目录
一、MPLS VPN基础
二、组网需求
三、配置要点
四、建立拓扑
五、设备配置
六、结果验证
七、总结
一、MPLS VPN基础
MPLS VPN作为跨区域站点之间相互连接的首选隧道协议,广泛用于运营商或者跨区域企业的互联。由于MPLS VPN通过标签交换形成隧道,相比于传统的VPN协议如GRE、IPsec以及L2TP更加具有优势。所以使得基于MPLS的VPN具有以下特点:
1、PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支间路由信息发布。
2、PE之间发布VPN用户路由信息通常是用MP-BGP协议实现。
3、支持不同分支间IP地址复用和不同VPN间互通。
在MPLS VPN环境中,设备分为CE设备、PE设备和P设备,它们具有各自的特点:
1、CE(Customer Edge)是用户边缘设备,可以是路由器,也可以是交换机或主机。
2、PE(Provider Edge)是IP/MPLS骨干网的边缘设备。PE设备处理数据量较大,一般采用NE系列设备。
3、P(Provider)是IP/MPLS骨干网的骨干设备,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护VPN信息。
在理解MPLS和MPLS VPN原理的基础上,还需要理解MPLS VPN中的两个重要知识点:RD、RT、VRF和Site,理解后才能顺利完成下面实验的配置工作。
1、RD(Route-Distinguisher): 8个字节的RD+4个字节的IPv4地址组成96位VPNv4路由,使不唯一的IPv4地址转化为唯一的VPN-IPv4地址,该VPNv4路由在ISP域内传递。RD给某VRF里面的路由打上标签,进而实现地址的复用而不产生冲突。RD用来区分本地VRF,该属性仅本地有效。
2、RT(Route Tagert):BGP的扩展团体属性,它分成Import RT和Export RT,分别用于路由的导入、导出策略。也即是RT控制这个VRF里面可以发出和接受什么样的路由。RT具有全局唯一性,并且只能被一个VPN使用。
3、VRF(Virtual Route Forwarding): VRF的目的是隔离不同VPN的路由。为了防止地址冲突,可以将相同私网地址放到不同的VRF表中。VRF区分不同CE端进入边界PE的相同私网路由,路由器的每一个VRF都自动生成相应VRF表,VRF中的信息包括:IP路由表、标签转发表、与VPN实例绑定的接口以及VRF的管理信息。VRF的管理信息包括RD(Route Distinguisher,路由标识符)、路由过滤策略、成员接口列表等。
4、Site(站点):指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过运营商网络实现。理解Site需要注意以下两点:
①Site的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个Site中的设备地理位置相邻。地理位置隔离的两组IP系统,如果它们使用专线互联,不需要通过运营商网络就可以互通,这两组IP系统也组成一个Site。
②一个Site中的设备可以属于多个VPN,换言之,一个Site可以属于多个VPN。
二、组网需求
1、CE1连接企业总部研发、CE3连接企业分部研发,CE1和CE3属于vpn1;
2、CE2连接企业总部财务、CE4连接企业分部财务,CE2和CE4属于vpn2。
企业要求通过部署BGP/MPLS IP VPN,实现总部和分部的安全互通,同时要求研发和财务之间数据隔离。
三、配置要点
采用如下的思路配置BGP/MPLS IP VPN:
1、P、PE之间配置OSPF,实现骨干网的IP连通性。
2、PE、P上配置MPLS基本能力和MPLS LDP,建立MPLS LSP公网隧道,传输VPN数据。
3、PE1和PE2之间配置MP-IBGP,交换VPN路由信息。
4、PE1和PE2上配置VPN实例,其中,vpn1使用的VPN-target属性为111:1,vpn2使用的VPN-target属性为222:2,以实现相同VPN间互通,不同VPN间隔离。同时,与CE相连的接口和相应的VPN实例绑定,以接入VPN用户。
5、CE与PE之间配置EBGP,交换VPN路由信息。
四、建立拓扑
五、设备配置
1、在MPLS骨干网上配置OSPF协议,实现骨干网PE和P的互通
PE1:
配置接口:
interface GigabitEthernet0/0/0
ip address 11.1.1.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 10.1.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 10.2.1.1 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
配置ospf:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 11.1.1.0 0.0.0.255
查看ospf邻居状态:
ospf状态为full,表示ospf邻居关系正常。
P:
配置接口:
interface GigabitEthernet0/0/0
ip address 11.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 22.1.1.1 255.255.255.0
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
配置ospf:
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 11.1.1.0 0.0.0.255
network 22.1.1.0 0.0.0.255
查看ospf邻居状态:
ospf状态为full,表示ospf邻居关系正常。
PE2:
配置接口:
interface GigabitEthernet0/0/0
ip address 22.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 10.3.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 10.4.1.1 255.255.255.0
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
配置ospf:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 22.1.1.0 0.0.0.255
查看ospf邻居状态:
ospf状态为full,表示ospf邻居关系正常。
2、在MPLS骨干网上配置MPLS基本能力和MPLS LDP,建立LDP LSP
PE1:
配置mpls和mpls ldp:
mpls lsr-id 1.1.1.1
mpls //全局开启mpls
mpls ldp //全局开启ldp,用于分配标签
