siqi global it training base cisco综合学习资料cisco综合学习资料-08-3-ce-pe

1、思琦网络科技有限公司 南京思琦网络科技有限公司SIQI 思琦全球 IT 培训基地CISCO（CCNACCNPCCIE）综合学习资料-08-3-CE-PE 1 / 25PROTOTYPE： QI FANDATE： 2020REVIEW： QI FAN、BAERDATE： 2020思琦网络科技有限公司 CONTENTS目录一、静态路由3二、rip3三、eigrp43.1 需要解决的问题43.2配置步骤54.1 配置步骤74.2 两端站点属于同一个 AS 时的问题84.3 AS 边界路由器上是否需要 next-hop-se

2、lf 的问题94.4 SOO(site of origin-BGP 的站点起源扩展团体属性)9五、ospf125.1两端 CE 在不同的区域中125.2两端 CE 在相同的区域中155.3外部路由的传递情况165.4小结175.5 sham-link195.6 MPLS VPN 中 ospf 的防环措施225.6.1 三类LSA 防环DN bit（DOWN bit 位）235.6.2 五类LSA 防环tag24 2 / 25思琦网络科技有限公司 08-3-CE-PE 一、静态路由在 PE 的VRF 中配置静态路由，并把这条静态路由重分布进 MP-BGP 中

3、 CE1： ip route 2 55 PE1： ip route vrf a 1 55 /添加基于 VRF 的静态主机路由sh ip rou vrf a/能看到这条新加的静态路由 把 VRF 中的静态路由重分布进 MP-BGP 中： router bgp 100address-family ipv4 vrf a redis staticsh ip bgp vpnv4 all/有路由了 sh ip bgp vpnv4 all nei adver

4、tised-routes/查看 MP-BGP 中向邻居通告的路由二、ripPE： router ripaddress-family ipv4 vrf a ver 2no aunet 3 / 25思琦网络科技有限公司 sh ip rou vrf a/能收到 CE 的路由 把 rip 重分布进 MP-BGP：router bgp 100address-family ipv4 vrf a redis ripsh ip bgp vpnv4 allsh ip bgp vpnv4 all 1/看 MP-BGP 里的这条路由，

5、metric 为 1，当 rip 重分布进 MP-BGP 时，把 rip 的 metric 直接复制到 BGP 的 MED（BGP 的 metric）属性里了 把 MP-BGP 重分布进 rip： router ripaddress-family ipv4 vrf aredis bgp 100 metric transparent/metric 仍为 1，把 MP-BGP 重分布进 rip 时，把 BGP 的 MED 属性再复制回rip 的metric，做到透明传输推荐 三、eigrp3.1 需要解决的问题 1.要让对端知道这条路由是源自哪里的因为 eigrp 存在两种表项： D来自于 eig

6、rpD EX不是来自于 eigrp2.eigrp 的 metric 传递问题 eigrp 的 metric 计算比较复杂，其实也可以复制到 BGP 的 MED 属性里，但无法做到透明传输。 因此使用 MP-BGP 的扩展团体属性来承载 eigrp 的上述两种信息，这个扩展属性是后来 才做出来，所以一开始 MPLS VPN 不支持CE-PE 之间跑 eigrp 4 / 25思琦网络科技有限公司 3.2 配置步骤 CE1： router eigrp 100 no aunet 1 net 5

7、5PE1： router eigrp 1/此时只是设置了 eigrp 的进程号，同一台路由器上可以启用多个进程号PE 上 AS 号和进程号要分开设置，因为可能要做到对不同 VRF 客户的支持（不同的客户可能分别属于不同的AS） address-family ipv4 vrf a/eigrp 支持路由上下文一个进程可以关联多个客户的 VRF autonomous-system 100/必须手动指定VRF 所属的 AS 号 no aunet 55注意：CE 上没有对 VRF 的支持，不需要也无法对 eigrp 进程号和 AS 号分开设置这种 设置只用于 MPL

8、S VPN 中的 PE 上 sh ip eig nei/空的 sh ip eig vrf a nei/有 VRF 的邻居sh ip rou vrf a/能收到 CE 的路由把 VRF 中的 eigrp 路由重分布进 MP-BGP 中：PE： router bgp 100address-family ipv4 vrf aredis eigrp 100/eigrp 的AS 号，在同一个 VRF 中，IOS 已限制只能引入该VRF 对应的eigrp AS 号。关联不同的VRF 地址族可以引入不同的客户 eigrp AS 号sh ip bgp vpnv4 allsh ip bgp vpnv4 all

