Mpls VPN专题之MPLS单域实验篇

​单 AS MPLS vpn

一般而言两个站点有互联的需要，那么可以使用专线，价格昂贵，链路浪费。链路独有。

什么是 vpn，虚拟专网，链路共享，价格可以比较低廉，并且可以保证使用。

Mpls vpn。对于客户而言，不需要花费昂贵的价格购买专线，可以根据两个站点实时路由状况，变动都可以同步。

相比与 IPSEC vpn 这种，无法动态感知的，比较有优势的。

大部分情况，就向当地运营商咨询购买 mpls vpn。一般而言，两个站点距离没太大，也就是中间值跨域一个 AS。

地址重叠现象的解决

PE 设备连接 CE 设备，存在不同 VPN 中地址重叠现象。PE 设备使用 RD 值来标识不同的 VPN。为不同 VPN 接

口创建独立的 VRF（虚拟路由转发），相当于独立的路由表。这个 RD 值由 ISP 自定义，本 AS 内唯一（不唯一

也不会有太大影响）。

ip vpn-instance siteA

ipv4-family

route-distinguisher 1:1

只需要将该 VPN 实例加入到接口上，就会将该接口的所有路由放在一个独立的 VRF 中。

interface GigabitEthernet0/0/0

ip binding vpn-instance siteA

ip address 192.168.1.254 255.255.255.0

如此，g0/0/0 接口将脱离全局路由表，也就是说，dis ip routing 已经没有 192.168.1.0/24

而在 独立 vpn 实例 siteA 表。 查询方式: [PE1]dis ip routing-table vpn-instance siteA

如何正确的引入 vpn 路由和传递

在 PE1 上，收到了 CE1 的路由，如何将 CE1 的路由发给 PE2，转发给 CE2。并且区分开不同的 VPN 路由。

RT 值。RT 属于 BGP 团体属性的拓展属性。可以通过配置相同对应的 RT 值做到路由的正确引入。

ip vpn-instance siteA

ipv4-family

route-distinguisher 1:1

vpn-target 1:1 export-extcommunity

vpn-target 1:1 import-extcommunity

设置发出的 RT 值和接收的 RT 值，如果 RT 值交叉成功，则路由属于同一个 vpn。

使用 BGP 的 vpnv4 （vpn ipv4）来传递路由。就需要两个路由器建立 vpnv4 邻居。但是默认 BGP 建立的都是属

于单播邻居。所以需要手动建立 vpnv4.

[PE1]bgp 100

[PE1-bgp]peer 4.4.4.4 as 100

[PE1-bgp]peer 4.4.4.4 co lo0

[PE1-bgp]ipv4

[PE1-bgp]ipv4-family vpnv4

[PE1-bgp-af-vpnv4]peer 4.4.4.4 enable //启用 vpnv4 邻居。

这时候 dis this 一下。会发现当前视图的命令多了一条命令。

ipv4-family vpnv4

policy vpn-target

peer 4.4.4.4 enable

policy vpn-target 如果邻居发送 vpnv4 路由给我。会使用 RT 交叉过滤路由。

私网数据如何在公网上转发

可以通过 mpls 标签的多标签的特性转发公私网路由。

也就是说在公网上，从 CE1 到 CE2 的数据是这样转发的。

CE1 发给 PE1，PE1 发现属于 VPN 路由，加上私网标签，然后，目的是发给 PE2，所以在套上一层外层的目的

为 PE2 的公网标签。如果 P 设备收到了会根据外层标签转发给 PE2，PE2 收到以后就拆开有私网标签，转发给对

应的 VPN 实例。

所以 ISP 全局运行 MPLS 和 MPLS LDP。

mpls lsr-id 2.2.2.2 //使用本地设备的 ip 地址，必须保证 ISP 内可达。

mpls

#

mpls ldp

私网路由传入公网

对于使用 MPLS 的客户端而言。可以说毫无感知，可以使用静态，RIP,ISIS,OSPF,BGP 等路由协议传递路由 PE

设备。

举个栗子：

CE 设备：

ospf 1

area 0.0.0.0

network 1.1.1.1 0.0.0.0

network 192.168.1.0 0.0.0.255

直接运行内部的 IGP 协议，内部的路由就将全部传递给公网 PE。

PE 设备又该如何区分呢？

由于 PE 设备连接该 CE 的接口已经加入了独立的 VRF，所以必须指定对应的 vpn 实例才能调用该接口。如果是

在全局的路由上是找不到加入 vpn 实例的接口的。

ospf 10 vpn-instance siteA //切记运行的进程不能和公网的进程相同。

area 0.0.0.0

network 192.168.1.0 0.0.0.255

由于 VPN 路由从 BGP 所以需要引入 bgp

[PE1-ospf-10]import-route bgp

只会引入到该 vpn 实例所属的路由。

同时 bgp 进程也需要引入该 ospf vpn 实例。

[PE1-bgp]ipv4-family vpn-instance siteA

[PE1-bgp-siteA]import-route ospf 10