友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!阅读过程发现任何错误请告诉我们,谢谢!! 报告错误
一世书城 返回本书目录 我的书架 我的书签 TXT全本下载 进入书吧 加入书签

路由器基本知识及应用实例(DOC格式)-第29章

按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!



vpn…instance
PE负责更新、维护vpn…instance与VPN的关联关系。vpn…instance包括:标签转发表、IP路由表、与vpn…instance绑定的接口以及vpn…instance的管理信息(包括Route Distinguisher、路由过滤策略、成员接口列表等)。
在实际网络中,我们给每一个Site在PE上对应有一个单独的vpn…instance。该vpn…instance包括了该Site的VPN成员关系和路由规则。
为了避免数据泄漏出VPN之外,同时防止VPN之外的数据进入,在PE上每个vpn…instance有一套相对独立的路由表和标签转发表,报文转发信息存储在该vpn…instance的IP路由表和标签转发表中。
VPN…IPv4地址族
PE路由器之间使用MBGP来发布VPN路由,并使用了新的地址族——VPN…IPv4地址。
一个VPN…IPv4地址有12个字节,由8字节的路由分辨符RD(Route Distinguisher)和4字节的IPv4地址组成。ISP可以独立地分配RD,但是需要把他们专用的自治系统AS(Autonomous System)号作为RD的一部分来保证每个RD的全局唯一性。RD为零的VPN…IPv4地址同全局唯一的IPv4地址是同义的。通过这样的处理以后,即使VPN…IPv4地址中包含的4字节IPv4地址重叠,VPN…IPv4地址仍可以保持全局唯一。
PE从CE接收的路由是IPv4路由,该路由使用IPv4地址,这些路由在引入到vpn…instance路由表中时,需要在IPv4地址前附加一个RD,变成VPN…IPv4地址。在实现中,为来自于同一个用户Site的所有路由设置相同的RD。vpn…instance路由表中的路由将传递给其他PE对等体。
VPN Target属性
VPN Target属性标识了可以使用某路由的站点的集合,即该路由可以被哪些Site所接收,PE路由器可以接收哪些Site传送来的路由。与VPN Target中指明的Site相连的PE路由器,都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后,将其加入到相应的路由表中。
PE路由器存在两个VPN Target属性的集合:一个集合用于附加到从某个Site接收的路由上,称为Export Targets;另一个集合用于决定哪些路由可以引入此Site的路由表中,称为Import Targets。
通过匹配路由所携带的VPN Target属性,可以获得VPN的成员关系。匹配VPN Target属性也可以用来过滤PE路由器接收的路由信息。

通过匹配VPN Target属性过滤路由
如上图所示,如果Export Target集合与Import Target集合存在相同项,则该路由被接收。如果Export Target集合与Import Target集合没有相同项,则该路由被拒绝。
4。4。3。3  BGP/MPLS VPN的实现
VPN报文的转发
VPN报文转发使用两层标签方式。外层标签在骨干网内部进行交换,代表了从PE到对端PE的一条LSP,VPN报文利用这层标签,就可以沿着LSP到达对端PE。从对端PE到达CE时使用内层标签,内层标签指示了报文到达哪个Site,或者更具体一些,到达哪一个CE。这样,根据内层标签,就可以找到转发报文的接口。特殊情况下,属于同一个VPN的两个Site连接到同一个PE,则如何到达对方PE的问题不存在,只需要解决如何到达对端CE。
通过BGP/RIP发布VPN路由信息
CE与PE之间通过EBGP、RIP或静态路由来传播路由信息,PE得到该VPN的路由表,存储在单独的vpn…instance中。各个PE之间通过IGP来保证内部的连通性,通过MBGP来传播VPN路由,并完成各自vpn…instance的更新。再通过与直接相连CE之间的路由交换来更新CE的路由表,由此完成各个CE之间的路由交换。BGP通信在两个层次上进行:自治系统内部(IBGP)以及自治系统之间(EBGP)。PE…PE会话是IBGP会话,而PE…CE会话是EBGP会话。
PE路由器之间的VPN组成信息和路由传播是通过MBGP(Multiprotocol extensions for BGP…4,参见RFC2283)来实现。MBGP向下兼容,既可以支持传统的IPv4地址族,又可以支持其他地址族(比如VPN…IPv4地址族)。使用MBGP确保了特定VPN的路由只能被这个VPN的其他成员知道,使MPLS VPN成员间的通信成为可能。
在MPLS域中通过IGP建立PE之间的可达路由
在MPLS域中,需要保证各节点有可达路由,PE和P上都要运行相同的IGP协议,例如OSPF、IS…IS、IBGP等等,以保证路由可达。

