內(nèi)容參考hcie安全-security

1、 1簡(jiǎn)介215.1MPLS15.2BGP/MPLS IP基本概念315.2.115.2.215.2.315.2.415.2.515.2.615.2.7站點(diǎn)（Site）3實(shí)例4、Site 和地址空間實(shí)例的關(guān)系4. 4-IPv4 地址5RD5. 615.315.4Hub and Spoke6跨域15.4.115.4.215.4.3Ho 15.5.115.5.215.5.315.5.4. 8-OptionA 方式8-OptionB 方式9-OptionC 方式11跨域跨域跨域15.5.11HoHo的產(chǎn)生11的基本結(jié)構(gòu)12SPE-UPE13Ho的優(yōu)勢(shì)1315.6OSPF 偽連接1415.6.115.6

2、.215.6.3Multi- 15.7.115.7.2Sham link 的產(chǎn)生14Sham link 的實(shí)現(xiàn)14Sham link 的路由發(fā)布過(guò)程15-Instance CE1515.7Multi-Instance CE 的產(chǎn)生15MCE 實(shí)現(xiàn)原理1615.815.9與ernet 互聯(lián)17BGP MPLS配置示例1815.9.1配置 BGP/MPLS IP. 1815.1MPLS簡(jiǎn)介BGP/MPLS IP是一種 L3（Layer 3 Virtual Private Network）。它使用 BGP（BorderGateway Protocol）在服務(wù)提供商骨干網(wǎng)上發(fā)布路由，使用 MPLS（M

3、ultiprotocol LabelSwitch）在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)報(bào)文。這里的 IP 是指承載的是 IP 報(bào)文。BGP/MPLS IP的基本模型如圖 15-1-1 所示。圖 15-1-1 BGP/MPLS IP模型BGP/MPLS IP的基本模型由三部分組成：CE、PE 和 P。Edge）：用戶(hù)網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與服務(wù)提供商 SP（ServiceCE（CustomerProvider）網(wǎng)絡(luò)相連。CE 可以是路由器或交換機(jī)，也可以是一臺(tái)主機(jī)。通常情況下，CE“感知”不到的存在，也不需要支持 MPLS。PE（Provider Edge）：是服務(wù)提供商網(wǎng)絡(luò)的邊緣設(shè)備，與 CE 直接相連

4、。在 MPLS 網(wǎng)絡(luò)中，對(duì)的所有處理都發(fā)生在 PE 上，對(duì) PE 性能要求較高。P（Provider）：服務(wù)提供商網(wǎng)絡(luò)中的骨干設(shè)備，不與 CE 直接相連。P 設(shè)備只需要具備基本 MPLS 轉(zhuǎn)發(fā)能力，不信息。PE 和 P 設(shè)備僅由 SP 管理；CE 設(shè)備僅由用戶(hù)管理，除非用戶(hù)把管理權(quán)委托給 SP。一臺(tái) PE 設(shè)備可以接入多臺(tái) CE 設(shè)備。一臺(tái) CE 設(shè)備也可以連接屬于相同或不同服務(wù)提供商的多臺(tái) PE 設(shè)備。2能力測(cè)試：RD 和 RT 的作用是什么？MPLS跨域有哪些方式？MCE 實(shí)現(xiàn)原理是什么？MPLS 無(wú)縫地集成了 IP 路由技術(shù)的靈活性和 ATM交換技術(shù)的簡(jiǎn)捷性。MPLS 在無(wú)連接的 IP

5、網(wǎng)絡(luò)中增加了面向連接的控制平面，為 IP 網(wǎng)絡(luò)增添了管理和運(yùn)營(yíng)段。因此，使用基于 MPLS 的 IP 網(wǎng)絡(luò)作為骨干網(wǎng)的（MPLS）成為在 IP 網(wǎng)絡(luò)運(yùn)營(yíng)商提供增值業(yè)務(wù)的重要，越來(lái)越被運(yùn)營(yíng)商看好。BGP 與 IGP 不同，其著眼點(diǎn)不在于發(fā)現(xiàn)和計(jì)算路由，而在于控制路由的和選擇最佳路由。本身就是利用公共網(wǎng)絡(luò)傳遞數(shù)據(jù)，而公共網(wǎng)絡(luò)通常已經(jīng)應(yīng)用 IGP 發(fā)現(xiàn)和計(jì)算自身的路由。構(gòu)建路由。的關(guān)鍵在于控制路由的，及如何在兩個(gè) PE 之間選擇最佳的BGP 使用 TCP 作為其傳輸層協(xié)議（端179），提高了協(xié)議的可靠性?？梢岳眠@一點(diǎn)路由。來(lái)進(jìn)行跨N的兩個(gè) PE 設(shè)備之間交換BGP 可以承載附加在路由后的任何信息，

6、作為可選的 BGP 屬性，任何不了解這些屬性的N都將透明的轉(zhuǎn)發(fā)它們。這為在 PE 間路由更新時(shí)，BGP 只發(fā)送更新的路由，減少了路由提供了便利。路由所占用的帶寬，提供了在公共網(wǎng)絡(luò)上大量的路由的可能。BGP 是一種外部網(wǎng)關(guān)協(xié)議（EGP），因此實(shí)現(xiàn)跨運(yùn)營(yíng)商的更加容易。15.2BGP/MPLS IP基本概念15.2.1站點(diǎn)（Site）在介紹時(shí)經(jīng)常會(huì)提到“Site”，Site（站點(diǎn)）的含義可以從下述幾個(gè)方面理解：Site 是指相互之間具備 IP 連通性的一組 IP 系統(tǒng)，并且，這組 IP 系統(tǒng)的 IP 連通性不需通過(guò)服務(wù)提供商網(wǎng)絡(luò)實(shí)現(xiàn)。Site 的劃分是根據(jù)設(shè)備的拓?fù)潢P(guān)系，而不是地理位置，盡管在大多數(shù)

7、情況下一個(gè) Site中的設(shè)備地理位置相鄰。地理位置的兩組 IP 系統(tǒng)，如果它們使用專(zhuān)線(xiàn)互聯(lián)，不需要通過(guò)服務(wù)提供商網(wǎng)絡(luò)就可以互通，那么這兩組 IP 系統(tǒng)也組成一個(gè) Site。一個(gè) Site 中的設(shè)備可以屬于多個(gè)。Site 通過(guò) CE 連接到服務(wù)提供商網(wǎng)絡(luò)，一個(gè) Site 可以包含多個(gè) CE，但一個(gè) CE 只屬于一個(gè) Site。根據(jù) Site 的情況，建議 CE 設(shè)備選擇方案如下：如果 Site 只是一臺(tái)主機(jī)，則這臺(tái)主機(jī)就作為 CE 設(shè)備；如果 Site 是個(gè)子網(wǎng)，則使用交換機(jī)作為 CE 設(shè)備；如果 Site 是多個(gè)子網(wǎng)，則使用路由器作為 CE 設(shè)備。對(duì)于多個(gè)連接到同一服務(wù)提供商網(wǎng)絡(luò)的 Sites

