MPLS VPN原理与配置

小豌豆-努力版2024-05-25 22:49

1.MPLS VPN概述

（1）MPLS VPN定义

（2）MPLS VPN网络架构

CE：用户网络边缘设备，有接口直接与运营商网络相连。CE可以是路由器或交换机，也可以是一台主机。通常情况下，CE"感知"不到VPN的存在，也不需要支持MPLS。

PE：运营商边缘路由器，是运营商网络的边缘设备，与CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上，对PE性能要求较高。

P：运营商网络中的骨干路由器，不与CE直接相连。P设备只需要具备基本MPLS转发能力，不维护VPN相关信息。

站点的含义可以从下述几个方面理解：

站点是指相互之间具备IP连通性的一组IP系统，并且这组IP系统的IP连通性不需通过运营商网络实现。

站点的划分是根据设备的拓扑关系，而不是地理位置。如图所示，公司A的X省网络和公司A的Y省网络需要通过运营商的骨干网进行互联，所以它们被划分为两个站点。若在当前X省网络和Y省网络的CE之间增加一条物理专线，不需要通过运营商网络就可以互通，那么这两张网络就是一个站点。

站点与VPN的关系：

对于多个连接到同一服务提供商网络的站点，通过制定策略，可以将它们划分为不同的集合，只有属于相同集合的站点之间才能通过服务提供商网络互访，这种集合就是VPN。

一个Site中的设备可以属于多个VPN，换言之，一个Site可以属于多个VPN。

注：也有可能出现站点为一台主机的情况，此时该主机就是CE设备。本课程仅讨论站点是一个或多个子网，用路由器或交换机作为CE的情况。

2.MPLS VPN路由交互

（1）MPLS VPN 路由发布概述

（2）CE与PE之间的路由信息交换

（3）入口PE到出口PE路由传递（1）

（4）VRF

（5）RD

（6）VPN-IPv4地址

（7）MP-BGP

（8）入口PE到出口PE路由传递（3）

（9）RT

（10）入口PE到出口PE路由传递（4）

（11）数据转发时遇到的问题

（12）通过标签解决问题

（13）入口PE到出口PE路由传递（5）

PE上分配私网标签的方法有如下两种：

基于路由的MPLS标签分配：为VPN路由表的每一条路由分配一个标签（one label per route）。这种方式的缺点是：当路由数量比较多时，设备入标签映射表ILM（Incoming Label Map）需要维护的表项也会增多，从而提高了对设备容量的要求。

基于VPN实例的MPLS标签分配：为整个VPN实例分配一个标签，该VPN实例里的所有路由都共享一个标签。使用这种分配方法的好处是节约了标签。

私网路由交叉：VPNv4路由与本地VPN实例的VPN-Target进行匹配的过程称为私网路由交叉。PE在收到VPNv4路由后，既不进行优选，也不检查隧道是否存在，直接将其与本地的VPN实例进行交叉。

隧道迭代：为了将私网流量通过公网传递到另一端，需要有一条公网隧道承载这个私网流量。因此私网路由交叉完成后，需要根据目的IPv4前缀进行路由迭代，即该IPv4路由的下一跳有对应的LSP存在；只有隧道迭代成功，该路由才被放入对应的VPN实例路由表。

（14）MPLS VPN中的路由交互全过程

3.MPLS VPN报文转发

（1）报文转发过程（1）

（2）报文转发过程（2）

（3）报文转发过程（3）

（4）报文转发过程（4）

4.MPLS VPN报文转发

（1）配置命令-VPN实例配置（1）

（2）配置命令-VPN实例配置（2）

（3）配置命令-MP-BGP配置

（4）配置命令-PE与CE间路由配置

（5）MPLS VPN案例

A公司总部和PE之间才用OSPF交互路由信息，A公司分部和PE之间才用BGP交互路由信息，B公司总部和PE之间才用静态路由交互路由信息，B公司分部和PE之间才用ISIS交互路由信息。

