華為MPLSVPN培訓(xùn)資料

華為MPLSVPN培訓(xùn)資料2024/3/11華為MPLSVPN培訓(xùn)資料學(xué)習(xí)目標(biāo)掌握MPLS的基本概念和工作過程掌握標(biāo)簽的分配和控制掌握MPLSVPN控制和轉(zhuǎn)發(fā)流程掌握MPLSVPN的配置及故障定位學(xué)習(xí)完本課程，您應(yīng)該能夠：華為MPLSVPN培訓(xùn)資料課程內(nèi)容

第一章MPLS協(xié)議第二章VPN概述第三章BGP/MPLSVPN第四章配置及排錯華為MPLSVPN培訓(xùn)資料MPLS協(xié)議起源MPLS最初是用來提高路由器的轉(zhuǎn)發(fā)速度而提出的一個協(xié)議1996年，Ipsilon公司推出了IPSwitching協(xié)議，通過標(biāo)簽交換數(shù)據(jù)包，引發(fā)了路由器技術(shù)的一次革命1997年，IETF成立了一個MPLS（Multi-ProtocolLabelSwitching）工作組，作為獨立于廠商的一系列標(biāo)準(zhǔn)的名稱Multi-Protocol 支持多種三層協(xié)議，如IP、IPv6、IPX、SNA等LabelSwitching 給報文打上標(biāo)簽，以標(biāo)簽交換取代IP轉(zhuǎn)發(fā)華為MPLSVPN培訓(xùn)資料MPLS的幾個術(shù)語（一）Label：是一個比較短的，定長的，通常只具有局部意義的標(biāo)識。FEC（ForwardingEquivalenceClass）：轉(zhuǎn)發(fā)等價類。是在轉(zhuǎn)發(fā)過程中以等價的方式處理的一組數(shù)據(jù)分組，可以通過地址、隧道、COS等來標(biāo)識創(chuàng)建FECLSP：標(biāo)簽交換通道。一個FEC的數(shù)據(jù)流，在不同的節(jié)點被賦予確定的標(biāo)簽，數(shù)據(jù)轉(zhuǎn)發(fā)按照這些標(biāo)簽進(jìn)行。數(shù)據(jù)流所走的路徑就是LSP華為MPLSVPN培訓(xùn)資料MPLS的幾個術(shù)語（二）LSR：LabelSwitchingRouter。LSR是MPLS的網(wǎng)絡(luò)的核心交換機或者路由器，它提供標(biāo)簽交換和標(biāo)簽分發(fā)功能。LER：LabelSwitchingEdgeRouter。在MPLS的網(wǎng)絡(luò)邊緣，進(jìn)入到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC，并為這些FEC請求相應(yīng)的標(biāo)簽。它提供流量分類和標(biāo)簽的映射、標(biāo)簽的移除功能。華為MPLSVPN培訓(xùn)資料MPLS封裝格式通常，MPLS包頭有32Bit，其中有：20Bit用作標(biāo)簽（Label），0到15系統(tǒng)保留3個Bit的EXP,協(xié)議中沒有明確，通常用作COS1個Bit的S,用于標(biāo)識是否是棧底，表明MPLS的標(biāo)簽可以嵌套。8個Bit的TTL華為MPLSVPN培訓(xùn)資料問題當(dāng)一個鏈路層協(xié)議收到一個MPLS報文后，是如何判斷這是一個MPLS報文，應(yīng)該送給MPLS處理，而不是象普通的IP報文那樣，直接送給IP層處理？華為MPLSVPN培訓(xùn)資料解答在以太網(wǎng)中：使用值是0x8847(單播)和0x8848（組播）來表示承載的是MPLS報文（0800是IP報文）在PPP中：增加了一種新的NCP：MPLSCP，使用0x8281來標(biāo)識華為MPLSVPN培訓(xùn)資料MPLS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)LSRCustomerIPNetworkIngressLERLSPLabelSwitchedPathCustomerIPNetworkegressLER華為MPLSVPN培訓(xùn)資料傳統(tǒng)IP轉(zhuǎn)發(fā)每一跳分析IP頭，查找的方式采用最長匹配，可能查找多次所有路由器都要知道整個網(wǎng)絡(luò)的所有路由分析IP頭映射到下一跳分析IP頭映射到下一跳分析IP頭映射到下一跳華為MPLSVPN培訓(xùn)資料標(biāo)簽轉(zhuǎn)發(fā)基本概念NHLFE（NextHopLabelForwardingEntry）：描述標(biāo)簽操作下一跳標(biāo)簽操作類型：push/pop/swap鏈路層封裝類型等FTN（FECtoNHLFE）：將FEC映射到NHLFEILM（IncomingLabelMap）：將MPLS標(biāo)簽映射到NHLFE華為MPLSVPN培訓(xùn)資料標(biāo)簽轉(zhuǎn)發(fā)（一）出口LER分析IP頭FEC綁定LSPFTN->NHLFE入口LERLSRLSR標(biāo)簽操作：pushABCDA:…加上標(biāo)簽L1E1B10.0.1.0/24其他標(biāo)簽操作發(fā)送接口下一跳NHLFEFECIngress接收分組，判定分組所屬的FEC，給分組加上Label華為MPLSVPN培訓(xùn)資料標(biāo)簽轉(zhuǎn)發(fā)（二）在MPLS域中只依據(jù)標(biāo)簽和標(biāo)簽轉(zhuǎn)發(fā)表通過轉(zhuǎn)發(fā)單元進(jìn)行轉(zhuǎn)發(fā)ILM->NHLFE入口LERLSRLSR標(biāo)簽操作：swapABCD…去掉原來的標(biāo)簽，加上標(biāo)簽L2E0CL1其他標(biāo)簽操作發(fā)送接口下一跳NHLFE入標(biāo)簽B，C:華為MPLSVPN培訓(xùn)資料標(biāo)簽轉(zhuǎn)發(fā)（三）在MPLS域中只依據(jù)標(biāo)簽和標(biāo)簽轉(zhuǎn)發(fā)表通過轉(zhuǎn)發(fā)單元進(jìn)行轉(zhuǎn)發(fā)ILM->NHLFE入口LERLSRLSR標(biāo)簽操作：swapABCD…去掉原來的標(biāo)簽，加上標(biāo)簽L3E0DL2其他標(biāo)簽操作發(fā)送接口下一跳NHLFE入標(biāo)簽B，C:華為MPLSVPN培訓(xùn)資料標(biāo)簽轉(zhuǎn)發(fā)（四）Egress將標(biāo)簽去掉，繼續(xù)轉(zhuǎn)發(fā)ILM->NHLFE分析IP頭映射到下一跳入口LERLSRLSR標(biāo)簽操作：popABCD…去掉標(biāo)簽DL3其他標(biāo)簽操作發(fā)送接口下一跳NHLFE入標(biāo)簽D:華為MPLSVPN培訓(xùn)資料倒數(shù)第二跳彈出（PHP）

