HCIE 面试资料-BGP/MPLS V`PN

MPLS V·PN

为了实现两个站点之间跨越公网通信有了[Virtual Private Network]虚拟私有网络技术

专线的特点
1、线路专有，安全性高，不同用户之间物理隔离
2、价格昂贵
3、使用不充分，带宽浪费严重

共享宽带（X.25、帧中继逻辑隔离）的特点
1、使用共享的公共网络环境实现各私网的连接
2、不同的私有网络之间相互不可见
（由于带宽问题和传输速率不行）

企业用户接入运营商

设备角色
CE（Customer Edge）：用户网络边缘设备，有接口直接与服务提供商SP（Service Provider）网络相连。CE可以是SVN或交换机，也可以是一台主机。不需要支持MPLS。
PE（Provider Edge）：服务提供商边缘设备，是服务提供商网络的边缘设备，与CE直接相连。
P（Provider）：服务提供商网络中的骨干设备，不与CE直接相连。P设备只需要具备基本MPLS转发能力，不维护V·PN信息。

用户设备所在的区域，称为一个站点（Site），站点是指相互之间具备IP连通性的一组IP系统，并且这组IP系统的IP连通性不需通过运营商网络实现

V·PN模型
Overlay V·PN（可以在CE设备上建立隧道，也可以在PE设备上建立隧道，运营商对客户网络一无所知）

• 在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，运营商对客户网络结构一无所知
  优点：不同的客户地址空间可以重叠，保密性、安全性非常好；
  缺点：本质是一种“静态”V·PN，无法反应网络的实时变化。并且当有新增站点时，需要手工在所有站点上建立与新增站点的连接，配置与维护复杂，不易管理。
• 在PE上为每一个V·PN用户建立相应的隧道，路由信息在PE与PE之间传递，公网中的P设备不知道私网的路由信息。
  优点：客户把V·PN的创建及维护完全交给运营商，保密性、安全性比较好；
  缺点：不同的V·PN用户不能共享相同的地址空间。
• 典型的协议：二层——帧中继；三层——GRE与IPSec；应用层——SSL V·PN。

Peer-to-Peer V·PN（在CE设备与PE设备之间交换私网信息，由PE设备将私网信息在运营商网络中传播）

• 优点：
  当新增站点时，不需要手工在所有站点上建立与新增站点的链接
• 缺点：
  1、为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL，但这种操作也增加了管理PE设备的负担；
  2、V·PN客户之间如果出现地址重叠问题，PE设备无法识别重叠的地址。

Peer-to-Peer V·PN （专用PE接入）

• 优点：无需配置任何的ACL，配置复杂度、管理难度有所降低。
• 缺点：每新增一个V·PN站点都需要新增一台专用的PE设备，代价过于昂贵。而且没有解决V·PN客户之间地址空间重叠的问题。

MPLS V·PN
解决了地址空间的重叠问题（两个客户的V·PN存在相同的地址空间，传统V·PN网络结构中的设备无法区分客户重叠的路由信息。）

MPLS V·PN解决传统V·PN的问题
1、本地路由冲突的问题：可以通过在同一台PE设备上为不同的V·PN建立单独的路由，这样冲突的的路由就被隔离开来
2、在路由传递过程中，为不同的V·PN路由添加不同的标识，以示区别。这些标识可以作为BGP属性进行传递
3、由于IP报文不可更改，可以在IP报文头前加一些信息。由始发路由器打上标记，接收路由器在收到带标记的的数据包时，根据标记转发给正确的V·PN

使用VRF（V·PN Routing and Forwarding table）V·PN路由转发表（相当于专用PE）
每一个VRP都需要对应一个V·PN instance，V·PN用户对应的接口绑定到V·PN instance中。
对于每个PE，可以维护一个或多个V·PN instance ，同时维护一个公网的路由表（也叫全局路由表），多个V·PN instance实例相互独立且隔离。

