【正文】 ? 去掉私網(wǎng)標(biāo)簽后，請(qǐng)報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的 VRF中的 CE。 ? 在倒數(shù)第二跳處，將外層的公網(wǎng)標(biāo)簽彈出，交給目的 PE。 ? 將該報(bào)文 封裝一層私網(wǎng)標(biāo)簽 后，在公網(wǎng)的標(biāo)簽轉(zhuǎn)發(fā)表中查找下一跳地址，再 封裝一層公網(wǎng)標(biāo)簽 ，然后交給MPLS轉(zhuǎn)發(fā)。 MPiBGP BGP, OSPF, RIPv2 update for ,NH=CE1 VPNv4 update: RD:1:27:, Nexthop=PE1 RT=VPNA, Label=(28) CE1 CE2 PE1 PE2 BGP, OSPF, RIPv2 update for ,NH=PE2 分配 PE之間的公網(wǎng)標(biāo)簽 ? PE和 P路由器通過骨干網(wǎng) IGP學(xué)習(xí)到 BGP鄰居下一跳的地址 ? 通過運(yùn)行 LDP協(xié)議，分配標(biāo)簽，建立標(biāo)簽轉(zhuǎn)發(fā)通道 ? 標(biāo)簽棧用于報(bào)文轉(zhuǎn)發(fā)， 外層標(biāo)簽用來指示如何到達(dá) BGP下一跳 ，內(nèi)層標(biāo)簽表示報(bào)文屬于哪個(gè) VRF ? MPLS 節(jié)點(diǎn)轉(zhuǎn)發(fā)是基于外層標(biāo)簽，而不管內(nèi)層標(biāo)簽是多少 P router In Label FEC Out Label In Label FEC Out Label 41 In Label FEC Out Label Use label 3 for destination Use label 41 for destination VPNv4 update: RD:1:27:, NH= RT=VPNA, Label=(28) PE1 CE1 CE2 數(shù)據(jù)包轉(zhuǎn)發(fā)－從 CE到入口 PE ? CE將報(bào)文發(fā)給與其相連的 VRF接口。 PE 和 CE 通過標(biāo)準(zhǔn)的 EBGP、 OSPF、 RIP或者靜態(tài)路由交換 VRF路由信息 VPN_A VPN_B PE 私網(wǎng)路由 公網(wǎng)路由 VRF路由注入 MPiBGP ? CE向 PE發(fā)送的是標(biāo)準(zhǔn) IPv4路由， PE接收到路由后會(huì)進(jìn)行以下操作： 加上 RD（ RD為手工配置 ），變?yōu)橐粭l VPNIPv4路由 更改下一跳屬性為本 PE的 Loopback地址 加上私網(wǎng)標(biāo)簽（隨機(jī)自動(dòng)生成，無需配置） 加上 RT屬性（ RT需手工配置 ） 發(fā)給所有的 PE鄰居 MPiBGP BGP, OSPF, RIPv2 update for ,NH=CE1 VPNv4 update: RD:1:27:, Nexthop=PE1 RT=VPNA, Label=(28) CE1 CE2 PE1 PE2 MPiBGP 路由注入 VRF ? PE接收到 MPiBGP路由后，首先剝離 RD成為IPv4路由，然后根據(jù)本地 VRF的 import RT屬性把路由加入到相應(yīng)的 VRF中，私網(wǎng)標(biāo)簽保留，留做轉(zhuǎn)發(fā)時(shí)使用。 BGP的多協(xié)議擴(kuò)展 MPBGP ? BGP增加了兩個(gè)擴(kuò)展屬性 MP_REACH_NLRI和 MP_UNREACH_NLRI。 對(duì) BGP的要求 ? 要求支持 VPNIPv4路由，而原有的 BGP只支持 IPv4路由。 數(shù)據(jù)包轉(zhuǎn)發(fā)的沖突問題 ? 解決本地路由和路由傳播的沖突問題后，如果一個(gè) PE的兩個(gè) VRF中同時(shí)存在 ，當(dāng)接收到一個(gè)目的地址為 ， PE如何知道該把這個(gè)數(shù)據(jù)包發(fā)給與哪個(gè) VRF相連的 CE？ ? 既然路由發(fā)布時(shí)已經(jīng)攜帶了 RD，能否在發(fā)送數(shù)據(jù)包時(shí)也在地址前面加上 RD呢？ ? 理論上可以，但是 RD太長(zhǎng)，會(huì)導(dǎo)致轉(zhuǎn)發(fā)效率的降低，所以只需要一個(gè)短小、定長(zhǎng)的標(biāo)記即可。 ? RD并不會(huì)影響不同 VRF之間的路由選擇以及VPN的形成，這些事情由 RT完成。 