【正文】 ts reserved. Cisco Public 概念總結(jié) ? VRF： virtual routing forwardingtable在一臺(tái) PE上虛擬出來(lái)的一個(gè)路由器，包括一些特定的接口，一張路由表，一個(gè)路由協(xié)議，一個(gè) RD和一組 RT規(guī)則。 ? RT：表明了一個(gè) VRF的路由喜好，通過(guò)他可以實(shí)現(xiàn)不同VRF之間的路由互通。他的本質(zhì)就是 BGP的 munity屬性。 ? RD：為了防止一臺(tái) PE接收到遠(yuǎn)端 PE發(fā)來(lái)的不同 VRF的相同路由時(shí)不知所措，而加在路由前面的特殊信息。在 PE發(fā)布路由時(shí)加上，在遠(yuǎn)端 PE接收到路由后放在本地路由表中，用來(lái)與后來(lái)接收到的路由進(jìn)行比較。 ? Label：為了防止一臺(tái) PE接收到遠(yuǎn)端 PE發(fā)給本地不同 VRF的相同地址的主機(jī)時(shí)不知所措，而加在報(bào)文前面的特殊信息。由本地 PE在發(fā)布路由時(shí)加上，遠(yuǎn)端 PE接收到保存在相應(yīng)的 VRF中。 ? SITE：一個(gè) VRF加上與其相連的所有的 CE的集合。 ? VPN：是一些 SITE的集合，這些 SITE由于共享了相同的路由信息可以互通。 Chapter 1 81 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPLS L3 VPN 路由交換及數(shù)據(jù)轉(zhuǎn)發(fā)流程 Chapter 1 82 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPLS L3 VPN路由交換及數(shù)據(jù)轉(zhuǎn)發(fā)流程 ? MPLS/VPN的路由交換過(guò)程主要分為四部分： ； 2. CE與 PE之間的路由交換； PE之間的路由交換使用 MPIBGP MPIBGP的過(guò)程； 5. MPIBGP路由注入到 VRF的過(guò)程。 Chapter 1 83 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public CE與 PE之間的路由交換 在 PE上為不同的 VPN站點(diǎn)配置 VRF。 PE上維護(hù)多個(gè)獨(dú)立的路由表，包括公網(wǎng)和私網(wǎng) (VRF)路由表，其中： 公網(wǎng)路由表：包含全部 PE和 P路由器之間的路由，由骨干網(wǎng) IGP產(chǎn)生。 私網(wǎng)路由表：包含本 VPN用戶可達(dá)信息的路由和轉(zhuǎn)發(fā)表。 Chapter 1 84 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public VRF路由注入到 MPIBGP的過(guò)程 ? 在從 CE端接收到路由信息后， PE路由器需要對(duì)該路由加上RD（ RD為手工配置），使其變?yōu)橐粭l VPNIPv4路由。然后在路由通告中更改下一跳屬性為自己（通常是自己的loopback地址），為這條路由加上私網(wǎng)標(biāo)簽（由 MPIBGP協(xié)議隨機(jī)自動(dòng)生成，無(wú)需配置）、加上 RT屬性（ RT需手工配置）。這一系列工作完成后，由 PE發(fā)給其它所有的 PE鄰居。其它的 PE鄰居也進(jìn)行同樣的操作用于交換不同 CE端的路由。 Chapter 1 85 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 公網(wǎng)標(biāo)簽分配過(guò)程 ? 首先 PE和 P路由器通過(guò)骨干網(wǎng) IGP學(xué)習(xí)到 BGP鄰居下一跳的地址。通過(guò)運(yùn)行 LDP協(xié)議，分配標(biāo)簽，建立 LSP通道。標(biāo)簽棧用于報(bào)文轉(zhuǎn)發(fā)，外層標(biāo)簽用來(lái)指示如何到達(dá) BGP下一跳 ，內(nèi)層標(biāo)簽表示報(bào)文的出接口或者屬于哪個(gè) VRF（屬于哪個(gè)VPN）。 MPLS節(jié)點(diǎn)轉(zhuǎn)發(fā)是基于外層標(biāo)簽，而不管內(nèi)層標(biāo)簽是多少。此時(shí)通過(guò) MPLS的外層標(biāo)簽空間， PE設(shè)備間就可以進(jìn)行正常的路由交換了。 Chapter 1 86 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPIBGP路由注入到 VRF的過(guò)程 ? 如圖所示，接收端 PE在接收到發(fā)送端 PE發(fā)送的路由后，將 VPNv4路由變?yōu)?IPv4路由，并且根據(jù)本地 VRF的 import RT屬性將路由條目加入到相應(yīng)的 VRF中，私網(wǎng)標(biāo)簽保留，記錄到轉(zhuǎn)發(fā)表中，留做轉(zhuǎn)發(fā)時(shí)使用。