在最后一跳，最外層的標(biāo)簽已經(jīng)沒有意義，因此可以在倒數(shù)第二跳將標(biāo)簽彈出，減少最后一跳的負(fù)擔(dān)。如果只有一層標(biāo)簽，則最后一跳直接進(jìn)行IP轉(zhuǎn)發(fā)；否則，對內(nèi)層標(biāo)簽做標(biāo)簽轉(zhuǎn)發(fā)分析IP頭映射到下一跳標(biāo)簽操作：pop分析IP頭FEC綁定LSPFTN->NHLFEILM->NHLFEILM->NHLFE入口LERLSRLSR出口LER標(biāo)簽操作：push標(biāo)簽操作：swap華為MPLSVPN培訓(xùn)資料分配標(biāo)簽的協(xié)議信令協(xié)議，用于在LSR之間分配標(biāo)簽，建立LSPLDPCR-LDPRSVP-TEMP-BGPBGP＋華為MPLSVPN培訓(xùn)資料LDP的基本概念LDP是一個動態(tài)的生成標(biāo)簽的協(xié)議,與動態(tài)路由協(xié)議（如OSPF）十分相像，都具備如下的幾大要素：報文（或者叫消息）鄰居的自動發(fā)現(xiàn)和維護(hù)機制一套算法，用來根據(jù)搜集到的信息計算最終結(jié)果。前者計算的結(jié)果是標(biāo)簽，后者是路由主要功能：發(fā)布Label－FEC映射建立與維護(hù)標(biāo)簽交換路徑華為MPLSVPN培訓(xùn)資料LDP的基本概念在LDP協(xié)議中，存在4種LDP消息：發(fā)現(xiàn)（Discovery）消息用于通告和維護(hù)網(wǎng)絡(luò)中LSR的存在。會話（Session）消息用于建立，維護(hù)和結(jié)束LDP對等實體之間的會話連接。通告（Advertisement）消息用于創(chuàng)建、改變和刪除特定FEC-標(biāo)簽綁定。通知（Notification）消息用于提供消息通告和差錯通知。華為MPLSVPN培訓(xùn)資料LDP會話的建立和維護(hù)鄰居發(fā)現(xiàn)：通過互發(fā)hello報文(UDP/prot:646/IP:224.0.0.2）建立TCP連接：由地址大的一方主動發(fā)起。(TCP/port:646)會話初始化：由Master發(fā)出初始化消息，并攜帶協(xié)商參數(shù)。由slave檢查參數(shù)能否接受，如果能則發(fā)送初始化消息，并攜帶協(xié)商參數(shù)。并隨后發(fā)送keepalive消息。master檢查參數(shù)能否接受，如果能則發(fā)送keepalive消息。相互收到keepalive消息，會話建立。期間收到任何差錯消息，均關(guān)閉會話，斷開TCP連接MMMMM華為MPLSVPN培訓(xùn)資料LDP鄰居狀態(tài)機華為MPLSVPN培訓(xùn)資料標(biāo)簽分配和管理（一）標(biāo)簽分配模式DoD：downstream-on-demand下游按需標(biāo)記分配DU：downstreamunsolicited下游自主標(biāo)記分配上游與下游：在一條LSP上，沿數(shù)據(jù)包傳送的方向，相鄰的LSR分別叫上游LSR（upstreamLSR）和下游LSR（downstreamLSR）。下游是路由的始發(fā)者。華為MPLSVPN培訓(xùn)資料標(biāo)簽分配和管理（二）標(biāo)簽控制模式有序方式（Ordered）獨立方式（Independent）標(biāo)簽保持方式保守模式（Conservative）自由模式（Liberal）華為MPLSVPN培訓(xùn)資料標(biāo)簽分發(fā)模式：DU下游LSR在LDP會話建立成功，主動向其上游LSR發(fā)布標(biāo)簽映射消息上游路由器保存標(biāo)簽，存放到標(biāo)簽映射表中標(biāo)簽是設(shè)備隨機自動生成的，16以下為系統(tǒng)保留上游下游路由觸發(fā)到171.68.10/24可以使用標(biāo)簽20到171.68.1.0/24可以使用標(biāo)簽20171.68.1.0/24171.68.4.0/24到171.68.10/24可以使用標(biāo)簽18到171.68.1.0/24可以使用標(biāo)簽18華為MPLSVPN培訓(xùn)資料標(biāo)簽分發(fā)模式：DoD上游LSR向下游LSR發(fā)送標(biāo)簽請求消息（包含F(xiàn)EC的描述信息）下游LSR為此FEC分配標(biāo)簽，并將綁定的標(biāo)簽通過標(biāo)簽映射消