MPLS VPN跨域网络互通不会?这样配置轻松拿捏

最新推荐文章于 2024-09-07 15:12:07 发布
最新推荐文章于 2024-09-07 15:12:07 发布
阅读量1k 收藏 22
点赞数 6
文章标签: 网络 华为 网络工程师 华为认证 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SPOTO2021/article/details/140921578
版权

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

晚上好,我的网工朋友。

VPN指的是在一个公共网络中实现私人网路的互联。MPLS VPN是VPN实现技术的一种,采用MPLS协议实现了VPN的转发。

MPLS VPN不仅优化了网络流量的管理,还提供了更高的服务质量和更低的运营成本。
但随着网络规模的扩大和复杂性的增加,如何在不同的自治系统之间实现有效的路由反射和VPN路由传递也难倒了不少朋友。
所以今天就来说说MPLS VPN在跨域网络中的互通配置,每一步我可都整理出来了,看过的朋友们可别再说不会了

今日文章阅读福利:《 MPLS-华为详解指南 》

876ca2bf7b4ec4ae9efc372b38229705.jpeg

私信我,发送暗号“MPLS”,即可获取此份内容详实的pdf。

01 MPLS VPN是什么

MPLS VPN(多协议标签交换虚拟专用网络)是一种利用MPLS技术实现的虚拟专用网络解决方案。

它为企业提供了一个安全、可靠且高效的网络连接方式,允许多个客户共享相同的物理网络基础设施,同时保持各自网络的隔离和安全性.

01 MPLS

MPLS通过在数据包上附加标签来进行路由选择,这些标签在网络中的标签交换路由器(LSR)之间传递。

MPLS支持多种路由协议,如OSPF、BGP等,使得网络设计更加灵活。

02 VPN

VPN是一种在公共网络基础设施上创建的虚拟网络,提供类似私有网络的安全和隔离性。

每个VPN实例都有独立的路由表和传输路径,确保不同客户的数据和路由信息相互隔离。

03 MPLS VPN的组成

  • PE设备:提供VPN服务的边缘设备,负责将客户的私有流量封装在MPLS标签中,并将其转发到网络中。

  • P设备:网络中的核心设备,负责处理标签交换和转发。

  • CE设备:客户的边缘设备,与PE设备相连,发送和接收VPN流量。

04 MPLS VPN的优势

  • 扩展性:通过区域划分和标签交换,MPLS VPN可以支持大规模的网络扩展。

  • 服务质量:MPLS VPN支持服务质量(QoS)的保证,可以为不同类型和优先级的流量提供不同的传输策略。

  • 安全性:通过隔离和加密,MPLS VPN提供了高安全性的网络连接,保护客户数据不被未授权访问。

MPLS VPN不仅优化了网络流量的管理,还提供了更高的服务质量和更低的运营成本。

02 实验构思

416ce6f05748da76ba7a9a2259d40cdf.jpeg

如拓扑图所示,某企业在北京设有总部R10,在深圳设有分部R9,相互通过骨干网络建立MPLS VPN实现互通。

中间经过不同的自治系统,各个AS内部又有RR(R4&R8)进行路由反射,要求利用跨域MPLS VPN实现互通。

01 方案分析 

  1. 带反射器,意味着PE有多个,所以不是让PE之间建立VPN邻居,在RR之间建立邻居
  2. RR是邻居,但最终VPN路由的发送者和接收者依旧是两边的PE设备
  3. 当PE收到VPN路由时,该PE的上一个VPN邻居是RR,该VPN路由的下一跳属性是对端的PE,流量的传输就不一定经过RR
  4. 隧道的建立是在每两个PE之间,AS内的PE间隧道由LDP建立,AS间的PE间隧道是由BGP建立
  5. RR之间起邻居,前提是RR之间的con int需要互通,RR之间也只是满足互通即可,进行路由传递。并不是必须需要建立隧道。但是PE之间是需要建立隧道
  6. 经过RR反射路由之后,PE之间也就可以互通了,互通之后PE之间才能建立隧道。
  7. 底层配置AS内部IGP互通,MPLS LSP建立,T标建立