9、2/eigrp 的 metric 被复制到 MP-BGP 里的MED 里了，具体的五个度量值都被放入 MP-BGP 的扩展团体属性中，所以可以实现透明传输 把 MP-BGP 重分布进 eigrp：router eigrp 1/进程号 5 / 25思琦网络科技有限公司 address-family ipv4 vrf aredis bgp 100 metric 1 1 1 1 1 /对端也是 AS100，因此并不使用这个种子度量值，因为要把它作为 eigrp 的内部路由透明传输。但还是必须要设置，否则重分布不进去（如果使用这个指定的种子度

10、量值，那么算出来的 metric 值会很大） CE 上：sh ip rou/D 表项3.3 什么情况下使用 eigrp 的种子度量值D 表项：两端都使用的是 eigrp，且 eigrp 的 AS 号一样，作为内部路由传输，并不使用重分 布时指定的种子度量值 D EX 表项：使用了重分布时指定的种子度量值产生 D EX 表项的情况： 1. 两边eigrp AS 号不一样 2. 其他的路由协议重分布进来 PE 上在VRF 中添加一条静态路由： ip route vrf a null0router bgp 100address-family ipv4

11、vrf a redis staticCE：sh ip rou/ D EX 表项（使用的是种子度量值）CE 的路由表： 6 / 25思琦网络科技有限公司 四、ipv4-BGP1. 支持路由上下文环境 2. 因为都是BGP，所以不需要做任何重分布操作 3. PE 上不需要做 next-hop-self（ipv4-BGP 和 MP-BGP 相结合的环境，下一跳自动变化） 4.1 配置步骤 CE1： router bgp 200bgp router-id nei remote 100/如果使用物理接口建立邻居 PE1： rou

12、ter bgp 100bgp router-id no bgp default ipv4-unicast/关闭的是全局路由表的 ipv4-BGP neighbor remote-as 100/和全局路由表关联 neighbor update-source Loopback0address-family vpnv4 neighbor activateneighbor send-community extendedaddress-family ipv4 vrf a/支持路由上下文环境，关联 VRF 后再跑 ipv4-BG

13、P nei remote 200/在 VRF 地址族下指邻居 nei activate/不用添加，IOS 会在 BGP 的 VRF 下自动添加这句虽然关闭了全局路由表的 ipv4-BGP，但VRF 中的 ipv4-BGP 默认仍是激活的 7 / 25思琦网络科技有限公司 验证 ipv4-BGP 邻居是否建立：CE1：sh ip bgp sumPE1： sh ip bgp sum/查看的是全局路由表的 ipv4-BGP 邻居，空 sh ip bgp vpnv4 all sum或： sh ip bgp vpnv4

14、 vrf a sum/查看某个 VRF 中的 ipv4-BGP 邻居，更加精确CE1 上起源路由： router bgp 200net 1 mask 55CE1：sh ip bgpPE1： sh ip rou vrf a/VRF 中能收到路由或： sh ip bgp vpnv4 vrf ash ip bgp vpnv4 all/MP-BGP 中能收到路由，对端 PE2 也能直接收到路由，并且是优的（下 一跳自动变化了） PE2： sh ip bgp vpnv4 vrf a nei advertised-routes/查看是否

15、通过 VRF 给CE2 发送 BGP路由 4.2 两端站点属于同一个 AS 时的问题由于两边站点都是AS200，则对端CE2 不会接收这条路由，但路由可以传递过去 解决方法： （1）CE2 上：有可能引起环路，不好。且 MPLS VPN 中 CE 端不应该做复杂的配置router bgp 200 8 / 25思琦网络科技有限公司 nei allowas-in（2）PE2 上：推荐 router bgp 100address-family ipv4 vrf anei as-override/只有关联了VRF 后

16、才支持这个参数，PE2 传路由给CE2 的候AS path 属性中变成：100 100CE2：有路由了sh ip roush ip bgp/AS path：100 1004.3 AS 边界路由器上是否需要 next-hop-self 的问题如果全部是普通的 ipv4-BGP 或全部是 MP-BGP 的情况，则需要在 PE1 上指向 PE2 的 IBGP 邻居时做 next-hop-self（因为是从 EBGP 传路由过来的），但 ipv4-BGP 和 MP-BGP 相结合的环境，下一跳自动变化，不需要做 PE1：sh ip bgp vpnv4 all/下一跳是 CE1PE2：sh ip bgp

17、 vpnv4 all/下一跳是 PE1 的环回口地址，自动转换的。PE1 自动将客户路由的下一跳改为自己，相当于自己重新生成了一次。 4.4 SOO(site of origin-BGP 的站点起源扩展团体属性)as-override 参数面临的问题：次优路径、可能产生环路SOO 属性也是放到 MP-BGP 的扩展团体属性中传递的 从站点进来的路由收到VRF 中，并通过 MP-BGP 传递时都带上SOO 属性 PE 上在 BGP 的 VRF 下指 nei 时可以设置一个SOO 属性（通过 route-map 调用）。意思是对 从这个邻居 CE 进来的BGP 路由做一个标记（标记站点起源） 9