8、，通過(guò)制定策略，可以將它們劃分為不同的集合（set），只有屬于相同集合的 Sites 之間才能通過(guò)服務(wù)提供商網(wǎng)絡(luò)互訪，這種集合就是。315.2.2實(shí)例實(shí)例（-instance）也稱(chēng)為路由轉(zhuǎn)VRF（Routing and Forwardingtable）。PE 上存在多個(gè)路由轉(zhuǎn)，包括一個(gè)公網(wǎng)路由轉(zhuǎn)，以及一個(gè)或多個(gè)路由轉(zhuǎn)。也就是說(shuō)，PE 上存在多個(gè)實(shí)例，包括一個(gè)公網(wǎng)實(shí)例和一個(gè)或多個(gè)實(shí)例。公網(wǎng)路由轉(zhuǎn)與路由轉(zhuǎn)的不同在于：公網(wǎng)路由表包括所有 PE 和 P 路由器的 IPv4 路由，由骨干網(wǎng)的路由協(xié)議或靜態(tài)路由產(chǎn)生。路由表包括屬于該實(shí)例的所有 site 的路由，通過(guò) CE 與 PE 之間或者兩個(gè) PE之間

9、的公網(wǎng)轉(zhuǎn)路由信息交互獲得。是根據(jù)路由管理策略從公網(wǎng)路由表提取出來(lái)的最小轉(zhuǎn)發(fā)信息；而轉(zhuǎn)發(fā)表是根據(jù)路由管理策略從對(duì)應(yīng)的路由表提取出來(lái)的最小轉(zhuǎn)發(fā)信息?？梢钥闯?，PE 上的各實(shí)例之間相互獨(dú)立，并與公網(wǎng)路由轉(zhuǎn)相互獨(dú)立?？梢詫⒚總€(gè)的接口。實(shí)例看作一臺(tái)虛擬的路由器：獨(dú)立的地址空間、有連接到該路由器在 RFC2547（BGP/MPLSs）中，實(shí)例被稱(chēng)為 per-site forwarding table，顧名思義，實(shí)例與 site 對(duì)應(yīng)。更準(zhǔn)確的描述是：每條 CE 與 PE 的連接對(duì)應(yīng)一個(gè)實(shí)例（但不是實(shí)例和 PE 上與 CE 直接相連的接口關(guān)聯(lián)一一對(duì)應(yīng)關(guān)系），實(shí)現(xiàn)這種對(duì)應(yīng)關(guān)系的方法是將（或稱(chēng)為綁定），這需要手

10、工設(shè)置。實(shí)例通過(guò)路由標(biāo)識(shí)符 RD（Route Distinguisher）實(shí)現(xiàn)地址空間獨(dú)立，通過(guò)屬性實(shí)現(xiàn)直連 site 的成員關(guān)系和路由規(guī)則控制。15.2.3、Site 和實(shí)例的關(guān)系實(shí)例、Site、之間的關(guān)系如下：是多個(gè) Site 的組合。一個(gè) Site 可以屬于多個(gè)。每一個(gè) Site 在 PE 上都關(guān)聯(lián)一個(gè)成員關(guān)系和路由規(guī)則。多個(gè) Site 根據(jù)實(shí)例。實(shí)例綜合了它所關(guān)聯(lián)的 Site 的實(shí)例的規(guī)則組一個(gè)。實(shí)例與不是一一對(duì)應(yīng)的關(guān)系。15.2.4地址空間PE 從 CE 接收到私網(wǎng)路由后，需要將這些路由發(fā)布給其他 PE。是一種私有網(wǎng)絡(luò)，不同的獨(dú)立管理自己的地址范圍，也稱(chēng)為地址空間（addresssp

11、ace）。不同的地址空間可能會(huì)在一定范圍內(nèi)重合，例如，1 和2 都使用10.110.10.0/24 網(wǎng)段地址，這就發(fā)生了地址空間的（address spaoverlap）。以下兩種情況允許使用的地址空間：4沒(méi)有共同的 site；有共同的 site，但此 site 中的設(shè)備不與兩個(gè)兩個(gè)兩個(gè)中使用地址空間的設(shè)備互訪。15.2.5-IPv4 地址傳統(tǒng) BGP 無(wú)法正確處理地址空間的的路由。假設(shè)1 和2 都使用了的路由之間不進(jìn)10.110.10.0/24 網(wǎng)段的地址，并各自發(fā)布了一條去往此網(wǎng)段的路由。不同行負(fù)載分擔(dān)，因此 BGP 根據(jù)自己的選路規(guī)則只選擇其中一條路由，從而導(dǎo)致去往另一個(gè)的路由丟失。產(chǎn)生

12、上述問(wèn)題的原因是 BGP 無(wú)法區(qū)分不同中相同的 IP 地址前綴，為解決這一問(wèn)題，BGP/MPLS IP使用了-IPv4 地址族。-IPv4 地址共有 12 個(gè)字節(jié)，包括 8 字節(jié)的路由標(biāo)識(shí)符 RD（Route Distinguisher）和 4字節(jié)的 IPv4 地址前綴，如圖 15-2-1 所示。圖 15-2-1-IPv4 地址結(jié)構(gòu)增加了 RD 的 IPv4 地址稱(chēng)為-IPv4 地址。PE 從 CE 接收到 IPv4 路由后，轉(zhuǎn)換為全局-IPv4 路由，并在公網(wǎng)上發(fā)布。RD 為零的-IPv4 地址相當(dāng)于普通 IPv4 地址。唯一的15.2.6RD如圖 15-2-1 所示，RD 有兩種格式：Ty

13、pe 為 0 時(shí)，Administrator 子字段占 2 字節(jié)，Assigned Number 子字段占 4 字節(jié)。其中，Administrator 子字段是 16bits 自治系統(tǒng)號(hào)；Assigned Number 子字段是 32bits 用戶(hù)自定義數(shù)字。Type 為 1 時(shí)，Administrator 子字段占 4 字節(jié)，Assigned Number 子字段占 2 字節(jié)。其中，Administrator 子字段是 32bits IPv4 地址；Assigned Number 子字段是 16bits 用戶(hù)自定義數(shù)字。RD 用于區(qū)分使用相同地址空間的 IPv4 前綴。RD 的結(jié)構(gòu)使得每個(gè)服

14、務(wù)供應(yīng)商可以獨(dú)立地分配 RD，但為了在 CE 雙歸屬的情況下保證路由正常，必須保證 RD 全局唯一。5說(shuō)明：配置 RD 時(shí)，只需要指定 RD 的Administrator 子字段和 Assigned Number 子字段。RD 的配置格式有兩種：16bits 自治系統(tǒng)號(hào):32bits 用戶(hù)自定義數(shù)字（例如：100:1）。32bits IPv4 地址:16bits 用戶(hù)自定義數(shù)字（例如：172.1.1.1:1）。如果 RD 非全局唯一，在 CE 雙歸屬的情況下將不能正確路由。15.2.7BGP/MPLS IP使用 32 位的 BGP 擴(kuò)展團(tuán)體屬性（也稱(chēng)為 Route）來(lái)控制每個(gè)路由信息的發(fā)布。實(shí)

