目錄
一、MPLS VPN基礎
二、組網需求
三、配置要點
四、建立拓撲
五、裝置配置
六、結果驗證
七、總結
一、MPLS VPN基礎
MPLS VPN作為跨區域站點之間互相連接配接的首選隧道協定,廣泛用于營運商或者跨區域企業的互聯。由于MPLS VPN通過标簽交換形成隧道,相比于傳統的VPN協定如GRE、IPsec以及L2TP更加具有優勢。是以使得基于MPLS的VPN具有以下特點:
1、PE負責對VPN使用者進行管理、建立各PE間LSP連接配接、同一VPN使用者各分支間路由資訊釋出。
2、PE之間釋出VPN使用者路由資訊通常是用MP-BGP協定實作。
3、支援不同分支間IP位址複用和不同VPN間互通。
在MPLS VPN環境中,裝置分為CE裝置、PE裝置和P裝置,它們具有各自的特點:
1、CE(Customer Edge)是使用者邊緣裝置,可以是路由器,也可以是交換機或主機。
2、PE(Provider Edge)是IP/MPLS骨幹網的邊緣裝置。PE裝置處理資料量較大,一般采用NE系列裝置。
3、P(Provider)是IP/MPLS骨幹網的骨幹裝置,不與CE直接相連。P裝置隻需要具備基本MPLS轉發能力,不維護VPN資訊。
在了解MPLS和MPLS VPN原理的基礎上,還需要了解MPLS VPN中的兩個重要知識點:RD、RT、VRF和Site,了解後才能順利完成下面實驗的配置工作。
1、RD(Route-Distinguisher): 8個位元組的RD+4個位元組的IPv4位址組成96位VPNv4路由,使不唯一的IPv4位址轉化為唯一的VPN-IPv4位址,該VPNv4路由在ISP域内傳遞。RD給某VRF裡面的路由打上标簽,進而實作位址的複用而不産生沖突。RD用來區分本地VRF,該屬性僅本地有效。
2、RT(Route Tagert):BGP的擴充團體屬性,它分成Import RT和Export RT,分别用于路由的導入、導出政策。也即是RT控制這個VRF裡面可以發出和接受什麼樣的路由。RT具有全局唯一性,并且隻能被一個VPN使用。
3、VRF(Virtual Route Forwarding): VRF的目的是隔離不同VPN的路由。為了防止位址沖突,可以将相同私網位址放到不同的VRF表中。VRF區分不同CE端進入邊界PE的相同私網路由,路由器的每一個VRF都自動生成相應VRF表,VRF中的資訊包括:IP路由表、标簽轉發表、與VPN執行個體綁定的接口以及VRF的管理資訊。VRF的管理資訊包括RD(Route Distinguisher,路由辨別符)、路由過濾政策、成員接口清單等。
4、Site(站點):指互相之間具備IP連通性的一組IP系統,并且這組IP系統的IP連通性不需通過營運商網絡實作。了解Site需要注意以下兩點:
①Site的劃分是根據裝置的拓撲關系,而不是地理位置,盡管在大多數情況下一個Site中的裝置地理位置相鄰。地理位置隔離的兩組IP系統,如果它們使用專線互聯,不需要通過營運商網絡就可以互通,這兩組IP系統也組成一個Site。
②一個Site中的裝置可以屬于多個VPN,換言之,一個Site可以屬于多個VPN。
二、組網需求
1、CE1連接配接企業總部研發、CE3連接配接企業分部研發,CE1和CE3屬于vpn1;
2、CE2連接配接企業總部财務、CE4連接配接企業分部财務,CE2和CE4屬于vpn2。
企業要求通過部署BGP/MPLS IP VPN,實作總部和分部的安全互通,同時要求研發和财務之間資料隔離。
三、配置要點
采用如下的思路配置BGP/MPLS IP VPN:
1、P、PE之間配置OSPF,實作骨幹網的IP連通性。
2、PE、P上配置MPLS基本能力和MPLS LDP,建立MPLS LSP公網隧道,傳輸VPN資料。
3、PE1和PE2之間配置MP-IBGP,交換VPN路由資訊。
4、PE1和PE2上配置VPN執行個體,其中,vpn1使用的VPN-target屬性為111:1,vpn2使用的VPN-target屬性為222:2,以實作相同VPN間互通,不同VPN間隔離。同時,與CE相連的接口和相應的VPN執行個體綁定,以接入VPN使用者。
5、CE與PE之間配置EBGP,交換VPN路由資訊。
四、建立拓撲
五、裝置配置
1、在MPLS骨幹網上配置OSPF協定,實作骨幹網PE和P的互通
PE1:
配置接口:
interface GigabitEthernet0/0/0
ip address 11.1.1.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 10.1.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 10.2.1.1 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
配置ospf:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 11.1.1.0 0.0.0.255 檢視ospf鄰居狀态:
ospf狀态為full,表示ospf鄰居關系正常。
P:
配置接口:
interface GigabitEthernet0/0/0
ip address 11.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 22.1.1.1 255.255.255.0
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
配置ospf:
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 11.1.1.0 0.0.0.255
network 22.1.1.0 0.0.0.255 檢視ospf鄰居狀态:
ospf狀态為full,表示ospf鄰居關系正常。
PE2:
配置接口:
interface GigabitEthernet0/0/0
ip address 22.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 10.3.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 10.4.1.1 255.255.255.0
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
配置ospf:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 22.1.1.0 0.0.0.255 檢視ospf鄰居狀态:
ospf狀态為full,表示ospf鄰居關系正常。
2、在MPLS骨幹網上配置MPLS基本能力和MPLS LDP,建立LDP LSP
PE1:
配置mpls和mpls ldp:
mpls lsr-id 1.1.1.1
mpls //全局開啟mpls
mpls ldp //全局開啟ldp,用于配置設定标簽
interface GigabitEthernet0/0/0