息反饋給上游LSR上游下游路由觸發(fā)171.68.1.0/24171.68.4.0/24LSR1LSR2LSR3請求到目的地址171.68.10/24的標(biāo)簽請求到目的地址171.68.1.0/24的標(biāo)簽請求到目的地址171.68.10/24的標(biāo)簽請求到目的地址171.68.1.0/24的標(biāo)簽分配到171.68.10/24的標(biāo)簽為20分配到171.68.1.0/24的標(biāo)簽為20分配到171.68.10/24的標(biāo)簽為18分配到171.68.1.0/24的標(biāo)簽為18華為MPLSVPN培訓(xùn)資料標(biāo)簽控制模式：有序只有收到它的下游返回的標(biāo)簽映射消息后才向其上游發(fā)送標(biāo)簽映射消息上游下游標(biāo)簽請求標(biāo)簽請求標(biāo)簽請求標(biāo)簽映射標(biāo)簽映射標(biāo)簽映射華為MPLSVPN培訓(xùn)資料標(biāo)簽控制模式：獨立不管有沒有收到它的下游返回的標(biāo)簽映射消息都立即向其上游發(fā)送標(biāo)簽映射消息上游下游標(biāo)簽映射標(biāo)簽映射標(biāo)簽映射華為MPLSVPN培訓(xùn)資料標(biāo)簽保持方式－保守保守方式（Conservativeretentionmode）只保留來自下一跳鄰居的標(biāo)簽，丟棄所有非下一跳鄰居發(fā)來的標(biāo)簽。優(yōu)點：節(jié)省內(nèi)存和標(biāo)簽空間。缺點：當(dāng)IP路由收斂、下一跳改變時LSP收斂慢LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel20mappinglabel30mappinglabel17mappinglabel16不是到172.16.2/24的下一跳鄰居發(fā)來的標(biāo)簽，丟棄華為MPLSVPN培訓(xùn)資料標(biāo)簽保持方式－自由自由方式（Liberalretentionmode）保留來自鄰居的所有發(fā)送來的標(biāo)簽優(yōu)點：當(dāng)IP路由收斂、下一跳改變時減少了lsp收斂時間缺點：需要更多的內(nèi)存和標(biāo)簽空間。LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel20mappinglabel30mappinglabel17mappinglabel16不是到172.16.2/24的下一跳鄰居發(fā)來的標(biāo)簽，保留華為MPLSVPN培訓(xùn)資料標(biāo)簽轉(zhuǎn)發(fā)表標(biāo)簽轉(zhuǎn)發(fā)表中的IN和OUT，是相對于標(biāo)簽轉(zhuǎn)發(fā)而言，不是相對于標(biāo)簽分配的IN和OUT：入標(biāo)簽是我分給別人的，出標(biāo)簽是別人分給我的我分配的標(biāo)簽是給別人用的INinterfaceINlabelPrefix/MASKOUTinterface(nexthop)OUTlabelSerial05010.1.1.0/24Eth0（3.3.3.3）80Serial15110.1.1.0/24Eth0（3.3.3.3）80Serial16270.1.2.0/24Eth0（3.3.3.3）52Serial15220.1.2.0/24Eth1（4.4.4.4）52Serial27730.1.2.0/24Serial3（5.5.5.5)3（pop）華為MPLSVPN培訓(xùn)資料問題對于一臺設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表（基于全局）來說：所有的入標(biāo)簽（）對于不同的路由（但下一跳相同），出標(biāo)簽（）對于不同的路由（下一跳也不同），出標(biāo)簽（）對于同一條路由，入標(biāo)簽和出標(biāo)簽（）A一定不同B一定相同C可能相同華為MPLSVPN培訓(xùn)資料解答對于一臺設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表（基于全局）來說：所有的入標(biāo)簽（A）對于不同的路由（但下一跳相同），出標(biāo)簽（A）對于不同的路由（下一跳也不同），出標(biāo)簽（C）對于同一條路由，入標(biāo)簽和出標(biāo)簽（C）A一定不同B一定相同C可能相同華為MPLSVPN培訓(xùn)資料課程內(nèi)容