总结:PE之间不建邻居,需要互通,建立隧道。RR之间需要互通,不用建立隧道,RR之间建立VPN邻居关系。

02 配置思路 

1.保证AS内部的IGP路由互通,各个设备的环回口进行ping测试。

2.在各AS内部运行MPLS-LDP,保证T标隧道的建立。

——在各个设备查看mpls lsp

3.在PE-RR-ASBR1-ASBR2-RR-PE之间建立BGP公网邻居关系(ipv4-family unicast)

——反射器一般使用对等体组的方式建立邻居,减少配置。

——注意在undo default ipv4-unicast之后,需要在bgp全局下和地址族下两次加组才能激活邻居

4.在asbr上使用bgp发布本AS内的RR和PE的环回口路由。

——RR的路由是为了和对端RR将来建立vpnv4邻居,PE的路由是为了将来和对端PE建立公网隧道。

——发布完成后,检查各BGP设备是否收到公网路由。

5.在asbr上配置方式一的策略P1 P2,检查两个AS之间发布的公网bgp路由,都分配的BGP LSP。

03 进入正题 

6.在PE-RR-RR-PE之间建立vpnv4邻居关系。

——此时反射器起到收集本AS内vpnv4路由的作用,然后传递给对端RR,并非反射。

7.CE和PE之间运行路由协议,发布私网路由(同单域)

8.在RR_上undo policy vpn-target不需要建立vpn实例,直接收发vpn路由。

——此时,PE收到的路由下一跳在反射器上,不是最佳路径。

9.当RR将vpn路由发送给对端RR,和发送给本AS内PE时,都需要使用不修改下一跳策略。

——使得PE收到的vpn路由,下一跳在对端PE上,从而可以递归到BGP LSP中,实现最短路径。next-hop-invariable

03 地址规划

  1. 各个路由器互联地址为 XY.1.1.(X/Y)/24,X以及Y为路由器编号,此地址为公网地址。

  2. 每个路由器的 Lopback0 接口的地址为 X.X.X.X/32,X 1为路由器编号。

  3. R1-R10与 R7-R9的互联接口是私网地址,地址分别为192.168.10.0/24 以及 192.168.9.0/24。

配置好IP后,检测一遍直连通信(在现实项目中必须要有这一步,此处省略)

04 IGP配置

各个AS内部使用OSPF实现互通,配置省略,配置完成检查路由表,邻居表。

MPLS LDP配置省略,配置完成检查路径表。

05 PE互通

01 IBGP配置

配置BGP公网互通,14 34 35 58 87 BGP IPV4邻居建立,注意RR组配置的全局和地址族下的enbale和加组,注意互相之间的label能力开启。

以R4为例:

4eb4213eda102a24139aa7bb4a685b50.jpeg

R3因为要传输ebgp路由,指邻居要注意下一跳属性更改。

02 EBGP配置

35之间建立EBGP邻居,通告RR路由是为了和对端RR建立VPNV4邻居,通告PE的路由是为了和对端PE建立公网隧道。

d40e7a3fc7a4366ff0a2b2100c9eaa6b.jpeg

03 BGP标签交换

由于R2 R6两个P设备存在路由黑洞,所以17并不能不通。

用方式一建立隧道:在R3R5上配置B标交换,以R5为例,P1策略,为所有路由进行标签交换,P2策略,为所有已有标签的BGP路由再进行标签交换,对端RR,记得开启对端的label能力。

RR上面做好标签交换之后,还需要再次进行标签交换并分配给PE设备。

1b97677f54e312068fe2dbdcd05c07f2.jpeg

隧道建立结果:R3上产生了AS内的出标签,AS外路由的入标签:

46efd489f5b19c8b257045b6d470bb0f.jpeg

在RR上收到路由后并且收到分配的标签:

ba9896a828240615901f5f1e9813f020.jpeg

RR将该路由反射给PE设备,标签不变:

caa16591e369cfc54c97fc474091ada3.jpeg

04 建立VPNv4邻居

到此公网隧道就已经建好了,开始传递VPN路由配置,PE和RR之间是IBGP ,RR和对端RR是EBGP底层,RR收集自己本AS内的VPN路由再统一的传递给对端的RR。R1,R4起VPNV4邻居:

