MPLS VPN范例.docx
《MPLS VPN范例.docx》由会员分享,可在线阅读,更多相关《MPLS VPN范例.docx(12页珍藏版)》请在冰豆网上搜索。
MPLSVPN范例
1.1MPLSVPN配置规范
1.1.1MPLS配置
1.1.1.1全局开启MPLS功能
配置说明:
当在BRAS上提供MPLSVPN功能,充当PE时,需要开启MPLS多协议标签交换功能。
规范要求:
SE800提供MPLSVPN功能,充当PE时,在运行mpls的contextlocal上行口开启MPLS功能。
配置规范(参考):
#开启MPLS交换功能
[local]Redback(config-ctx)#routermpls
[local]Redback(config-mpls)#interfacege-2/0.180
[local]Redback(config-mpls)#interfacege-1/1.180
!
#开启LDP标签分发协议
[local]Redback(config-ctx)#routerldp
[local]Redback(config-ldp)#interfacege-2/0.180
[local]Redback(config-ldp)#interfacege-1/1.180
配置验证:
[local]Redback(config)#showmpls
[local]Redback(config)#showldpneighbor
配置注意细节:
无。
1.1.1.2LDProuter-id
配置说明:
配置LSRID(即MPLSrouter-id)时,请注意以下情况:
ØLSRID使用IPv4地址格式,在MPLS域内唯一。
Ø通常使用Loopback接口的IPv4地址作为LSRID。
ØLSR没有缺省的LSRID,必须手工配置。
配置了LSRID后,还需要使能MPLS,之后才可以进行其它MPLS特性的配置。
ØLSRID与两字节的标签空间序号一起构成LDPIdentifier,用于标识此LSR使用的标签空间,并用于LSR之间建立和维持LDP会话。
规范要求:
统一配置contextlocal的loopback地址为LSR-ID。
配置规范(参考):
[local]Redback(config-ctx)#routerldp
[local]Redback(config-ldp)#router-id10.1.1.1
配置验证:
[local]SE800(config-ctx)#showldpsummary
配置注意细节:
无。
1.1.1.3LDP协议加密
配置说明:
缺省情况下,SE800对LDP的TCP连接没有加密。
为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置MD5认证,但必须对建立LDP会话的两个对等体配置相同的认证密码。
规范要求:
根据业务需求,统一开启LDP协议加密功能,密码为:
******
配置规范:
[local]Redback(config-ctx)#routerldp
[local]Redback(config-ldp)#neighbor10.1.1.1password******
配置验证:
[local]SE800(config-ctx)#showldpneighbor
配置注意细节:
无。
1.1.1.4LDP标签发布和管理
配置说明:
1.标签分发方式
在MPLS体系中,由下游LSR决定将标签分配给特定FEC,再通知上游LSR。
即,标签由下游指定,标签的分配按从下游到上游的方向分发。
标签发布方式(LabelAdvertisementMode)分为两种:
Ø下游自主方式DU(DownstreamUnsolicited):
对于一个特定的FEC,LSR无须从上游获得标签请求消息即进行标签分配与分发。
Ø下游按需方式DoD(DownstreamonDemand):
对于一个特定的FEC,LSR获得标签请求消息之后才进行标签分配与分发。
具有标签分发邻接关系的上游LSR和下游LSR之间必须对使用的标签发布方式达成一致,否则LSP无法正常建立。
2.标签分配控制方式
标签分配控制方式(LabelDistributionControlMode)分为两种:
Ø独立标签分配控制(Independent):
LSR可以在任意时间向与它连接的LSR通告标签映射(标签与FEC的绑定)。
这种方式可能导致在收到下游标签之前就发布了上游标签;
Ø有序标签控制方式(Ordered):
对于LSR上某个FEC的标签映射,只有当该LSR已经具有此FEC下一跳的标签映射消息、或者该LSR就是此FEC的出口节点时,该LSR才可以向上游发送此FEC的标签映射。
3.标签保持方式
标签保持方式(LabelRetentionMode)是指LSR对收到的、但目前暂时用不到的标签映射的处理方式。
标签保持方式也分为两种:
Ø自由标签保持方式(Liberal):
对于从邻居LSR收到的标签映射,无论邻居LSR是不是自己的下一跳都保留;
Ø保守标签保持方式(Conservative):
对于从邻居LSR收到的标签映射,只有当邻居LSR是自己的下一跳时才保留。
当网络拓扑变化引起下一跳邻居改变时,使用自由标签保持方式,LSR可以直接利用原来非下一跳邻居发来的标签,迅速重建LSP,但就需要更多的内存和标签空间;而使用保守标签保持方式,由于LSR只保留了来自下一跳邻居的标签,节省了内存和标签空间,但LSP的重建会比较慢。
保守标签保持方式通常与DoD方式一起,用于标签空间有限的LSR。
规范要求:
配置标签发布方式为下游自主DU,标签分配控制方式为有序方式ordered;标签保持方式为自由方式liberal。
配置规范:
SE800标签发布和管理使用默认即可,无需修改。
1.1.1.5LDP标签过滤
配置说明:
配置LDP标签过滤功能。
规范要求:
配置LDP标签过滤功能,只针对32位地址分发标签。
配置规范:
ipprefix-listloopback-only#ldp标签过滤prefix-list
descriptionforloopback
seq10permit0.0.0.0/0eq32
!
