华为 MPLS VPN 培训资料(内部员工)

MPLSVPN培训3.02021/5/91学习目标掌握MPLS的基本概念和工作过程掌握标签的分配和控制掌握MPLSVPN控制和转发流程掌握MPLSVPN的配置及故障定位学习完本课程，您应该能够：2021/5/92课程内容

第一章MPLS协议第二章VPN概述第三章BGP/MPLSVPN第四章配置及排错2021/5/93MPLS协议起源MPLS最初是用来提高路由器的转发速度而提出的一个协议1996年，Ipsilon公司推出了IPSwitching协议，通过标签交换数据包，引发了路由器技术的一次革命1997年，IETF成立了一个MPLS（Multi-ProtocolLabelSwitching）工作组，作为独立于厂商的一系列标准的名称Multi-Protocol

支持多种三层协议，如IP、IPv6、IPX、SNA等LabelSwitching

给报文打上标签，以标签交换取代IP转发2021/5/94MPLS的几个术语（一）Label：是一个比较短的，定长的，通常只具有局部意义的标识。FEC（ForwardingEquivalenceClass）：转发等价类。是在转发过程中以等价的方式处理的一组数据分组，可以通过地址、隧道、COS等来标识创建FECLSP：标签交换通道。一个FEC的数据流，在不同的节点被赋予确定的标签，数据转发按照这些标签进行。数据流所走的路径就是LSP2021/5/95MPLS的几个术语（二）LSR：LabelSwitchingRouter。LSR是MPLS的网络的核心交换机或者路由器，它提供标签交换和标签分发功能。LER：LabelSwitchingEdgeRouter。在MPLS的网络边缘，进入到MPLS网络的流量由LER分为不同的FEC，并为这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能。2021/5/96MPLS封装格式通常，MPLS包头有32Bit，其中有：20Bit用作标签（Label），0到15系统保留3个Bit的EXP,协议中没有明确，通常用作COS1个Bit的S,用于标识是否是栈底，表明MPLS的标签可以嵌套。8个Bit的TTL2021/5/97问题当一个链路层协议收到一个MPLS报文后，是如何判断这是一个MPLS报文，应该送给MPLS处理，而不是象普通的IP报文那样，直接送给IP层处理？2021/5/98解答在以太网中：使用值是0x8847(单播)和0x8848（组播）来表示承载的是MPLS报文（0800是IP报文）在PPP中：增加了一种新的NCP：MPLSCP，使用0x8281来标识2021/5/99MPLS网络拓扑结构LSRCustomerIPNetworkIngressLERLSPLabelSwitchedPathCustomerIPNetworkegressLER2021/5/910传统IP转发每一跳分析IP头，查找的方式采用最长匹配，可能查找多次所有路由器都要知道整个网络的所有路由分析IP头映射到下一跳分析IP头映射到下一跳分析IP头映射到下一跳2021/5/911标签转发基本概念NHLFE（NextHopLabelForwardingEntry）：描述标签操作下一跳标签操作类型：push/pop/swap

链路层封装类型等

FTN（FECtoNHLFE）：将FEC映射到NHLFEILM（IncomingLabelMap）：将MPLS标签映射到NHLFE2021/5/912标签转发（一）出口LER分析IP头FEC绑定LSPFTN->NHLFE入口LERLSRLSR标签操作：pushABCDA:…加上标签L1E1B10.0.1.0/24其他标签操作发送接口下一跳NHLFEFECIngress接收分组，判定分组所属的FEC，给分组加上Label2021/5/913标签转发（二）在MPLS域中只依据标签和标签转发表通过转发单元进行转发ILM->NHLFE入口LERLSRLSR标签操作：swapABCD…去掉原来的标签，加上标签L2E0CL1其他标签操作发送接口下一跳NHLFE入标签B，C:2021/5/914标签转发（三）在MPLS域中只依据标签和标签转发表通过转发单元进行转发ILM->NHLFE入口LERLSRLSR标签操作：swapABCD…去掉原来的标签，加上标签L3E0DL2其他标签操作发送接口下一跳NHLFE入标签B，C:2021/5/915标签转发（四）Egress将标签去掉，继续转发ILM->NHLFE分析IP头映射到下一跳入口LERLSRLSR标签操作：popABCD…去掉标签DL3其他标签操作发送接口下一跳NHLFE入标签D:2021/5/916倒数第二跳弹出（PHP）

