HCIP---MPLS---VPN

已于 2023-12-05 19:38:07 修改
阅读量241 收藏 1
点赞数
分类专栏: HCIP 文章标签: 网络 网络协议
于 2023-11-29 21:15:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoutong2323/article/details/134696809
版权

前言

MPLS协议使用标签交换来转发报文,最初是为了提高IP报文转发效率而设计的,但是后来随着硬件性能的提升,路由表已经不再是路由表/防火墙的转发瓶颈,现在MPLS主要应用于VPN等场景。

一.MPLS VPN

MPLS VPN 一般由运营商搭建,用户购买VPN服务,如下图,中间框内是运营商网络,里面的路由器运行MPLS。公司分分支路由不需要运行MPLS协议,感觉不到VPN的存在,就好像和其它分支路由器直连一样 

CE:用户网络的边界设备  汇总私网路由信息

 PE:运营商边界设备  接收CE汇总的私网路由信息并使用BGP协议传递给对端PE设备

P:运营商设备  使用IGP协议完成路由信息的高速转发  

MPLS VPN 工作原理

MPLS VPN路由传递分为3段:

  1. 从CE发布路由到PE
  2. PE1将路由传递给PE2
  3. PE2将路由交给CE2

CE与E之间路由传递可以通过OSPF BGP等学习。 

 二.路由传递

VRF:

  一个PE可能收到来自多个CE的路由,而且来自不同的CE路由可能使用相同的私网IP,为了不产生混淆,在PE设备上使用虚拟路由转发技术(VRF)将来自不同CE的路由单独存放,如下图。

 图中VRF 路由表通常和接口绑定,从指定接口来的路由信息都放在绑定的VRF 路由表中。

MP-BGP:

BGP的一种扩展,它允许BGP用于传输多种协议的路由信息,包括IPv4和IPv6,而且可以在同一BGP会话中传输不同的协议路由信息, MP-BGP还提供了VPN扩展,使得它能够处理VPN路由信息,这个特性被广泛应用于VPN网络中。

PE1使用MP-BGP将路由信息传递给PE2,运行MP-BGP的设备自动将未知网段的路由信息递归进入LSP隧道,且自动开启社团属性传递性。

 在MP-BGP路由传递过程中会遇到两个问题

  1. 左边CE1和CE2的网段都是一样的,都是10.1.1.0/24,传递过程中如何进行区分?(RD值
  2. 10.1.1.0/24到达PE2后,应该交给CE3还是CE4?(RT值
  3. 10.1.1.0/24到达PE2后,应该存放在VRF A中还是VRF B中?(私网标签

为了解决上述问题,引入以下2个值+1和标签。

 RD值:路由标识

由64位二级制构成,华为设备的格式:AS号:NN(任意值),由于私网IP地址并非唯一性,不同的客户端可以使用相同的私网IP,因此PE设备会针对不同客户端的路由信息分配不同的RD值用以区分不同客户端的路由信息,再将RD值和路由信息一起传递给PE2。图中含有RD值的路由信息称为 VPNv4路由

图 1 中 路由信息冲突无法区分           图 2 中 路由信息包含RD值用于区分

RT值:路由目标

RT格式与RD类似,而且也在BGP里面传递,如下图所示,在PE2设备上提前配置好,RT=100:1的路由交给CE3对应的VRF 路由表,RT=200:1的路由交给CE4对应的VRF路由表,每个PE设备上都要配置入RT和出RT而且要与对端相互匹配。

 私网标签

在MPLS VPN 骨干网络中,MPLS中运行的MPLS会给路由分配一个公网标签用于数据转发,而MP-BGP协议同样会给路由分配一个私网标签(该标签和远端PE设备的VRF存在对应关系),通过BGP社团属性在PE设备之间传递,用于判断该路由存放到哪个VRF 中。

