发布时间: 2021-04-22 13:43:56
单 AS MPLS vpn
一般而言两个站点有互联的需要,那么可以使用专线,价格昂贵,链路浪费。链路独有。
什么是 vpn,虚拟专网,链路共享,价格可以比较低廉,并且可以保证使用。
Mpls vpn。对于客户而言,不需要花费昂贵的价格购买专线,可以根据两个站点实时路由状况,变动都可以同步。
相比与 IPSEC vpn 这种,无法动态感知的,比较有优势的。
大部分情况,就向当地运营商咨询购买 mpls vpn。一般而言,两个站点距离没太大,也就是中间值跨域一个 AS。
地址重叠现象的解决
PE 设备连接 CE 设备,存在不同 VPN 中地址重叠现象。PE 设备使用 RD 值来标识不同的 VPN。为不同 VPN 接
口创建独立的 VRF(虚拟路由转发),相当于独立的路由表。这个 RD 值由 ISP 自定义,本 AS 内唯一(不唯一
也不会有太大影响)。
ip vpn-instance siteA
ipv4-family
route-distinguisher 1:1
只需要将该 VPN 实例加入到接口上,就会将该接口的所有路由放在一个独立的 VRF 中。
interface GigabitEthernet0/0/0
ip binding vpn-instance siteA
ip address 192.168.1.254 255.255.255.0
如此,g0/0/0 接口将脱离全局路由表,也就是说,dis ip routing 已经没有 192.168.1.0/24
而在 独立 vpn 实例 siteA 表。 查询方式: [PE1]dis ip routing-table vpn-instance siteA
如何正确的引入 vpn 路由和传递
在 PE1 上,收到了 CE1 的路由,如何将 CE1 的路由发给 PE2,转发给 CE2。并且区分开不同的 VPN 路由。
RT 值。RT 属于 BGP 团体属性的拓展属性。可以通过配置相同对应的 RT 值做到路由的正确引入。
ip vpn-instance siteA
ipv4-family
route-distinguisher 1:1
vpn-target 1:1 export-extcommunity
vpn-target 1:1 import-extcommunity
设置发出的 RT 值和接收的 RT 值,如果 RT 值交叉成功,则路由属于同一个 vpn。
使用 BGP 的 vpnv4 (vpn ipv4)来传递路由。就需要两个路由器建立 vpnv4 邻居。但是默认 BGP 建立的都是属
于单播邻居。所以需要手动建立 vpnv4.
[PE1]bgp 100
[PE1-bgp]peer 4.4.4.4 as 100
[PE1-bgp]peer 4.4.4.4 co lo0
[PE1-bgp]ipv4
[PE1-bgp]ipv4-family vpnv4
[PE1-bgp-af-vpnv4]peer 4.4.4.4 enable //启用 vpnv4 邻居。
这时候 dis this 一下。会发现当前视图的命令多了一条命令。
ipv4-family vpnv4
policy vpn-target
peer 4.4.4.4 enable
policy vpn-target 如果邻居发送 vpnv4 路由给我。会使用 RT 交叉过滤路由。
私网数据如何在公网上转发
可以通过 mpls 标签的多标签的特性转发公私网路由。
也就是说在公网上,从 CE1 到 CE2 的数据是这样转发的。
CE1 发给 PE1,PE1 发现属于 VPN 路由,加上私网标签,然后,目的是发给 PE2,所以在套上一层外层的目的
为 PE2 的公网标签。如果 P 设备收到了会根据外层标签转发给 PE2,PE2 收到以后就拆开有私网标签,转发给对
应的 VPN 实例。
所以 ISP 全局运行 MPLS 和 MPLS LDP。
mpls lsr-id 2.2.2.2 //使用本地设备的 ip 地址,必须保证 ISP 内可达。
mpls
#
mpls ldp
私网路由传入公网
对于使用 MPLS 的客户端而言。可以说毫无感知,可以使用静态,RIP,ISIS,OSPF,BGP 等路由协议传递路由 PE
设备。
举个栗子:
CE 设备:
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.1.0 0.0.0.255
直接运行内部的 IGP 协议,内部的路由就将全部传递给公网 PE。
PE 设备又该如何区分呢?
由于 PE 设备连接该 CE 的接口已经加入了独立的 VRF,所以必须指定对应的 vpn 实例才能调用该接口。如果是
在全局的路由上是找不到加入 vpn 实例的接口的。
ospf 10 vpn-instance siteA //切记运行的进程不能和公网的进程相同。
area 0.0.0.0
network 192.168.1.0 0.0.0.255
由于 VPN 路由从 BGP 所以需要引入 bgp
[PE1-ospf-10]import-route bgp
只会引入到该 vpn 实例所属的路由。
同时 bgp 进程也需要引入该 ospf vpn 实例。
[PE1-bgp]ipv4-family vpn-instance siteA
[PE1-bgp-siteA]import-route ospf 10
上一篇: 解析DNS的含义和结构