在最后一跳，最外层的标签已经没有意义，因此可以在倒数第二跳将标签弹出，减少最后一跳的负担。如果只有一层标签，则最后一跳直接进行IP转发；否则，对内层标签做标签转发分析IP头映射到下一跳标签操作：pop分析IP头FEC绑定LSPFTN->NHLFEILM->NHLFEILM->NHLFE入口LERLSRLSR出口LER标签操作：push标签操作：swap2021/5/917分配标签的协议信令协议，用于在LSR之间分配标签，建立LSPLDPCR-LDPRSVP-TEMP-BGPBGP＋2021/5/918LDP的基本概念LDP是一个动态的生成标签的协议,与动态路由协议（如OSPF）十分相像，都具备如下的几大要素：报文（或者叫消息）邻居的自动发现和维护机制一套算法，用来根据搜集到的信息计算最终结果。前者计算的结果是标签，后者是路由主要功能：发布Label－FEC映射建立与维护标签交换路径2021/5/919LDP的基本概念在LDP协议中，存在4种LDP消息：发现（Discovery）消息用于通告和维护网络中LSR的存在。会话（Session）消息用于建立，维护和结束LDP对等实体之间的会话连接。通告（Advertisement）消息用于创建、改变和删除特定FEC-标签绑定。通知（Notification）消息用于提供消息通告和差错通知。2021/5/920LDP会话的建立和维护邻居发现：通过互发hello报文(UDP/prot:646/IP:224.0.0.2）建立TCP连接：由地址大的一方主动发起。(TCP/port:646)会话初始化：由Master发出初始化消息，并携带协商参数。由slave检查参数能否接受，如果能则发送初始化消息，并携带协商参数。并随后发送keepalive消息。master检查参数能否接受，如果能则发送keepalive消息。相互收到keepalive消息，会话建立。期间收到任何差错消息，均关闭会话，断开TCP连接MMMMM2021/5/921LDP邻居状态机2021/5/922标签分配和管理（一）标签分配模式DoD：downstream-on-demand下游按需标记分配DU：downstreamunsolicited下游自主标记分配上游与下游：在一条LSP上，沿数据包传送的方向，相邻的LSR分别叫上游LSR（upstreamLSR）和下游LSR（downstreamLSR）。下游是路由的始发者。2021/5/923标签分配和管理（二）标签控制模式有序方式（Ordered）独立方式（Independent）标签保持方式保守模式（Conservative）自由模式（Liberal）2021/5/924标签分发模式：DU下游LSR在LDP会话建立成功，主动向其上游LSR发布标签映射消息上游路由器保存标签，存放到标签映射表中标签是设备随机自动生成的，16以下为系统保留上游下游路由触发到171.68.10/24可以使用标签20到171.68.1.0/24可以使用标签20171.68.1.0/24171.68.4.0/24到171.68.10/24可以使用标签18到171.68.1.0/24可以使用标签182021/5/925标签分发模式：DoD上游LSR向下游LSR发送标签请求消息（包含FEC的描述信息）下游LSR为此FEC分配标签，并将绑定的标签通过标签映射消息反