目錄

一、MPLS VPN基礎(chǔ)

二、組網(wǎng)需求

三、配置要點

四、建立拓撲

五、設(shè)備配置

六、結(jié)果驗證

七、總結(jié)

一、MPLS VPN基礎(chǔ)

????????MPLS VPN作為跨區(qū)域站點之間相互連接的首選隧道協(xié)議，廣泛用于運營商或者跨區(qū)域企業(yè)的互聯(lián)。由于MPLS VPN通過標簽交換形成隧道，相比于傳統(tǒng)的VPN協(xié)議如GRE、IPsec以及L2TP更加具有優(yōu)勢。所以使得基于MPLS的VPN具有以下特點：

????????1、PE負責對VPN用戶進行管理、建立各PE間LSP連接、同一VPN用戶各分支間路由信息發(fā)布。

????????2、PE之間發(fā)布VPN用戶路由信息通常是用MP-BGP協(xié)議實現(xiàn)。

????????3、支持不同分支間IP地址復用和不同VPN間互通。

????????在MPLS VPN環(huán)境中，設(shè)備分為CE設(shè)備、PE設(shè)備和P設(shè)備，它們具有各自的特點：

????????1、CE（Customer Edge）是用戶邊緣設(shè)備，可以是路由器，也可以是交換機或主機。

????????2、PE（Provider Edge）是IP/MPLS骨干網(wǎng)的邊緣設(shè)備。PE設(shè)備處理數(shù)據(jù)量較大，一般采用NE系列設(shè)備。

????????3、P（Provider）是IP/MPLS骨干網(wǎng)的骨干設(shè)備，不與CE直接相連。P設(shè)備只需要具備基本MPLS轉(zhuǎn)發(fā)能力，不維護VPN信息。

????????在理解MPLS和MPLS VPN原理的基礎(chǔ)上，還需要理解MPLS VPN中的兩個重要知識點：RD、RT、VRF和Site，理解后才能順利完成下面實驗的配置工作。

????????1、RD(Route-Distinguisher):?8個字節(jié)的RD+4個字節(jié)的IPv4地址組成96位VPNv4路由，使不唯一的IPv4地址轉(zhuǎn)化為唯一的VPN-IPv4地址,該VPNv4路由在ISP域內(nèi)傳遞。RD給某VRF里面的路由打上標簽，進而實現(xiàn)地址的復用而不產(chǎn)生沖突。RD用來區(qū)分本地VRF，該屬性僅本地有效。

????????2、RT(Route Tagert):BGP的擴展團體屬性，它分成Import RT和Export RT，分別用于路由的導入、導出策略。也即是RT控制這個VRF里面可以發(fā)出和接受什么樣的路由。RT具有全局唯一性，并且只能被一個VPN使用。

????????3、VRF(Virtual Route Forwarding): VRF的目的是隔離不同VPN的路由。為了防止地址沖突，可以將相同私網(wǎng)地址放到不同的VRF表中。VRF區(qū)分不同CE端進入邊界PE的相同私網(wǎng)路由，路由器的每一個VRF都自動生成相應VRF表，VRF中的信息包括：IP路由表、標簽轉(zhuǎn)發(fā)表、與VPN實例綁定的接口以及VRF的管理信息。VRF的管理信息包括RD（Route Distinguisher，路由標識符）、路由過濾策略、成員接口列表等。

????????4、Site(站點)：指相互之間具備IP連通性的一組IP系統(tǒng)，并且這組IP系統(tǒng)的IP連通性不需通過運營商網(wǎng)絡(luò)實現(xiàn)。理解Site需要注意以下兩點：

????????????????①Site的劃分是根據(jù)設(shè)備的拓撲關(guān)系，而不是地理位置，盡管在大多數(shù)情況下一個Site中的設(shè)備地理位置相鄰。地理位置隔離的兩組IP系統(tǒng)，如果它們使用專線互聯(lián)，不需要通過運營商網(wǎng)絡(luò)就可以互通，這兩組IP系統(tǒng)也組成一個Site。

????????????????②一個Site中的設(shè)備可以屬于多個VPN，換言之，一個Site可以屬于多個VPN。

二、組網(wǎng)需求

? ? ? ? 1、CE1連接企業(yè)總部研發(fā)、CE3連接企業(yè)分部研發(fā)，CE1和CE3屬于vpn1；

????????2、CE2連接企業(yè)總部財務、CE4連接企業(yè)分部財務，CE2和CE4屬于vpn2。

????????企業(yè)要求通過部署B(yǎng)GP/MPLS IP VPN，實現(xiàn)總部和分部的安全互通，同時要求研發(fā)和財務之間數(shù)據(jù)隔離。

