MPLS 实现VPN

最新推荐文章于 2024-08-05 22:00:00 发布
最新推荐文章于 2024-08-05 22:00:00 发布
阅读量165 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64746086/article/details/132289235
版权

原理:mpls使用了两层标签 一层用于打破路由黑洞 一层实现私网互通

B1访问B2 把数据包交给R2

R2查询FIB表 (表中有是否打上标签 标签号是几的信息)于是给数据包打上两层标签 B2的每条路由在R4上都拥有一个不会重复的标签号 这一标签用来区分信息传给B2还是A2 第一层标签 是去往R4的环回(BGP建邻使用的环回)的标签 第二层标签则是给R4看的用于区分不同的路由条目的标签 

R3收到后 查询LFIB表 发现下一跳是3 3作为一个特殊标签 指的是弹出标签 把数据交给R4并且弹出标签 此时如果只有一层标签 弹出后给R4 R4将查询FIB表 而FIB表中是RIB表的延续 并不能区分不同的私有空间

R4收到后 由于弹出一层 剩下的还有一层标签 将查询 LFIB表 将最后一层标签弹出 并通过标签知道下一跳交给R5 于是B1B2成功互通

外层标签由下游提供 内层标签则由BGP邻居提供

数据层面通过标签来区分

控制层面则通过RD和RT区分

RD区分本端的不同VPN        RT则用于确认对端与自己是否在同一个VPN

开始实验:

首先配置网络 合法的ip和路由


[R1-LoopBack0]ip add 192.168.1.1 24
[R1-GigabitEthernet0/0/0]ip add 192.168.2.1 24

[R6-LoopBack0]ip add 192.168.1.1 24
[R6-GigabitEthernet0/0/2]ip add 192.168.2.1 24


[R2]ip vpn-instance B
[R2-vpn-instance-B]ipv4-family 
[R2-vpn-instance-B-af-ipv4]route-distinguisher 1:1          
[R2-vpn-instance-B-af-ipv4]vpn-target 1:1
注:在R2上需要先创建vpn空间再进行ip的配置否则会将IP作用于公网
[R2-GigabitEthernet0/0/1]ip binding vpn-instance B
声明这个接口在vpn空间B
[R2-GigabitEthernet0/0/1]ip add 192.168.2.2 24
[R2-LoopBack0]ip add 2.2.2.2 32

[R2]ip vpn-instance A
[R2-vpn-instance-A]ipv4-family 
[R2-vpn-instance-A-af-ipv4]route-distinguisher 2:2
[R2-vpn-instance-A-af-ipv4]vpn-target 2:2
[R2-GigabitEthernet0/0/2]ip binding vpn-instance A
[R2-GigabitEthernet0/0/2]ip add 192.168.2.2 24
[R2-GigabitEthernet0/0/0]ip add 23.0.0.1 24

[R3-GigabitEthernet0/0/1]ip add 23.0.0.2 24
[R3-LoopBack0]ip add 3.3.3.3 32
[R3-GigabitEthernet0/0/0]ip add 34.0.0.1 24

[R4-LoopBack0]ip add 4.4.4.4 32
[R4-GigabitEthernet2/0/0]ip add 47.0.0.1 24

[R4]ip vpn-instance B
[R4-vpn-instance-B-af-ipv4]route-distinguisher 1:1
[R4-vpn-instance-B-af-ipv4]vpn-target 1:1
[R4-vpn-instance-A-af-ipv4]route-distinguisher 2:2
[R4-vpn-instance-A-af-ipv4]vpn-target 2:2
[R4-GigabitEthernet0/0/2]ip add 47.0.0.2 24
[R4-GigabitEthernet2/0/0]ip binding vpn-instance A
[R4-GigabitEthernet2/0/0]ip add 192.168.3.2 24

[R4-GigabitEthernet0/0/0]ip binding vpn-instance B
[R4-GigabitEthernet0/0/0]ip add 192.168.3.2 24

[R5-LoopBack0]ip add 192.168.4.1 24
[R5-GigabitEthernet0/0/1]ip add 192.168.3.1 24

[R7-GigabitEthernet0/0/0]ip add 192.168.3.1 24
[R7-LoopBack0]ip add 192.168.4.2 24
[R7-GigabitEthernet0/0/2] ip add 47.0.0.1 24

