MPLS VPN范例.docx

MPLS VPN范例.docx

《MPLS VPN范例.docx》由会员分享，可在线阅读，更多相关《MPLS VPN范例.docx（12页珍藏版）》请在冰豆网上搜索。

MPLSVPN范例

1.1MPLSVPN配置规范

1.1.1MPLS配置

1.1.1.1全局开启MPLS功能

配置说明：

当在BRAS上提供MPLSVPN功能，充当PE时，需要开启MPLS多协议标签交换功能。

规范要求：

SE800提供MPLSVPN功能，充当PE时，在运行mpls的contextlocal上行口开启MPLS功能。

配置规范（参考）：

#开启MPLS交换功能

[local]Redback（config-ctx）#routermpls

[local]Redback（config-mpls）#interfacege-2/0.180

[local]Redback（config-mpls）#interfacege-1/1.180

!

#开启LDP标签分发协议

[local]Redback（config-ctx）#routerldp

[local]Redback（config-ldp）#interfacege-2/0.180

[local]Redback（config-ldp）#interfacege-1/1.180

配置验证：

[local]Redback（config）#showmpls

[local]Redback（config）#showldpneighbor

配置注意细节：

无。

1.1.1.2LDProuter-id

配置说明：

配置LSRID（即MPLSrouter-id）时，请注意以下情况：

ØLSRID使用IPv4地址格式，在MPLS域内唯一。

Ø通常使用Loopback接口的IPv4地址作为LSRID。

ØLSR没有缺省的LSRID，必须手工配置。

配置了LSRID后，还需要使能MPLS，之后才可以进行其它MPLS特性的配置。

ØLSRID与两字节的标签空间序号一起构成LDPIdentifier，用于标识此LSR使用的标签空间，并用于LSR之间建立和维持LDP会话。

规范要求：

统一配置contextlocal的loopback地址为LSR-ID。

配置规范（参考）：

[local]Redback（config-ctx）#routerldp

[local]Redback（config-ldp）#router-id10.1.1.1

配置验证：

[local]SE800（config-ctx）#showldpsummary

配置注意细节：

无。

1.1.1.3LDP协议加密

配置说明：

缺省情况下，SE800对LDP的TCP连接没有加密。

为了提高LDP会话连接的安全性，可以对LDP使用的TCP连接配置MD5认证，但必须对建立LDP会话的两个对等体配置相同的认证密码。

规范要求：

根据业务需求，统一开启LDP协议加密功能，密码为：

******

配置规范：

[local]Redback（config-ctx）#routerldp

[local]Redback（config-ldp）#neighbor10.1.1.1password******

配置验证：

[local]SE800（config-ctx）#showldpneighbor

配置注意细节：

无。

1.1.1.4LDP标签发布和管理

配置说明：

1.标签分发方式

在MPLS体系中，由下游LSR决定将标签分配给特定FEC，再通知上游LSR。

即，标签由下游指定，标签的分配按从下游到上游的方向分发。

标签发布方式（LabelAdvertisementMode）分为两种：

Ø下游自主方式DU（DownstreamUnsolicited）：

对于一个特定的FEC，LSR无须从上游获得标签请求消息即进行标签分配与分发。

Ø下游按需方式DoD（DownstreamonDemand）：

对于一个特定的FEC，LSR获得标签请求消息之后才进行标签分配与分发。

具有标签分发邻接关系的上游LSR和下游LSR之间必须对使用的标签发布方式达成一致，否则LSP无法正常建立。

2.标签分配控制方式

标签分配控制方式（LabelDistributionControlMode）分为两种：

Ø独立标签分配控制（Independent）：

LSR可以在任意时间向与它连接的LSR通告标签映射（标签与FEC的绑定）。

这种方式可能导致在收到下游标签之前就发布了上游标签；

Ø有序标签控制方式（Ordered）：

对于LSR上某个FEC的标签映射，只有当该LSR已经具有此FEC下一跳的标签映射消息、或者该LSR就是此FEC的出口节点时，该LSR才可以向上游发送此FEC的标签映射。

3.标签保持方式

标签保持方式（LabelRetentionMode）是指LSR对收到的、但目前暂时用不到的标签映射的处理方式。

标签保持方式也分为两种：

Ø自由标签保持方式（Liberal）：

对于从邻居LSR收到的标签映射，无论邻居LSR是不是自己的下一跳都保留；

Ø保守标签保持方式（Conservative）：

对于从邻居LSR收到的标签映射，只有当邻居LSR是自己的下一跳时才保留。

当网络拓扑变化引起下一跳邻居改变时,使用自由标签保持方式，LSR可以直接利用原来非下一跳邻居发来的标签，迅速重建LSP,但就需要更多的内存和标签空间;而使用保守标签保持方式，由于LSR只保留了来自下一跳邻居的标签,节省了内存和标签空间,但LSP的重建会比较慢。