A-zongbu\]ospf 1 \[A-zongbu-ospf-1\]area 0 \[A-zongbu-ospf-1-area-0.0.0.0\]network 192.168.8.8 0.0.0.0 \[A-zongbu-ospf-1-area-0.0.0.0\]network 201.1.1.8 0.0.0.0 \[AR1\]ip vpn-instance A \[AR1-vpn-instance-A\]route-distinguisher 11:11 \[AR1\]inter g0/0/1 \[AR1-GigabitEthernet0/0/1\]ip binding vpn-instance A Info: All IPv4 related configurations on this interface are removed! Info: All IPv6 related configurations on this interface are removed! \[AR1-GigabitEthernet0/0/1\]ip add 201.1.1.1 24 \[AR1\]ospf 2 vp \[AR1\]ospf 2 vpn-instance A \[AR1-ospf-2-area-0.0.0.0\]network 201.1.1.1 0.0.0.0 \[AR3\]ip vpn-instance A \[AR3-vpn-instance-A\]route-distinguisher 22:22 \[AR3\]inter g0/0/0 \[AR3-GigabitEthernet0/0/0\]ip binding vpn-instance A Info: All IPv4 related configurations on this interface are removed! Info: All IPv6 related configurations on this interface are removed! \[AR3-GigabitEthernet0/0/0\]ip add 202.1.1.1 24 \[AR3\]bgp 123 \[AR3-bgp\]ipv4-family vpn-instance A \[AR3-bgp-A\]peer 202.1.1.9 as-number 65888 \[A-fenbu\]bgp 65888 \[A-fenbu-bgp\]peer 202.1.1.1 as-number 123 BGP除了ipv4 地址族默认激活外，其他的都是没有激活的 \[AR3-bgp\]ipv4-family vpn-instance A \[A-fenbu-bgp\]network 192.168.9.8 32 \[AR3\]dis ip routing-table vpn-instance A (查看是否学到A公司分部的BGP路由) ![](https://file.jishuzhan.net/article/1794380179708055553/01f3071491baf492371e22a3c3725ad7.webp) \[AR1\]mpls lsr-id 10.0.1.1 \[AR1\]mpls \[AR1-mpls\]q \[AR1\]mpl ldp \[AR1\]inter g0/0/0 \[AR1-GigabitEthernet0/0/0\]mpls \[AR1-GigabitEthernet0/0/0\]mpls ldp \[AR2\]mpls lsr-id 10.0.2.2 \[AR2\]mpls \[AR2-mpls\]q \[AR2\]mpls ldp \[AR2-mpls-ldp\]q \[AR2\]inter g0/0/0 \[AR2-GigabitEthernet0/0/0\]mpls ldp \[AR2\]inter g0/0/1 \[AR2-GigabitEthernet0/0/1\]mpls \[AR2-GigabitEthernet0/0/1\]mpls ldp \[AR3\]mpls lsr-id 10.0.3.3 \[AR3\]mpls \[AR3\]mpls ldp \[AR3-mpls-ldp\]q \[AR3\]inter g0/0/1 \[AR3-GigabitEthernet0/0/1\]mpls \[AR3-GigabitEthernet0/0/1\]mpls ldp 查看会话是否正常： \[AR2\]dis mpls ldp session all 查看有没有发标签： \[AR2\]dis mpls lsp ![](https://file.jishuzhan.net/article/1794380179708055553/24965647ef7220c186d0aa837fb16d05.webp) \[AR1\]ip vpn-instance A \[AR1-vpn-instance-A\]vpn-target 100:1 import-extcommunity \[AR1-vpn-instance-A\]vpn-target 100:1 export-extcommunity \[AR3\]ip vpn-instance A \[AR3-vpn-instance-A\]vpn-target 100:1 （标识导入导出的流量） IVT Assignment result: Info: VPN-Target assignment is successful. EVT Assignment result: Info: VPN-Target assignment is successful. \[AR1\]bgp 123 \[AR1-bgp\]peer 10.0.3.3 as-number 123 \[AR1-bgp\]peer 10.0.3.3 c l 0 \[AR1-bgp\]peer 10.0.3.3 next-hop-local （对方下一跳的值为我本身） \[AR1-bgp\]ipv4-family vpnv4 \[AR1-bgp-af-vpnv4\]peer 10.0.3.3 enable （启用VPNV4让路由器可以传递VPNV4路由） \[AR3\]bgp 123 \[AR3-bgp\]peer 