三.配置命令

  •  #R1配置---PE1
#创建VRF空间 1
[r2]ip vpn-instance 1
#设定RD值
[r2-vpn-instance-1]route-distinguisher 1:100
#设定RT值
#设置出站LSR RT值
[r2-vpn-instance-1-af-ipv4]vpn-target 1:200  export-extcommunity
#设置入站LSR RT值
[r2-vpn-instance-1-af-ipv4]vpn-target 1:100 import-extcommunity
#将接口划入VRF空间
[r2-GigabitEthernet0/0/0]ip binding vpn-instance 1

#创建VRF空间 2
[r2]ip vpn-instance 2
#设定RD值
[r2-vpn-instance-2]route-distinguisher 4:100
#设定RT值
[r2-vpn-instance-1-af-ipv4]vpn-target 4:100 export-extcommunity
[r2-vpn-instance-1-af-ipv4]vpn-target 4:200 import-extcommunity
[r2-GigabitEthernet0/0/2]ip binding vpn-instance 2

#在BGP进程中启用MP-BGP
[r2-bgp]ipv4-family vpnv4
[r2-bgp-af-vpnv4]peer 5.5.5.5 enable 
#在VRF空间中启动对应路由协议
[r2]rip 1 vpn-instance 1
[r2]version 2
[r2-rip-1]network 12.0.0.0
[r2]rip 2 vpn-instance 2
[r2-rip-2]version 2
[r2-rip-2]network 13.0.0.0  
  
#在BGP进程中进入对应的VRF空间导入对应AS区域路由
[r2-bgp]ipv4-family vpn-instance 1
[r2-bgp-1]import-route rip 1
[r2-bgp]ipv4-family vpn-instance 2
[r2-bgp-2]import-route rip 2
  •  #R5配置---PE2
#创建与PE1设备VRF 1 空间对应的VRF 2 空间
[r5]ip vpn-instance 2
[r5-vpn-instance-2]route-distinguisher 3:100
#PE2的入站RT值需和PE1的出站RT值相同,PE2出站RT值要和PE1对应VRF空间的入站RT值相同
[r5-vpn-instance-2-af-ipv4]vpn-target 1:200import-extcommunity 
[r5-vpn-instance-2-af-ipv4]vpn-target 1:100 export-extcommunity 
[r5-GigabitEthernet0/0/1]ip binding vpn-instance 2

#创建与PE2设备VRF 2空间对应的VRF 1空间
[r5]ip vpn-instance 1
[r5-vpn-instance-1]route-distinguisher 5:100
[r5-vpn-instance-1-af-ipv4]vpn-target 4:200 export-extcommunity
[r5-vpn-instance-1-af-ipv4]vpn-target 4:100 import-extcommunity
[r5-GigabitEthernet0/0/2]ip binding vpn-instance 1

#在VRF空间中启动OSPF
[r5]ospf 2 vpn-instance 2 router-id 5.5.5.5
[r5]ospf 3 vpn-instance 1 router-id 5.5.5.5
#在BGP进程中启用MP-BGP
[r5-bgp]ipv4-family vpnv4
[r5-bgp-af-vpnv4]peer 2.2.2.2 enable

#在BGP进程中进入对应的VRF空间导入对应AS区域路由
[r5-bgp]ipv4-family vpn-instance 2
[r5-bgp-2]import-route ospf 2
[r5-bgp]ipv4-family vpn-instance 1
[r5-bgp-1]import-route ospf 3

 拓展配置:

注:将接口划入VRF空间后该接口将从全局路由表中独立出来,路由表中不含该接口直连网段信息
    且路由器转发报文时默认查看全局路由表,因此给VRF空间中的网段发送报文时,需使用特殊
    命令使设备查看VRF空间路由表转发报文,
注:该PE设备只有转发从VRF空间中的接口接收过来的数据时会自动访问VRF路由表

#查看VRF空间路由表
[r2]dis ip routing-table vpn-instance 1
#指定设备发送该网段报文时查看VRF路由表
<r2>ping -vpn-instance 1 12.0.0.1

#将入站RT和出站RT都设置为1:100
[r2-vpn-instance-1-af-ipv4]vpn-target 1:100

#给VRF空间添加静态路由
[r2-bgp]ipv4-family vpnv4
[r2-bgp]ipv4-family vpn-instance 1
[r2]ip route-static vpn-instance 1 1.1.1.0 12.0.0.1


