：路由环路的检测：把自己的身家性命完全交给他人，毕竟不妥，万一把自己的身家性命完全交给他人，毕竟不妥，万一IPIP没有把持住，没有把持住，后果不堪设想。所以虽然可以不作预防，但是必要的检测手段还是后果不堪设想。所以虽然可以不作预防，但是必要的检测手段还是必需的，使用武林中通行的做法必需的，使用武林中通行的做法TTLTTL即可。每经过一次即可。每经过一次MPLSMPLS转发，转发，TTLTTL减一。减一。在标

33、签转发过程中，在标签转发过程中，在标签转发过程中，在标签转发过程中，MPLSMPLSMPLSMPLS报报报报文头中的文头中的文头中的文头中的TTLTTLTTLTTL减一，那么减一，那么减一，那么减一，那么ipipipip报文头中的报文头中的报文头中的报文头中的TTLTTLTTLTTL是否还减一是否还减一是否还减一是否还减一？2021/7/124MPLS的衰落的衰落虽然虽然MPLSMPLS的历任掌门都致力于本帮的发扬光大，但是要想整个武林都的历任掌门都致力于本帮的发扬光大，但是要想整个武林都重新学习一门新功夫谈何容易。更为致命的是：重新学习一门新功夫谈何容易。更为致命的是：MPLSMPLS标称的

34、标称的“身手敏身手敏捷捷”、“让一台让一台IPIP路由器快速完成转发路由器快速完成转发”也遇到了极大的挑战。由于也遇到了极大的挑战。由于社会进步，武林界已经告别以提升内力为主的冷兵器时代（软件转发）社会进步，武林界已经告别以提升内力为主的冷兵器时代（软件转发），快速步入火器时代（硬件转发）。各种自动（，快速步入火器时代（硬件转发）。各种自动（ASICASIC）、半自动）、半自动（NPNP）的武器价格低廉、江湖上几乎人手一把。当第二任掌门）的武器价格低廉、江湖上几乎人手一把。当第二任掌门PHPPHP发现发现凭借自己多年的修行，竟然连一个手持凭借自己多年的修行，竟然连一个手持AK47AK47的入门

35、马仔（的入门马仔（L3L3）都对付）都对付不了时，不禁仰头长叹，意识到日后再无人会苦练内力、提高身手了。不了时，不禁仰头长叹，意识到日后再无人会苦练内力、提高身手了。联想到这几年的帮派斗争，自己早已心力交瘁，又感到十分愧对自己联想到这几年的帮派斗争，自己早已心力交瘁，又感到十分愧对自己的恩师的恩师“label“label大师大师”，无法担当掌门的重任，遂弃掌门职位不坐，浪，无法担当掌门的重任，遂弃掌门职位不坐，浪迹江湖，过起了隐居生活，当然，他没忘了在街边买上一把左轮手枪迹江湖，过起了隐居生活，当然，他没忘了在街边买上一把左轮手枪防身防身2021/7/125帮派帮派MPLSVPNMP-BGPB

36、GP/MPLS VPN2021/7/126隐身术隐身术江湖中除了江湖中除了IPIP、ATMATM等几个传统大派别之外，武林中还等几个传统大派别之外，武林中还有一部分人醉心于修练一种有一部分人醉心于修练一种“隐身术隐身术”，他们的领地通，他们的领地通常四处分散，中间必须经过其他帮派（主要是常四处分散，中间必须经过其他帮派（主要是IPIP）的地）的地盘，为了免交养路费，在江湖中行走时如果经过盘，为了免交养路费，在江湖中行走时如果经过IPIP的领的领地，便打扮成地，便打扮成IPIP帮的弟子模样，到了本帮的领地，再去帮的弟子模样，到了本帮的领地，再去掉伪装，恢复本来面目。这些人自称为掉伪装，恢复本来面

37、目。这些人自称为VPN,VPN,掌门为掌门为“虚虚通道长通道长”,”,手下的两个堂主分别是：手下的两个堂主分别是：“Overlay VPN”“Overlay VPN”和和“Peer-to-Peer VPN”“Peer-to-Peer VPN”2021/7/127VPN中的角色中的角色VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEP-NetworkP-NetworkP-NetworkP-NetworkC-Net

