文章目录
一、VPN基础。
1.VPN中路由器的角色。
- CE(Custom Edge):直接与服务提供商相连的用户设备。
- PE(Provider Edge Router):指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。
- P (Provider Router):指骨干网上的核心路由器,主要完成路由和快速转发功能。
2.MPLS VPN。
(1)如何解决不同site连接到同一个PE后,私网路由冲突问题?
通过在PE上使用VPN-instance (vrf),隔离不同site的私网路由。vpn-instance的组成:
- 独立的路由表。
- 独立的地址空间(即冲突路由可以隔离)。
- 一组独立的路由协议(IBGP除外)。
- 一组绑定到该实例的接口。
(2)如何在不同的PE之间传递路由信息?
- 通过PE之间建立MP-BGP的邻居关系。
- 将vpn-instance中的ipv4私网路由,转换为vpnv4路由,MP-BGP传递这些vpnv4路由。
- vpnv4路由就是添加了RD参数的ipv4路由。
| IPv4地址族格式 | VPNv4地址族格式 |
|---|---|
| 192.168.1.0 | 100:1 192.168.1.0 |
- PE接收到不同vpnv4实例的路由,通过RD来判断这些vpnv4是否来自同一个vpn-instance。
(3)RD在规划时需要注意什么?
- 在PE上本地vpn-instance的RD要唯一。
- 不同PE上每个vpn-instance RD可以全局唯一。
- 同一个VPN中的所有vpn-instance的RD可以相同,不同VPN的vpn-instance的RD不能相同。
- 同一个VPN指的可以互相通信的vpn-instance或者是site。
- RD只能解决区分不同vpnv4的路由,但无法解决VPN中ipv4路由冲突的问题。
(4)如何将ipv4的私网路由转化成vpnv4的路由?
- PE可以直接将vpn-instance中学到的EBGP路由直接转化vpnv4路由。
- 将vpn-instacne中IGP路由引入到该vpn-instance的BGP表中,然后自动转化为vpnv4路由。
(5)当PE收到vpnv4路由后,如何将这些vpnv4路由自动的注入到本地vpn-instance的BGP表中?
- 通过RT来实现,vpnv4路由的注入。
- 路由目标,本质是BGP协议的团体属性,在vpnv4中称为RT。
(6)RT的特点?
- RT分为:export-rt和import-rt。
- 每个vpn-instance可以配置多个ERT和IRT。
- ERT发送vpnv4路由时携带。
- IRT接收vpnv4路由后,根据vpnv4路由携带的ERT做匹配,如果匹配则接收该vpnv4路由,并自动引入路由到匹配的vpn-instance的BGP表中。
(7)RT的组网规划?
由于每个RT Export Target与import Target都可以配置多个属性,所以可以实现非常灵活的VPN访问控制。如下:
(8)转发问题,当PE从网络侧收到私网的业务报文时,如何判断使用本地哪个vpn-instance的路由表执行私网报文转发呢?
- 在PE传递vpnv4路由时,由MP-BGP协议为本地的所有vpnv4路由分配一个本地唯一的私网标签。
- 将私网标签和vPNv4路由以及ERT,next-hop传递给PE邻居。
- 私网标签:用于PE从网络侧收到私网报文,根据私网标签判断该报文用本地的哪个vpn-instance路由表执行转发,MP-BGP产生。
- 公网标签:用在私网报文在公网的LSP中进行转发,LDP协议负责生成,即为BGP路由的下一跳创建LSP即可。