15、例關(guān)聯(lián)一個(gè)或多個(gè)屬性。有兩類(lèi)屬性：IPv4 路由，并Export：本地 PE 從直接相連 site 學(xué)到 IPv4 路由后，轉(zhuǎn)換為為這些路由設(shè)置 Export由發(fā)布。屬性。Export屬性作為 BGP 的擴(kuò)展團(tuán)體屬性隨路Import：PE 收到其它 PE 發(fā)布的-IPv4 路由時(shí)，檢查其Export屬性。當(dāng)此屬性與 PE 上某個(gè)實(shí)例的路由表。實(shí)例的 Import匹配時(shí)，PE 就把路由加入到該路由可以為哪些 Site 所接收，以及 PE 可以也就是說(shuō)，屬性定義了一條接收哪些 Site 發(fā)送來(lái)的路由。當(dāng)收到直連 CE 傳過(guò)來(lái)的路由時(shí)，PE 將該路由與一個(gè)或多個(gè)Export屬性關(guān)聯(lián)。Export屬性

16、將和-IPv4 路由一起由 BGP 發(fā)布給其他相關(guān)的 PE。當(dāng)這些相關(guān)的 PE 收到該-IPv4 路由時(shí)，將其 Export較。如果相等，就將該路由注入到該屬性與本設(shè)備所有的路由表。實(shí)例的 Import屬性值比15.3Hub and Spoke如果希望在中設(shè)置中心控制設(shè)備，其它用戶(hù)的互訪都通過(guò)中心控制設(shè)備進(jìn)行，可以使用 Hub & Spoke 組網(wǎng)方案。其站點(diǎn)側(cè)接入心控制設(shè)備所在站點(diǎn)稱(chēng)為 Hub 站點(diǎn)，其他用戶(hù)站點(diǎn)稱(chēng)為 Spoke 站點(diǎn)。Hub骨干網(wǎng)的設(shè)備叫Hub-CE；Spoke 站點(diǎn)側(cè)接入骨干網(wǎng)的設(shè)備叫Spoke-CE。骨干網(wǎng)側(cè)接入Hub 站點(diǎn)的設(shè)備叫 Hub-PE，接入 Spoke 站點(diǎn)

17、的設(shè)備叫 Spoke-PE。Spoke 站點(diǎn)需要把路由發(fā)布給Hub 站點(diǎn)，再通過(guò) Hub 站點(diǎn)發(fā)布給其他 Spoke 站點(diǎn)。Spoke站點(diǎn)之間不直接通過(guò)路由。Hub 站點(diǎn)對(duì) Spoke 站點(diǎn)之間的通訊進(jìn)行集中控制。對(duì)于這種組網(wǎng)情況，需要設(shè)置兩個(gè)，一個(gè)表示“Hub”，另一個(gè)表示“Spoke”。設(shè)置規(guī)則為：各 Site 在 PE 上的實(shí)例的連接 Spoke 站點(diǎn)的 PE（Spoke-PE）：Export為“Spoke”，Import為“Hub”；連接 Hub 站點(diǎn)的 PE（Hub-PE）：收 Spoke-PE 發(fā)來(lái)的路由，其Hub-PE 上需要使用兩個(gè)接口或子接口，一個(gè)用于接實(shí)例的 Import為

18、“Spoke”；另一個(gè)用于向Spoke-PE 發(fā)布路由，其實(shí)例的 Export為“Hub”。6圖 15-3-1 Hub & Spoke 組網(wǎng)Site2 到Site1 的路由發(fā)布途徑在圖 15-3-1 中，Spoke 站點(diǎn)之間的通信通過(guò)Hub 站點(diǎn)進(jìn)行（圖中箭頭所示為 Site2 的路由向 Site1 的發(fā)布過(guò)程）：Hub-PE 能夠接收所有 Spoke-PE 發(fā)布的-IPv4 路由；Hub-PE 發(fā)布的-IPv4 路由能夠?yàn)樗?Spoke-PE 接收；Hub-PE 將從 Spoke-PE 學(xué)到的路由發(fā)布給 Spoke-CE，并將從 Hub-CE 學(xué)到的路由發(fā)布給所有 Spoke-PE。因此，

19、Spoke 站點(diǎn)之間可以通過(guò) Hub 站點(diǎn)互訪。任意 Spoke-PE 的 Import屬性不與其它 Spoke-PE 的 Export屬性相同。因此，任意兩個(gè) Spoke-PE 之間不直接發(fā)布訪。-IPv4 路由，Spoke 站點(diǎn)之間不能直接互圖 15-3-1 中的 Site1 和 Site2 之間通訊數(shù)據(jù)的傳輸路徑請(qǐng)參見(jiàn)圖 15-3-2（圖中箭頭所示為數(shù)據(jù)傳輸方向）。7圖 15-3-2 Site1 到Site2 的數(shù)據(jù)傳輸途徑15.4跨域隨著 MPLS解決方案的廣泛應(yīng)用，國(guó)內(nèi)運(yùn)營(yíng)商的不同城域網(wǎng)之間，或相互協(xié)作的不同運(yùn)營(yíng)商的骨干網(wǎng)之間都存在著不同自治域的情況。一般的 MPLS體系結(jié)構(gòu)都是在一

20、個(gè)自治系統(tǒng)內(nèi)運(yùn)行，任何的路由信息都是可以在一個(gè)自治系統(tǒng)內(nèi)按需擴(kuò)散，沒(méi)有提供自治系統(tǒng)內(nèi)的信息向其他自治系統(tǒng)擴(kuò)散的功能。因此，為了支持運(yùn)營(yíng)商之間的路由選擇信息交換，就需要擴(kuò)展現(xiàn)有的協(xié)議和修改 MPLS體系框架，提供一個(gè)不同于基本的 MPLS體系結(jié)構(gòu)所提供的互連模型跨域（ er-AS）的 MPLS，以便可以穿過(guò)運(yùn)營(yíng)商間的鏈路來(lái)發(fā)布路由前綴和信息。RFC2547bis 中提出了三種跨域解決方案，分別是：跨域 間通過(guò)跨域 發(fā)布跨域-OptionA（rovider Backbones Option A）方式：需要跨域的在ASBR的接口管理自己的路由，也稱(chēng)為 VRF-to-VRF；-OptionB（rovi

21、der Backbones Option B）方式：ASBR 間通過(guò) MP-EBGP-IPv4 路由，也稱(chēng)為 EBGP redistribution of labeled-IPv4 routes；-OptionC（rovider Backbones Option C）方式：PE 間通過(guò) Multi-hop-IPv4 路由，也稱(chēng)為 Multihop EBGP redistribution of labeledMP-EBGP 發(fā)布-IPv4 routes。15.4.1跨域-OptionA 方式8跨域-OptionA 實(shí)際是基本BGP/MPLS IP在跨域環(huán)境下的應(yīng)用，不需要專(zhuān)門(mén)配置。這種方式下，兩

