mpls vpn

BGP/MPLS VPN配置详解
最新推荐文章于 2025-08-10 17:04:12 发布
原创 最新推荐文章于 2025-08-10 17:04:12 发布 · 1.3k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能路由器 #网络

原理概述
BGP/MPLS VPN有时也简称为MPLS L3 VPN,它是 MPLS最为广泛的应用之一。BGP/MPLS VPN主要部署在运营商网络中。
在BGP/MPLS VPN 网络中,路由器被分为3类:PE路由器(Provider Edge Router)、Р路由器(Provider Router)和CE路由器(Customer Edge Router)。P路由器为BGP/MPLSVPN网络内部的路由器,通常只需要运行IGP、MPLS和 LDP。PE路由器为BGP/MPLSVPN网络的边缘路由器,用于连接客户的CE设备,通常需要运行MP-BGP(Muti-ProtocolBGP)、IGP、MPLS 和 LDP,并为不同的VPN客户配置VPN实例(VPN Instance)。CE为客户的边缘设备,用于连接PE,其上仅需要配置PE-CE连通性。
传统的BGP只能维护单一路由表的路由信息,无法为地址重叠的不同客户直接提供服务,同时也难以对不同客户的数据实施隔离,所以在 BGP/MPLS VPN中使用了MP-BGP,它可以通过使用 VPNv4地址族来区分不同客户的网络层地址信息,并使用VPN实例区分不同VPN客户的路由及流量。
在BGP/MPLS VPN中,每个VPN实例为相应的VPN客户单独维护了一张路由和转发表,称为VRF (VPN Routing and Forwarding Table),不同的VPN实例间的路由是不能够互通的。在 PE上,通过将连接CE的接口绑定至VPN实例,就可以区分不同VPN客户的路由。当PE将VPN路由传递至对端PE后,对端PE将使用VPN实例的RD(Route Distinguisher)与 VPN Target属性来区分VPN路由并将其分配至对应的VPN实例。
在BGP/MPLS VPN 中,BGP扩展团体属性VPN Target用来控制VPN路由的发布和接受。对于一个VPN实例,其 Export Target 与Import Target相互对应。一般情况下,对端PE上VPN实例的Export Target应与本地Import Target相同;本地VPN实例的ExportTarget应与对端PE的 Import Target 相同。
通常,在 BGP/MPLS VPN中,Р路由器无需运行BGP,也无需知道关于VPN的任何信息。PE上的MP-BGP会为VPN路由分配相应的标签值(VPN标签),作为内层标签,LDP分配的标签会作为外层标签。当VPN流量沿LSP经过Р路由器时,Р路由器只会进行外层标签的交换。当流量抵达对端PE时,对端PE会根据内层标签判断出流量所属的VPN。
在BGP/MPLS VPN中,PE-CE连通性的方式决定了客户如何使自己的路由进入VPN实例。通常,可以使用BGP在CE与PE间建立EBGP连接来实现 PE-CE的连通,也可以使用静态路由方式或其他动态路由协议来实现这一目的。

实验目的
理解 PE、P和CE设备的作用与区别

掌握MPLS/BGP VPN的基本配置方法

实验内容
本实验中,假定AS 100为运营商网络,使用OSPF作为IGP,并运行BGP/MPLS VPN。R4和R6为公司A的两个站点的CE路由器,且使用Loopback 0接口来模拟各自内部的网络,R4和R6的PE-CE连通性均使用BGP来实现。R5和 R7为公司B的两个站点的CE路由器,且使用Loopback 0接口来模拟各自内部的网络,R5的PE-CE 连通性使用了静态路由方式,R7的PE-CE连通性使用了OSPF协议来实现。网络的最终需求是:公司A和公司B分别属于不同的 VPN,同一公司内部的网络可以相互通信,不同公司的网络之间不能通信。


 

1、基本配置
R1:
sys
sysname R1
int loop 0
ip add 10.0.1.1 32
int g0/0/1
ip add 10.0.14.1 24
int g0/0/0
ip add 10.0.12.1 24
int g0/0/2
ip add 10.0.15.1 24
q
ospf 1 router-id 10.0.1.1
 area 0.0.0.0
  network 10.0.1.1 0.0.0.0
  network 10.0.12.0 0.0.0.255

