CCIE理论---MPLS(自用笔记).docx

MPLS，多协议标签交换: 一种数据交换机制，由多种协议共同完成交换功能。帧中继交换，L2为哪些上层协议提供交换服务：IP 为什么要开发MPLS：替代IP网 标签代表的内容，转发等价类FEC IP缺点：基于目的IP转发，最长匹配，效率低。解决方案：硬件转发，提速MPLS初衷：基于标签转发，提速。MPLS应用：MPLS VPN ; MPLS TE流量工程traffic engine 相关概念：LSR，标签交换路由器，支持MPLS的路由器label switchLSP，标签交换路径FEC，转发等价类，标签所代表的内容Label格式：32bit8bitTTL+3bitEXP+1bit栈底+20bitLabel8bitTTL:继承，防环 3bitEXP，用于qos1bit栈底，最后一个标签将此bit置位，即置1有两种形式：数据帧：大小不固定 信元：53字节，只应用于异步传输L2.5，二层type=0x8847Control plane，决策层： 协议，邻居建立维护，路由表更新Routing Protocol Ip Routing Table(RIB)(包含所有的标签信息) Label Exchange PotocolData plane，执行转发，存有各种转发表，转发数据Ip Forwarding Table(FIB) Label Forwarding Table(LFIB)交换技术介绍：进程交换：包文转发要到CPU进程表里排队等待处理，最长匹配，递归查询，慢 基于缓存交换：快速交换，缓存第一个进行进程交换的包文的查找结果，后续相同包文可以插队，第一个包文仍慢且缓存有时间限制，流量驱动基于拓扑交换：拓扑生成时，提前生成CEF表，根据路由生成邻接表（adjacency表）L3 CEF表，节约三层查找路由表的时间L2 adjacency 节约二层查找ARP表的时间CEF还有打标签作用LIB-LFIB路由表-FIB,即CEF表，含标签 Show ip cef x.x.x.x detailIp cef若no ip cef,则show mpls forwarding-table 显示为空LSP建立，数据流转发过程帧模式MPLS信元模式MPLS标签栈：内-外，VPN、LDP、TE8847表示MPLS0800表示IP86DD表示IPV6 标签动作：压入impose，边缘LSR交换swap弹出pop，边缘LSR标签交换分配：015 预留路由表里德，每个路由条目分配一个标签标签交换协议：（实为同一协议）TDP，cisco，tag distribute protocol，端口711Hello包文,6byte, LDP identifier(TV);4bit,携带用于建立LDP会话用的源地址LDP，label，TCP/UDP，端口646 标签分发协议，国际标准完成标签交换：基于UDP，发往224.0.0.2基于TCPOSPFOSPF工作原理： Hello-nbr-LSA-LSDB-SPF-路由表OSPF选路：1. OSPF路由形成：O O IA O E1 O E2 O N1 O N22. Cost 相同的表现形式的OSPF路由才比较cost cost越小越优先报文类型：Hello，发现邻居，包括：源地址，用于建立后续的TCP会话LDP-ID： X.X.X.X:YY/前4B，后2B，IP地址+标签空间前4byte必须是一个自己生成的IP地址，后2byte是标签空间标签空间：标签在多大范围内，即标签唯一的范围目前每台设备一个标签空间每个平台：帧模式，标签在本地设备上唯一，X.X.X.X:00每个接口：信号模式，ATM1邻居发现，hello-224.0.0.2 5s间隔 15s有效期（同eigrp）2建立会话，IP大的一方主动发起TCP会话，起TCP连接作用控制平面：主要执行协议方面的操作。协议的运行，路由生成和维护，查询路由表数据平面：转发数据。TTL-1，CRC校验，数据二层头的重写控制平面与数据平面之间的联系由软件实现优点：功能全，灵活缺点：速度慢处理不过来，崩溃非直连邻居建立：Hello，单播，间隔10sHello 发现邻居224.0.0.2 含LDP-ID，会话源地址，间隔为10S源地址：用于建立后续的TCP会话。InitializeKeepalive，60s，180s，维护已建立的邻居-维护一条TCP会话Label mapLabel map withdrawError/notificationLSP：基于单播路由协议，单向，来回可能不是一条路单向德最大意义在于流量工程PHP，次末跳弹出，penultimate hop pop隐式空标签：label=3，提醒邻居弹出扔给我显式空标签：label=0，提醒邻居不要弹出ATM不可用路由聚合对LSP的影响：破坏端到端的LSP环路避免：TTL，copyTTL初始=255，对外隐藏自己内部网络且防止超时丢包Copy指TTL会持续传下去，可禁用-隐藏内部网络，建议所有设备都禁用TTL传递帧模式信元模式ATM基于平台标签空间 基于接口标签空间主动发送标签map 被动发送标签map独立于LSP标签分配 依赖LSP自由标签保存 保守标签保留基于接口：相对安全基于平台：标签表小基本配置：Mpls ip/接口开启协议Mpls label protocol ldp | tdp/接口|全局修改标签交换协议。