华为培训MPLSLVPN原理PPT课件

MPLSL3VPN原理 ISSUE1 0 1 本课程主要介绍MPLSL3VPN协议原理以及数据报文的转发过程 另外还介绍了跨ASMPLSL3VPN解决方案 2 学习指南 本课程全套资料包括培训胶片 配套原理教材 多媒体课件 试题 演练案例和教师教学指导书 合理有效利用上述资料您将会取得良好的学习效果 3 参考资料 VRP3 30 5 10 操作手册 命令手册 故障信息收集排错指导书 4 目标 学习完此课程 您将会 了解VPN的分类掌握MPLSL3VPN转发过程了解跨AS的MPLSL3VPN的实现 5 第1章VPN概述第2章MPLSL3VPN转发过程第3章跨AS的MPLSL3VPN实现 6 VPN的分类 VPN VirtualPrivateNetwork 7 VPN的定义 1 IP VPN 利用IP设施 包括公用的Internet或专用的IP骨干网等 实现专用广域网设备专线业务 远程拨号 DDN等 的业务仿真 Network BasedIP VPN 基于网络的IP VPN是指将关于VPN的维护等外包给运营商实施 也允许用户在一定程度上进行业务管理和控制 并且将其功能特性集中在网络侧设备实现 隧道 Tunnel 是利用一种协议来传输另外一种协议的一种技术 主要利用隧道协议来实现这种功能 隧道技术涉及了三种协议 隧道协议 隧道协议下面的承载协议和隧道协议所承载的被承载协议 8 VPN的定义 2 VLL VirtualLeasedLine 虚拟租用线业务 它通过运营商的边缘节点向用户提供两个CPE设备间的点到点连接业务 VPDN VirtualPrivateDialNetwork 虚拟专用拨号网 远端用户通过PSTN ISDN拨入公共IP网 并将数据包隧穿公网以传送至目的网络VPLS VirtualPrivateLANSegments VPLS是利用公共IP资源建立局域网的一种 虚拟 方法 其组网是建立在MAC层转发 对网络层协议是完全透明的 是一种二层VPNVPRN VirtualPrivateRoutedNetwork VPRN被定义为通过公用IP网络进行多站点广域路由网络业务的一种仿真 VPN的数据包在网络层转发 9 使用GRE构建VPN 建设这样的网络只需要在每一个网络的接入路由器上作配置运营商网络无需知晓VPN内部路由不同VPN可以采用相同地址空间转发效率低 10 0 1 1 24 10 0 0 0 24 10 0 0 0 24 129 0 0 2 30 129 0 0 1 30 129 0 1 1 30 129 0 1 2 30 公网IP网络 129 0 2 2 30 129 0 2 1 30 129 0 3 1 30 129 0 3 2 30 GRE隧道 GRE隧道 10 0 1 1 24 10 0 1 2 24 10 0 1 2 24 Rt1 Rt2 HQ1 HQ2 10 MPLSVPN网络结构 CE CustomEdge 直接与服务提供商相连的用户设备 PE ProviderEdgeRouter 指骨干网上的边缘路由器 与CE相连 主要负责VPN业务的接入 P ProviderRouter 指骨干网上的核心路由器 主要完成路由和快速转发功能 VPN A VPN A VPN B 10 3 0 0 10 1 0 0 11 5 0 0 CE CE CE VPN A VPN B VPN B 10 1 0 0 10 2 0 0 11 6 0 0 CE PE PE CE CE VPN A 10 2 0 0 CE VPN A VPN B VPN B 10 1 0 0 10 2 0 0 11 6 0 0 CE PE PE CE CE VPN A 10 2 0 0 CE VPN A 10 2 0 0 CE iBGP sessions P P P P PE PE 11 网络拓扑结构 1 一个site只属于一个VPN Intranet 12 网络拓扑结构 2 13 MPLSVPN的特点 在这种网络构造中 由服务提供商向用户提供VPN服务 用户感觉不到公共网络的存在 就好像拥有独立的网络资源一样 P路由器 也不需要知道有VPN的存在 仅仅负责骨干网内部的数据传输 但其必须能够支持MPLS协议 并使能该协议 所有的VPN的构建 连接和管理工作都是在PE上进行的 网络配置简单可以直接利用现有路由协议而无需任何改动MPLSVPN网络具有良好的可扩展性可实现具有QOS和TE的VPN 14 第1章VPN概述第2章MPLSL3VPN转发过程第3章跨AS的MPLSL3VPN实现 15 PE和CE设备之间的关系 PE和CErouters通过EBGP RIP和静态路由交换信息 CE运行标准路由协议PE维护独立的路由表 公网和私网公网路由表 包含全部PE和P路由器的路由 由VPN的骨干网IGP产生VRF VPNrouting forwarding 包含到一个或多个直接相连的CE的路由和转发表 VRF可以与任何类型接口绑定在一起 如果直接相连的site属于同一VPN 那这几个接口可以使用同一个VRF PE C PE CE CE Site 2 Site 2 Site 1 Site 1 EBGP RIP Static VPNA VPNB VRFforVPNA VRFforVPNB Globalroute 16 VRF VRF VPN路由转发实例 VPNRouting ForwardingInstance 