馈给上游LSR上游下游路由触发171.68.1.0/24171.68.4.0/24LSR1LSR2LSR3请求到目的地址171.68.10/24的标签请求到目的地址171.68.1.0/24的标签请求到目的地址171.68.10/24的标签请求到目的地址171.68.1.0/24的标签分配到171.68.10/24的标签为20分配到171.68.1.0/24的标签为20分配到171.68.10/24的标签为18分配到171.68.1.0/24的标签为182021/5/926标签控制模式：有序只有收到它的下游返回的标签映射消息后才向其上游发送标签映射消息上游下游标签请求标签请求标签请求标签映射标签映射标签映射2021/5/927标签控制模式：独立不管有没有收到它的下游返回的标签映射消息都立即向其上游发送标签映射消息上游下游标签映射标签映射标签映射2021/5/928标签保持方式－保守保守方式（Conservativeretentionmode）只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。优点：节省内存和标签空间。缺点：当IP路由收敛、下一跳改变时LSP收敛慢LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel20mappinglabel30mappinglabel17mappinglabel16不是到172.16.2/24的下一跳邻居发来的标签，丢弃2021/5/929标签保持方式－自由自由方式（Liberalretentionmode）保留来自邻居的所有发送来的标签优点：当IP路由收敛、下一跳改变时减少了lsp收敛时间缺点：需要更多的内存和标签空间。LSR1LSR2LSR3LSR4LSR5172.16.2/24mappinglabel20mappinglabel30mappinglabel17mappinglabel16不是到172.16.2/24的下一跳邻居发来的标签，保留2021/5/930标签转发表标签转发表中的IN和OUT，是相对于标签转发而言，不是相对于标签分配的IN和OUT：入标签是我分给别人的，出标签是别人分给我的我分配的标签是给别人用的INinterfaceINlabelPrefix/MASKOUTinterface(nexthop)OUTlabelSerial05010.1.1.0/24Eth0（3.3.3.3）80Serial15110.1.1.0/24Eth0（3.3.3.3）80Serial16270.1.2.0/24Eth0（3.3.3.3）52Serial15220.1.2.0/24Eth1（4.4.4.4）52Serial27730.1.2.0/24Serial3（5.5.5.5)3（pop）2021/5/931问题对于一台设备的标签转发表（基于全局）来说：所有的入标签（）对于不同的路由（但下一跳相同），出标签（）对于不同的路由（下一跳也不同），出标签（）对于同一条路由，入标签和出标签（）A一定不同B一定相同C可能相同2021/5/932解答对于一台设备的标签转发表（基于全局）来说：所有的入标签（A）对于不同的路由（但下一跳相同），出标签（A）对于不同的路由（下一跳也不同），出标签（C）对于同一条路由，入标签和出标签（C）

