华为数通HCIP-VPN技术-mpls vpn

VPN（虚拟专线网络）

作用：实现广域互联（不同地域局域网之间跨越公网进行互通）；

VPN（Virtual Private Network，虚拟专用网络）指的是在一个公共网络中实现虚拟的专用网络，从而使得用户能够基于该专用网络实现通信的技术。
 

MPLS VPN

设备角色：

PE（运营商边界设备）：

CE：VPN用户企业的边界设备

P:运营商

VPN实例

一般一个企业对应一个VPN实例，通过实例名称作为区分；

RD（路由标识符）

作用：用于区分来自不同的VPN实例的私网路由；

原理：会根据私网路由一起在公网上传递；

特点：不同的VPN实例不能配置相同的RD值；

RT（路由目标值）
    作用：控制VPN路由的接收，实现VPN实例之间的访问控制；
    原理：私网路由在公网上传递时，会携带对应vpn实例的出方向RT，对端PE收到后会对比路由中的出方向RT，与自身连接的VPN实例的入方向RT是否一致，一致则传递进该VPN实例，不一致则不传；

    因此，在配置时，需要互通的VPN实例之间的RT值需要交叉一致；

 VRF（虚拟路由转发表/VPN实例路由表）

   在PE设备上，每个VPN实例都会有一张对应的VRF表，功能跟路由表一致，但是专门用于存放VPN路由；
   关键信息：私网标签、vpn实例名称，下一跳/出接口，tunnel id；

   display ip routing-table vpn-instance a      //查看vpn实例a的路由表

控制层面工作过程：
 1、CE会将需要跟对端通信的路由，以普通路由的形式传递给PE；
 2、PE会将从CE收到的路由，记录进对应的VRF表项中，记为私网路由；
 3、PE会为私网路由，分配一个私网标签，并且将该路由以update报文的形式传递给所有vpnv4邻居；
        update报文：携带非ipv4单播路由时，通过mp-reach-NLRI字段携带路由；
             NLRI：携带私网路由、掩码、私网标签；
             下一跳：以自身作为下一跳；
             扩展团体属性：出方向RT；

4、PE收到对端PE发送过来的VPNv4路由时，会做出以下检查：

        （1）下一跳是否可达；

        （2）下一跳是否存在完整的隧道；

        （3）检查VPNv4路由的出方向RT与本设备连接的其他的VPN实例的RT是否一致；

当上述三个条件均满足，则该路由会被学习进VRF表项中，并且BGP VPN路由表中该路由也会显示为有效

配置：

 1、CE设备与PE设备建立普通的EBGP/IGP邻居关系，并且宣告/引入需要进行广域互联的路由给PE设备；

    CE1：
   bgp 700
     peer 10.1.17.1 as-number 100 
     network 8.8.8.8 32

 2、PE上创建VPN实例，并且设置RD、RT值；
PE1：
    ip vpn-instance a
     route-distinguisher 1:1
     vpn-target 1:2 export-extcommunity
     vpn-target 2:1 import-extcommunity

PE2：
    ip vpn-instance b
     route-distinguisher 2:2
     vpn-target 2:1 export-extcommunity
     vpn-target 1:2 import-extcommunity

 3、将VPN实例绑定到连接到对应客户的接口下
    interface GigabitEthernet0/0/0
     ip binding vpn-instance a 
     ip address 10.1.17.1 24                //绑定完成后，ip地址会清空，需要重新配置 

 4、在PE上与CE建立BGP/IGP的实例邻居（以BGP为例）
    bgp 100
     ipv4-family vpn-instance a                  //进入VPN实例a视图
     peer 10.1.17.7 as-number 700            //peer CE设备建立邻居

5、PE1与PE2之间跨跳建立VPNv4邻居
     bgp 100
      peer 4.4.4.4 as-number 100 
      peer 4.4.4.4 connect-interface LoopBack0
    ipv4-family vpnv4                  //进入BGP的VPNv4协议栈
      peer 4.4.4.4 enable              //与4.4.4.4建立vpnv4邻居

    如果想减轻设备负担，可以关闭PE之间的普通ipv4邻居：
     BGP 100
      ipv4-family unicast
        undo peer 4.4.4.4 enable

