mpls学习知识点总结.docx
《mpls学习知识点总结.docx》由会员分享,可在线阅读,更多相关《mpls学习知识点总结.docx(22页珍藏版)》请在冰豆网上搜索。
mpls学习知识点总结
MPLS基本概念
1.转发等价类
FEC(ForwardingEquivalenceClass,转发等价类)是MPL曲的一个重要概念。
MPLSS1
一种分类转发技术,它将具有相同特征(目的地相同或具有相同服务等级等)的报文归为一类,称为FEG属于相同FEC的报文在MPL制络中将获得完全相同的处理。
目前设备只支
持根据报文的网络层目的地址划分FEG
2.标签
标签是一个长度固定、只具有本地意义的标识符,用于唯一标识一个报文所属的FEG一个
标签只能代表一个FEC
图1-1标签的封装结构
Layer2header
Label
L,一
Layer3haader
Layer3data
如图1-1所示,标签封装在链路层报头和网络层报头之间的一个垫层中。
标签长度为4个字
节,由以下四个字段组成:
Label:
标签值,长度为20bits,用来标识一个FEG
Exp:
3bits,保留,协议中没有明确规定,通常用作服务等级。
S:
1bit,MPLS^持多重标签。
值为1时表示为最底层标签。
TTL:
8bits,和IP报文中的TTL意义相同,可以用来防止因环路而产生的无限传播。
3.标签交换路由器
LSR(LabelSwitchingRouter,标签交换路由器)是具有标签分发能力和标签交换能力的设备,是MPL制络中的基本元素。
4.标签边缘路由器位于MPLSR络边缘、连接其他网络的LSR称为LER(LabelEdgeRouter,标签边缘路由器)
5.标签交换路径
属于同一个FEC的报文在MPL制络中经过的路径称为LSP(LabelSwitchedPath,标签交
换路径)。
LSP是从MPLSR络的入口到出口的一条单向路径。
在一条LSP上,沿数据传送的方向,相邻的LSR分别称为上游LSR和下游LSR如图1-2所示,LSRB为LSRA的下游LSR,相应的,LSRA为LSRB的上游LSR
图1-2标签交换路径
LSRBLSRC
6.标签转发表
与IP网络中的FIB(ForwardingInformationBase,转发信息表)类似,在MPL制络中,
报文通过查找标签转发表确定转发路径。
7.控制平面和转发平面
MPLS^点由两部分组成:
控制平面(ControlPlane):
负责标签的分配、路由的选择、标签转发表的建立、标签交换路径的建立、拆除等工作;
转发平面(ForwardingPlane):
依据标签转发表对收到的分组进行转发。
LSP建立与标签的发布和管理
1.LSP建立
LSP的建立过程实际就是将FEC和标签进行绑定,并将这种绑定通告相邻LSR以便在LSR
上建立标签转发表的过程。
LSP既可以通过手工配置的方式静态建立,也可以利用标签分发协议动态建立。
⑴手工配置的方式静态建立LSP建立静态LSP需要用户在报文转发路径中的各个LSR上手工配置为FEC分配的标签。
建立静态LSP消耗的资源比较少,但静态建立的LSP不能根据网络拓扑变化动态调整。
因此,静态LSP适用于拓扑结构简单并且稳定的小型网络。
(2)利用标签发布协议动态建立LSP
标签发布协议是MPLS勺信令协议,负责划分FEG发布标签、建立维护LSP等。
标签发布协议的种类较多,有专为标签发布而制定的协议,如LDP(LabelDistributionProtocol,
标签分发协议),也有扩展后支持标签发布的协议,如BGPRSVP-TE本文只介绍LDP协议。
2.标签的发布和管理
标签发布方式分为:
DU对于一个特定的FEC下游LSR自动为该FEC分配标签,并主动将标签分发给上游LSR
DoD对于一个特定的FEC,上游LSR请求下游LSR为该FEC分配标签,下游LSR收到请求后,为该FEC分配标签并向上游LSR通告该标签。
目前,设备只支持DU^签发布方式。
MPLSa据转发过程
1.标签转发表构成
标签转发表由以下三部分构成:
NHLFE(NextHopLabelForwardingEntry,下一跳标签转发项):
描述对标签执行的操作,用于指导MPLSf^文的转发。
FTN(FECtoNHLFEmap,FEC到NHLF咬项的映射):
用于在Ingress节点将FEC映射到NHLF段项。
