华为培训MPLSL3VPN原理.ppt

《华为培训MPLSL3VPN原理.ppt》由会员分享，可在线阅读，更多相关《华为培训MPLSL3VPN原理.ppt（74页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、华为版权所有，未经许可不得扩散华为版权所有，未经许可不得扩散MPLS L3 VPNMPLS L3 VPN原理原理原理原理ISSUE 1.0内部资料，注意保密q本课程主要介绍本课程主要介绍MPLS L3 VPN协协议原理以及数据报文的转发过程，议原理以及数据报文的转发过程，另外还介绍了跨另外还介绍了跨AS MPLS L3 VPN解决方案。解决方案。1内部资料，注意保密学习指南学习指南q本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书，合理有效利用上述资料您将会取得良好的学习效果。2内部资料，注意保密参考资料参考资料qVRP 3.30/5.10操作手册、操作手册

2、、命令手册命令手册q故障信息收集排错指导书故障信息收集排错指导书。3内部资料，注意保密目标目标学习完此课程，您将会：q了解VPN的分类q掌握MPLS L3 VPN 转发过程q了解跨AS的MPLS L3 VPN 的实现4内部资料，注意保密第第第第1 1章章章章 VPN VPN概述概述概述概述第第2章章 MPLS L3 VPN 转发过程转发过程第第3章章 跨跨AS的的MPLS L3 VPN 实现实现5内部资料，注意保密VPN的分类的分类VPN:Virtual Private Network6内部资料，注意保密VPN的定义（的定义（1）qIP-VPN：利用IP设施（包括公用的Internet或专用的

3、IP骨干网等）实现专用广域网设备专线业务(远程拨号、DDN等)的业务仿真。qNetwork-Based IP-VPN：基于网络的IP-VPN是指将关于VPN的维护等外包给运营商实施（也允许用户在一定程度上进行业务管理和控制），并且将其功能特性集中在网络侧设备实现。q隧道（Tunnel）：是利用一种协议来传输另外一种协议的一种技术，主要利用隧道协议来实现这种功能；隧道技术涉及了三种协议，隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。7内部资料，注意保密VPN的定义（的定义（2）qVLL（Virtual Leased Line）：虚拟租用线业务，它通过运营商的边缘节点向用户提供两个

4、CPE设备间的点到点连接业务。qVPDN（Virtual Private Dial Network）：虚拟专用拨号网，远端用户通过PSTN/ISDN拨入公共IP网，并将数据包隧穿公网以传送至目的网络qVPLS（Virtual Private LAN Segments）：VPLS是利用公共IP资源建立局域网的一种虚拟方法，其组网是建立在MAC层转发，对网络层协议是完全透明的。是一种二层VPNqVPRN（Virtual Private Routed Network）：VPRN被定义为通过公用IP网络进行多站点广域路由网络业务的一种仿真，VPN 的数据包在网络层转发8内部资料，注意保密使用使用GRE

5、构建构建VPNq建设这样的网络只需要在每一个网络的接入路由器上作配置建设这样的网络只需要在每一个网络的接入路由器上作配置q运营商网络无需知晓运营商网络无需知晓VPN内部路由内部路由q不同不同VPN可以采用相同地址空间可以采用相同地址空间q转发效率低转发效率低10.0.1.1/2410.0.1.1/2410.0.0.0/2410.0.0.0/2410.0.0.0/2410.0.0.0/24129.0.0.2/30129.0.0.1/30129.0.1.1/30129.0.1.2/30公网IP网络129.0.2.2/30129.0.2.1/30129.0.3.1/30129.0.3.2/30GRE

6、隧道GRE隧道10.0.1.1/2410.0.1.1/2410.0.1.2/2410.0.1.2/2410.0.1.2/2410.0.1.2/24Rt1Rt2HQ1HQ29内部资料，注意保密MPLS VPN 网络结构网络结构qCE（Custom Edge）：直接与服务提供商相连的用户设备。qPE（Provider Edge Router）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。qP（Provider Router）：指骨干网上的核心路由器，主要完成路由和快速转发功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVP

7、N_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGP sessionsPPPPPEPE10内部资料，注意保密网络拓扑结构网络拓扑结构1一个site只属于一个VPN:Intranetsite1site3site2site10site20site3011内部资料，注意保密网络拓扑结构网络拓扑结构212内部资料，注意保密MPLS VPN 的特点的特点q在这种网络构造中，由服务