 6、在CE上将BGP引入到IGP
     CE2：
   isis 1
      import-route bgp 

display ip vpn-instance verbose         //查看VPN实例的配置以及绑定情况
display bgp vpnv4 all peer                 //查看VPN实例邻居
display bgp vpnv4 all routing-table    //查看BGP VPN路由表
display ip routing-table vpn-instance a  verbose   //查看VRF a详细信息，其中包含私网标签以及tunnel id；

如果PE与CE之间运行IGP（以ospf 3为例）
 CE2：
ospf 3 router-id 6.6.6.6 
 area 0.0.0.0 
  network 10.1.46.0 0.0.0.255          //与PE建立普通的ospf邻居
import-route isis 1                         //将需要传递给对面的私网路由引入到ospf 3

 PE2：
ospf 3 router-id 4.4.4.4 vpn-instance b
 area 0.0.0.0 
  network 10.1.46.0 0.0.0.255        //与CE设备建立VPN实例邻居

bgp 100
 ipv4-family vpn-instance b 
  import-route ospf 3                   //在BGP中创建vpn实例b视图，引入ospf3

ospf 3
  import-route bgp                      //将bgp引入致ospf 3，使对端的路由，可以传递给CE设备；

CE2：
 isis 1
  import-route ospf 3                 //将ospf 3引入到isis，使对端的路由，可以传递给本企业的设备；
 

实验二

场景
某公司有两个客户网络，分别是网络A与网络B，该公司希望两个网络内的员工能通过私网路由相互访问。该公司希望在网络边缘设备上使用BGP协议将私网路由发送给运营商网络。运营商通过MP-BGP实现私网路由在公共网络上的传递，同时使用MPLS VPN技术保证客户网络信息的安全性和私密性。
步骤一    基本配置与IP编址
(IP已经配置好，记得检查接口配置信息)

AR1

AR2

AR3

AR4

AR5

 

 步骤二    ISP配置单区域OSPF
R1 R2 R3使用ospf router-id为环回接口 宣告10.1.12.0/24，10.1.23.0/24网段以及各自loopback 0接口（自行配置，宣告最精确的地址）

 AR1

ospf 1 router-id 1.1.1.1
area 0
network 10.1.12.0 0.0.0.255
network 1.1.1.1 0.0.0.0

AR2

ospf 1 router-id 2.2.2.2
area 0
network 10.1.12.0 0.0.0.255
network 10.1.23.0 0.0.0.255
network 2.2.2.2 0.0.0.0

AR3

ospf 1 router-id 3.3.3.3 
area 0.0.0.0 
network 3.3.3.3 0.0.0.0 
network 10.1.23.0 0.0.0.255 

dis ospf peer brief查看邻居关系建立情况

配置完成后，查看设备的路由表，并ISP的连通性。
<R2>dis ip routing-table （截图）

 步骤三    配置运营商网络设备使用MPLS LDP协议转发客户的私网数据
R1，R2，R3 运行MPLS，并且运行MPLS LDP协议进行标签的发放
在各LSR上配置全局MPLS和LDP

[R1]mpls lsr-id 1.1.1.1
[R1]mpls 
Info: Mpls starting, please wait... OK!
[R1-mpls]quit
[R1]mpls ldp
[R1-mpls-ldp]

R2 R3基本一样 R2 LSR ID为2.2.2.2 R3为3.3.3.3
在各LSR接口上配置MPLS和LDP
 

[R1]int s1/0/0

[R1-Serial1/0/0]mpls 
[R1-Serial1/0/0]mpls ldp

R2的 S1/0/0 S3/0/0和R3的S3/0/0也一样要配置

配置完成后，在节点上执行display mpls ldp session命令，可以看到R1和R2和R3之间的本地LDP会话状态为“Operational”。
[R1]display mpls ldp session
 

步骤四    LDP建立LSP
在配置完成后，各LSR已根据默认的LDP LSP触发策略，即所有主机路由触发建立LDP LSP。
在各LSR上执行display mpls ldp lsp命令，可以看到所有主机路由都触发建立了LDP LSP。
[R1]display mpls ldp lsp
 

步骤五    配置运营商网络边缘设备的VPN实例
在R1与R3上分别为客户A网络与客户B网络配置VPN实例。分配客户A网络的VPN实例为ClientA，RD值为100:100，Export Target与Import Target为100:200；分配给客户B网络的VPN实例为ClientB，RD值为200:200，Export Target与Import Target为100:200。
 

