MPLS VPN组网系列（一）基础MPLS VPN组网

一、MPLS VPN基础

    **MPLS VPN**作为跨区域站点之间相互连接的首选隧道协议，广泛用于运营商或者跨区域企业的互联。由于MPLS VPN通过标签交换形成隧道，相比于传统的VPN协议如GRE、IPsec以及L2TP更加具有优势。所以使得基于MPLS的VPN具有以下特点：
    **1、**PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支间路由信息发布。
    **2、**PE之间发布VPN用户路由信息通常是用MP-BGP协议实现。
    **3、**支持不同分支间IP地址复用和不同VPN间互通。
    在MPLS VPN环境中，设备分为CE设备、PE设备和P设备，它们具有各自的特点：
    **1、CE（Customer Edge）**是用户边缘设备，可以是路由器，也可以是交换机或主机。
    **2、PE（Provider Edge）**是IP/MPLS骨干网的边缘设备。PE设备处理数据量较大，一般采用NE系列设备。
    **3、P（Provider）**是IP/MPLS骨干网的骨干设备，不与CE直接相连。P设备只需要具备基本MPLS转发能力，不维护VPN信息。
    在理解MPLS和MPLS VPN原理的基础上，还需要理解MPLS VPN中的两个重要知识点：RD、RT、VRF和Site，理解后才能顺利完成下面实验的配置工作。
    **1、RD(Route-Distinguisher): **8个字节的RD+4个字节的IPv4地址组成96位VPNv4路由，使不唯一的IPv4地址转化为唯一的VPN-IPv4地址,该VPNv4路由在ISP域内传递。RD给某VRF里面的路由打上标签，进而实现地址的复用而不产生冲突。RD用来区分本地VRF，该属性仅本地有效。
  **  2、RT(Route Tagert)**:BGP的扩展团体属性，它分成Import RT和Export RT，分别用于路由的导入、导出策略。也即是RT控制这个VRF里面可以发出和接受什么样的路由。RT具有全局唯一性，并且只能被一个VPN使用。
   ** 3、VRF(Virtual Route Forwarding)**: VRF的目的是隔离不同VPN的路由。为了防止地址冲突，可以将相同私网地址放到不同的VRF表中。VRF区分不同CE端进入边界PE的相同私网路由，路由器的每一个VRF都自动生成相应VRF表，VRF中的信息包括：IP路由表、标签转发表、与VPN实例绑定的接口以及VRF的管理信息。VRF的管理信息包括RD（Route Distinguisher，路由标识符）、路由过滤策略、成员接口列表等。
    **4、Site(站点)：**指相互之间具备IP连通性的一组IP系统，并且这组IP系统的IP连通性不需通过运营商网络实现。理解Site需要注意以下两点：
            **①**Site的划分是根据设备的拓扑关系，而不是地理位置，尽管在大多数情况下一个Site中的设备地理位置相邻。地理位置隔离的两组IP系统，如果它们使用专线互联，不需要通过运营商网络就可以互通，这两组IP系统也组成一个Site。
            **②**一个Site中的设备可以属于多个VPN，换言之，一个Site可以属于多个VPN。

二、组网需求

    **1、**CE1连接企业总部研发、CE3连接企业分部研发，CE1和CE3属于vpn1；
   ** 2、**CE2连接企业总部财务、CE4连接企业分部财务，CE2和CE4属于vpn2。
    **企业要求通过部署BGP/MPLS IP VPN，实现总部和分部的安全互通，同时要求研发和财务之间数据隔离。**