38、workCECE（Custom EdgeCustom Edge）：直接与服务提供商相连的用户设备。）：直接与服务提供商相连的用户设备。PEPE（Provider Edge RouterProvider Edge Router）：指骨干网上的边缘路由器，）：指骨干网上的边缘路由器，与与CECE相连，主要负责相连，主要负责VPNVPN业务的接入。业务的接入。P P（Provider RouterProvider Router）：指骨干网上的核心路由器，主要完）：指骨干网上的核心路由器，主要完成路由和快速转发功能。成路由和快速转发功能。由于网络规模不同，网络中可能不存在由于网络规模不同，网络中可能不

39、存在P P路由器。路由器。PEPE路由器也路由器也可能同时是可能同时是P P路由器。路由器。2021/7/128Overlay VPN隧道建立在隧道建立在CE上上VPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-NetworkGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnel特点：特点：在在CECE与与CECE之间建立隧道，并直接传递路由信息，路

40、由协议数据总是在客户之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，服务商对客户网络结构一无所知。典型代表是设备之间交换，服务商对客户网络结构一无所知。典型代表是GREGRE、IPSecIPSec优点：优点：不同的客户地址空间可以重叠，保密性、安全性非常好。不同的客户地址空间可以重叠，保密性、安全性非常好。缺点：缺点：需要客户自己创建并维护需要客户自己创建并维护VPNVPN。通常客户不愿意，也没有这个能力。通常客户不愿意，也没有这个能力。PE与CE之间互联的地址是公网还是私网？P2021/7/129Overlay VPN隧道建立在隧道建立在PE上上特点：特点：在在PEPE

41、上为每一个上为每一个VPNVPN用户建立相应的用户建立相应的GREGRE隧道，路由信息在隧道，路由信息在PEPE与与PEPE之间传递，之间传递，公网中的公网中的P P设备不知道私网的路由信息。设备不知道私网的路由信息。优点：优点：客户把客户把VPNVPN的创建及维护完全交给服务商，保密性、安全性比较好。的创建及维护完全交给服务商，保密性、安全性比较好。缺点：缺点：不同的不同的VPNVPN用户不能共享相同的地址空间，即使可以共享，则用户不能共享相同的地址空间，即使可以共享，则PEPE与与CECE之间之间的地址、的地址、tunneltunnel之间的地址一定不能相同，并且必须使用大量的之间的地址一

42、定不能相同，并且必须使用大量的ACLACL和策和策略路由。在实际中不具备可行性。略路由。在实际中不具备可行性。VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-NetworkGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelPPE与CE之间互联的地址是公网还是私网？2021/7/130Overlay VPN的本质的本质Overlay VPNOve

43、rlay VPN的本质是一种的本质是一种“静态静态”VPN”VPN，这好比是静态路由，所以，这好比是静态路由，所以他具有类似静态路由的全部缺陷：他具有类似静态路由的全部缺陷：1.1.所有的配置与部署都需要手工完成，而且具有所有的配置与部署都需要手工完成，而且具有N2N2问题：如果某个问题：如果某个客户的客户的VPNVPN中新增了一个结点，则需要完成如下工作中新增了一个结点，则需要完成如下工作在这个新增结点上建立与所有已存在的在这个新增结点上建立与所有已存在的N N个结点的隧道及相关个结点的隧道及相关的路由。的路由。对于已存在的对于已存在的N N个结点，需要在每个结点上都建立一个与新增个结点，需

44、要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。结点之间的隧道及相关的路由。2.2.由于是由于是“静态静态”VPNVPN，则无法反应网络的实时变化。，则无法反应网络的实时变化。而且，如果隧道建立在而且，如果隧道建立在CECE上，则必须由用户维护，如果建立在上，则必须由用户维护，如果建立在PEPE上，上，则又无法解决地址冲突问题。则又无法解决地址冲突问题。2021/7/131Peer-to-Peer VPN如同静态路由一样，所有具有如同静态路由一样，所有具有“静态静态”性质的东西都不太适合大规性质的东西都不太适合大规模的应用和部署，难以担当重任。所以，首先要解决的问题就是将模的应用和部

