爱华网接上一篇博文:http://blog.sina.com.cn/s/blog_5ec353710101eihp.html
五、VRF Specify Defaultroute
Ip route vrf vrf-name 目的地 掩码 下一跳 global
关键点就是这条命令,该条静态路由本身最终是装载在VRF路由表中的,本来呢VRF路由表和全局路由表是隔离的,但是使用global关键字的话,我们可以让VRF表中的路由条目使用全局路由表的IP作为下一跳。然后呢再将这条VRF静态路由重发布进PE-CE路由协议,让VPN客户网络学习到;这样,大家就都知道怎么访问因特网了。 同时,PE上还需回指向Site内网的路由,这条路由是被添加在PE的全局路由表上,并将路由通告进Backbone网络,让Internetgateway也能学习到。那么当有数据要访问因特网的时候,数据包到达PE上连接CE的VRF接口,PE查看VRF路由表,下一跳关联到了全局路由表,于是按照下一跳进行转发,将数据包送到了Gateway。(原创博文,红茶三杯 http://weibo.com/vinsoney版权所有,转载请注明出处)
1.实验环境大环境和前面几个小节的差不多,不再赘述。
2.设备配置CE1的配置如下:router ospf 1 network 10.1.12.1 0.0.0.0 area 0 network 1.1.1.1 0.0.0.0 area 0
PE1的配置如下:ip route vrf cisco 0.0.0.0 0.0.0.0 3.3.3.3 global !!为VRF路由表创建一条默认路由,注意这条路由的下一跳,是在全局IP路由表里的,因此需使用global关键字。ip route 1.1.1.1 255.255.255.255 Ethernet0/0 !!指向CE1的回程路由!router ospf 100 !!Core内的IGP,这里不用理会network 2.2.2.2 0.0.0.0 area 0network 10.1.23.2 0.0.0.0 area 0!router ospf 1 vrf cisco redistribute bgp 234 subnets network 10.1.12.2 0.0.0.0 area 0 default-information originate !!将默认路由下发给CE1,以便它能学习到!router bgp 234no bgp default ipv4-unicastneighbor 3.3.3.3 remote-as 234neighbor 3.3.3.3 update-sourceLoopback0neighbor 4.4.4.4 remote-as 234neighbor 4.4.4.4 update-sourceLoopback0!address-family ipv4no synchronization neighbor 3.3.3.3 activate !!激活与P也就是R3的IPv4 BGP地址族为的是交互Internet路由,以及客户回程路由 network 1.1.1.1 mask255.255.255.255 !!将指向CE1的回程路由,通告给因特网出口也就是R3知道,不然,回程流量就会有问题 exit-address-family! address-family vpnv4 neighbor 4.4.4.4activate neighbor 4.4.4.4send-community extended exit-address-family!address-family ipv4 vrf cisco no synchronization redistribute ospf 1 vrf cisco matchinternal external 1 external 2exit-address-family
经过上面的配置,当1.1.1.1要访问100.100.100.100的时候,IP数据包发给了PE1,PE1是从VRF接口上收到这个数据包的,因此查找VRF路由表,结果被那条默认路由匹配住了:ip route vrf cisco 0.0.0.0 0.0.0.0 3.3.3.3 global 而默认路由的下一跳地址3.3.3.3在全局路由表里,因此又对下一跳地址在全局路由表里递归,得到下一跳10.1.23.3,于是将IP数据包直接转给10.1.23.3也就到了R3上。 那么接下去就是R3要回包了,由于我们在PE1上BGP的IPv4全局地址空间里通告了1.1.1.1,因此R3有回程路由,将报文回给PE1,然后再由PE1转给CE1。
在这个解决方案中,一个非常明显的缺陷是,我们竟然要向MPLS VPNBackbone的全局路由空间里通告客户的路由。因为如果你不通告,那么回程的流量肯定要受影响,怎么办呢?我们可以在PE1上做NAT,让CE1访问Internet的流量在从PE1进入到Backbone之前先被NAT掉,这样,Backbone内就不需要客户内网的路由了。
现在PE1的配置修改如下:ip route vrf cisco 0.0.0.0 0.0.0.0 3.3.3.3 global !!这条不变ip route 1.1.1.1 255.255.255.255 Ethernet0/0 !! 指向CE1的回程路由,PE1自己是需要的!router ospf 100 !! Core内的IGP,这里不用理会network 2.2.2.2 0.0.0.0 area 0network 10.1.23.2 0.0.0.0 area 0!router ospf 1 vrf cisco redistribute bgp 234 subnets network 10.1.12.2 0.0.0.0 area 0 default-information originate !!将默认路由下发给CE1,以便它能学习到!router bgp 234no bgp default ipv4-unicastneighbor 3.3.3.3 remote-as 234neighbor 3.3.3.3 update-sourceLoopback0neighbor 4.4.4.4 remote-as 234neighbor 4.4.4.4 update-sourceLoopback0!address-family ipv4 no synchronization neighbor 3.3.3.3activate !! 