22、個(gè) AS 的邊界路由器 ASBR 直接相連，ASBR 同時(shí)也是各自所在自治系統(tǒng)的PE（這里被稱(chēng)為 ASBR PE）。兩個(gè) ASBR PE 都把對(duì)端 ASBR PE 看作自己的 CE 設(shè)備，使用EBGP 方式端發(fā)布 IPv4 路由。VRF-to-VRF 方式實(shí)現(xiàn)跨域需要為跨域進(jìn)行特殊配置。的優(yōu)點(diǎn)是簡(jiǎn)單：ASBR PE 之間不需要運(yùn)行 MPLS，也不缺點(diǎn)是可擴(kuò)展性差：ASBR PE 需要管理所有路由，為每個(gè)創(chuàng)建實(shí)例。這將導(dǎo)致 PE 上的-IPv4 路由數(shù)量過(guò)大。并且，由于 ASBR PE 間是普通的 IP 轉(zhuǎn)發(fā)，要求為每個(gè)跨域的使用不同的接口（可以是子接口、物理接口、的邏輯接口），從而提高了業(yè)務(wù)，

23、不僅配置量大，而且對(duì) PE 設(shè)備的要求。如果多個(gè)自治域，中間域必須支持對(duì)中間域影響大。在需要跨域的數(shù)量比較少的情況，可以考慮使用。15.4.2-OptionB 方式跨域跨域-OptionB 中，兩個(gè) ASBR 通過(guò) MP-EBGP 交換它們從各自 AS 的 PE 路由器接收-IPv4 路由。的路由發(fā)布過(guò)程如下：1.AS100 內(nèi)的PE 先通過(guò)MP-IBGP 方式把-IPv4 路由發(fā)布給AS100 的ASBR PE，或發(fā)布給為 PE 反射路由的路由反射器 RR（Route Reflector）。2.3.ASBR-PE1 通過(guò) MP-EBGP 方式把ASBR-PE2 再通過(guò) MP-IBGP 方式把

24、布給為 PE 反射路由的路由反射器。-IPv4 路由發(fā)布給 ASBR-PE2。-IPv4 路由發(fā)布給 AS200 內(nèi)的 PE，或發(fā)9圖 15-4-1 ASBR 間通過(guò)跨域-OptionB 方式發(fā)布-IPv4 路由組網(wǎng)圖跨域-OptionB 方案中，ASBR 接收本域內(nèi)和域外傳過(guò)來(lái)的所有跨域的路由，再-把發(fā)布出去。但 MPLS的基本實(shí)現(xiàn)中，PE 上只保存與本地實(shí)例的路由。因此，如果 ASBR 上沒(méi)有配置對(duì)應(yīng)的相匹配的實(shí)例，可采取以下三種方法：ASBR 對(duì)-IPv4 路由進(jìn)行特殊處理，讓 ASBR 把收到的路由全部的保存下來(lái)，而不管本地是否有和它匹配的采用該方案時(shí)，需要注意：實(shí)例。ASBR 之間不

25、對(duì)接收的-IPv4 路由進(jìn)行過(guò)濾，因此，交換-IPv4 路由的各 AS 服務(wù)提供商之間需要就這種路由交換達(dá)成信任協(xié)議；-IPv4 路由交換僅發(fā)生在私網(wǎng)對(duì)等點(diǎn)之間，不能與公網(wǎng)交換-IPv4 路由，也不能與沒(méi)有達(dá)成信任協(xié)議的 MP-EBGP 對(duì)等體交換-IPv4 路由。這種方案的優(yōu)點(diǎn)是所有的流量都經(jīng)過(guò) ASBR 轉(zhuǎn)發(fā)，流量的可控性較好，但 ASBR 的負(fù)擔(dān)重。使用 BGP 路由策略（如對(duì) RT 的過(guò)濾）控制在 ASBR 上配置需要通過(guò)該 ASBR 傳遞路由的-IPv4 路由信息的收發(fā)。實(shí)例，但不綁定任何接口。與 Option A 相比，不受 ASBR 之間互連鏈路數(shù)目的限制。此方案也有局限性：的路

26、由信息是通過(guò) AS 之間的 ASBR 路由器來(lái)保存和擴(kuò)散的，10當(dāng)路由較多時(shí)，ASBR 負(fù)擔(dān)重，容易成為故障點(diǎn)。因此在 MP-EBGP 方案中，需要路由信息的 ASBR 一般不再負(fù)責(zé)公網(wǎng) IP 轉(zhuǎn)發(fā)。15.4.3跨域-OptionC 方式前面介紹的兩種方式都能夠滿(mǎn)足跨域的組網(wǎng)需求，但這兩種方式也都需要 ASBR 參與-IPv4 路由的和發(fā)布。當(dāng)每個(gè) AS 都有大量的路由需要交換時(shí)，ASBR 就很可能成為阻礙網(wǎng)絡(luò)進(jìn)一步擴(kuò)展的瓶頸。解決上述問(wèn)題的方案是：ASBR 不路由?；虬l(fā)布-IPv4 路由，PE 之間直接交換-IPv4ASBR 通過(guò) MP-IBGP 向各自 AS 內(nèi)的 PE 路由器發(fā)布IPv4

27、 路由，并將到達(dá)本 AS內(nèi) PE 的也通告帶IPv4 路由通告給它在對(duì)端AS 的 ASBR 對(duì)等體，過(guò)渡自治系統(tǒng)中的 ASBR的 IPv4 路由。這樣，在PE 和出口 PE 之間建立一條 LDP LSP；不同 AS 的 PE 之間建立 Multihop 方式的 EBGP 連接，交換-IPv4 路由；ASBR 上不保存-IPv4 路由，相互之間也不通告-IPv4 路由?？缬?OptionC 組網(wǎng)方案有如下優(yōu)勢(shì)：路由在PE 和出口 PE 之間直接交互，不需要中間設(shè)備的保存和轉(zhuǎn)發(fā)。的路由信息只出現(xiàn)在 PE 設(shè)備上，而 P 和 ASBR 路由器只負(fù)責(zé)報(bào)文的轉(zhuǎn)發(fā)，使得中間域的設(shè)備可以不支持 MPLS業(yè)務(wù)

