MPLS VPN原理與配置
文章目錄
- MPLS VPN原理與配置
- VPN技術的產生及分類
- VPN模型 - Overlay VPN
- VPN模型 - Peer-to-Peer VPN
- MPLS VPN解決的問題
- 1.在共享PE設備上使用VRF技術將重疊的路由隔離
- 2.在網路傳遞程序中區分沖突路由
- 3.Hub-Spoke場景中VPN路由的引入
- 4.解決資料轉發程序中沖突路由的查找
- MPLS VPN作業程序
- MPLS VPN路由的傳遞程序
- 1.CE與PE之間的路由交換
- 2.VRF路由注入MP- BGP的程序;
- 3.公網標簽的分配程序;
- 4.MP-BGP路由注入VRF的程序,
- MPLS VPN資料的轉發程序
- 1.CE設備到PE設備的資料轉發;
- 2.公網設備上的資料轉發;
- 3.PE設備到CE設備的資料轉發,
- 配置:
- 1.MPLS VPN配置
- 2.PE與PE間建立MP-BPG鄰居關系
- 3.CE端與PE端互動路由
VPN技術的產生及分類
最初為了實作兩個站點之間跨越公網通信,并保護私網的安全,人們通常采用專線來實作私網之間的連接,由于專線固有缺陷的存在,隨著復用技術的出現,一些新的共享帶寬技術鑄件代替了專線,
新的共享帶寬的技術有幀中繼、X.25等 ,這些技術其實是一種邏輯的隔離技術,就好像在兩個站點之間跨越公共網路建立了專用的隧道,站點通過隧道實作通信,
VPN網路特點:
- 使用共享的公共網路環境實作各私網的連接
- 不同私有網路之間互相不可見
VPN模型 - Overlay VPN
Overlay VPN可以在CE設備上建立隧道,也可以在PE設備上建立隧道
在CE與CE之間建立隧道,并直接傳遞路由資訊,路由協議資料總是在客戶設備之間交換,運營商對客戶網路結構一無所知,
- 優點:不同的客戶地址空間可以重疊,保密性、安全性非常好;
- 缺點:本質是一種"靜態”VPN ,無法反應網路的實時變化,并且當有新增站點時,需要手工在所有站點上建立與新增站點的連接,配置與維護復雜,不易管理,
在PE上為每一個VPN用戶建立相應的隧道,路由資訊在PE與PE之間傳遞,公網中的P設備不知道私網的路由資訊,
- 優點:客戶把VPN的創建及維護完全交給運營商,保密性、安全性比較好;
- 缺點:不同的VPN用戶不能共享相同的地址空間,
VPN模型 - Peer-to-Peer VPN
1.共享PE的接入方式
所有VPN用戶的CE設備都連到同一臺PE上, PE與不同的CE之間運行不同的路由協議(或者是相同路由協議的不同行程),由始發PE將路由發布到公網上,在接收端的PE上將路由過濾后再發給相應的CE設備,
2.專用PE接入模式
MPLS VPN解決的問題
三個問題:
1.PE設備怎么區分不同VPN客戶端的相同路由?
2.沖突路由在公網傳播時,接收端PE如何正確匯入VPN客戶路由?
3.PE設備收到IP資料包后,如何正確發送給目的VPN客戶端?
