內(nèi)容參考hcie安全-security

1、 1簡介215.1MPLS15.2BGP/MPLS IP基本概念315.2.115.2.215.2.315.2.415.2.515.2.615.2.7站點（Site）3實例4、Site 和地址空間實例的關系4. 4-IPv4 地址5RD5. 615.315.4Hub and Spoke6跨域15.4.115.4.215.4.3Ho 15.5.115.5.215.5.315.5.4. 8-OptionA 方式8-OptionB 方式9-OptionC 方式11跨域跨域跨域15.5.11HoHo的產(chǎn)生11的基本結構12SPE-UPE13Ho的優(yōu)勢1315.6OSPF 偽連接1415.6.115.6

2、.215.6.3Multi- 15.7.115.7.2Sham link 的產(chǎn)生14Sham link 的實現(xiàn)14Sham link 的路由發(fā)布過程15-Instance CE1515.7Multi-Instance CE 的產(chǎn)生15MCE 實現(xiàn)原理1615.815.9與ernet 互聯(lián)17BGP MPLS配置示例1815.9.1配置 BGP/MPLS IP. 1815.1MPLS簡介BGP/MPLS IP是一種 L3（Layer 3 Virtual Private Network）。它使用 BGP（BorderGateway Protocol）在服務提供商骨干網(wǎng)上發(fā)布路由，使用 MPLS（M

3、ultiprotocol LabelSwitch）在服務提供商骨干網(wǎng)上轉發(fā)報文。這里的 IP 是指承載的是 IP 報文。BGP/MPLS IP的基本模型如圖 15-1-1 所示。圖 15-1-1 BGP/MPLS IP模型BGP/MPLS IP的基本模型由三部分組成：CE、PE 和 P。Edge）：用戶網(wǎng)絡邊緣設備，有接口直接與服務提供商 SP（ServiceCE（CustomerProvider）網(wǎng)絡相連。CE 可以是路由器或交換機，也可以是一臺主機。通常情況下，CE“感知”不到的存在，也不需要支持 MPLS。PE（Provider Edge）：是服務提供商網(wǎng)絡的邊緣設備，與 CE 直接相連

4、。在 MPLS 網(wǎng)絡中，對的所有處理都發(fā)生在 PE 上，對 PE 性能要求較高。P（Provider）：服務提供商網(wǎng)絡中的骨干設備，不與 CE 直接相連。P 設備只需要具備基本 MPLS 轉發(fā)能力，不信息。PE 和 P 設備僅由 SP 管理；CE 設備僅由用戶管理，除非用戶把管理權委托給 SP。一臺 PE 設備可以接入多臺 CE 設備。一臺 CE 設備也可以連接屬于相同或不同服務提供商的多臺 PE 設備。2能力測試：RD 和 RT 的作用是什么？MPLS跨域有哪些方式？MCE 實現(xiàn)原理是什么？MPLS 無縫地集成了 IP 路由技術的靈活性和 ATM交換技術的簡捷性。MPLS 在無連接的 IP

5、網(wǎng)絡中增加了面向連接的控制平面，為 IP 網(wǎng)絡增添了管理和運營段。因此，使用基于 MPLS 的 IP 網(wǎng)絡作為骨干網(wǎng)的（MPLS）成為在 IP 網(wǎng)絡運營商提供增值業(yè)務的重要，越來越被運營商看好。BGP 與 IGP 不同，其著眼點不在于發(fā)現(xiàn)和計算路由，而在于控制路由的和選擇最佳路由。本身就是利用公共網(wǎng)絡傳遞數(shù)據(jù)，而公共網(wǎng)絡通常已經(jīng)應用 IGP 發(fā)現(xiàn)和計算自身的路由。構建路由。的關鍵在于控制路由的，及如何在兩個 PE 之間選擇最佳的BGP 使用 TCP 作為其傳輸層協(xié)議（端179），提高了協(xié)議的可靠性。可以利用這一點路由。來進行跨N的兩個 PE 設備之間交換BGP 可以承載附加在路由后的任何信息，