3fca3cae38d0fd16de8ef67a862f13aa.jpeg

在R4也就是反射器上配置VPNV4邻居的时候,如果PE特别多的情况下用PEER组配置。

f7621ea7c61072605d138357a487ba69.jpeg

同时R4 R8建立VPNV4邻居关系。查看邻居关系:

f3d59ee327b8906b594cd20c2326a0f5.jpeg

05 私网路由传递

CE和PE之间运行路由协议发布私网路由,后续和单域配置一致,在R10上发布路由10.10.10.10,在R1上收到实例路由并转换为VPN路由。

86a6cfcf558c8649f97d218a170e75ab.jpeg

R1会将该路由给R4,R4上面要忽略RT值接收该路由。R4收到之后将路由传递给对端的RR,也就是自己的VPN邻居,R8上同样配置忽略RT值进行接收。R8将路由传递给R7,到PE终端设备。

06b2c372d04f532f32f9f55761cadad0.jpeg
ec41273cd5ac0a6a8c106c6f64cb9baf.jpeg

06 次优路径问题

此时PE收到的路由下一跳属性是在RR R8上(VPN路由会自动修改下一跳属性为本地,IPV4路由要手动配置)此时对于R7的这种转发路径来说,不是最优路径,应该希望R7的下一跳是对端PE,所有的中间设备只传递路由,不应该修改这些属性。

在R4上配置传递给R8的路由下一跳属性不更改,此时R8收到的路由下一跳属性就是1.1.1.1 ,R8将路由传递给R7时也不要修改下一跳。R8是反射器,可以配置对组策略,此时R7收到的路由下一跳就没有更改过,就是R1。

42543e8a305b6916f264bfcb125778f2.jpeg

07 流量路径分析

在R1上查看VPN路由的标签V标

9d78afd4e63156ac9bb2f8287762a4a6.jpeg

查看去往9.9.9.9的B标& T标

5ffc71ecd943519e13f57459060adcc7.jpeg
6a4d748fbbc305e445312825c8c7655c.jpeg

R1-R2

打上V标1027,B标下一跳递归到7.7.7.7 的1030

430f2efb879dadf651af4291ed1cbc37.jpeg

6239953391a770f5d4ee4f44ab6ade8d.jpeg

去往7.7.7.7递归到下一跳3.3.3.3,打上T标1024

b2a79333a7db3dfaf2c066000c9f538b.jpeg

R2-R3

T标到R3次末跳弹出

1ee41690f509a0433da2fe268d21da65.jpeg
9100b98f92e1dccb2ec7c033f4bff484.jpeg

R3-R5

B标交换

fa212a1088c9bb4ca37f1b0559b0c5c8.jpeg
32a5e2d786bbf3a13584f8d9b0edea23.jpeg

R5-R6

B标次末跳弹出,进入AS200内的T标交换

bec441cd923e69d2c804fda42c51a7cd.jpeg

148b283c4b5fd45173425408c979c8a1.jpeg

R6-R7

T标次末跳弹出,只剩下V标

8240afa601ae274095738ae4bc816e5e.jpeg

08 路由路径分析

R1-R4

R1自动将从CE学到的BGP路由转换为vpnv4路由,R1-R4抓包:

ad4422498dda3fb6d6c5a2ee6f421981.jpeg

6031ab5b43f26651985d362eb3e408d5.jpeg

R4-R8 

R4将10.10的vpnv4路由传递给公网邻居,R4出口:

23def8cfdacc1dc3016ffdd7b9dcbb6b.jpeg

R8入口:可以看到T标,B标的交换

48fe23ef358c8ff8fa1a4a1429ce9049.jpeg

073cb7a6f3d6c672d1b3fb22a211adaf.jpeg

R8-R7

rr默认会把收到的所有vpnv4路由转给所有PE吗?我觉得会,但问了还没回我。

8c2e67c820bc280833eb44361ca62ae0.jpeg

06 常见问题

问题1:PE1 PE2之间没有IGP互通,怎么起MP BGP邻居

PE之间起邻居其实是公网互通之后就能起。就是BGP不同区域下的互通问题。建立EBGP需要注意多跳。

问题2:PE1 PE2之间VPN路由传递之后V标?RT?

V标不会变,中间都是T标交换流量转发,RT两边配置成对。

问题3:公网BGP路由有效前提是下一跳可达,对于VPN BGP路由传递时前提是下一跳可达并且有标签交换路径LSP,单域中,LDP协议分配T标生成LSP

问题4:PE2收到VPN路由之后,下一跳是PE1,是否可达?

