路由器基本知识及应用实例(DOC格式)-第21部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！

#　配置POS接口
＇Quidway＇　interface　pos　7/0/0
＇Quidway…Pos7/0/0＇　ip　address　100。10。1。1　255。255。255。0
＇Quidway…Pos7/0/0＇　quit
＇Quidway＇　interface　loopback　0
＇Quidway…loopback　0＇　ip　address　100。10。1。3　255。255。255。255
#　配置LSR　ID并使能LDP
＇Quidway＇　mpls　lsr…id　100。10。1。3
＇Quidway＇　mpls　ldp
#　对POS接口7/0/0使能LDP
＇Quidway＇　interface　pos　7/0/0
＇Quidway…Pos7/0/0＇　mpls　ldp　enable
＇Quidway…Pos7/0/0＇　quit
#　配置OSPF
＇Quidway＇　router　id　100。10。1。3
＇Quidway＇　ospf
＇Quidway…ospf＇　area　0
＇Quidway…ospf…area…0。0。0。0＇　network　100。10。1。0　0。0。0。255
Router　D上配置：
#　配置以太网接口
＇Quidway＇　interface　ethernet　2/0/1
＇Quidway…Ethernet2/0/1＇　ip　address　172。17。1。2　255。255。0。0
＇Quidway＇　interface　loopback　0
＇Quidway…loopback　0＇　ip　address　172。17。1。4　255。255。255。255
#　配置LSR　ID并使能LDP
＇Quidway＇　mpls　lsr…id　172。17。1。4
＇Quidway＇　mpls　ldp
#　使能以太网接口的LDP功能
＇Quidway＇　interface　ethernet　2/0/1
＇Quidway…Ethernet2/0/1＇　mpls　ldp　enable
#　配置OSPF
＇Quidway＇　router　id　172。17。1。4
＇Quidway＇　ospf
＇Quidway…ospf＇　area　0
＇Quidway…ospf…area…0。0。0。0＇　network　172。17。0。0　0。0。255。255

4。4。3　　MPLS　VPN基本原理
4。4。3。1　　BGP/MPLS　VPN概述
4。4。3。1。1　　VPN概述
虚拟私有网VPN（Virtual　Private　Network）是指在公共的基于分组交换的网络上构建的私有网络。一个机构或企业在构建VPN时，通过在公共分组交换网上建立的虚链路（称为隧道）将分布在各地的分支机构连接起来，这样可以省去租用昂贵的专线所需的花费。“虚拟”的概念是相对传统的使用租用线路构建的专有网络而言的。在公共分组交换网上建立的VPN与传统的专线网络同样具有安全性、可靠性和可管理性等特点。可以构建VPN的公共网络包括Internet、帧中继网、ATM网等。
VPN主要实现：
*　地址隔离：一个VPN的地址空间应该与它依赖的公共分组交换网和其它VPN的地址空间隔离，即VPN内部主机的地址对于公共分组交换网和其它VPN来说是不可见的，而且相互之间是允许地址重叠的。
*　数据安全：可以保证在VPN之间或VPN和公共分组交换网之间的没有数据交流。
*　VPN内可达：在一个VPN内，两个处于异地的主机通信时，VPN边缘设备应该能够在VPN所依赖的公共分组交换网上选择适当的链路，使数据流可以顺利地从一个VPN边缘设备到达另外一个VPN边缘设备。
通过VPN，企业可以以更低的成本连接远程办公室和出差工作人员，开展电子商务，为客户提供支持并与供应商和其他商业伙伴沟通。
传统VPN使用第二层隧道协议（L2TP、L2F和PPTP等）或者第三层隧道技术（IPSec、GRE等），在解决网络安全以及灵活性等方面获得很大成功，被广泛应用。但是，随着VPN范围的扩大，传统VPN在可扩展性和可管理性等方面的缺陷越来越突出；另外，QoS（Quality　of　Service）和安全问题也是传统VPN难以解决的问题。
多协议标签交换MPLS（Multiprotocol　Label　Switching）技术越来越多地被用来组建VPN。MPLS网络可以非常容易地实现基于IP技术的VPN业务，而且可以满足VPN可扩展性和可管理的需求；可以在MPLS　VPN上采取安全措施，保障VPN的安全性。利用MPLS构造的VPN，还提供了实现增值业务的可能；通过配置，可将单一接入点形成多种VPN，每种VPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。
NE80目前提供比较完全的MPLS　VPN组网能力：
*　地址隔离，允许不同VPN之间的地址重叠。
*　支持BGP协议发布VPN的路由消息，构建BGP/MPLS　VPN。
*　提供了MPLS　VPN的性能监视和故障检测工具。
4。4。3。1。2　　VPN网络结构
VPN是由若干Site组成的集合。Site可以同时属于不同的VPN，但是必须遵循如下规则：属于一个VPN定义的Site集合，才具有IP连通性。按照VPN的定义，一个VPN中的所有Site都属于一个企业，称为Intranet；如果VPN中的Site分属不同的企业，则称为Extranet。
如下图所示，site1和site2构成了VPN…A，site2、site3和site4构成了VPN…B，site4和site5构成VPN…C。其中site2分别属于VPN…A和VPN…B，site4属于VPN…B和VPN…C。