28、，只需支持 IP 轉(zhuǎn)發(fā)，ASBR 設(shè)備不再成為性能瓶頸。因此跨域更適合支持 MPLS-OptionC 更適合在的負(fù)載分擔(dān)。多個(gè) AS 時(shí)使用。15.5Ho15.5.1Ho的產(chǎn)生在 BGP/MPLS IP中，PE 設(shè)備最為關(guān)鍵，它完成兩方面的功能：為用戶(hù)提供接入功能，這需要 PE 具有大量接口；管理和發(fā)布路由，處理用戶(hù)報(bào)文，這需要 PE 設(shè)備具有大容量?jī)?nèi)存和高轉(zhuǎn)發(fā)能力。目前的網(wǎng)絡(luò)設(shè)計(jì)大多采用經(jīng)典的分層結(jié)構(gòu)，例如，城域網(wǎng)的典型結(jié)構(gòu)是三層模型層、匯聚層、接入層。從而 BGP/MPLS IP層到接入層，對(duì)設(shè)備的性能要求依次下降，網(wǎng)絡(luò)規(guī)模則依次擴(kuò)大。是一種平面模型，對(duì)網(wǎng)絡(luò)中所有 PE 設(shè)備的性能要求相同

29、，當(dāng)網(wǎng)絡(luò)中某些 PE 在性能和可擴(kuò)展性方面存在問(wèn)題時(shí)，整個(gè)網(wǎng)絡(luò)的性能和可擴(kuò)展性將受到影響。由于 BGP/MPLS IP的平面模型與典型的分層網(wǎng)絡(luò)模型不相符，在每一個(gè)層次上部署PE 都會(huì)遇到擴(kuò)展性問(wèn)題，不利于大規(guī)模部署為解決可擴(kuò)展性問(wèn)題，BGP/MPLS IP。必然要從平面模型轉(zhuǎn)變?yōu)榉謱幽Ｐ?。）解決方案將 PE 的功能分布到多個(gè) PE 設(shè)備11分層（Hierarchy of，簡(jiǎn)稱(chēng) Ho上，多個(gè) PE 承擔(dān)不同的角色，并形成層次結(jié)構(gòu)，共同完成一個(gè) PE 的功能。因此，這種解決方案有時(shí)也被稱(chēng)為分層 PE（Hierarchy of PE，HoPE）。Ho對(duì)處于較次的設(shè)備的路由能力和轉(zhuǎn)發(fā)性能要求較高，而

30、對(duì)處于較低層次的設(shè)備的相應(yīng)要求也較低，符合典型的分層網(wǎng)絡(luò)模型。15.5.2Ho的基本結(jié)構(gòu)圖 15-5-1 Ho的基本結(jié)構(gòu)在圖 15-5-1 中，直接連接用戶(hù)的設(shè)備稱(chēng)為下層 PE（UnderlayE）或用戶(hù)側(cè) PE（UserendPE），簡(jiǎn)稱(chēng) UPE；連結(jié) UPE 并位于網(wǎng)絡(luò)的設(shè)備稱(chēng)為上層 PE（Superstratum PE）或運(yùn)營(yíng)商側(cè) PE（Service Provider-end PE），簡(jiǎn)稱(chēng) SPE。 SPE 與 UPE 的關(guān)系是：UPE 主要完成用戶(hù)接入功能。UPE其直接相連的site 的路由，但不中其它遠(yuǎn)端 site 的路由或僅它們的聚合路由；UPE 為其直接相連的 site 的路由

31、分配內(nèi)層，并通過(guò) MP-BGP 隨路由發(fā)布此給 SPE；SPE 主要完成路由的管理和發(fā)布。SPE其通過(guò) UPE 連接的所有路由，包括本地和遠(yuǎn)端 site 的路由，但 SPE 不發(fā)布遠(yuǎn)端 site 的路由給 UPE，只發(fā)布實(shí)例的缺省路由或聚合路由，并攜帶；12UPE 和 SPE 之間采用轉(zhuǎn)發(fā)，只需要一個(gè)接口連接，SPE 不需要使用大量接口來(lái)接入用戶(hù)。UPE 和 SPE 之間的接口可以是物理接口、子接口（如 VLAN，PVC）或隧道接口（如 GRE、LSP）。采用隧道接口時(shí)，SPE 和 UPE 之間可以相隔一個(gè) IP 網(wǎng)絡(luò)或MPLS 網(wǎng)絡(luò)，UPE 或 SPE 發(fā)出的支持對(duì) MPLS 報(bào)文的封裝。報(bào)

32、文經(jīng)過(guò)隧道傳遞。如果是 GRE 隧道，要求 GRE由于分工的不同，對(duì) SPE 和 UPE 的要求也不同：SPE 的路由表容量大，轉(zhuǎn)發(fā)性能強(qiáng)，但接口資源較少；UPE 的路由容量和轉(zhuǎn)發(fā)性能較低，但接入能力強(qiáng)。需明的是，SPE 和 UPE 是相對(duì)的。在多個(gè)層次的 PE 結(jié)構(gòu)中，上層 PE 相對(duì)于下層就是 SPE，下層 PE 相對(duì)于上層就是 UPE。分層式 PE 可以和普通 PE 共存于一個(gè) MPLS 網(wǎng)絡(luò)。15.5.3SPE-UPESPE 和 UPE 之間運(yùn)行 MP-BGP，根據(jù) UPE 和 SPE 是否屬于同一個(gè) AS，可以是 MP-IBGP，也可以是 MP-EBGP。采用 MP-IBGP 時(shí)，為

33、了在 IBGP 對(duì)等體之間通告路由，SPE 可以作為多個(gè) UPE 的路由反射器。SPE 作為 UPE 的路由反射器時(shí)，為了減少 UPE 上的路由條數(shù)，建議 SPE 不再作為其它PE 的路由反射器。15.5.4Ho的優(yōu)勢(shì)Ho組網(wǎng)方案具有以下優(yōu)勢(shì)：BGP/MPLS可以逐層部署。當(dāng) UPE 的性能不夠的時(shí)候，可以添加一個(gè) SPE，將UPE 的位置下移。當(dāng) SPE 的接入能力的時(shí)候，可以為其添加 UPE。UPE 和 SPE 之間采用資源。轉(zhuǎn)發(fā)，因而只需要一個(gè)(子)接口相互連接，節(jié)約有限的接口若 UPE 和 SPE 之間相隔一個(gè) IP/MPLS 網(wǎng)絡(luò)，采用 GRE 或 LSP 等隧道連接。在分層部署 M

34、PLSUPE 上只需時(shí)，有良好的可擴(kuò)展性。本地接入的路由，所有遠(yuǎn)端路由都用一條缺省或聚合路由替代，大大減輕了 UPE 的負(fù)擔(dān)。SPE 和 UPE 通過(guò)動(dòng)態(tài)路由協(xié)議 MP-BGP 交換路由、發(fā)布一個(gè) MP-BGP 對(duì)等體，協(xié)議開(kāi)銷(xiāo)小，配置工作量小。每一個(gè) UPE 只要運(yùn)行1315.6OSPF 偽連接15.6.1Sham link 的產(chǎn)生通常情況下，BGP 對(duì)等體之間通過(guò) BGP 擴(kuò)展團(tuán)體屬性在 MPLS骨干網(wǎng)上承載路由信息。另一端 PE 上運(yùn)行的OSPF 可利用這些信息來(lái)生成 PE 到 CE 的 Type-3 LSA，這些路由是區(qū)域間路由。如圖 15-6-1 所示：在 OSPF 的 PE-CE