8、提供商向用户提供在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。到公共网络的存在，就好像拥有独立的网络资源一样。qP 路由器，也不需要知道有路由器，也不需要知道有VPN的存在，仅仅负责骨干网内部的数据的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持传输。但其必须能够支持MPLS协议，并使能该协议。协议，并使能该协议。q所有的所有的VPN的构建、连接和管理工作都是在的构建、连接和管理工作都是在PE上进行的。上进行的。q网络配置简单网络配置简单q可以直接利用现有路由协议而无需任何改动可以直接利用现有路由协议而无需任

9、何改动qMPLS VPN网络具有良好的可扩展性网络具有良好的可扩展性q可实现具有可实现具有QOS和和TE的的VPN13内部资料，注意保密第第1章章 VPN概述概述第第第第2 2章章章章 MPLS L3 VPN MPLS L3 VPN 转发过程转发过程转发过程转发过程第第3章章 跨跨AS的的MPLS L3 VPN 实现实现14内部资料，注意保密PE和和CE设备之间的关系设备之间的关系qPE 和 CE routers 通过EBGP、RIP和静态路由交换信息,CE 运行标准路由协议qPE 维护独立的路由表：公网和私网公网路由表，包含全部PE和P路由器的路由，由VPN的骨干网IGP产生 VRF(VPN

10、 routing&forwarding)，包含到一个或多个直接相连的CE的路由和转发表；VRF可以与任何类型接口绑定在一起；如果直接相连的site属于同一VPN，那这几个接口可以使用同一个VRFPECPECECESite-2Site-2Site-1Site-1 EBGP,RIP,StaticVPNAVPNBVRF for VPNAVRF for VPNBGlobal route15内部资料，注意保密VRFqVRF-VPN路由转发实例（路由转发实例（VPN Routing&Forwarding Instance）q每一个每一个VRF可以看作虚拟的路由器，好像是一台专用的可以看作虚拟的路由器，好像

11、是一台专用的PE设备。该虚设备。该虚拟路由器包括如下元素：拟路由器包括如下元素：一张独立的路由表，当然也包括了独立的地址空间。一张独立的路由表，当然也包括了独立的地址空间。一组归属于这个一组归属于这个VRF的接口的集合。的接口的集合。一组只用于本一组只用于本VRF的路由协议。的路由协议。q对于每个对于每个PE，可以维护一个或多个，可以维护一个或多个VRF，同时维护一个公网的路由表，同时维护一个公网的路由表（也叫全局路由表），多个（也叫全局路由表），多个VRF实例相互分离独立。实例相互分离独立。q其实实现其实实现VRF并不困难，关键在于如何在并不困难，关键在于如何在PE上使用特定的策略规则来上使

12、用特定的策略规则来协调各协调各VRF和全局路由表之间的关系。和全局路由表之间的关系。16内部资料，注意保密VRF 路由的发布路由的发布qPE路由器通过路由器通过MPLS/VPN骨干网发布本地的骨干网发布本地的VPN路由信息。路由信息。q发送端发送端 PE通过使用通过使用 MP-iBGP 将将VRF路由从本地发布出去（带有路由从本地发布出去（带有export-target属性）属性）q接收端接收端 PE 将路由引入到所属的将路由引入到所属的VRF中（有相匹配的中（有相匹配的import-target属性）属性）PEPECE RouterCE RouterP RouterSiteSiteMP-iB

13、GP17内部资料，注意保密Route Targetq RT 使用了使用了BGP的扩展的扩展community属性属性,并且起了一个新名字：并且起了一个新名字：RT（Route Target）q扩展的扩展的community有如下两种格式：其中有如下两种格式：其中type字段为字段为0 x0002或者或者0 x0102时表示时表示RT。TYPE(2字节）字节）Administrator FieldAssigned Number Field0 x00022字节字节AS号号4字节分配编号字节分配编号 0 x01024字节字节IP地址地址 2字节分配编号字节分配编号18内部资料，注意保密RT的本质的本