6、作為可選的 BGP 屬性，任何不了解這些屬性的N都將透明的轉發(fā)它們。這為在 PE 間路由更新時，BGP 只發(fā)送更新的路由，減少了路由提供了便利。路由所占用的帶寬，提供了在公共網(wǎng)絡上大量的路由的可能。BGP 是一種外部網(wǎng)關協(xié)議（EGP），因此實現(xiàn)跨運營商的更加容易。15.2BGP/MPLS IP基本概念15.2.1站點（Site）在介紹時經(jīng)常會提到“Site”，Site（站點）的含義可以從下述幾個方面理解：Site 是指相互之間具備 IP 連通性的一組 IP 系統(tǒng)，并且，這組 IP 系統(tǒng)的 IP 連通性不需通過服務提供商網(wǎng)絡實現(xiàn)。Site 的劃分是根據(jù)設備的拓撲關系，而不是地理位置，盡管在大多數(shù)

7、情況下一個 Site中的設備地理位置相鄰。地理位置的兩組 IP 系統(tǒng)，如果它們使用專線互聯(lián)，不需要通過服務提供商網(wǎng)絡就可以互通，那么這兩組 IP 系統(tǒng)也組成一個 Site。一個 Site 中的設備可以屬于多個。Site 通過 CE 連接到服務提供商網(wǎng)絡，一個 Site 可以包含多個 CE，但一個 CE 只屬于一個 Site。根據(jù) Site 的情況，建議 CE 設備選擇方案如下：如果 Site 只是一臺主機，則這臺主機就作為 CE 設備；如果 Site 是個子網(wǎng)，則使用交換機作為 CE 設備；如果 Site 是多個子網(wǎng)，則使用路由器作為 CE 設備。對于多個連接到同一服務提供商網(wǎng)絡的 Sites

8、，通過制定策略，可以將它們劃分為不同的集合（set），只有屬于相同集合的 Sites 之間才能通過服務提供商網(wǎng)絡互訪，這種集合就是。315.2.2實例實例（-instance）也稱為路由轉VRF（Routing and Forwardingtable）。PE 上存在多個路由轉，包括一個公網(wǎng)路由轉，以及一個或多個路由轉。也就是說，PE 上存在多個實例，包括一個公網(wǎng)實例和一個或多個實例。公網(wǎng)路由轉與路由轉的不同在于：公網(wǎng)路由表包括所有 PE 和 P 路由器的 IPv4 路由，由骨干網(wǎng)的路由協(xié)議或靜態(tài)路由產(chǎn)生。路由表包括屬于該實例的所有 site 的路由，通過 CE 與 PE 之間或者兩個 PE之間

9、的公網(wǎng)轉路由信息交互獲得。是根據(jù)路由管理策略從公網(wǎng)路由表提取出來的最小轉發(fā)信息；而轉發(fā)表是根據(jù)路由管理策略從對應的路由表提取出來的最小轉發(fā)信息?？梢钥闯觯琍E 上的各實例之間相互獨立，并與公網(wǎng)路由轉相互獨立?？梢詫⒚總€的接口。實例看作一臺虛擬的路由器：獨立的地址空間、有連接到該路由器在 RFC2547（BGP/MPLSs）中，實例被稱為 per-site forwarding table，顧名思義，實例與 site 對應。更準確的描述是：每條 CE 與 PE 的連接對應一個實例（但不是實例和 PE 上與 CE 直接相連的接口關聯(lián)一一對應關系），實現(xiàn)這種對應關系的方法是將（或稱為綁定），這需要手