Mpls ldp router-id lo0 force/修改LDP ID，force参数会强制关闭已经建立好的TCP会话Show mpls ldp neighbor detail/邻居信息，含TCP会话信息Show mpls ldp bindings detail/查看LIBShow mpls forwarding-table/查看LFIB实验：基本配置R1R2R3R4起环回口,OSPF，网段宣告32位R1上路由7条，R1用自己的环回口PingR1：(config)#mpls label protocol ldp (config)#mpls ldp router-id lo0 force (config)#interface s0/0(conf ig-if)#mpls ip (encapsulate X)Traceroute 10.1.1.4 /包文是谁回的？回包源IP规定标签空间：Mpls label range 100 199/实验推荐使用Mpls ldp advertise-labels/控制标签No mpls ip propagate-ttl/禁用TTL值发布，建议使用直达，无标签VPN，virtual private network，虚拟专用网什么是VPN：跨越公网部署隧道以代替传统的WAN连接，节约费用VPN分类：思科说法：覆盖型 overlay：运营商部署（MPLS-VPN）站点到站点peer-to-peer ：端到端/邻居到邻居核心区别：ISP是否参与客户路由(私网，如10.x)另：二层VPN：QinQ，ATM，frame-relay 三层VPN：GRE，Ipsec，L2TP 个人认为：MPLS-VPN 四层VPN：SSLGRE通用封装特点：部署简单；典型P2P隧道；GRE隧道可以传递单播，组播，广播任何类型的隧道技术核心原理都相同，就是在原始的数据包头前再去添上一个新的IP包头GRE隧道的配置：Interface tunnel xIp address x.x.x.xTunnel source隧道源Tunnel destination隧道目的Tunnel mode gre ip 默认需要配置本地tunnel口去往对端的路由信息Tunnel口跑协议，需在同一网段，静态无要求VRF，virtual route forwarding虚拟路由转发表，保存客户私网路由，独立于全局路由表。VPNv4，为了ISP网络区分私网路由，构造出全新的路由，RD+IP，96bit64bit+32bit 64bitAS系统号，任意赋值RD，route distinguisher，路由区分。PE，运营商边缘设备，负责用户接入P，运营商内部设备，负责VPN路由传递和MPLS转发C，客户网络CE，客户边缘设备，和PE对接VRF虚拟路由转发器 VPN routing and forwarding 构造：PE不同的接口连接到不同的clientPE接口client路由RD加入VRF表RD：路由区分符，不是用于区分不同用户的VPN路由，只是和来自C网的Ipv4路由共同生成VPN路由RT：路由目标符一个RD一个表，RD是为了让地址不重叠配置：(config)#Ip vrf jiance(config)# Rd 100:100(config)#Interface f0/0(config-if)#Ip vrf forwarding jianceBGP，MP_BGP，传递VPNv4路由，路径属性新增MP_NLRI_Reachable MP_NLRI_UnReachable两项，用于传递VPNv4路由NLRI网络可达信息MP多协议VPN分类：分类一：intranet、extranet、access分类二：simple、overlap、central service、manage network分类三：overlay peer-to-peerRT：route-target，扩展团体属性，用于VPNv4路由的控制。Export RTS，携带在从客户收到的私网路由上，并通过MP_BGP在PE间传递。