14、质qRT的本质是每个的本质是每个VRF表达自己的路由取舍及喜好的方式。表达自己的路由取舍及喜好的方式。可以分为两部分：可以分为两部分：Export Target与与import Target在一个在一个VRF中，在发布路由时使用中，在发布路由时使用RT的的export规则。直接发规则。直接发送给其他的送给其他的PE设备设备在接收端的在接收端的PE上，接收所有的路由，并根据每个上，接收所有的路由，并根据每个VRF配置的配置的RT的的import规则进行检查，如果与路由中的规则进行检查，如果与路由中的RT属性属性match，则将该路由加入到相应的，则将该路由加入到相应的VRF中。中。19内部资料，

15、注意保密RT的灵活应用的灵活应用q由于每个由于每个RT Export Target与与import Target都可以配置多个属性，都可以配置多个属性，可以实现非常灵活的可以实现非常灵活的VPN访问控制访问控制 20内部资料，注意保密RT的作用的作用P RouterP RouterMPLS/VPN BackboneMPLS/VPN BackboneVPN AVPN AVPN BSITESITE-2 2VPN BMP-iBGPSITESITE-1 1SITESITE-3 3SITESITE-4 4Site-1routes RT=VPN ASite-2routes RT=VPN BSite-3ro

16、utes RT=VPN ASite-4routes RT=VPN BSite1-routesSite3-routesVPNASite2-routesSite4-routesVPNBSite1-routesSite3-routesVPNASite2-routesSite4-routesVPNB21内部资料，注意保密 VPNv4和和IPv4 地址族地址族q为了解决不同的VPN可以使用相同的地址空间的问题，引入了新的地址族VPNv4。而原来的标准的地址族就称为IPv4。qVPNv4 地址族主要用于PE路由器之间传递VPN路由q由于RD在不同的VPN间具有唯一性。如果两个VPN使用相同的IP地址，PE

17、路由器为它们添加不同的RD，转换成唯一的VPN-v4地址，不会造成地址空间的冲突。qPE从CE接收的标准的路由是IPv4路由，如果需要引入VRF路由表并发布给其他的路由器，此时需要附加一个RD。建议相同VPN的RD配置成相同的。Route Distinguisher(8个字节)IPv4 地址VPNV4地址结构：地址结构：22内部资料，注意保密 MPLS/VPN RDqRD的格式的格式:16位自治系统号位自治系统号ASN：32位用户自定义数，例如：位用户自定义数，例如：100:132位位IP地址：地址：16位用户自定义数，例如：位用户自定义数，例如：172.1.1.1:1q一般为一个一般为一个s

18、ite分配唯一一个分配唯一一个RD，它是，它是VRF的标识符的标识符q公网和私网的区别：公网和私网的区别：公网路由表有公网路由表有IGP路由产生，可能包含路由产生，可能包含BGP-4(IPv4)路由路由，但不会有，但不会有VPN路由路由VRF路由表包含特定路由表包含特定 VPN 路由，可能有路由，可能有MP-iBGP 路由引入到路由引入到VRF中的中的路由，也可能有路由，也可能有vrf路由实例从路由实例从CE 获得的路由获得的路由TYPE(2字节）字节）Administrator FieldAssigned Number Field02字节字节AS号号4字节分配编号字节分配编号 14字节字节I

19、P地址地址 2字节分配编号字节分配编号RD的结构：的结构：23内部资料，注意保密MBGPqMBGP(Multiprotocol Extensions for BGP-4)BGP-4仅仅支持仅仅支持IPv4，MBGP是为了让是为了让BGP可以用于传输更多可以用于传输更多协议（协议（IPv6,IPX,.）的路由信息而进行的扩展。）的路由信息而进行的扩展。为了保持兼容性，为了保持兼容性，MBGP仅仅添加了两个仅仅添加了两个BGP属性：属性：MP_REACH_NLRI、MP_UNREACH_NLRI，这两个属性可，这两个属性可以用在以用在BGP Update消息中用于通告或废止网络可达性信息。消息中用

20、于通告或废止网络可达性信息。24内部资料，注意保密MBGP：MP_REACH_NLRI25内部资料，注意保密携带标签映射消息携带标签映射消息q这里可以携带多个这里可以携带多个Label，每个，每个Label的前的前20位是标签，后位是标签，后4位则的前位则的前3位是位是EXP域，最后一位用于指示是否是栈底域，最后一位用于指示是否是栈底q必须注意这个标签必须是由必须注意这个标签必须是由MP_REACH_NLRI 属性中属性中Next-Hop所指所指LSR所分配。所分配。q可以有两种办法废除路由信息（同时也解除了标签绑定）可以有两种办法废除路由信息（同时也解除了标签绑定）对同一个目标再次发布不同的