45、署，难以担当重任。所以，首先要解决的问题就是将VPNVPN的部署及路由发布变为动态性。的部署及路由发布变为动态性。PeerPeertotoPeer VPNPeer VPN的产生就的产生就是源于这种思想。是源于这种思想。这里的这里的 Peer PeertotoPeerPeer是指是指CECEtotoPEPE，也就是要在，也就是要在CECE与与PEPE之间之间交换私网路由信息，然后由交换私网路由信息，然后由PEPE将这些私网路由在将这些私网路由在P PNetworkNetwork中传播中传播（P-NetworkP-Network上肯定是运行了一种动态路由协议），这样这些私网上肯定是运行了一种动态路

46、由协议），这样这些私网路由会自动的传播到其他的路由会自动的传播到其他的PEPE上。上。这种这种VPNVPN由于私网路由会泄露到公网上，所以必须严格的通过路由由于私网路由会泄露到公网上，所以必须严格的通过路由来控制，即：要确保同一个来控制，即：要确保同一个VPNVPN的的CECE路由器上只能有本路由器上只能有本VPNVPN的路由。的路由。所以，通常所以，通常CECE与与PEPE之间运行的路由协议，与之间运行的路由协议，与P-NetworkP-Network上运行的路上运行的路由协议是不同的，即使相同，也要有很好的路由过滤和选择的机制。由协议是不同的，即使相同，也要有很好的路由过滤和选择的机制。2

47、021/7/132Peer-to-Peer VPN共享共享PE方式方式所有所有VPNVPN用户的用户的CECE都连到同一台都连到同一台PEPE上，上，PEPE与不同的与不同的CECE之间运行不同之间运行不同的路由协议（或者是相同路由协议的不同进程，比如的路由协议（或者是相同路由协议的不同进程，比如OSPFOSPF）。）。由路由始发由路由始发PEPE将这些路由发布到公网上，在接收端的将这些路由发布到公网上，在接收端的PEPE上将这些路上将这些路由过滤后再发给相应的由过滤后再发给相应的CECE设备。设备。缺点：为了防止连接在同一台缺点：为了防止连接在同一台PEPE上的不同上的不同CECE之间互通，

48、必须在之间互通，必须在PEPE上上配置大量的配置大量的ACLACL。VPN_AVPN_B10.3.0.011.3.0.0P PPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-Network私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上传播ripospfospfisis2021/7/133Peer-to-Peer VPN专用专用PE方式方式VPN_AVPN_B10.3.0.011.3.0.0P PPECECEVPN_AVPN_B10.1.0.011.1.0.0CEP

49、ECEP-NetworkP-NetworkP-NetworkP-Network私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上传播ripripospfospf为每一个为每一个VPNVPN单独准备一台单独准备一台PEPE路由器，路由器，PEPE和和CECE之间可以运行任意的之间可以运行任意的路由协议，与其他路由协议，与其他VPNVPN无关。无关。PEPE与与P P之间运行之间运行BGPBGP，并使用路由属性，并使用路由属性进行过滤。进行过滤。优点：无需配置任何的优点：无需配置任何的ACLACL了。了。缺点：每一个缺点：每一个VPNVPN用户都有新增一台

50、用户都有新增一台 专用的专用的PEPE，代价过于昂贵了。，代价过于昂贵了。PEPE这里的BGP是IBGP还是EBGP，使用了BGP的哪种路由属性？2021/7/134Peer-to-Peer VPN的本质的本质Peer-to-PeerPeer-to-Peer VPNVPN虽然很好的解决了虽然很好的解决了“静态的问题静态的问题”，但是仍旧有，但是仍旧有很多局限性：很多局限性：由于没有使用隧道技术，导致私网路由泄露到公网上，安全性很差。由于没有使用隧道技术，导致私网路由泄露到公网上，安全性很差。VPNVPN的的“私有私有”特性完全靠路由来保证，导致在特性完全靠路由来保证，导致在CECE设备上无法配

