VPN 新趨勢 MPLS VPN(2)

MPLS VPN相對於IP VPN的優勢

MPLS VPN很容易provisioning，而且有最佳化的routing，RD的設計可以避免不同VPN客戶IP位址重覆的問題，RT值的加入可規劃複雜型式的VPN架構，是其他企業VPN解決方案所無法做到的。

MPLS VPN routing information建立的過程

《一》IP網路路由的建立 利用routing protocol(例如IGP)交換各個router的routing information。

《二》MPLS網路的建立 MPLS網路中的PE router或P router間利用LDP(Label Distribution Protocol)來交換彼此的Label Information，PE1到PE2 的LSP(Label Switching Path)在Packet傳送前就已決定。

《三》MPLS VPN網路的建立 利用MP-BGP的路由協定來攜帶及交換不同PE router間的客戶VPN routes。PE2將收到CE2的MPLS VPN routes(10.1.1.0/24)放入VRF VPN-A中，並將此VPN routes加上RD值組成VPNv4的format，另外再加上RT值，VPN label等屬性值以Mp-iBGP的協定傳送給PE1 router，PE1 router收到來自PE2 router的VPN-v4 updat將其中的IP address取出放入VRF VPN-A的routing table內並且advertised to CE1。

MPLS VPN封包傳遞的過程

《一》在PE1將進入MPLS網路的客戶端Packet加上VPN label及IGP label 當PE1收到來自CE1的IP packet，得知Packet的Destination IP是10.1.1.27立刻查詢VPN-A的VRF routing table，發現要到10.1.1.0/24的next-hop ip是192.72.238.1，而且要在IP header的前端加上VPN label以區別是來自不同的VPN客戶。另外再根據Label Forwarding Table可以查出要到next-hop ip 192.72.238.1要使用IGP label=41才能Forwarding到MPLS的網路中，所以在VPN label的前端再加上IGP label，這樣才能順利的依循著之前定好的LSP(Label Switching Path)將Packet送達PE2。

《二》在MPLS網路中P router負責做Label Swap P1 routers收到來自PE1的Packet，先查看Packet中最外面的Label header也就是IGP label其值為41，再根據本身的Label Forwarding Table得知，凡是In的Packet IGP Label=41的Packet要送出P1 router到下一個節點P2時，要將IGP label 41置換成31再送出Packet。

《三》Penultimate Hop Popping 在PE1到PE2的LSP path中P2是penultimate hop的角色，他會收到來自PE2透過LDP協定的通知說要把Packet中外層的IGP label先拿掉，以減輕PE2工作的負擔。

《四》PE2負責去除VPN label並送到所屬VPN客戶的interface 當PE2收到來自P2的封包，先查詢得知其VPN label=28，並得知此VPN label=28相對應的VRF為VPN-A這個客戶，進一步得知要將Packets送往那一個interface，因此PE2的工作程序是One single lookup、Label is popped and packet sent to IP neighbor。

結語

本篇文章主要是詳細介紹MPLS VPN如何利用MP-iBGP這個協定來交換各個PE router間客戶的VPN routes，其中應用了新的format VPNv4來攜帶客戶的VPN routes，另外引進了BGP extended community的觀念做Modified，產生了RT這個屬性值以做為建立不同企業或合作夥伴間彈性的Extranet網路架構，最後舉例說明一個 MPLS VPN客戶的Packets如何在MPLS網路中傳送，並到達客戶的另一節點的區域網路，其中可以看到MPLS VPN技術利用VPN label來區別來自不同的VPN客戶的封包，以達到VPN客戶的網路私密性。

http://eservice.seed.net.tw/class/class14-2.html