21、路由（和一个新的对同一个目标再次发布不同的路由（和一个新的Label）用用Withdraw消息将消息将MP_UNREACH_NLRI将这个目的包含于其中将这个目的包含于其中Network Layer Reachability Information:26内部资料，注意保密MBGP：MP_UNREACH_NLRIq标签映射消息携带在标签映射消息携带在MP_REACH_NLRI属性中属性中qAddress Famaily Identifier和和Subsequent Address Family Identifier 一起用于指示该属性通告的可达性信息所属的地址族，一起用于指示该属性通告的可达性信

22、息所属的地址族，AFI为为1、SAFI为为128指示随后通告的是指示随后通告的是VPN-IPV4可达性信息及与其绑定可达性信息及与其绑定的的MPLS标记标记qLength of Nexthop Network Address和和Network Address of Nexthop是路由信息的下一跳，下一跳确定规则服从通常的是路由信息的下一跳，下一跳确定规则服从通常的BGP关于关于下一跳的规则下一跳的规则27内部资料，注意保密BGP发布路由时需要携带的信息发布路由时需要携带的信息MP_REACH_NLRI：addressfamily：VPN-IPV4地址族地址族next-hop:就是就是PE路由

23、器自己，通常是路由器自己，通常是loopback地址。地址。NLRI:lable：24个个bit，与，与MPLS标签一样，但没有标签一样，但没有TTL。prefix：RD:64bitip前缀前缀Extended_Communities（RT1）Extended_Communities（RT2）Extended_Communities（RT3）一个扩展之后的一个扩展之后的NLRINLRI（Network Layer Reachability Information Network Layer Reachability Information），），增加了地址族的描述，以及私网增加了地址族的描述，

24、以及私网lablelable和和RDRD跟随之后的是跟随之后的是RTRT的列表的列表：对于使用了扩展属性对于使用了扩展属性MP_REACH_NLRIMP_REACH_NLRI的的BGPBGP，我们称之为，我们称之为MP-BGPMP-BGP。28内部资料，注意保密VRF路由注入到路由注入到MP-iBGPqPE路由器需要对一台路由进行如下操作：加上RD（RD为手工配置），变为一条VPN-IPV4路由。更改下一跳属性为自己（通常是自己的loopback地址）加上私网标签（随机自动生成，无需配置）加上RT属性（RT需手工配置）q发给所有的PE邻居PE-1CE-1MP-iBGPPE-2BGP,RIPv2

25、 update for 149.27.2.0/24,NH=CE-1CE-2北京北京上海上海VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-1SOO=北京,RT=VPN-A,Label=(28)29内部资料，注意保密MP-iBGP路由注入到路由注入到VRFq每个VRF都有import route-target和 export route-target 的配置q发送PE发出MP-iBGP updates时，报文携带 export 属性。q接受PE 收到VPN-IPv4的MP-iBGP updates 时，判断收到的export是否与本地的VRF的im

26、port相等，相等就加入到相应的VRF路由表中，否则丢弃PECE-1MP-iBGPPECE-2北京北京上海上海ip vrf VPN-Bvpn-target import VPN-AVPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-1SOO=北京,RT=VPN-A,Label=(28)VPN-v4 路由变为IPV4路由，并且根据本地VRF的import RT属性加入到相应的VRF中，私网标签保留，留做转发时使用。再由本VRF的路由协议引入并转发给相应的CE30内部资料，注意保密MPLS/VPN 标签分配标签分配qPE 和 P 路由器通过骨干网IGP具

27、有到bgp下一跳的可达性；q通过运行IGP和LDP，分配标签，建立LSP，获得到BGP下一跳的LSP通道q标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳，内层标签表示报文的出接口或者属于哪个VRF（属于哪个VPN）qMPLS 节点转发是基于外层标签，而不管内层标签是多少P routerP routerIn Label FEC Out Label-197.26.15.1/32 -In Label FEC Out Label41197.26.15.1/30POPIn Label FEC Out Label-197.26.15.1/30 41Use label implicit-null