每一个VRF可以看作虚拟的路由器 好像是一台专用的PE设备 该虚拟路由器包括如下元素 一张独立的路由表 当然也包括了独立的地址空间 一组归属于这个VRF的接口的集合 一组只用于本VRF的路由协议 对于每个PE 可以维护一个或多个VRF 同时维护一个公网的路由表 也叫全局路由表 多个VRF实例相互分离独立 其实实现VRF并不困难 关键在于如何在PE上使用特定的策略规则来协调各VRF和全局路由表之间的关系 17 VRF路由的发布 PE路由器通过MPLS VPN骨干网发布本地的VPN路由信息 发送端PE通过使用MP iBGP将VRF路由从本地发布出去 带有export target属性 接收端PE将路由引入到所属的VRF中 有相匹配的import target属性 PE PE CERouter CERouter PRouter Site Site MP iBGP 18 RouteTarget RT使用了BGP的扩展community属性 并且起了一个新名字 RT RouteTarget 扩展的community有如下两种格式 其中type字段为0 x0002或者0 x0102时表示RT 19 RT的本质 RT的本质是每个VRF表达自己的路由取舍及喜好的方式 可以分为两部分 ExportTarget与importTarget在一个VRF中 在发布路由时使用RT的export规则 直接发送给其他的PE设备在接收端的PE上 接收所有的路由 并根据每个VRF配置的RT的import规则进行检查 如果与路由中的RT属性match 则将该路由加入到相应的VRF中 20 RT的灵活应用 由于每个RTExportTarget与importTarget都可以配置多个属性 可以实现非常灵活的VPN访问控制 21 RT的作用 PRouter PRouter MPLS VPNBackbone MPLS VPNBackbone VPNA VPNA VPNB SITE SITE 2 2 VPNB MP iBGP SITE SITE 1 1 SITE SITE 3 3 SITE SITE 4 4 22 VPNv4和IPv4地址族 为了解决不同的VPN可以使用相同的地址空间的问题 引入了新的地址族 VPNv4 而原来的标准的地址族就称为IPv4 VPNv4地址族主要用于PE路由器之间传递VPN路由由于RD在不同的VPN间具有唯一性 如果两个VPN使用相同的IP地址 PE路由器为它们添加不同的RD 转换成唯一的VPN v4地址 不会造成地址空间的冲突 PE从CE接收的标准的路由是IPv4路由 如果需要引入VRF路由表并发布给其他的路由器 此时需要附加一个RD 建议相同VPN的RD配置成相同的 RouteDistinguisher 8个字节 IPv4地址 VPNV4地址结构 23 MPLS VPNRD RD的格式 16位自治系统号ASN 32位用户自定义数 例如 100 132位IP地址 16位用户自定义数 例如 172 1 1 1 1一般为一个site分配唯一一个RD 它是VRF的标识符公网和私网的区别 公网路由表有IGP路由产生 可能包含BGP 4 IPv4 路由 但不会有VPN路由VRF路由表包含特定VPN路由 可能有MP iBGP路由引入到VRF中的路由 也可能有vrf路由实例从CE获得的路由 RD的结构 24 MBGP MBGP MultiprotocolExtensionsforBGP 4 BGP 4仅仅支持IPv4 MBGP是为了让BGP可以用于传输更多协议 IPv6 IPX 的路由信息而进行的扩展 为了保持兼容性 MBGP仅仅添加了两个BGP属性 MP REACH NLRI MP UNREACH NLRI 这两个属性可以用在BGPUpdate消息中用于通告或废止网络可达性信息 25 MBGP MP REACH NLRI 26 携带标签映射消息 这里可以携带多个Label 每个Label的前20位是标签 后4位则的前3位是EXP域 最后一位用于指示是否是栈底必须注意这个标签必须是由MP REACH NLRI属性中Next Hop所指LSR所分配 可以有两种办法废除路由信息 同时也解除了标签绑定 对同一个目标再次发布不同的路由 和一个新的Label 用Withdraw消息将MP UNREACH NLRI将这个目的包含于其中 NetworkLayerReachabilityInformation 27 MBGP MP UNREACH NLRI 标签映射消息携带在MP REACH NLRI属性中AddressFamailyIdentifier和SubsequentAddressFamilyIdentifier一起用于指示该属性通告的可达性信息所属的地址族 AFI为1 SAFI为128指示随后通告的是VPN IPV4可达性信息及与其绑定的MPLS标记LengthofNexthopNetworkAddress和NetworkAddressofNexthop是路由信息的下一跳 下一跳确定规则服从通常的BGP关于下一跳的规则 28 BGP发布路由时需要携带的信息 一个扩展之后的NLRI NetworkLayerReachabilityInformation 增加了地址族的描述 以及私网lable和RD 跟随之后的是RT的列表 对于使用了扩展属性MP REACH NLRI的BGP 我们称之为MP BGP 29 VRF路由注入到MP iBGP PE路由器需要对一台路由进行如下操作 