interface GigabitEthernet0/0/0
ip address 11.1.1.1 255.255.255.0
mpls //接口下mpls
mpls ldp //接口下开启ldp
查看ldp会话是否建立:
ldp为mpls网络中的各节点都分配了标签,表示lsp隧道正常,并且ldp会话建立成功。
P:
配置mpls和ldp:
mpls lsr-id 3.3.3.3
mpls
mpls ldp
interface GigabitEthernet0/0/0
ip address 11.1.1.2 255.255.255.0
mpls
mpls ldp
interface GigabitEthernet0/0/1
ip address 22.1.1.1 255.255.255.0
mpls
mpls ldp
查看ldp会话是否建立:
PE2:
配置mpls和ldp:
mpls lsr-id 2.2.2.2
mpls
mpls ldp
interface GigabitEthernet0/0/0
ip address 22.1.1.2 255.255.255.0
mpls
mpls ldp
查看ldp会话是否建立:
3、在PE设备上配置VPN实例,将CE接入PE
PE1:
VRF配置:
ip vpn-instance vpn1
ipv4-family
route-distinguisher 100:1 //RD值,本地有效
vpn-target 111:1 export-extcommunity //出RT值
vpn-target 111:1 import-extcommunity //入RT值
ip vpn-instance vpn2
ipv4-family
route-distinguisher 100:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
接口下绑定VRF:
interface GigabitEthernet0/0/1
ip binding vpn-instance vpn1
ip address 10.1.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip binding vpn-instance vpn2
ip address 10.2.1.1 255.255.255.0
查看VRF配置情况:
PE2:
VRF配置:
ip vpn-instance vpn1
ipv4-family
route-distinguisher 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
ip vpn-instance vpn2
ipv4-family
route-distinguisher 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
接口下绑定VRF:
interface GigabitEthernet0/0/1
ip binding vpn-instance vpn1
ip address 10.3.1.1 255.255.255.0
interface GigabitEthernet0/0/2
ip binding vpn-instance vpn2
ip address 10.4.1.1 255.255.255.0
查看VRF配置情况:
4、在PE之间建立MP-IBGP对等体关系,在PE与CE之间建立EBGP对等体关系,引入VPN路由
PE1:
bgp 100
peer 2.2.2.2 as-number 100 //与PE2建立MP-IBGP对等体关系
peer 2.2.2.2 connect-interface LoopBack0 //更新源为loopback0
ipv4-family unicast
undo synchronization
peer 2.2.2.2 enable
ipv4-family vpnv4
policy vpn-target
peer 2.2.2.2 enable
ipv4-family vpn-instance vpn1
import-route direct //引入VPN路由
peer 10.1.1.2 as-number 65100 //与CE1之间建立EBGP对等体关系
ipv4-family vpn-instance vpn2
import-route direct //引入VPN路由
peer 10.2.1.2 as-number 65200 //与CE2之间建立EBGP对等体关系
查看PE之间BGP对等体是否建立:
PE2:
bgp 100
peer 1.1.1.1 as-number 100
peer 1.1.1.1 connect-interface LoopBack0
ipv4-family unicast
undo synchronization
peer 1.1.1.1 enable
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.1 enable
ipv4-family vpn-instance vpn1
import-route direct
peer 10.3.1.2 as-number 65300
ipv4-family vpn-instance vpn2
import-route direct
peer 10.4.1.2 as-number 65400
查看PE之间BGP对等体是否建立:
CE1:
bgp 65100
peer 10.1.1.1 as-number 100 //和PE1建立EBGP对等体
ipv4-family unicast
undo synchronization
import-route direct //引入VPN路由
peer 10.1.1.1 enable
CE2:
bgp 65200
peer 10.2.1.1 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.2.1.1 enable
CE3:
bgp 65300
peer 10.3.1.1 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.3.1.1 enable
CE4:
bgp 65400
peer 10.4.1.1 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.4.1.1 enable
查看PE和CE之间的BGP对等体是否建立:
通过查看VPN路由信息可以发现,PE1上vpn1的路由只有CE1和CE3;vpn2的路由只有CE2和CE4。同样的,PE2上vpn1的路由因为只有CE1和CE3;vpn2的路由只有CE2和CE4。实现了不同Site的相互隔离。
六、结果验证
1、验证研发部、财务部互访
研发部互访
财务部互访
2、验证研发部和财务部不能互访
研发、财务禁止互访!
七、总结
MPLS VPN主要是运营商或者跨国公司用来互联的隧道协议,所以在日常生活中较少碰到,感兴趣的可以根据本文配置命令研究一下!欢迎留言讨论!
推荐文章
发表评论