LSR接收到不带标签的报文后,查找对应的FIB表项。
如果FIB表项的Token
值不是Invalid,则该报文需要进行MPLS专发。
LSR根据Token值找到对应的NHLFE^项,以便确定需要执行的标签操作。
ILM(IncomingLabelMap,入标签映射):
用于将入标签映射到NHLF段项。
LSR接收到带有标签的报文后,查找对应的ILM表项。
如果ILM表项的Token值非空,则找到Token值对应的NHLFEH项,以便确定需要执行的标签操作。
FTNILM通过Token与NHLF/联。
2.MPLS数据转发
图1-7MPLS转发过程示意图
如图所示,MPL制络中报文的转发过程为:
(1)Ingress(RouterB)接收到不带标签的报文,根据目的地址判断该报文所属的FEC查
找FIB表,获取Token值。
Token值不是Invalid,则找到Token值对应的NHLF咬项。
根据NHLFE^项为报文添加标签(40),并从相应的出接口(Ethernet1/2)将带有标签的报文转发给下一跳LSR(RouterC)。
(2)RouterC接收到带有标签的报文,根据报文上的标签(40)查找ILM表项,获取Token值。
Token值非空,则找到Token值对应的NHLF咬项。
根据NHLFE^项,用新的标签(50)替换原有标签,并从相应的出接口(Ethernet1/2)将带有标签的报文转发给下一跳LSR
(RouterD)。
(3)Egress(RouterD)接收到带有标签的报文,根据报文上的标签(50)查找ILM表项,
获取Token值。
Token值为空,则删除报文中的标签。
如果ILM表项中记录了出接口,则通过该出接口转发报文;否则,根据IP报头转发报文。
3.倒数第二跳弹出
MPLS网络中,Egress节点接收到带有标签的报文后,查找标签转发表,弹出报文中的标签后,再进行下一层的标签转发或IP转发。
Egress节点转发报文之前要查找两次转发表:
两次标签转发表,或一次标签转发表一次路由转发表。
为了减轻Egress节点的负担,提高MPL丽络对报文的处理能力,可以利用PHPPenultimateHopPopping,倒数第二跳弹出)功能,在倒数第二跳节点处将标签弹出,Egress节点只需查找一次转发表。
PHP在Egress节点上配置。
支持PHP的Egress节点分配给倒数第二跳节点的标签有以下两种:
标签值为0表示IPv4显示空标签(Explicit-null),这个值只有出现在标签栈底时才有效。
Egress为FEC分配IPv4显式空标签,并通告给上游LSR后,上游LSR用这个值替代栈顶原
来的标签,并将报文转发给Egress。
Egress收到标签值为0的报文时,不会查找标签转发
表,直接弹出标签栈,进行IPv4转发。
标签值3表示隐式空标签(Implicit-null),这个值不会出现在标签栈中。
当一个LSR发
现下游LSR通告的标签为隐式空标签时,它并不用这个值替代栈顶原来的标签,而是直接弹
出标签,并将报文转发给下游LSR(即Egress)。
Egress接收到报文后,直接进行下一层
的转发处理。
LDP
LDP是标签发布协议的一种,用来动态建立LSP。
通过LDP,LSR可以把网络层的路由信息映射到数据链路层的交换路径上。
1.LDP基本概念
LDP会话
LDP会话建立在TCP^接之上,用于在LSR之间交换标签映射、标签释放、差错通知等消息。
LDP对等体
LDP对等体是指相互之间存在LDP会话,并通过LDP会话交换标签—FEC^射关系的两个LSR
2.LDP消息类型
LDP协议主要使用四类消息:
发现(Discovery)消息:
用于通告和维护网络中LSR的存在;
会话(Session)消息:
用于建立、维护和终止LDP对等体之间的会话;
通告(Advertisement)消息:
用于创建、改变和删除“标签一FEC映射关系;
通知(Notification)消息:
用于提供建议性的消息和差错通知。
为保证LDP消息的可靠发送,除了发现消息使用UDP专输外,LDP的会话消息、通告消息和通知消息都使用TCP传输。
3.LDP工作过程
LDP主要包括以下四个阶段:
(1)发现阶段所有希望建立LDP会话的LSR都周期性地发送Hello消息,通告自己的存在。
通过Hello消息,LSR可以自动发现它的LDP对等体。
LDP对等体发现机制分为两种:
基本发现机制:
用于发现本地的LDP对等体,即通过链路层直接相连的LSR这种方式下,LSR周期性地向“子网内所有路由器”的组播地址224.0.0.2发送LDP链路Hello消息,以
便链路层直接相连的LSR发现此LDP对等体。
扩展发现机制:
用于发现远端的LDP对等体,即不通过链路层直接相连的LSR这种方式下,
LSR周期性地向指定的IP地址发送LDP目标Hello消息,以便指定IP地址对应的LSR发现此LDP对等体。
(2)会话建立与维护
发现LDP对等体后,LSR开始建立会话。
这一过程又可分为两步:
建立传输层连接,即在LSR之间建立TCP连接;
对LSR之间的会话进行初始化,协商会话中涉及的各种参数,如LDP版本、标签发布方式、
Keepalive定时器值等。
会话建立后,LDP对等体之间通过不断地发送Hello消息和Keepalive消息来维护这个会话。
(3)LSP建立与维护
LDP通过发送标签请求和标签映射消息,在LDP对等体之间通告FEC和标签的绑定关系,从而建立LSP。
(4)会话撤销
在以下情况下,LSR将撤销LDP会话:
LSR通过周期性发送Hello消息表明自己希望与邻居LSR继续维持这种邻接关系。
如果
Hello保持定时器超时仍没有收到新的Hello消息,则删除Hello邻接关系。
一个LDP会话
上可能存在多个Hello邻接关系。
当LDP会话上的最后一个Hello邻接关系被删除后,LSR将发送通知消息,结束该LDP会话。
LSR通过LDP会话上传送的LDPPDU(LDPPDU中携带一个或多个LDP消息)来判断LDP会话的连通性。
如果在会话保持定时器(Keepalive定时器)超时前,LDP对等体之间没有
需要交互的信息,LSR将发送Keepalive消息给LDP对等体,以便维持LDP会话。
如果会话保持定时器超时,没有收到任何LDPPDULSR将关闭TCP连接,结束LDP会话。
LSR还可以发送Shutdown消息,通知它的LDP对等体结束LDP会话。
因此,LSR收到LDP对等体发送的Shutdown消息后,将结束与该LDP对等体的会话。
MPLS勺典型配置:
在VRF中定义的和VPN业务有关的两个重要参数是RT和RD,RT和RD长度都是
64bit。
RT是RouteTarget的缩写,RT的本质是每个VRF表达自己的路由取舍及喜好的方式,主
要用于控制VPN路由的发布和安装策略。
分为import和export两种属性,前者表示了我
对那些路由感兴趣,而后者表示了我发出的路由的属性。
当PE发布路由时,将使用路由所
属VRF的RTexport规则,直接发送给其他的PE设备。
对端PE接收路由时,首先接收
所有的路由,并根据每个VRF配置的RT的import规则进行检查,如果与路由中的RT属性match,则将该路由加入到相应的VRF中。
以下图为例:
SITE-1:
我发的路由是蓝色的,我也只接收蓝色的路由。
SITE-2:
我发的路由是黄色的,我也只接收黄色的路由。
SITE-3:
我发的路由是蓝色的,我也只接收蓝色的路由。
SITE-4:
我发的路由是黄色的,我也只接收黄色的路由。
这样,SITE-1与SITE-3中就只有自己和对方的路由,两者实现了互访。
同理SITE-2与
SITE-4也一样。
这时我们就可以把SITE-1与SITE-3称为VPNBLUE,而把SITE-2与
SITE-4称为VPNYELLOW。
RD是RouteDistinguisher的缩写,是说明路由属于哪个VPN的标志。
理论上可以为每个
VRF配置一个RD,通常建议为每个VPN的VRF都配置相同的RD,并且要保证这个RD全球唯一。
如果两个VRF中存在相同的地址,但是由于RD不同,这两个路由在PE间发布过程中也不会混淆,因为MPBGP把RD和路由一起发送,对端PE可以根据RD确定路由所属的VPN,从而把路由安装到正确的VRF
RD并不会影响不同VRF之间的路由选择以及VPN的形成,这些事情由RT搞定。
PE从CE接收的标准的路由是IPv4路由,如果需要发布给其他的PE路由器,此时需要为这条路由附加一个RD。
在IPv4地址加上RD之后,就变成VPN-IPv4地址族了。
VPN-IPv4地址仅用于服务供应商网络内部。
在PE发布路由时添加,在PE接收路由后放在本地路由
表中,用来与后来接收到的路由进行比较。
CE不知道使用的是VPN-IPv4地址。