加上RD RD为手工配置 变为一条VPN IPV4路由 更改下一跳属性为自己 通常是自己的loopback地址 加上私网标签 随机自动生成 无需配置 加上RT属性 RT需手工配置 发给所有的PE邻居 PE 1 CE 1 MP iBGP PE 2 BGP RIPv2update for 149 27 2 0 24 NH CE 1 CE 2 北京 上海 VPN v4update RD 1 27 149 27 2 0 24 Next hop PE 1SOO 北京 RT VPN A Label 28 30 MP iBGP路由注入到VRF 每个VRF都有importroute target和exportroute target的配置发送PE发出MP iBGPupdates时 报文携带export属性 接受PE收到VPN IPv4的MP iBGPupdates时 判断收到的export是否与本地的VRF的import相等 相等就加入到相应的VRF路由表中 否则丢弃 PE CE 1 MP iBGP PE CE 2 北京 上海 VPN v4update RD 1 27 149 27 2 0 24 Next hop PE 1SOO 北京 RT VPN A Label 28 VPN v4路由变为IPV4路由 并且根据本地VRF的importRT属性加入到相应的VRF中 私网标签保留 留做转发时使用 再由本VRF的路由协议引入并转发给相应的CE 31 MPLS VPN标签分配 PE和P路由器通过骨干网IGP具有到bgp下一跳的可达性 通过运行IGP和LDP 分配标签 建立LSP 获得到BGP下一跳的LSP通道标签栈用于报文转发 外层标签用来指示如何到达BGP下一跳 内层标签表示报文的出接口或者属于哪个VRF 属于哪个VPN MPLS节点转发是基于外层标签 而不管内层标签是多少 Prouter Prouter InLabelFECOutLabel 197 26 15 1 32 InLabelFECOutLabel 41 197 26 15 1 30 POP InLabelFECOutLabel 197 26 15 1 30 41 Uselabel implicit null for destination197 26 15 1 30 Uselabel 41 fordestination 197 26 15 0 24 VPN v4update RD 1 27 149 27 2 0 24 NH 197 26 15 1 RT VPN A Label 28 PE 1 上海 北京 149 27 2 0 24 32 MPLS VPN报文转发 1 入口PE收到CE的普通IP报文后 PE根据入接口所属的VRF加入到相应的VPN转发表 查找下一跳和标签 InLabelFECOutLabel 197 26 15 1 30 41 149 27 2 27 PE 1 149 27 2 27 28 41 VPN AVRF 149 27 2 0 24 NH 197 26 15 1 Label 28 上海 北京 149 27 2 0 24 33 MPLS VPN报文转发 2 倒数第二跳路由器弹出外层标签 根据下一跳发送至出口PE出口PE路由器根据内层标签判断报文是去向哪个CE弹出内层标签 用普通IP报文向目的CE进行转发 InLabelFECOutLabel 41 197 26 15 1 30 POP 北京 149 27 2 27 PE 1 上海 149 27 2 0 24 149 27 2 27 28 41 VPN AVRF 149 27 2 0 24 NH 197 26 15 1 Label 28 149 27 2 27 28 InLabelFECOutLabel 28 V 149 27 2 0 24 VPN AVRF 149 27 2 0 24 NH 北京 149 27 2 27 197 25 15 1 30 34 基础VPN模型 CE2 PE2 P PE1 AS100 CE1 MPLSdomain 在AS100域中 配置IGP 发布各自的loopback地址配置mplsldp用各自的loopback地址建立session在PE上创建vpn instance 并绑定到一个PE连接CE的接口PE CE启动路由协议PE1 PE2启用MP BGP Loo1000 55 55 55 55 32 Loo1000 44 444 44 44 32 Loo1000 11 11 11 11 32 35 基础VPN配置 PE1 configipvpn instancevpnaroute distinguisher100 1vpn target100 1export extcommunityvpn target100 1import extcommunityinterfaceGigabitEthernet2 0 6 4000vlan typedot1q4000ipbindingvpn instancevpnaipaddress10 0 111 1255 255 255 0bgp100peer55 55 55 55as number100peer55 55 55 55connect interfaceLoopBack1000 ipv4 familyunicastundosynchronization 36 peer55 55 55 55enable ipv4 familyvpnv4policyvpn