可达,因为是EBGP邻居。

问题5:该PE1下一跳是否有隧道LSP?

没有隧道,PE2收到路由是BGP协议收到的,LDP并不会为BGP分配标签,默认只为IGP路由分配标签,就算强制让LDP为BGP分配标签,中间链路上存在的P设备并没有BGP路由,LSP必然中断。单域中,IGP+LDP就可以建立PE间隧道;而跨域环境下,两个PE之间没有标签转发隧道。

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

网络工程师俱乐部
关注
十一、MPLS-VPN
qq_33782021的博客
06-17 2264
MPLS-VPN技术原理进行了详细的介绍
四、MPLS VPN跨域解决方案
liyao1569的博客
08-21 2545
本文主要讲解了跨域MPLS VPN常用的三种解决方案,以及顺带研究了一下VRF和LDP标签的一些细节处理
华为MPLS VPN应用场景之跨域VPN(OptionB方案)
最新发布
Alwaysone123的博客
09-07 938
跨域VPN OptionB方案实验与分析
MPLS VPN 跨域实验(Option A)
woshills的博客
07-11 498
步骤 3:在 PE2 和 ASBR2 上配置 MP-BGP,使用 Loopback 口建立 IBGP 邻居,配置方法与上述步骤一致。步骤 1:在 PE1 上创建 VPN1 和 VPN2,配置 RD 和 RT,并把连接各 CE 的接口绑定至各自 VPN 实例。步骤 4:在 PE2 上创建 VPN1 和 VPN2,配置 RD 和 RT,并把连接各 CE 的接口绑定至各自 VPN 实例。步骤 4:在 PE2,CE3 和 CE4 上配置 OSPF 实例传递私网路由,配置方法与上述步骤一致。
MPLS 跨域
m0_57713054的博客
06-23 909
ASBR-PE上需要负责VPNv4路由的保存和扩散,对ASBR负担大,如果需要穿越多个AS,则沿途AS中的所有ASBR-PE都需要保存和传递VPNv4路由,不适用于跨越多个AS的场景,相对于option A来讲,ASBR -PE上不需要为VPN实例,所有option B更适用于VPN数量多,跨越AS数量少的场景。**缺点:**ASBR需要维护更多的VPNv4路由与VPN实例,对ASBR设备性能需求高,负担大,不适用跨域多个域的场景。**优点:**配置简单,易于实现,ASBR间不需要运行MPLS
跨域MPLS 虚拟专用网络
qq_43685364的博客
06-14 646
跨域MPLS 虚拟专用网络
MPLS——VPN
m0_52049418的博客
01-31 3818
A公司通过动态路由进行内部通信;B公司通过静态路由通信,B1和B2通过写缺省路由进入公网访问彼此。注:在关联到vrf空间前不能配置接口ip,否则该地址的直连路由将进入公有路由表。根据图中要求进行MPLS-VPN配置;R7可以访问公网用NAT。
MPLS_跨域_OptionA
qq_63540264的博客
05-16 604
MPLS存在了多个AS区域时,因为跨域了不同的AS区域会产生问题:AS之间不会存在LDP协议,因为AS之间没有IGP路由;不同AS区域之间的PE设备没有IGP路由,因此不会产生BGP的更新源,无法建立MP-BGP邻居传递VPnv4的路由;本实验我们采用MPSL跨域OptionA的方案来解决此类问题
MPLS-VPN跨域OptionB解决方案实验(RR场景)
m0_37033437的博客
12-15 1658
标签转发过程在ASBR处理时除了需要转换内层标签,还需要添加LDP为下一跳分配的外层标签,才能正确将数据发往下一跳(通过Tunnel ID/Token/outing token这三个参数关联,路由器内部将所有表项关联)
MPLS VPN跨域
09-29
3. 扩展性:MPLS VPN跨域可以轻松地添加新的域或VRF,扩展网络规模而不会影响整体性能。 4. 性能优化:通过利用MPLS标签交换技术,MPLS VPN跨域可以提供更高的性能和传输效率。 总之,MPLS VPN跨域是一种强大的...
BGP MPLS配置OptionC方式跨域VNP示例(方案二).zip
03-13