A一定不同B一定相同C可能相同2021/5/933课程内容

第一章MPLS协议第二章VPN概述第三章BGP/MPLSVPN第四章配置及排错2021/5/934VPN的基本概念Internet出差员工隧道专线办事处总部分支机构合作伙伴异地办事处2021/5/935传统VPN的分类（一）按业务用途分类：AccessVPNIntranetVPNExtranetVPN按实现的层次分类：二层隧道VPN三层隧道VPN2021/5/936传统VPN的分类（二）按运营模式CPE-basedVPNNetwork-basedVPN按组网模型虚拟租用线（VLL）虚拟专用拨号网络（VPDN）虚拟专用LAN网段（VPLS）业务虚拟专用路由网（VPRN）业务

2021/5/937传统VPN的实现模型2021/5/938设备角色CE（CustomEdge）：直接与服务提供商相连的用户设备。PE（ProviderEdgeRouter）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。P（ProviderRouter）：指骨干网上的核心路由器，主要完成路由和快速转发功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECEVPN_A10.2.0.0CEP-NetworkC-Network2021/5/939OverlayVPN－隧道建立在CE上特点：在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，服务商对客户网络结构一无所知。典型代表是GRE、IPSec优点：不同的客户地址空间可以重叠，保密性、安全性非常好。缺点：需要客户自己创建并维护VPN。VPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnelP2021/5/940OverlayVPN－隧道建立在PE上特点：在PE上为每一个VPN用户建立相应的GRE隧道，路由信息在PE与PE之间传递，公网中的P设备不知道私网的路由信息。优点：客户把VPN的创建及维护完全交给服务商，保密性、安全性比较好。缺点：不同的VPN用户不能共享相同的地址空间。VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CEPECEP-NetworkGREtunnelGREtunnelP2021/5/941OverlayVPN的本质OverlayVPN的本质是一种“静态”VPN，这好比是静态路由，所以他具有类似静态路由的全部缺陷：所有的配置与部署都需要手工完成，而且具有N^2问题：由于是“静态”VPN，则无法反应网络的实时变化。如果隧道建立在CE上，则必须由用户维护。如果建立在PE上，则又无法解决地址冲突问题。2021/5/942Peer-to-PeerVPNPeer－to－Peer是指CE－to－PE，也就是要在CE与PE之间交换私网路由信息，然后由PE将这些私网路由在P－Network中传播（P-Network上肯定是运行了一种动态路由协议），这样这些私网路由会自动的传播到其他的PE上。这种VPN由于私网路由会泄露到公网上，所以必须严格的通过路由来控制，即：要确保同一个VPN的CE路由器上只能有本VPN的路由。所以，通常CE与PE之间运行的路由协议，与P-Network上运行的路由协议是不同的，即使相同，也要有很好的路由过滤和选择的机制。2021/5/943Peer-to-PeerVPN——共享PE方式所有VPN用户的CE都连到同一台PE上，PE与不同的CE之间运行不同的路由协议（或者是相同路由协议的不同进程，比如OSPF）。由PE将这些路由发布到公网上，在接收端的PE上将这些路由过滤后再发给相应的CE设备。缺点：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私网路由在整个公网上传播ripospfospfisis2021/5/944OverlayVPN－隧道建立在PE上为每一个VPN单独准备一台PE路由器，PE和CE之间可以运行任意的路由协议，与其他VPN无关。PE与P之间运行BGP，并使用路由属性进行过滤。优点：无需配置任何的ACL了。缺点：每一个VPN用户都有新增一台用的PE，代价过于昂贵了。VPN_AVPN_B10.3.0.011.3.0.0PPPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-Network私网路由在整个公网上传播ripripospfospfPEPE2021/5/945Peer-to-PeerVPN的本质Peer-to-Peer

VPN虽然很好的解决了“静态的问题”，但是仍旧有很多局限性：由于没有使用隧道技术，导致私网路由泄露到公网上，安全性很差。VPN的“私有”特性完全靠路由来保证，导致在CE设备上无法配置缺省路由。（why）仍旧存在所有的设备无法共享相同的地址空间问题。2021/5/946课程内容

第一章MPLS简介第二章VPN概述第三章BGP/MPLSVPN第四章配置及排错2021/5/947MPLSVPN网络结构CE（CustomEdge）：直接与服务提供商相连的用户设备。PE（ProviderEdgeRouter）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。P（ProviderRouter）：指骨干网上的核心路由器，主要完成路由和快速转发功能。VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0CECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECECEVPN_A10.2.0.0CEVPN_A10.2.0.0CEiBGPsessionsPPPPPEPE2021/5/948与传统VPN模型的比较与传统的OverlayVPN模型相比，MPLSVPN可以提供一种动态建立的隧道技术

MPLS中的LSP正是一种天然的隧道，而且这种隧道的建立是基于LDP协议，又恰恰是一种动态的标签生成协议与传统的PeertoPeerVPN模型相比，MPLSVPN可以解决不同VPN共享相同地址空间的问题，即解决地址冲突的问题