targetpeer55 55 55 55enable ipv4 familyvpn instancevpnaimport ospf100ospf100vpn instancevpnaimport routebgparea0 0 0 0network10 0 111 10 0 0 0CE1 configospf100area0 0 0 0network10 0 111 20 0 0 0 37 另一种基础VPN配置 P configbgp100peer11 11 11 11as number100peer11 11 11 11connect interfaceLoopBack1000peer55 55 55 55as number100peer55 55 55 55connect interfaceLoopBack1000 ipv4 familyunicastundosynchronizationpeer11 11 11 11enablepeer11 11 11 11reflect clientpeer55 55 55 55enablepeer55 55 55 55reflect client ipv4 familyvpnv4undopolicyvpn targetpeer11 11 11 11enablepeer11 11 11 11reflect clientpeer55 55 55 55enablepeer55 55 55 55reflect client PE1 configbgp100peer44 44 44 44as number100peer44 44 44 44connect interfaceLoopBack1000 ipv4 familyunicastundosynchronizationpeer44 44 44 44enable ipv4 familyvpnv4policyvpn targetpeer44 44 44 44enable ipv4 familyvpn instancevpnaimport ospf100 38 VPN隧道 VPN隧道VPN应用中PE和PE间提供隧道 将PE封装后的私网数据流进行转发 目前VRP提供的隧道有LDPLSP CRLSP及GRE隧道 其他的隧道如IPsec等尚未提供 而NE5000E上目前支持LDPLSP和CRLSP两种隧道 缺省情况下PE间使用并且只选中一条LDPLSP作为隧道 如果想使用CRLSP作为隧道 使PE间的隧道实现负载分担 需要配置隧道策略 隧道策略也可以指定不同隧道类型的优先级 假如上图中的PE1和PE2之间有3条LDPLSP和2条CRLSP 如果需要使LDPLSP的优先级高于CRLSP 并且负载分担条数为4 那么可以按如下配置来实现 RouterA tunnel policytp1 RouterA tunnel policy tp1 tunnelselect seqlspcr lspgreload balance number5然后将隧道策略tp1应用在相应的VPN实例上 RouterA ipvpn instancevpn1 RouterA vpn instance vfn1 tnl policytp1 39 VPNV4的ibgp邻居和普通ibgp邻居的不同之处对于普通的bgp 一台路由器从ebgp邻居处学来的路由在向ibgp邻居发布时 缺省的情况下是不修改下一跳的 而对于VPNV4的ibgp邻居来说 其从ebgp处学来的路由在向VPNV4ibgp邻居发布时默认情况下会修改下一跳为自己 40 用户需求二 总部可以直接和各个分部通信 但是分部与分部之间必须通过总部来通信 对数据共享采取集中管理 深圳总部局域网 北京分部局域网 上海分部局域网 41 Hub Spoke模型 Hub PE Hub CE Spoke PE1 Spoke PE2 Spoke CE1 Spoke CE2 AS100 MPLSdomain 42 Hub Spoke配置 ipvpn instancevpn inroute distinguisher100 21vpn target100 1import extcommunity ipvpn instancevpn outroute distinguisher100 22vpn target200 1export extcommunityinterfaceGigabitEthernet3 0 0ipbindingvpn instancevpn inipaddress110 1 1 2255 255 255 0 interfaceGigabitEthernet4 0 0ipbindingvpn instancevpn outipaddress110 2 1 2255 255 255 0 bgp100peer1 1 1 9as number100peer3 3 3 9as number100peer1 1 1 9connect interfaceLoopBack1peer3 3 3 9connect interfaceLoopBack1 ipv4 familyvpnv4policyvpn targetpeer1 1 1 9enablepeer3 3 3 9enablequit ipv4 familyvpn instancevpn inpeer110 1 1 1as number65430import routedirectquit