三、配置要點

采用如下的思路配置BGP/MPLS IP VPN：

? ? ? ? 1、P、PE之間配置OSPF，實現(xiàn)骨干網(wǎng)的IP連通性。

? ? ? ? 2、PE、P上配置MPLS基本能力和MPLS LDP，建立MPLS LSP公網(wǎng)隧道，傳輸VPN數(shù)據(jù)。

????????3、PE1和PE2之間配置MP-IBGP，交換VPN路由信息。

? ? ? ?4、PE1和PE2上配置VPN實例，其中，vpn1使用的VPN-target屬性為111:1，vpn2使用的VPN-target屬性為222:2，以實現(xiàn)相同VPN間互通，不同VPN間隔離。同時，與CE相連的接口和相應的VPN實例綁定，以接入VPN用戶。

????????5、CE與PE之間配置EBGP，交換VPN路由信息。

四、建立拓撲

五、設(shè)備配置

1、在MPLS骨干網(wǎng)上配置OSPF協(xié)議，實現(xiàn)骨干網(wǎng)PE和P的互通

PE1：

配置接口：
interface GigabitEthernet0/0/0
 ip address 11.1.1.1 255.255.255.0 

interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0 

interface GigabitEthernet0/0/2
 ip address 10.2.1.1 255.255.255.0 

interface LoopBack0
 ip address 1.1.1.1 255.255.255.255 

配置ospf：
ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 1.1.1.1 0.0.0.0 
  network 11.1.1.0 0.0.0.255 

查看ospf鄰居狀態(tài)：

ospf狀態(tài)為full，表示ospf鄰居關(guān)系正常。?

P:

配置接口：
interface GigabitEthernet0/0/0
 ip address 11.1.1.2 255.255.255.0 

interface GigabitEthernet0/0/1
 ip address 22.1.1.1 255.255.255.0 

interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 

配置ospf：
ospf 1 router-id 3.3.3.3 
 area 0.0.0.0 
  network 3.3.3.3 0.0.0.0 
  network 11.1.1.0 0.0.0.255 
  network 22.1.1.0 0.0.0.255 

查看ospf鄰居狀態(tài)：

ospf狀態(tài)為full，表示ospf鄰居關(guān)系正常。

PE2:

配置接口：
interface GigabitEthernet0/0/0
 ip address 22.1.1.2 255.255.255.0 

interface GigabitEthernet0/0/1
 ip address 10.3.1.1 255.255.255.0 

interface GigabitEthernet0/0/2
 ip address 10.4.1.1 255.255.255.0 

interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 

配置ospf：
ospf 1 router-id 2.2.2.2 
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 22.1.1.0 0.0.0.255 

查看ospf鄰居狀態(tài)：

ospf狀態(tài)為full，表示ospf鄰居關(guān)系正常。?

2、在MPLS骨干網(wǎng)上配置MPLS基本能力和MPLS LDP，建立LDP LSP

PE1:

配置mpls和mpls ldp：
mpls lsr-id 1.1.1.1
mpls   //全局開啟mpls
mpls ldp   //全局開啟ldp，用于分配標簽

interface GigabitEthernet0/0/0   
 ip address 11.1.1.1 255.255.255.0 
 mpls   //接口下mpls
 mpls ldp   //接口下開啟ldp

查看ldp會話是否建立：

?ldp為mpls網(wǎng)絡(luò)中的各節(jié)點都分配了標簽，表示lsp隧道正常，并且ldp會話建立成功。

P:

配置mpls和ldp：
mpls lsr-id 3.3.3.3
mpls
mpls ldp

interface GigabitEthernet0/0/0
 ip address 11.1.1.2 255.255.255.0 
 mpls
 mpls ldp

interface GigabitEthernet0/0/1
 ip address 22.1.1.1 255.255.255.0 
 mpls
 mpls ldp

?查看ldp會話是否建立：

PE2:

配置mpls和ldp：
mpls lsr-id 2.2.2.2
mpls
mpls ldp

interface GigabitEthernet0/0/0
 ip address 22.1.1.2 255.255.255.0 
 mpls
 mpls ldp

查看ldp會話是否建立：

3、在PE設(shè)備上配置VPN實例，將CE接入PE

PE1:

VRF配置：
ip vpn-instance vpn1
 ipv4-family
  route-distinguisher 100:1   //RD值，本地有效
  vpn-target 111:1 export-extcommunity   //出RT值
  vpn-target 111:1 import-extcommunity   //入RT值

ip vpn-instance vpn2
 ipv4-family
  route-distinguisher 100:2
  vpn-target 222:2 export-extcommunity
  vpn-target 222:2 import-extcommunity