10、工設置。實例通過路由標識符 RD（Route Distinguisher）實現(xiàn)地址空間獨立，通過屬性實現(xiàn)直連 site 的成員關系和路由規(guī)則控制。15.2.3、Site 和實例的關系實例、Site、之間的關系如下：是多個 Site 的組合。一個 Site 可以屬于多個。每一個 Site 在 PE 上都關聯(lián)一個成員關系和路由規(guī)則。多個 Site 根據(jù)實例。實例綜合了它所關聯(lián)的 Site 的實例的規(guī)則組一個。實例與不是一一對應的關系。15.2.4地址空間PE 從 CE 接收到私網(wǎng)路由后，需要將這些路由發(fā)布給其他 PE。是一種私有網(wǎng)絡，不同的獨立管理自己的地址范圍，也稱為地址空間（addresssp

11、ace）。不同的地址空間可能會在一定范圍內(nèi)重合，例如，1 和2 都使用10.110.10.0/24 網(wǎng)段地址，這就發(fā)生了地址空間的（address spaoverlap）。以下兩種情況允許使用的地址空間：4沒有共同的 site；有共同的 site，但此 site 中的設備不與兩個兩個兩個中使用地址空間的設備互訪。15.2.5-IPv4 地址傳統(tǒng) BGP 無法正確處理地址空間的的路由。假設1 和2 都使用了的路由之間不進10.110.10.0/24 網(wǎng)段的地址，并各自發(fā)布了一條去往此網(wǎng)段的路由。不同行負載分擔，因此 BGP 根據(jù)自己的選路規(guī)則只選擇其中一條路由，從而導致去往另一個的路由丟失。產(chǎn)生

12、上述問題的原因是 BGP 無法區(qū)分不同中相同的 IP 地址前綴，為解決這一問題，BGP/MPLS IP使用了-IPv4 地址族。-IPv4 地址共有 12 個字節(jié)，包括 8 字節(jié)的路由標識符 RD（Route Distinguisher）和 4字節(jié)的 IPv4 地址前綴，如圖 15-2-1 所示。圖 15-2-1-IPv4 地址結構增加了 RD 的 IPv4 地址稱為-IPv4 地址。PE 從 CE 接收到 IPv4 路由后，轉換為全局-IPv4 路由，并在公網(wǎng)上發(fā)布。RD 為零的-IPv4 地址相當于普通 IPv4 地址。唯一的15.2.6RD如圖 15-2-1 所示，RD 有兩種格式：Ty

13、pe 為 0 時，Administrator 子字段占 2 字節(jié)，Assigned Number 子字段占 4 字節(jié)。其中，Administrator 子字段是 16bits 自治系統(tǒng)號；Assigned Number 子字段是 32bits 用戶自定義數(shù)字。Type 為 1 時，Administrator 子字段占 4 字節(jié)，Assigned Number 子字段占 2 字節(jié)。其中，Administrator 子字段是 32bits IPv4 地址；Assigned Number 子字段是 16bits 用戶自定義數(shù)字。RD 用于區(qū)分使用相同地址空間的 IPv4 前綴。RD 的結構使得每個服

14、務供應商可以獨立地分配 RD，但為了在 CE 雙歸屬的情況下保證路由正常，必須保證 RD 全局唯一。5說明：配置 RD 時，只需要指定 RD 的Administrator 子字段和 Assigned Number 子字段。RD 的配置格式有兩種：16bits 自治系統(tǒng)號:32bits 用戶自定義數(shù)字（例如：100:1）。32bits IPv4 地址:16bits 用戶自定義數(shù)字（例如：172.1.1.1:1）。如果 RD 非全局唯一，在 CE 雙歸屬的情況下將不能正確路由。15.2.7BGP/MPLS IP使用 32 位的 BGP 擴展團體屬性（也稱為 Route）來控制每個路由信息的發(fā)布。實

15、例關聯(lián)一個或多個屬性。有兩類屬性：IPv4 路由，并Export：本地 PE 從直接相連 site 學到 IPv4 路由后，轉換為為這些路由設置 Export由發(fā)布。屬性。Export屬性作為 BGP 的擴展團體屬性隨路Import：PE 收到其它 PE 發(fā)布的-IPv4 路由時，檢查其Export屬性。當此屬性與 PE 上某個實例的路由表。實例的 Import匹配時，PE 就把路由加入到該路由可以為哪些 Site 所接收，以及 PE 可以也就是說，屬性定義了一條接收哪些 Site 發(fā)送來的路由。當收到直連 CE 傳過來的路由時，PE 將該路由與一個或多個Export屬性關聯(lián)。Export屬性