#在VRF空间中启动RIP
[r2]rip 1 vpn-instance 1
#在VRF空间中启动OSPF
[r5]ospf 2 vpn-instance 2 router-id 5.5.5.5

#查看VRF空间中BGP表
[r2]dis bgp vpnv4 vpn-instance 1 routing-table

 效果图:

  • R1路由表 

  •  R8路由表

  •  R2VRF路由表:

  •  R5VRF路由表

 

  •  R6路由表

 

  • R9路由表 

 

总结

北 染 星 辰
关注
专栏目录
HCIP---MPLS
zhoutong2323的博客
11-21 761
一.MPLS概述MPLS(Multiprotocol Label Switching,多协议标签交换)是一种基于标签的交换技术,可以在高速 IP 网络中实现数据转发、质量保证和虚拟专用网络VPN)等功能。
防火墙MPLS ×××组网解决方案
weixin_34390105的博客
05-14 935
防火墙MPLS ×××组网解决方案(原创) Bati-gol 去年做过一个方案,用到了防火墙MPLS ×××组网的一些技术。今天没事看了看以前写的方案,觉得当时的部署很有意思,今天分享给大家。 需求: 1.总部和各分支机构采用MPLS ×××互联,同时总部和各分支机构需要调整已有防火墙,对访问互联网的数据做病毒过滤和IPS过滤。 2.部分分支机构有...
防火墙——隧道技术分类、加解密技术、PKI数字证书讲解
m0_49864110的博客
05-01 2096
然后用根证书的公钥去解密验证上一层(中级1)证书的合法性,再拿上一层(中级1)证书的公钥去验证更上一层(中级2)证书的合法性,递归回溯,最后验证服务端的证书是可信任的。在实际应用中,由于本地能够存储的CA证书是有限的,所以系统一般只内置了顶级CA机构的证书(根证书),而其它机构的证书则通过信任链的方式进行证书的颁发。CA对每个人的公钥进行认证,并使用CA的私钥进行加密发送给用户(所以我们获取到的公钥就在CA使用私钥加密后的证书中,然后我们使用CA的公钥进行解密得到证书)
个人理解 MPLS 中RD和RT值:
weixin_44809632的博客
09-08 1万+
RD是本地PE路由器上VPN的唯一标识 主要用来区分具有相同地址的不同VPN路由(不同CE),因为BGP在撤消路由时不携带任何属性, 如果一个PE的多个VPN中有相同的前缀就无法识别应该撤消哪个VPN里的路由。 所以要用RD来区别一下,如果CE使用不同的地址时,RD没有作用。 (RD不具有选路能力,不影响路由的发送与接收。 只用来区分本地VRF,本地有效。) 个人理解:当一个PE设备 对端接入 CE1 和CE2,当CE1 和CE2传递相同的IP地址的时候,这时就需要用RD来区分不同的路由。 RT就是BG
网络工程师必须搞清楚MPLS与专线的区别
par@ish的博客
01-19 5133
MPLS被实现为全网状网络时,专线在两点之间建立连接。“MPLS“代表”多协议标签交换”。它是一种数据传输机制。在MPLS网络中为数据包分配标签。取代检查数据包本身,仅基于此标签的内容即可做出数据包转发决策。在数据包的每个点上都会贴上一个新标签,以告知路由器对数据包进行处理,直到到达目的地为止,通过使用仟何协议,它允许跨所有类型的传输介质创建端到端电路.
MPLS的业务原理
05-30
MPLS是吸取了众多厂家IP交换协议基础上综合而成
HCIP-MPLS VPN实验
xiaizhang的博客
08-14 184
1、最基础的就是ip地址的规划,以及ip地址的配置,环回的配置。但是要注意,在二四的那个边界接口处先不要配置ip,后续会在小区域内配置。现在假设这是两个公司的分部,那么他们这家公司就可以进行内部的访问了,那么b1和b2呢,在题目中表示b1部分用rip,b2部分用ospf,然后再让这两个b公司分部能够联系。第五步、mpls的bgp配置,这里就是真诚的bgp配置,但是要在ipv4-family中将对bgp的功能开启。这个时候在r2上创建的vrf a1的表中就有到r5的路由,之前是没有的;
华为数通HCIP-VPN技术-mpls vpn
qq_45179904的博客
07-29 4518
作用:实现广域互联(不同地域局域网之间跨越公网进行互通);
