CCNP第二十一讲.docx

CCNP第二十一讲-MPLS VPN VPN的分类： Overlay VPN:运营商端设备对于客户端来说是透明的，不负责、不介入路由的传递，不存储私网路由，主要在客户端配置，费用低。 点到点VPN：运营商端路由器参与私网传递。主要在运营商端进行配置。Mpls vpn比覆盖性vpn更安全，费用较高。 MPLS VRF：（Virtual Routing Forwarding）一个VRF就是一个mpls vpn 的进程或者实例，一台PE，为一个公司提供MPLS VPN，就要为该公司同一个本地唯一的VRF进程。PE路由器上每一个VPN用户都有有一个VRF。区分不同的VRF，为每个VRF启用不同的名称，VRF的名称对于PE路由器只具有本地意义。 PE路由器除了维护全局 IP 路由表之外，还为每个VRF维护一张独立的IP 路由表，这张路由表称为VRF路由表。 PE创建了一个VRF进程，一定要将其和某个连接CE接口关联，用来存储该公传递过来的私网路由。 VRF的名称对于PE路由器只具有本地意义。 如何让来自不同公司的内网路由在ISP内网区分？ RD（Router Distinguishers）路由区分器64bit,只具有本地意义，X：Y, RD的功能并不是VPN标示符，因为在一些复杂的VPN环境中，可能一个VPN存在多个 RD。RD的最重要的两个功能： 1. 与32bits 的Ipv4前缀一起构成96bits 的VPNv4前缀； 2. 如果不同的VPN客户，存在相同的IP v4地址空间，那么可以通过设置不同的RD值从而保证前缀的唯一性 为不同的公司定义不同RD值 VPNv4路由：P路由器不参与VPNv4路由传递，R2如何把VPNv4路由传递到R3？使用BGPv4加。 R3收到VPNv4路由加入到那张路由表，因为R3的接受接口没有跟任何VRF接口关联。 RT：R3通过RT指导该如何把VPNv4路由加入到哪一张表。RT（Router Target）Route Targets 这玩意就是用来区分VPN customer的。是BGP community 的扩展属性，在VRF中进行配 置。它跟在VPNv4前缀后面被一起传递。一条路由可以附加多个RT值. RT定义了两个操作：Export :导出，Import 导入 Export RTs 通过在vrf 中定义export RT 值，将使得输出的VPNv4路由携带上该RT 值一起传递 – 以BGP扩展community 的方式。注意这些VPNv4路由，是由VPN客户的 IPv4 路由导入 VRF后，加上 VRF中配置的RD值所形成的。 Import RTs PE会从其他 MP-BGP对等体的PE那收到VPNv4的前缀，这些前缀都是携带RT值的。默认情况下，PE 是不会将这些VPNv4路由以IPv4的形式装载到VRF路由表里，除非在本地的VRF中，配置import RTs ，那么如果import RTs 与收到的 VPNv4前缀中的RT匹配的话，这些VPNv4前缀才会被以IPv4的形式装载到相应的VRF路由表里，相当于在这里 RT起到一个前缀过滤或者识别的作用，这个功能在许多场景中非常有用。 VPNv4路由可能携带不止一个RT 值，只要有一个匹配import RT 即可导入到VRF 路由表。 RT具有全局意义，RT既要导入又要导出。 无论对报文打几层标签，只会处理最外层标签。 实验目的：公司A总部的私网路由能通过ISP访问公司A分支的私网。让两个网段看起来像在一个网段内。公司B总部和分支能通过ISP互相访问。 1. 首先配置R1、R2、R3、R4、R5、R6接口IP，确保直连接口可以ping通。 R1(config)#int loopback 0 R1(config-if)#ip address 1.1.1.1 255.255.255.0 R1(config)#int fa0/0 R1(config-if)#ip address 12.1.1.1 255.255.255.0 R1(config)#no shutdown R1(config)#int fa1/0 R1(config-if)#ip address 13.1.1.1 255.255.255.0 R1(config)#no shutdown R2(config)#int loopback 0 R2(config-if)#ip address 2.2.2.2 255.255.255.0 R2(config)#int fa0/0 R2(config-if)#ip address 12.1.1.2 255.255.255.0 R2(config-if)#no shutdown R3(config)#int loopback 0 R3(config-if)#ip address 3.3.3.3 255.255.255.0 R3(config)#int fa0/0 R3(config-if)#ip address 13.1.1.3 255.255.255.0 R3(config-if)#no shutdown R4(config)#int loopback 0 R4(config-if)#ip address 4.4.4.4 255.255.255.0 R4(config)#int s0/0 R4(config-if)#ip address 24.1.1.4 255.255.255.0 R4(config-if)#no shutdown R5(config)#int loopback 0 R5(config-if)#ip address 5.5.5.5 255.255.255.0 R5(config)#int s0/0 R5(config-if)#ip address 35.1.1.5 255.255.255.0 R5(config-if)#no shutdown R6(config)#int loopback 0 R6(config-if)#ip address 6.6.6.6 255.255.255.0 R6(config)#int s0/0 R6(config-if)#ip address 26.2.2.6 255.255.255.0 R6(config-if)#no shutdown R7(config)#int loopback 0 R7(config-if)#ip address 7.7.7.7 255.255.255.0 R7(config)#int s0/0 R7(config-if)#ip address 37.1.1.7 255.255.255.0 R7(config-if)#noshutdown 2. 