35、連接中，同一個(gè) OSPF 區(qū)域中有兩個(gè) site 連接到不同的 PE，兩個(gè) site 屬于同一個(gè)，它們之間存在一條區(qū)域內(nèi)OSPF 鏈路（backdoor link）?？梢詫⑦@兩個(gè) site 看成是一個(gè) site（多歸屬）。這種情況下，通過(guò) PE 連接兩個(gè) site 的路由將作為區(qū)域間路由（ er-Area Route），其優(yōu)先級(jí)低于經(jīng)過(guò) backdoor 鏈路的區(qū)域內(nèi)路由（ ra-Area Route），不被 OSPF 優(yōu)選。圖 15-6-1 Sham link 應(yīng)用示意圖上述情況導(dǎo)致流量總是通過(guò)后門(mén)路由轉(zhuǎn)發(fā)，而不走骨干網(wǎng)。為了避免這一問(wèn)題，可以在PE 設(shè)備之間建立OSPF 偽連接（Sham

36、link），使經(jīng)過(guò)MPLS區(qū)域內(nèi)路由。骨干網(wǎng)的路由也成為OSPF15.6.2Sham link 的實(shí)現(xiàn)Sham link 作為區(qū)域內(nèi)的一條點(diǎn)到點(diǎn)鏈路，包含在 Type1 LSA 中發(fā)布。用戶(hù)可以通過(guò)調(diào)整度量值在 Sham link 和 backdoor 之間進(jìn)行選路。Sham link 被看成是兩個(gè)的端點(diǎn)地址，它是 PE 設(shè)備上實(shí)例之間的鏈路，每個(gè)實(shí)例中必須有一個(gè) Sham link地址空間中的一個(gè)有 32 位掩碼的 Loack 接口地址。同一個(gè) OSPF 進(jìn)程的多條 Sham link 可以共用端點(diǎn)地址，但不同OSPF 進(jìn)程不能擁有兩條端點(diǎn)地14址完全相同的 Sham link。Sham l

37、ink 的端點(diǎn)地址被 BGP 作為-IPv4 地址發(fā)布。如果路由經(jīng)過(guò)了 Sham link，它就不能再以-IPv4 路由的形式被引入到 BGP。15.6.3Sham link 的路由發(fā)布過(guò)程Sham link 在兩個(gè) PE 之間建立起來(lái)后，這兩個(gè) PE 將成為 Sham link 鄰居，交互 LSDB。此時(shí)骨干網(wǎng)將被看成是點(diǎn)到點(diǎn)的區(qū)域鏈路，PE 通過(guò)其發(fā)布 Type1 LSA。此時(shí)，Sham link 中的路由發(fā)布過(guò)程如圖 15-6-2。其中，Adv 表示路由發(fā)布者（Advertiser）；D 表示報(bào)文的目的地址，Cost 表示 Sham link 的路由開(kāi)銷(xiāo)。圖 15-6-2 Sham li

38、nk 路由發(fā)布從圖 15-6-2 可以看出，Sham link 路由發(fā)布整個(gè)過(guò)程，LSA 的類(lèi)型、發(fā)布者及 Cost 值始終不變，相當(dāng)于 LSA 從 PE1 透明傳送到 PE2。15.7Multi-Instance CE15.7.1Multi-Instance CE 的產(chǎn)生單純使用傳統(tǒng)路由器很難實(shí)現(xiàn)局域網(wǎng)中不同業(yè)務(wù)的完全。目前，局域網(wǎng)不同業(yè)務(wù)的隔離一般是通過(guò)交換機(jī)的 VLAN 功能實(shí)現(xiàn)的。但交換機(jī)的路由功能相對(duì)較弱。因此，為了保證局域網(wǎng)的安全并提高局域網(wǎng)的路由能力，需要同時(shí)布置路由器和交換機(jī)，這對(duì)小網(wǎng)絡(luò)而言15說(shuō)明：如果把Sham link 看成一條鏈路，則Sham link 的路由開(kāi)銷(xiāo)相當(dāng)于

39、該鏈路接口的 OSPF 路由開(kāi)銷(xiāo)。為了使 流量通過(guò) MPLS 骨干網(wǎng)轉(zhuǎn)發(fā)，Sham link 的路由開(kāi)銷(xiāo)應(yīng)小于 backdoor 鏈路的 OSPF路由 OSPF 路由開(kāi)銷(xiāo)。是不經(jīng)濟(jì)的。在一臺(tái)路由器上運(yùn)行多個(gè) OSPF 進(jìn)程，將不同的進(jìn)程綁定到不同的實(shí)例。就像在 PE上使用 OSPF 多實(shí)例一樣，在 CE 通過(guò)為不同的業(yè)務(wù)建立各自的OSPF 實(shí)例，相當(dāng)于不同的業(yè)務(wù)使用不同的虛擬 CE 設(shè)備。這樣，可以用較低成本實(shí)現(xiàn)不同業(yè)務(wù)的，保證各自的安全性。OSPF 多實(shí)例通常運(yùn)行在 PE 設(shè)備上，在用戶(hù)局域網(wǎng)運(yùn)行 OSPF 多實(shí)例的設(shè)備稱(chēng)為Multi-Instance CE，即多實(shí)例 CE。與 PE 上的O

40、SPF 多實(shí)例相比，Multi-Instance CE不需要支持 BGPF 互操作功能。Multi-Instance CE 主要用于以較低的成本解決局域網(wǎng)的安全問(wèn)題。15.7.2MCE 實(shí)現(xiàn)原理Multi-Instance CE 的實(shí)現(xiàn)原理較簡(jiǎn)單，就是在同一臺(tái) CE 和 PE 設(shè)備上實(shí)現(xiàn)不同的OSPF 多實(shí)例。關(guān)鍵的實(shí)現(xiàn)在于路由環(huán)的檢查，直接進(jìn)行路由計(jì)算。通常情況下，如果 PE-CE 之間運(yùn)行 OSPF，則 PE 設(shè)備對(duì)接收的 Summary位檢查，以防止 PE 又從 CE 學(xué)到發(fā)出的 LSA 而引起環(huán)路。但在運(yùn)行 OSPF PE 設(shè)備上，對(duì)路由環(huán)的檢測(cè)反而不能正確進(jìn)行路由選路。LSA 進(jìn)行