再由本 VRF的路由協(xié)議引入并傳遞給相應(yīng)的 CE。發(fā)給 CE時(shí)下一跳為接收端 PE自己的接口地址。這樣就完成了從 MPIBGP路由注入到 VRF的過(guò)程。 ? 經(jīng)過(guò)以上四個(gè)步驟，整個(gè) MPLS VPN網(wǎng)絡(luò)的路由交換就完成了。此時(shí)VPN構(gòu)建完成，可以進(jìn)行正常的業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)了。 Chapter 1 87 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPLS L3 VPN數(shù)據(jù)轉(zhuǎn)發(fā)流程 ? MPLS/VPN的數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程也需要分為兩部分來(lái)進(jìn)行處理： ? 從 CE到 Ingress PE。 ? Ingress PE－ P ? 3. P → Egress PE ? 4. Egress PE－ CE ? 我們還是通過(guò)具體的實(shí)例來(lái)進(jìn)行分析。 Chapter 1 88 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 數(shù)據(jù)轉(zhuǎn)發(fā) —— 從 CE到 Ingress PE ?CE將報(bào)文發(fā)給與其相連的 VRF接口， PE在本 VRF的路由表中進(jìn)行查找，得到了該路由的公網(wǎng)下一跳地址（即：對(duì)端PE的 loopback地址）和私網(wǎng)標(biāo)簽。 ? 在把該報(bào)文封裝一層私網(wǎng)標(biāo)簽后，在公網(wǎng)的標(biāo)簽轉(zhuǎn)發(fā)表中查找下一跳地址，再封裝一層公網(wǎng)標(biāo)簽，交與 MPLS轉(zhuǎn)發(fā) 。 Chapter 1 89 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 數(shù)據(jù)轉(zhuǎn)發(fā) — Ingress PE－ Egress PE－ CE ? 如圖所示，從 Ingress PE－ Egress PE－ CE的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)過(guò)程如下： ? 如前一部分所述，交由 MPLS轉(zhuǎn)發(fā)的報(bào)文在公網(wǎng)上沿著 LSP轉(zhuǎn)發(fā)，并根據(jù)途徑的每一臺(tái) P設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行標(biāo)簽交換。在倒數(shù)第二跳 P設(shè)備處，將外層的公網(wǎng)標(biāo)簽彈出，并由該 P設(shè)備交給目的 PE設(shè)備， PE設(shè)備根據(jù)內(nèi)層的私網(wǎng)標(biāo)簽判斷該報(bào)文屬于哪個(gè) VRF。然后彈出內(nèi)層的私網(wǎng)標(biāo)簽，在目的 VRF中查找路由表，根據(jù)下一跳發(fā)給相應(yīng)的 CE。 ? 這樣 VPN站點(diǎn)間的一次數(shù)據(jù)交換就完成了。 Chapter 1 90 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPBGP(多協(xié)議 BGP） ? 如上圖所示，用戶局域網(wǎng) LAN1連接 Inter，用戶局域網(wǎng) LAN2也連接 Inter， ? 當(dāng) LAN1要和 LAN2直接通過(guò)內(nèi)網(wǎng)地址進(jìn)行相互訪問(wèn)時(shí)，只要之間實(shí)現(xiàn)MPLS_VPN即可，在實(shí)施 MPLS_VPN時(shí)， Inter 中之前是運(yùn)行著 MPLS的，我們已經(jīng)知道，在 MPLS中，中間的 LSR稱為 P，而 MPLS中連接著用戶網(wǎng)絡(luò)的邊緣 LSR稱為 PE，用戶連接 PE的路由器稱為 CE，而用戶自己內(nèi)部的路由器可以稱為是 CE。 Chapter 1 91 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPBGP(多協(xié)議 BGP） ? 用戶的網(wǎng)段到達(dá) PE時(shí)，因?yàn)橐?BGP區(qū)分不同的用戶網(wǎng)段，所以 PE會(huì)為它加上 RD，加上了 RD的網(wǎng)段稱為 vpnv4， 這時(shí)PE會(huì)將 vpnv4的路由放入 MPBGP，然后 MPBGP再將vpnv4從 MPLS網(wǎng)絡(luò)中通告給對(duì)端的 BGP鄰居，但是要保證vpnv4到達(dá)對(duì)端 BGP鄰居之后，對(duì)方還能夠認(rèn)識(shí)這這些vpnv4的 RD，那么 BGP就必須為 vpnv4打上相應(yīng)的標(biāo)簽，對(duì)方 BGP鄰居看了這個(gè)標(biāo)簽，就能根據(jù) RD將其放入相應(yīng)的VRF，從而將數(shù)據(jù)包根據(jù)這些 VRF轉(zhuǎn)發(fā)給相應(yīng)的 CE。 