Import RTS，通过MP_BGP收到的VPNv4路由，携带指定import RT的注入相应的VRF表定义在route-map,vrf下 vrf必须定义RD,RT配置：VRF下配置、route-map配置CE-PE-P-PE-CEPE-PE之间BGPPE-P-PE IGP二层标签：ldp帮助P到达两端PEPE分配VPN标签1、 配置P网络的IGP协议2、 启用P网络的MPLS3、 配置PE间的MP_BGP邻居，即VPN邻居4、 在PE上配置VRF5、 配置PE-CE间的协议XX6、 PE上双向重发布，将从协议XX收到的路由重发布进MP _BGP1.Show mpls interface/看启用mpls接口2.Show mpls ldp neighbor3.Show ip bgp vpnv4 all summary/vpn邻居，即MP_BGP邻居4.Show ip route vrf XXX/查看VRF路由5.Show mpls forwarding-table/查看LIB表目的网段In Label Out Label 出站接口 出和入的映射本地设备收到标签数值为多少，数据从本地接口转发出去时标签换成多少In Label:自己给自己分配的标签数值Out Label:邻居给目的网段分配的标签6.Show ip bgp vpn all label/查看VPN标签7.Show ip bgp vpn all x.x.x.x8.Show ip vrf detail1、router ospf 1 router-id 3.3.3.3network 10.1.1.3 0.0.0.0 area 0 network 192.168.35.3 0.0.0.0 area 0 network 192.168.36.3 0.0.0.0 area 02、mpls label protocol ldpmpls ldp router-id Loopback0 forceinterface Ethernet3/0 ip address 192.168.35.3 255.255.255.0mpls ipinterface Ethernet3/3 ip address 192.168.36.3 255.255.255.0mpls ip3、router bgp 100 bgp router-id 3.3.3.3 no bgp default ipv4-unicastneighbor 10.1.1.4 remote-as 100 neighbor 10.1.1.4 up Loopback0 neighbor 10.1.1.7 remote-as 100 neighbor 10.1.1.7 up Loopback0 neighbor 10.1.1.8 remote-as 100 neighbor 10.1.1.8 up Loopback0 address-family vpnv4 neighbor 10.1.1.4 activate neighbor 10.1.1.7 activate neighbor 10.1.1.8 activate4、ip vrf PE3-cisco rd 100:100 route-target export 100:200 route-target import 100:200interface Serial0/0 ip vrf forwarding PE3-cisco ip address 192.168.13.3 255.255.255.05、router ospf 2 vrf PE3-cisco router-id 10.1.1.3network 192.168.13.3 0.0.0.0 area 06、Router ospf 2 redistribute bgp 100 subnetsrouter bgp 100 address-family ipv4 vrf PE3-cisco redistribute ospf 2 vrf PE3-cisco match internal external 1 external 2 nssa-external 1 nssa-external 2改静态：R1： no ip routing Ip route 0.0.0.0 0.0.0.0 s0/0R3: ip route vrf PE3 10.1.1.1 255.255.255.255 s0/0 No router ospf 2 Router bgp 100 Address-family ipv4 PE3 Redistribute static Redistribute connected改RIPR2： no ip routing Router rip Version 2 Address-family .R4: no router ospf 2Router ripVersion 2Address-family ipv4 vrf PE4Redistribute bgp 100 metric 5Router bgp 100Address-family ipv4 vrf PE4Redistribute ripBGPIn-RIB，从邻居收到的所有路由Local-RIB，本地能够接收的路由，经过in过滤的 show ip bgp (vpn all)Out-RIB，发给邻居的所有路由Show ip bgp neighbor x.x.x advertise-rou改EIGRP:Router eigp 200Address-family ipv4 vrf VPNANetwork x.x.x.xAutonomous-system 200Redistribute bgp 100 subnets（12.3版本以前）每个路由器限制进程32个，VPN能使用28个总结：PE与CE之间支持协议：静态static,RIPv2,EIGRP,ODPF,EBGP,ISISEIGRP支持SOO属性SOO，site of originate 用于双宿主客户的防环 EIGRP支持soo属性。