RD（Route Distinguisher，路由标识符），由8字节组成，配置时同一PE设备上分配给每个V·PN的RD必须唯一。
RD用于区分使用相同地址空间的IPv4前缀，增加了RD的IPv4地址称为V·PN-IPv4地址（即V·PNv4地址）。
运营商设备采用BGP协议作为承载V·PN路由的协议，并将BGP协议进行了扩展，称为MP-BGP（Multiprotocol Extensions for BGP-4）
PE从CE接收到客户的IPv4私网路由后，将客户的私网路由添加各种标识信息后变为V·PNv4路由放入MP-BGP的V·PNv4路由表中，并通过MP-BGP协议在公网上传递。

RT（Route Target BGP Community 扩展属性）
Import Target：对端收到路由时，检查其Export Target属性。当此属性与PE上某个V·PN实例的Import Target匹配时，PE就把路由加入到该V·PN实例中
Export Target：本端的路由在导出VRF，转变为V·PNv4的路由时，标记该属性

因为数据包没有携带任何标识，所以在ICMP的数据包到达PE1时，PE1并不知道该查找哪个V·PN的路由表找到正确的目标地址。
Outer MPLS Label在MPLS V·PN中被称为公网标签，用于MPLS网络中转发数据。一般公网标签会在到达PE设备时已被倒数第二跳剥掉，漏出Inner Label。Inner MPLS Label在MPLS V·PN中被称为私网标签，用于将数据正确发送到相应的V·PN中，PE依靠Inner Label区分数据包属于哪个V·PN。

MPLS小记
RD用于解决地址重叠问题
RT用于规范客户路由（Hub-spoke场景）
当一个IPv4路由携带了RD和RT那么就变成了V·PNv4路由，使用BGP传递
数据转发中MPLS标签分为内层标签（靠近三层VPN）和外层标签（靠近二层MPLS）
PE设备上才有实例
P设备无条件转发路由不懂RD和RT
当到达倒数第二个路由器（MPLS标签为3）剥离外层标签

路由和数据的方向
出路由是为了将路由条目转发出去
进流量是为了根据学习的路由条目转发

MPLS V·PN的出路由转发工作过程
CE与PE之间的路由交换
PE与CE之间可以通过静态路由协议交换路由信息，也可以通过动态路由协议交换路由信息
1、CE配置BGP（peer PE）
2、PE上创建实例，设置RD和RT
3、PE在接口上绑定实例
4、PE在BGP中创建V·PN实例并把CE加入实例

VRF路由注入MP-BGP的过程
VRF中的IPv4路由被添加上RD，RT与标签等信息成为V·PN-IPv4的路由放入到MP-BGP的路由表中，并通过MP-BGP协议在PE设备之间交换路由信息。
1、PE设备使用环回口和出PE设备指定邻居
2、PE设备创建V·PNv4（MP-BGP路由表）
3、开启标签检测
4、PE在V·PNv4中指定出PE设备邻居

公网标签的分配过程
MPLS协议在运营商网络分配公网标签，建立标签隧道，实现私网数据在公网上的转发。
PE之间运行的MP-BGP协议为V·PN路由分配私网标签，PE设备根据私网标签将数据正确转发给相应的V·PN。
1、建立mpls，并分配lsr-id
2、开启mpls ldp
3、进入接口开启mpls、 mpls ldp

MP-BGP路由注入VRF的过程
PE2在接收到PE1发送的V·PNv4路由后将检查路由的扩展团体属性，将携带的Export Target值与本端V·PN的Import Target值比较，数值相同则将路由引入V·PN的路由表，实现路由的正确导入。

MPLS V·PN的进数据转发工作过程
CE设备到PE设备的数据转发
数据从CE转发给PE，在PE设备上需要查找V·PN的路由表，发现数据包需要进行标签转发后，查找LFIB表，找到下一跳与出接口，根据分配的标签进行MPLS的内外层封装

公网设备上的数据转发
数据包在公网上转发时，通过MPLS协议已建立好的标签隧道将数据报文转发到PE。转发过程中，只改变公网外层标签。当出标签为3时，将公网标签剥离，将内层私网标签的数据包发给PE

