【正文】 ts reserved. Cisco Public 概念總結 ? VRF： virtual routing forwardingtable在一臺 PE上虛擬出來的一個路由器，包括一些特定的接口，一張路由表，一個路由協(xié)議，一個 RD和一組 RT規(guī)則。 ? RT：表明了一個 VRF的路由喜好，通過他可以實現不同VRF之間的路由互通。他的本質就是 BGP的 munity屬性。 ? RD：為了防止一臺 PE接收到遠端 PE發(fā)來的不同 VRF的相同路由時不知所措，而加在路由前面的特殊信息。在 PE發(fā)布路由時加上，在遠端 PE接收到路由后放在本地路由表中，用來與后來接收到的路由進行比較。 ? Label：為了防止一臺 PE接收到遠端 PE發(fā)給本地不同 VRF的相同地址的主機時不知所措，而加在報文前面的特殊信息。由本地 PE在發(fā)布路由時加上，遠端 PE接收到保存在相應的 VRF中。 ? SITE：一個 VRF加上與其相連的所有的 CE的集合。 ? VPN：是一些 SITE的集合，這些 SITE由于共享了相同的路由信息可以互通。 Chapter 1 81 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPLS L3 VPN 路由交換及數據轉發(fā)流程 Chapter 1 82 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPLS L3 VPN路由交換及數據轉發(fā)流程 ? MPLS/VPN的路由交換過程主要分為四部分： ； 2. CE與 PE之間的路由交換； PE之間的路由交換使用 MPIBGP MPIBGP的過程； 5. MPIBGP路由注入到 VRF的過程。 Chapter 1 83 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public CE與 PE之間的路由交換 在 PE上為不同的 VPN站點配置 VRF。 PE上維護多個獨立的路由表，包括公網和私網 (VRF)路由表，其中： 公網路由表：包含全部 PE和 P路由器之間的路由，由骨干網 IGP產生。 私網路由表：包含本 VPN用戶可達信息的路由和轉發(fā)表。 Chapter 1 84 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public VRF路由注入到 MPIBGP的過程 ? 在從 CE端接收到路由信息后， PE路由器需要對該路由加上RD（ RD為手工配置），使其變?yōu)橐粭l VPNIPv4路由。然后在路由通告中更改下一跳屬性為自己（通常是自己的loopback地址），為這條路由加上私網標簽（由 MPIBGP協(xié)議隨機自動生成，無需配置）、加上 RT屬性（ RT需手工配置）。這一系列工作完成后，由 PE發(fā)給其它所有的 PE鄰居。其它的 PE鄰居也進行同樣的操作用于交換不同 CE端的路由。 Chapter 1 85 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 公網標簽分配過程 ? 首先 PE和 P路由器通過骨干網 IGP學習到 BGP鄰居下一跳的地址。通過運行 LDP協(xié)議，分配標簽，建立 LSP通道。標簽棧用于報文轉發(fā)，外層標簽用來指示如何到達 BGP下一跳 ，內層標簽表示報文的出接口或者屬于哪個 VRF（屬于哪個VPN）。 MPLS節(jié)點轉發(fā)是基于外層標簽，而不管內層標簽是多少。此時通過 MPLS的外層標簽空間， PE設備間就可以進行正常的路由交換了。 Chapter 1 86 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPIBGP路由注入到 VRF的過程 ? 如圖所示，接收端 PE在接收到發(fā)送端 PE發(fā)送的路由后，將 VPNv4路由變?yōu)?IPv4路由，并且根據本地 VRF的 import RT屬性將路由條目加入到相應的 VRF中，私網標簽保留，記錄到轉發(fā)表中，留做轉發(fā)時使用。再由本 VRF的路由協(xié)議引入并傳遞給相應的 CE。發(fā)給 CE時下一跳為接收端 PE自己的接口地址。這樣就完成了從 MPIBGP路由注入到 VRF的過程。 ? 經過以上四個步驟，整個 MPLS VPN網絡的路由交換就完成了。此時VPN構建完成，可以進行正常的業(yè)務數據轉發(fā)了。 Chapter 1 87 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPLS L3 VPN數據轉發(fā)流程 ? MPLS/VPN的數據轉發(fā)過程也需要分為兩部分來進行處理： ? 從 CE到 Ingress PE。 ? Ingress PE－ P ? 3. P → Egress PE ? 4. Egress PE－ CE ? 我們還是通過具體的實例來進行分析。 Chapter 1 88 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 數據轉發(fā) —— 從 CE到 Ingress PE ?CE將報文發(fā)給與其相連的 VRF接口， PE在本 VRF的路由表中進行查找，得到了該路由的公網下一跳地址（即：對端PE的 loopback地址）和私網標簽。 ? 在把該報文封裝一層私網標簽后，在公網的標簽轉發(fā)表中查找下一跳地址，再封裝一層公網標簽，交與 MPLS轉發(fā) 。 Chapter 1 89 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 數據轉發(fā) — Ingress PE－ Egress PE－ CE ? 如圖所示，從 Ingress PE－ Egress PE－ CE的數據報文轉發(fā)過程如下： ? 如前一部分所述，交由 MPLS轉發(fā)的報文在公網上沿著 LSP轉發(fā)，并根據途徑的每一臺 P設備的標簽轉發(fā)表進行標簽交換。在倒數第二跳 P設備處，將外層的公網標簽彈出，并由該 P設備交給目的 PE設備， PE設備根據內層的私網標簽判斷該報文屬于哪個 VRF。