單 AS MPLS vpn
一般而言兩個(gè)站點(diǎn)有互聯(lián)的需要���,那么可以使用專線���,價(jià)格昂貴,鏈路浪費(fèi)���。鏈路獨(dú)有���。
什么是 vpn,虛擬專網(wǎng)����,鏈路共享,價(jià)格可以比較低廉���,并且可以保證使用�。
Mpls vpn。對(duì)于客戶而言��,不需要花費(fèi)昂貴的價(jià)格購買專線�,可以根據(jù)兩個(gè)站點(diǎn)實(shí)時(shí)路由狀況,變動(dòng)都可以同步��。
相比與 IPSEC vpn 這種����,無法動(dòng)態(tài)感知的,比較有優(yōu)勢(shì)的����。
大部分情況,就向當(dāng)?shù)剡\(yùn)營商咨詢購買 mpls vpn�。一般而言,兩個(gè)站點(diǎn)距離沒太大����,也就是中間值跨域一個(gè) AS���。
地址重疊現(xiàn)象的解決
PE 設(shè)備連接 CE 設(shè)備��,存在不同 VPN 中地址重疊現(xiàn)象����。PE 設(shè)備使用 RD 值來標(biāo)識(shí)不同的 VPN。為不同 VPN 接
口創(chuàng)建獨(dú)立的 VRF(虛擬路由轉(zhuǎn)發(fā))�,相當(dāng)于獨(dú)立的路由表。這個(gè) RD 值由 ISP 自定義��,本 AS 內(nèi)唯一(不唯一
也不會(huì)有太大影響)�。
ip vpn-instance siteA
ipv4-family
route-distinguisher 1:1
只需要將該 VPN 實(shí)例加入到接口上,就會(huì)將該接口的所有路由放在一個(gè)獨(dú)立的 VRF 中����。
interface GigabitEthernet0/0/0
ip binding vpn-instance siteA
ip address 192.168.1.254 255.255.255.0
如此,g0/0/0 接口將脫離全局路由表�,也就是說,dis ip routing 已經(jīng)沒有 192.168.1.0/24
而在 獨(dú)立 vpn 實(shí)例 siteA 表����。 查詢方式: [PE1]dis ip routing-table vpn-instance siteA
如何正確的引入 vpn 路由和傳遞
在 PE1 上,收到了 CE1 的路由���,如何將 CE1 的路由發(fā)給 PE2�,轉(zhuǎn)發(fā)給 CE2。并且區(qū)分開不同的 VPN 路由�����。
RT 值��。RT 屬于 BGP 團(tuán)體屬性的拓展屬性��?��?梢酝ㄟ^配置相同對(duì)應(yīng)的 RT 值做到路由的正確引入�。
ip vpn-instance siteA
ipv4-family
route-distinguisher 1:1
vpn-target 1:1 export-extcommunity
vpn-target 1:1 import-extcommunity
設(shè)置發(fā)出的 RT 值和接收的 RT 值����,如果 RT 值交叉成功,則路由屬于同一個(gè) vpn��。
使用 BGP 的 vpnv4 (vpn ipv4)來傳遞路由���。就需要兩個(gè)路由器建立 vpnv4 鄰居�����。但是默認(rèn) BGP 建立的都是屬
于單播鄰居�。所以需要手動(dòng)建立 vpnv4.
[PE1]bgp 100
[PE1-bgp]peer 4.4.4.4 as 100
[PE1-bgp]peer 4.4.4.4 co lo0
[PE1-bgp]ipv4
[PE1-bgp]ipv4-family vpnv4
[PE1-bgp-af-vpnv4]peer 4.4.4.4 enable //啟用 vpnv4 鄰居。
這時(shí)候 dis this 一下�����。會(huì)發(fā)現(xiàn)當(dāng)前視圖的命令多了一條命令���。
ipv4-family vpnv4
policy vpn-target
peer 4.4.4.4 enable
policy vpn-target 如果鄰居發(fā)送 vpnv4 路由給我。會(huì)使用 RT 交叉過濾路由�。
私網(wǎng)數(shù)據(jù)如何在公網(wǎng)上轉(zhuǎn)發(fā)
可以通過 mpls 標(biāo)簽的多標(biāo)簽的特性轉(zhuǎn)發(fā)公私網(wǎng)路由。
也就是說在公網(wǎng)上��,從 CE1 到 CE2 的數(shù)據(jù)是這樣轉(zhuǎn)發(fā)的�。
CE1 發(fā)給 PE1,PE1 發(fā)現(xiàn)屬于 VPN 路由����,加上私網(wǎng)標(biāo)簽,然后�,目的是發(fā)給 PE2,所以在套上一層外層的目的
為 PE2 的公網(wǎng)標(biāo)簽���。如果 P 設(shè)備收到了會(huì)根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)給 PE2��,PE2 收到以后就拆開有私網(wǎng)標(biāo)簽���,轉(zhuǎn)發(fā)給對(duì)
應(yīng)的 VPN 實(shí)例����。
所以 ISP 全局運(yùn)行 MPLS 和 MPLS LDP��。
mpls lsr-id 2.2.2.2 //使用本地設(shè)備的 ip 地址���,必須保證 ISP 內(nèi)可達(dá)���。
mpls
#
mpls ldp
私網(wǎng)路由傳入公網(wǎng)
對(duì)于使用 MPLS 的客戶端而言?��?梢哉f毫無感知��,可以使用靜態(tài)����,RIP,ISIS,OSPF,BGP 等路由協(xié)議傳遞路由 PE
設(shè)備�。
舉個(gè)栗子:
CE 設(shè)備:
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.1.0 0.0.0.255
直接運(yùn)行內(nèi)部的 IGP 協(xié)議,內(nèi)部的路由就將全部傳遞給公網(wǎng) PE����。
PE 設(shè)備又該如何區(qū)分呢�?
由于 PE 設(shè)備連接該 CE 的接口已經(jīng)加入了獨(dú)立的 VRF�����,所以必須指定對(duì)應(yīng)的 vpn 實(shí)例才能調(diào)用該接口�。如果是
在全局的路由上是找不到加入 vpn 實(shí)例的接口的��。
ospf 10 vpn-instance siteA //切記運(yùn)行的進(jìn)程不能和公網(wǎng)的進(jìn)程相同��。
area 0.0.0.0
network 192.168.1.0 0.0.0.255
由于 VPN 路由從 BGP 所以需要引入 bgp
[PE1-ospf-10]import-route bgp
只會(huì)引入到該 vpn 實(shí)例所屬的路由��。
同時(shí) bgp 進(jìn)程也需要引入該 ospf vpn 實(shí)例��。
[PE1-bgp]ipv4-family vpn-instance siteA
[PE1-bgp-siteA]import-route ospf 10
騰科IT教育