ipv4 familyvpn instancevpn outpeer110 2 1 1as number65430import routedirectpeer110 2 1 1allow as loopquit 43 HoVPN模型 CE1 CE2 SPE1 PE2 AS100 MPLSdomain UPE1 在AS100域中 配置IGP 发布各自的loopback地址配置mplsldp用各自的loopback地址建立session在PE上创建vpn instance 并绑定到一个PE连接CE的接口 SPE也要创建vpn instancePE CE启动路由协议UPE1 PE2 SPE1全部启用MP BGP 44 HoVPN配置 SPE1 configipvpn instancevpnaroute distinguisher100 1vpn target1 1export extcommunityvpn target1 1import extcommunitybgp100peer11 11 11 11as number100peer55 55 55 55as number100peer11 11 11 11connect interfaceLoopBack1000peer55 55 55 55connect interfaceLoopBack1000 ipv4 familyvpnv4policyvpn targetpeer11 11 11 11enablepeer11 11 11 11upepeer11 11 11 11default originatevpn instancevpna 暗含对R5的RR配置 peer55 55 55 55enable 45 第1章VPN概述第2章MPLSL3VPN转发过程第3章跨AS的MPLSL3VPN实现 46 MPLS跨域解决方案 随着MPLS VPN应用范围的扩展 网络规模的扩充 逐渐的出现了在不同的AS之间开通MPLS VPN业务的需求 目前比较流行的解决方案有三种 VRF VRF方案 单跳 M EBGP方案Multi Hop EBGP方案 47 VRF VRF解决方案 VRF VRF解决方案技术上最简单的 没有在 AS内部的MPLS VPN 上作任何扩展 完全应用已有技术实现 ASBR对等体间 通过划分子接口方式 每个子接口分别绑定一个VRF 保证域间传播路由的私有性 ASBR对等体间 只运行普通BGP 不运行LDP 交互IPV4路由 每个PE ASBR路由器都把对方PE ASBR路由器当做CE路由器看待 比较适合运用在AS域间交互VPN VRF 数量较少的情况 但是扩展性较差 48 VRF VRF组网结构 VPN A 1 PE 1 VPN A 2 PE 2 CE 4 VPN B 1 CE 2 CE 1 CE 3 VPN B 2 Onelogicalinterface VRFperVPNclient PE ASBR 1 PE ASBR 2 AS 100 AS 200 VRFtoVRFConnectivitybetweenPE ASBRs 49 VRF VRF控制平面 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 BGP OSPF RIPv2152 12 4 0 24 NH CE 2 VPN v4update RD 1 27 152 12 4 0 24 NH PE 1RT 1 222 Label 29 VPN BVRFImportrouteswithroute target1 222 BGP OSPF RIPv2152 12 4 0 24NH PE ASBR1 VPN v4update RD 1 27 152 12 4 0 24 NH PE ASBR 2RT 1 222 Label 92 VPN BVRFImportrouteswithroute target1 222 BGP OSPF RIPv2152 12 4 0 24 NH PE 2 50 VRF VRF转发平面 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 152 12 4 1 LDPPE ASBR 2Label92152 12 4 1 152 12 4 1 LDPPE 1Label29152 12 4 1 152 12 4 1 51 单跳 M EBGP方案 PE ASBR对等体之间建立单跳的MP EBGP邻接体 传递VPN IPV4路由 不运行IGP和LDP PE ASBR对等体之间传递私网路由时 因为EBGP邻居关系 需要改变路由的下一跳 所以需要交换内层标签 接收端PE ASBR 可以使用next hop local命令 强制修改路由的下一跳 同时再次交换内层标签 通告给MP IBGP邻居 如果没有配置next hop local命令 需要把direct路由重分布 import route 到IGP中 PE ASBR路由器上需要保存所有域间的私网路由 对于ASBR路由器来说 压力较大 和VRF VRF方式相比 具有更好的扩展性 52 单跳 M EBGP组网 VPN A 1 PE 1 VPN A 2 PE 2 CE 4 VPN B 1 CE 2 CE 1 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 AS 100 AS 200 MP