组网应用
2.1VRF与MPLS组合应用
下面以图3为例说明MPLSVPN与VRF的典型应用:
组网中两个用户站点SITE1和SITE2属于同一个VPN,在两个PE上分别配置VRF参数,其中VRFSITE1的RD=100:
1,importRT=100:
3,exportRT=100:
2,VRFSITE2的RD=100:
1,importRT=100:
2,exportRT=100:
3。
通过VRF的配置可见:
两个VRF的RD同为100:
1,说明他们属于同一个VPN;
VRFSITE1导入和导出的RT分别等于VRFSITE2导出和导入的RT,说明两个VRF分别可以接收对方的VPN站点内的路由;
PE连接CE的接口与VRF绑定,说明该接口是属于对于VRF的资源,其他VRF和公网是看不到的。
PE和CE之间可以运行OSPF、RIP2、EBGP和静态路由。
运营商网络要求为MPLS网络,在PE1和PE2之间建立LSP,同时PE1与PE2间通过MP-1BGP来传播VPN路由。
BGP和路由协议的相关配置请参考VRP操作手册和命令手册。
图3
VPNSITE1内的一条路由10.10/16被通告到VPNSITE2的过程如下:
PE1从接口S0/0上学习到由CE1通告的10.10.0.0/16的路由,由于S0/0是绑定到
VRF的接口,所以PE1把该路由安装到对应VRF的路由表中,并且分配该路由的本地标签,注意该标签是本地唯一的。
然后通过路由重新发布把VRF路由表中的路由重新发布到BGP中,此时通过附加VRF
表的RD、RT参数,把正常的IPv4路由变成VPN-IPv4路由,如10.10.0.0/16变成100:
1:
10.10.0.0/16,同时把exportRT值和该路由的本地标签值等信息一起通过MP-1BGP
会话通告给PE2。
PE2收到这条VPN-IPv4路由后,先根据RD确定该路由所属的VRF,然后去掉VPN-IPv4路由所带的RD值,使之恢复IPv4路由原貌,并且根据所属VRF配置的导入策
略(本地ImportRT与收到的exportRT是否一致)决定是否在本地VRF中安装此路由。
本例中导入策略允许,所以PE2把10.10.0.0/16路由添加到VRF路由表中,同时记录对应的标签。
PE2再通过CE和PE之间的路由协议,把10.10.0.0/16路由通过与VRF绑定的接口S0/1通告出去,CE2学习到这条路由后把该路由添加到路由表中。
同样的道理SITE2内的路由10.11.0.0/16也可以被CE1学到。
下面说明从CE2Ping10.10.0.0/16时数据报文的转发过程(假设PE1为该路由分配的
标签为10,从PE2到PE1的LSP标签分别为L1、L2):
图4
首先Ping包从CE2发出,为IPv4报文,在图中用绿色方块标识。
当IP报文到达PE2时,PE2根据目的地址查找VRF的转发表,发现该路由出标签为10,同时该路由下一跳为PE1,而PE1对应的LSP标签为L1,于是PE2给报文分别打上10、L1作为内外层标签,进行MPLS转发。
MPLS报文到达P时,P根据MPLS转发表项把外层标签替换为L2继续转发。
MPLS报文到达PE1时,因为PE1是LSP的终点,所以外层标签被剥掉。
PE1根据露出的内层标签10判断出该报文是发往SITE1所属VPN的报文。
于是PE1剥掉内层标签向CE1转发IP报文。
CE1收到的是还原后的IP报文,后续处理与正常IP处理流程一样,这里不再赘述。
2.2VRFlite特性应用(即MCE的应用)
尽管VRF经常与MPLS一起使用,但VRF也可以脱离MPLS单独应用。
VRFlite就是典型例子。
VRFlite就是在CE设备上支持VRF。
图5所示为典型MPLSVPN组网中用户侧网络,一个企业分支内部的三个部门要求相
互隔离,分别通过一台CE连接到PE,形成一个VPN。
可见,该分支机构需要三台出口路由器,三条链路与PE连接;同时PE需要为一个企业用户提供三个接口,这将带来端口、链路资源的浪费,直接导致成本与支出的增加。
图5
针对这种情况,我们引入VRFlite特性来解决问题,即在CE上配置VRF特性。
具体组网如图6所示:
此时企业分支只需要一台CE路由器与PE相连,在CE上配置VRF,CE连接三个部门的接口分别与VRF绑定。
同时CE只需要一条物理链路与PE相连,并通
