Overlay VPN:

? 由 ISP 负责完成客户之间内部路由信息的交换 , 形成的客户与客户之间的虚拟网络 . 例如 : MPLS VPN.

? 客户端无需任何跟 VPN 相关的操作 , VPN 的建立完全由 ISP来完成 .

MPLS VPN 网络设备结构

Customer Edge Device (CE)? 客户站点连接 ISP 的边界路由器

Provider Edge Device (PE)???? ISP 连接客户站点的边界路由器

Provider Device (P) ? ? ? ? ? ? ? ? ISP 内部核心设备

MPLS VPN 问题及解决方法

PE 设备如何区分不同客户站点的内部路由 ?

解决方法 : VRF (Virtual Router Forwarding)

PE 设备之间如何交互不同客户站点的内部路由 ?

解决方法 : MBGP - address-family VPNv4 / VRF

数据传输如何穿越 ISP 内部区域 ?

解决方法 : MPLS

VRF (Virtual Router Forwarding)

? 一种在路由器上构建虚拟路由器的技术 .

? 虚拟路由器的构建将产生虚拟路由表 , 不同虚拟路由器的虚拟路由表相互隔离 .

? 在某个虚拟路由器上收到数据包后 , 只能查询本路由器的 FIB 或是路由表 .

? 每个接口只能属于一个虚拟路由器 , 不同子接口可以划分给不同虚拟路由器 .

? 除了构建的虚拟路由器以外 , 还存在一台全局路由器 , 用于构建 ISP 内部路由表 .

? 虚拟路由表与全局路由表只能通过静态路由进行相互关联查询 .

? VRF 技术仅仅是为了分离路由表而存在

VRF 路由传递

路由交互的方式只有两种 : IGP 和 BGP

IGP 路由交互的问题 :

? 因为启用了 VRF 导致路由表被隔离 , 因此如果要使用 IGP 来交互路由信息 , 则要求 PE-P, P-P 设备之间也必须使用 VRF 接口互联 .

? 若使用上述方式解决 , 那么 P 设备上将需要大量的物理接口或者子接口 , 不现实 .

? 如果使用 IGP 交互路由也会导致核心内部设备路由表过于庞大 , 负担加重 .

? 综上所述 , IGP 不适用于交互 VRF 路由

路由交互的方式只有两种 : IGP 和 BGP

传统的 BGP 交互路由的问题 :

? 若用 BGP 交互路由 , 则需要先建立 TCP 连接 . TCP 连接的建立是依赖于路由表的 .

? 因为要交互的是 VRF 路由 , 因此也需要使用 VRF 路由来建立 TCP 连接 . 但是此时PE之间不存在对端的VRF路由.

? 因此传统的BGP也不适用与交互VRF路由

PE-PE VRF 路由交互解决方法 : MP-BGP (Multi Protocol BGP)

? MP-BGP 使用两个地址族 : vpnv4 和 ipv4 vrf 来完成 VRF 路由交互问题 Address-family ipv4 vrf [name]

? 该地址族针对于对应的 VRF 路由器构建 BGP 数据库 .

? VRF 路由器的 BGP 数据库用于收集该路由器上的路由信息 . Address-family vpnv4 unicast

? 该地址族使用全局的路由信息在 PE-PE 之间建立一个传输路由的通道 .

? 该通道自动转发本端所有 VRF 路由器的 BGP 数据库中的路由信息 .

VRF 路由的交互过程如下 :

? 通过 CE-PE 的路由协议 (IGP or BGP) 将客户路由传给 PE 上对应的 VRF 路由器, 并安装进 VRF 路由表中 .

? 将 VRF 路由表中的路由信息导入进入本路由器的 VRF BGP 数据库 .

? 通过 vpnv4 建立好的通道传输所有 VRF 路由器的 BGP 所收集的路由信息 .

? 对端 PE 收到 BGP 路由后再交由对应的 VRF 路由器 BGP 数据库 , 并且从 BGP 数据库导出到 VRF 路由表 .

? 通过 PE-CE 的路由协议 , 将导入 VRF 路由表的路由信息交互给 CE.

Note:

? VPNv4 针对进入通道路由 , 会自动将下一跳修改为 VPNv4 邻居的更新源地址 .

PE 针对 VRF 路由的导入或导出

动态 IGP:

? 将 VRF 路由表的路由信息导入进 VRF BGP 数据库的方法 : network or redistribute

? 将 VRG BGP 数据库的路由信息导出到 VRF 路由表的方法 : redistribute 静态路由 :

? VRF 路由表中的静态路由信息导入进 VRF BGP 数据库的方法 :network or redistribute

? 不需要考虑导出问题

VPN 通道中如何区分路由

? 所有 VRF BGP 数据库的路由信息全部使用一个相同的 VPNv4 通道传输 .

? 传输路由时 , 依靠 [RD+Prefix] 来区分路由 , 避免因为 BGP 的选路原则导致不同客户的相同路由无法传递的情况 .