激活与P也就是R3的IPv4BGP地址族为的是交互Internet路由 no network 1.1.1.1 mask255.255.255.255 !!这条命令去掉,现在不用向Backbone全局路由空间通告CE的路由了,因为数据从PE出来就已经被NAT了。 exit-address-family! address-family vpnv4 neighbor 4.4.4.4activate neighbor 4.4.4.4send-community extended exit-address-family!address-family ipv4 vrf cisco no synchronization redistribute ospf 1 vrf cisco matchinternal external 1 external 2exit-address-family!access-list 1 permit 1.1.1.1interface e0/0 ip nat insideinterface e0/1 ip nat outsideip nat inside source list 1 interface Ethernet0/1overload
测试的时候,直接在CE1上 ping 100.100.100.100 source 1.1.1.1即可。
六、使用一个专门的VPN来访问Internet
前面我们介绍的几种解决方案,普遍存在一个问题,那就是,我们不得不将Internet路由注入到MPLS VPNBackbone中,也就是说,P路由器都会从Core里的IGP或者BGP学习到这些路由。这里其实是不大现实的。那么我们可以这样来操作,在MPLSVPN环境中,单独拿出一个VPN来,专门用于传输Internet路由。例如上面这个图,我们这样这来,将InternetGateway(此刻是一台CE),挂在一个PE下面就是图中的PE-GW,然后在这个PE-GW上,创建一个VRFInternet,PE-GW将连接Internet GW的接口放进这个VRF,于是PE-GW从InternetGW上学习到的Internet路由就放进了VRFInternet路由表。那么接下去,Internet路由就能够通过MP-BGP以VPNv4前缀的方式传播了。 我们现在,设置一个中心站点,图中的PE2就是中心站点的PE。这个中心站点我们的设计是,PE2与PE-GW建立MP-BGP连接,获取VPNv4的前缀。PE2与中心站点内的Central-CE采用两个子接口对接,其中一个子接口划入VPN-A,用于和VPN-A的其他站点交互VPN客户路由。另一个子接口,划入VRFInternet,用于从PE-GW学习获取到因特网路由。 这样一来Central-CE等于说是即有了VPN-A各站点的VPN路由,又有因特网路由。那么它可以将VPN-A的站点路由传递给PE-GW,又可以将因特网路由传递给PE1。如此,VPN-A的其他站点用户,就能通过Central站点来访问因特网。这就是一个典型的HubandSpoke网络。这样做的一个典型的好处就是,所有的访问因特网的流量都经过中心站点,那么在中心站点,就可以进行统一的策略部署和安全防护,流量管控等等。
上面是PE-GW及InternetGW的配置。我们看到在PE-GW上创建了一个VRFInternet,RT为100:600。然后将接口E0/0也就是连接InternetGW的接口放入VRFInternet。然后PE-GW在BGP的vrf internet地址族中指BGP邻居InternetGW。 接着是InternetGW(这里的角色是CE)的配置,InternetGW配置了一条默认路由,并将默认路由通告进了BGP,从而PE-GW学习到这条默认路由,放进了VRFInternet。
接着是是PE2的配置。PE2上创建两个VRF,分别是VRF Internet及VRFVPN-A。PE2创建两个子接口,分别与Central-CE对接。子接口E0/0.10放入VRFVPN-A,另一个子接口E0/0.20放入VRFInternet。然后PE2需与PE-GW及PE1建立VPNv4连接。同时在BGP的ipv4 vrfInternet地址族中,指BGP邻居Central-CE 172.16.10.2。
现在,我们再来看看流量:
1.实验环境CE1及PE2之间跑两个子接口。在这个环境中,我们来模拟一个Hub andSpoke的网络,Site1(CE1所在的站点)是HUB,Site2是Spoke。Site2访问因特网的流量,需流经CE1,再从CE1出来到P路由器的因特网出口。PE1上创建两个VRF,分别是CISCO和Internet,其中VRF Cisco用于和Site2交互路由;VRFInternet用来与P路由器交互路由。PE1与P激活VPNv4地址族;PE1与PE2激活VPNv3地址族。(原创博文,红茶三杯 http://weibo.com/vinsoney版权所有,转载请注明出处)
2.实验需求Site1的1.1.1.1及Site2的5.5.5.5都要能够访问因特网100.100.100.100Site2访问因特网的流量需先到达Site1,再出Site1到因特网
3.设备配置CE1的配置如下:interface Loopback0ip address 1.1.1.1 255.255.255.255interface Ethernet0/0.10encapsulation dot1Q 10ip address 10.1.12.1 255.255.255.0interface Ethernet0/0.20encapsulation dot1Q 20ip address 10.1.112.1 255.255.255.0!router bgp 100no synchronizationnetwork 1.1.1.1 mask 255.255.255.255 !! 通告1.1.1.1路由neighbor 10.1.12.2 remote-as 234neighbor 10.1.112.2 remote-as 234