第一章MPLS協(xié)議第二章VPN概述第三章BGP/MPLSVPN第四章配置及排錯華為MPLSVPN培訓(xùn)資料VPN的基本概念I(lǐng)nternet出差員工隧道專線辦事處總部分支機構(gòu)合作伙伴異地辦事處華為MPLSVPN培訓(xùn)資料傳統(tǒng)VPN的分類（一）按業(yè)務(wù)用途分類：AccessVPNIntranetVPNExtranetVPN按實現(xiàn)的層次分類：二層隧道VPN三層隧道VPN華為MPLSVPN培訓(xùn)資料傳統(tǒng)VPN的分類（二）按運營模式CPE-basedVPNNetwork-basedVPN按組網(wǎng)模型虛擬租用線（VLL）虛擬專用撥號網(wǎng)絡(luò)（VPDN）虛擬專用LAN網(wǎng)段（VPLS）業(yè)務(wù)虛擬專用路由網(wǎng)（VPRN）業(yè)務(wù)

華為MPLSVPN培訓(xùn)資料傳統(tǒng)VPN的實現(xiàn)模型華為MPLSVPN培訓(xùn)資料設(shè)備角色CE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECEVPN_A10.2.0.0CEP-NetworkC-Network華為MPLSVPN培訓(xùn)資料OverlayVPN－隧道建立在CE上特點：在CE與CE之間建立隧道，并直接傳遞路由信息，路由協(xié)議數(shù)據(jù)總是在客戶設(shè)備之間交換，服務(wù)商對客戶網(wǎng)絡(luò)結(jié)構(gòu)一無所知。典型代表是GRE、IPSec優(yōu)點：不同的客戶地址空間可以重疊，保密性、安全性非常好。缺點：需要客戶自己創(chuàng)建并維護(hù)VPN。VPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnelP華為MPLSVPN培訓(xùn)資料OverlayVPN－隧道建立在PE上特點：在PE上為每一個VPN用戶建立相應(yīng)的GRE隧道，路由信息在PE與PE之間傳遞，公網(wǎng)中的P設(shè)備不知道私網(wǎng)的路由信息。優(yōu)點：客戶把VPN的創(chuàng)建及維護(hù)完全交給服務(wù)商，保密性、安全性比較好。缺點：不同的VPN用戶不能共享相同的地址空間。VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnelP華為MPLSVPN培訓(xùn)資料OverlayVPN的本質(zhì)OverlayVPN的本質(zhì)是一種“靜態(tài)”VPN，這好比是靜態(tài)路由，所以他具有類似靜態(tài)路由的全部缺陷：所有的配置與部署都需要手工完成，而且具有N^2問題：由于是“靜態(tài)”VPN，則無法反應(yīng)網(wǎng)絡(luò)的實時變化。如果隧道建立在CE上，則必須由用戶維護(hù)。如果建立在PE上，則又無法解決地址沖突問題。華為MPLSVPN培訓(xùn)資料Peer-to-PeerVPNPeer－to－Peer是指CE－to－PE，也就是要在CE與PE之間交換私網(wǎng)路由信息，然后由PE將這些私網(wǎng)路由在P－Network中傳播（P-Network上肯定是運行了一種動態(tài)路由協(xié)議），這樣這些私網(wǎng)路由會自動的傳播到其他的PE上。這種VPN由于私網(wǎng)路由會泄露到公網(wǎng)上，所以必須嚴(yán)格的通過路由來控制，即：要確保同一個VPN的CE路由器上只能有本VPN的路由。所以，通常CE與PE之間運行的路由協(xié)議，與P-Network上運行的路由協(xié)議是不同的，即使相同，也要有很好的路由過濾和選擇的機制。華為MPLSVPN培訓(xùn)資料Peer-to-PeerVPN——共享PE方式所有VPN用戶的CE都連到同一臺PE上，PE與不同的CE之間運行不同的路由協(xié)議（或者是相同路由協(xié)議的不同進(jìn)程，比如OSPF）。由PE將這些路由發(fā)布到公網(wǎng)上，在接收端的PE上將這些路由過濾后再發(fā)給相應(yīng)的CE設(shè)備。缺點：為了防止連接在同一臺PE上的不同CE之間互通，必須在PE上配置大量的ACL。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私網(wǎng)路由在整個公網(wǎng)上傳播ripospfospfisis華為MPLSVPN培訓(xùn)資料OverlayVPN－隧道建立在PE上為每一個VPN單獨準(zhǔn)備一臺PE路由器，PE和CE之間可以運行任意的路由協(xié)議，與其他VPN無關(guān)。PE與P之間運行BGP，并使用路由屬性進(jìn)行過濾。優(yōu)點：無需配置任何的ACL了。缺點：每一個VPN用戶都有新增一臺用的PE，代價過于昂貴了。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私網(wǎng)路由在整個公網(wǎng)上傳播ripripospfospfPEPE華為MPLSVPN培訓(xùn)資料Peer-to-PeerVPN的本質(zhì)Peer-to-Peer

VPN雖然很好的解決了“靜態(tài)的問題”，但是仍舊有很多局限性：由于沒有使用隧道技術(shù)，導(dǎo)致私網(wǎng)路由泄露到公網(wǎng)上，安全性很差。VPN的“私有”特性完全靠路由來保證，導(dǎo)致在CE設(shè)備上無法配置缺省路由。（why）仍舊存在所有的設(shè)備無法共享相同的地址空間問題。華為MPLSVPN培訓(xùn)資料課程內(nèi)容

第一章MPLS簡介第二章VPN概述第三章BGP/MPLSVPN第四章配置及排錯華為MPLSVPN培訓(xùn)資料MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)CE（CustomEdge）：直接與服務(wù)提供商相連的用戶設(shè)備。PE（ProviderEdgeRouter）：指骨干網(wǎng)上的邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P（ProviderRouter）：指骨干網(wǎng)上的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPE華為MPLSVPN培訓(xùn)資料與傳統(tǒng)VPN模型的比較與傳統(tǒng)的OverlayVPN模型相比，MPLSVPN可以提供一種動態(tài)建立的隧道技術(shù)

