MPLS-VPN
思维导图
·MPLS VPN的起源
·VPN专用术语
一.MPLS VPN的起源
MPLS在提高数据转发速度上的优势逐渐弱化,但其支持多层标签嵌套和设备内转控分离的特点,使其在VPN等新兴应用中得到广泛的应用
传统的VPN存在一些固有缺陷,导致客户组网时很多需求没法满足,MPLS VPN将传统的两种VPN模型整合到一起,推动了VPN的发展
二.VPN专用术语
客户端的网络设备
·RTA,RTB,RTF,RTG与运营商网络连接的设备被称为CE(Customer Edge,客户边缘)设备
运营商的网络设备
·RTC与RTE,设备直接与客户设备项链,被称为PE(Provider Edge,运营商边缘)设备
·RTD,运营商网络中的骨干设备,被称为P(Provider)设备
三.MP-BGP技术(多协议BGP)
1.定义:即开启BGP下的VPNV4地址族,MP-BGP用于在MPLS网络中交换私网路由
2.BGP协议与MP-BGP之间的区别
·报文格式
BGP更新消息包括以下三部分
(1)Unfeasible Routes:之前发过的,现在不再有效的路由信息
(2)Path Attribute:路由信息的属性,是BGP进行路由控制和决策的信息,如LocalPriority属性,MED属性等
(3)NRLI:路由信息,由一个或者多个IPV4地址前缀组成
MP-BGP协议相对BGP协议的区别是对路由更新信息进行了改动,具体的改动包括以下三个部分
(1)采用MP_Reach_Nrli属性代替了原BGP更新消息里面的NLRI及Next-Hop属性
(2)采用MP_UNREACH_NRLI属性代替了原BGP更新消息里面的Withdrawn Routers
(3)在BGP属性部分增加了一种新的扩展团体属性Extended_Communities
注:在MP_Reach_NRLI中传递的网络的地址前缀是VPNV4地址(RD+ipv4地址),还携带了与IPV4地址对应的MPLS内部标签
选择BGP作为辅助协议的原因:
(1)可以传输大量路由信息
(2)BGP的团体属性可扩展
四.MPLS所解决的传统VLAN中的问题
MPLS所解决的问题主要是地址空间重叠这一问题
1.本地路由冲突的问题
问题描述:
为了降低成本,运营商不会为每个客户单独配置一个PE设备,只能多个用户共享一个PE,这时就可能出现这样一个问题,假如两个用户中有同样的网段,PE设备如何进行区分标识这些来自不同客户的网段
解决方法:
使用VRF(虚拟路由转发)技术将重叠的路由实例分开,每个VPN的路由放入自己对应的VPN Routing Table中,且相互隔离
2.如何在网络传递过程中区分冲突路由
问题描述:
虽然将客户的路由表进行了隔离,但是当PE设备需要向对端PE设备传递路由信息时,如何标识这些路由信息呢?
解决方法:
增添一个新的参数,RD用来区分冲突的私网路由,需要用到的是MP-BGP中的VPNV4地址族。RD和IPV4地址组成新的标识符—VPNV4地址
3.接收路由端如何区分将哪些路由导入到正确的VPN路由表中的问题
问题描述:
接受端,可能会收到来自不同VPN的相同私网的路由,虽然有RD作为区分,但是RD只是用于在于发送端将发出的路由进行标识,RD只在本地路由器有意义,并不能使远端将合适的路由导入到对应的VPN路由表中
解决方法:
使用MP-BGP的扩展属性,route-tag,RT由两部分组成,一个是入向RT,另一个是出向RT,发送端的出向RT必须和接受端的入向RT相同才可以将路由传递到对端
4.数据转发过程中冲突路由的查找问题
问题描述:
IP数据包到达MPLS网络边界时,因为数据包没有携带任何标识,所以PE并不知道该为其查找哪个VPN路由表以找到正确的目标地址
解决方法:
使用MPLS标签嵌套,数据包进入PE后,首先查看的是VRF表,按照VRF中对应的路由项(VRF表中有到对端VPN内网的路由)和LFIB表添加一个MPLS头部,这是内网MPLS头部,是与远程私网通信用到的MPLS头部,封装完内部MPLS之后,再检查公网路由表,按照公网的LFIB表封装第二个MPLS报头,用于在公网上进行传输,最终到达PE,到达PE后外部标签弹掉,检查后再将内部标签弹掉,检查对应的VRF表,按照VRF表再进行数据的传输
VRF,RD,RT,Label的解析
VRF:为不同的VPN实例建立的单独的路由表,起隔离客户的效果
RD:用来标识本地发出的路由,和IPV4地址构成VPNV4地址,本地有效
RT:用来标识该接收哪些路由条目
Label:用于数据的路径选择
五.MPLS的工作过程分析
MPLS的工作过程可以分为两部分
·MPLS VPN路由的传递过程
·MPLS VPN数据的转发过程