本地路由沖突的問題:可以通過在同一臺PE設備上為不同的VPN建立單獨的路由,這樣沖突的的路由就被隔離開來;
在路由傳遞程序中,為不同的VPN路由添加不同的標識,以示區別,這些標識可以作為BGP屬性進行傳遞;
由于IP報文不可更改,可以在IP報文頭前加一-些資訊,由始發路由器打上標記,接收路由器在收到帶標記的的資料包時,根據標記轉發給正確的VPN,
1.在共享PE設備上使用VRF技術將重疊的路由隔離
- 共享PE設備上實作重疊路由的隔離就是在PE設備上將來自每個VPN的路由放入自己對應的VPN Routing Table中,每個VPN Routing Table只記錄對應VPN中學來的路由,就像是專用PE一樣,這個VPN Routing Table稱謂VRF ( VPN Routing and Forwardingtable ) ,即VPN路由轉發表,
- 每一個VRF都需要對應一 個VPN instance , VPN用戶對應的介面系結到VPN instance中,
- 對于每個PE ,可以維護一個或多個VPN instance ,同時維護一個公網的路由表(也叫全域路由表) ,多個VPN instance實體相互獨立且隔離,其實作VPN instance并不困難,關鍵在于如何在PE.上使用特定的策略規則來協調各VPN instance和全域路由表之間的關系,
PE設備在維護多個VPN Routing Table時,同時還維護一個公網的路由表
2.在網路傳遞程序中區分沖突路由
RD(Route Distinguish)路由區分符
- RD即VPN路由識別符號,由8位元組組成,配置時同- -PE設備上分配給每個VPN的RD必須唯一,
- RD用于區分使用相同地址空間的IPv4前綴,增加了RD的IPv4地址稱為VPN-IPv4地址(即VPNv4地址),
- 運營商設備采用BGP協議作為承載VPN路由的協議,并將BGP協議進行了擴展,稱為MP-BGP ( Multiprotocol Extensions for BGP-4 ),PE從CE接收到客戶的IPv4私網路由后,將客戶的私網路由添加各種標識資訊后變為VPNv4路由放入MP- BGP的VPNv4路由表中,并通過MP- BGP協議在公網上傳遞,
3.Hub-Spoke場景中VPN路由的引入
RD不能解決VPN路由正確引入VPN的問題
問題的解決:
RT(Route Target):
RT的作用類似于BGP中擴展團體屬性,用于路由資訊的分發,它分成lmport RT和Export RT,分別用于路由資訊的匯入、匯出策略,當從VRF表中匯出VPN路由時,要用Export RT對VPN路由進行標記;在往VRF表中匯入VPN路由時,只有所帶
RT標記與VRF表中任意一個lmport RT相符的路由才會被匯入到VRF表中,RT使得PE路由器只包含和其直接相連的VPN的路由,而不是全網所有VPN的路由,從而節省了PE路由器的資源,提高了網路拓展性,RT具有全域唯一性,并且只能被一個VPN使用,通過對Import RT和Export RT的合理配置,運營商可以構建不同拓撲型別的VPN,如重疊式VPN和Hub-and-spoke VPN,
如圖所示,希望實作分部只能與總部通信,分部之間不能通信,分配給分部1的ExportTarget為1:1 , Import Target為3:3 ;分配給分部2的Export Target為2:2 , Import Target為3:3 ;分配給總部的Export Target為3:3 , Import Target為1:1 , 2:2 ; PE2上收到對端PE1發送的VPNv4的路由后,檢查其Export Target,因為總部的Import Target為1:1,2:2 ,所以值為1:1或2:2的路由被引入總部的VRF,PE1的VPNv4的路由引入各分部VRF的程序類似,
- RT ( Route Target )封裝在BGP的擴展Community屬性中,在路由傳遞程序中作為可選
可傳遞屬性進行傳遞, - RT的本質是每個VRF表達自己的路由取舍及喜好的屬性,有兩類VPN Target屬性:
-
- Export Target :本端的路由在匯出VRF ,轉變為VPNv4的路由時,標記該屬性;
- Import Target :對端收到路由時,檢查其Export Target屬性, 當此屬性與PE上某個VPN實體的Import Target匹配時, PE就把路由加入到該VPN實體中,
4.解決資料轉發程序中沖突路由的查找
方案:
- 在資料包中增加標識資訊,并且使用RD作為區分資料包所屬VPN的識別符號,資料轉發時也攜帶RD資訊,缺點是由于RD由8位元組組成,額外增大資料包,會導致轉發效率降低,