MPLS中的LSP正是一種天然的隧道，而且這種隧道的建立是基于LDP協(xié)議，又恰恰是一種動態(tài)的標(biāo)簽生成協(xié)議與傳統(tǒng)的PeertoPeerVPN模型相比，MPLSVPN可以解決不同VPN共享相同地址空間的問題，即解決地址沖突的問題

通過動態(tài)路由協(xié)議來解決華為MPLSVPN培訓(xùn)資料為什么是BGP要解決地址沖突問題，必須對現(xiàn)有的路由協(xié)議進(jìn)行大規(guī)模的修改，這就要求一個路由協(xié)議具有良好的可擴展性。而具備條件的協(xié)議一定是基于TLV元素的。符合標(biāo)準(zhǔn)的只有EIGRP、BGP、ISIS。為什么選擇BGP：網(wǎng)絡(luò)中VPN路由數(shù)目可能非常大，BGP是唯一支持大量路由的路由協(xié)議；BGP是基于TCP來建立連接，可以在不直接相連的路由器間交換信息，這使得P路由器中無須包含VPN路由信息；BGP可以運載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)它們，這使在PE路由器間傳播路由非常簡單。華為MPLSVPN培訓(xùn)資料解決地址沖突的辦法（一）本地路由沖突問題，即：在同一臺PE上如何區(qū)分不同VPN的相同路由？可以通過在同一臺路由器上創(chuàng)建不同的路由表解決，而不同的接口可以分屬不同的路由表中，這就相當(dāng)于將一臺共享PE模擬成多臺專用PE。路由在網(wǎng)絡(luò)中的傳播問題，兩條相同的路由，都在網(wǎng)絡(luò)中傳播，對于接收者如何分辨彼此？可以在路由傳遞的過程中為這條路由再添加一個標(biāo)識，用以區(qū)別不同的VPN。華為MPLSVPN培訓(xùn)資料解決地址沖突的辦法（二）報文的轉(zhuǎn)發(fā)問題，即使成功的解決了路由表的沖突，但是當(dāng)PE接收到一個IP報文時，他又如何能夠知道該發(fā)給那個VPN？因為IP報文頭中唯一可用的信息就是目的地址。而很多VPN中都可能存在這個地址。在IP頭之外加上一些信息，由始發(fā)的VPN打上標(biāo)記，這樣PE在接收報文時可以根據(jù)這個標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。華為MPLSVPN培訓(xùn)資料VPNInstance－解決本地路由沖突每一個VPN實例可以看作虛擬的路由器，好像是一臺專用的PE設(shè)備。該虛擬路由器包括如下元素：一張獨立的路由表，當(dāng)然也包括了獨立的地址空間。一組歸屬于這個VPN實例的接口的集合。一組只用于本VPN實例的路由協(xié)議。對于每個PE，可以維護(hù)一個或多個VPN實例，同時維護(hù)一個公網(wǎng)的路由表（也叫全局路由表），多個VPN實例相互分離獨立。其實實現(xiàn)VPN實例并不困難，關(guān)鍵在于如何在PE上使用特定的策略規(guī)則來協(xié)調(diào)各VPN實例之間的關(guān)系。華為MPLSVPN培訓(xùn)資料RouteTargetBGP的擴展community屬性：RT（RouteTarget）擴展的community有如下兩種格式：其中type字段為0x0002或者0x0102時表示RT。TYPE(2字節(jié)）AdministratorFieldAssignedNumberField0x00022字節(jié)AS號4字節(jié)分配編號0x01024字節(jié)IP地址2字節(jié)分配編號華為MPLSVPN培訓(xùn)資料RouteTarget本質(zhì)RT的本質(zhì)是每個VPN實例表達(dá)自己的路由取舍及喜好的方式?？梢苑譃閮刹糠郑篍xportTarget與importTarget在一個VPN實例中，在發(fā)布路由時使用RT的export規(guī)則。直接發(fā)送給其他的PE設(shè)備在接收端的PE上，接收所有的路由，并根據(jù)每個VPN實例配置的RT的import規(guī)則進(jìn)行檢查，如果與路由中的RT屬性match，則將該路由加入到相應(yīng)的VPN實例中。華為MPLSVPN培訓(xùn)資料RT的靈活應(yīng)用由于每個RTExportTarget與importTarget都可以配置多個value，接收時是“或”操作，所以就可以實現(xiàn)非常靈活的VPN訪問控制。華為MPLSVPN培訓(xùn)資料RD（RouteDistinguisher）在成功的解決了本地路由沖突的問題之后，路由在網(wǎng)絡(luò)中傳遞時的沖突問題就迎刃而解了。只要在發(fā)布路由時加上一個標(biāo)識即可，這個標(biāo)識就是RD。TYPE(2字節(jié)）AdministratorFieldAssignedNumberField0x00022字節(jié)AS號4字節(jié)分配編號0x01024字節(jié)IP地址2字節(jié)分配編號RD的格式16位自治系統(tǒng)號ASN:32位用戶自定義數(shù)，例如：100:12位IP地址:16位用戶自定義數(shù)，例如：172.1.1.1:1華為MPLSVPN培訓(xùn)資料RD的本質(zhì)理論上可以為每個VPN實例配置一個RD。通常建議為每個VPN都配置相同的RD，不同的VPN配置不同的RD。但是實際上只要保證存在相同地址的兩個VPN實例的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果兩個VPN實例中存在相同的地址，則一定要配置不同的RD，而且兩個VPN實例一定不能互訪，間接互訪也不成。RD并不會影響不同VPN實例之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標(biāo)準(zhǔn)的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時需要為這條路由附加一個RD。華為MPLSVPN培訓(xùn)資料VPNv4和IPv4地址族在IPv4地址加上RD之后，就變成VPN-IPv4地址族了——VPNv4。而原來的標(biāo)準(zhǔn)的地址族就稱為IPv4。VPNv4地址族主要用于PE路由器之間傳遞VPN路由VPN-IPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。在PE發(fā)布路由時添加，在PE接收路由后放在本地路由表中，用來與后來接收到的路由進(jìn)行比較。CE不知道使用的是VPN-IPv4地址。在VPN數(shù)據(jù)流量穿越供應(yīng)商骨干時，包頭中沒有攜帶VPN-IPv4地址。