16、將和-IPv4 路由一起由 BGP 發(fā)布給其他相關的 PE。當這些相關的 PE 收到該-IPv4 路由時，將其 Export較。如果相等，就將該路由注入到該屬性與本設備所有的路由表。實例的 Import屬性值比15.3Hub and Spoke如果希望在中設置中心控制設備，其它用戶的互訪都通過中心控制設備進行，可以使用 Hub & Spoke 組網(wǎng)方案。其站點側接入心控制設備所在站點稱為 Hub 站點，其他用戶站點稱為 Spoke 站點。Hub骨干網(wǎng)的設備叫Hub-CE；Spoke 站點側接入骨干網(wǎng)的設備叫Spoke-CE。骨干網(wǎng)側接入Hub 站點的設備叫 Hub-PE，接入 Spoke 站點

17、的設備叫 Spoke-PE。Spoke 站點需要把路由發(fā)布給Hub 站點，再通過 Hub 站點發(fā)布給其他 Spoke 站點。Spoke站點之間不直接通過路由。Hub 站點對 Spoke 站點之間的通訊進行集中控制。對于這種組網(wǎng)情況，需要設置兩個，一個表示“Hub”，另一個表示“Spoke”。設置規(guī)則為：各 Site 在 PE 上的實例的連接 Spoke 站點的 PE（Spoke-PE）：Export為“Spoke”，Import為“Hub”；連接 Hub 站點的 PE（Hub-PE）：收 Spoke-PE 發(fā)來的路由，其Hub-PE 上需要使用兩個接口或子接口，一個用于接實例的 Import為

18、“Spoke”；另一個用于向Spoke-PE 發(fā)布路由，其實例的 Export為“Hub”。6圖 15-3-1 Hub & Spoke 組網(wǎng)Site2 到Site1 的路由發(fā)布途徑在圖 15-3-1 中，Spoke 站點之間的通信通過Hub 站點進行（圖中箭頭所示為 Site2 的路由向 Site1 的發(fā)布過程）：Hub-PE 能夠接收所有 Spoke-PE 發(fā)布的-IPv4 路由；Hub-PE 發(fā)布的-IPv4 路由能夠為所有 Spoke-PE 接收；Hub-PE 將從 Spoke-PE 學到的路由發(fā)布給 Spoke-CE，并將從 Hub-CE 學到的路由發(fā)布給所有 Spoke-PE。因此，

19、Spoke 站點之間可以通過 Hub 站點互訪。任意 Spoke-PE 的 Import屬性不與其它 Spoke-PE 的 Export屬性相同。因此，任意兩個 Spoke-PE 之間不直接發(fā)布訪。-IPv4 路由，Spoke 站點之間不能直接互圖 15-3-1 中的 Site1 和 Site2 之間通訊數(shù)據(jù)的傳輸路徑請參見圖 15-3-2（圖中箭頭所示為數(shù)據(jù)傳輸方向）。7圖 15-3-2 Site1 到Site2 的數(shù)據(jù)傳輸途徑15.4跨域隨著 MPLS解決方案的廣泛應用，國內(nèi)運營商的不同城域網(wǎng)之間，或相互協(xié)作的不同運營商的骨干網(wǎng)之間都存在著不同自治域的情況。一般的 MPLS體系結構都是在一