routerldp
label-bindingprefix-listloopback-onlyin
label-bindingprefix-listloopback-onlyout
explicit-nullprefix-listloopback-only
配置验证:
[local]SE800(config-ctx)#showipprefix-list
[local]SE800(config-ctx)#showconfig|b“routerldp”
配置注意细节:
无。
1.1.1.6LDP协议时间参数
配置说明:
统一LDP协议时间参数。
规范要求:
根据业务需求,统一规范,配置LDPhello时间间隔为5,helloholdtime时间为15秒。
本地和远端会话保持定时器时间间隔使用缺省即可。
配置LDPhello时间为15秒、helloholdtime时间为45秒。
配置规范:
[local]SE800(config-ctx)#routerldp
[local]SE800(config-ldp)#hellointerval15
[local]SE800(config-ldp)#helloholdtime45
配置验证:
[local]SE800(config-ctx)#showldpsummary
配置注意细节:
SE800默认ldphello时间间隔是5秒,helloholdtime时间为15秒。
如果两个ldp对等体的hello时间和helloholdtime时间不一致,则协商为两者之中最小的时间参数。
1.1.1.7配置范例
contextlocal#在contextlocal中开启MPLS功能
!
routermpls#开启MPLS标签转发功能
nterfacege-2/0.180
interfacege-1/1.180
!
routerldp#开启LDP标签分发协议
hellointerval15#调整ldphello时间
helloholdtime45#调整ldpholdtime时间
router-id10.1.1.1
interfacege-2/0.180
interfacege-1/1.180
neighbor10.1.1.1password******#ldp加密
label-bindingprefix-listloopback-onlyin#ldp标签过滤
label-bindingprefix-listloopback-onlyout
explicit-nullprefix-listloopback-only
ipprefix-listloopback-only#ldp标签过滤prefix-list
descriptionforloopback
seq10permit0.0.0.0/0eq32
!
1.1.2MP-BGP配置
1.1.2.1概述
在BRAS上提供MPLSVPN功能时,需在BRAS上开启MP-BGP协议,BRAS充当MPLSVPN的PE,向下终结CE接入,实现CE-PE路由交换,向上运行MP-BGP,交换用户VPN路由。
1.1.2.2MP-BGP部署策略
ØMP-BGPAS号
MP-BGP的AS号,除广州、深圳以外的城域网,采用与城域网globalBGP相同的AS号(即2004年163C3整合项目中为集团为城域网统一分配的AS号),广州、深圳两城域网由于历史原因,分别采用2004年163C3整合对城域网AS号调整前城域网的AS号(广州为64811、深圳为64812)。
ØMP-BGPpeering
PE路由器与其它Peer(PE与VPNRR,兼作PE-ASBR的业务路由器与其它PE-ASBR)建立邻居关系,update-source使用Loopback0地址,配置VPNv4地址族。
在不用globalBGP发布用户路由的SR/BRAS上,关闭(如果为缺省)IPV4BGP路由发布。
ØMP-BGP路由反射器
城域网内PE数量超过两台的,设置VPN路由反射器(VPNRR),VPNRR由SR兼作。
两RR采用相同或不同的Cluster-ID,分别与所有的PE建立MP-BGPpeering。
ØMPLSL3VPN跨域
城域内MPLSL3VPN与CN2(AS4809)进行跨域互连,现有的广东省MPLS核心网络(AS4813)在CN2具备跨域VPN能力后,不再承担省内或国内的跨域VPN互连功能。
Ø跨域实现方式
城域网与CN2之间的MPLSL3VPN跨域采用optionA,即back-to-back方式实现。
ØPE-ASBR的部署
城域网部署两台PE-ASBR.选择与CN2PE同机房的两台SR兼作城域网PE-ASBR,与CN2PE单GE互连,运行MP-EBGP。
ØMP-EBGP部署
采用端口地址建立MP-EBGP邻居;
城域网PE-ASBR与CN2PE互连地址不纳入城域网IGP;
PE-ASBR向城域网SR(PE)发送MP-EBGP路由时,增加next-hop-self属性。
ØPE与CE间路由实现
PE与客户端路由器CE之间可运行EBGP、Static以及RIPv2等多种路由协议,CE不需要支持MPLS。
在客户端路由器CE能够具备EBGP互联的情况,优先使用EBGP实现PE-CE互联,也可根据客户需求使用Static等路由协议,不建议使用OSPF、ISIS等路由协议。