HCIP-RS V2.5 LVC公开课培训视频教程【共128集】.rar
09-07
2.2 MPLS VPN技术原理与配置 2.3 DHCP协议原理与配置 2.4 镜像技术原理与配置 2.5 eSight基本概述 2.6 eSight基本功能 2.7 Agile Controller产品特性介绍 2.8 QoS服务模型 2.9 报文分类与标记 2.10 拥塞管理与拥塞...
华为HCIP-RS HCIE-RS培训视频教程【共32集】.rar
09-30
第11次课 数通HCIP-IE周末班 上午MPLS VPN 第11次课 数通HCIP-IE周末班 下午MPLS VPN 第12次课 数通HCIP-IE周末班 上午QOS 第12次课 数通HCIP-IE周末班 下午QOS VRRP BFD 第13次课 数通HCIP-IE周末班 上午综合...
HCIP-Datacom-WAN Planning and Deployment V1.0 培训材料
05-29
03 广域网VPN技术.pptx 04 MPLS TE原理与配置.pptx 05 Segment Routing.pptx 06 SRv6简介.pptx 07 华为云广域网络解决方案架构与原理.pptx 08 华为云广域网络解决方案运维与故障处理.pptx 09 华为云广域网络...
HCIP-Datacom-RS培训视频教程【共40集】.rar
03-25
2、MPLS VPN 25. 2、WLAN基础介绍 26. 2、聚合VLAN 27. 2、域内路由 28. 3、IGM[PV2 V3工作原理 29. 3、IPV6路由 30. 3、MUX-VLAN和QINQ 31. 3、OSPF特殊区域及特性 32. 3、WLAN 配置介绍 ....
华为HCIP-RS培训视频教程【共56集】.rar
10-17
37-vpn之Gre(上) 38-vpn之Gre(下) 39-vpn之Ipsecvpn 40-组播(上) 41-组播(下) 42-防火墙(上) 43-防火墙(中) 44-防火墙(下) 45-网络运维监控之solarwinds 46-网络运维监控之hostmonitor 47-...
MPLS基础
热门推荐
曹世宏的博客
05-29 8万+
MPLS简介 多协议标签交换MPLS(Multiprotocol Label Switching)是一种IP(Internet Protocol)骨干网技术。MPLS在无连接的IP网络上引入面向连接的标签交换概念,将第三层路由技术和第二层交换技术相结合,充分发挥了IP路由的灵活性和二层交换的简捷性。 MPLS起源于IPv4(Internet Protocol version 4),其核心技术可...
Linux 再入门整理:详解 /etc/fstab 文件
最新发布
一只奋斗的猪
10-01 616
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
MQTT--EMQX入门+MQTTX使用
CJPSR的博客
09-30 913
EMQ X基于 Erlang/OTP 平台开发的MQTT 消息服务器,是开源社区中最流行的 MQTT 消息服务器。EMQ X 是开源百万级分布式。
Linux下send函数和recv函数
威桑的博客
10-01 248
Linux下send和recv
信息安全对抗演习:应对网络威胁的坚实防线
dexun123的博客
09-29 697
演习结束后,需要对整个演习过程进行总结和评估。分析演习中发现的问题和不足并提出改进措施;同时总结经验教训为未来的演习提供参考。
华为HCIP-CloudServiceSolutionsArchitect认证题库详解
"华为认证题库 H13-821 V2.0,包括HCIP-CloudServiceSolutionsArchitect认证的相关试题,版本2.0,考试代码H13-821V2.0,需达到600分才能通过,考试时长120分钟,共394题,实际考试60题。" 华为认证的H13-821 V2.0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北 染 星 辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值