- 借助公網中已經實施的MPL S協議建立的標簽隧道,采用標簽作為資料包正確轉發的標識, MPLS標簽支持嵌套,可以將區分資料包所屬VPN的標簽封裝在公網標簽內,
Outer MPLS Label在MPLS VPN中被稱為公網標簽,用于MPLS網路中轉發資料,一般公網標簽會在到達PE設備時已被倒數第二跳剝掉,漏出Inner Label,Inner MPLS Label在MPLS VPN中被稱為私網標簽,用于將資料正確發送到相應的VPN中, PE依靠Inner Label區分資料包屬于哪個VPN,
MPLS VPN作業程序
MPLS VPN路由的傳遞程序
1.CE與PE之間的路由交換
2.VRF路由注入MP- BGP的程序;
兩端PE運行MP-BGP ,通過公網將路由傳遞給對端
3.公網標簽的分配程序;
4.MP-BGP路由注入VRF的程序,
MPLS VPN資料的轉發程序
1.CE設備到PE設備的資料轉發;
2.公網設備上的資料轉發;
3.PE設備到CE設備的資料轉發,
配置:
1.MPLS VPN配置
[r2]ip vpn-instance a 創建名為a的vrf空間
[r2-vpn-instance-a]ipv4-family 進入IPV4的配置模式下
[r2-vpn-instance-a-af-ipv4]route-distinguisher 1:1 RD值
[r2-vpn-instance-a-af-ipv4]vpn-target 1:1 RT值 必須對端的PE端一致
[r2]interface GigabitEthernet 0/0/0 進入鏈接CE端的介面
[r2-GigabitEthernet0/0/0]ip binding vpn-instance a 關聯到vrf空間
[r2-GigabitEthernet0/0/0]ip address 192.168.2.2 24 配置私有ip地址
注:在關聯到vrf空間前不能配置介面ip,否則該地址的直連路由將進入公有路由表;
[r2]display ip routing-table vpn-instance a 查看空間內的私有路由表
[r2]ping -vpn-instance a 192.168.2.1 正常測驗將在公有路由表中查詢記錄;該命令為基于VRF空間
a進行路由查詢
2.PE與PE間建立MP-BPG鄰居關系
[r2]bgp 2
[r2-bgp]router-id 2.2.2.2
先和對端建立正常BGP鄰居關系,可用于傳遞正常的公網路由
[r2-bgp]pe 4.4.4.4 as-number 2
[r2-bgp]pe 4.4.4.4 connect-interface LoopBack 0
[r2-bgp]pe 4.4.4.4 next-hop-local
同時還需要再在IPV4的家族模式中,與對端建立一個VPNV4的關系,用于傳遞VPNV4路由
[r2-bgp]ipv4-family vpnv4
[r2-bgp-af-vpnv4]peer 4.4.4.4 enable
[r2-bgp]display bgp vpnv4 all peer 查看mp-bgp鄰居關系
3.CE端與PE端互動路由
靜態:
- CE端直接撰寫靜態路由即可;
- PE端撰寫到VRF空間內的靜態路由
[r2]ip route-static vpn-instance a 192.168.1.0 24 192.168.2.1
將本地vrf空間內的靜態和直連路由重發布到BGP協議傳遞到對端的PE
[r2]bgp 2
[r2-bgp]ipv4 vpn-instance a
[r2-bgp-a]import-route direct
[r2-bgp-a]import-route static
<r4>display bgp vpnv4 vpn-instance a routing-table 查看mp-bpg的BGP表
OSPF:
- CE端正常啟動OSPF即可
- PE端,啟動VPNV4專用的ospf協議
[r4]ospf 2 vpn-instance a
[r4-ospf-2]area 0
[r4-ospf-2-area-0.0.0.0]network 192.168.3.1 0.0.0.0
之后使用雙向重發布,實作路由共享
[r4]bgp 2
[r4-bgp]ipv4-family vpn-instance a
[r4-bgp-a]import-route ospf 2
[r4]ospf 2 vpn-instance a
[r4-ospf-2]import-route bgp
[r4]display mpls lsp vpn-instance a 查看雙層標記的內層標簽號
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/261860.html
標籤:其他