接口下綁定VRF：
interface GigabitEthernet0/0/1
 ip binding vpn-instance vpn1
 ip address 10.1.1.1 255.255.255.0 

interface GigabitEthernet0/0/2
 ip binding vpn-instance vpn2
 ip address 10.2.1.1 255.255.255.0 

查看VRF配置情況：

PE2:

VRF配置：
ip vpn-instance vpn1
 ipv4-family
  route-distinguisher 200:1
  vpn-target 111:1 export-extcommunity
  vpn-target 111:1 import-extcommunity

ip vpn-instance vpn2
 ipv4-family
  route-distinguisher 200:2
  vpn-target 222:2 export-extcommunity
  vpn-target 222:2 import-extcommunity

接口下綁定VRF：
interface GigabitEthernet0/0/1
 ip binding vpn-instance vpn1
 ip address 10.3.1.1 255.255.255.0 

interface GigabitEthernet0/0/2
 ip binding vpn-instance vpn2
 ip address 10.4.1.1 255.255.255.0 

查看VRF配置情況：

4、在PE之間建立MP-IBGP對等體關(guān)系，在PE與CE之間建立EBGP對等體關(guān)系，引入VPN路由

PE1:

bgp 100
 peer 2.2.2.2 as-number 100    //與PE2建立MP-IBGP對等體關(guān)系
 peer 2.2.2.2 connect-interface LoopBack0    //更新源為loopback0 

 ipv4-family unicast
  undo synchronization
  peer 2.2.2.2 enable
 
 ipv4-family vpnv4
  policy vpn-target
  peer 2.2.2.2 enable   
 
 ipv4-family vpn-instance vpn1 
  import-route direct   //引入VPN路由
  peer 10.1.1.2 as-number 65100    //與CE1之間建立EBGP對等體關(guān)系
 
 ipv4-family vpn-instance vpn2 
  import-route direct   //引入VPN路由
  peer 10.2.1.2 as-number 65200    //與CE2之間建立EBGP對等體關(guān)系

查看PE之間BGP對等體是否建立：

?

?PE2:

bgp 100
 peer 1.1.1.1 as-number 100 
 peer 1.1.1.1 connect-interface LoopBack0
 
 ipv4-family unicast
  undo synchronization
  peer 1.1.1.1 enable
  
 ipv4-family vpnv4
  policy vpn-target
  peer 1.1.1.1 enable
 
 ipv4-family vpn-instance vpn1 
  import-route direct
  peer 10.3.1.2 as-number 65300 
 
 ipv4-family vpn-instance vpn2 
  import-route direct
  peer 10.4.1.2 as-number 65400 

查看PE之間BGP對等體是否建立：

CE1:

bgp 65100
 peer 10.1.1.1 as-number 100    //和PE1建立EBGP對等體
 
 ipv4-family unicast
  undo synchronization
  import-route direct   //引入VPN路由
  peer 10.1.1.1 enable

CE2:

bgp 65200
 peer 10.2.1.1 as-number 100 
 
 ipv4-family unicast
  undo synchronization
  import-route direct
  peer 10.2.1.1 enable

CE3:

bgp 65300
 peer 10.3.1.1 as-number 100 
 
 ipv4-family unicast
  undo synchronization
  import-route direct
  peer 10.3.1.1 enable

CE4:

bgp 65400
 peer 10.4.1.1 as-number 100 
 
 ipv4-family unicast
  undo synchronization
  import-route direct
  peer 10.4.1.1 enable

?查看PE和CE之間的BGP對等體是否建立：

????????通過查看VPN路由信息可以發(fā)現(xiàn)，PE1上vpn1的路由只有CE1和CE3；vpn2的路由只有CE2和CE4。同樣的，PE2上vpn1的路由因為只有CE1和CE3；vpn2的路由只有CE2和CE4。實現(xiàn)了不同Site的相互隔離。

六、結(jié)果驗證

1、驗證研發(fā)部、財務部互訪

?研發(fā)部互訪

財務部互訪?

2、驗證研發(fā)部和財務部不能互訪

研發(fā)、財務禁止互訪！?

七、總結(jié)

????????MPLS VPN主要是運營商或者跨國公司用來互聯(lián)的隧道協(xié)議，所以在日常生活中較少碰到，感興趣的可以根據(jù)本文配置命令研究一下！歡迎留言討論！文章來源地址http://www.zghlxwxcb.cn/news/detail-676525.html

到了這里，關(guān)于MPLS VPN組網(wǎng)系列（一）基礎(chǔ)MPLS VPN組網(wǎng)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！