配置MPLS BACKBONE的IGP路由器，本实验采用rip（一般ISP使用IS-IS） 在R1、R2、R3之间运行RIP R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 1.0.0.0 R1(config-router)#network 12.0.0.0 R1(config-router)#network 13.0.0.0 R2(config)#router rip R2(config-rouetr)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 2.0.0.0 R2(config-router)#network 12.0.0.0 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#network 3.0.0.0 R3(config-router)#network 13.0.0.0 3. 查看MPLS骨干网路由表，确认IGP是否正常工作 R2#show ip route rip 1.0.0.0/24 is subnetted, 1 subnets R 1.1.1.0 [120/1] via 12.1.1.1, 00:00:06, FastEthernet0/0 3.0.0.0/24 is subnetted, 1 subnets R 3.3.3.0 [120/2] via 12.1.1.1, 00:00:06, FastEthernet0/0 13.0.0.0/24 is subnetted, 1 subnets R 13.1.1.0 [120/1] via 12.1.1.1, 00:00:06, FastEthernet0/0 R2# 4. 配置PE路由器（R2、R3）的MPLS R2(config)#int fa0/0 R2(config-if)#mpls ip R3(config)#int fa0/0 R3(config-if)#mpls ip 选择使用环回口作为LSR的router-id R1(config)#mpls ldp router-id loopback 0 force R2(config)#mpls ldp router-id loopback 0 force R3(config)#mpls ldp router-id loopback 0 force 5．配置骨干路由器P（R1）的MPLS 在ISP内网路由器启用CEF R1(config)#ip cef R2(config)#ip cef R3(config)#ip cef 接口开启标签交换功能 R1(config)#int fa0/0 R1(config-if)#mpls ip R1(config)#int fa1/0 R1(config-if)#mpls ip  6．在任意一台MPLS骨干路由器查看FLIB（标签转发表），确认MPLS正常工作 R2#show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 16 Pop tag 1.1.1.0/24 0 Fa0/0 12.1.1.1 17 17 3.3.3.0/24 0 Fa0/0 12.1.1.1 18 Pop tag 13.1.1.0/24 0 Fa0/0 12.1.1.1 R2# 查看FIB表 R2#show ip cef Prefix Next Hop Interface 0.0.0.0/0 drop Null0 (default route handler entry) 0.0.0.0/32 receive 1.1.1.0/24 12.1.1.1 FastEthernet0/0 2.2.2.0/24 attached Loopback0 2.2.2.0/32 receive 2.2.2.2/32 receive 2.2.2.255/32 receive 3.3.3.0/24 12.1.1.1 FastEthernet0/0 12.1.1.0/24 attached FastEthernet0/0 12.1.1.0/32 receive 12.1.1.1/32 12.1.1.1 FastEthernet0/0 12.1.1.2/32 receive 12.1.1.255/32 receive 13.1.1.0/24 12.1.1.1 FastEthernet0/0 224.0.0.0/4 drop 224.0.0.0/24 receive 255.255.255.255/32 receive R2# 查看mpls邻居信息 R1#show mpls ldp neighbor Peer LDP Ident: 2.2.2.2:0; Local LDP Ident 1.1.1.1:0 TCP connection: 2.2.2.2.39042 - 1.1.1.1.646 State: Oper; Msgs sent/rcvd: 98/98; Downstream Up time: 01:19:47 LDP discovery sources: FastEthernet0/0, Src IP addr: 12.1.1.2 Addresses bound to peer LDP Ident: 12.1.1.2 2.2.2.2 Peer LDP Ident: 3.3.3.3:0; Local LDP Ident 1.1.1.1:0 TCP connection: 3.3.3.3.16193 - 1.1.1.1.646 State: Oper; Msgs sent/rcvd: 99/98; Downstream Up time: 01:19:28 LDP discovery sources: FastEthernet1/0, Src IP addr: 13.1.1.3 Addresses bound to peer LDP Ident: 13.1.1.3 3.3.3.3 R1# R2#show mpls ldp binding tib entry: 1.1.1.0/24, rev 2 local binding: tag: 16 remote binding: tsr: 1.1.1.1:0, tag: imp-null tib entry: 2.2.2.0/24, rev 4 local binding: tag: imp-null remote binding: tsr: 1.1.1.1:0, tag: 16 tib entry: 3.3.3.0/24, rev 6 local binding: tag: 17 remote binding: tsr: 1.1.1.1:0, tag: 17 tib entry: 12.1.1.0/24, rev 8 local binding: tag: imp-null remote binding: tsr: 1.1.1.1:0, tag: imp-null tib entry: 13.1.1.0/24, rev 10 local binding: tag: 18 remote binding: tsr: 1.1.1.1:0, tag: imp-null 7. 