RouteDistinguisher(8個字節(jié))IPv4地址VPNV4地址結(jié)構(gòu)：華為MPLSVPN培訓(xùn)資料私網(wǎng)Label至此，前兩個問題：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過程的路由沖突都已解決。但如果一個PE的兩個本地VPN實例同時存在10.0.0.0/24的路由，當(dāng)他接收到一個目的地址為10.0.0.1的報文時，他如何知道該把這個報文發(fā)給與哪個VPN實例相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報文中增加一個標(biāo)識。由于MPLS支持多層標(biāo)簽的嵌套，這個標(biāo)識可以定義成MPLS標(biāo)簽的格式，即私網(wǎng)Label。華為MPLSVPN培訓(xùn)資料BGP發(fā)布路由時攜帶的信息一個擴展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私網(wǎng)Label和RD。MP_REACH_NLRI：address－family：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopback地址。NLRI:私網(wǎng)label：24個bit，與MPLS標(biāo)簽一樣。prefix：RD:64bit＋ip前綴跟隨之后的是擴展團(tuán)體屬性RT的列表Extended_Communities（RT1）Extended_Communities（RT2）對于使用了擴展屬性MP_REACH_NLRI和擴展團(tuán)體屬性RT的BGP，我們稱之為MP-BGP協(xié)議華為MPLSVPN培訓(xùn)資料MP-BGP協(xié)議MP-BGP(MultiprotocolExtensionsforBGP-4)BGP-4僅僅支持IPv4，MP-BGP是為了讓BGP可以用于傳輸更多協(xié)議（IPv6,IPX,...）的路由信息而進(jìn)行的擴展。為了保持兼容性，MP-BGP僅僅添加了兩個BGP屬性：MP_REACH_NLRI（MP_UNREACH_NLRI）和擴展團(tuán)體屬性。MP_REACH_NLRI（MP_UNREACH_NLRI）可以用在BGPUpdate消息中用于通告或廢止網(wǎng)絡(luò)可達(dá)性信息。私網(wǎng)Label映射消息攜帶在MP_REACH_NLRI屬性中，前20位是標(biāo)簽，后4位則的前3位是EXP域，最后一位用于指示是否是棧底。華為MPLSVPN培訓(xùn)資料PE和CE設(shè)備之間的關(guān)系PE和CE路由器通過EBGP、RIP和靜態(tài)路由交換信息，CE運行標(biāo)準(zhǔn)路由協(xié)議PE維護(hù)獨立的路由表：公網(wǎng)路由表和VPN實例的私網(wǎng)路由表PECPECECESite-2Site-2Site-1Site-1

