MPLS VPN:
ML-VPN:
ML-VPN并不是使用的一个单一VPN技术,而是结合了多种协议的协议簇(IPV4-BGP)
完整过程:
①首先,要完成MPLS LDP协议,需要做到BGP内的IGP可达(前提),所以需要现在MPLS VPN骨干部分运行IGP协议(目的:PE之间做到路由可达),此时再去运行BGP LDP协议(需要PE之间建立IBGP对等体关系,此时PE之间是通过标签交换完成信息传递,而不是包交换)
②由于CE之间会存在私网地址相同的情况,所以需要使用VRF技术,将不同客户传递的信息区分开来(划入到虚拟空间中)
③此时CE发送的信息通过VRF处理后压入PE设备,在发送到对端的PE时,需要使用RD来区分这个信息的来源(源地址信息,96位二进制,AS:XX:IP地址),RD值在到达对端的PE站点后会被剥离
④由于RD值在到达对端PE后会被剥离,此时对端PE无法确认这个信息是来自哪一个VRF空间的,所以本端PE需要再压入使用RT标签(RT标签相当于口令,需要本地PE出站点RT和对端PE入站点RT相同时,才能传输转发数据),即:在压入RT时会存在两个值,一个是出站RT,一个是入站RT。(入站RT可以定义多个,但是出站RT只能有一个)
⑤此时需要修改BGP为ML-BGP,使得可以支持协议簇
⑥此时需要做双向重发布,将相同客户的CE站点信息刷新到本地的CE路由表中
RD和RT标签是控制层面上的概念,只能表示协议上可达,但不一定实现数据层面上可达
此时路由此时在控制层面上已经做到可达,但是在数据层面上不一定做到数据可达(数据无法加入RT/RD这样的社团属性,社团属性是协议层面上的),所以此时需要在数据上加入双层标签来做到数据层可达(一层用来通过公网的MPLS,一层用来区分不同的VRF空间)
配置:
流程:
①配置IGP协议
②允许BGP协议
③PE之间建立IBGP对等体关系
④AS内部运行MPLS LDP协议
⑤配置VRF空间
⑥将端口划分到VRF空间
⑦配置RD与RT值(出RT,入RT值)
⑧运行MP-BGP(使得支持IPV4 family)
⑨双向重发布导入协议(静态/协议)
MPLS LDP:
AS内部所有的设备都需要运行MPLS LDP协议
[r3]mpls lsr-id 3.3.3.3
#首先设置MPLS的LSR ID号
[r3]mpls
Info: Mpls starting, please wait... OK!
[r3-mpls]q
[r3]mpls
[r3]mpls ldp
[r3-mpls-ldp]q
#然后再依次在AS域内路由器上允许MPLS和MPLS LDP进程
[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]mpls
[r3-GigabitEthernet0/0/0]mpls ldp
[r3-GigabitEthernet0/0/0]int g0/0/1
[r3-GigabitEthernet0/0/1]mpls
[r3-GigabitEthernet0/0/1]mpls ldp
#注意,AS内部的路由器对应路由接口也需要启动相应的MPLS和MPLS LDP进程
创建VRF空间:
#在PE设备上创建VRF空间
[r2]ip vpn-instance lxb
//系统窗口下创建VRF空间
[r2-vpn-instance-lxb]route-distinguisher 1:5
//配置RD值
[r2-vpn-instance-lxb-af-ipv4]vpn-target 1:5 export-extcommunity
EVT Assignment result:
Info: VPN-Target assignment is successful.
[r2-vpn-instance-lxb-af-ipv4]vpn-target 5:1 import-extcommunity
IVT Assignment result:
Info: VPN-Target assignment is successful.
//配置RT值,此时export-extcommunity为出RT,import-extcommunity为入ET
划分端口到VRF空间:
#接口绑定是在PE设备上与CE设备对应的端口上的
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip binding vpn-instance lxb
//端口绑定是要先进入接口然后再去绑定端口
Info: All IPv4 related configurations on this interface are removed!
Info: All IPv6 related configurations on this interface are removed!
[r2-GigabitEthernet0/0/0]ip address 192.168.12.2 30
//VRF空间下的该端口ip运行ML-BGP:
//PE上配置IPV4-family
[r2]bgp 1
[r2-bgp]ipv4-family vpnv4
//运行协议簇
[r2-bgp-af-vpnv4]peer 4.4.4.4 enable
//指向IBGP对等体
[r2-bgp]ipv4-family vpn-instance lsp
//协议簇绑定VRF双向重发布:
①静态或者直连:
假设客户A是做静态和直连的导入,此时需要CE和PE设备之间存在指向对方的路由信息
//本地CE上写入到达对端CE的静态(对端CE环回,私网骨干)
[r1]ip route-static 192.168.5.0 24 192.168.12.2
[r1]ip route-static 192.168.45.0 24 192.168.12.2
//本地PE上写下到达本地CE的静态(本地CE的环回)
[r2]ip route-static vpn-instance lxb 192.168.1.0 24 192.168.12.1
[r2]bgp 1
[r2-bgp]ipv4-family vpn-instance lxb
[r2-bgp-lxb]import-route direct
[r2-bgp-lxb]import-route static
//重发布静态和直连到BGP中
//静态路由必须是本地CE到对端CE的未知路由信息!!!
PE之间可以通过IGP获取到相互的路由信息,而通过BGP导入直连和静态可以使得本端PE学习到对端的CE信息,此时本端CE会刷出对端CE的信息(直连和静态)。但是此时本地PE需要通过ping -vpn-instance XXX x.x.x.x 来访问对端CE测试(XXX为本地VRF号,x.x.x.x对端的地址)
原因:此时是通过VRF来实现MPLS的,而全局路由表中并没有存在VRF的路由信息,如果直接ping是无法获取到VRF的路由信息(本地PE需要使用mpls管道来到达对端的PE)
②IGP协议:
假设客户B是做RIP和OSPF的导入,此时需要CE和PE设备之间存在指向对方的路由信息
//PE的VRF上配置RIP协议
[r2]rip 1 vpn-instance lsp
[r2-rip-1]v 2
[r2-rip-1]network x.x.x.x
//在VRF绑定的BGP内重发布RIP
[r2-bgp]ipv4-family vpn-instance lsp
[r2-bgp-lsp]import-route rip 1
//再在VRF的RIP中重发布BGP
[r2]rip 1 vpn-instance lsp
[r2-rip-1]import-route bgp
//PE的VRF上配置OSPF协议
[r4]ospf 2 vpn-instance xsb router-id x.x.x.x
[r4-ospf-2]area 0
[r4-ospf-2-area-0.0.0.0]network x.x.x.x x.x.x.x
//在VRF绑定的BGP内重发布OSPF
[r4-bgp]ipv4-family vpn-instance xsb
[r4-bgp-xsb]import-route ospf 2
//再在VRF绑定的OSPF中重发布BGP
[r4]ospf 2 vpn-instance xsb
[r4-ospf-2]import-route bgp
PE上想要ping通对端的CE设备同理,需要使用ping -vpn-instance XXX x.x.x.x 来访问对端CE测试(XXX为本地VRF号,x.x.x.x对端的地址)
7973
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