配置VRF R2(config)#ip vrf A R2(config-vrf)#rd 10:10 R2(config-vrf)#route-target 10:10 R2(config)#int s1/0 R2(config-if)#ip vrf forwarding A //将vrf与接口关联起来 R2(config-if)#ip address 24.1.1.2 255.255.255.0 R2(config-if)#no shutdown 注意L配置vrf与接口关联，会使接口原来配置的IP地址丢失，重新配置一次就好 R3(config)#ip vrf A R3(config-vrf)#rd 10 :10 R3(config-vrf)#route-target 10:10 R3(config)#int s1/0 R3(config-if)#ip vrf forwarding A R3(config-if)#ip address 35.1.1.3 255.255.255.0 R3(config-if)#no shutdown R2#Show ip vrf R2#show ip vrf Name Default RD Interfaces A 10:10 Se1/0 B 20:20 Se1/1 R2# 8. 在两台PE路由器上配置BGP配置BGP协议是为了启用MP-BGP，用于在PE路由器之间交换VPN路由。由于BGP创建邻居时，不要求对等体物理直连，因此BGP使用tcp179端口进行邻居的会话 R2(config)#router bgp 1 R2(config-router)#no auto-summary R2(config-router)#no synchronization R2(config-router)#no bgp default ipv4-unicast R2(config-router)#bgp router-id 2.2.2.2 R2(config-router)#neighbor 3.3.3.3 remote-as 1 R2(config-router)#neighbor 3.3.3.3 update-source loopback 0 R2(config-router)#neighbor 3.3.3.3 next-hop-self R3(config)#router bgp 1 R3(config-router)#no auto-summary R3(config-router)#no synchronization R3(config-router)#no bgp default ipv4-unicast R3(config-router)#bgp router-id 3.3.3.3 R3(config-router)#neighbor 2.2.2.2 remote-as 1 R3(config-router)#neighbor 2.2.2.2 update-source loopback 0 9. 激活两台PE路由器MP-BGP协议，其目的是用于交换不同VPN CE上的路由 R2(config)#router bgp1 R2(config-router)#address-family vpnv4 //要启用MP-BGP协议，必须在VPNV4的地址簇夏激活 R2(config-router-af)#neighbor 3.3.3.3 activate //用于激活MP-BGP邻居的路由交换 R2(config-router-af)#neighbor 3.3.3.3 send-community both //启用两种BGP交换 R2(config-router-af)#no auto-summary R3(config)#router bgp 1 R3(config-router)#address-family vpnv4 R3(config-router-af)#neighbor 2.2.2.2 activate R3(config-router-af)#neighbor 2.2.2.2 send-community both R3(config-router-af)#no auto-summary 启用扩展共用体交换的目的是，为了MP-BGP携带RD和起源场点属性。 11. 查看R2或者R5的MP-BGP协议状态，发现现在并没有相关路由 R2#show ip bgp all summary For address family: VPNv4 Unicast BGP router identifier 2.2.2.2, local AS number 1 BGP table version is 1, main routing table version 1 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 3.3.3.3 4 1 6 6 1 0 0 00:02:44 0 R2# 配置PE和CE之间的路由选择协议和MP-BGP与RIP之间的路由重分发. 配置R2、R4之间 R2(config)#ip route vrf A 4.4.4.0 255.255.255.0 s1/0 24.1.1.4 R2(config)#router bgp 1 R2(config-router)#address-famiy ipv4 vrf A R2(config-router-af)#redistribute static 10 R4(config)#ip route 5.5.5.0 s0/0 24.1.1.2 配置R3、R5之间 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#address-family ipv4 vrf A //启用IPv4地址家族，配置rip与vrf转发表之间的关系。 R3(config-router-af)#network 35.0.0.0 R5(config)#router rip R5(config-router)#version 2 R5(config-router)#no auto-summary R5(config-router)#network 5.0.0.0 R5(config-router)#network 35.0.0.0 重分发 R3(config)#router rip R3(config-router)#address-family ipv4 vrf A R3(config-router-af)#redistribute bgp 1 metric transparent //重分发的BGP路由度量值不变即保留bgp原始的度量值。 