PE设备到CE设备的数据转发
PE收到只有一层标签的数据包，查找标签表，发现标签数据包对应的下一跳为CE，于是PE将数据包剥离私网标签，进行IP封装，查找出接口，将数据包发送给CE处理

跨域MPLS BGP V·PN-OptionA方案

跨域V·PN-OptionA是基本BGP/MPLS IP V·PN在跨域环境下的应用，ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置。这种方式下，两个AS的边界路由器ASBR直接相连，ASBR同时也是各自所在自治系统的PE。两个ASBR都把对端ASBR看作自己的CE设备，使用EBGP方式向对端发布IPv4路由。

控制平面

1. 在AS100中，通过运行LDP协议，PE1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T1给P1。
2. 在AS100中，通过运行LDP协议，P1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T2给ASBR-PE1。
3. 在AS200中，同样通过运行LDP协议，ASBR-PE2分配一个与去往ASBR-PE2的路由相关联的隧道标签(外层标签)T3给P2。
4. 在AS200中，通过运行LDP协议，P2分配一个与去往ASBR-PE2的路由相关联的隧道标签(外层标签)T4给PE2。
5. CE1 通告路由Client1给PE1，路由的下一跳为CE1的接口地址。
6. PE1将IPv4路由Client1通过MP-BGP重发布为V·PNv4路由，并且下一跳改为PE1，分配一个V·PN标签V1，然后通告给ASBR-PE1。
7. ASBR-PE1将V·PNv4路由变为IPv4路由，把IPv4路由Client1通告给ASBR-PE2，并且下一跳指向ASBR-PE1。
8. ASBR-PE2将IPv4路由Client1通过MP-BGP重发布为V·PNv4路由，并且下一跳为ASBR-PE2，为该路由分配一个V·PN标签V2，将其通告给PE2。
9. PE2将V·PNv4路由转变为IPv4路由Client1，把路由Client1通告给CE2，并且下一跳指向PE2。

转发平面

1. CE2发送一个目的地为Client1的IP报文给PE2。
2. PE2收到IP报文后进行MPLS标签的封装，先封装V·PN标签V2，再封装外层标签T4，然后将此报文发送给P2。
3. P2进行标签交换，把外层标签T4换成T3，然后将此报文发送给ASBR-PE2。
4. ASBR-PE2去掉所有标签，将报文(普通IP报文)转发给ASBR-PE1。
5. ASBR-PE1收到IP报文后进行MPLS标签的封装，先封装V·PN标签V1，再封装外层标签T2，然后将此报文发送给P1。
6. P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1。
7. PE1收到后去掉所有标签，将报文(普通IP报文)转发给CE1。

跨域V·PN-OptionA方式的特点
优点是配置简单：由于ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置。
缺点是可扩展性差：由于ASBR需要管理所有V·PN路由，为每个V·PN创建V·PN实例。这将导致ASBR上的V·PN-IPv4路由数量过大。并且，由于ASBR间是普通的IP转发，要求为每个跨域的V·PN使用不同的接口，从而提高了对PE设备的要求。如果跨越多个自治域，中间域必须支持V·PN业务，不仅配置量大，而且对中间域影响大。在需要跨域的V·PN数量比较少的情况，可以优先考虑使用。

跨域V·PN-OptionA方式配置步骤

跨域MPLS BGP V·PN-OptionB方案

跨域V·PN-OptionB方案中，ASBR接收本域内和域外传过来的所有跨域V·PN-IPv4路由，再把V·PN-IPv4路由发布出去。但MPLS V·PN的基本实现中，PE上只保存与本地V·PN实例的V·PN Target相匹配的V·PN路由。因此，可以在ASBR上配置不做RT过滤来传递路由，因此无需在ASBR创建V·PN实例，无需绑定任何接口。