通过动态路由协议来解决2021/5/949为什么是BGP要解决地址冲突问题，必须对现有的路由协议进行大规模的修改，这就要求一个路由协议具有良好的可扩展性。而具备条件的协议一定是基于TLV元素的。符合标准的只有EIGRP、BGP、ISIS。为什么选择BGP：网络中VPN路由数目可能非常大，BGP是唯一支持大量路由的路由协议；BGP是基于TCP来建立连接，可以在不直接相连的路由器间交换信息，这使得P路由器中无须包含VPN路由信息；BGP可以运载附加在路由后的任何信息，作为可选的BGP属性，任何不了解这些属性的BGP路由器都将透明的转发它们，这使在PE路由器间传播路由非常简单。2021/5/950解决地址冲突的办法（一）本地路由冲突问题，即：在同一台PE上如何区分不同VPN的相同路由？可以通过在同一台路由器上创建不同的路由表解决，而不同的接口可以分属不同的路由表中，这就相当于将一台共享PE模拟成多台专用PE。路由在网络中的传播问题，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此？可以在路由传递的过程中为这条路由再添加一个标识，用以区别不同的VPN。2021/5/951解决地址冲突的办法（二）报文的转发问题，即使成功的解决了路由表的冲突，但是当PE接收到一个IP报文时，他又如何能够知道该发给那个VPN？因为IP报文头中唯一可用的信息就是目的地址。而很多VPN中都可能存在这个地址。在IP头之外加上一些信息，由始发的VPN打上标记，这样PE在接收报文时可以根据这个标记进行转发。2021/5/952VPNInstance－解决本地路由冲突每一个VPN实例可以看作虚拟的路由器，好像是一台专用的PE设备。该虚拟路由器包括如下元素：一张独立的路由表，当然也包括了独立的地址空间。一组归属于这个VPN实例的接口的集合。一组只用于本VPN实例的路由协议。对于每个PE，可以维护一个或多个VPN实例，同时维护一个公网的路由表（也叫全局路由表），多个VPN实例相互分离独立。其实实现VPN实例并不困难，关键在于如何在PE上使用特定的策略规则来协调各VPN实例之间的关系。2021/5/953RouteTargetBGP的扩展community属性：RT（RouteTarget）扩展的community有如下两种格式：其中type字段为0x0002或者0x0102时表示RT。TYPE(2字节）AdministratorFieldAssignedNumberField0x00022字节AS号4字节分配编号0x01024字节IP地址2字节分配编号2021/5/954RouteTarget本质RT的本质是每个VPN实例表达自己的路由取舍及喜好的方式。可以分为两部分：ExportTarget与importTarget在一个VPN实例中，在发布路由时使用RT的export规则。直接发送给其他的PE设备在接收端的PE上，接收所有的路由，并根据每个VPN实例配置的RT的import规则进行检查，如果与路由中的RT属性match，则将该路由加入到相应的VPN实例中。2021/5/955RT的灵活应用由于每个RTExportTarget与importTarget都可以配置多个value，接收时是“或”操作，所以就可以实现非常灵活的VPN访问控制。2021/5/956RD（RouteDistinguisher）在成功的解决了本地路由冲突的问题之后，路由在网络中传递时的冲突问题就迎刃而解了。只要在发布路由时加上一个标识即可，这个标识就是RD。TYPE(2字节）AdministratorFieldAssignedNumberField0x00022字节AS号4字节分配编号0x01024字节IP地址2字节分配编号RD的格式16位自治系统号ASN:32位用户自定义数，例如：100:12位IP地址:16位用户自定义数，例如：172.1.1.1:12021/5/957RD的本质理论上可以为每个VPN实例配置一个RD。通常建议为每个VPN都配置相同的RD，不同的VPN配置不同的RD。但是实际上只要保证存在相同地址的两个VPN实例的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果两个VPN实例中存在相同的地址，则一定要配置不同的RD，而且两个VPN实例一定不能互访，间接互访也不成。RD并不会影响不同VPN实例之间的路由选择以及VPN的形成，这些事情由RT搞定。PE从CE接收的标准的路由是IPv4路由，如果需要发布给其他的PE路由器，此时需要为这条路由附加一个RD。2021/5/958VPNv4和IPv4地址族在IPv4地址加上RD之后，就变成VPN-IPv4地址族了——VPNv4。而原来的标准的地址族就称为IPv4。VPNv4地址族主要用于PE路由器之间传递VPN路由VPN-IPv4地址仅用于服务供应商网络内部。在PE发布路由时添加，在PE接收路由后放在本地路由表中，用来与后来接收到的路由进行比较。CE不知道使用的是VPN-IPv4地址。在VPN数据流量穿越供应商骨干时，包头中没有携带VPN-IPv4地址。

