CCNP第二十一讲.docx

CCNP第二十一讲-MPLS VPNVPN的分类：Overlay VPN:运营商端设备对于客户端来说是透明的，不负责、不介入路由的传递，不存储私网路由，主要在客户端配置，费用低。点到点VPN：运营商端路由器参与私网传递。主要在运营商端进行配置。Mplsvpn比覆盖性vpn更安全，费用较高。MPLS VRF：（Virtual Routing Forwarding）一个VRF就是一个mplsvpn的进程或者实例，一台PE，为一个公司提供MPLS VPN，就要为该公司同一个本地唯一的VRF进程。PE路由器上每一个VPN用户都有有一个VRF。区分不同的VRF，为每个VRF启用不同的名称，VRF的名称对于PE路由器只具有本地意义。PE路由器除了维护全局 IP 路由表之外，还为每个VRF维护一张独立的IP 路由表，这张路由表称为VRF路由表。PE创建了一个VRF进程，一定要将其和某个连接CE接口关联，用来存储该公传递过来的私网路由。VRF的名称对于PE路由器只具有本地意义。如何让来自不同公司的内网路由在ISP内网区分？RD（Router Distinguishers）路由区分器64bit,只具有本地意义，X：Y,RD的功能并不是VPN标示符，因为在一些复杂的VPN环境中，可能一个VPN存在多个 RD。RD的最重要的两个功能：1. 与32bits 的Ipv4前缀一起构成96bits 的VPNv4前缀；2. 如果不同的VPN客户，存在相同的IP v4地址空间，那么可以通过设置不同的RD值从而保证前缀的唯一性为不同的公司定义不同RD值VPNv4路由：P路由器不参与VPNv4路由传递，R2如何把VPNv4路由传递到R3？使用BGPv4加。R3收到VPNv4路由加入到那张路由表，因为R3的接受接口没有跟任何VRF接口关联。RT：R3通过RT指导该如何把VPNv4路由加入到哪一张表。RT（Router Target）Route Targets 这玩意就是用来区分VPN customer的。是BGP community 的扩展属性，在VRF中进行配置。它跟在VPNv4前缀后面被一起传递。一条路由可以附加多个RT值.RT定义了两个操作：Export :导出，Import 导入Export RTs 通过在vrf中定义export RT 值，将使得输出的VPNv4路由携带上该RT 值一起传递–以BGP扩展community 的方式。注意这些VPNv4路由，是由VPN客户的 IPv4 路由导入 VRF后，加上 VRF中配置的RD值所形成的。Import RTs PE会从其他 MP-BGP对等体的PE那收到VPNv4的前缀，这些前缀都是携带RT值的。默认情况下，PE是不会将这些VPNv4路由以IPv4的形式装载到VRF路由表里，除非在本地的VRF中，配置import RTs ，那么如果import RTs 与收到的 VPNv4前缀中的RT匹配的话，这些VPNv4前缀才会被以IPv4的形式装载到相应的VRF路由表里，相当于在这里 RT起到一个前缀过滤或者识别的作用，这个功能在许多场景中非常有用。 VPNv4路由可能携带不止一个RT 值，只要有一个匹配import RT 即可导入到VRF 路由表。RT具有全局意义，RT既要导入又要导出。无论对报文打几层标签，只会处理最外层标签。实验目的：公司A总部的私网路由能通过ISP访问公司A分支的私网。让两个网段看起来像在一个网段内。公司B总部和分支能通过ISP互相访问。首先配置R1、R2、R3、R4、R5、R6接口IP，确保直连接口可以ping通。R1(config)#int loopback 0R1(config-if)#ip address 1.1.1.1 255.255.255.0R1(config)#int fa0/0R1(config-if)#ip address 12.1.1.1 255.255.255.0R1(config)#no shutdownR1(config)#int fa1/0R1(config-if)#ip address 13.1.1.1 255.255.255.0R1(config)#no shutdownR2(config)#int loopback 0R2(config-if)#ip address 2.2.2.2 255.255.255.0R2(config)#int fa0/0R2(config-if)#ip address 12.1.1.2 255.255.255.0R2(config-if)#no shutdownR3(config)#int loopback 0R3(config-if)#ip address 3.3.3.3 255.255.255.0R3(config)#