28、for destination 197.26.15.1/30Use label41 for destination 197.26.15.0/24VPN-v4 update:RD:1:27:149.27.2.0/24,NH=197.26.15.1RT=VPN-A-Label=(28)PE-1上海上海北京北京149.27.2.0/2431内部资料，注意保密MPLS/VPN 报文转发报文转发-1q入口入口PE收到收到CE的普通的普通IP报文后，报文后，PE根据入接口所属的根据入接口所属的VRF加入到相加入到相应的应的VPN转发表，查找下一跳和标签转发表，查找下一跳和标签In Label FEC Ou

29、t Label-197.26.15.1/3041149.27.2.27PE-1149.27.2.272841VPN-A VRF149.27.2.0/24,NH=197.26.15.1Label=(28)上海上海北京北京149.27.2.0/2432内部资料，注意保密MPLS/VPN 报文转发报文转发-2q倒数第二跳路由器弹出外层标签，根据下一跳发送至出口PEq出口PE路由器根据内层标签判断报文是去向哪个CEq弹出内层标签，用普通IP报文向目的CE进行转发In Label FEC Out Label41197.26.15.1/30POP北京北京149.27.2.27PE-1上海上海149.27.

30、2.0/24149.27.2.272841VPN-A VRF149.27.2.0/24,NH=197.26.15.1Label=(28)149.27.2.2728In Label FEC Out Label28(V)149.27.2.0/24-VPN-A VRF149.27.2.0/24,NH=北京北京149.27.2.27197.25.15.1/3033内部资料，注意保密基础基础VPN模型模型CE2PE2PPE1AS100CE1MPLS domain在AS100域中，配置IGP，发布各自的loopback地址配置mpls ldp 用各自的loopback地址建立session在PE上创建vp

31、n-instance，并绑定到一个PE连接CE的接口PE-CE启动路由协议PE1-PE2启用MP-BGPLoo1000:55.55.55.55/32Loo1000:44.444.44.44/32Loo1000:11.11.11.11/3234内部资料，注意保密基础基础VPN配置配置 PE1.configip vpn-instance vpna route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunityinterface GigabitEthernet2/0

32、/6.4000 vlan-type dot1q 4000 ip binding vpn-instance vpna ip address 10.0.111.1 255.255.255.0bgp 100 peer 55.55.55.55 as-number 100 peer 55.55.55.55 connect-interface LoopBack1000#ipv4-family unicast undo synchronization35内部资料，注意保密 peer 55.55.55.55 enable#ipv4-family vpnv4 policy vpn-target peer 55.

33、55.55.55 enable#ipv4-family vpn-instance vpna import-ospf 100ospf 100 vpn-instance vpna import-route bgp area 0.0.0.0 network 10.0.111.1 0.0.0.0 CE1.configospf 100 area 0.0.0.0network 10.0.111.2 0.0.0.0 36内部资料，注意保密另一种基础另一种基础VPN配置配置P.configbgp 100 peer 11.11.11.11 as-number 100 peer 11.11.11.11 conne

34、ct-interface LoopBack1000 peer 55.55.55.55 as-number 100 peer 55.55.55.55 connect-interface LoopBack1000#ipv4-family unicast undo synchronization peer 11.11.11.11 enable peer 11.11.11.11 reflect-client peer 55.55.55.55 enable peer 55.55.55.55 reflect-client#ipv4-family vpnv4 undo policy vpn-target p

35、eer 11.11.11.11 enable peer 11.11.11.11 reflect-client peer 55.55.55.55 enable peer 55.55.55.55 reflect-client PE1.configbgp 100 peer 44.44.44.44 as-number 100 peer 44.44.44.44 connect-interface LoopBack1000#ipv4-family unicast undo synchronization peer 44.44.44.44 enable#ipv4-family vpnv4 policy vp

36、n-target peer 44.44.44.44 enable#ipv4-family vpn-instance vpna import-ospf 10037内部资料，注意保密VPN隧道隧道qVPN隧道VPN应用中应用中PE和和PE间提供隧道，将间提供隧道，将PE封装后的私网数据流进行封装后的私网数据流进行转发。目前转发。目前VRP提供的隧道有提供的隧道有LDP LSP、CRLSP及及GRE隧道，隧道，其他的隧道如其他的隧道如IPsec等尚未提供，而等尚未提供，而NE5000E上目前支持上目前支持LDP LSP和和CRLSP两种隧道。缺省情况下两种隧道。缺省情况下PE间使用并且只选中一条间使