采用EBGP协议与客户CE互联时,如客户没有AS号,建议使用私有的AS号,即使用64512~65535之间的AS号,且不能与全省城域网所占用的AS号重叠。
1.1.2.3BGProuter-id配置
配置说明:
配置BGProuter-id,唯一标识自治系统中的一台BGP路由器。
规范要求:
配置BGProuter-id地址为loopback0接口的IP地址,不使用BGP协议自动选举的router-id。
配置规范:
[local]Redback(config-ctx)#routerbgp100
[local]Redback(config-bgp)#router-id10.1.1.1
配置验证:
[local]Redback(config-ctx)#showbgpsum
配置注意细节:
无。
1.1.2.4BGPlog邻居变化信息
配置说明:
配置BGPlog邻居变化信息,记录BGP邻居变化。
规范要求:
记录BGPlog邻居变化信息。
配置规范:
[local]Redback(config-ctx)#routerbgp100
[local]Redback(config-bgp)#log-neighbor-changes
配置验证:
[local]Redback(config-ctx)#showconfig|i“log-neighbor-changes”
配置注意细节:
SE800缺省记录BGPlog邻居变化信息,缺省配置无需更改。
1.1.2.5关闭BGP同步和自动汇总
配置说明:
配置BGP协议的同步和自动汇总功能。
规范要求:
在城域网所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。
配置规范:
SE800缺省关闭BGP协议的同步和自动汇总功能,缺省设备不需要修改。
1.1.2.6BGP时间参数
配置说明:
配置BGP协议的Keepalive和Holdtime定时器,一个BGP对等体每隔Keepalive时间向邻居发送一个存活报文,如果Holdtime时间内没有必到邻居发送的存活报文,就认为这个邻居已死亡,从而结束会话。
规范要求:
调节BGPkeepalive时间为60s,holdtime时间为180s。
配置规范:
SE800缺省BGPkeepalive时间,holdtime时间默认分别为60s和180s,现有配置无需修改。
1.1.2.7BGPPeergroup命名
配置说明:
配置BGPpeergroup命名。
规范要求:
取PeerGroup两个单词的第一个字母,作为BGPPeerGroup命名前缀。
BRAS到MAN出口路由器或BGP路由反射器的IBGP邻居PeerGroup命名为pg+城市代码+MAN。
(例:
广州城域网IBGP邻居PeerGroup命名为:
pgGZMAN)
配置规范:
[local]Redback(config-ctx)#routerbgp100
[local]Redback(config-bgp)#peer-grouppgGZMANinternal#建立名为pgGZMAN的BGP邻居组
[local]Redback(config-bgp-peer-group)#update-sourceloopback
[local]Redback(config-bgp-peer-group)#next-hop-self
[local]Redback(config-bgp-peer-group)#noaddress-familyipv4unicast
[local]Redback(config-bgp-peer-group)#address-familyipv4vpn#启用MP-BGP功能
[local]Redback(config-bgp-peer-group)#exit
[local]Redback(config-bgp)#neighbor10.1.1.1internal#指定MP-BGP邻居地址
[local]Redback(config-bgp-neighbor)#peer-grouppgGZMAN#将邻居放入特定组
[local]Redback(config-bgp-neighbor)#exit
配置验证:
[local]Redback(config-bgp)#showconfig|b“routerbgp”
配置注意细节:
BGPPeerGroup命名前缀“pg”两个字符为小写,其它字符全部为大写。
1.1.2.8配置范例
routerbgp100
router-id10.1.1.1#配置bgprouter-id
log-neighbor-changes#log邻居变化信息
peer-grouppgGZMANinternal#建立名为pgGZMAN的BGP邻居组
update-sourceloopback
next-hop-self
noaddress-familyipv4unicast
address-familyipv4vpn#启用MP-BGP功能
!
neighbor10.1.1.1internal#指定MP-BGP邻居地址
peer-grouppgGZMAN#将邻居放入特定组