三、配置要点

采用如下的思路配置BGP/MPLS IP VPN：

    1、P、PE之间配置OSPF，实现骨干网的IP连通性。
    2、PE、P上配置MPLS基本能力和MPLS LDP，建立MPLS LSP公网隧道，传输VPN数据。
    3、PE1和PE2之间配置MP-IBGP，交换VPN路由信息。
   4、PE1和PE2上配置VPN实例，其中，vpn1使用的VPN-target属性为**111:1**，vpn2使用的VPN-target属性为**222:2**，以实现相同VPN间互通，不同VPN间隔离。同时，与CE相连的接口和相应的VPN实例绑定，以接入VPN用户。
    5、CE与PE之间配置EBGP，交换VPN路由信息。

四、建立拓扑

五、设备配置

1、在MPLS骨干网上配置OSPF协议，实现骨干网PE和P的互通

PE1：

配置接口：
interface GigabitEthernet0/0/0
 ip address 11.1.1.1 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0 
interface GigabitEthernet0/0/2
 ip address 10.2.1.1 255.255.255.0 
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255 
配置ospf：
ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 1.1.1.1 0.0.0.0 
  network 11.1.1.0 0.0.0.255 

查看ospf邻居状态：

ospf状态为full，表示ospf邻居关系正常。

P:

配置接口：
interface GigabitEthernet0/0/0
 ip address 11.1.1.2 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 22.1.1.1 255.255.255.0 
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 
配置ospf：
ospf 1 router-id 3.3.3.3 
 area 0.0.0.0 
  network 3.3.3.3 0.0.0.0 
  network 11.1.1.0 0.0.0.255 
  network 22.1.1.0 0.0.0.255 

查看ospf邻居状态：

ospf状态为full，表示ospf邻居关系正常。

PE2:

配置接口：
interface GigabitEthernet0/0/0
 ip address 22.1.1.2 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 10.3.1.1 255.255.255.0 
interface GigabitEthernet0/0/2
 ip address 10.4.1.1 255.255.255.0 
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 
配置ospf：
ospf 1 router-id 2.2.2.2 
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 22.1.1.0 0.0.0.255 

查看ospf邻居状态：

ospf状态为full，表示ospf邻居关系正常。

2、在MPLS骨干网上配置MPLS基本能力和MPLS LDP，建立LDP LSP

PE1:

配置mpls和mpls ldp：
mpls lsr-id 1.1.1.1
mpls   //全局开启mpls
mpls ldp   //全局开启ldp，用于分配标签
interface GigabitEthernet0/0/0   
 ip address 11.1.1.1 255.255.255.0 
 mpls   //接口下mpls
 mpls ldp   //接口下开启ldp

查看ldp会话是否建立：

ldp为mpls网络中的各节点都分配了标签，表示lsp隧道正常，并且ldp会话建立成功。

P:

配置mpls和ldp：
mpls lsr-id 3.3.3.3
mpls
mpls ldp
interface GigabitEthernet0/0/0
 ip address 11.1.1.2 255.255.255.0 
 mpls
 mpls ldp
interface GigabitEthernet0/0/1
 ip address 22.1.1.1 255.255.255.0 
 mpls
 mpls ldp

查看ldp会话是否建立：

PE2:

配置mpls和ldp：
mpls lsr-id 2.2.2.2
mpls
mpls ldp
interface GigabitEthernet0/0/0
 ip address 22.1.1.2 255.255.255.0 
 mpls
 mpls ldp

查看ldp会话是否建立：

3、在PE设备上配置VPN实例，将CE接入PE

PE1:

VRF配置：
ip vpn-instance vpn1
 ipv4-family
  route-distinguisher 100:1   //RD值，本地有效
  vpn-target 111:1 export-extcommunity   //出RT值
  vpn-target 111:1 import-extcommunity   //入RT值
ip vpn-instance vpn2
 ipv4-family
  route-distinguisher 100:2
  vpn-target 222:2 export-extcommunity
  vpn-target 222:2 import-extcommunity
接口下绑定VRF：
interface GigabitEthernet0/0/1
 ip binding vpn-instance vpn1
 ip address 10.1.1.1 255.255.255.0 
interface GigabitEthernet0/0/2
 ip binding vpn-instance vpn2
 ip address 10.2.1.1 255.255.255.0 