41、DN多實(shí)例的非圖 15-7-1 MCE 進(jìn)行環(huán)路檢測(cè)的情況如圖 15-7-1 所示，PE2 向 MCE 發(fā)布的OSPF Type3 LSA 時(shí)，由于使用 OSPF 多實(shí)例發(fā)布，該 3 類(lèi) LSA 中的 DN 被置位。當(dāng) MCE 收到該 LSA 時(shí)，發(fā)現(xiàn)其 DN 位置位，就會(huì)忽略該 LSA，不使用它來(lái)進(jìn)行路由計(jì)算。這樣，MCE 上就沒(méi)有到 CE1 站點(diǎn)的路由。如果在 MCE 上路由環(huán)的檢查，對(duì) PE2 來(lái)的 3 類(lèi)LSA，不管其 DN 位是否置位，都使用它來(lái)進(jìn)行路由計(jì)算。這樣，MCE 就可以正確接收來(lái)自 CE1 站點(diǎn)的路由。1615.8與ernet 互聯(lián)一般內(nèi)的用戶(hù)只能相互通信，不能與ernet

42、 用戶(hù)通信，也不能接入ernet。但的各個(gè) Site 可能有為了實(shí)現(xiàn)ernet 的需要，因此需要實(shí)現(xiàn)ernet 互聯(lián)，需要滿(mǎn)足以下條件：與ernet 互聯(lián)。與ernet 的用戶(hù)設(shè)備必須有到達(dá)ernet 返回的路由。ernet 目的地址的路由。要有從如果需要公網(wǎng)的用戶(hù)的地址是私網(wǎng)地址，則需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址。像非用戶(hù)與ernet 互聯(lián)方式一樣，必須采用一定的安全機(jī)制（如使用）。有三種實(shí)現(xiàn)方法：在骨干網(wǎng)邊緣路由器 PE 側(cè)實(shí)現(xiàn)，該 PE 負(fù)責(zé)區(qū)別兩種不同的數(shù)據(jù)流，并分別轉(zhuǎn)發(fā)至及ernet。同時(shí)，在與ernet 兩個(gè)域之間提供功能。在 PE 側(cè)實(shí)現(xiàn)，與接入使用同一

43、個(gè)接口，節(jié)約接口資源，并且不同的可以共享一個(gè)公有 IP 地址；缺點(diǎn)是在 PE 上實(shí)現(xiàn)復(fù)雜，且存在安全隱患：如果 CE 使用邏輯鏈路接入 PEernet，來(lái)自ernet 的的大流量攻擊會(huì)使得 PE-CE 鏈路飽和，從而使得正常的不論 CE 使用邏輯鏈路還是物理鏈路接入 PE能受到ernet 的 DoS（Denial of Service）數(shù)據(jù)包無(wú)法傳輸。ernet，該 PE 設(shè)備都有可。在用戶(hù)側(cè)實(shí)現(xiàn)。此時(shí)，由私網(wǎng)邊緣路由器 CE 區(qū)分兩種不同的數(shù)據(jù)流，并分別引導(dǎo)兩個(gè)不同的域：一個(gè)通過(guò) PE 邊緣路由器接入內(nèi)的 ISP 路，一個(gè)通過(guò)不包含在功能。由器接入ernet。同時(shí)，CE 設(shè)備提供在用戶(hù)側(cè)實(shí)現(xiàn)

44、，其實(shí)現(xiàn)方法簡(jiǎn)單，公網(wǎng)和私網(wǎng)路由，安全可靠；但缺點(diǎn)是需使用單獨(dú)的接口，占用接口資源，并且每個(gè)都需要單獨(dú)使用一個(gè)公網(wǎng)地址。在備ernet 網(wǎng)關(guān)側(cè)實(shí)現(xiàn)。這里的ernet 網(wǎng)關(guān)是指接入ernet 的運(yùn)營(yíng)商設(shè)備，必須具用戶(hù)的 PE 設(shè)備。路由管理功能，可以是不接入任何在ernet 網(wǎng)關(guān)側(cè)實(shí)現(xiàn)，比在 PE 側(cè)實(shí)現(xiàn)安全性高，但ernet 網(wǎng)關(guān)要?jiǎng)?chuàng)建多個(gè)實(shí)例，使用負(fù)擔(dān)重。且ernet 網(wǎng)關(guān)要使用多個(gè)接口接入ernet，占用多個(gè)公有 IP 地址，每個(gè)一個(gè)接口和一個(gè)公有 IP 地址。三種與ernet 互聯(lián)的實(shí)現(xiàn)方法比較如表 15-8-1所示。17表 15-8-1 三種與ernet 互聯(lián)的實(shí)現(xiàn)方法比較實(shí)現(xiàn)方法安全

45、性使用接口使用公有 IP 地址NAT 轉(zhuǎn)換實(shí)現(xiàn)難易程度在用戶(hù)側(cè)實(shí)現(xiàn)相對(duì)較高每個(gè) 單獨(dú)使用一個(gè)接口，占用用戶(hù)接口資源每個(gè)單獨(dú)使用一個(gè)公有 IP 地址在 CE 側(cè)進(jìn)行實(shí)現(xiàn)簡(jiǎn)單在 PE 側(cè)實(shí)現(xiàn)相對(duì)較低ernet 接入與接入使用同一個(gè)接口，節(jié)約接口資源PE 上多個(gè)共用一個(gè)公有 IP 地址一般在 PE 側(cè)進(jìn)行實(shí)現(xiàn)復(fù)雜15.9BGP MPLS配置示例15.9.1配置 BGP/MPLS IP配置基本的 BGP/MPLS IP路由信息。，使兩個(gè)之間相互，在 CE 與 PE 之間配置 EBGP交換組網(wǎng)需求如圖 15-9-1，CE1、CE3 屬于-A，CE2、CE4 屬于屬性為 222:2。不同-B；-A 使用的

46、-屬性為 111:1，-B 使用的-用戶(hù)之間不能互相。18表 15-8-1 三種與ernet 互聯(lián)的實(shí)現(xiàn)方法比較實(shí)現(xiàn)方法安全性使用接口使用公有 IP 地址NAT 轉(zhuǎn)換實(shí)現(xiàn)難易程度在ernet 網(wǎng)關(guān)側(cè)實(shí)現(xiàn)相對(duì)較高每個(gè)單獨(dú)使用一 個(gè)接口 ，占 用 ernet 網(wǎng)關(guān)的接口資源每個(gè)單獨(dú)使用一個(gè)公有 IP 地址 般在ernet網(wǎng)關(guān)側(cè)進(jìn)行實(shí)現(xiàn)復(fù)雜圖 15-9-1 BGP/MPLS IP組網(wǎng)圖操作步驟1.在 MPLS 骨干網(wǎng)上配置 IGP 協(xié)議，實(shí)現(xiàn)骨干網(wǎng) PE 和P 的互通。# 配置 PE1。 system-view sysname PE1erface loack 1PE1-Lo PE1-LoPE1ack

47、1 ip address 1.1.1.9 32ack1 quiterface GigabitEthernet 1/0/2PE1-GigabitEthernet1/0/2 ip address 172.1.1.1 24PE1-GigabitEthernet1/0/2 quitPE1 firewall zone trustPE1-zone-trust adderface GigabitEthernet 1/0/2PE1-zone-trust quitPE1 ospf19PE1-ospf-1 area 0PE1-ospf-1-area-0.0.0.0 network 172.1.1.0 0.0.0.