Option C是BGP/MPLS IP VPN标准中定义的一种跨域解决方案,其核心思想是在AS(Autonomous System,自治系统)间使用EBGP(External BGP)来交换路由信息,并通过MP-BGP(Multiprotocol BGP)在每个AS内部传递标签...
MPLS VPN的基本概念与配置(HCIP完整版)
weixin_72194028的博客
01-12 6584
MPLS VPN的基本概念与配置(HCIP完整版)
跨域BGP/MPLS IP VPN实验(OptionA方式)
m0_73365347的博客
11-03 6688
BGP/MPLS VPN有时也简称为MPLS L3 VPN,它是MPLS最为广泛的应用之一。BGP/MPLS VPN主要部署在运营商网络中。
BGP/MPLS IP VPN跨域解决方案
数通Dinner的博客
05-14 3208
可以看出在跨域OptionA方案中,VPNv4路由在传递时通常带有两层标签栈——跨域OptionB方案非RR场景也是只有两层标签栈,并且ASBR之间传递的是VPNv4路由,配置相比OptionA也要简化一些,只是ASBR负担仍较重,控制平面与转发平面都集中在ASBR上,因此当网络规模较大时,ASBR的性能瓶颈仍然是个问题,在ASBR的流量负担上,相比OptionA几乎没有区别。
MPLS VPN 跨域-optionB
GRQ的博客
07-21 1338
通过optionB方案把CE1的私网路由192.168.1.1传到CE2网络拓扑图如下配置思路1.在AS100跟AS200里运行RIPv2协议2.在AS100跟AS200里跑MPLSLDP3.R2跟R1R2跟R3建立bgp,这里R2充当反射器4.R1上创建VPN实例,运行ospf绑定VPN实例跟CE1建立邻居关系5.在R1上从BGP协议里引入ospf协议(此时R3上会有192.168.1.1的路由)6.R3跟R4建立EBGP邻居关系。......
mplsvpn
2303_77223717的博客
07-04 1626
我们在学习bgp的时候知道解决bgp水平分割有三种办法:1.ibgp全互联2.bgp反射器3.bgp联盟ibgp配置复杂,配置量多,拓扑变更bgp联盟配置多,会改变网络拓扑,而且当子联盟的路由器超过3台依然会出现水平分割bgp反射器配置简单,且不改变网络拓扑,是我们的第一选择,但是对于反射器(rr)的压力会很大,设备要求性很高我们还有没有其他的解决办法?那就是mpls!!!问题1:也叫本地路由冲突问题(IP地址空间重叠)-----解决方案:VRF。
MPLS VPN详解
weixin_68261415的博客
11-13 4389
所有PE路由器和P路由器都运行主干网的域内路由(OSPF或者ISIS等),生成的路由表将触发主干网中LSP的建立(拓扑驱动方式),通过LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换(也就说在数据转发时,在PE收到CE的数据报文时,VRF为数据报文打上内层VPN标签和获取下一跳出口PE路由器的地址,根据这个地址进行外层标签的转发,因此这个下一跳地址是连接域内路由和VPN路由的纽带)。其实就是在IPv4的加上64bit的字段,保证在IPv4地址进入PE后保持全局唯一性。
华为数通笔记-MPLS BGP跨域
qq_45959697的博客
04-01 4170
简介 一般MPLS VPN体系结构都是在一个自治系统内运行,任何VPN信息只是在一个AS内按需扩散。因此为了支持不同运营商之间的VPN路由交换,就需要扩展现有的协议和修改体系框架,提供一个不同与基本的MPLS VPN体系结构-跨域的MPLS VPN,以便可以穿过运营商间的链路来发布路由前缀和标签信息。 VPN-Option A 这种方式是基本MPLS VPN跨域环境下的应用。 1.ASBR之间不需要运行MPLS,也不需要为跨域进行特殊的跨域配置 2.两个AS的边界ASBR直接相连,同时也...
MPLS VPN跨域方案OptionA、B、C1、C2路由传递和数据转发三种方案的总结 配置思路
qq_59570569的博客
05-13 4906
MPLS VPN跨域方案OptionA、B、C1、C2路由传递和数据转发三种方案的总结 配置思路
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值