[R1]ip vpn-instance ClientA   ###创建VPN实例，实例名为ClientA 
[R1-vpn-instance-ClientA]route-distinguisher 100:100  ###为VPN实例地址族配置路由标识RD值为100:100
[R1-vpn-instance-ClientA-af-ipv4]vpn-target 100:200 both ###配置VPN实例出入方向VPN-Target扩展团体属性为100：200 
[R1]int s3/0/0  ###在CE和PE之间的接口
[R1-Serial3/0/0]ip binding vpn-instance ClientA  ###将PE上的S3/0/0接口与VPN实例ClientA绑定

注意：绑定实例后IP地址需要重新配
  R3配置的也一样 实例名为ClientB  RD为200:200，RT为100:200，在S1/0/0接口绑定实例，记得重新配IP
 

配置完成后，分别在R1与R3上查看配置的VPN实例。
[R1]display ip vpn-instance verbose 

 步骤六    配置客户网络边缘设备与运营商网络边缘设备使用BGP协议传递路由
客户A网络的AS号为100，运营商网络的AS号为200，客户B网络的AS号为300。客户网络边缘设备与运营商网络边缘设备建立BGP的邻居关系，使客户私网路由通过BGP协议通告给运营商网络边缘设备。
 

[R4]bgp 100

[R4-bgp]peer 10.1.14.1 as-number 200

[R4-bgp]network 192.168.10.0 24

[R1]bgp 200

[R1-bgp]ipv4-family vpn-instance ClientA

[R1-bgp-ClientA]peer 10.1.14.4 as-number 100 

R3与R5配置也差不多，指定VPN实例ClientB与IPv4地址族进行关联，peer指向对端建立BGP对等体邻居，通告一条172.16.10.0/24路由给ISP

[R5]bgp 300
[R5-bgp]peer 10.1.35.3 as-number 200
[R5-bgp]network 172.16.10.0 24
[R3]bgp 200
[R3-bgp]ipv4-family vpn-instance ClientB
[R3-bgp-ClientB]peer 10.1.35.5 as-number 300

配置完成后，分别在R1与R4，R3与R5上查看BGP邻居关系的建立情况。
[R1]display bgp vpnv4 vpn-instance ClientA peer （一定要Established状态）

[R4]display bgp peer （一定要Established状态）

[R3]display bgp vpnv4 vpn-instance ClientB peer  （一定要Established状态）

[R5]display bgp peer （一定要Established状态）

分别在R1与R3上查看VPN路由表学到的客户网络的私网路由
[R1]dis bgp vpnv4 vpn-instance ClientA routing-table（正常情况应该会有192.168.10.0/24的BGP路由）

[R3]dis bgp vpnv4 vpn-instance ClientB routing-table（正常情况应该会有172.16.10.0/24的BGP路由）

分别在R1与R3上查看VPN路由表学到的客户网络的私网路由。
[R1]display ip routing-table vpn-instance ClientA（圈出EBGP路由条目）

[R3]display ip routing-table vpn-instance ClientB（圈出EBGP路由条目）

步骤七    配置运营商网络设备使用MP-BGP协议传递客户的私网路由
在R1与R3之间采用MP-BGP协议传递客户的私网路由，R2不运行BGP（MPLS可以解决路由黑洞）
[R1]bgp 200
[R1-bgp] peer 3.3.3.3 as-number 200 ###peer指向R3建立BGP对等体AS号为200
[R1-bgp]peer 3.3.3.3 next-hop-local###指定更新源
[R1-bgp]ipv4-family vpn-instance ClientA ###启用BGP的IPv4地址族并进入BGP-VPNv4地址族视图
 [R1-bgp-af-vpnv4] peer 3.3.3.3 enable ###启用指定IBGP对等体
（缺省情况下，只有BGP-IPv4单播地址族的对等体是自动使能的。即在BGP视图下配置peer as-number命令后，系统会自动配置相应的peer enable命令。其他地址族视图下都必须手动使能）
R3差不多的反过来配置就行
配置完成后，分别在R1与R3上查看MP-BGP邻居关系的建立情况。
[R1]display bgp vpnv4 all peer （此时应该有两个BGP邻居都是Established状态）
[R3]display bgp vpnv4 all peer （此时应该有两个BGP邻居都是Established状态）