20、個自治系統(tǒng)內(nèi)運行，任何的路由信息都是可以在一個自治系統(tǒng)內(nèi)按需擴散，沒有提供自治系統(tǒng)內(nèi)的信息向其他自治系統(tǒng)擴散的功能。因此，為了支持運營商之間的路由選擇信息交換，就需要擴展現(xiàn)有的協(xié)議和修改 MPLS體系框架，提供一個不同于基本的 MPLS體系結構所提供的互連模型跨域（ er-AS）的 MPLS，以便可以穿過運營商間的鏈路來發(fā)布路由前綴和信息。RFC2547bis 中提出了三種跨域解決方案，分別是：跨域 間通過跨域 發(fā)布跨域-OptionA（rovider Backbones Option A）方式：需要跨域的在ASBR的接口管理自己的路由，也稱為 VRF-to-VRF；-OptionB（rovi

21、der Backbones Option B）方式：ASBR 間通過 MP-EBGP-IPv4 路由，也稱為 EBGP redistribution of labeled-IPv4 routes；-OptionC（rovider Backbones Option C）方式：PE 間通過 Multi-hop-IPv4 路由，也稱為 Multihop EBGP redistribution of labeledMP-EBGP 發(fā)布-IPv4 routes。15.4.1跨域-OptionA 方式8跨域-OptionA 實際是基本BGP/MPLS IP在跨域環(huán)境下的應用，不需要專門配置。這種方式下，兩

22、個 AS 的邊界路由器 ASBR 直接相連，ASBR 同時也是各自所在自治系統(tǒng)的PE（這里被稱為 ASBR PE）。兩個 ASBR PE 都把對端 ASBR PE 看作自己的 CE 設備，使用EBGP 方式端發(fā)布 IPv4 路由。VRF-to-VRF 方式實現(xiàn)跨域需要為跨域進行特殊配置。的優(yōu)點是簡單：ASBR PE 之間不需要運行 MPLS，也不缺點是可擴展性差：ASBR PE 需要管理所有路由，為每個創(chuàng)建實例。這將導致 PE 上的-IPv4 路由數(shù)量過大。并且，由于 ASBR PE 間是普通的 IP 轉發(fā)，要求為每個跨域的使用不同的接口（可以是子接口、物理接口、的邏輯接口），從而提高了業(yè)務，

23、不僅配置量大，而且對 PE 設備的要求。如果多個自治域，中間域必須支持對中間域影響大。在需要跨域的數(shù)量比較少的情況，可以考慮使用。15.4.2-OptionB 方式跨域跨域-OptionB 中，兩個 ASBR 通過 MP-EBGP 交換它們從各自 AS 的 PE 路由器接收-IPv4 路由。的路由發(fā)布過程如下：1.AS100 內(nèi)的PE 先通過MP-IBGP 方式把-IPv4 路由發(fā)布給AS100 的ASBR PE，或發(fā)布給為 PE 反射路由的路由反射器 RR（Route Reflector）。2.3.ASBR-PE1 通過 MP-EBGP 方式把ASBR-PE2 再通過 MP-IBGP 方式把

24、布給為 PE 反射路由的路由反射器。-IPv4 路由發(fā)布給 ASBR-PE2。-IPv4 路由發(fā)布給 AS200 內(nèi)的 PE，或發(fā)9圖 15-4-1 ASBR 間通過跨域-OptionB 方式發(fā)布-IPv4 路由組網(wǎng)圖跨域-OptionB 方案中，ASBR 接收本域內(nèi)和域外傳過來的所有跨域的路由，再-把發(fā)布出去。但 MPLS的基本實現(xiàn)中，PE 上只保存與本地實例的路由。因此，如果 ASBR 上沒有配置對應的相匹配的實例，可采取以下三種方法：ASBR 對-IPv4 路由進行特殊處理，讓 ASBR 把收到的路由全部的保存下來，而不管本地是否有和它匹配的采用該方案時，需要注意：實例。ASBR 之間不