eBGPforVPNv4 LabelexchangebetweenGatewayPE ASBRroutersusingMP eBGP MP BGPVPNv4prefixexchangebetweenGatewayPE ASBRs 53 单跳 M EBGP控制平面 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 BGP OSPF RIPv2152 12 4 0 24 NH CE 2 VPN v4update RD 1 27 152 12 4 0 24 NH PE 1RT 1 222 Label L1 VPN v4update RD 1 27 152 12 4 0 24 NH PE ASBR 2RT 1 222 Label L3 BGP OSPF RIPv2152 12 4 0 24 NH PE 2 VPN v4update RD 1 27 152 12 4 0 24 NH PE ASBR 1RT 1 222 Label L2 54 单跳 M EBGP转发平面 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 152 12 4 1 LDPPE ASBR 2LabelL3152 12 4 1 152 12 4 1 L3 L2 152 12 4 1 LDPPE 1LabelL1152 12 4 1 152 12 4 1 L1 152 12 4 1 55 单跳 M EBGP方案的扩展 单跳 M EBGP方案中 PE ASBR既是BGPV4的ASBR 又是MBGPV4的ASBR 保存于所有的公网和私网路由 路由数目巨大 从网络分层角度分析 核心层并不希望维护汇聚层的私网路由 毕竟私网路由条目又多又散 目前许多运营商国干上还没有部署MPLS 但是各省干网络上部署MPLSVPN业务 要实现各省网跨域的MPLSVPN业务的互通 单跳 M EBGP方案实现不了 我们假设一下 如果 单跳 能扩展到逻辑链路上 那么MBGPV4ASBR的位置就比较随意了 BGPv4的ASBR不再必须启动MBGP 也实现了BGPv4ASBR与MBGPASBR的分离 流行的扩展解决方案 MPLS VPNoverGRE 56 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 152 12 4 1 LDPPE ASBR 2Label92152 12 4 1 152 12 4 1 LDPPE 1Label29152 12 4 1 152 12 4 1 OptionA 57 OptionAconfig 配置VRF to VRF方式的跨域VPN 配置ASBR PE1 创建VPN实例 并将此实例绑定到连接ASBR PE2的接口 ASBR PE1认为ASBR PE2是自己的CE ASBR PE1 ipvpn instancevpna ASBR PE1 vpn instance vpna route distinguisher100 1 ASBR PE1 vpn instance vpna vpn target100 1 ASBR PE1 interfacepos2 0 0 ASBR PE1 Pos2 0 0 ipbindingvpn instancevpna ASBR PE1 Pos2 0 0 ipaddress192 1 1 124 配置ASBR PE2 创建VPN实例 并将此实例绑定到连接ASBR PE1的接口 ASBR PE2认为ASBR PE1是自己的CE ASBR PE2 ipvpn instancevpna ASBR PE2 vpn instance vpna route distinguisher200 1 ASBR PE2 vpn instance vpna vpn target100 1 ASBR PE2 interfacePos2 0 0 ASBR PE2 Pos2 0 0 ipbindingvpn instancevpna ASBR PE2 Pos2 0 0 ipaddress192 1 1 224 58 配置ASBR PE1 与ASBR PE2建立EBGP对等体 ASBR PE1 bgp100 ASBR PE1 bgp ipv4 familyvpn instancevpna ASBR PE1 bgp vpna peer192 1 1 2as number200 配置ASBR PE2 与ASBR PE1建立EBGP对等体 ASBR PE2 bgp200 ASBR PE2 bgp ipv4 familyvpn instancevpna ASBR PE2 bgp vpna peer192 1 1 1as number100 59 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 BGP OSPF RIPv2152 12 4 0 24 NH CE 2 VPN v4update RD 1 27 152 12 4 0 24 NH PE 1RT 1 222 Label L1 VPN v4update RD 1 27 152 12 4 0 24 NH PE ASBR 2RT 1 222 Label L3 BGP OSPF RIPv2152 12 4 0 24 NH PE 2 VPN v4update RD 1 27 152 12 4 0 24 