重點講解用目標(biāo)和源屬性組建VPN屬性
重點講解用目標(biāo)和源屬性組建VPN屬性,在向大家詳細(xì)介紹VPN屬性之前,首先讓大家了解下VPN屬性配置模式中相應(yīng)參數(shù),然后全面介紹共享上網(wǎng),選擇使用寬帶路由器這種最簡單方案。
源VPN屬性
一個VPN-IPv4路由可以選擇性地通過源屬性與一個VPN屬性相關(guān)。這個屬性唯一地代表了一系列站點的集合,并代表了相應(yīng)的來自于該集合的一個站點的路由。這個屬性的典型用途是表明了路由指向的站點的擁有者---某企業(yè),或表明了該站點的內(nèi)聯(lián)網(wǎng)。當(dāng)然,還可能有其它用途。這個屬性可以象一個擴(kuò)展的BGP群體屬性一樣來編碼。
當(dāng)需要確定一路由的來源時,應(yīng)當(dāng)使用源屬性,而不是RD。如下文所述,這個屬性可以用于構(gòu)建VPN屬性。更確切地說,這個屬性應(yīng)稱為“源路由”屬性而不是“源VPN屬性屬性。它只確定路由來自于某一站點集合中的一個站點,并不關(guān)心這些站點是否組成一個VPN屬性。
用目標(biāo)和源屬性組建VPN屬性
如果正確地設(shè)置了目標(biāo)VPN和源VPN屬性,就可以組建各種不同的VPN。如果想組建一個包含特定站點集合的封閉用戶群CUG,可以用一個指定的目標(biāo)VPN屬性值來代表該CUG。這個值應(yīng)該與CUG中每個站點的轉(zhuǎn)發(fā)表,以及從CUG中每個站點中學(xué)習(xí)的路由相關(guān)聯(lián)。
任何有該目標(biāo)VPN屬性的路由都應(yīng)該重新分發(fā),以到達(dá)每一個與CUG中任一站點相連的PE路由器。如果是想組建一種"hubandspoke"VPN,可以使用兩個目標(biāo)屬性值,一個代表“Hub”,一個代表“Spoke”。從spoke發(fā)出的路由被分發(fā)到hub,但hub發(fā)出的路由并不被分發(fā)到spoke.
如果一些站點既在內(nèi)聯(lián)網(wǎng)上也在外聯(lián)網(wǎng)上,而另一些站點只在內(nèi)聯(lián)網(wǎng)上,那么,有一些內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的路由具有代表全體站點的目標(biāo)VPN屬性。那些有內(nèi)聯(lián)網(wǎng)路由的站點只能過濾有“錯誤”源VPN屬性的路由。利用這兩個屬性,可以靈活地控制路由信息在不同站點集合間的分發(fā),在VPN屬性的組建上也提供了很好的靈活性。
在主干網(wǎng)上的轉(zhuǎn)發(fā)
如果主干網(wǎng)上的中間路由對到VPN屬性的路由一無所知,數(shù)據(jù)包如何從VPN屬性的一個站點轉(zhuǎn)發(fā)到另一個站點呢?這是利用MPLS的兩層標(biāo)簽棧來實現(xiàn)的。PE路由器(和重新分發(fā)VPN-IPv4地址的ASBR)要在主干網(wǎng)的IGP路由表中插入/32地址前綴。
這樣,在主干網(wǎng)的每一個網(wǎng)絡(luò)節(jié)點上,都可以用MPLS為到每個PE路由器的路由指定一個標(biāo)簽。(在主干網(wǎng)上建立標(biāo)簽交換路徑LSP的過程中不需要/32地址前綴)當(dāng)PE從一個CE設(shè)備接收到一個包時,它選擇一個站點轉(zhuǎn)發(fā)表來查找包的目的地址。
假設(shè)找到了匹配項。如果該包的目的地是連接在同一PE上的一個CE設(shè)備,就直接發(fā)送到該CE設(shè)備。如果該包的目的地不是連接在同一PE上,則找到該包的“BGP下一跳”和BGP下一跳為包的目的地址分配的標(biāo)簽。先把標(biāo)簽壓入包的標(biāo)簽棧,成為棧底標(biāo)簽。
接著PE查找到BGP下一跳的IGP路由,確定IGP下一跳和IGP下一跳為BGP下一跳地址分配的標(biāo)簽。這個標(biāo)簽也被壓入包的標(biāo)簽棧,成為棧頂標(biāo)簽。然后這個包被轉(zhuǎn)發(fā)往IGP下一跳。(如果BGP下一跳就是IGP下一跳,第二個標(biāo)簽就用不著入棧了。)由MPLS攜帶這個包經(jīng)主干網(wǎng)到達(dá)適當(dāng)?shù)腃E設(shè)備。
也就是說,所有的P和PE路由器做出的轉(zhuǎn)發(fā)決定現(xiàn)在都以MPLS方式給出,直到包到達(dá)該CE設(shè)備,不需再查看包的IP包頭。最后的PE路由器將在把包發(fā)送到CE設(shè)備前從標(biāo)簽棧中彈出最后的標(biāo)簽,這樣,CE設(shè)備看到的仍是一個普通的IP包。(第8節(jié)將討論CE能接收帶標(biāo)簽的包的情況)當(dāng)一個包通過一個PE路由器從某站點進(jìn)入主干網(wǎng)時,根據(jù)PE路由器中與該站點相關(guān)的轉(zhuǎn)發(fā)表內(nèi)容決定包的路由。
與包離開主干網(wǎng)的PE路由器中的轉(zhuǎn)發(fā)表是無關(guān)的。因此,到同一系統(tǒng)可以有多個路由,為包選擇哪一個路由取決于包從哪一個站點進(jìn)入主干網(wǎng)。注意,兩層標(biāo)簽的運用使保持所有VPN屬性路由與P路由器的隔離成為可能,這對于保證該模型的擴(kuò)展性相當(dāng)重要。主干網(wǎng)甚至只需到PE的路由而無需到CE的路由。