25、對接收的-IPv4 路由進行過濾，因此，交換-IPv4 路由的各 AS 服務提供商之間需要就這種路由交換達成信任協(xié)議；-IPv4 路由交換僅發(fā)生在私網(wǎng)對等點之間，不能與公網(wǎng)交換-IPv4 路由，也不能與沒有達成信任協(xié)議的 MP-EBGP 對等體交換-IPv4 路由。這種方案的優(yōu)點是所有的流量都經(jīng)過 ASBR 轉發(fā)，流量的可控性較好，但 ASBR 的負擔重。使用 BGP 路由策略（如對 RT 的過濾）控制在 ASBR 上配置需要通過該 ASBR 傳遞路由的-IPv4 路由信息的收發(fā)。實例，但不綁定任何接口。與 Option A 相比，不受 ASBR 之間互連鏈路數(shù)目的限制。此方案也有局限性：的路

26、由信息是通過 AS 之間的 ASBR 路由器來保存和擴散的，10當路由較多時，ASBR 負擔重，容易成為故障點。因此在 MP-EBGP 方案中，需要路由信息的 ASBR 一般不再負責公網(wǎng) IP 轉發(fā)。15.4.3跨域-OptionC 方式前面介紹的兩種方式都能夠滿足跨域的組網(wǎng)需求，但這兩種方式也都需要 ASBR 參與-IPv4 路由的和發(fā)布。當每個 AS 都有大量的路由需要交換時，ASBR 就很可能成為阻礙網(wǎng)絡進一步擴展的瓶頸。解決上述問題的方案是：ASBR 不路由?；虬l(fā)布-IPv4 路由，PE 之間直接交換-IPv4ASBR 通過 MP-IBGP 向各自 AS 內(nèi)的 PE 路由器發(fā)布IPv4

27、 路由，并將到達本 AS內(nèi) PE 的也通告帶IPv4 路由通告給它在對端AS 的 ASBR 對等體，過渡自治系統(tǒng)中的 ASBR的 IPv4 路由。這樣，在PE 和出口 PE 之間建立一條 LDP LSP；不同 AS 的 PE 之間建立 Multihop 方式的 EBGP 連接，交換-IPv4 路由；ASBR 上不保存-IPv4 路由，相互之間也不通告-IPv4 路由?？缬?OptionC 組網(wǎng)方案有如下優(yōu)勢：路由在PE 和出口 PE 之間直接交互，不需要中間設備的保存和轉發(fā)。的路由信息只出現(xiàn)在 PE 設備上，而 P 和 ASBR 路由器只負責報文的轉發(fā)，使得中間域的設備可以不支持 MPLS業(yè)務

28、，只需支持 IP 轉發(fā)，ASBR 設備不再成為性能瓶頸。因此跨域更適合支持 MPLS-OptionC 更適合在的負載分擔。多個 AS 時使用。15.5Ho15.5.1Ho的產(chǎn)生在 BGP/MPLS IP中，PE 設備最為關鍵，它完成兩方面的功能：為用戶提供接入功能，這需要 PE 具有大量接口；管理和發(fā)布路由，處理用戶報文，這需要 PE 設備具有大容量內(nèi)存和高轉發(fā)能力。目前的網(wǎng)絡設計大多采用經(jīng)典的分層結構，例如，城域網(wǎng)的典型結構是三層模型層、匯聚層、接入層。從而 BGP/MPLS IP層到接入層，對設備的性能要求依次下降，網(wǎng)絡規(guī)模則依次擴大。是一種平面模型，對網(wǎng)絡中所有 PE 設備的性能要求相同

29、，當網(wǎng)絡中某些 PE 在性能和可擴展性方面存在問題時，整個網(wǎng)絡的性能和可擴展性將受到影響。由于 BGP/MPLS IP的平面模型與典型的分層網(wǎng)絡模型不相符，在每一個層次上部署PE 都會遇到擴展性問題，不利于大規(guī)模部署為解決可擴展性問題，BGP/MPLS IP。必然要從平面模型轉變?yōu)榉謱幽Ｐ汀＃┙鉀Q方案將 PE 的功能分布到多個 PE 設備11分層（Hierarchy of，簡稱 Ho上，多個 PE 承擔不同的角色，并形成層次結構，共同完成一個 PE 的功能。因此，這種解決方案有時也被稱為分層 PE（Hierarchy of PE，HoPE）。Ho對處于較次的設備的路由能力和轉發(fā)性能要求較高，而