R2:
sys
sysname R2
int loop 0
ip add 10.0.2.2 32
int g0/0/0
ip add 10.0.12.2 24
int g0/0/1
ip add 10.0.23.2 24
q
ospf 1 router-id 10.0.2.2
 area 0.0.0.0
  network 10.0.2.2 0.0.0.0
  network 10.0.12.0 0.0.0.255
  network 10.0.23.0 0.0.0.255

R3:
sys
sysname R3
int loop 0
ip add 10.0.3.3 32
int g0/0/0
ip add 10.0.36.3 24
int g0/0/1
ip add 10.0.23.3 24
int g0/0/2
ip add 10.0.37.3 24
q
ospf 1 router-id 10.0.3.3
 area 0.0.0.0
  network 10.0.3.3 0.0.0.0
  network 10.0.23.0 0.0.0.255

R4:
sys
sysname R4
int loop 0
ip add 10.0.4.4 32
int g0/0/0
ip add 10.0.14.4 24
q

R5:
sys
sysname R5
int loop 0
ip add 10.0.5.5 32
int g0/0/0
ip add 10.0.15.5 24
q

R6:
sys
sysname R6
int loop 0
ip add 10.0.6.6 32
int g0/0/0
ip add 10.0.36.6 24
q

R7:
sys
sysname R7
int loop 0
ip add 10.0.7.7 32
int g0/0/0
ip add 10.0.37.7 24
q

配置基本的IP地址   

配置运营商网络的OSPF路由协议
在AS 100内配置OSPF协议作为IGP,各路由器均属于区域0,且使用Loopback 0接口IP地址作为Router-ID。

 配置完成后,在R2上查看OSPF邻居建立情况。

在AS 100内配置MPLS协议与LDP,各路由器使用Loopback 0接口地址作为LSR-ID。

r1:
mpls lsr-id 10.0.1.1
mpls ldp
mpls
interface GigabitEthernet0/0/0
 mpls
 mpls ldp

r2:
mpls lsr-id 10.0.2.2
mpls ldp
mpls
interface GigabitEthernet0/0/0
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 mpls
 mpls ldp


r3:
mpls lsr-id 10.0.3.3
mpls ldp
mpls
interface GigabitEthernet0/0/1
 mpls
 mpls ldp

 可以看到,LDP会话状态为Operational,会话成功建立。
可以看到,MPLS 网络已经为R1,R2和R3的Loopback接口路由建立了相应的LSP。

 

配置PE设备间的MP-BGP

#首先,在R1.上建立R1与R3的IBGP邻居关系。
bgp 100
peer 10.0.3.3 as-number 100
peer 10.0.3.3 connect-interface LoopBack 0
peer 10.0.3.3 next-hop-local
#然后,使用ipv4-family vpnv4命令进入VPNv4视图。
ipv4-family vpnv4
#接下来,在VPNv4视图下启用与对等体交换VPNv4路由信息的能力。
peer 10.0.3.3 enable
#最后,允许与对等体交换路由信息时携带BGP团体属性。
peer 10.0.3.3 advertise-community

#在R3.上完成同样的配置。
bgp 100
peer 10.0.1.1 as-number 100
peer 10.0.1.1 conect-interface LoopBack 0
peer 10.0.1.1 next-hop-local
ipv4 family vpnv4
peer 10.0.1.1 enable
peer 10.0.1.1 advertise-community

 可以看到,R1与R3之间的 BGP 邻居状态为Established,表明BGP邻居关系已成功建立。

在PE上创建VPN实例并与接口进行绑定
首先,在R1的系统视图下使用ip vpn-instance vpna命令为公司A创建名为vpna的VPN实例,并进入实例视图。然后,在实例视图下使用ipv4-family命令启用VPN实例的IPv4地址族,并进入IPv4地址族的视图。接下来,在 IPv4地址族视图下使用route-distinguisher 300:1命令配置RD为300:1。最后,使用vpn-target 100:1 both命令配置Import与 Export方向的VPN-Target 团体属性。