查看VRF配置情况：

PE2:

VRF配置：
ip vpn-instance vpn1
 ipv4-family
  route-distinguisher 200:1
  vpn-target 111:1 export-extcommunity
  vpn-target 111:1 import-extcommunity
ip vpn-instance vpn2
 ipv4-family
  route-distinguisher 200:2
  vpn-target 222:2 export-extcommunity
  vpn-target 222:2 import-extcommunity
接口下绑定VRF：
interface GigabitEthernet0/0/1
 ip binding vpn-instance vpn1
 ip address 10.3.1.1 255.255.255.0 
interface GigabitEthernet0/0/2
 ip binding vpn-instance vpn2
 ip address 10.4.1.1 255.255.255.0 

查看VRF配置情况：

4、在PE之间建立MP-IBGP对等体关系，在PE与CE之间建立EBGP对等体关系，引入VPN路由

PE1:

bgp 100
 peer 2.2.2.2 as-number 100    //与PE2建立MP-IBGP对等体关系
 peer 2.2.2.2 connect-interface LoopBack0    //更新源为loopback0 
 ipv4-family unicast
  undo synchronization
  peer 2.2.2.2 enable
 
 ipv4-family vpnv4
  policy vpn-target
  peer 2.2.2.2 enable   
 
 ipv4-family vpn-instance vpn1 
  import-route direct   //引入VPN路由
  peer 10.1.1.2 as-number 65100    //与CE1之间建立EBGP对等体关系
 
 ipv4-family vpn-instance vpn2 
  import-route direct   //引入VPN路由
  peer 10.2.1.2 as-number 65200    //与CE2之间建立EBGP对等体关系

查看PE之间BGP对等体是否建立：

PE2:

bgp 100
 peer 1.1.1.1 as-number 100 
 peer 1.1.1.1 connect-interface LoopBack0
 
 ipv4-family unicast
  undo synchronization
  peer 1.1.1.1 enable
  
 ipv4-family vpnv4
  policy vpn-target
  peer 1.1.1.1 enable
 
 ipv4-family vpn-instance vpn1 
  import-route direct
  peer 10.3.1.2 as-number 65300 
 
 ipv4-family vpn-instance vpn2 
  import-route direct
  peer 10.4.1.2 as-number 65400 

查看PE之间BGP对等体是否建立：

CE1:

bgp 65100
 peer 10.1.1.1 as-number 100    //和PE1建立EBGP对等体
 
 ipv4-family unicast
  undo synchronization
  import-route direct   //引入VPN路由
  peer 10.1.1.1 enable

CE2:

bgp 65200
 peer 10.2.1.1 as-number 100 
 
 ipv4-family unicast
  undo synchronization
  import-route direct
  peer 10.2.1.1 enable

CE3:

bgp 65300
 peer 10.3.1.1 as-number 100 
 
 ipv4-family unicast
  undo synchronization
  import-route direct
  peer 10.3.1.1 enable

CE4:

bgp 65400
 peer 10.4.1.1 as-number 100 
 
 ipv4-family unicast
  undo synchronization
  import-route direct
  peer 10.4.1.1 enable

查看PE和CE之间的BGP对等体是否建立：

    通过查看VPN路由信息可以发现，PE1上vpn1的路由只有CE1和CE3；vpn2的路由只有CE2和CE4。同样的，PE2上vpn1的路由因为只有CE1和CE3；vpn2的路由只有CE2和CE4。实现了不同Site的相互隔离。

六、结果验证

1、验证研发部、财务部互访

研发部互访

财务部互访

2、验证研发部和财务部不能互访

研发、财务禁止互访！

七、总结

    MPLS VPN主要是运营商或者跨国公司用来互联的隧道协议，所以在日常生活中较少碰到，感兴趣的可以根据本文配置命令研究一下！欢迎留言讨论！