路由区分符RD:路由区分符RD即VPN-Ipv4地址的前8字节,用来区分不同VPN中的相同私网地址。
路由目标RT:RT为MP-BGP中的扩展共同体属性之一。路由目标属性定义了PE路由器发布路由的一组站点(VRF)的集合。PE路由器使用这一属性来对输入远端路由到其VRF进行约束。
VPN路由转发表(VRF):每个PE路由器为其直连的站点维持一个VRF。每个用户链接被映射至一个特定的VRF。每个VRF与PE路由器的一个端口相关联。
VPN在MPLS网络中的实现
网络拓扑描述
假设一个服务提供商具有一个IP骨干网,为不同的企业提供BGP/MPLSVPN服务。网络中有3个PE路由器,连接到4个不同的用户站点。
图6 网络拓扑
图6中,CE1与CE3属同一VPN1,CE2与CE4同属另一VPN2。站点1(CE1)中的任何主机可以与站点3(CE3)中的任何主机进行通信。站点2(CE2)中的任何主机可以与站点4(CE4)中的任何主机进行通信。
路由学习过程
在一个用户站点能够将VPN业务转发到远端站点之前,必须将VPN路由信息从每个用户站点通过骨干网转发至其他用户站点。PE路由器从其直连的CE路由器学习路由,入口PE通过骨干网向出口PE发布路由,出口PE路由器将路由发布至CE。
标签转发过程
在网络中,只有PE及P路由器运行标签转发协议,
图6中CE1与CE3客户属于同一VPN。当CE1的客户需要向CE3客户发送信息时:
CE1路由器查找路由表,将数据包发给PE1路由器;
PE1路由器发现CE1属于VRF1,查找VRF1表,找到目的地址下一跳为MP-BGP对等体路由器PE2;
PE1路由器查找路由表知到达对等体PE2的直连下一跳为P1路由器;
给该数据包分配标签,将该数据包转发给P1路由器;
该数据包通过中间P路由器标签转发,到达PE2;
PE2弹出标签。查找VRF1路由,将该数据包转发给CE3;
到达CE3客户。
MPLS/VPN的几种典型组网
MESH方式
图7 典型的组网图
MESH方式为普通VPN业务,是客户对VPN的最基本的需求。
基本的VPN服务要求相同的VPN客户之间能相互通信,而不同的VPN客户间不能通信。典型的组网图如图7所示,VPN1间互相通信,VPN2间互相通信,而VPN1与VPN2间不能通信。
HUB-SPOKE方式
对于有很多子公司的大客户来说,普通的VPN业务可能无法满足其需求。通常总公司可能需要监控子公司间的通信,同时要能够与各子公司直接通信。这就要求子公司间通信时必须经过总公司中转。
图8 HUB-SPOKE方式
一种典型的组网图如图8所示,总公司可以直接与子公司1、子公司2通信,而子公司1和子公司2间通信时必须经过总司中转,如此总公司可以监控各子公司间的通信。其中PE-3为HUB路由器,PE-1及PE-2为SPOKE路由器。
INTERNET接入
VPN客户间通信使用的是私网地址,可以自由规划内部网络,但同样可能需要能连上INTERNET。
图9 INTERNET接入
一种典型的组网图如图9所示,通过在VPN1的某个网关上提供NAT完成私网地址到公网地址的转换即可完成INTERNET业务。
在ZXR10中配置MPLS/VPN
ZXR10中配置MPLS/VPN的基本步骤
目前ZXR10中MPLS/VPN应用最多的为T64E/T128及T32C/T64C等中高档路由器产品。其中E系列中,T64E/T128支持MPLS/VPN的常用单板有8端口FEI板、2端口GEI接口板、4端口POS3接口板、E1接口板。C系列中支持MPLS/VPN的常用单板有GEI板、POS接口板。
对于T64E/T128而言,要配置MPLS/VPN业务必须使用V1.2以上版本或平台版本,对于C系列路由器而言需要使用ros9302以上版本。在ZXR10中配置MPLS/VPN业务主要步骤如下。
1.在PE路由器上定义一个VPN名称或者说一个VPN的转发表(VRF)的名称。名称长度为1到16个字符。注意该名称只是本地有效,在某个接口与VPN绑定时将使用到该名称。
2.定义该VRF的路由标识符(RD)和路由目标(RT),定义导入导出策略,该策略将在MP-BGP中用来区分不同的VPN。
3.定义指定的接口与VRF关联。如果这个接口预先配置了IP地址,那么需将原IP地址删除,定义好关联后,再行配置IP地址。
4.定义VRF路由。PE路由器与CE路由器之间可以定义静态路由,也可以运行动态路由协议。
5.配置MPBGP协议。PE路由器从CE路由器学习到VRF路由后,需要通过运行MPBGP协议通告给其他PE。配置MPBGP协议通常分以下三步:
(1)在BGP路由配置模式下,用neighbor命令指定PE对等体,必须是IBGP对等体;
(2)进入BGP的address-familaryvpnv4地址模式,激活该对等体;
(3)对于不同的VRF,将其路由(直连、静态、OSPF、ISIS)重分布到MPBGP中进行通告。
MPSL/VPN配置实例
下面通过一个组网实例讲述MPLS/VPN业务在ZXR10中的应用。实例中描述的是E系列路由器独立组网配置。
图10 E系列路由器独立组网配置