EBGP,RIP,StaticVPNAVPNBVPN實例forVPNAVPN實例forVPNBGlobalroute華為MPLSVPN培訓(xùn)資料VPN實例路由的發(fā)布PE路由器通過MPLS/VPN骨干網(wǎng)發(fā)布本地的VPN路由信息。發(fā)送端PE通過使用MP-iBGP將VPN實例路由從本地發(fā)布出去（帶有export-target屬性）接收端PE將路由引入到所屬的VPN實例中（有相匹配的import-target屬性）PEPECERouterCERouterPRouterSiteSiteMP-iBGP華為MPLSVPN培訓(xùn)資料VPN實例路由注入到MP-iBGPPE路由器需要對一條路由進(jìn)行如下操作：加上RD（RD為手工配置），變?yōu)橐粭lVPN-IPV4路由。更改下一跳屬性為自己（通常是自己的loopback地址）加上私網(wǎng)標(biāo)簽（隨機自動生成，無需配置）加上RT屬性（RT需手工配置）發(fā)給所有的PE鄰居PE-1CE-1MP-iBGPPE-2BGP,RIPv2updatefor149.27.2.0/24,NH=CE-1CE-2北京上海VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-A,Label=(28)華為MPLSVPN培訓(xùn)資料MP-iBGP路由注入到VPN實例每個VPN實例都有importroute-target和exportroute-target的配置發(fā)送PE發(fā)出MP-iBGPupdates時，報文攜帶export屬性。接受PE收到VPN-IPv4的MP-iBGPupdates時，判斷收到的export是否與本地的VPN實例的import相等，相等就加入到相應(yīng)的VPN實例路由表中，否則丟棄PECE-1MP-iBGPPECE-2北京上海VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-ALabel=(28)VPN-v4路由變?yōu)镮PV4路由，并且根據(jù)本地VPN實例的importRT屬性加入到相應(yīng)的VPN實例中，私網(wǎng)標(biāo)簽保留，留做轉(zhuǎn)發(fā)時使用。再由本VPN實例的路由協(xié)議引入并轉(zhuǎn)發(fā)給相應(yīng)的CE華為MPLSVPN培訓(xùn)資料MPLS/VPN公網(wǎng)標(biāo)簽分配PE和P路由器通過骨干網(wǎng)IGP具有到bgp下一跳的可達(dá)性；通過運行IGP和LDP，分配標(biāo)簽，建立LSP，獲得到BGP下一跳的LSP通道標(biāo)簽棧用于報文轉(zhuǎn)發(fā)，外層標(biāo)簽用來指示如何到達(dá)BGP下一跳，內(nèi)層標(biāo)簽表示報文的出接口或者屬于哪個VPN實例（屬于哪個VPN）MPLS節(jié)點轉(zhuǎn)發(fā)是基于外層標(biāo)簽，而不管內(nèi)層標(biāo)簽是多少ProuterProuterInLabelFECOutLabel-197.26.15.1/32-InLabelFECOutLabel41197.26.15.1/30POPInLabelFECOutLabel-197.26.15.1/3241Uselabelimplicit-nullfordestination197.26.15.1/32Uselabel41fordestination197.26.15.1/32VPN-v4update:RD:1:27:149.27.2.0/24,NH=197.26.15.1RT=VPN-A-Label=(28)PE-1上海北京149.27.2.0/24華為MPLSVPN培訓(xùn)資料MPLS/VPN報文轉(zhuǎn)發(fā)（一）入口PE收到CE的普通IP報文后，PE根據(jù)入接口所屬的VPN實例加入到相應(yīng)的VPN轉(zhuǎn)發(fā)表，查找下一跳和標(biāo)簽InLabelFECOutLabel-197.26.15.1/3241149.27.2.27PE-1149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)上海北京149.27.2.0/24華為MPLSVPN培訓(xùn)資料MPLS/VPN報文轉(zhuǎn)發(fā)（二）倒數(shù)第二跳路由器彈出外層標(biāo)簽，根據(jù)下一跳發(fā)送至出口PE出口PE路由器根據(jù)內(nèi)層標(biāo)簽判斷報文是去向哪個CE彈出內(nèi)層標(biāo)簽，用普通IP報文向目的CE進(jìn)行轉(zhuǎn)發(fā)InLabelFECOutLabel41197.26.15.1/32POP北京149.27.2.27PE-1上海149.27.2.0/24149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)149.27.2.2728InLabelFECOutLabel28(V)149.27.2.0/24-VPN-A149.27.2.0/24,NH=北京149.27.2.27197.25.15.1/30華為MPLSVPN培訓(xùn)資料MPLSVPN控制流程－私網(wǎng)路由及標(biāo)簽傳遞MPLSPE－AP－BPE－CMP-BGPIBGPPeerCEA1CEB1CEA2CEB2VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)BGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-ABGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-A2149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PEC華為MPLSVPN培訓(xùn)資料MPLSVPN控制流程－公網(wǎng)LSP的建立MPLSPE－AP－BPE－C201.1.1.1/321.1.1.1/321.1.1.1/32IGPIGPPEC的loopback地址為1.1.1.1In20out33out20149.27.2.0/24Out28NH:PEC149.27.2.0/24IN28NH:A2華為MPLSVPN培訓(xùn)資料MPLSVPN數(shù)據(jù)流程－私網(wǎng)數(shù)據(jù)包的轉(zhuǎn)發(fā)MPLSPE－AP－BPE－CCEA1CEB1CEA2CEB2Ping149.27.2.1202831.1.1.1/32out201.1.1.1/32In20out31.1.1.1/32149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PECBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-A華為MPLSVPN培訓(xùn)資料課程內(nèi)容

第一章MPLS協(xié)議第二章VPN簡介第三章BGP/MPLSVPN第四章配置及排錯華為MPLSVPN培訓(xùn)資料MPLSVPN配置步驟要實現(xiàn)BGP/MPLSVPN的功能一般需要完成以下步驟：在PE、CE、P上配置基本信息建立PE到PE的具有IP能力的邏輯或物理的鏈路發(fā)布、更新VPN信息BGP/MPLSVPN的配置包括：定義BGP/MPLSVPNPE-CE間路由交換的配置PE-PE間路由交換的配置華為MPLSVPN培訓(xùn)資料定義BGP/MPLSVPN說明：以下所有命令均適用于VRP3.1創(chuàng)建并進(jìn)入VPN實例視圖

ipvpn-instance

vpn_name

為vpn-instance創(chuàng)建RD

route-distinguisher

route-distinguisher

為vpn-instance創(chuàng)建vpn-target擴展團(tuán)體

vpn-targetvpn-target-ext-community[import-extcommunity|export-extcommunity|both]

將接口與vpn-instance關(guān)聯(lián)

ipbindingvpn-instancevpn-instance_name華為MPLSVPN培訓(xùn)資料PE-PE間路由交換的配置說明：以下所有命令均適用于VRP3.1進(jìn)入MBGP的VPNv4地址族視圖

ipv4-familyvpnv4[unicast]激活MBGP對等體

peer{group-name|peer-address}enable華為MPLSVPN培訓(xùn)資料PE-CE間路由交換的配置說明：以下所有命令均適用于為VRP3.1PE和CE間通過靜態(tài)路由鏈接的配置 iproute-staticvpn-instance

vpn-instance-nameprefixmask[next-hop-address][interface{interface-number}]PE和CE間通過EBGP交換路由信息的配置進(jìn)入BGP的VPN地址族視圖ipv4-familyvpn-instance

vpn-instance_name

配置指定鄰居的AS號peerpeer-address

as-number

as-number

PE和CE間通過RIP交換路由信息的配置進(jìn)入RIP的IPVPNV4地址族視圖 ipv4-family[unicast]vpn-instance

vpn-instance-name

華為MPLSVPN培訓(xùn)資料MPLS/VPN配置舉例（一）PE1的配置使能MPLSLDP[PE1]mplslsr-id172.1.1.1[PE1-mpls]mplsldp[PE1]interfacePos1/0/0[PE1-Pos/0/0]mplsldpenablePEEthernet1/0/0:168.1.1.1/16PE-2CE-1Ethernet2/0/0:168.1.1.1/16

