Virtual Private Network虚拟专用网
*请打开布局模式修改文字
VPN:
概述:Virtual Private Network虚拟专用网
①建立专用通道
②对数据进行加密
VPN中的角色:
PE :指骨干网上的边缘路由器,与 CE 相连主要负责 VPN业务的接入。
CE :客户边缘设备,直接与服务提供商相连的用户设备。
P : IPS网络上的核心设备,主要完成路由和快速转发功能。由于网络规模不同,网络中可能不存在 P 路由器,PE 路由器也可能同时是 P 路由器。
VPN 分类:
按照路由信息交换方式进行分类。
1)overlay VPN
2)peer-to-peer VPN----典型MPLS VPN
Overlay VPN
概述:CE和CE之间直接交互路由信息,发送数据,采用加密机制来保证数据的安全性。本质是个“静态”VPN,工作原理好比静态路由,所以具有类似静态路由的全部缺陷。【适合小规模企业】
优点:安全性高,ISP设备是不知道客户的信息。
缺点:成本高,需要客户自己创建并维护VPN。
注:Overlay VPN ,如果隧道建立在CE上,则必须由用户维护,如果建立在PE上,则又无法解决地址冲突的问题。
pee-to-peer VPN-----典型MPLS VPN
概述:用户和ISP交互路由信息,由ISP承建VPN。peer-to-peer是指CE-to-PE,也就是要在CE与PE之间交换私网路由信息。
优点:成本低,ISP承建VPN。
缺点:安全性低。
专用PE:1台设备对应1个CE用户,成本太高,方案否决。
共享PE:1台设备对应多个CE用户。
MPLS VPN模型特点
隧道承建:客户设备透明,运营商设备维护。
路由维护:客户设备和运营商共同维护,重点还是在运营商维护。
VPN数据封装:MPLS标签转发,解决了P设备没有客户端设备路由的问题。
注:重要的数据不会选择MPLS VPN 传输。
MPLS VPN采用上述共享PE模解决需要的问题
如何做到同一台PE设备的不同客户CE设备之间
的距离?
VRF虚拟路由转发
作用:隔离CE用户,让每个用户有单独的VRF路由表。
特点:虚拟出N个虚拟路由器,N+1路由表:N虚拟路由表+1全局路由表。一个VRF对应1个路由表。默认VRF是相互隔离的。全局模式下建立。
如何在PE设备与CE设备之间维护路由信息?
RT router target
作用:将正确的VPNV4前缀发送给对应的CE设备。
RT分类:
①export RT:在VPNv4路由前缀通告时作为扩展团体属性携带。
②import RT:本地VRF用于接收具有特定RT值得VPNv4路由前缀。
如何在公网上传递客户私有路由?
MP-BGP传递VPNV4路由实现。
作用:传递VPNv4前缀路由。
如何容许重叠的客户私有路由?
RD路由标识
作用:区分不同CE端重叠的路由。
特点:同一台PE上的RD值必须唯一。
如何在公网上转发客户端数据?
标签传递
MPLS VPN数据的转发需要理解。
路由如何学习控制层面?
CE1----PE1----P-----PE2----CE2
① CE1 和PE1运行PE-CE的路由协议(static ospf eigrp bagp rip)。
② PE1收到这些路由条目之后,放入VPF路由表。
③ 将VRF路由信息重发布到VPNv4地址族。
④ PE2收到路由信息之后,匹配RT值,将VPNv4前缀放入到正确的VRF路由表。
数据包如何转发数据层面?
CE1----PE1----P-----PE2----CE2
① CE1把数据发送给PE1
② PE1收到后压入2层标:私网标签【PE2设备为CE2网段分发的标签(VPNv4)】
公网标签【PE1-PE2 下一跳】
③ P设备收到这个数据包,倒数第2跳弹出,POP顶层标签(公网标签)。
④ PE2设备收到带有私网标签的数据包。
MPLS VPN配置步骤
1、 在MPLS域配置LDP协议
1) 配置IGP协议保证LDP的transport-address可以通信
2) 配置IP CEF
3) 配置LDP协议
Show mpls interface
Show mpls ldp discoveryShow mpls ldp neighbor
2、 在PE设备创建VRF,配置RD和RT,将直连接口关联到VRF
Show run | s vrf
Show ip route vrf SITE1
3、 配置PE-CE路由协议
4、 配置MP-BGP
R4#show ip bgp all summary 查看所有地址族下的BGP邻居
R4# show ip bgp vpnv4 all summary查看VPNV4地址族下的BGP邻居
5、 重分布(可选)
redistribute ospf 1 vrf SITE1 match internal external 1 external 2
internal 自制系统内部的路由,包括域内和域间 O OIA
external 1 external 2 外部的路由 OE1 OE2
MPLS VPN 排错思路
1、先检查路由
R4#show ip bgp vpnv4 all
2、检查标签
R2#show ip bgp vpnv4 all labels 查看私网标签
R2#show mpls forwarding-table 查看外层标签
R2#show ip cef vrf SITE1 192.168.5.5
注意
如果两边PE设备的domain-id相同,则不同CE学到的路由是OIA的路由
如果两边PE设备的domain-id不同,则不同CE学到的路由是OE的路由
默认情况,OSPF的domain-id是等于进程ID
修改domain-id
R2(config)#router ospf 100 vrf SITE1
R2(config-router)#domain-id 2.2.2.2