收藏
下载资源

第章-BGP-MPLS-IP-VPN配置(完整版)

上传人:壹****1 文档编号:489506028 上传时间:2023-09-06 格式:DOC 页数:183 大小:4.35MB
返回 下载 相关 举报
第章-BGP-MPLS-IP-VPN配置(完整版)_第1页
第1页 / 共183页
第章-BGP-MPLS-IP-VPN配置(完整版)_第2页
第2页 / 共183页
第章-BGP-MPLS-IP-VPN配置(完整版)_第3页
第3页 / 共183页
第章-BGP-MPLS-IP-VPN配置(完整版)_第4页
第4页 / 共183页
第章-BGP-MPLS-IP-VPN配置(完整版)_第5页
第5页 / 共183页
点击查看更多>>
资源描述

《第章-BGP-MPLS-IP-VPN配置(完整版)》由会员分享,可在线阅读,更多相关《第章-BGP-MPLS-IP-VPN配置(完整版)(183页珍藏版)》请在金锄头文库上搜索。

1、第章 BGP MPLS IP VPN配置(完整版)(文档可以直接使用,也可根据实际需要修改使用,可编辑 欢迎下载)目 录第5章 BGP/MPLS IP VPN配置5-15.1 简介5-15.1.1 BGP/MPLS IP VPN概述5-15.1.2 BGP/MPLS IP VPN基本概念5-25.1.3 BGP/MPLS IP VPN路由发布5-55.1.4 BGP/MPLS IP VPN报文转发5-75.1.5 BGP/MPLS IP VPN访问控制5-8 跨域VPN5-11 运营商的运营商5-15 多角色主机5-165.1.9 HoVPN5-175.1.10 OSPF VPN扩展5-205

2、.2 配置VPN实例5-24 建立配置任务5-24 创建VPN实例5-25 配置VPN实例的路由相关属性5-26 配置VPN实例的隧道策略5-26 配置基于VPN实例分配MPLS标签5-265.3 配置基本BGP/MPLS IP VPN5-27 建立配置任务5-27 配置VPN实例5-28 配置PE-PE间使用MP-IBGP5-29 配置PE-CE间使用EBGP5-30 配置PE-CE间使用静态路由5-31 配置PE-CE间使用RIP5-31 配置PE-CE间使用OSPF5-32 配置PE-CE间使用IS-IS5-335.4 配置跨域VPN5-34 建立配置任务5-34 配置跨域VPN-Opt

3、ionA5-35 配置跨域VPN-OptionB5-35 配置跨域VPN-OptionC5-365.5 配置运营商的运营商5-39 建立配置任务5-39 配置二级运营商CE接入到一级运营商PE(相同AS)5-40 配置二级运营商CE接入到一级运营商PE(跨域)5-41 配置二级运营商的客户接入到二级运营商PE5-44 配置二级运营商PE间的外部路由交换5-445.6 配置多角色主机5-45 建立配置任务5-45 配置静态路由5-46 配置策略路由5-46 应用策略路由5-475.7 配置HoVPN5-47 建立配置任务5-47 指定UPE5-48 发布VPN实例的缺省路由5-485.8 配置O

4、SPF伪连接5-49 建立配置任务5-49 配置Loopback接口5-50 发布Loopback接口的路由5-50 创建伪连接5-505.9 配置Multi-VPN-Instance CE5-51 建立配置任务5-51 配置Multi-VPN-Instance CE5-525.10 配置BGP相关特性5-52 建立配置任务5-52 配置BGP-VPN实例相关特性5-53 配置BGP-VPNv4相关特性5-545.11 维护BGP/MPLS IP VPN5-55 显示BGP/MPLS IP VPN的运行状态5-55 清除VPN实例的BGP统计信息5-56 复位BGP连接5-56 调试BGP/M

5、PLS IP VPN5-575.12 配置举例5-57 配置BGP/MPLS IP VPN示例5-57 配置Hub&Spoke示例5-70 配置BGP/MPLS IP VPN采用GRE隧道示例5-81 配置跨域VPN-OptionA方式示例5-90 配置跨域VPN-OptionB方式示例5-101 配置跨域VPN-OptionC方式示例5-108 配置运营商的运营商(相同AS)示例5-116 配置运营商的运营商(跨域)示例5-132 配置多角色主机示例5-146 配置HoVPN示例5-152 配置OSPF伪连接示例5-161 配置BGP AS号替换示例5-173第5章 BGP/MPLS IP

6、VPN配置5.1 简介5.1.1 BGP/MPLS IP VPN概述BGP/MPLS IP VPN是提供商VPN解决方案PPVPN(Provider Provisioned VPN)中一种基于PE的L3VPN技术,它使用BGP在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商骨干网上转发VPN报文。BGP/MPLS IP VPN组网方式灵活、可扩展性好,并能够方便地支持MPLS QoS和MPLS TE,因此得到越来越多的应用。BGP/MPLS IP VPN模型由三部分组成:CE、PE和P。l CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商SP(Servi

7、ce Provider)网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS。l PE(Provider Edge):服务提供商边缘路由器,是服务提供商网络的边缘设备,与CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上。l P(Provider):服务提供商网络中的骨干路由器,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护VPN信息。图5-1是BGP/MPLS IP VPN模型的示意图:图5-1 BGP/MPLS IP VPN模型5.1.2 BGP/MPLS IP VPN基本概念1. site在介绍