r1
ip vpn-instance vpna
 ipv4-family
  route-distinguisher 300:1
  vpn-target 100:1  both
#
ip vpn-instance vpnb
 ipv4-family
  route-distinguisher 300:2
  vpn-target 100:2 both

interface GigabitEthernet0/0/1
 ip binding vpn-instance vpna
 ip address 10.0.14.1 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip binding vpn-instance vpnb
 ip address 10.0.15.1 255.255.255.0

r3
ip vpn-instance vpna
 ipv4-family
  route-distinguisher 300:1
  vpn-target 100:1  both
#
ip vpn-instance vpnb
 ipv4-family
  route-distinguisher 300:2
  vpn-target 100:2 both

interface GigabitEthernet0/0/0
 ip binding vpn-instance vpna
ip add 10.0.36.3 24
#
interface GigabitEthernet0/0/2
 ip binding vpn-instance vpnb
ip add 10.0.37.3 24

 为公司A配置基于BGP的PE-CE连通性
在公司A的CE设备R4上进行 BGP配置,建立与PE设备R1的EBGP 邻居关系。

查看vpn实例     dis bgp vpnv4 vpn-instance vpna peer 

r4:
bgp 10
peer 10.0.14.1 as-number 100
network 10.0.4.4 32
#在PE设备Rl的 BGP视图下使用ipv4-family vpn-instance vpna命令进入VPN实例vpna的视图,然后与R4建#立BGP邻居关系。
r1:
bgp 100
ipv4-family vpn-instance vpna
peer 10.0.14.4 as-number 10


r6:
bgp 20
peer 10.0.36.3 as-number 100
network 10.0.6.6 32
r3:
bgp 100
ipv4-family vpn-instance vpna
peer 10.0.36.6 as-number 20

可以看到,表中出现了BGP LSP的信息,FEC为10.0.4.4/32,In标签为1026,Out标签为NULL,VRF Name为vpna。In标签1026应该是由MP-BGP协议分配的内层标签,仅用于区分路由信息所属的VRF。

 

为公司B配置基于静态路由及OSPF协议的PE-CE连通性
根据需求,公司B的CE设备R5将使用静态路由方式实现PE-CE连通性;CE设备R7将使用OSPF协议实现PE-CE连通性.

r5
ip route-static 0.0.0.0 0 10.0.15.1
r1
 ip route-static vpn-instance vpnb 10.0.5.5 32 10.0.15.5
bgp 100
 ipv4-family vpn-instance vpnb
  import-route static

#在R7上进行普通的OSPF配置。
ospf 2 router-id 10.0.7.7
area 0
network 10.0.37.0 0.0.0.255
network 10.0.7.7 0.0.0.0

r3
ospf 2 vpn-instance vpnb
 import-route bgp
 area 0.0.0.0
  network 10.0.37.0 0.0.0.255
 #
bgp 100
 ipv4-family vpn-instance vpnb
  import-route ospf 2

 可以看到,R3的 BGP路由表中不但拥有10.0.5.5/32和10.0.7.7/32的路由信息,而且还拥有10.0.37.0/24的路由信息。与使用BGP协议或静态路由方式来提供PE-CE连通性不同,使用OSPF协议实现PE-CE的连通时,PE与CE之间的链路在引入路由时也会被引入进BGP。如果需要避免这种情况,需要在将OSPF 路由引入BGP时进行过滤,举例如下。

 

r3:
ip ip-prefix 1 deny 10.0.37.0 24
ip ip-prefix 1 permit 0.0.0.0 32
route-policy 10 permit node 10
if-match ip-prefix 1
bgp 100
ipv4-family vpn-instance vpnb
import-route ospf 2 route-policy 10

 可以看到,R7仅能够与同属公司B 的10.0.5.5/32进行通信,而不能与属于公司A的10.0.4.4/32和10.0.6.6/32进行通信。
当CE-PE之间运行EBGP时,无需在PE上对客户路由和 MP-BGP协议之间进行引入配置,客户的VPNv4路由可以直接通过MPLS/MP-BGP网络传递给对端PE。而当CE-PE之间运行的是静态路由或者是IGP时,则需要进行互相引入的配置,才能使客户的VPN4的路由通过MPLS/MP-BGP网络进行传递。