保守标签保持方式通常与DoD方式一起，用于标签空间有限的LSR。

规范要求：

配置标签发布方式为下游自主DU，标签分配控制方式为有序方式ordered；标签保持方式为自由方式liberal。

配置规范：

SE800标签发布和管理使用默认即可，无需修改。

1.1.1.5LDP标签过滤

配置说明：

配置LDP标签过滤功能。

规范要求：

配置LDP标签过滤功能，只针对32位地址分发标签。

配置规范：

ipprefix-listloopback-only#ldp标签过滤prefix-list

descriptionforloopback

seq10permit0.0.0.0/0eq32

!

routerldp

label-bindingprefix-listloopback-onlyin

label-bindingprefix-listloopback-onlyout

explicit-nullprefix-listloopback-only

配置验证：

[local]SE800（config-ctx）#showipprefix-list

[local]SE800（config-ctx）#showconfig|b“routerldp”

配置注意细节：

无。

1.1.1.6LDP协议时间参数

配置说明：

统一LDP协议时间参数。

规范要求：

根据业务需求，统一规范，配置LDPhello时间间隔为5，helloholdtime时间为15秒。

本地和远端会话保持定时器时间间隔使用缺省即可。

配置LDPhello时间为15秒、helloholdtime时间为45秒。

配置规范：

[local]SE800（config-ctx）#routerldp

[local]SE800（config-ldp）#hellointerval15

[local]SE800（config-ldp）#helloholdtime45

配置验证：

[local]SE800（config-ctx）#showldpsummary

配置注意细节：

SE800默认ldphello时间间隔是5秒，helloholdtime时间为15秒。

如果两个ldp对等体的hello时间和helloholdtime时间不一致，则协商为两者之中最小的时间参数。

1.1.1.7配置范例

contextlocal#在contextlocal中开启MPLS功能

!

routermpls#开启MPLS标签转发功能

nterfacege-2/0.180

interfacege-1/1.180

!

routerldp#开启LDP标签分发协议

hellointerval15#调整ldphello时间

helloholdtime45#调整ldpholdtime时间

router-id10.1.1.1

interfacege-2/0.180

interfacege-1/1.180

neighbor10.1.1.1password******#ldp加密

label-bindingprefix-listloopback-onlyin#ldp标签过滤

label-bindingprefix-listloopback-onlyout

explicit-nullprefix-listloopback-only

ipprefix-listloopback-only#ldp标签过滤prefix-list

descriptionforloopback

seq10permit0.0.0.0/0eq32

!

1.1.2MP-BGP配置

1.1.2.1概述

在BRAS上提供MPLSVPN功能时，需在BRAS上开启MP-BGP协议，BRAS充当MPLSVPN的PE，向下终结CE接入，实现CE-PE路由交换，向上运行MP-BGP，交换用户VPN路由。

1.1.2.2MP-BGP部署策略

ØMP-BGPAS号

MP-BGP的AS号，除广州、深圳以外的城域网，采用与城域网globalBGP相同的AS号（即2004年163C3整合项目中为集团为城域网统一分配的AS号），广州、深圳两城域网由于历史原因，分别采用2004年163C3整合对城域网AS号调整前城域网的AS号（广州为64811、深圳为64812）。

ØMP-BGPpeering

PE路由器与其它Peer（PE与VPNRR，兼作PE-ASBR的业务路由器与其它PE-ASBR）建立邻居关系，update-source使用Loopback0地址，配置VPNv4地址族。

在不用globalBGP发布用户路由的SR/BRAS上，关闭（如果为缺省）IPV4BGP路由发布。

ØMP-BGP路由反射器

城域网内PE数量超过两台的，设置VPN路由反射器（VPNRR），VPNRR由SR兼作。

两RR采用相同或不同的Cluster-ID，分别与所有的PE建立MP-BGPpeering。

ØMPLSL3VPN跨域

城域内MPLSL3VPN与CN2（AS4809）进行跨域互连，现有的广东省MPLS核心网络（AS4813）在CN2具备跨域VPN能力后，不再承担省内或国内的跨域VPN互连功能。