VPN组成示意图
4。4。3。2　　BGP/MPLS　VPN模型

MPLS　VPN模型
如上图所示，MPLS　VPN模型中，包含三个组成部分：CE、PE和P。
*　CE（Custom　Edge）设备：是用户网络边缘设备，有接口直接与服务提供商网络相连，可以是路由器或是交换机等。CE“感知”不到VPN的存在。
*　PE（Provider　Edge）路由器：即运营商边缘路由器，是运营商网络的边缘设备，与用户的CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE路由器上。
*　P（Provider）路由器：运营商网络中的骨干路由器，不和CE直接相连。P路由器需要支持MPLS基本能力。
CE和PE的划分主要是从运营商与用户的管理范围来划分的，CE和PE是两者管理范围的边界。
CE与PE之间使用EBGP路由协议交换路由信息，也可以使用静态路由。CE不必支持MPLS。PE之间以及PE和P之间通过IGP交换路由信息。
以下详细介绍MPLS　VPN的相关属性：
vpn…instance
PE负责更新、维护vpn…instance与VPN的关联关系。vpn…instance包括：标签转发表、IP路由表、与vpn…instance绑定的接口以及vpn…instance的管理信息（包括Route　Distinguisher、路由过滤策略、成员接口列表等）。
在实际网络中，我们给每一个Site在PE上对应有一个单独的vpn…instance。该vpn…instance包括了该Site的VPN成员关系和路由规则。
为了避免数据泄漏出VPN之外，同时防止VPN之外的数据进入，在PE上每个vpn…instance有一套相对独立的路由表和标签转发表，报文转发信息存储在该vpn…instance的IP路由表和标签转发表中。
VPN…IPv4地址族
PE路由器之间使用MBGP来发布VPN路由，并使用了新的地址族——VPN…IPv4地址。
一个VPN…IPv4地址有12个字节，由8字节的路由分辨符RD（Route　Distinguisher）和4字节的IPv4地址组成。ISP可以独立地分配RD，但是需要把他们专用的自治系统AS（Autonomous　System）号作为RD的一部分来保证每个RD的全局唯一性。RD为零的VPN…IPv4地址同全局唯一的IPv4地址是同义的。通过这样的处理以后，即使VPN…IPv4地址中包含的4字节IPv4地址重叠，VPN…IPv4地址仍可以保持全局唯一。
PE从CE接收的路由是IPv4路由，该路由使用IPv4地址，这些路由在引入到vpn…instance路由表中时，需要在IPv4地址前附加一个RD，变成VPN…IPv4地址。在实现中，为来自于同一个用户Site的所有路由设置相同的RD。vpn…instance路由表中的路由将传递给其他PE对等体。
VPN　Target属性
VPN　Target属性标识了可以使用某路由的站点的集合，即该路由可以被哪些Site所接收，PE路由器可以接收哪些Site传送来的路由。与VPN　Target中指明的Site相连的PE路由器，都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后，将其加入到相应的路由表中。
PE路由器存在两个VPN　Target属性的集合：一个集合用于附加到从某个Site接收的路由上，称为Export　Targets；另一个集合用于决定哪些路由可以引入此Site的路由表中，称为Import　Targets。
通过匹配路由所携带的VPN　Target属性，可以获得VPN的成员关系。匹配VPN　Target属性也可以用来过滤PE路由器接收的路由信息。