MPLS VPN组网系列(一)基础MPLS VPN组网
qq_44940837的博客
05-16 9987
MPLS VPN实际应用基础组网模型
MPLS VPN——让企业网络更稳定、更安全、更高效的秘密武器
Echo_Wish
05-21 227
在运维的世界里,VPN(虚拟专用网)是企业连接分支机构、保证数据安全的关键技术之一。而 **MPLS(多协议标签交换)VPN**,作为一种高效、可靠的 VPN 解决方案,凭借其 **低延迟、高安全性、灵活性强** 的特点,在企业和运营商网络中得到了广泛应用。今天,我们就来深入拆解 **MPLS VPN 的原理、部署方法和运维优化**,让它从理论变成真正可落地的解决方案。
MPLS VPN知识汇总
shangdichengfo的博客
01-23 2893
MPLS VPNBGP/MPLS IP VPN 网络一般由运营商搭建,VPN用户购买VPN服务来实现用户网络之间的路由传递。MPLS VPN 使用BGP在运营商骨干网(IP 网络 )上发布VPN路由,使用MPLS在运营商网络上传输VPN报文。BGP/MPLS IP VPN 又被简称为MPLS VPN,是一种L3VPN(Layer 3 VPN,3 层VPN)技术MPLSVPN的骨干网也可以由企业自行搭建,技术层面与运营商搭建基本一致CE、PE、PCE:用户网络边缘设备,有接口直接与运营商网络相连。
MPLS VPN
最新发布
weixin_69023088的博客
08-10 802
VPN是在公共网络上构建的逻辑隔离私有网络,用户感知为“专用网络
mpls vpn配置步骤
01-06 3090
BGP/MPLS IP VPN网络一般由运营商搭建,VPN用户购买VPN服务来实现用户网络之间的路由传递、数据互通等。MPLS VPN使用BGP在运营商骨干网上发布VPN路由,使用MPLS在运营商骨干网上转发VPN报文。BGP/MPLS IP VPN又被简称为MPLS VPN,是一种常见的Layer 3 VPN技术MPLS vpn应用场景:LDP广泛应用在VPN服务器上,具有组网 简单、配置简单、支持基于路由动态建立 LSP、支持大容量LSP等优点。
MPLS VPN 基础笔记
qq_57464528的博客
08-13 1773
3. PE1和PE2上配置VPN实例,其中,alibaba使用的VPN-target属性为1:1,tencent使用的VPN-target属性为2:2,以实现相同VPN间互通,不同VPN间隔离。PE和CE相连的接口,关联VPN实例(比如 site1),所以知道一个CE属于哪个VPN实例,也知道这个CE发来的路由,应该属于哪个VPN实例。PE:服务提供网络边缘设备,与CE相连,在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要求高。MPLS支持多层标签,即标签嵌套,S值为1表示为最底层标签。
华为 MPLS VPN部署
weixin_45564816的博客
05-25 2299
LSP是单向的,LSP是报文在穿越MPLS网络或者部分MPLS网络时的路径,为了保证双向通信,我们需要建立双向的LSP。每一台运行LDP的LSR都会为自己路由表中的路由前缀捆绑标签,然后再将所分配的标签分发给给所有的LSR邻居,一台LDP路由器会有多个LDP邻居。LSR(Label Switch Router,标签交换路由器)是支持并激活MPLS路由器,LSR能理解MPLS标签并能够对MPLS标签包进行交换。标签的操作类型包括压入(Push)、标签交换(Swap)和标签弹出(Pop)。
MPLS——VPN
m0_52049418的博客
01-31 4116
A公司通过动态路由进行内部通信;B公司通过静态路由通信,B1和B2通过写缺省路由进入公网访问彼此。注:在关联到vrf空间前不能配置接口ip,否则该地址的直连路由将进入公有路由表。根据图中要求进行MPLS-VPN配置;R7可以访问公网用NAT。
MPLS 实现VPN
qq_64746086的博客
08-15 380