PE1的配置如下:ip vrf Internet !! VRF Internetrd 234:999route-target export 234:999route-target import 234:999!ip vrf ciscord 1:1route-target export 234:2route-target import 234:4!interface Loopback0ip address 2.2.2.2 255.255.255.255!mpls ldp router-id Loopback0mpls label range 200 299!interface Ethernet0/0.10encapsulation dot1Q 10ip vrf forwarding ciscoip address 10.1.12.2 255.255.255.0interface Ethernet0/0.20encapsulation dot1Q 20ip vrf forwarding Internetip address 10.1.112.2 255.255.255.0!interface Ethernet0/1ip address 10.1.23.2 255.255.255.0mpls ip!router ospf 100network 2.2.2.2 0.0.0.0 area 0network 10.1.23.2 0.0.0.0 area 0!router bgp 234no bgp default ipv4-unicastneighbor 3.3.3.3 remote-as 234neighbor 3.3.3.3 update-sourceLoopback0neighbor 4.4.4.4 remote-as 234neighbor 4.4.4.4 update-sourceLoopback0neighbor 10.1.12.1 remote-as 100!address-family vpnv4 neighbor 3.3.3.3 activate neighbor 3.3.3.3 send-communityextended neighbor 4.4.4.4 activate neighbor 4.4.4.4 send-communityextendedexit-address-family!address-family ipv4 vrf Internet no synchronization neighbor 10.1.112.1 remote-as 100 neighbor 10.1.112.1 activate neighbor 10.1.112.1 allowas-in 1 !!这是个难点,因为Site2的路由,在传递到Site1的时候,AS-PATH里已经有234了,那么这些VPN路由,会经由CE1的另一个子接口传回给PE1,PE1由于看到传过来的BGP路由的AS_PATH里,出现了自己的BGPAS234,它将忽略这些路由,这样一来P就学习不到Site2的VPN路由了,Site2也就访问不了因特网了。所以用上这条命令,让PE1把条件放宽一点,允许自己的AS号在AS_PATH中出现一次。exit-address-family!address-family ipv4 vrf cisco no synchronization neighbor 10.1.12.1 remote-as 100 neighbor 10.1.12.1 activate neighbor 10.1.12.1 allowas-in 1exit-address-family
P路由器的配置如下:ip vrf Internetrd 234:999route-target export 234:999route-target import 234:999!interface Loopback0ip address 3.3.3.3 255.255.255.255interface loopback1ip vrf forwarding Internetip address 100.100.100.100255.255.255.255!mpls label range 300 399mpls ldp router-id Loopback1interface Ethernet0/0ip address 10.1.23.3 255.255.255.0mpls ip!interface Ethernet0/1ip address 10.1.34.3 255.255.255.0mpls ip !router ospf 100network 3.3.3.3 0.0.0.0 area 0network 10.1.23.3 0.0.0.0 area 0network 10.1.34.3 0.0.0.0 area 0!router bgp 234neighbor 2.2.2.2 remote-as 234neighbor 2.2.2.2 update-sourceLoopback1!address-family vpnv4 neighbor 2.2.2.2 activate neighbor 2.2.2.2 send-communityextendedexit-address-family!address-family ipv4 vrf Internet no synchronization network 0.0.0.0exit-address-family!ip route vrf Internet 0.0.0.0 0.0.0.0 Null0 !!创建一条默认路由并通告进BGP让PE学到默认路由(原创博文,红茶三杯 http://weibo.com/vinsoney版权所有,转载请注明出处)
红茶三杯网络工程 | 项目管理 | IT服务管理 | CCIE培训学习 沉淀 成长 分享微博:http://weibo.com/vinsoney博客:http://blog.sina.com.cn/vinsoney站点:http://ccietea.com