正因?yàn)?BGP要為 vpnv4加入額外的標(biāo)簽，所以要使用 MPBGP。 Chapter 1 92 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public MPBGP規(guī)則 ? 普通的 BGP通過(guò)額外配置 addressfamily之后，就可以實(shí)現(xiàn)MPBGP的功能，普通的 BGP只是能夠傳遞普通 IPv4 的路由，所以這樣也會(huì)有個(gè)默認(rèn) addressfamily，稱為 ipv4 ? 我們要傳遞的即不是 ipv4 單播，也不是 ipv4 多播，更不是ipv6，我們要傳遞的是 vpnv4，所以就要開啟 MPBGP支持vpnv4，要支持 vpnv4，也需要?jiǎng)?chuàng)建相應(yīng)的 vpnv4的 addressfamily ? 然后將 相應(yīng)的 vpnv4就和相應(yīng)的 VRF相關(guān)聯(lián)起來(lái)。 ? 所有多協(xié)議的 BGP在運(yùn)行之前，應(yīng)該保證普通的 BGP鄰居是正常的。 MPBGP在為 vpnv4通告標(biāo)簽時(shí)，并且所有信息要當(dāng)作團(tuán)體屬性帶出去，要手工指定。 Chapter 1 93 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public PECE路由協(xié)議 ? 在 開始通信 之前， PE就應(yīng)該獲得用戶的內(nèi)部路由信息 和公網(wǎng)路由信息，怎么獲取呢？ ? 在 PE有了用戶的路由信息之后，必須將這些路由信息重分布進(jìn) MPBGP，再由 MPBGP通告給對(duì)端鄰居，從而到達(dá)遠(yuǎn)程用戶 ? 但是如果 CE沒有遠(yuǎn)程用戶的私有網(wǎng)段信息，也是不能通信 ? 所以在 PE上， MPBGP的路由也同樣要發(fā)給 CE，也可以通過(guò)將 MPBGP的路由重分布進(jìn) PE和 CE間的路由協(xié)議，雖然普通 BGP不允許將自己的路由重分布進(jìn) IGP，但 MPBGP不受此限制。 ? 還需要說(shuō)明的是， PE和 CE相連的某個(gè)接口，是屬于某一個(gè)VRF的，所以從該接口進(jìn)來(lái)的 CE路由，都屬于該 VRF。 Chapter 1 94 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public PECE路由協(xié)議 ? PE和 CE之間支持的協(xié)議有 ? 靜態(tài)路由 ? RIPv2 ? OSPF ? EIGRP ? ISIS ? EBGP ? r1(configrouteraf)neighbor activate ? 為指定的鄰居激活在地址族下交換路由 Chapter 1 95 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 協(xié)議配置方法 ? 在配置這些協(xié)議時(shí)，因?yàn)閰f(xié)議需要同時(shí)運(yùn)行在 PE和 CE上，所以配置的步驟也分為 PE和 CE兩步 ? 靜態(tài)路由 ? RIPv2 ? OSPF ? EIGRP ? ISIS ? 以上配置上過(guò)程省略 ? EBGP（如果所有客戶網(wǎng)絡(luò) AS都是一樣的， CE會(huì)拒絕，因?yàn)榭吹脚c自己相同的 AS，但服 務(wù)提供商可以比較，如果是一樣的，就修改成自己的發(fā)過(guò)去 ） ? r1(configrouteraf)neighbor asoverride Chapter 1 96 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 配置 MPLS_VPN 流程 ? MPLS ? BGP ? PE上創(chuàng)建 VRF ? PE上將連 CE的接口劃入 VRF ? PE上查看 VRF的路由表情況 ? MPBGP ? MPBGP的 VRF路由 ? MPBGP創(chuàng)建 VRF ? RT控制 VRF路由信息 ? PECE的路由協(xié)議 ? PE上查看 VRF路由 ? MPBGP Chapter 1 97 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 配置 MPLS_VPN 流程 ? MPBGP路由 ? VRF路由 ? CE路由 ? Chapter 1 98 169。 2023 – 2023, Cisco Systems, Inc. All rights reserved. Cisco Public 配置 MPLS_VPN 流程 ? MPLS ? BGP ? PE上創(chuàng)建 VRF 在 R1上創(chuàng)建 VRF，并指定 RD值： ? r1(config)ip vrf vpn1 ? r1(configvrf)rd 100:1