R2查询FIB表 (表中有是否打上标签 标签号是几的信息)于是给数据包打上两层标签 B2的每条路由在R4上都拥有一个不会重复的标签号 这一标签用来区分信息传给B2还是A2 第一层标签 是去往R4的环回(BGP建邻使用的环回)的标签 第二层标签则是给R4看的用于区分不同的路由条目的标签。R3收到后 查询LFIB表 发现下一跳是3 3作为一个特殊标签 指的是弹出标签 把数据交给R4并且弹出标签 此时如果只有一层标签 弹出后给R4 R4将查询FIB表 而FIB表中是RIB表的延续 并不能区分不同的私有空间。
十一、MPLS-VPN
qq_33782021的博客
06-17 5302
MPLS-VPN技术原理进行了详细的介绍
mplsvpn
2303_77223717的博客
07-04 1985
我们在学习bgp的时候知道解决bgp水平分割有三种办法:1.ibgp全互联2.bgp反射器3.bgp联盟ibgp配置复杂,配置量多,拓扑变更bgp联盟配置多,会改变网络拓扑,而且当子联盟的路由器超过3台依然会出现水平分割bgp反射器配置简单,且不改变网络拓扑,是我们的第一选择,但是对于反射器(rr)的压力会很大,设备要求性很高我们还有没有其他的解决办法?那就是mpls!!!问题1:也叫本地路由冲突问题(IP地址空间重叠)-----解决方案:VRF。
MPLS VPN(hub spoke组网配置)
m0_72155191的博客
11-26 1549
ospf 1ospf 1ospf 1查看ospf 的邻居关系图中可以看到ospf 的邻居关系已经建立。
MPLS VPN详解
weixin_68261415的博客
11-13 6503
所有PE路由器和P路由器都运行主干网的域内路由(OSPF或者ISIS等),生成的路由表将触发主干网中LSP的建立(拓扑驱动方式),通过LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换(也就说在数据转发时,在PE收到CE的数据报文时,VRF为数据报文打上内层VPN标签和获取下一跳出口PE路由器的地址,根据这个地址进行外层标签的转发,因此这个下一跳地址是连接域内路由和VPN路由的纽带)。其实就是在IPv4的加上64bit的字段,保证在IPv4地址进入PE后保持全局唯一性。
MPLSMPLS VPN
weixin_56249088的博客
08-29 1707
特殊标签:3号与0号标签。
BGP+MPLS+VPN
tang_jun_yi的博客
08-15 1736
1.先中间R2-R4区域可通2.在R2、R4上创建两个虚拟空间3.将R2上的R2和R1、R6直连接口关联到对应虚拟空间、将R4上的R4和R5、R7直连接口关联到对应虚拟空间,然后再配置IP地址4.R2和R4BGP建邻5.R2和R4邻居间端建立一个VPNV4的关系,用于传递VPNV4路由6.在R2、R3、R4配置MPLS – LDP7.在R2上写去R1环回的路由,在R4上写去R5环回的路由,在R1上写去R5直连接口和环回的路由,在R5上写去R1直连接口和环回的路由。
5.3、MPLS VPN
qq_33782021的博客
11-24 392
物理专线太贵,对vpn专线来说,只要企业出口设备支持vpn就行,无需付费,但是,用户端搭建的VPN只能由用户自行配置、管理和维护,随着用户网络规模机大,VPN隧道的数量不断增长,配置、管理和维护的难度不断增加。在接收端的PE上接收路由时,会将路由更新报文中的RT export和自身RT import规则进行检查,如果匹配,则将该路由加入到相应的VPN-instance中。PE发布同一个VPN-instance中的路由时,会携带相同的RT export值,然后发送给其他的PE设备。如果没有AS号,自定义。
vpn-mpls
weixin_64094881的博客
04-06 307
mpls、vrf、isis、bgp结合实验
华为NE80系列:MPLS路由器操作指南
3.2 BGP/MPLSVPN配置步骤详细指导了如何定义BGP/MPLSVPNs、进入特定地址族视图、配置PE(Provider Edge)与CE(Customer Edge)设备之间的路由交换,以及PE-PE间的路由交换。 这些章节为用户提供了在华为NE80系列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值