51、置设备上无法配置缺省路由。（缺省路由。（whywhy？）？）仍旧存在所有的设备无法共享相同的地址空间问题。仍旧存在所有的设备无法共享相同的地址空间问题。如果要确保安全性，则必须使用隧道技术，虽然本帮并不缺少隧道，如果要确保安全性，则必须使用隧道技术，虽然本帮并不缺少隧道，但如但如GREGRE、IPSecIPSec都已被证实由于其都已被证实由于其“静态性静态性”无法委以重任。而地无法委以重任。而地址冲突的问题根本就不是本帮的势力范围，更是无法解决。址冲突的问题根本就不是本帮的势力范围，更是无法解决。至此至此VPNVPN帮已经黔驴技穷，好在掌门帮已经黔驴技穷，好在掌门“虚通道长虚通道长”是个留洋多

52、年的是个留洋多年的“海龟海龟”，思想很开放，觉得这个问题的解决需要整个武林一起出，思想很开放，觉得这个问题的解决需要整个武林一起出力。于是贴出了一张力。于是贴出了一张“招贤榜招贤榜”2021/7/1 为了尊重报文的隐私，提高我华夏的人权水准，大力推动网络私有化的进程，特向各位武林高手招贤纳士。如有能解决如下问题的好汉，无论出身、派别，皆可得千金重赏，并与本帮结为友好邻邦，共举VPN大业。可以提供一种动态建立的隧道技术。可以解决不同VPN共享相同地址空间的问题。VPN 掌门虚通道长敬上招贤榜招贤榜2021/7/13536重赏之下，必有勇夫重赏之下，必有勇夫话说招贤榜一贴出来，立刻轰动了整个武林。

53、一日，众多武林中人话说招贤榜一贴出来，立刻轰动了整个武林。一日，众多武林中人正围着一张榜议论纷纷，忽然人群中一个腰挂左轮手枪，状如乞丐正围着一张榜议论纷纷，忽然人群中一个腰挂左轮手枪，状如乞丐者抚掌大笑，口中念道，者抚掌大笑，口中念道，“嗌嗌,中了！中了！中了！中了！”，言迄休克，言迄休克倒地。众人急忙将其救醒。此人醒来之后，揭下招贤榜，发足狂奔，倒地。众人急忙将其救醒。此人醒来之后，揭下招贤榜，发足狂奔，喊道喊道“兴邦有望！兴邦有望！兴邦有望！兴邦有望！”没错，当然是没错，当然是MPLSMPLS隐居的掌门隐居的掌门PHPPHP了，了，“可以提供一种动态建立的隧道技术”，MPLSMPLS中的中

54、的LSPLSP正是一种天然的隧道，而且这种隧道的正是一种天然的隧道，而且这种隧道的建立是基于建立是基于LDPLDP协议，又恰恰是一种动态的标签生成协议。舍我其协议，又恰恰是一种动态的标签生成协议。舍我其谁！谁！自从自从PHPPHP揭了第一张招贤榜之后，江湖上纷纷猜测会由谁来搞掂第揭了第一张招贤榜之后，江湖上纷纷猜测会由谁来搞掂第二个问题，大家普遍认为最佳人选应该在几个路由协议中产生。二个问题，大家普遍认为最佳人选应该在几个路由协议中产生。这是谁啊？这是谁啊？2021/7/137帮派帮派MPLSVPNMP-BGPBGP/MPLS VPN2021/7/138为什么是为什么是BGP如果要解决地址冲突

55、问题，必须对现有的协议进行大规模的修改，这就要如果要解决地址冲突问题，必须对现有的协议进行大规模的修改，这就要求一个协议具有良好的可扩展性。而具备条件的协议一定是基于求一个协议具有良好的可扩展性。而具备条件的协议一定是基于TLVTLV元素元素的。符合标准的只有的。符合标准的只有EIGRPEIGRP、BGPBGP、ISISISIS。ISISISIS本不是中土人士，前年刚刚从本不是中土人士，前年刚刚从OSIOSI逃荒过来，帮中弟兄都不会说逃荒过来，帮中弟兄都不会说IPIP语，而说语，而说NSAPNSAP语，目前连户口还没解决，估计无暇他顾了。语，目前连户口还没解决，估计无暇他顾了。EIGRPEIG