PECE，OSPFDown bitPE执行MP_BGPOSPF，在LSA中设置down bit，其余PE不会重发布down bit置位的OSPF路由进入MP_BGP；PE上收到的down bit置位的OSPF路由无效，不注入路由表(VRF)Route-tag客户两个OSPF进程，进程间重发布清掉down bit，依然会造成环路。故，PE将外部路由重发布进OSPF时，设置route-tag，route-tag在重发布时不被清掉，可用于防环Sham-link，伪装链路连接到超级骨干的PE将自己作为ABR，两个site即使处于同一区域，路由仍以三类LSA互相发布。在有后门链路的拓扑上造成site间流量走后门(O路由)不走MPLS VPN骨干网(OIA路由)。1、 interface loop x/创建环回口用于建立伪装链路a) ip vrf forwarding xxb) ip address x.x.x.x 255.255.255.2552、 router bgp xx/将地址通过BGP通知给对端的PEaddress-family ipv4 vrf xxnetwork x.x.x.x m 255.255.255.2553、 router Ospf X vrf xx/建立sham-linkarea Y sham-link 100.1.1.1 100.1.1.34、(config-if)ip ospf cost xx/将后门链路的OSPF开销调大，避免metric造成的次优路径CEPE间为EBGP邻居时，AS-PATH防环检查导致学不到路由解决：PE:Neighbor CE as-overrideNeighbor CE allowas-inSOO防环：(config-if)#ip vrf sitemap SOO/EIGRP双宿主(config-router)#nbr CE route-map SOO in/BGP双宿主Route-map SOOMatchSet excommunity soo 65213交换技术介绍：进程交换，报文转发要到CPU进程表里排队等待处理，最长匹配、递归查询，慢基于缓存交换，快速交换，缓存第一个进行进程交换的报文的查找结果，后续相同报文可以插队，第一个报文仍慢，缓存时间限制，流量驱动基于拓扑交换，CEF，根据路由表生成CEF表，邻接(adjacency)表，L3，CEF表节约三层找路由表时间L2，邻接表，节约二层封装找ARP表的时间LIB-LFIB路由表FIB，即CEF表，含标签Show ip cef x.x.x.x detailNo Ip cefShow mpls forwarding-table，显示为空路由传递过程：1、 CEPE，通告IPv4路由2、 PE，将从CE收到的IPv4路由注入接口绑定的VRF表Show ip route vrf xx3、 PE，将2中的路由重发布进MP_BGP。添加上RD构造VPNv4路由，VPNv4的BGP表还包含VRF下定义的RTShow ip bgp vpnv4 all x.x.x.x4、 PEPE，通过MP_BGP通告VPNv4路由。更新报文携带VPNv4路由(RD:X.X.X.X)、PE为该路由分配的标签、RT等属性Show ip bgp vpnv4 all label5、 PE，根据importRT将5收到的路由注入VPNv4的BGP表，并去掉RD，重现IPv4路由Show ip bgp vpnv4 all6、 PE，将5收到的路由注入对应的VRF表。Show ip route vrf xx7、 PE，重发布6中的路由8、 PECE，将VRF中的IPv4路由从对应的接口发出2,6 show ip route vrf3 show ip bgp vpnv4 all (x.x.x.x)4 show ip bgp vpnv4 all label5 show ip bgp vpnv4 allShow ip cef vrf xx第一层标签：VPNV4标签，即内层，PE-PE第二层标签：LDP标签，VPNV4邻居用环回口建立报文转发过程：1、 PE，收到CE报文，a) 收报接口所属VRFb) 查找VRF表，show ip cef vrf xx x.x.x.x，内含标签FIB，含VPNv4标签(对端PE分配)c)全局FIB，show ip cef x.x.x.x，含去往对端PE的标签，由中间的P分配2、P收到含有标签的报文，查找LFIB，转发到对端PE。PHP正常执行3、对端PE，收到仅含VPNv4标签的报文，查找LFIBPHP倒数第二跳弹出机制原始操作中最后一台MP