-1CE-2PPos1/0/0:172.1.1.1/16

Pos1/0/0AS100vpn-instance配置[PE1]ipvpn-instancevpna[PE1-vpn-instance]route-distinguisher100:1[PE1-vpn-instance]vpn-target100:1both[PE1-vpn-instance]vpn-target100:2import-extcommunity[PE1-vpn-instance]vpn-target100:3export-extcommunityAS1AS2Loopback0:202.100.0.1/16

Pos3/0/0:200.10.0.1/16

華為MPLSVPN培訓(xùn)資料MPLS/VPN配置舉例（二）接口配置[PE1]interfaceloopback0[PE1-LoopBack0]ipaddress202.100.0.1255.255.255.255[PE1]interfaceethernet1/0/0[PE1-Ethernet1/0/0]ipbindingvpn-instancevpna[PE1-Ethernet1/0/0]ipaddress168.1.1.2255.255.0.0[PE1]interfacepos1/0/0[PE1-Pos1/0/0]ipaddress172.1.1.1255.255.0.0BGP配置PE-CE[PE1]bgp100[PE1-bgp]import-routedirect[PE1-bgp]ipv4-familyvpn-instancevpna[PE1-bgp-af-vpn-instance]peer168.1.1.1as-number1華為MPLSVPN培訓(xùn)資料MPLS/VPN配置舉例（三）BGP配置PE-PE[PE1]bgp100[PE1-bgp]peer200.10.0.1as-number100[PE1-bgp]peer200.10.0.1connect-interfaceloopback0[PE1-bgp]ipv4-familyvpnv4[PE1-bgp-af-vpn]peer200.10.0.1enable配置OSPF[PE1]ospf[PE1-ospf]area0[PE1-ospf-area-0.0.0.0]network172.1.1.00.0.255.255[PE1-ospf-area-0.0.0.0]network202.10.0.10.0.0.0[PE1-ospf]import-routedirect華為MPLSVPN培訓(xùn)資料常見調(diào)試命令（一）查看MPLS的鄰居狀態(tài)Displaympls

ldpsessionShowinginformationaboutallsessions:PeerLDPIdent:192.168.255.38:0;LocalLDPIdent:220.163.42.126:3

Tcpconnection:192.168.255.38-220.163.42.66SessionState:OperationalSessionRole:ActiveHellopacketssent/received:72121/82424

KeepAlivepacketssent/received:15018/20607NegotiatedKeepaliveTimerValue:60PeerPVLimit:0LDPdiscoverysource:GigabitEthernet4/1/0.1

華為MPLSVPN培訓(xùn)資料常見調(diào)試命令（二）查看MPLS的公網(wǎng)標(biāo)簽分配情況displaympls

lspbriefIDI/O-LabelIn-InterfacePrefix/MaskNext-Hop27153/24Eth4/1/010.5.22.250/3210.5.3.1028155/24Eth10/2/010.5.22.250/3210.5.3.1029---/20----------10.5.23.250/3210.5.3.1030186/20VT4910.5.23.250/3210.5.3.1031229/20Eth4/1/010.5.23.250/3210.5.3.10

華為MPLSVPN培訓(xùn)資料常見調(diào)試命令（三）查看VPN的路由

displayiproute

vpn-instance

VPN-HW

VPN-HWRouteInformation

RoutingTable:VPN-HWRD:65400:1

Destination/Mask

Proto

Pre

Metric

Nexthop

1.1.1.1/32

BGP

170

0220.163.42.62

192.168.20.0/29

BGP

170

0220.163.42.62

192.168.20.0/30

BGP

170

0220.163.42.62

192.168.20.65/32

DIRECT

0

0127.0.0.1

華為MPLSVPN培訓(xùn)資料常見調(diào)試命令（四）查看BGP的VPNv4路由display

bgpvpnv4allrouting-tableBGPlocalrouterIDis220.163.42.126Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,iinternalOrigincodes:i-IGP,e-EGP,?-incompleteNetwork

NextHopLabel（I/O）LocPrfRouteDistinguisher:65400:1*>i1.1.1.1/32

220.163.42.62

0/17

100

*>i192.168.20.0/29

220.163.42.62

0/17

100

*>i192.168.20.0/30

220.163.42.62

0/16

100*>192.168.20.65/32

0.0.0.0

19/0*>192.168.20.96/29

0.0.0.0

18/0此命令用來查看BGP學(xué)習(xí)到的VPNv4路由的具體信息，以及私網(wǎng)標(biāo)簽的分配情況。特別是本地始發(fā)的路由（nexthop0.0.0.0）的標(biāo)簽分配情況，只能通過本命令查看。

華為MPLSVPN培訓(xùn)資料常見調(diào)試命令（五）查看BGP的VPNv4路由display

mpls

lsp

vpn-instancebriefIDI/O-LabelIn-Interface