通过匹配VPN　Target属性过滤路由
如上图所示，如果Export　Target集合与Import　Target集合存在相同项，则该路由被接收。如果Export　Target集合与Import　Target集合没有相同项，则该路由被拒绝。
4。4。3。3　　BGP/MPLS　VPN的实现
VPN报文的转发
VPN报文转发使用两层标签方式。外层标签在骨干网内部进行交换，代表了从PE到对端PE的一条LSP，VPN报文利用这层标签，就可以沿着LSP到达对端PE。从对端PE到达CE时使用内层标签，内层标签指示了报文到达哪个Site，或者更具体一些，到达哪一个CE。这样，根据内层标签，就可以找到转发报文的接口。特殊情况下，属于同一个VPN的两个Site连接到同一个PE，则如何到达对方PE的问题不存在，只需要解决如何到达对端CE。
通过BGP/RIP发布VPN路由信息
CE与PE之间通过EBGP、RIP或静态路由来传播路由信息，PE得到该VPN的路由表，存储在单独的vpn…instance中。各个PE之间通过IGP来保证内部的连通性，通过MBGP来传播VPN路由，并完成各自vpn…instance的更新。再通过与直接相连CE之间的路由交换来更新CE的路由表，由此完成各个CE之间的路由交换。BGP通信在两个层次上进行：自治系统内部（IBGP）以及自治系统之间（EBGP）。PE…PE会话是IBGP会话，而PE…CE会话是EBGP会话。
PE路由器之间的VPN组成信息和路由传播是通过MBGP（Multiprotocol　extensions　for　BGP…4，参见RFC2283）来实现。MBGP向下兼容，既可以支持传统的IPv4地址族，又可以支持其他地址族（比如VPN…IPv4地址族）。使用MBGP确保了特定VPN的路由只能被这个VPN的其他成员知道，使MPLS　VPN成员间的通信成为可能。
在MPLS域中通过IGP建立PE之间的可达路由
在MPLS域中，需要保证各节点有可达路由，PE和P上都要运行相同的IGP协议，例如OSPF、IS…IS、IBGP等等，以保证路由可达。

4。4。4　　MPLS　VPN典型配置举例
4。4。4。1　　利用L3VPN组建Intranet
组网需求
两个企业分别通过MPLS网络组建两个VPN：VPN_A和VPN_B。
*　CE1、CE3构成VPN_A，CE2、CE4构成VPN_B。
*　PE为Quidway　NE系列路由器，P为能运行MPLS的Quidway　NE路由器，CE为一般的Quidway系列中低端路由器。
组网图