48、255PE1-ospf-1-area-0.0.0.0 network 1.1.1.9 0.0.0.0PE1-ospf-1-area-0.0.0.0 quitPE1-ospf-1 quit# 配置 P。 system-view sysname Perface loack 1ack1 ip address 2.2.2.9 32ack1 quiterface GigabitEthernet 1/0/3P-GigabitEthernet1/0/3 ip address 172.1.1.2 24P-GigabitEthernet1/0/3 quitP firewall zone trustP-zone-

49、trust adderface GigabitEthernet 1/0/3P-zone-trust quitPerface GigabitEthernet 1/0/1P-GigabitEthernet1/0/1 ip address 172.2.1.1 24P-GigabitEthernet1/0/1 quitP firewall zone trustP-zone-trust adderface GigabitEthernet 1/0/1P-zone-trust quitP ospf#pf-1 area 0pf-1-area-0.0.0.0 network 172.1.1.0 0.0.0.25

50、5pf-1-area-0.0.0.0 network 172.2.1.0 0.0.0.255pf-1-area-0.0.0.0 network 2.2.2.9 0.0.0.0pf-1-area-0.0.0.0 quitpf-1 quit配置 PE2。 system-view sysname PE2erface loack 1PE2-Loack1 ip address 3.3.3.9 3220說(shuō)明：配置P 設(shè)備時(shí)，請(qǐng)執(zhí)行undo firewall seslink-s e check命令關(guān)閉其狀態(tài)檢測(cè)功能。PE2-LoPE2ack1 quiterface GigabitEthernet 1/0/2

51、PE2-GigabitEthernet1/0/2 ip address 172.2.1.2 24PE2-GigabitEthernet1/0/2 quitPE2 firewall zone trustPE2-zone-trust adderface GigabitEthernet 1/0/2PE2-zone-trust quitPE2 ospfPE2-ospf-1 area 0PE2-ospf-1-area-0.0.0.0 network 172.2.1.0 0.0.0.255PE2-ospf-1-area-0.0.0.0 network 3.3.3.9 0.0.0.0PE2-ospf-1-a

52、rea-0.0.0.0 quitPE2-ospf-1 quit配置完成后，PE1、P、PE2 之間應(yīng)能建立OSPF 鄰居關(guān)系，執(zhí)行 display ospf peer 命令可以看到鄰居狀態(tài)為 Full。執(zhí)行 display ip routing-table 命令可以看到 PE 之間學(xué)習(xí)到對(duì)方的Loack1 路由。以 PE1 的顯示為例：PE1 display ospf peerOSPF Pros 1 with Router ID 1.1.1.9 NeighborsArea 0.0.0.0erface 172.1.1.1(GigabitEthernet1/0/2)s neighborsRoute

53、r ID: 172.1.1.2S e: Full Mode:Nbr isAddress: 172.1.1.2Master Priority: 1MTU: 1500GR S e: NormalDR: NoneBDR: NoneDead timer due in 38 secNeighup for 00:02:44Authentication Sequence: 0 PE1 display ip routing-tableRoute Flags: R - re d, D - download to fib-Routing Tables: PublicDestinations : 9Routes :

54、 9Destination/Mask1.1.1.9/322.2.2.9/323.3.3.9/32127.0.0.0/8Proto Pre CostFlags NextHoperfaceDirect 0 OSPF OSPFDirect 00D 127.0.0.1 InLoack0101023D 172.1.1.2 GigabitEthernet1/0/2D 172.1.1.2 GigabitEthernet1/0/20D 127.0.0.1 InLoack021127.0.0.1/32172.1.1.0/24172.1.1.1/32172.1.1.2/32172.2.1.0/24Direct 0

55、Direct 0Direct 0Direct 0 OSPF0000D D DD127.0.0.1172.1.1.1127.0.0.1172.1.1.2InLoack0GigabitEthernet1/0/2InLoack0GigabitEthernet1/0/2102D 172.1.1.2 GigabitEthernet1/0/22.在 MPLS 骨干網(wǎng)上配置 MPLS 基本功能和 MPLS LDP，建立 LDP LSP。 # 配置 PE1。PE1 mpls lsr-id 1.1.1.9PE1 mplsPE1-mpls lsp-trigger allPE1-mpls quitPE1 mpls

56、ldpPE1-mpls-ldp quitPE1erface GigabitEthernet 1/0/2PE1-GigabitEthernet1/0/2 mpls PE1-GigabitEthernet1/0/2 mpls ldp PE1-GigabitEthernet1/0/2 quit# 配置 P。P mpls lsr-id 2.2.2.9P mplsP-mpls lsp-trigger allP-mpls quitP mpls ldpP-mpls-ldp quitPerface GigabitEthernet 1/0/3P-GigabitEthernet1/0/3 mplsP-Gigabi

57、tEthernet1/0/3 mpls ldpP-GigabitEthernet1/0/3 quitPerface GigabitEthernet 1/0/1P-GigabitEthernet1/0/1 mplsP-GigabitEthernet1/0/1 mpls ldpP-GigabitEthernet1/0/1 quit# 配置 PE2。PE2 mpls lsr-id 3.3.3.9PE2 mplsPE2-mpls lsp-trigger allPE2-mpls quitPE2 mpls ldp22PE2-mpls-ldp quitPE2erface GigabitEthernet 1/

58、0/2PE2-GigabitEthernet1/0/2 mpls PE2-GigabitEthernet1/0/2 mpls ldp PE2-GigabitEthernet1/0/2 quit上述配置完成后，PE1 與P、P 與 PE2 之間應(yīng)能建立 LDP 會(huì)話(huà)，執(zhí)行 display mpls ldp ses命令可以看到顯示結(jié)果中 Sus 項(xiàng)為“Operational”，即會(huì)話(huà)已經(jīng)建立。執(zhí)行 display mpls ldp lsp命令，可以看到 LDP LSP 的建立情況。以 PE1 的顯示為例：PE1 display mpls ldp sesLDP Ses(s) in Public Ne

59、tworkPeer-IDS usLAMRoleAgeKA-Sent/Rcv2.2.2.9:0Operational DUPassive 000:00:015/5TOTAL: 1 ses(s) Found.LAM : Label Advertisement ModePE1 display mpls ldp lspAge Unit : DDD:HH:MMLDP LSP Information-SNDestAddress/MaskIn/OutLabelNext-HopIn/Out- erface-1231.1.1.9/322.2.2.9/323.3.3.9/323/NULL NULL/3NULL/1

60、024127.0.0.1172.1.1.2172.1.1.2GE1/0/2/InLoop0-/GE1/0/2-/GE1/0/2-TOTAL: 3 Normal LSP(s) Found. TOTAL: 0 Liberal LSP(s) Found.A * before an LSP means the LSP is not establishedA * before a Label means the USCB or DSCB is stale3.在 PE 設(shè)備上配置# 配置 PE1。實(shí)例，將 CE 接入 PE。PE1 ip-instanceaEnter root system-instanc