路由學(xué)習(xí)過(guò)程

　　在一個(gè)用戶站點(diǎn)能夠?qū)?a class="contentlabel" href="http://www.antipu.com.cn/news/listbylabel/label/VPN">VPN業(yè)務(wù)轉(zhuǎn)發(fā)到遠(yuǎn)端站點(diǎn)之前，必須將VPN路由信息從每個(gè)用戶站點(diǎn)通過(guò)骨干網(wǎng)轉(zhuǎn)發(fā)至其他用戶站點(diǎn)。PE路由器從其直連的CE路由器學(xué)習(xí)路由，入口PE通過(guò)骨干網(wǎng)向出口PE發(fā)布路由，出口PE路由器將路由發(fā)布至CE。

　　標(biāo)簽轉(zhuǎn)發(fā)過(guò)程

　　在網(wǎng)絡(luò)中，只有PE及P路由器運(yùn)行標(biāo)簽轉(zhuǎn)發(fā)協(xié)議，

　　圖6中CE1與CE3客戶屬于同一VPN。當(dāng)CE1的客戶需要向CE3客戶發(fā)送信息時(shí)：

　　CE1路由器查找路由表，將數(shù)據(jù)包發(fā)給PE1路由器；

　　PE1路由器發(fā)現(xiàn)CE1屬于VRF1，查找VRF1表，找到目的地址下一跳為MP-BGP對(duì)等體路由器PE2；

　　PE1路由器查找路由表知到達(dá)對(duì)等體PE2的直連下一跳為P1路由器；

　　給該數(shù)據(jù)包分配標(biāo)簽，將該數(shù)據(jù)包轉(zhuǎn)發(fā)給P1路由器；

　　該數(shù)據(jù)包通過(guò)中間P路由器標(biāo)簽轉(zhuǎn)發(fā)，到達(dá)PE2；

　　PE2彈出標(biāo)簽。查找VRF1路由，將該數(shù)據(jù)包轉(zhuǎn)發(fā)給CE3；

　　到達(dá)CE3客戶。

　　MPLS/VPN的幾種典型組網(wǎng)

　　MESH方式

圖7 典型的組網(wǎng)圖

　　MESH方式為普通VPN業(yè)務(wù)，是客戶對(duì)VPN的最基本的需求。

　　基本的VPN服務(wù)要求相同的VPN客戶之間能相互通信，而不同的VPN客戶間不能通信。典型的組網(wǎng)圖如圖7所示，VPN1間互相通信，VPN2間互相通信，而VPN1與VPN2間不能通信。

　　HUB-SPOKE方式

　　對(duì)于有很多子公司的大客戶來(lái)說(shuō)，普通的VPN業(yè)務(wù)可能無(wú)法滿足其需求。通?？偣究赡苄枰O(jiān)控子公司間的通信，同時(shí)要能夠與各子公司直接通信。這就要求子公司間通信時(shí)必須經(jīng)過(guò)總公司中轉(zhuǎn)。

圖8  HUB-SPOKE方式

　　一種典型的組網(wǎng)圖如圖8所示，總公司可以直接與子公司1、子公司2通信，而子公司1和子公司2間通信時(shí)必須經(jīng)過(guò)總司中轉(zhuǎn)，如此總公司可以監(jiān)控各子公司間的通信。其中PE-3為HUB路由器，PE-1及PE-2為SPOKE路由器。

　　INTERNET接入

　　VPN客戶間通信使用的是私網(wǎng)地址，可以自由規(guī)劃內(nèi)部網(wǎng)絡(luò)，但同樣可能需要能連上INTERNET。

圖9  INTERNET接入

　　一種典型的組網(wǎng)圖如圖9所示，通過(guò)在VPN1的某個(gè)網(wǎng)關(guān)上提供NAT完成私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換即可完成INTERNET業(yè)務(wù)。

　　在ZXR10中配置MPLS/VPN

　　ZXR10中配置MPLS/VPN的基本步驟

　　目前ZXR10中MPLS/VPN應(yīng)用最多的為T(mén)64E/T128及T32C/T64C等中高檔路由器產(chǎn)品。其中E系列中，T64E/T128支持 MPLS/VPN的常用單板有8端口FEI板、2端口GEI接口板、4端口POS3接口板、E1接口板。C系列中支持MPLS/VPN的常用單板有GEI 板、POS接口板。

　　對(duì)于T64E/T128而言，要配置MPLS/VPN業(yè)務(wù)必須使用V1.2以上版本或平臺(tái)版本，對(duì)于C系列路由器而言需要使用ros9302以上版本。在ZXR10中配置MPLS/VPN業(yè)務(wù)主要步驟如下。

　　1．在PE路由器上定義一個(gè)VPN名稱(chēng)或者說(shuō)一個(gè)VPN的轉(zhuǎn)發(fā)表（VRF）的名稱(chēng)。名稱(chēng)長(zhǎng)度為1到16個(gè)字符。注意該名稱(chēng)只是本地有效，在某個(gè)接口與VPN綁定時(shí)將使用到該名稱(chēng)。

　　2．定義該VRF的路由標(biāo)識(shí)符（RD）和路由目標(biāo)（RT），定義導(dǎo)入導(dǎo)出策略，該策略將在MP-BGP中用來(lái)區(qū)分不同的VPN。

　　3．定義指定的接口與VRF關(guān)聯(lián)。如果這個(gè)接口預(yù)先配置了IP地址，那么需將原IP地址刪除，定義好關(guān)聯(lián)后，再行配置IP地址。

　　4．定義VRF路 由。PE路由器與CE路由器之間可以定義靜態(tài)路由，也可以運(yùn)行動(dòng)態(tài)路由協(xié)議。

　　5．配置MPBGP協(xié)議。PE路由器從CE路由器學(xué)習(xí)到VRF路由后，需要通過(guò)運(yùn)行MPBGP協(xié)議通告給其他PE。配置MPBGP協(xié)議通常分以下三步：

　?。?）在BGP路由配置模式下，用neighbor命令指定PE對(duì)等體，必須是IBGP對(duì)等體；

　?。?）進(jìn)入BGP的address-familaryvpnv4地址模式，激活該對(duì)等體；

　?。?）對(duì)于不同的VRF，將其路由（直連、靜態(tài)、OSPF、ISIS）重分布到MPBGP中進(jìn)行通告。

　　MPSL/VPN配置實(shí)例

　　下面通過(guò)一個(gè)組網(wǎng)實(shí)例講述MPLS/VPN業(yè)務(wù)在ZXR10中的應(yīng)用。實(shí)例中描述的是E系列路由器獨(dú)立組網(wǎng)配置。

圖10  E系列路由器獨(dú)立組網(wǎng)配置

　　圖10中，CE1和CE2在同一個(gè)VPN中，CE1的loopback地址為100.1.1.1/24，CE2的loopback地址為 200.1.1.1/24，需要能互相學(xué)習(xí)到對(duì)端的loopback路由。CE1與PE1之間運(yùn)行BGP協(xié)議，CE2與PE2之間運(yùn)行OSPF協(xié)議。