NH PE ASBR 1RT 1 222 Label L2 OptionB 60 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 152 12 4 1 LDPPE ASBR 2LabelL3152 12 4 1 152 12 4 1 L3 L2 152 12 4 1 LDPPE 1LabelL1152 12 4 1 152 12 4 1 L1 152 12 4 1 OptionB 61 OptionBconfig 配置跨域VPN OptionB方式 配置ASBR PE1 在与ASBR PE2相连的接口Pos2 0 0上使能MPLS ASBR PE1 interfacePos2 0 0 ASBR PE1 Pos2 0 0 ipaddress192 1 1 124 ASBR PE1 Pos2 0 0 mpls 配置ASBR PE1 与ASBR PE2建立MP EBGP对等体 并且不对接收的VPNv4路由进行VPN target过滤 ASBR PE1 bgp100 ASBR PE1 bgp peer192 1 1 2as number200 ASBR PE1 bgp ipv4 familyvpnv4 ASBR PE1 bgp af vpnv4 peer192 1 1 2enable ASBR PE1 bgp af vpnv4 undopolicyvpn target 62 PE 1 PE 2 VPN B 1 CE 2 CE 3 VPN B 2 PE ASBR 1 PE ASBR 2 152 12 4 0 24 BGP OSPF RIPv2152 12 4 0 24 NH CE 2 VPN v4update RD 1 27 152 12 4 0 24 NH PE 1RT 1 222 Label L1 VPN v4update RD 1 27 152 12 4 0 24 NH PE ASBR 2RT 1 222 Label L3 BGP OSPF RIPv2152 12 4 0 24 NH PE 2 VPN v4update RD 1 27 152 12 4 0 24 NH PE ASBR 1RT 1 222 Label L2 IGP LDPexchangeofPE ASBR 1 OptionC 63 OptionCconfig 1 PE1与PE2建立MP EBGP对等体 配置PE1 PE1 bgp100 PE1 bgp peer4 4 4 9as number200 PE1 bgp peer4 4 4 9connect interfaceLoopBack1 PE1 bgp peer4 4 4 9ebgp max hop10 PE1 bgp ipv4 familyvpnv4 PE1 bgp af vpnv4 peer4 4 4 9enable 配置PE2 PE2 bgp200 PE2 bgp peer1 1 1 9as number100 PE2 bgp peer1 1 1 9connect interfaceLoopBack1 PE2 bgp peer1 1 1 9ebgp max hop10 PE2 bgp ipv4 familyvpnv4 PE2 bgp af vpnv4 peer1 1 1 9enable 配置ASBR PE1 将PE1的Loopback地址发布给ASBR PE2 进而发布给PE2 ASBR PE1 bgp100 ASBR PE1 bgp import routeospf1 配置ASBR PE2 将PE2的Loopback地址发布给ASBR PE1 进而发布给PE1 ASBR PE2 bgp200 ASBR PE2 bgp import routeospf1 64 配置标签IPv4路由交换 配置PE1 使能与ASBR PE1交换标签IPv4路由的能力 PE1 bgp100 PE1 bgp peer2 2 2 9label route capability 配置ASBR PE1 在与ASBR PE2相连的接口POS2 0 0上使能MPLS ASBR PE1 interfacepos2 0 0 ASBR PE1 Pos2 0 0 ipaddress192 1 1 124 ASBR PE1 Pos2 0 0 mpls 配置ASBR PE1 创建路由策略 ASBR PE1 route policypolicy1permitnode1 ASBR PE1 route policy applympls label ASBR PE1 route policypolicy2permitnode1 ASBR PE1 route policy if matchmpls label ASBR PE1 route policy applympls label 配置ASBR PE1 对向PE1发布的路由应用路由策略 并使能与PE1交换标签IPv4路由的能力 ASBR PE1 bgp100 ASBR PE1 bgp peer1 1 1 9route policypolicy2export ASBR PE1 bgp peer1 1 1 9label route capability 配置ASBR PE1 对向ASBR PE2发布的路由应用路由策略 并使能与ASBR PE2交换标签IPv4路由的能力 ASBR PE1 bgp peer192 1 1 2as number200 A