MPLS/VPN基本原理及在ZXR10中的配置

　　路由學習過程

　　在一個用戶站點能夠將VPN業(yè)務轉發(fā)到遠端站點之前，必須將VPN路由信息從每個用戶站點通過骨干網轉發(fā)至其他用戶站點。PE路由器從其直連的CE路由器學習路由，入口PE通過骨干網向出口PE發(fā)布路由，出口PE路由器將路由發(fā)布至CE。

　　標簽轉發(fā)過程

　　在網絡中，只有PE及P路由器運行標簽轉發(fā)協(xié)議，

　　圖6中CE1與CE3客戶屬于同一VPN。當CE1的客戶需要向CE3客戶發(fā)送信息時：

　　CE1路由器查找路由表，將數據包發(fā)給PE1路由器；

　　PE1路由器發(fā)現CE1屬于VRF1，查找VRF1表，找到目的地址下一跳為MP-BGP對等體路由器PE2；

　　PE1路由器查找路由表知到達對等體PE2的直連下一跳為P1路由器；

　　給該數據包分配標簽，將該數據包轉發(fā)給P1路由器；

　　該數據包通過中間P路由器標簽轉發(fā)，到達PE2；

　　PE2彈出標簽。查找VRF1路由，將該數據包轉發(fā)給CE3；

　　到達CE3客戶。

　　MPLS/VPN的幾種典型組網

　　MESH方式

圖7 典型的組網圖

　　MESH方式為普通VPN業(yè)務，是客戶對VPN的最基本的需求。

　　基本的VPN服務要求相同的VPN客戶之間能相互通信，而不同的VPN客戶間不能通信。典型的組網圖如圖7所示，VPN1間互相通信，VPN2間互相通信，而VPN1與VPN2間不能通信。

　　HUB-SPOKE方式

　　對于有很多子公司的大客戶來說，普通的VPN業(yè)務可能無法滿足其需求。通?？偣究赡苄枰O(jiān)控子公司間的通信，同時要能夠與各子公司直接通信。這就要求子公司間通信時必須經過總公司中轉。

圖8  HUB-SPOKE方式

　　一種典型的組網圖如圖8所示，總公司可以直接與子公司1、子公司2通信，而子公司1和子公司2間通信時必須經過總司中轉，如此總公司可以監(jiān)控各子公司間的通信。其中PE-3為HUB路由器，PE-1及PE-2為SPOKE路由器。

　　INTERNET接入

　　VPN客戶間通信使用的是私網地址，可以自由規(guī)劃內部網絡，但同樣可能需要能連上INTERNET。

圖9  INTERNET接入

　　一種典型的組網圖如圖9所示，通過在VPN1的某個網關上提供NAT完成私網地址到公網地址的轉換即可完成INTERNET業(yè)務。

　　在ZXR10中配置MPLS/VPN

　　ZXR10中配置MPLS/VPN的基本步驟

　　目前ZXR10中MPLS/VPN應用最多的為T64E/T128及T32C/T64C等中高檔路由器產品。其中E系列中，T64E/T128支持 MPLS/VPN的常用單板有8端口FEI板、2端口GEI接口板、4端口POS3接口板、E1接口板。C系列中支持MPLS/VPN的常用單板有GEI 板、POS接口板。

　　對于T64E/T128而言，要配置MPLS/VPN業(yè)務必須使用V1.2以上版本或平臺版本，對于C系列路由器而言需要使用ros9302以上版本。在ZXR10中配置MPLS/VPN業(yè)務主要步驟如下。

　　1．在PE路由器上定義一個VPN名稱或者說一個VPN的轉發(fā)表（VRF）的名稱。名稱長度為1到16個字符。注意該名稱只是本地有效，在某個接口與VPN綁定時將使用到該名稱。

　　2．定義該VRF的路由標識符（RD）和路由目標（RT），定義導入導出策略，該策略將在MP-BGP中用來區(qū)分不同的VPN。

　　3．定義指定的接口與VRF關聯。如果這個接口預先配置了IP地址，那么需將原IP地址刪除，定義好關聯后，再行配置IP地址。

　　4．定義VRF路 由。PE路由器與CE路由器之間可以定義靜態(tài)路由，也可以運行動態(tài)路由協(xié)議。

　　5．配置MPBGP協(xié)議。PE路由器從CE路由器學習到VRF路由后，需要通過運行MPBGP協(xié)議通告給其他PE。配置MPBGP協(xié)議通常分以下三步：

　?。?）在BGP路由配置模式下，用neighbor命令指定PE對等體，必須是IBGP對等體；

　?。?）進入BGP的address-familaryvpnv4地址模式，激活該對等體；

　?。?）對于不同的VRF，將其路由（直連、靜態(tài)、OSPF、ISIS）重分布到MPBGP中進行通告。

　　MPSL/VPN配置實例

　　下面通過一個組網實例講述MPLS/VPN業(yè)務在ZXR10中的應用。實例中描述的是E系列路由器獨立組網配置。

圖10  E系列路由器獨立組網配置

　　圖10中，CE1和CE2在同一個VPN中，CE1的loopback地址為100.1.1.1/24，CE2的loopback地址為 200.1.1.1/24，需要能互相學習到對端的loopback路由。CE1與PE1之間運行BGP協(xié)議，CE2與PE2之間運行OSPF協(xié)議。