然后彈出內層的私網標簽，在目的 VRF中查找路由表，根據下一跳發(fā)給相應的 CE。 ? 這樣 VPN站點間的一次數據交換就完成了。 Chapter 1 90 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPBGP(多協(xié)議 BGP） ? 如上圖所示，用戶局域網 LAN1連接 Inter，用戶局域網 LAN2也連接 Inter， ? 當 LAN1要和 LAN2直接通過內網地址進行相互訪問時，只要之間實現MPLS_VPN即可，在實施 MPLS_VPN時， Inter 中之前是運行著 MPLS的，我們已經知道，在 MPLS中，中間的 LSR稱為 P，而 MPLS中連接著用戶網絡的邊緣 LSR稱為 PE，用戶連接 PE的路由器稱為 CE，而用戶自己內部的路由器可以稱為是 CE。 Chapter 1 91 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPBGP(多協(xié)議 BGP） ? 用戶的網段到達 PE時，因為要讓 BGP區(qū)分不同的用戶網段，所以 PE會為它加上 RD，加上了 RD的網段稱為 vpnv4， 這時PE會將 vpnv4的路由放入 MPBGP，然后 MPBGP再將vpnv4從 MPLS網絡中通告給對端的 BGP鄰居，但是要保證vpnv4到達對端 BGP鄰居之后，對方還能夠認識這這些vpnv4的 RD，那么 BGP就必須為 vpnv4打上相應的標簽，對方 BGP鄰居看了這個標簽，就能根據 RD將其放入相應的VRF，從而將數據包根據這些 VRF轉發(fā)給相應的 CE。 正因為 BGP要為 vpnv4加入額外的標簽，所以要使用 MPBGP。 Chapter 1 92 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPBGP規(guī)則 ? 普通的 BGP通過額外配置 addressfamily之后，就可以實現MPBGP的功能，普通的 BGP只是能夠傳遞普通 IPv4 的路由，所以這樣也會有個默認 addressfamily，稱為 ipv4 ? 我們要傳遞的即不是 ipv4 單播，也不是 ipv4 多播，更不是ipv6，我們要傳遞的是 vpnv4，所以就要開啟 MPBGP支持vpnv4，要支持 vpnv4，也需要創(chuàng)建相應的 vpnv4的 addressfamily ? 然后將 相應的 vpnv4就和相應的 VRF相關聯起來。 ? 所有多協(xié)議的 BGP在運行之前，應該保證普通的 BGP鄰居是正常的。 MPBGP在為 vpnv4通告標簽時，并且所有信息要當作團體屬性帶出去，要手工指定。 Chapter 1 93 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public PECE路由協(xié)議 ? 在 開始通信 之前， PE就應該獲得用戶的內部路由信息 和公網路由信息，怎么獲取呢？ ? 在 PE有了用戶的路由信息之后，必須將這些路由信息重分布進 MPBGP，再由 MPBGP通告給對端鄰居，從而到達遠程用戶 ? 但是如果 CE沒有遠程用戶的私有網段信息，也是不能通信 ? 所以在 PE上， MPBGP的路由也同樣要發(fā)給 CE，也可以通過將 MPBGP的路由重分布進 PE和 CE間的路由協(xié)議，雖然普通 BGP不允許將自己的路由重分布進 IGP，但 MPBGP不受此限制。 ? 還需要說明的是， PE和 CE相連的某個接口，是屬于某一個VRF的，所以從該接口進來的 CE路由，都屬于該 VRF。 Chapter 1 94 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public PECE路由協(xié)議 ? PE和 CE之間支持的協(xié)議有 ? 靜態(tài)路由 ? RIPv2 ? OSPF ? EIGRP ? ISIS ? EBGP ? r1(configrouteraf)neighbor activate ? 為指定的鄰居激活在地址族下交換路由 Chapter 1 95 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 協(xié)議配置方法 ? 在配置這些協(xié)議時，因為協(xié)議需要同時運行在 PE和 CE上，所以配置的步驟也分為 PE和 CE兩步 ? 靜態(tài)路由 ? RIPv2 ? OSPF ? EIGRP ? ISIS ? 以上配置上過程省略 ? EBGP（如果所有客戶網絡 AS都是一樣的， CE會拒絕，因為看到與自己相同的 AS，但服 務提供商可以比較，如果是一樣的，就修改成自己的發(fā)過去 ） ? r1(configrouteraf)neighbor asoverride Chapter 1 96 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 配置 MPLS_VPN 流程 ? MPLS ? BGP ? PE上創(chuàng)建 VRF ? PE上將連 CE的接口劃入 VRF ? PE上查看 VRF的路由表情況 ? MPBGP ? MPBGP的 VRF路由 ? MPBGP創(chuàng)建 VRF ? RT控制 VRF路由信息 ? PECE的路由協(xié)議 ? PE上查看 VRF路由 ? MPBGP Chapter 1 97 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 配置 MPLS_VPN 流程 ? MPBGP路由 ? VRF路由 ? CE路由 ? Chapter 1 98 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 配置 MPLS_VPN 流程 ? MPLS ? BGP ? PE上創(chuàng)建 VRF 在 R1上創(chuàng)建 VRF，并指定 RD值： ? r1(config)ip vrf vpn1 ? r1(configvrf)rd 100:1