控制平面

1、在AS100中，通过运行LDP协议，PE1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T1给P1
2、在AS100中，通过运行LDP协议，P1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T2给ASBR-PE1
3、在AS200中，同样通过运行LDP协议，ASBR-PE2分配一个与去往ASBR-PE2的路由相关联的隧道标签(外层标签)T3给P2
4、在AS200中，通过运行LDP协议，P2分配一个与去往ASBR-PE2的路由相关联的隧道标签(外层标签)T4给PE2
5、CE1 通告路由Client1给PE1，路由的下一跳为CE1的接口地址
6、PE1将IPv4路由Client1通过MP-IBGP重发布为V·PNv4路由，并且下一跳改为PE1，分配一个V·PN标签V1，然后通告给ASBR-PE1
7、ASBR-PE1通过MP-EBGP将Client1的V·PNv4路由通告给ASBR-PE2，将下一跳改为ASBR-PE1，并重新分配一个V·PN标签V2
8、ASBR-PE2将收到的Client1的V·PNv4路由通过MP-IBGP通告给PE2，将下一跳指向自己，并重新分配一个V·PN标签V3
9、PE2将Client1的V·PNv4路由变为IPv4路由，把路由Client1通告给CE2，并且下一跳改为PE2

转发平面

1. CE2发送一个目的地为Client1的IP报文给PE2。
2. PE2收到IP报文后进行MPLS标签的封装，先封装V·PN标签V3，再封装外层标签T4，然后将此报文发送给P2。
3. P2进行标签交换，把外层标签T4换成T3，然后将此报文发送给ASBR-PE2。
4. ASBR-PE2去掉外层标签，将V·PN标签V3交换为V2，再将其转发给ASBR-PE1（此时报文仅带有一层私网标签）。
5. ASBR-PE交换V·PN标签V2成V1，再加一个外层标签T2，并将报文转发给P1。
6. P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1。
7. PE1收到后去掉所有标签，将报文(普通IP报文)转发给CE1。

跨域V·PN-OptionB方式的特点
不同于OptionA，OptionB方案不受ASBR之间互连链路数目的限制。
局限性：V·PN的路由信息是通过AS之间的ASBR来保存和扩散的，当V·PN路由较多时，ASBR负担重，容易成为故障点。因此在MP-EBGP方案中，需要维护V·PN路由信息的ASBR一般不再负责公网IP转发。

跨域V·PN-OptionB方式配置步骤

跨域MPLS BGP V·PN-OptionC一方案

方案一，ASBR在收到对端ASBR发来的BGP标签路由后，需要配置策略产生一个新的标签并发布给AS内的PE或者RR设备，以建立一条完整的BGP LSP。方案二中，ASBR需要配置MPLS触发为BGP标签路由分发标签，因此在AS内的PE上可以看到去往对端PE的LDP LSP，而非BGP LSP。

控制平面

1. 在AS100中，通过运行LDP协议，PE1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T1给P1。
2. 在AS100中，通过运行LDP协议，P1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T2给ASBR1。
3. 在AS200中，同样通过运行LDP协议，ASBR2分配一个与去往ASBR2的路由相关联的隧道标签(外层标签)T3给P2。
4. 在AS200中，通过运行LDP协议，P2分配一个与去往ASBR2的路由相关联的隧道标签(外层标签)T4给PE2。
5. ASBR1通过EBGP会话通告一条去往PE1的带标签的IPv4路由给ASBR2，其中下一跳为ASBR1，标签为BGP标签，值为B1。
6. ASBR2通过BGP会话通告一条去往PE1的带标签的IPv4路由给PE2，其中下一跳为ASBR2，标签为BGP标签，值为B2。
7. PE1与PE2建立起MP-EBGP会话。
8. CE1 通告路由Client1给PE1，路由的下一跳为CE1的接口地址。
9. PE1将IPv4路由Client1通过MP-EBGP重发布为V·PNv4路由，并且下一跳改为PE1，分配一个V·PN标签V1，将其通告给PE2。
10. PE2将V·PNv4路由变为IPv4路由，把IPv4路由Client1通告给CE2，并且下一跳改为PE2。