过链路的子接口分别与VRF绑定,完成CE与PE上对应VRF的逻辑连接。
PE与CE可以在各个VRF中运行动态路由协议完成VPN路由交换。
PE上的配置和图5中的一样,需要配置VRF和MP-IBGP。
图6
这种方案的优点有:
只需要一个CE,比多CE情况简化了网络的配置和管理;
PE与CE间只需一条物理链路;
节省了PE端口资源;
允许企业内部不同部门间的地址重叠;
MCE:
作原理
下面以图1-19为例介绍MCE对多个VPN的路由表项进行维护,并与PE交互VPN路由的过程。
图1-19MCE工作原理示意图
如图1-19所示,左侧私网内有两个VPN站点:
Site1和Site2,分别通过MCE设备接入MPLS骨干网,其中VPN1和VPN2的用户,需要分别与远端Site2内的VPN1用户和Site1内的VPN2用户建立VPN隧道。
通过配置MCE功能,可以在MCE设备上为VPN1和VPN2创建各自的路由转发表,并使用Vlan-interface2接口与VPN1进行绑定、Vlan-interface3与VPN2进行绑定。
在接收路由信息时,MCE设备根据接收接口的编号,即可判断该路由信息的来源,并将其维护到对应VPN
的路由转发表中。
同时,在PE1上也需要将连接MCE的接口(子接口)与VPN进行绑定,绑定的方式与MCE设备一致。
MCE与PE1之间通过Trunk链路连接,并允许VLAN2和VLAN3的报文携带VLANTag传输,从而使PE1在接收时可以根据报文所属VLAN判别该报文属于哪一个VPN,将报文在指定的隧道内传输。
3应用场合
VRF特性用于实现VPN的需求,可以与MPLS配合使用,也可以单独组网应用
4配置举例
4.1VRF与MPLS组合应用
图3所示的组网配置如下:
CE1配置:
#
sysnameCE1
#
domainsystem
#
controllerT33/0
usingt3
#
interfaceAux0
asyncmodeflow
#
interfaceEthernet0/0/*连接sitel内的网络*/
ipaddress10.10.0.1255.255.0.0
#
interfaceEthernet0/1
#
interfaceSerial3/0/0
link-protocolppp
ipaddress100.10.0.1255.255.0.0
#interfaceNULL0
#
interfaceLoopBack9
ipaddress28.40.1.1255.255.255.255
#
ospf1
import-routedirect
area0.0.0.0
network100.10.0.00.0.255.255
#
user-interfacecon0
idle-timeout00
user-interfaceaux0
user-interfacevty04
#
return
PE1配置:
#
sysnamePE1
#
mplslsr-id28.40.1.2
#/*公网运行MPLS*/
mpls
#
mplsldp
#/*VRF配置*/
ipvpn-instancesite1
route-distinguisher100:
1
vpn-target100:
2export-extcommunity
vpn-target100:
3import-extcommunity
#
domainsystem
#
controllerT33/0
usingt3
#
interfaceAux0
asyncmodeflow
#
interfaceEthernet0/0/*连接P的接口*/
ipaddress172.16.32.59255.255.0.0
mpls
mplsldpenable
#
interfaceEthernet0/1
#interfaceSerial0/0/*连接CE的接口*/
ipbindingvpn-instancesitel
link-protocolppp
ipaddress100.10.0.2255.255.0.0
#
interfaceNULL0
#interfaceLoopBack9
ipaddress28.40.1.2255.255.255.255
#
bgp100/*配置MP旧GP*/
undosynchronization
groupin100internal
peerin100connect-inte
升级会员 