56、RP向来闭关锁帮，夜郎自大的认为本帮的功夫天下一流，从不与别向来闭关锁帮，夜郎自大的认为本帮的功夫天下一流，从不与别人切磋，也不参加武林大会。而且看见别人的武功与自己有几分相似，人切磋，也不参加武林大会。而且看见别人的武功与自己有几分相似，便跳出来要与他打官司。在江湖上名声臭极。便跳出来要与他打官司。在江湖上名声臭极。而而BGPBGP看来是十分合适的人选：看来是十分合适的人选：1.1.网络中网络中VPNVPN路由数目可能非常大，路由数目可能非常大，BGPBGP是唯一支持大量路由的路由协议；是唯一支持大量路由的路由协议；2.2.BGPBGP是基于是基于TCPTCP来建立连接，可以在不直接相连的路

57、由器间交换信息，这来建立连接，可以在不直接相连的路由器间交换信息，这使得使得P P路由器中无须包含路由器中无须包含VPNVPN路由信息；路由信息；3.3.BGPBGP可以运载附加在路由后的任何信息，作为可选的可以运载附加在路由后的任何信息，作为可选的BGPBGP属性，任何不了属性，任何不了解这些属性的解这些属性的BGPBGP路由器都将透明的转发它们，这使在路由器都将透明的转发它们，这使在PEPE路由器间传播路由器间传播路由非常简单。路由非常简单。BGPBGP的掌门叫的掌门叫无为长老，是位得道的高僧。无为长老，是位得道的高僧。2021/7/139无为长老无为长老话说当年IP的掌门人“尽力而为”，

58、自知年事已高，便想在帮中选择下一任接班人。在众多弟子，唯有两个最为得意OSPF和BGP。一日，掌门将二人叫到面前，让他们说一下这些年的修行心得。OSPF念道：“身如路由器，心似转发表，报文何其多，日夜勤查找。”BGP念道：“路由本非器，转发何需表？报文虽然多，自有他人找。”“尽力而为”抚掌大笑曰：“BGP得吾真传也！”，于是将衣钵传给了他。OSPF很不服气，说：“弟子日夜辛劳，编撰的OSPF心法一共300多页，构思精妙，算法复杂，堪称武林绝学。而师弟BGP终日游山玩水，草草写了一本70多页的心得就交差了。”掌门笑问他“那你的心法一共可以管理多少台路由器，多少条路由呢？”OSPF答道：“设备百台

59、，路由千条。”掌门又问BGP：“那么你呢？”BGP道：“整个internet百万台路由器，十余万路由皆由弟子一人掌管。”掌门笑道：“BGP虽然表面看来无所作为，其实他只是不想过分的拘泥于细节，实际上是“无为而治”啊。我当年就是靠的这一点才将来势凶猛的ATM斩于马下。”从此BGP便在武林中得到了“无为长老”的雅号。2021/7/140冥思苦想冥思苦想无为长老虽然觉得此事责无旁贷，但确实非常麻烦，要想解无为长老虽然觉得此事责无旁贷，但确实非常麻烦，要想解决地址冲突的问题，至少有如下三个难题需攻克：决地址冲突的问题，至少有如下三个难题需攻克：1.1.本地路由冲突问题，即：在同一台本地路由冲突问题，即

60、：在同一台PEPE上如何区分不同上如何区分不同VPNVPN的相同路由。的相同路由。2.2.路由在网络中的传播问题，两条相同的路由，都在网络中路由在网络中的传播问题，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此？传播，对于接收者如何分辨彼此？3.3.报文的转发问题，即使成功的解决了路由表的冲突，但是报文的转发问题，即使成功的解决了路由表的冲突，但是当当PEPE接收到一个接收到一个IPIP报文时，他又如何能够知道该发给那个报文时，他又如何能够知道该发给那个VPNVPN？因为？因为IPIP报文头中唯一可用的信息就是目的地址。而报文头中唯一可用的信息就是目的地址。而很多很多VPNVPN中都可

61、能存在这个地址。中都可能存在这个地址。2021/7/141计上心来计上心来无为闭关修练了数月，冥思苦想了很久，渐渐有了些思路：无为闭关修练了数月，冥思苦想了很久，渐渐有了些思路：1.1.本地路由冲突问题，可以通过在同一台路由器上创建不同的本地路由冲突问题，可以通过在同一台路由器上创建不同的路由表解决，而不同的接口可以分属不同的路由表中，这就路由表解决，而不同的接口可以分属不同的路由表中，这就相当于将一台共享相当于将一台共享PEPE模拟成多台专用模拟成多台专用PEPE。2.2.可以在路由传递的过程中为这条路由再添加一个标识，用以可以在路由传递的过程中为这条路由再添加一个标识，用以区别不同的区别不