8、VPN时经常会提到“site”,site(站点)的含义可以从下述几个方面理解:l site是指相互之间具备IP连通性的一组IP系统,并且,这组IP系统的IP连通性不需通过服务提供商网络实现;l site的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个site中的设备地理位置相邻;l 一个site中的设备可以属于多个VPN,换言之,一个site可以属于多个VPN;l site通过CE连接到服务提供商网络,一个site可以包含多个CE,但一个CE只属于一个site。对于多个连接到同一服务提供商网络的sites,通过制定策略,可以将它们划分为不同的集合(set),只有属于相同集合的

9、sites之间才能通过服务提供商网络互访,这种集合就是VPN。2. 地址空间重叠VPN是一种私有网络,不同的VPN独立管理自己的地址范围,也称为地址空间(address space)。不同VPN的地址空间可能会在一定范围内重合,例如,VPN1和VPN2都使用10.110.10.0/24网段地址,这就发生了地址空间的重叠(address spaces overlapping)。在两种情况下,允许VPN使用重叠的地址空间:l 两个VPN没有共同的site;l 两个VPN有共同的site,但此site中的设备不与两个VPN中使用重叠地址空间的设备互访。3. VPN实例VPN实例(VPN-instan

10、ce)是PE为直接相连的site建立并维护的一个专门实体,每个site在PE上都有自己的VPN实例。VPN实例也称为VPN路由转发表VRF(VPN Routing and Forwarding table)。PE上存在多个转发表,包括一个公网路由转发表,以及一个或多个VRF。l 公网路由表中包括所有PE和P路由器的路由,由骨干网的IGP产生。l VPN实例中包括直连site的路由,通过CE与PE之间的路由发布获得。在RFC2547(BGP/MPLS VPNs)中,VPN实例被称为per-site forwarding table,顾名思义,VPN实例与site对应。更准确的描述是:每条CE与P

11、E的连接对应一个VPN实例。PE上的各VPN实例之间相互独立,并与公网路由转发表相互独立,可以将每个VPN实例看作一台虚拟的路由器:维护独立的地址空间、有连接到该路由器的接口。图5-2 VPN实例示意图VPN实例通过路由标识符RD(Route Distinguisher)实现地址空间独立,通过VPN Target属性实现直连site的VPN成员关系和路由规则控制。关于RD和VPN Target的介绍请参见本节下面的内容。4. VPN-IPv4地址PE从CE接收到普通IPv4路由后,需要将这些私网路由引入到公网路由表中,进而发布给其他PE。传统BGP无法正确处理地址空间重叠的VPN的路由。假设V

12、PN1和VPN2都使用了10.110.10.0/24网段的地址,并各自发布了一条去往此网段的路由,BGP将只选择其中一条路由,从而导致去往另一个VPN的路由丢失。产生上述问题的原因是BGP无法区分不同VPN中相同的IP地址前缀,为解决这一问题,BGP/MPLS IP VPN使用了VPN-IPv4地址族。VPN-IPv4地址共有12个字节,包括8字节的路由标识符RD(Route Distinguisher)和4字节的IPv4地址前缀,如图5-3所示:图5-3 VPN-IPv4地址结构RD有两种格式:l Type为0时,Administrator子字段占2字节,Assigned Number子字段

13、占4字节,格式为:16bits自治系统号 : 32bits用户自定义数字。例如:100:1。l Type为1时,Administrator子字段占4字节,Assigned Number子字段占2字节,格式为:32bits IPv4地址 : 16bits用户自定义数字。例如:172.1.1.1:1。RD用于区分使用相同地址空间的IPv4前缀,不能用于判断某条路由的发起者,也不能判断某条路由属于哪个VPN。服务供应商可以独立地分配RD,但必须保证RD全局唯一。这样,即使来自不同服务提供商的VPN使用了相同的IPv4地址空间,PE路由器也可以向各VPN发布不同的路由。RD为零的VPN-IPv4地址相

14、当于普通IPv4地址。& 说明:为保证RD的唯一性,建议不要使用私有AS号或私有IP地址作为Administrator子字段的值。增加了RD的IPv4地址称为VPN-IPv4地址,这样,PE从CE接收到普通IPv4路由后,转换为VPN-IPv4路由,进行私网路由在公网上的传输。5. MP-BGPMP-BGP(Multiprotocol extensions for BGP-4,请参见RFC2283)在PE路由器之间传播VPN组成信息和VPN-IPv4路由。MP-BGP向下兼容,既可以支持传统的IPv4地址族,又可以支持其它地址族(比如VPN-IPv4地址族、IPv6地址族等)。6. VPN T

15、arget属性BGP/MPLS IP VPN使用32位的BGP扩展团体属性VPN Target(也称为Route Target)来控制VPN路由信息的发布。有两类VPN Target属性:l Export Target:本地PE在把从与自己直接相连的site学到的VPN-IPv4路由发布给其它PE前,为这些路由设置Export Target属性,并作为BGP的扩展团体属性随路由发布;l Import Target:PE收到其它PE发布的VPN-IPv4路由时,检查其Export Target属性,只有当此属性与PE上某个VPN实例的Import Target匹配时,才把路由加入到相应的VPN路由表中。也就是说,VPN Target属性定义了一条VPN-IPv4路由可以为哪些Site所接收,以及PE可以接收哪些Site发送来的路由。与RD类似,VPN Target也有两种格式:l 16bits自治系统号 : 32bits用户自定义数字,例

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号