RouteDistinguisher(8个字节)IPv4地址VPNV4地址结构：2021/5/959私网Label至此，前两个问题：在PE本地的路由冲突和网络传播过程的路由冲突都已解决。但如果一个PE的两个本地VPN实例同时存在10.0.0.0/24的路由，当他接收到一个目的地址为10.0.0.1的报文时，他如何知道该把这个报文发给与哪个VPN实例相连的CE？肯定还需要在被转发的报文中增加一个标识。由于MPLS支持多层标签的嵌套，这个标识可以定义成MPLS标签的格式，即私网Label。2021/5/960BGP发布路由时携带的信息一个扩展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私网Label和RD。MP_REACH_NLRI：address－family：VPN-IPV4地址族next-hop:就是PE路由器自己，通常是loopback地址。NLRI:私网label：24个bit，与MPLS标签一样。prefix：RD:64bit＋ip前缀跟随之后的是扩展团体属性RT的列表Extended_Communities（RT1）Extended_Communities（RT2）对于使用了扩展属性MP_REACH_NLRI和扩展团体属性RT的BGP，我们称之为MP-BGP协议2021/5/961MP-BGP协议MP-BGP(MultiprotocolExtensionsforBGP-4)BGP-4仅仅支持IPv4，MP-BGP是为了让BGP可以用于传输更多协议（IPv6,IPX,...）的路由信息而进行的扩展。为了保持兼容性，MP-BGP仅仅添加了两个BGP属性：MP_REACH_NLRI（MP_UNREACH_NLRI）和扩展团体属性。MP_REACH_NLRI（MP_UNREACH_NLRI）可以用在BGPUpdate消息中用于通告或废止网络可达性信息。私网Label映射消息携带在MP_REACH_NLRI属性中，前20位是标签，后4位则的前3位是EXP域，最后一位用于指示是否是栈底。2021/5/962PE和CE设备之间的关系PE和CE路由器通过EBGP、RIP和静态路由交换信息，CE运行标准路由协议PE维护独立的路由表：公网路由表和VPN实例的私网路由表PECPECECESite-2Site-2Site-1Site-1

EBGP,RIP,StaticVPNAVPNBVPN实例forVPNAVPN实例forVPNBGlobalroute2021/5/963VPN实例路由的发布PE路由器通过MPLS/VPN骨干网发布本地的VPN路由信息。发送端PE通过使用MP-iBGP将VPN实例路由从本地发布出去（带有export-target属性）接收端PE将路由引入到所属的VPN实例中（有相匹配的import-target属性）PEPECERouterCERouterPRouterSiteSiteMP-iBGP2021/5/964VPN实例路由注入到MP-iBGPPE路由器需要对一条路由进行如下操作：加上RD（RD为手工配置），变为一条VPN-IPV4路由。更改下一跳属性为自己（通常是自己的loopback地址）加上私网标签（随机自动生成，无需配置）加上RT属性（RT需手工配置）发给所有的PE邻居PE-1CE-1MP-iBGPPE-2BGP,RIPv2updatefor149.27.2.0/24,NH=CE-1CE-2北京上海VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-A,Label=(28)2021/5/965MP-iBGP路由注入到VPN实例每个VPN实例都有importroute-target和exportroute-target的配置发送PE发出MP-iBGPupdates时，报文携带export属性。接受PE收到VPN-IPv4的MP-iBGPupdates时，判断收到的export是否与本地的VPN实例的import相等，相等就加入到相应的VPN实例路由表中，否则丢弃PECE-1MP-iBGPPECE-2北京上海VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-ALabel=(28)VPN-v4路由变为IPV4路由，并且根据本地VPN实例的importRT属性加入到相应的VPN实例中，私网标签保留，留做转发时使用。再由本VPN实例的路由协议引入并转发给相应的CE2021/5/966MPLS/VPN公网标签分配PE和P路由器通过骨干网IGP具有到bgp下一跳的可达性；通过运行IGP和LDP，分配标签，建立LSP，获得到BGP下一跳的LSP通道标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳，内层标签表示报文的出接口或者属于哪个VPN实例（属于哪个VPN）MPLS节点转发是基于外层标签，而不管内层标签是多少ProuterProuterInLabelFECOutLabel-197.26.15.1/32-InLabelFECOutLabel41197.26.15.1/30POPInLabelFECOutLabel-197.26.15.1/3241Uselabelimplicit-nullfordestination197.26.15.1/32Uselabel41fordestination197.26.15.1/32VPN-v4update:RD:1:27:149.27.2.0/24,NH=197.26.15.1RT=VPN-A-Label=(28)PE-1上海北京149.27.2.0/242021/5/967MPLS/VPN报文转发（一）入口PE收到CE的普通IP报文后，PE根据入接口所属的VPN实例加入到相应的VPN转发表，查找下一跳和标签InLabelFECOutLabel-197.26.15.1/3241149.27.2.27PE-1149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)上海北京149.27.2.0/242021/5/968MPLS/VPN报文转发（二）倒数第二跳路由器弹出外层标签，根据下一跳发送至出口PE出口PE路由器根据内层标签判断报文是去向哪个CE弹出内层标签，用普通IP报文向目的CE进行转发InLabelFECOutLabel41197.26.15.1/32POP北京149.27.2.27PE-1上海149.27.2.0/24149.27.2.272841VPN-A149.27.2.0/24,NH=197.26.15.1Label=(28)149.27.2.2728InLabelFECOutLabel28(V)149.27.2.0/24-VPN-A149.27.2.0/24,NH=北京149.27.2.27197.25.15.1/302021/5/969MPLSVPN控制流程－私网路由及标签传递MPLSPE－AP－BPE－CMP-BGPIBGPPeerCEA1CEB1CEA2CEB2VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-C