37、用并且只选中一条LDP LSP作为隧道，如果想使用作为隧道，如果想使用CRLSP作为隧道作为隧道/使使PE间的隧道间的隧道实现负载分担，需要配置隧道策略。隧道策略也可以指定不同隧实现负载分担，需要配置隧道策略。隧道策略也可以指定不同隧道类型的优先级。假如上图中的道类型的优先级。假如上图中的PE1和和PE2之间有之间有3条条LDP LSP和和2条条CRLSP，如果需要使，如果需要使LDP LSP的优先级高于的优先级高于CRLSP，并且负，并且负载分担条数为载分担条数为4，那么可以按如下配置来实现：，那么可以按如下配置来实现：RouterA tunnel-policy tp1RouterA-tun

38、nel-policy-tp1 tunnel select-seq lsp cr-lsp gre load-balance-number 5然后将隧道策略然后将隧道策略tp1应用在相应的应用在相应的VPN实例上。实例上。RouterA ip vpn-instance vpn1RouterA-vpn-instance-vfn1 tnl-policy tp138内部资料，注意保密qVPNV4的ibgp邻居和普通ibgp邻居的不同之处对于普通的对于普通的bgp，一台路由器从，一台路由器从ebgp邻居处学来的路由在向邻居处学来的路由在向ibgp邻居发邻居发布时，缺省的情况下是不修改下一跳的，而对于布时，

39、缺省的情况下是不修改下一跳的，而对于VPNV4的的ibgp邻居来说，邻居来说，其从其从ebgp处学来的路由在向处学来的路由在向VPNV4 ibgp邻居发布时默认情况下会修改邻居发布时默认情况下会修改下一跳为自己。下一跳为自己。39内部资料，注意保密用户需求用户需求 二二q总部可以直接和各个分部通信.但是分部与分部之间必须通过总部来通信,对数据共享采取集中管理深圳总部深圳总部 局域网局域网北京分部北京分部 局域网局域网上海分部上海分部 局域网局域网40内部资料，注意保密Hub&Spoke 模型模型Hub-PEHub-CESpoke-PE1Spoke-PE2Spoke-CE1Spoke-CE2AS

40、100MPLS domain41内部资料，注意保密Hub&Spoke 配置配置ip vpn-instance vpn_in route-distinguisher 100:21 vpn-target 100:1 import-extcommunity#ip vpn-instance vpn_out route-distinguisher 100:22 vpn-target 200:1 export-extcommunityinterface GigabitEthernet3/0/0 ip binding vpn-instance vpn_in ip address 110.1.1.2 255.

41、255.255.0#interface GigabitEthernet4/0/0 ip binding vpn-instance vpn_out ip address 110.2.1.2 255.255.255.0bgp 100 peer 1.1.1.9 as-number 100 peer 3.3.3.9 as-number 100 peer 1.1.1.9 connect-interface LoopBack1 peer 3.3.3.9 connect-interface LoopBack1#ipv4-family vpnv4 policy vpn-target peer 1.1.1.9

42、enable peer 3.3.3.9 enable quit#ipv4-family vpn-instance vpn_in peer 110.1.1.1 as-number 65430 import-route direct quit#ipv4-family vpn-instance vpn_out peer 110.2.1.1 as-number 65430 import-route direct peer 110.2.1.1 allow-as-loop quit42内部资料，注意保密HoVPN模型模型CE1CE2SPE1PE2AS100MPLS domainUPE1在AS100域中，配

43、置IGP，发布各自的loopback地址配置mpls ldp 用各自的loopback地址建立session在PE上创建vpn-instance，并绑定到一个PE连接CE的接口;SPE也要创建vpn-instancePE-CE启动路由协议UPE1-PE2-SPE1全部启用MP-BGP43内部资料，注意保密HoVPN配置配置SPE1.configip vpn-instance vpna route-distinguisher 100:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunitybgp 100 pee