10.0.1.1 as 123 \[AR3-bgp\]peer 10.0.1.1 c l 0 \[AR3-bgp\]peer 10.0.1.1 next-hop-local \[AR3-bgp\]ipv4-family vpnv4 \[AR3-bgp-af-vpnv4\]peer 10.0.1.1 enable \[AR1\]dis bgp vpnv4 all peer（查看邻居是否正常） ![](https://file.jishuzhan.net/article/1794380179708055553/26070df7d73681cfc127aa84d00839cf.webp) \[AR1\]bgp 123 \[AR1-bgp\]ipv4-family vpn-instance A \[AR1-bgp-A\]import-route ospf 2 \[AR1-bgp\]dis bgp vpnv4 vpn-instance A routing-table （查看路由实例） ![](https://file.jishuzhan.net/article/1794380179708055553/68f7ac29a3419e4caacbe6db5194b0f5.webp) \[AR1\]ospf 2 \[AR1-ospf-2\]im \[AR1-ospf-2\]import-route bgp \[B-fenbu\]ip route-static 0.0.0.0 0.0.0.0 204.1.1.1 \[AR1\]ip vpn-instance B \[AR1-vpn-instance-B\]ro \[AR1-vpn-instance-B\]route-distinguisher 33:33 \[AR1-vpn-instance-B-af-ipv4\]vp \[AR1-vpn-instance-B-af-ipv4\]vpn-target 200:1 \[AR1-GigabitEthernet0/0/2\]ip binding vpn-instance B \[AR1-GigabitEthernet0/0/2\]ip add 204.1.1.1 24 \[AR1\]ip route-static vpn-instance B 192.168.8.0 24 204.1.1.8 \[AR1\]bgp 123 \[AR1-bgp\]ipv4-family vpn-instance B \[AR1-bgp-B\]import-route static \[AR3\]ip vpn-instance B \[AR3-vpn-instance-B\]route-distinguisher 44:44 \[AR3-vpn-instance-B-af-ipv4\]vpn-target 200:1 \[AR3-GigabitEthernet0/0/2\]ip binding vpn-instance B Info: All IPv4 related configurations on this interface are removed! Info: All IPv6 related configurations on this interface are removed! \[AR3-GigabitEthernet0/0/2\]IP ADD 203.1.1.1 24 \[AR3\]ISIS vpn-instance B \[AR3-isis-1\]network-entity 49.0001.0000.0000.0001.00 \[AR3-isis-1\]inter g0/0/2 \[AR3-GigabitEthernet0/0/2\]isis enable 1 \[B-zongbu\]isis 1 \[B-zongbu-isis-1\]network-entity 49.0001.0000.0000.0002.00. \[B-zongbu\]inter g0/0/0 \[B-zongbu-GigabitEthernet0/0/0\]isis enable 1 \[B-zongbu-LoopBack9\]isi enable 1 \[AR3\]dis isis peer vpn-instance B ![](https://file.jishuzhan.net/article/1794380179708055553/e35929e899bdc7de69f3b4fb033a85d8.webp) \[AR3\]isis \[AR3-isis-1\]im \[AR3-isis-1\]import-route bgp \[AR3-bgp\]ipv4-family vpn-instance B \[AR3-bgp-B\]import-route isis 1 查看vpn实例： dis IP v v ![](https://file.jishuzhan.net/article/1794380179708055553/3d2a46be0c1cfa4e51c7bc6fc59b3504.webp) ![](https://file.jishuzhan.net/article/1794380179708055553/21fdd2d48c874059b87d8439c9ebbb55.webp)

上一篇：Vue学习笔记3——事件处理

下一篇：Golang单元测试

热门推荐

01【图像处理与机器视觉】XJTU期末考点 02KGG转MP3工具|非KGM文件|解密音频 03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04海康Visionmaster-常见问题排查方法-启动阶段 05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑 06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高，一键全文降！文件格式不变，公式都保留的！07Coze扣子平台完整体验和实践（附国内和国际版对比）08DeepSeek各版本说明与优缺点分析 09VMware虚拟机安装Win7专业版保姆级教程（附镜像包）1020分钟拿下字节Coze工作流搭建全部知识点，保姆级小白教学干货密集