18、/ 25思琦网络科技有限公司 都是一个VPN 客户，有两个站点，AS 号都是 200，其中一个站点中有两个CE： PE 上从同一个站点进来的路由标记为一样的 SOO 属性值（100:100），这样对同一个站点就不会给其发这条路由 从另一个站点进来的路由标记 SOO 属性值（200:200） 注意：在一个 PE 上，属于同一个客户 VPN 的，用同一个VRF 名称 使用 SOO 的前提： 1. CE 和 PE 之间跑的是 BGP2. 两个CE 之间已经通过其他路由协议互相学习了路由，且要优先使用 如果两个 CE 不属于同一个站点，CE 之间有其他路由协议做了

19、一条后门链路（备份用的，成本高），应该让数据优先走 MPLS VPN 骨干，这种情况不应该使用 SOO 10 / 25思琦网络科技有限公司 配置： route-map SOO per 10set extcommunity soo 100:100router bgp 100address-family ipv4 vrf anei route-map SOO in邻居收到的路由在重分布进 / 从这个 ipv4-BGPMP-BGP 时会上 SOO 的标记 需要软清使策略生效PE1：sh ip bgp vpnv4 all 11.11.11.

20、11/有携带 SOO 属性此时 PE2 不会向CE2 发送 BGP 路由： sh ip bgp vpnv4 vrf a nei advertised-routes 11 / 25思琦网络科技有限公司 五、ospf问题： 1. 路由重分布进来属于区域内还是区域外（stub area：不收 5 类的，只收 1、2、3 类（如果是重分布进来，就是 5 类） 2. ospf 是层次化的（两层），所有普通区域都要直接连接到骨干区域 0 上，中间是 MPLS 域，如何做到透明的互联 3. eigrp 和 rip 发送的是路由条目，但 ospf

21、是链路状态型协议，发送的是 LSA（CE-PE 之间 传递的是LSA） 把需要的信息全部放进 MP-BGP 的扩展团体属性中，做到透明传输 为做到透明传输： MPLS VPN 提供了一个超级骨干（比区域 0 还要高级）两个普通区域可以直接通过 MPLS VPN 的超级骨干通信，不需要区域 0， 但如果 CE 端内部有区域 0 则不行，区域 0 也必须直连到 MPLS则要起虚链路） VPN 的超级骨干（否5.1 两端 CE 在不同的区域中CE 和 PE 跑 ospf： CE1： router os 1net 1 a 1net 0.0.0

22、.0 a 1PE1： ospf 进程 1 已经是 MPLS 域内部底层的协议进程，属于全局路由表只能新建一个进程 2 关联一个VRF，ospf 不支持路由上下文环境 12 / 25思琦网络科技有限公司 router os 2 vrf a/开始自动选举 RID，注意只能在VRF 中选举 net a 1sh ip os nei或： sh ip os 2 neish ip rou vrf a/有路由sh ip os/有两个进程（其中进程 2 的 VRF 连接到 MPLS VPN 的超级骨干，并且是ABR） CE 和 PE

23、之间发送的是 1 类的LSA：sh ip os data把 VRF 中的 ospf 路由重分布进 MP-BGP： router bgp 100address-family ipv4 vrf aredis ospf 2 match internal external nssa-external/这样所有的都能重分布进来 把 ospf 重分布进 MP-BGP 时，默认只会重分布internal 的进来（1、2、3 类O、O IA） PE2： sh ip bgp vpnv4 all 1（1） metric 被复制到BGP 的 MED 属性中 （2） MP-BGP 中对于 ospf

24、 的扩展团体属性： 13 / 25思琦网络科技有限公司 ospfRT（ospf 路由类型）：中间的数字： 1区域内路由（1、2 类） 2区域间路由 44 类 5外部路由 注意：这里的数字并不能表示真正要发送的LSA 的类型，并非所见即所得 最后的数字：0O E11O E2ospf 的 RIDPE2 的根据以上这些信息可以判断出路由源自于哪里PE1： 14 / 25思琦网络科技有限公司 RT：区域 1区域间路由 RID 是PE1 的把 MP-BGP 的路由重分布进 ospf： router os 2/可以直接输入进程 2

25、，因为进程 2 已经划给 VRF a 了 redis bgp 100 subnetsCE2：sh ip rou/OIA 表项（本来就应该是区域间的）PE2：sh ip os data/MP-BGP 重分布进ospf 时，PE2 把路由通过 3 类 LSA 发给CE2sh ip os/做了重分布之后，不仅是 ABR 还是 ASBR（但是并没有发 5 类 LSA，而是发 3类 LSA） sh ip bgp vpnv4 all 1/RT：中间为 2（区域间的）5.2 两端 CE 在相同的区域中把 CE2 这端也改为 area 1（和 CE1 是同一个区域）CE2： 15 / 25