44、r 11.11.11.11 as-number 100 peer 55.55.55.55 as-number 100 peer 11.11.11.11 connect-interface LoopBack1000 peer 55.55.55.55 connect-interface LoopBack1000#ipv4-family vpnv4 policy vpn-target peer 11.11.11.11 enable peer 11.11.11.11 upe peer 11.11.11.11 default-originate vpn-instance vpna（暗含对R5的RR配置）

45、peer 55.55.55.55 enable44内部资料，注意保密第第1章章 VPN概述概述第第2章章 MPLS L3 VPN 转发过程转发过程第第第第3 3章章章章 跨跨跨跨ASAS的的的的MPLS L3 VPN MPLS L3 VPN 实现实现实现实现45内部资料，注意保密MPLS跨域解决方案跨域解决方案q随着MPLS-VPN应用范围的扩展，网络规模的扩充，逐渐的出现了在不同的AS之间开通MPLS-VPN业务的需求。q目前比较流行的解决方案有三种：VRF-VRF方案“单跳”M-EBGP方案Multi-Hop-EBGP方案 46内部资料，注意保密VRF-VRF解决方案解决方案qVRF-VR

46、F解决方案技术上最简单的，没有在“AS内部的MPLS-VPN”上作任何扩展，完全应用已有技术实现。qASBR对等体间，通过划分子接口方式，每个子接口分别绑定一个VRF，保证域间传播路由的私有性。qASBR对等体间，只运行普通BGP，不运行LDP，交互IPV4路由。q每个PE-ASBR路由器都把对方PE-ASBR路由器当做CE路由器看待。q比较适合运用在AS域间交互VPN(VRF)数量较少的情况。但是扩展性较差。47内部资料，注意保密VRF-VRF组网结构组网结构VPN-A-1PE-1VPN-A-2PE-2CE-4 VPN-B-1CE-2CE-1 CE-3 VPN-B-2One logical

47、interface&VRF per VPN clientPE-ASBR-1PE-ASBR-2AS#100AS#200VRF to VRF Connectivity between PE-ASBRs 48内部资料，注意保密VRF-VRF控制平面控制平面PE-1PE-2VPN-B-1CE-2CE-3 VPN-B-2PE-ASBR-1PE-ASBR-2152.12.4.0/24BGP,OSPF,RIPv2 152.12.4.0/24,NH=CE-2VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-1RT=1:222,Label=(29)VPN-B VRFImport

48、 routes with route-target 1:222BGP,OSPF,RIPv2 152.12.4.0/24 NH=PE-ASBR1VPN-v4 update:RD:1:27:152.12.4.0/24,NH=PE-ASBR-2RT=1:222,Label=(92)VPN-B VRFImport routes with route-target 1:222BGP,OSPF,RIPv2 152.12.4.0/24,NH=PE-249内部资料，注意保密VRF-VRF转发平面转发平面PE-1PE-2VPN-B-1CE-2CE-3 VPN-B-2PE-ASBR-1PE-ASBR-2152.1

49、2.4.0/24152.12.4.1LDP PE-ASBR-2 Label 92 152.12.4.1152.12.4.1LDP PE-1 Label 29 152.12.4.1152.12.4.150内部资料，注意保密“单跳单跳”M-EBGP方案方案qPE-ASBR对等体之间建立单跳的MP-EBGP邻接体，传递VPN-IPV4路由，不运行IGP和LDP。qPE-ASBR对等体之间传递私网路由时，因为EBGP邻居关系，需要改变路由的下一跳，所以需要交换内层标签。q接收端PE-ASBR，可以使用next-hop-local命令，强制修改路由的下一跳，同时再次交换内层标签，通告给MP-IBGP邻居

50、。如果没有配置next-hop-local命令，需要把direct路由重分布（import-route）到IGP中。qPE-ASBR路由器上需要保存所有域间的私网路由。对于ASBR路由器来说，压力较大。q和VRF-VRF方式相比，具有更好的扩展性。51内部资料，注意保密“单跳单跳”M-EBGP组网组网VPN-A-1PE-1VPN-A-2PE-2CE-4 VPN-B-1CE-2CE-1 CE-3 VPN-B-2PE-ASBR-1PE-ASBR-2AS#100AS#200MP-eBGP for VPNv4Label exchange between Gateway PE-ASBR routers