路由:先实现公网互通

[R2-ospf-1-area-0.0.0.0]network 23.0.0.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0   
[R3-ospf-1-area-0.0.0.0]network 23.0.0.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 34.0.0.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]network 47.0.0.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[R4-ospf-1-area-0.0.0.0]network 34.0.0.0 0.0.0.255
[R7-ospf-1-area-0.0.0.0]network 47.0.0.0 0.0.0.255
4 7之间是公网

 想要7的环回能访问公网需要nat

[R7]acl 2000
[R7-acl-basic-2000]rule permit source 192.168.4.0 0.0.0.255
[R7-GigabitEthernet0/0/2]nat outbound  2000

开始配置mpls域 

[R2]mpls lsr-id 2.2.2.2
[R2]mpls    
Info: Mpls starting, please wait... OK!
[R2-mpls]mpls ldp

在接口上开启

[R4-GigabitEthernet0/0/1]mpls 
[R4-GigabitEthernet0/0/1]mpls ldp
其余操作类似

234上都需要配置

配置bgp 

R2 R4建邻:

[R4]bgp 1  
[R4-bgp]router-id 4.4.4.4
[R4-bgp]peer 2.2.2.2 as-number 1  
[R4-bgp]peer 2.2.2.2 connect-interface LoopBack 0
[R2]bgp 1
[R2-bgp]peer 4.4.4.4 as-number 1
[R2-bgp]peer 4.4.4.4 connect-interface LoopBack 0

[R4-bgp]ipv4-family vpnv4
[R4-bgp-af-vpnv4]peer  2.2.2.2 enable 
开启BGP拓展功能 与对端建立连接R2上也同样开启

 现在就差把A1A2B1B2的路由导入到路由器中了

B1B2采取静态方法 A1采取ripA2采取ospf

B1:

[R2]ip route-static vpn-instance B 192.168.1.0 24 192.168.2.1
[R4]ip route-static vpn-instance B 192.168.4.0 24 192.168.3.1
然后通过bgp来传播路由给对端

[R2-bgp]ipv4 vpn-instance B
[R2-bgp-B]import-route static   
[R2-bgp-B]import-route direct 
[R4-bgp]ipv4 vpn-instance B

[R4-bgp-B]import-route static 
[R4-bgp-B]import-route direct 
现在只需要将ce路由器的缺省指向pe

[R1]ip route-static 0.0.0.0 0 192.168.2.2
[R5]ip route-static 0.0.0.0 0 192.168.3.2

 成功互通

R7 ospf 

[R7]ospf 1               
进程号只具有本地意义
[R7-ospf-1]area 0
[R7-ospf-1-area-0.0.0.0] n    
[R7-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[R7-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[R4]ospf 2 vpn-instance A
[R4-ospf-2-area-0.0.0.0]network 192.168.3.0 0.0.0.255

[R4-bgp]ipv4 vpn-instance A
[R4-bgp-A]import-route ospf 2

R6 RIP

[R6]rip
[R6-rip-1]version 2
[R6-rip-1]network 192.168.1.0
[R6-rip-1]network 192.168.2.0

[R2]rip vpn-instance A

[R2-rip-1]version 2

[R2-rip-1]network 192.168.2.0 
[R2-rip-1]bgp 1
[R2-bgp]ipv4 vpn-instance A
[R2-bgp-A]import-route rip 1