? 但是 RD 值是个本地有效的概念 , 因此在对端 PE 接收路由无法区应该将路由交由本地的哪一台 VRF 路由器来处理 .

? 为了完成以上的路由区分问题 , 需要引入一个参数 : RT (Route Target)

?no bgp default route-target filter 来关闭该检测

?重分布后VPN V4学到的路由已导入BGP VRF数据库

Export Map & Import Map

? Export Map 用于修改 VRF 路由协议带的 Export RT 值 .

? 如果不携带参数 additional, 则 map 中设置的 RT 将覆盖 VRF 中原有的 export rt

? 如果携带参数 additional, 则 map 中设置的 RT 将追加在原有VRF RT 值之后 .

老师总结

MPLSVPN技术：
R2#show ip route vrf TM? //查看虚拟路由器路由表
R2#ping 28.1.1.8? //R2查全局路由表? show ip route
R2#ping vrf TM 28.1.1.8? //R2查看TM虚拟路由器的路由表

R2(config)#ip vrf Cisco? //创建VRF
R2(config-vrf)#exit
R2(config)#int f2/0
R2(config-if)#ip vr forwarding Cisco? //接口划分到VRF
R2(config-if)#ip address 26.1.1.2 255.255.255.0
R2(config-if)#no shutdown

R2#show ip vrf? //查看设备上的VRF和接口对应关系
VRF最大作用：让PE设备区分不同客户的私网路由，保存不同客户的私网路由至自己的虚拟路由表。
VRF本地有效，但是建立同一企业配置相同的VRF名字。

R2#show run | sec router ei
router eigrp 12345
?auto-summary
?!
?address-family ipv4 vrf TM? //由于28.1.1.2属于 VRF TM的虚拟路由器，因此需要进入地址簇专门network
? network 28.1.1.2 0.0.0.0
? no auto-summary
?exit-address-family

R2#show? ip eigrp interfaces? //全局路由器哪些接口运行了EIGRP
R2#show ip eigrp vrf TM interfaces?? //名字叫TM的虚拟路由器哪些接口运行了EIGRP
R2#show ip eigrp vrf TM neighbors? //查看名字叫TM的vrf路由器的EIGRP邻居

R2#show ip os neighbor? //查看全局和虚拟路由器的ospf邻居

BGP应用层协议，基于TCP 170端口号工作
BGP要建立邻居，首先建立邻居的两个地址之间要完成TCP三次握手，要想完成TCP三次握手，就需要两个地址之间有路由，能通。

BGP应用：
功能：建立IPV4的单播邻居，传递IPV4的单播路由----默认开启
????????? 建立IPV4的组播邻居
????????? 建立IPV6的单笔邻居
????????? 建立IPV6的组播邻居
????????? 建立VPNV4的邻居
????????? 。。。。。。。。。。

BGP两个模块：VRF模块---收集VRF路由，收集即将通过VPNV4模块传递的路由
?????????????????????? VPNV4模块--传递通过VRF模块收集的路由【VPMNV4路由】

VPNV4路由：32bit 的 IPV4路由 + 64bit的RD值 =96bit的VPNV4路由
RD值是本地有效的概念，但是RD值可以伴随32bit的IPV4路由进行传递。

R2#show bgp vpnv4 unicast all? //查看通过VRF模块收集的或者通过VPNV4模块学习到的路由
R2#show ip bgp vpnv4 vrf TM? //查看通过名字叫TM的VRF模块收集的或者通过VPNV4模块学习到的路由
R2#show bgp vpnv4 unicast all summary? //查看VPNV4的BGP邻居
R2#show bgp vpnv4 unicast all? //查看VPNV4的路由
R2#show bgp vpnv4 unicast all neighbors 123.5.5.5 advertised-routes? //查看R2给R5发送了哪些VPNV4路由
R2#clear bgp vpnv4 unicast *?? //清理VPNV4的BGP邻居，断开三次握手，并且重新发送更新
R2#clear bgp vpnv4 unicast * soft? //清理VPNV4的BGP邻居，重新发送更新

?控制VPNV4路由在PE设备之间的传递，需要使用RT值【路由目标】--全局唯一的概念--花钱的

?MPLSVPN控制层面路由传递
1、PE设备如何区分不同客户站点的私网路由---使用VRF隔离不同企业的私网路由
2、P设备如何区分不同客户站点的私网路由----PE设备的BGP VRF数据库如何如何不同客户站点的相同的路由---使用RD值--路由区分器
3、如何控制VPNV4路由在PE设备之间的传递，以及哪台PE的哪个VRF可以得到VPNV4通道传来的路由。----RT值--路由目标

[系统运维]CCIE-MPLS路由传递

?no bgp default route-target filter 来关闭该检测

?重分布后VPN V4学到的路由已导入BGP VRF数据库

老师总结