Ø跨域实现方式

城域网与CN2之间的MPLSL3VPN跨域采用optionA，即back-to-back方式实现。

ØPE-ASBR的部署

城域网部署两台PE-ASBR.选择与CN2PE同机房的两台SR兼作城域网PE-ASBR，与CN2PE单GE互连，运行MP-EBGP。

ØMP-EBGP部署

采用端口地址建立MP-EBGP邻居；

城域网PE-ASBR与CN2PE互连地址不纳入城域网IGP；

PE-ASBR向城域网SR（PE）发送MP-EBGP路由时，增加next-hop-self属性。

ØPE与CE间路由实现

PE与客户端路由器CE之间可运行EBGP、Static以及RIPv2等多种路由协议，CE不需要支持MPLS。

在客户端路由器CE能够具备EBGP互联的情况，优先使用EBGP实现PE-CE互联，也可根据客户需求使用Static等路由协议，不建议使用OSPF、ISIS等路由协议。

采用EBGP协议与客户CE互联时，如客户没有AS号，建议使用私有的AS号，即使用64512~65535之间的AS号，且不能与全省城域网所占用的AS号重叠。

1.1.2.3BGProuter-id配置

配置说明：

配置BGProuter-id，唯一标识自治系统中的一台BGP路由器。

规范要求：

配置BGProuter-id地址为loopback0接口的IP地址，不使用BGP协议自动选举的router-id。

配置规范：

[local]Redback（config-ctx）#routerbgp100

[local]Redback（config-bgp）#router-id10.1.1.1

配置验证：

[local]Redback（config-ctx）#showbgpsum

配置注意细节：

无。

1.1.2.4BGPlog邻居变化信息

配置说明：

配置BGPlog邻居变化信息，记录BGP邻居变化。

规范要求：

记录BGPlog邻居变化信息。

配置规范：

[local]Redback（config-ctx）#routerbgp100

[local]Redback（config-bgp）#log-neighbor-changes

配置验证：

[local]Redback（config-ctx）#showconfig|i“log-neighbor-changes”

配置注意细节：

SE800缺省记录BGPlog邻居变化信息，缺省配置无需更改。

1.1.2.5关闭BGP同步和自动汇总

配置说明：

配置BGP协议的同步和自动汇总功能。

规范要求：

在城域网所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。

配置规范：

SE800缺省关闭BGP协议的同步和自动汇总功能，缺省设备不需要修改。

1.1.2.6BGP时间参数

配置说明：

配置BGP协议的Keepalive和Holdtime定时器，一个BGP对等体每隔Keepalive时间向邻居发送一个存活报文，如果Holdtime时间内没有必到邻居发送的存活报文，就认为这个邻居已死亡，从而结束会话。

规范要求：

调节BGPkeepalive时间为60s,holdtime时间为180s。

配置规范：

SE800缺省BGPkeepalive时间，holdtime时间默认分别为60s和180s，现有配置无需修改。

1.1.2.7BGPPeergroup命名

配置说明：

配置BGPpeergroup命名。

规范要求：

取PeerGroup两个单词的第一个字母，作为BGPPeerGroup命名前缀。

BRAS到MAN出口路由器或BGP路由反射器的IBGP邻居PeerGroup命名为pg+城市代码+MAN。

（例：

广州城域网IBGP邻居PeerGroup命名为：

pgGZMAN）

配置规范：

[local]Redback（config-ctx）#routerbgp100

[local]Redback（config-bgp）#peer-grouppgGZMANinternal#建立名为pgGZMAN的BGP邻居组

[local]Redback（config-bgp-peer-group）#update-sourceloopback

[local]Redback（config-bgp-peer-group）#next-hop-self

[local]Redback（config-bgp-peer-group）#noaddress-familyipv4unicast

[local]Redback（config-bgp-peer-group）#address-familyipv4vpn#启用MP-BGP功能

[local]Redback（config-bgp-peer-group）#exit

[local]Redback（config-bgp）#neighbor10.1.1.1internal#指定MP-BGP邻居地址

[local]Redback（config-bgp-neighbor）#peer-grouppgGZMAN#将邻居放入特定组

[local]Redback（config-bgp-neighbor）#exit

配置验证：

[local]Redback（config-bgp）#showconfig|b“routerbgp”

配置注意细节：

BGPPeerGroup命名前缀“pg”两个字符为小写，其它字符全部为大写。

1.1.2.8配置范例

routerbgp100

router-id10.1.1.1#配置bgprouter-id

log-neighbor-changes#log邻居变化信息

peer-grouppgGZMANinternal#建立名为pgGZMAN的BGP邻居组

update-sourceloopback

next-hop-self

noaddress-familyipv4unicast

address-familyipv4vpn#启用MP-BGP功能

!

neighbor10.1.1.1internal#指定MP-BGP邻居地址

peer-grouppgGZMAN#将邻居放入特定组