RT=VPN-A,Label=(28)BGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-ABGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-A2149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PEC2021/5/970MPLSVPN控制流程－公网LSP的建立MPLSPE－AP－BPE－C201.1.1.1/321.1.1.1/321.1.1.1/32IGPIGPPEC的loopback地址为1.1.1.1In20out33out20149.27.2.0/24Out28NH:PEC149.27.2.0/24IN28NH:A22021/5/971MPLSVPN数据流程－私网数据包的转发MPLSPE－AP－BPE－CCEA1CEB1CEA2CEB2Ping149.27.2.1202831.1.1.1/32out201.1.1.1/32In20out31.1.1.1/32149.27.2.0/24IN28NH:A2149.27.2.0/24Out28NH:PECBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-A2021/5/972课程内容

第一章MPLS协议第二章VPN简介第三章BGP/MPLSVPN第四章配置及排错2021/5/973MPLSVPN配置步骤要实现BGP/MPLSVPN的功能一般需要完成以下步骤：在PE、CE、P上配置基本信息建立PE到PE的具有IP能力的逻辑或物理的链路发布、更新VPN信息BGP/MPLSVPN的配置包括：定义BGP/MPLSVPNPE-CE间路由交换的配置PE-PE间路由交换的配置2021/5/974定义BGP/MPLSVPN说明：以下所有命令均适用于VRP3.1创建并进入VPN实例视图

ipvpn-instance

vpn_name

为vpn-instance创建RD

route-distinguisher

route-distinguisher

为vpn-instance创建vpn-target扩展团体

vpn-targetvpn-target-ext-community[import-extcommunity|export-extcommunity|both]

将接口与vpn-instance关联

ipbindingvpn-instancevpn-instance_name2021/5/975PE-PE间路由交换的配置说明：以下所有命令均适用于VRP3.1进入MBGP的VPNv4地址族视图

ipv4-familyvpnv4[unicast]激活MBGP对等体

peer{group-name|peer-address}enable2021/5/976PE-CE间路由交换的配置说明：以下所有命令均适用于为VRP3.1PE和CE间通过静态路由链接的配置

iproute-staticvpn-instance

vpn-instance-nameprefixmask[next-hop-address][interface{interface-number}]PE和CE间通过EBGP交换路由信息的配置进入BGP的VPN地址族视图ipv4-familyvpn-instance

vpn-instance_name

配置指定邻居的AS号peerpeer-address

as-number

as-number

PE和CE间通过RIP交换路由信息的配置进入RIP的IPVPNV4地址族视图

ipv4-family[unicast]vpn-instance

vpn-instance-name

2021/5/977MPLS/VPN配置举例（一）PE1的配置使能MPLSLDP[PE1]mplslsr-id172.1.1.1[PE1-mpls]mplsldp[PE1]interfacePos1/0/0[PE1-Pos/0/0]mplsldpenablePEEthernet1/0/0:168.1.1.1/16PE-2CE-1Ethernet2/0/0:168.1.1.1/16