RD的本質(zhì) ? 通常建議為一個(gè) VPN中的 VRF都配置相同的RD，不同的 VPN配置不同的 RD。 ? RD的長(zhǎng)度為 8個(gè)字節(jié)，格式與 RT相似。 VPN_A VPN_A VPN_B VPN_B 問題： RT能否解決路由傳播的沖突問題？ RD (Route Distinguisher) ? 每個(gè) VRF中分別配置一個(gè)標(biāo)識(shí)，稱為 RD。通常建議使用 AS:nn表示法 路由傳播的沖突問題 CE CE CE CE PE PE RT屬于 BGP的路由屬性 ，而在 BGP的不可達(dá)路由信息中不包含路由屬性。 Community:20:101 Community:20:102 只接收 Community為20:102的路由 R1 R2 R3 RT的表示 ? 可以用擴(kuò)展的 munity來表示 RT， type字段為 0x0002或者 0x0102時(shí)是 RT。 BGP鄰居分為兩類： IBGP（同一個(gè) AS內(nèi)的鄰居）和 EBGP（不同 AS間的鄰居） BGP鄰居之間通過 TCP協(xié)議相連，因此可以在不直接相連的路由器間交換路由信息 用 BGP傳遞 VPN路由的好處 CE CE CE CE PE PE P P VPN路由信息可以直接在 PE之間傳遞，所以 P路由器中不會(huì)包含任何 VPN路由信息。 VPN_A VPN_B Global Routing Table VRF for VPNA VRF for VPNB VPN Routing Table IGP /or BGP VRF ? VRF(VPN Routing Forwarding Instance，VPN路由轉(zhuǎn)發(fā)實(shí)例 ) 可以看作 虛擬的路由器 ，該虛擬路由器包括以下元素： 一張獨(dú)立的路由表，從而包括了獨(dú)立的地址空間； 一組歸屬于這個(gè) VRF的路由器接口的集合； 一組只用于本 VRF的路由協(xié)議 。（ PE發(fā)時(shí)） 路由在網(wǎng)絡(luò)中的傳播問題，即在 PE上接收到 來自不同VPN的兩條相同路由 時(shí)，如何進(jìn)行辨別（ PE收時(shí)） 數(shù)據(jù)包的轉(zhuǎn)發(fā)問題，即使成功解決了路由表的沖突，但在 PE接收到一個(gè) IP數(shù)據(jù)包時(shí)，怎么知道該發(fā)給那個(gè)VPN？因?yàn)?IP數(shù)據(jù)包頭中唯一可用的信息就是目的地址，而很多 VPN中都可能存在這個(gè)地址。 路由器查看標(biāo)簽轉(zhuǎn)發(fā)表，如果發(fā)現(xiàn) out標(biāo)簽是 3，就認(rèn)為自己是倒數(shù)第二跳路由器。 最好在倒數(shù)第二跳路由器就去掉標(biāo)簽，直接把 IP報(bào)文發(fā)送給最后一跳路由器。 Label 20 In 20 Label 30 Label 40 Label 50 MPLS標(biāo)簽生成的要點(diǎn) R1 R2 R3 R4 運(yùn)行 MPLS的路由器中必須同時(shí)運(yùn)行普通路由協(xié)議 通過標(biāo)簽形成的路經(jīng)，與查找路由表形成的路徑是相同的 In標(biāo)簽是由本地路由器發(fā)給其他路由器的， Out標(biāo)簽是由其他路由器發(fā)給自己的。理論上，標(biāo)記?？梢詿o限嵌套，從而提供無限的業(yè)務(wù)支持能力。 ? MPLS標(biāo)簽的分發(fā)可以通過 LDP等協(xié)議動(dòng)態(tài)完成，所以 MPLS能夠提供動(dòng)態(tài)的隧道。 對(duì) IPSec VPN的回顧 CE CE CE CE PE PE P P IPSec隧道在 CE與 CE之間建立，需要用戶自己創(chuàng)建并維護(hù) VPN IPSec VPN的創(chuàng)建以及相關(guān)用戶路由的配置等都需要手工完成 擴(kuò)展不方便，如果用戶 VPN網(wǎng)絡(luò)中新增一個(gè)節(jié)點(diǎn)，需要完成以下工作： N個(gè)結(jié)點(diǎn)的隧道及相關(guān)的路由； N個(gè)結(jié)點(diǎn)，需要在每個(gè)結(jié)點(diǎn)上都建立一個(gè)與新增結(jié)點(diǎn)之間的隧道及相關(guān)的路由。 