双向重发布

[R2-rip-1]import-route bgp 
[R4-ospf-2]import-route bgp 

 成功访问 

总结一下基本步骤

1 首先配置合法的ip地址 

2 公网的路由要通

3 在pe上创建vrf虚拟路由转发空间 配置好RD RT

4 配置mpls区域在需要打标签的接口上都要开启

5 启动扩展bgp 先正常建邻 然后使用pv4-family vpnv4进行vpn建邻

6 将ce的路由到给pe 需要静态 或者 动态做法

        6.1静态:在pe上使用ip route-static vpn-instance 【vty名称】来添加 然后重发布到bgp中

        6.2动态:在ce上正常配置 动态协议 在pe上使用ospf 2 vpn-instance A配置然后双向重发布

 至此 实验结束

  0.0  
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MPLS VPN组网系列(一)基础MPLS VPN组网
qq_44940837的博客
05-16 8227
MPLS VPN实际应用基础组网模型
SD-WAN — MPLS 广域网 VPN 技术解析
烟云的计算
06-07 2703
对于这种组网,如果某个 VPN 需要访问共享站点,则该 VPN 的 Export Target 必须包含在共享站点的 VPN Instance 的 Import Target 中,而其 Import Target 必须包含在共享站点 VPN Instance 的 Export Target 中。与传统 IP 路由方式相比,MPLS 在数据转发时,只需要在 Network Edge Gateway 分析 IP Header,而不用在每一跳的 L3 Router 上都分析,因此节约了大量的计算时间。
【思科】MPLS VPN 实验配置
2301_77161465的博客
06-04 1968
里面有详细的MPLS VPN用到的技术,比如VRF、RD、RT,还有一些注意事项,可以放心食用
MPLS VPN跨域网络互通不会?这样配置轻松拿捏
最新发布
08-05 810
没有隧道,PE2收到路由是BGP协议收到的,LDP并不会为BGP分配标签,默认只为IGP路由分配标签,就算强制让LDP为BGP分配标签,中间链路上存在的P设备并没有BGP路由,LSP必然中断。此时PE收到的路由下一跳属性是在RR R8上(VPN路由会自动修改下一跳属性为本地,IPV4路由要手动配置)此时对于R7的这种转发路径来说,不是最优路径,应该希望R7的下一跳是对端PE,所有的中间设备只传递路由,不应该修改这些属性。R8是反射器,可以配置对组策略,此时R7收到的路由下一跳就没有更改过,就是R1。
MPLS——VPN
m0_52049418的博客
01-31 3766
A公司通过动态路由进行内部通信;B公司通过静态路由通信,B1和B2通过写缺省路由进入公网访问彼此。注:在关联到vrf空间前不能配置接口ip,否则该地址的直连路由将进入公有路由表。根据图中要求进行MPLS-VPN配置;R7可以访问公网用NAT。
MPLS VPN知识汇总
shangdichengfo的博客
01-23 1758
MPLS VPNBGP/MPLS IP VPN 网络一般由运营商搭建,VPN用户购买VPN服务来实现用户网络之间的路由传递。MPLS VPN 使用BGP在运营商骨干网(IP 网络 )上发布VPN路由,使用MPLS在运营商网络上传输VPN报文。BGP/MPLS IP VPN 又被简称为MPLS VPN,是一种L3VPN(Layer 3 VPN,3 层VPN)技术MPLSVPN的骨干网也可以由企业自行搭建,技术层面与运营商搭建基本一致CE、PE、PCE:用户网络边缘设备,有接口直接与运营商网络相连。
5.3、MPLS VPN
qq_33782021的博客
11-24 161
物理专线太贵,对vpn专线来说,只要企业出口设备支持vpn就行,无需付费,但是,用户端搭建的VPN只能由用户自行配置、管理和维护,随着用户网络规模机大,VPN隧道的数量不断增长,配置、管理和维护的难度不断增加。在接收端的PE上接收路由时,会将路由更新报文中的RT export和自身RT import规则进行检查,如果匹配,则将该路由加入到相应的VPN-instance中。PE发布同一个VPN-instance中的路由时,会携带相同的RT export值,然后发送给其他的PE设备。如果没有AS号,自定义。
跨域BGP/MPLS IP VPN实验(OptionA方式)
m0_73365347的博客
11-03 6601
BGP/MPLS VPN有时也简称为MPLS L3 VPN,它是MPLS最为广泛的应用之一。BGP/MPLS VPN主要部署在运营商网络中。
BGP MPLS VPN(OPTION B)实验笔记
glisten0317的博客
06-03 1377