-1CE-2PPos1/0/0:172.1.1.1/16

Pos1/0/0AS100vpn-instance配置[PE1]ipvpn-instancevpna[PE1-vpn-instance]route-distinguisher100:1[PE1-vpn-instance]vpn-target100:1both[PE1-vpn-instance]vpn-target100:2import-extcommunity[PE1-vpn-instance]vpn-target100:3export-extcommunityAS1AS2Loopback0:202.100.0.1/16

Pos3/0/0:200.10.0.1/16

2021/5/978MPLS/VPN配置举例（二）接口配置[PE1]interfaceloopback0[PE1-LoopBack0]ipaddress202.100.0.1255.255.255.255[PE1]interfaceethernet1/0/0[PE1-Ethernet1/0/0]ipbindingvpn-instancevpna[PE1-Ethernet1/0/0]ipaddress168.1.1.2255.255.0.0[PE1]interfacepos1/0/0[PE1-Pos1/0/0]ipaddress172.1.1.1255.255.0.0BGP配置PE-CE[PE1]bgp100[PE1-bgp]import-routedirect[PE1-bgp]ipv4-familyvpn-instancevpna[PE1-bgp-af-vpn-instance]peer168.1.1.1as-number12021/5/979MPLS/VPN配置举例（三）BGP配置PE-PE[PE1]bgp100[PE1-bgp]peer200.10.0.1as-number100[PE1-bgp]peer200.10.0.1connect-interfaceloopback0[PE1-bgp]ipv4-familyvpnv4[PE1-bgp-af-vpn]peer200.10.0.1enable配置OSPF[PE1]ospf[PE1-ospf]area0[PE1-ospf-area-0.0.0.0]network172.1.1.00.0.255.255[PE1-ospf-area-0.0.0.0]network202.10.0.10.0.0.0[PE1-ospf]import-routedirect2021/5/980常见调试命令（一）查看MPLS的邻居状态DisplaymplsldpsessionShowinginformationaboutallsessions:PeerLDPIdent:192.168.255.38:0;LocalLDPIdent:220.163.42.126:3Tcpconnection:192.168.255.38-220.163.42.66SessionState:OperationalSessionRole:ActiveHellopacketssent/received:72121/82424KeepAlivepacketssent/received:15018/20607NegotiatedKeepaliveTimerValue:60PeerPVLimit:0LDPdiscoverysource:GigabitEthernet4/1/0.1

2021/5/981常见调试命令（二）查看MPLS的公网标签分配情况displaymplslspbriefIDI/O-LabelIn-InterfacePrefix/MaskNext-Hop27153/24Eth4/1/010.5.22.250/3210.5.3.1028155/24Eth10/2/010.5.22.250/3210.5.3.1029---/20----------10.5.23.250/3210.5.3.1030186/20VT4910.5.23.250/3210.5.3.1031229/20Eth4/1/010.5.23.250/3210.5.3.10

2021/5/982常见调试命令（三）查看VPN的路由

displayiproutevpn-instanceVPN-HW

VPN-HWRouteInformationRoutingTable:VPN-HWRD:65400:1Destination/MaskProtoPreMetricNexthop1.1.1.1/32BGP1700220.163.42.62192.168.20.0/29BGP1700220.163.42.62192.168.20.0/30BGP1700220.163.42.62192.168.20.65/32DIRECT00127.0.0.1

2021/5/983常见调试命令（四）查看BGP的VPNv4路由displaybgpvpnv4allrouting-tableBGPlocalrouterIDis220.163.42.126Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,iinternalOrigincodes:i-IGP,e-EGP,?-incompleteNetworkNextHopLabel（I/O）LocPrfRouteDistinguisher:65400:1*>i1.1.1.1/32220.163.42.620/17100*>i192.168.20.0/29220.163.42.620/17100*>i192.168.20.0/30220.163.42.620/16100*>192.168.20.65/320.0.0.019/0*>192.168.20.96/290.0.0.018/0此命令用来查看BGP学习到的VPNv4路由的具体信息，以及私网标签的分配情况。特别是本地始发的路由（nexthop0.0.0.0）的标签分配情况，只能通过本命令查看。

2021/5/984常见调试命令（五）查看BGP的VPNv4路由d