62、同的VPNVPN。3.3.由于由于IPIP报文的格式不可更改，估计指望不上他了，但可以在报文的格式不可更改，估计指望不上他了，但可以在IPIP头之外加上一些信息，由始发的头之外加上一些信息，由始发的VPNVPN打上标记，这样打上标记，这样PEPE在在接收报文时可以根据这个标记进行转发。接收报文时可以根据这个标记进行转发。虽然大致的解决方案已有，但要做到可以具体实施，却还有很虽然大致的解决方案已有，但要做到可以具体实施，却还有很多工作要做。多工作要做。2021/7/142理论突破理论突破VRF其实解决地址冲突的问题，也存在一些方法：使用其实解决地址冲突的问题，也存在一些方法：使用ACLACL、I

63、P unnumberIP unnumber、NATNAT。但这些办法。但这些办法都是基于都是基于“打补丁打补丁”的思想，没能从本质上解决问题。要想彻底解决，必须在理论上有的思想，没能从本质上解决问题。要想彻底解决，必须在理论上有所突破。可以从专用所突破。可以从专用PEPE上得到启示。专用路由器方式分工明确，每个上得到启示。专用路由器方式分工明确，每个PEPE只保留自己只保留自己VPNVPN的的路由。路由。P P只保留公网路由。而现在的思路是：将这些所有设备的功能，和在一台只保留公网路由。而现在的思路是：将这些所有设备的功能，和在一台PEPE上完成。上完成。PECEVPN-AVPN-ACEVPN

64、-BGlobal Routing TableVPN Routing TableCEIGP&/or BGPPEP专用专用专用专用PEPEPEPE方式方式方式方式PECEVPN-AVPN-ACEVPN-BGlobal Routing TableVRF for VPN-AVRF for VPN-BVPN Routing TableCEIGP&/or BGPVRFVRFVRFVRF方式方式方式方式2021/7/143VRFVRF-VPNVRF-VPN路由转发实例（路由转发实例（VPN Routing&Forwarding InstanceVPN Routing&Forwarding Instance）

65、每一个每一个VRFVRF可以看作虚拟的路由器，好像是一台专用的可以看作虚拟的路由器，好像是一台专用的PEPE设备。该虚拟设备。该虚拟路由器包括如下元素：路由器包括如下元素：一张独立的路由表，当然也包括了独立的地址空间。一张独立的路由表，当然也包括了独立的地址空间。一组归属于这个一组归属于这个VRFVRF的接口的集合。的接口的集合。一组只用于本一组只用于本VRFVRF的路由协议。的路由协议。对于每个对于每个PEPE，可以维护一个或多个，可以维护一个或多个VRFVRF，同时维护一个公网的路由表，同时维护一个公网的路由表（也叫全局路由表），多个（也叫全局路由表），多个VRFVRF实例相互分离独立。实

66、例相互分离独立。其实实现其实实现VRFVRF并不困难，关键在于如何在并不困难，关键在于如何在PEPE上使用特定的策略规则来协上使用特定的策略规则来协调各调各VRFVRF和全局路由表之间的关系。和全局路由表之间的关系。2021/7/144RT我们回忆一下，其实在专用我们回忆一下，其实在专用PEPE的方式中，已经很好的解决了这个问题。当时使的方式中，已经很好的解决了这个问题。当时使用了用了BGPBGP的的communitycommunity属性。这次仍旧使用这个思路，只不过属性。这次仍旧使用这个思路，只不过“旧瓶装新酒旧瓶装新酒”把把communitycommunity扩展了一下，并且起了一个新名字：扩展了一下，并且起了一个新名字：RTRT（Route TargetRoute Target）。）。扩展的扩展的communitycommunity有如下两种格式：其中有如下两种格式：其中typetype字段为字段为0 x00020 x0002或者或者0 x01020 x0102时表示时表示RTRT。Type（0 x0002）AS#（16bit）Value（32bit）Type（0 x0102）