R3(config)#router bgp 1 R3(config-router)#address-family ipv4 vrf A R3(config-router-af)#redistribute rip metric 10 R3查看VRF表 R3#show ip route vrf A Routing Table: A Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 35.0.0.0/24 is subnetted, 1 subnets C 35.1.1.0 is directly connected, Serial1/0 4.0.0.0/24 is subnetted, 1 subnets B 4.4.4.0 [200/10] via 2.2.2.2, 00:25:12 查看R5的路由表 R5#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 35.0.0.0/24 is subnetted, 1 subnets C 35.1.1.0 is directly connected, Serial0/0 4.0.0.0/24 is subnetted, 1 subnets R 4.4.4.0 [120/10] via 35.1.1.3, 00:00:05, Serial0/0 5.0.0.0/24 is subnetted, 1 subnets C 5.5.5.0 is directly connected, Loopback0 R5# 查看R4的路由表 R4#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 4.0.0.0/24 is subnetted, 1 subnets C 4.4.4.0 is directly connected, Loopback0 5.0.0.0/24 is subnetted, 1 subnets S 5.5.5.0 [1/0] via 24.1.1.2, Serial0/0 24.0.0.0/24 is subnetted, 1 subnets C 24.1.1.0 is directly connected, Serial0/0 R4# 配置R2、R6和R3、R7 R2(config)#ip vrf B R2(config-vrf)#rd 20:20 R2(config-vrf)#route-target 20:20 R2(config)#int s1/1 R2(config-if)#ip vrf forwarding B R2(config-if)#ip address 26.1.1.2 255.255.255.0 R2(config-if)#no shutdown R3(config)#ip vrf B R3(config-vrf)#rd 20:20 R3(config-vrf)#route-target 20:20 R3(config)#int s1/1 R3(config-if)#ip vrf forwarding B R3(config-if)#ip address 37.1.1.3 255.255.255.0 R3(config-if)#no shutdown 配置PE和CE之间的路由选择协议和MP-BGP与RIP之间的路由重分发. 配置R6、R2 R2(config)#router eigrp 90 R2(config-router)#no auto-summary R2(config-router)#address-family ipv4 vrf B R2(config-router-af)#network 26.1.1.2 0.0.0.0 R2(config-router-af)#sutononmous system 90 R6(config)#router eigrp 90 R6(config-router)#no auto-summary R6(config-router)#network 6.6.6.6 0.0.0.0 R6(config-router)#26.1.1.6 0.0.0.0 重分发： R2(config)#router eigrp 90 R2(config-router)#address-family ipv4 vrf B R2(config-router)#redistribute bgp 1 metric 10000 100 255 1 1500 R2(config)#router bgp 1 R2(config-router)#address-family ipv4 vrf B R2(config-router-af)#redistribute eigrp 90 metric 10 配置R3、R7 R3(config)#router ospf 110 vrf B R3(config-router)#router-id 3.3.3.3 R3(config-router)#network 37.1.1.3 0.0.0.0 area 0 R7(config)#router ospf 110 R7(config-router)#router-id 7.7.7.7 R7(config-router)#network 7.7.7.7 0.0.0.0 area 0 R7(config-router)#network 37.1.1.7 0.0.0.0 area 0 重分发 R3(config)#router ospf 110 vrf B R3(config-router)#redistribute bgp 1 subnets R3(config)#router bgp 1 R3(config-router)#address-family ipv4 vrf B R3(config-router)#redistribute ospf 110 vrf B match internal external 1 external 2 15.查看vrf A/B中的R4、R5、R6、R7路由表，确认MPLS VPN配置 16.ping确认路由的有效性 17。查看MP-BGP关于vrf的路由信息 R2#show ip bgp vpnv4 vrf A BGP table version is 16, local router ID is 2.2.2.2 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 10:10 (default for vrf A) *> 4.4.4.0/24 24.1.1.4 10 32768 ? *>i5.5.5.0/24 3.3.3.3 10 100 0 ? *>i35.1.1.0/24 3.3.3.3 0 100 0 ? R2# R4#ping 5.5.5.5 s