4。4。4  MPLS VPN典型配置举例
4。4。4。1  利用L3VPN组建Intranet
组网需求
两个企业分别通过MPLS网络组建两个VPN:VPN_A和VPN_B。
* CE1、CE3构成VPN_A,CE2、CE4构成VPN_B。
* PE为Quidway NE系列路由器,P为能运行MPLS的Quidway NE路由器,CE为一般的Quidway系列中低端路由器。
组网图

BGP/MPLS VPN组网图
配置步骤
PE1配置
# 配置MPLS基本能力,PE1的LSR标识为172。1。1。1。
'PE1' mpls lsr…id 172。1。1。1
'PE1…mpls' mpls ldp
'PE1…mpls…ldp' quit
# 在与P相连的接口上使能LDP。
'PE1' interface pos 1/0/0
'PE1…pos1/0/0' mpls ldp enable
# 创建VPN实例vpna。
'PE1' ip vpn…instance vpna
# 配置本vpn…instance的Route Distinguisher。
'PE1…vpn…instance' route…distinguisher 100:1
# 配置本vpn…instance的VPN…target。
'PE1…vpn…instance' vpn…target 100:1 both
# 配置CE1所在的Site可以接受CE3所在的Site的路由。
'PE1…vpn…instance' vpn…target 100:3 import…extmunity
# 配置Loopback接口(对PE路由器,配置Loopback接口地址时,必须使用32位掩码的主机地址)
'PE1' interface loopback0
'PE1…LoopBack 0' ip address 202。100。1。1 255。255。255。255
# 将vpn…instance和与CE连接的接口关联。
'PE1' interface ethernet 2/0/0
'PE1…Ethernet2/0/0' ip binding vpn…instance vpna
# 需在实施关联后,配置与vpn…instance关联的接口地址。
'PE1…Ethernet2/0/0' ip address 168。1。1。2 255。255。0。0
'PE1…Ethernet2/0/0' exit
'PE1' interface pos1/0/0
'PE1…Pos1/0/0' ip address 172。1。1。1 255。255。0。0
# PE与CE之间运行EBGP协议。
'PE1' bgp 100 
'PE1…bgp' ipv4…family vpn…instance vpna
'PE1…bgp…af…vpn…instance' peer 168。1。1。1 as…number 65410
'PE1…bgp…af…vpn…instance' quit
# 配置PE的PE对等体、AS号及BGP连接所使用的接口(一般用Loopback接口)。
'PE1' bgp 100
'PE1…bgp' peer 202。100。1。2 as…number 100
'PE1…bgp' peer 202。100。1。2 connect…interface loopback0
'PE1…bgp' peer 202。100。1。3 as…number 100
'PE1…bgp' peer 202。100。1。3 connect…interface loopback0
'PE1…bgp' peer 202。100。1。4 as…number 100
'PE1…bgp' peer 202。100。1。4 connect…interface loopback0
# 激活PE对等体。
'PE1…bgp' ipv4…family vpnv4
'PE1…bgp…af…vpn' peer 202。100。1。2 enable
'PE1…bgp…af…vpn' peer 202。100。1。3 enable
'PE1…bgp…af…vpn' peer 202。100。1。4 enable
'PE1…bgp…af…vpn' import…route direct
'PE1…bgp…af…vpn' quit
# 在PE和P之间运行IGP路由协议,本例采用OSPF。
'PE1' ospf
'PE1…ospf' area 0
'PE1…ospf…area…0。0。0。0' network 172。1。1。0 0。0。255。255
'PE1…ospf…area…0。0。0。0' network 202。100。1。1 0。0。0。0
'PE1…ospf' import…route direct
CE1路由器配置
# 配置接口。
'CE1' interface ethernet 1
'CE1…Ethernet1' ip address 168。1。1。1 255。255。0。0
# 配置路由协议。
'CE1' bgp 65410
'CE1…bgp' peer 168。1。1。2 as…number 100
'CE1…bgp' import…route direct
'CE1…bgp' import…route static
PE3配置