配置 IPSec前的準(zhǔn)備工作 在 RouterA上 ping路由器 RouterB RouterA上要有到 site2的路由， RouterB上有到site1的路由 有必要的情況下，在路由器中添加類似以下的ACL條目： RouterA show accesslists accesslist 102 permit ahp host host accesslist 102 permit esp host host accesslist 102 permit udp host host eq isakmp E0/1 Site 1 Site 2 E0/1 A B Inter RouterA RouterB 端到端 IPSec VPN的配置步驟 2 ? 配置 IKE參數(shù) 啟用 IKE 創(chuàng)建 IKE策略集 policy 配置 IKE身份認(rèn)證的相關(guān)參數(shù) 驗(yàn)證 IKE配置 啟用 IKE RouterA(config) no crypto isakmp enable RouterA(config) crypto isakmp enable router(config) [no] crypto isakmp enable 默認(rèn)情況下， IKE 處于開啟狀態(tài) IKE在全局模式下對(duì)所有端口啟用 對(duì)于不希望使用 IKE的端口，可以用 ACL屏蔽 UDP的 500端口，達(dá)到阻斷 IKE的目的 創(chuàng)建 IKE策略 crypto isakmp policy priority router(config) RouterA(config) crypto isakmp policy 110 RouterA(configisakmp) encryption des RouterA(configisakmp) hash md5 RouterA(configisakmp) group 1 RouterA(configisakmp) authentication preshare RouterA(configisakmp) lifetime 86400 Authentication身份認(rèn)證方式 Encryption加密算法 GroupDH算法組 Hash摘要算法 LifetimeIKE生存期 IKE策略集的取值 86400 秒 86400 秒 IKE SA生存期 DH Group 2 DH Group 1 密鑰交換算法 Rsasig Preshare 身份認(rèn)證方式 SHA1 MD5 摘要算法 3DES DES 加密算法 更安全的取值 安全的取值 參數(shù) (56bit密鑰 ) (3次 DES運(yùn)算 ) (128bit密鑰 ) (160bit密鑰 ) (768bit密鑰 ) (1024bit密鑰 ) (共享密鑰 ) (數(shù)字簽名 ) IKE策略集的優(yōu)先級(jí) crypto isakmp policy 100 hash md5 authentication preshare crypto isakmp policy 200 authentication rsasig hash sha crypto isakmp policy 300 authentication preshare hash md5 RouterA(config) RouterB(config) crypto isakmp policy 100 hash md5 authentication preshare crypto isakmp policy 200 authentication rsasig hash sha crypto isakmp policy 300 authentication rsasig hash md5 Priority表示策略集的優(yōu)先級(jí)，該值越小表示優(yōu)先級(jí)越高 路由器將 首先比較優(yōu)先級(jí)最高的策略集是否匹配 ，因此本例中雖然三個(gè)策略集都匹配，但路由器只會(huì)采用 policy 100 建議把最安全的策略集設(shè)為最高優(yōu)先級(jí) 使用共享密鑰進(jìn)行身份認(rèn)證 RouterA(config) crypto isakmp key cisco1234 address router(config) crypto isakmp key keystring address peeraddress crypto isakmp key keystring hostname hostname router(config) 共享密鑰 Cisco1234 Site 1 Site 2 A B Inter RouterA RouterB 兩端路由器使用的共享密鑰必須相同 可以用 IP地址 或 主機(jī)名來指定對(duì)端 驗(yàn)證 IKE配置 RouterA show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: PreShared Ke