26、思琦网络科技有限公司 router os 1net 2 a 1net a 1PE2： router os 2net a 1PE2：sh ip bgp vpnv4 all 1/RT：中间为 2（还是区域间的）sh ip os data/还是发送 3 类的LSA 给 CE25.3 外部路由的传递情况 做一个 5 类 LSACE1： int lo1ip add 4 55router

27、os 1redis connected subnets route-map Croute-map C per 10match int lo1PE1： sh ip rou vrf a/有路由O E2sh ip bgp vpnv4 all/注意如果是默认的 match internal，则不会进 MP-BGPPE2： sh ip bgp vpnv4 all 4/RT:5 1O E2 传递过来的是 5 类，但不一定就向 CE 发 5类的 16 / 25思琦网络科技有限公司 RT：外部路由是针对整个 ospf 路由域的概念，不属于任何区域，所以

28、是 sh ip os data/发送的确实是 5 类的CE2：sh ip rou/O E25.4 小结 通过 MPLS VPN 网络传递 ospf 路由表项时，默认情况下： 区域间的过来是O IA区域内的过来也是O IA外部的 5 类过来是O E2如果 PE 通过 MP-BGP 收到两条去往同一目的地的路由（O E 和O IA 表项），只能收一条进 VRF，因为ospf 需要做选路判断：OO IAO E1O E2PE 认为对端都是区域间的关系，因为自己是 ABR。并且认为对端区域 1 或区域 0 都是平等 的，因为它直接连接到超级骨干区域（但重分布进来的关系会保留） 能不能成为

29、OIA 是通过 domain ID 来判断的： PE2 收到对端 PE1 传递过来的路由时，会比较 MP-BGP 路由的扩展属性中的 domain 否一致 1. 一致：O IA2. 不一致：全部都是O E 表项 ID 是domain ID 的值默认情况下等于 PE 上针对VRF 启用的 ospf 进程号 domain ID 的值是十六进制的表现形式 17 / 25思琦网络科技有限公司 sh ip os 2/可以看到本地 PE 的 domain ID 值将 O IA 变成 O E 的方法： 1. 改 VRF 的 ospf 进程号 2. 在 ospf 进程下

30、手动指定 domain IDPE2： router os 2domain-id /相当于 ospf 进程号为 3PE2： sh ip bgp vpnv4 all 1/RT：还是 2（区域间）sh ip os data/但发送的全是 5 类 LSA 给CE2CE2：sh ip rou/收到的路由全变成 O E2 了CE-PE 之间传递的是 LSA，但是进入到了 MP-BGP 中传递的是路由，所以无法做到透明的传递，也没有办法传递 1、2 类 LSA（1、2 类 LSA 才是真正的 LSA，3、4、5 类其实都是路由） 18 / 25思琦网络科技有限公司 www.

31、5.5 sham-link使 LSA 通过逻辑隧道跨越MPLS-VPN 的网络进行传递，这样可以实现透明传递 1、2 类 LSA应用场合： 1. 适用于必须让区域内的路由保持为 O 表项的情况（totally stub 区域不能收 3 类） 2. 存在后门链路（backdoor），但想让路由优选走 MPLS 网络的情况 因为 MP-BGP 只能把 3 类的 LSA（路由）发送过去 只能在 PE 之间打一条隧道（通过 sham-link 伪链路），让 1、2 类LSA 通过中间的 MPLS VPN网络进行传递O 表项 哪两个站点之间有后门，就在连接站点的那两个 PE

32、 上建一条 sham-link配置 sham-link： 19 / 25思琦网络科技有限公司 在完整的 MPLS VPN 域配置前提下继续做 sham-link： 1.在两端 PE 上各新建一个环回口（必须是 32 位的），并划分到连客户的 VRF 中 PE1： int lo1ip vrf for aip add 55/必须为 32 位，否则 sham-link 邻居无法正常建立 sh ip rou vrf a2.使环回口的地址互相可达，因为 sham-link 要建立邻居关系只能是通过 MP-BGP 可达：

33、（1） 在 MP-BGP 中 network 此 32 位的环回口 （2） 或将此 32 位的环回口重分布进 MP-BGProuter bgp 1address-family ipv4 vrf anetwork mask 55或： router bgp 100address-family ipv4 vrf a redistribute connected route-map C 20 / 25思琦网络科技有限公司 route-map C permit 10match interface Loopback1sh ip bgp vpnv4 all/有环回口路由了 ping vrf a source /可以 ping 通3.到和客户关联的 VRF 的 ospf 进程下去做 sham-link以这两个环回口地址为互相的端点进行配置 PE1： router os 2a