1.路由交换过程
CE和PE之间的路由交换
CE和PE之间可以通过静态路由交换路由协议,也可以通过动态路由协议(RIP,OSPF等)—构建VRF路由表
VPN路由注入MP-BGP
VRF中的IPV4路由被添加上RD,RT与标签等信息构成VPN-IPV4路由放入到MP-BGP的路由表中,并通过MP-BGP协议在PE设备之间交换路由信息
MP-BGP路由注入VPN的过程
PE在收到对端PE发送的VPNV4路由后将检查路由的扩展团体属性将携带的Export Target值与本端VPN的Import Target值比较,数值相同则将路由引入VPN的路由表,实现路由的正确导入
六.MPLS-VPN配置
配置思路
·搭建好MPLS环境
·PE-PE之间配置对等体关系
·PE上创建CRF
·PE-CE端的路由交互
1.PE和PE路由器之间配置MP-BGP
前提:有IGP的支持
·配置MP-BGP邻居
路由模式下 neighbor remote-as
·配置BGP VPNv4地址族
路由模式下 address-family vpnv4 进入vpnv4地址族
地址族模式下 neighbor active BGP默认只传递IPV4路由信息,这条命令使得VPNV4路由可以被通告
地址族模式下 neighbor send-community extended 使BGP-VPN4模式下可以传递扩展属性,默认是不传递的
·查看VPNV4有关路由
特权模式下 do show bgp vpnv4 unicast all
2.PE路由器上定义VRF
·创建并进入VRF
全局配置模式下 ip vrf
·设置RD
VRF模式下 rd 1:100
·设置RT
VRF模式下 route-target both 1:100
·将接口加入到VRF中
接口模式下 ip vrf forwarding
·配置IP地址—必须加入到VRF之后再配置IP地址,不然会是全局地址
接口模式下 ip address
·在PE上ping客户主机
特权模式下 ping vrf
·查看vrf路由表
特权模式下 show ip route vrf
3.PE和CE的路由交互
·配置vrf静态路由
全局配置模式下 ip route vrf
·在vrf模式下进行重分发
路由模式下 address-family ipv4 vrf 进入VRF模式
VRF模式下 redistribute connect|static
·配置RIPV2重分发进BGP 在VRF模式下进行路由的交互操作
路由模式下 address-family ipv4 vrf
VRF模式下 network
no auto-summary
·将RIP重分发进BGP
进入vrf 路由模式下 address-family ipv4 vrf
重分发 VRF模式下 redistribute rip
·将BGP重分发进RIP
进入vrf 路由模式下 address-family ipv4 vrf
重分发 VRF模式下 redistribute bgp metric
七.MPLS VPN的高级配置实例及思路
1.当ISP域内有很多太PE时,为每台PE都手动配置BGP关系太繁琐,可以使用路由反射器配合对等体组进行配置
配置注意:
(1)VPNV4模式下,开启路由器反射功能,配置使得不对IPV4的信息进行反射
2.在RR上过滤RT
配置扩展属性 列表
全局模式下 ip execommunity-list {permit | deny} {rt }
VPNV4地址模式下 bgp rr-group
3.配置入向映射和出向映射
用户之间是否能通信,完全是由RT来控制的,RD是让BGP来区分用户路由条目的。VRF是让PE路由器来区分不同客户的
使用import map和 export map可以有条件的导入或导出VRF路由
Import map 本质是在手下了所有的路由之后再进行过滤, 不是对RT的过滤,即可以在VPNV4路由表下,看到条目,但是在不会导入到VRF中去
Export map主要是针对RT,可以更改往外通告的RT值,比如本来是1:1.则可以改成别的值
配置步骤及命令
VRF模式下
import map
export map
配置route-map
match ip address
set extcommunity rt 1:200
4.CE的路由协议是OSPF时
·会自己创建一个超级骨干区域相连
·若两端PE的进程号不同,则两端引入的路由显示为外部路由OE2
·可以使用smart-link,这样传递的就是O路由
·OSPF的防环机制
tag标记,
5.CE的路由协议是BGP
·重写自治系统号 neighbor as-override