转发平面

1. CE2发送一个目的地为Client1的IP报文给PE2。
2. PE2收到IP报文后进行MPLS标签的封装，先封装VPN标签V1，由于去往Client1的下一跳PE1不是直连邻居，通过查表发现去往PE1的BGP路由是带标签的路由，因此加上分配的BGP标签B2做为中间标签，最后，由于去往PE1的路由的下一跳ASBR2也不是直连邻居，通过查表发现去往ASBR2也有关联的标签T4，因此，封装上外层标签T4。
3. P2进行标签交换，把外层标签T4换成T3，然后将此报文发送给ASBR-PE2。
4. ASBR2去掉外层标签，将BGP标签B2交换为B1，再将其转发给ASBR1。
5. 当ASBR1收到报文后，发现B1是它分配的，所以去掉B1进一步查表转发，发现此时去往PE1的路由有一个关联的标签T2，因此，ASBR1将其加在栈顶，并转发给P1。
6. P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1。
7. PE1收到后去掉所有标签，将报文(普通IP报文)转发给CE1。

跨域V·PN-OptionC方案一配置步骤

跨域MPLS BGP V·PN-OptionC二方案

不同之处在于，方案一中，需要使用三层标签，即V·PN label，BGP LSP， Tunnel LSP来承载流量，而方案二只需要两层。
方案一，ASBR在收到对端ASBR发来的BGP标签路由后，需要配置策略产生一个新的标签并发布给AS内的PE或者RR设备，以建立一条完整的BGP LSP。方案二中，ASBR需要配置MPLS触发为BGP标签路由分发标签，因此在AS内的PE上可以看到去往对端PE的LDP LSP，而非BGP LSP。

控制平面

1. 在AS100中，通过运行LDP协议，PE1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T1给P1。
2. 在AS100中，通过运行LDP协议，P1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T2给ASBR1。
3. 在AS200中，同样通过运行LDP协议，ASBR2分配一个与去往ASBR2的路由相关联的隧道标签(外层标签)T3给P2。
4. 在AS200中，通过运行LDP协议，P2分配一个与去往ASBR2的路由相关联的隧道标签(外层标签)T4给PE2。
5. ASBR1通过EBGP会话通告一条去往PE1的带标签的IPv4路由给ASBR2，其中下一跳为ASBR1，标签为BGP标签，值为B1。
6. ASBR2为这条BGP标签路由触发建立LSP，分发LDP标签T5至P2，P2进而分发T6至PE2。
7. PE1与PE2建立起MP-EBGP会话。
8. CE1 通告路由Client1给PE1，路由的下一跳为CE1的接口地址。
9. PE1将IPv4路由Client1通过MP-EBGP重发布为V·PNv4路由，并且下一跳改为PE1，分配一个V·PN标签V1，将其通告给PE2。
10. PE2将V·PNv4路由变为IPv4路由，把IPv4路由Client1通告给CE2，并且下一跳改为PE2。

转发平面

1. CE2发送一个目的地为Client1的IP报文给PE2。
2. PE2收到IP报文后进行MPLS标签的封装，先封装V·PN标签V1，由于去往Client1的下一跳PE1不是直连邻居，通过查表发现去往PE1的标签为T6，打上T6。
3. P2进行标签交换，把外层标签T6换成T5，然后将此报文发送给ASBR2。
4. ASBR2去掉外层标签，将T5交换为B1，再将其转发给ASBR1。
5. 当ASBR1收到报文后，发现B1是它分配的，所以去掉B1进一步查转发表，发现此时去往PE1的路由有一个关联的标签T2，因此，ASBR1将其加在栈顶，并转发给P1。
6. P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1。
7. PE1收到后去掉所有标签，将报文(普通IP报文)转发给CE1。

跨域V·PN-OptionC方式的特点
V·PN路由在入口PE和出口PE之间直接交换，不需要中间设备的保存和转发。
V·PN的路由信息只出现在PE设备上，而P和ASBR只负责报文的转发，使得中间域的设备可以不支持MPLS V·PN业务，只需支持MPLS转发，ASBR设备不再成为性能瓶颈。因此跨域V·PN-OptionC更适合在跨越多个AS时使用。
更适合支持MPLS V·PN的负载分担。
缺点是维护一条端到端的PE连接管理代价较大。

跨域V·PN-OptionC方案二配置步骤