ip address 11.1.1.1 255.255.255.0
mpls //接口下mpls
mpls ldp //接口下開啟ldp 檢視ldp會話是否建立:
ldp為mpls網絡中的各節點都配置設定了标簽,表示lsp隧道正常,并且ldp會話建立成功。
P:
配置mpls和ldp:
mpls lsr-id 3.3.3.3
mpls
mpls ldp
interface GigabitEthernet0/0/0
ip address 11.1.1.2 255.255.255.0
mpls
mpls ldp
interface GigabitEthernet0/0/1
ip address 22.1.1.1 255.255.255.0
mpls
mpls ldp 檢視ldp會話是否建立:
PE2:
配置mpls和ldp:
mpls lsr-id 2.2.2.2
mpls
mpls ldp
interface GigabitEthernet0/0/0
ip address 22.1.1.2 255.255.255.0
mpls
mpls ldp 檢視ldp會話是否建立:
3、在PE裝置上配置VPN執行個體,将CE接入PE
PE1:
VRF配置:
ip vpn-instance vpn1
ipv4-family
route-distinguisher 100:1 //RD值,本地有效
vpn-target 111:1 export-extcommunity //出RT值
vpn-target 111:1 import-extcommunity //入RT值
ip vpn-instance vpn2
ipv4-family
route-distinguisher 100:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
接口下綁定VRF:
interface GigabitEthernet0/0/1
ip binding vpn-instance vpn1
ip address 10.1.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip binding vpn-instance vpn2
ip address 10.2.1.1 255.255.255.0
檢視VRF配置情況:
PE2:
VRF配置:
ip vpn-instance vpn1
ipv4-family
route-distinguisher 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
ip vpn-instance vpn2
ipv4-family
route-distinguisher 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
接口下綁定VRF:
interface GigabitEthernet0/0/1
ip binding vpn-instance vpn1
ip address 10.3.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip binding vpn-instance vpn2
ip address 10.4.1.1 255.255.255.0 檢視VRF配置情況:
4、在PE之間建立MP-IBGP對等體關系,在PE與CE之間建立EBGP對等體關系,引入VPN路由
PE1:
bgp 100
peer 2.2.2.2 as-number 100 //與PE2建立MP-IBGP對等體關系
peer 2.2.2.2 connect-interface LoopBack0 //更新源為loopback0
ipv4-family unicast
undo synchronization
peer 2.2.2.2 enable
ipv4-family vpnv4
policy vpn-target
peer 2.2.2.2 enable
ipv4-family vpn-instance vpn1
import-route direct //引入VPN路由
peer 10.1.1.2 as-number 65100 //與CE1之間建立EBGP對等體關系
ipv4-family vpn-instance vpn2
import-route direct //引入VPN路由
peer 10.2.1.2 as-number 65200 //與CE2之間建立EBGP對等體關系 檢視PE之間BGP對等體是否建立:
PE2:
bgp 100
peer 1.1.1.1 as-number 100
peer 1.1.1.1 connect-interface LoopBack0
ipv4-family unicast
undo synchronization
peer 1.1.1.1 enable
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.1 enable
ipv4-family vpn-instance vpn1
import-route direct
peer 10.3.1.2 as-number 65300
ipv4-family vpn-instance vpn2
import-route direct
peer 10.4.1.2 as-number 65400 檢視PE之間BGP對等體是否建立:
CE1:
bgp 65100
peer 10.1.1.1 as-number 100 //和PE1建立EBGP對等體
ipv4-family unicast
undo synchronization
import-route direct //引入VPN路由
peer 10.1.1.1 enable CE2:
bgp 65200
peer 10.2.1.1 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.2.1.1 enable CE3:
bgp 65300
peer 10.3.1.1 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.3.1.1 enable CE4:
bgp 65400
peer 10.4.1.1 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.4.1.1 enable 檢視PE和CE之間的BGP對等體是否建立:
通過檢視VPN路由資訊可以發現,PE1上vpn1的路由隻有CE1和CE3;vpn2的路由隻有CE2和CE4。同樣的,PE2上vpn1的路由因為隻有CE1和CE3;vpn2的路由隻有CE2和CE4。實作了不同Site的互相隔離。
六、結果驗證
1、驗證研發部、财務部互訪
研發部互訪
财務部互訪
2、驗證研發部和财務部不能互訪
研發、财務禁止互訪
七、總結
MPLS VPN主要是營運商或者跨國公司用來互聯的隧道協定,是以在日常生活中較少碰到,感興趣的可以根據本文配置指令研究一下!歡迎留言讨論!