配置BGP MPLS VPN OPTION A,使得总部与分公司私网互通,分公司与总部之间可互访,但分公司之间不能互访。
BGP MPLS VPN(OPTION C)实验笔记
glisten0317的博客
06-07 1445
配置BGP MPLS VPN OPTION A,使得总部与分公司私网互通,分公司与总部之间可互访,但分公司之间不能互访。
十一、MPLS-VPN
qq_33782021的博客
06-17 1546
MPLS-VPN技术原理进行了详细的介绍
mplsvpn
2303_77223717的博客
07-04 1589
我们在学习bgp的时候知道解决bgp水平分割有三种办法:1.ibgp全互联2.bgp反射器3.bgp联盟ibgp配置复杂,配置量多,拓扑变更bgp联盟配置多,会改变网络拓扑,而且当子联盟的路由器超过3台依然会出现水平分割bgp反射器配置简单,且不改变网络拓扑,是我们的第一选择,但是对于反射器(rr)的压力会很大,设备要求性很高我们还有没有其他的解决办法?那就是mpls!!!问题1:也叫本地路由冲突问题(IP地址空间重叠)-----解决方案:VRF。
MPLS VPN详解
weixin_68261415的博客
11-13 4243
所有PE路由器和P路由器都运行主干网的域内路由(OSPF或者ISIS等),生成的路由表将触发主干网中LSP的建立(拓扑驱动方式),通过LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换(也就说在数据转发时,在PE收到CE的数据报文时,VRF为数据报文打上内层VPN标签和获取下一跳出口PE路由器的地址,根据这个地址进行外层标签的转发,因此这个下一跳地址是连接域内路由和VPN路由的纽带)。其实就是在IPv4的加上64bit的字段,保证在IPv4地址进入PE后保持全局唯一性。
MPLS vpn和IPSEC vpn
weixin_69884785的博客
04-13 6279
vpn主要隧道技术协议有PPTP,L2TP,ipsec,ssl vpn,TLS vpnpptp和L2TP的区别和联系L2TP:第二层隧道协议,自身不提供认证加密和可靠性验证功能,可以与安全协议搭配使用,实现数据的加密传输。PPTP:PPTP是一种点对点的协议,将控制包和数据包分开,控制包采用tcp控制,数据包先封装在ppp协议中,然后封装到GRE V2中。
MPLS VPN配置
weixin_73746423的博客
02-22 2673
MPLS VPN配置实例
MPLS VPN 配置
知识需要开源!
10-04 2523
MPLS VPN 配置
MPLS VPN的基本概念与配置(HCIP完整版)
weixin_72194028的博客
01-12 6250
MPLS VPN的基本概念与配置(HCIP完整版)
HCIP实验:MPLS VPN配置
姜亚轲的博客
05-13 1953
HCIP实验:MPLS VPN
MPLSMPLS VPN详解
m0_59486226的博客
05-08 1373
3、本端ASBR将VPNv4路由传递给VPNv4-EBGP邻居-对端ASBR,下一跳改为本端ASBR自己,并为VPNv4路由生成新的私网标签,一同传递给对端ASBR。10、对端PE收到私网标签报文后,查找标签转发表,发现出标签为NULL,于是剥离私网标签,并查询私网标签所对应的VPN实例转发表,将IP报文转发至对端私网中。5、本端ASBR收到私网标签报文后,查找标签转发表,将私网标签替换成由对端ASBR产生的VPNv4私网标签,并将私网标签报文从私网出标签所对应的出接口发出。
MPLS VPN跨域
09-29
MPLS VPN跨域是指在MPLS(Multiprotocol Label Switching)网络中创建虚拟专网(VPN),使不同的域(或网络)可以相互通信。MPLS VPN是一种基于标签交换技术的VPN解决方案,可以通过路由器间的标签交换和转发来实现不同域间的数据传输。 在MPLS VPN中,网络管理员可以创建多个虚拟专网(VRFs),每个VRF都可以拥有自己的路由表、转发路径和策略。不同的VRF之间彼此独立,互不干扰。通过MPLS标签,可以将数据流量从一个域(或VRF)封装到另一个域(或VRF)中,实现跨域的数据传输。 MPLS VPN跨域可以提供以下优势: 1. 隔离性:每个VRF都是相互隔离的,提供了更高的安全性和隐私保护。 2. 灵活性:MPLS VPN跨域可以根据不同的需求进行配置,使网络管理员可以根据具体需求调整路由和转发路径。 3. 扩展性:MPLS VPN跨域可以轻松地添加新的域或VRF,扩展网络规模而不会影响整体性能。 4. 性能优化:通过利用MPLS标签交换技术,MPLS VPN跨域可以提供更高的性能和传输效率。 总之,MPLS VPN跨域是一种强大的网络解决方案,可以帮助不同的域或网络之间建立安全可靠的连接,促进数据的快速传输和业务间的有效通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值