# 配置MPLS基本能力,PE1的LSR标识为172。3。3。3。
'PE3' mpls lsr…id 172。3。3。3
'PE3…mpls' mpls ldp
'PE3…mpls…ldp' quit
# 在与P相连的接口上使能LDP。
'PE3' interface pos 1/0/0
'PE3…pos1/0/0' mpls ldp enable
# 创建VPN实例vpna。
'PE3' ip vpn…instance vpna
# 配置本vpn…instance的Route Distinguisher。
'PE3…vpn…instance' route…distinguisher 100:3
# 配置本vpn…instance的VPN…target。
'PE3…vpn…instance' vpn…target 100:3 both
# 配置CE3所在的Site可以接受CE1所在的Site的路由。
'PE3…vpn…instance' vpn…target 100:1 import…extmunity
# 配置Loopback接口(对PE路由器,配置Loopback接口地址时,必须使用32位掩码的主机地址)。
'PE3' interface loopback0
'PE3…LoopBack0' ip address 202。100。1。3 255。255。255。255
# 将vpn…instance和与CE连接的接口关联。
'PE3' interface ethernet 2/0/0
'PE3…Ethernet2/0/0' ip binding vpn…instance vpna
# 需在实施关联后,配置与vpn…instance关联的接口地址。
'PE3…Ethernet2/0/0' ip address 168。3。3。2 255。255。0。0
'PE3…Ethernet2/0/0' exit
'PE3' interface pos1/0/0
'PE3…Pos1/0/0' ip address 172。3。3。1 255。255。0。0
# PE与CE之间运行EBGP协议。
'PE3' bgp 100
'PE3…bgp' ipv4…family vpn…instance vpna
'PE3…bgp…af…vpn…instance' peer 168。3。3。1 as…number 65430
'PE3…bgp…af…vpn…instance' quit
# 配置PE的PE对等体、AS号及BGP连接所使用的接口(一般用Loopback接口)。
'PE3' bgp 100
'PE3…bgp' peer 202。100。1。1 as…number 100
'PE3…bgp' peer 202。100。1。1 connect…interface loopback0
'PE3…bgp' peer 202。100。1。2 as…number 100
'PE3…bgp' peer 202。100。1。2 connect…interface loopback0
'PE3…bgp' peer 202。100。1。4 as…number 100
'PE3…bgp' peer 202。100。1。4 connect…interface loopback0
# 激活PE对等体。
'PE3…bgp' ipv4…family vpnv4
'PE3…bgp…af…vpn' peer 202。100。1。1 enable
'PE3…bgp…af…vpn' peer 202。100。1。2 enable
'PE3…bgp…af…vpn' peer 202。100。1。4 enable
'PE3…bgp…af…vpn' import…route direct
'PE3…bgp…af…vpn' quit
# 在PE和P之间运行IGP路由协议,本例采用OSPF。
'PE3' ospf
'PE3…ospf' area 0
'PE3…ospf…area…0。0。0。0' network 172。3。3。0 0。0。255。255
'PE3…ospf…area…0。0。0。0' network 202。100。1。3 0。0。0。0
'PE3…ospf' import…route direct
CE3路由器配置
# 配置接口。
'CE3' interface ethernet 1
'CE3…Ethernet1' ip address 168。3。3。1 255。255。0。0
# 配置路由协议。
'CE3' bgp 65430
'CE3…bgp' peer 168。3。3。2 as…number 100
'CE3…bgp' import…route direct
'CE3…bgp' import…route static
PE2配置
# 配置MPLS基本能力。
'PE2' mpls lsr…id 172。2。2。2
'PE2…mpls' mpls ldp
'PE2…mpls…ldp' quit
'PE2' interface pos 1/0/0
'PE2…pos1/0/0' mpls ldp enable
# vpn…instance配置。
'PE2' ip vpn…instance vpna
'P
返回目录 上一页 下一页 回到顶部 0 1
未阅读完?加入书签已便下次继续阅读!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!