BGP/MPLS　VPN组网图
配置步骤
PE1配置
#　配置MPLS基本能力，PE1的LSR标识为172。1。1。1。
＇PE1＇　mpls　lsr…id　172。1。1。1
＇PE1…mpls＇　mpls　ldp
＇PE1…mpls…ldp＇　quit
#　在与P相连的接口上使能LDP。
＇PE1＇　interface　pos　1/0/0
＇PE1…pos1/0/0＇　mpls　ldp　enable
#　创建VPN实例vpna。
＇PE1＇　ip　vpn…instance　vpna
#　配置本vpn…instance的Route　Distinguisher。
＇PE1…vpn…instance＇　route…distinguisher　100：1
#　配置本vpn…instance的VPN…target。
＇PE1…vpn…instance＇　vpn…target　100：1　both
#　配置CE1所在的Site可以接受CE3所在的Site的路由。
＇PE1…vpn…instance＇　vpn…target　100：3　import…extmunity
#　配置Loopback接口（对PE路由器，配置Loopback接口地址时，必须使用32位掩码的主机地址）
＇PE1＇　interface　loopback0
＇PE1…LoopBack　0＇　ip　address　202。100。1。1　255。255。255。255
#　将vpn…instance和与CE连接的接口关联。
＇PE1＇　interface　ethernet　2/0/0
＇PE1…Ethernet2/0/0＇　ip　binding　vpn…instance　vpna
#　需在实施关联后，配置与vpn…instance关联的接口地址。
＇PE1…Ethernet2/0/0＇　ip　address　168。1。1。2　255。255。0。0
＇PE1…Ethernet2/0/0＇　exit
＇PE1＇　interface　pos1/0/0
＇PE1…Pos1/0/0＇　ip　address　172。1。1。1　255。255。0。0
#　PE与CE之间运行EBGP协议。
＇PE1＇　bgp　100　
＇PE1…bgp＇　ipv4…family　vpn…instance　vpna
＇PE1…bgp…af…vpn…instance＇　peer　168。1。1。1　as…number　65410
＇PE1…bgp…af…vpn…instance＇　quit
#　配置PE的PE对等体、AS号及BGP连接所使用的接口（一般用Loopback接口）。
＇PE1＇　bgp　100
＇PE1…bgp＇　peer　202。100。1。2　as…number　100
＇PE1…bgp＇　peer　202。100。1。2　connect…interface　loopback0
＇PE1…bgp＇　peer　202。100。1。3　as…number　100
＇PE1…bgp＇　peer　202。100。1。3　connect…interface　loopback0
＇PE1…bgp＇　peer　202。100。1。4　as…number　100
＇PE1…bgp＇　peer　202。100。1。4　connect…interface　loopback0
#　激活PE对等体。
＇PE1…bgp＇　ipv4…family　vpnv4
＇PE1…bgp…af…vpn＇　peer　202。100。1。2　enable
＇PE1…bgp…af…vpn＇　peer　202。100。1。3　enable
＇PE1…bgp…af…vpn＇　peer　202。100。1。4　enable
＇PE1…bgp…af…vpn＇　import…route　direct
＇PE1…bgp…af…vpn＇　quit
#　在PE和P之间运行IGP路由协议，本例采用OSPF。
＇PE1＇　ospf
＇PE1…ospf＇　area　0
＇PE1…ospf…area…0。0。0。0＇　network　172。1。1。0　0。0。255。255
＇PE1…ospf…area…0。0。0。0＇　network　202。100。1。1　0。0。0。0
＇PE1…ospf＇　import…route　direct
CE1路由器配置
#　配置接口。
＇CE1＇　interface　ethernet　1
＇CE1…Ethernet1＇　ip　address　168。1。1。1　255。255。0。0
#　配置路由协议。
＇CE1＇　bgp　65410
＇CE1…bgp＇　peer　168。1。1。2　as…number　100
＇CE1…bgp＇　import…route　direct
＇CE1…bgp＇　import…route　static
PE3配置
#　配置MPLS基本能力，PE1的LSR标识为172。3。3。3。
＇PE3＇　mpls　lsr…id　172。3。3。3
＇PE3…mpls＇　mpls　ldp
＇PE3…mpls…ldp＇　quit
#　在与P相连的接口上使能LDP。
＇PE3＇　interface　pos　1/0/0
＇PE3…pos1/0/0＇　mpls　ldp　enable
#　创建VPN实例vpna。
＇PE3＇　ip　vpn…instance　vpna
#　配置本vpn…instance的Route　Distinguisher。
＇PE3…vpn…instance＇　route…distinguisher　100：3
#　配置本vpn…instance的VPN…target。
＇PE3…vpn…instance＇　vpn…target　100：3　both
#　配置CE3所在的Site可以接受CE1所在的Site的路由。
＇PE3…vpn…instance＇　vpn…target　100：1　import…extmunity
#　配置Loopback接口（对PE路由器，配置Loopback接口地址时，必须使用32位掩码的主机地址）。
＇PE3＇　interface　loopback0
＇PE3…LoopBack0＇　ip　address　202。100。1。3　255。255。255。255
#　将vpn…instance和与CE连接的接口关联。
＇PE3＇　interface　ethernet　2/0/0
＇PE3…Ethernet2/0/0＇　ip　binding　vpn…instance　vpna
#　需在实施关联后，配置与vpn…instance关联的接口地址。
＇PE3…Ethernet2/0/0＇　ip　address　168。3。3。2　255。255。0。0
＇PE3…Ethernet2/0/0＇　exit
＇PE3＇　interface　pos1/0/0
＇PE3…Pos1/0/0＇　ip　address　172。3。3。1　255。255。0。0
#　PE与CE之间运行EBGP协议。
＇PE3＇　bgp　100
＇PE3…bgp＇　ipv4…family　vpn…instance　vpna
＇PE3…bgp…af…vpn…instance＇　peer　168。3。3。1　as…number　65430
＇PE3…bgp…af…vpn…instance＇　quit
#　配置PE的PE对等体、AS号及BGP连接所使用的接口（一般用Loopback接口）。
＇PE3＇　bgp　100
＇PE3…bgp＇　peer　202。100。1。1　as…number　100
＇PE3…bgp＇　peer　202。100。1。1　connect…interface　loopback0
＇PE3…bgp＇　peer　202。100。1。2　as…number　100
＇PE3…bgp＇　peer　202。