30、對處于較低層次的設備的相應要求也較低，符合典型的分層網(wǎng)絡模型。15.5.2Ho的基本結構圖 15-5-1 Ho的基本結構在圖 15-5-1 中，直接連接用戶的設備稱為下層 PE（UnderlayE）或用戶側 PE（UserendPE），簡稱 UPE；連結 UPE 并位于網(wǎng)絡的設備稱為上層 PE（Superstratum PE）或運營商側 PE（Service Provider-end PE），簡稱 SPE。 SPE 與 UPE 的關系是：UPE 主要完成用戶接入功能。UPE其直接相連的site 的路由，但不中其它遠端 site 的路由或僅它們的聚合路由；UPE 為其直接相連的 site 的路由

31、分配內(nèi)層，并通過 MP-BGP 隨路由發(fā)布此給 SPE；SPE 主要完成路由的管理和發(fā)布。SPE其通過 UPE 連接的所有路由，包括本地和遠端 site 的路由，但 SPE 不發(fā)布遠端 site 的路由給 UPE，只發(fā)布實例的缺省路由或聚合路由，并攜帶；12UPE 和 SPE 之間采用轉發(fā)，只需要一個接口連接，SPE 不需要使用大量接口來接入用戶。UPE 和 SPE 之間的接口可以是物理接口、子接口（如 VLAN，PVC）或隧道接口（如 GRE、LSP）。采用隧道接口時，SPE 和 UPE 之間可以相隔一個 IP 網(wǎng)絡或MPLS 網(wǎng)絡，UPE 或 SPE 發(fā)出的支持對 MPLS 報文的封裝。報

32、文經(jīng)過隧道傳遞。如果是 GRE 隧道，要求 GRE由于分工的不同，對 SPE 和 UPE 的要求也不同：SPE 的路由表容量大，轉發(fā)性能強，但接口資源較少；UPE 的路由容量和轉發(fā)性能較低，但接入能力強。需明的是，SPE 和 UPE 是相對的。在多個層次的 PE 結構中，上層 PE 相對于下層就是 SPE，下層 PE 相對于上層就是 UPE。分層式 PE 可以和普通 PE 共存于一個 MPLS 網(wǎng)絡。15.5.3SPE-UPESPE 和 UPE 之間運行 MP-BGP，根據(jù) UPE 和 SPE 是否屬于同一個 AS，可以是 MP-IBGP，也可以是 MP-EBGP。采用 MP-IBGP 時，為

33、了在 IBGP 對等體之間通告路由，SPE 可以作為多個 UPE 的路由反射器。SPE 作為 UPE 的路由反射器時，為了減少 UPE 上的路由條數(shù)，建議 SPE 不再作為其它PE 的路由反射器。15.5.4Ho的優(yōu)勢Ho組網(wǎng)方案具有以下優(yōu)勢：BGP/MPLS可以逐層部署。當 UPE 的性能不夠的時候，可以添加一個 SPE，將UPE 的位置下移。當 SPE 的接入能力的時候，可以為其添加 UPE。UPE 和 SPE 之間采用資源。轉發(fā)，因而只需要一個(子)接口相互連接，節(jié)約有限的接口若 UPE 和 SPE 之間相隔一個 IP/MPLS 網(wǎng)絡，采用 GRE 或 LSP 等隧道連接。在分層部署 M

34、PLSUPE 上只需時，有良好的可擴展性。本地接入的路由，所有遠端路由都用一條缺省或聚合路由替代，大大減輕了 UPE 的負擔。SPE 和 UPE 通過動態(tài)路由協(xié)議 MP-BGP 交換路由、發(fā)布一個 MP-BGP 對等體，協(xié)議開銷小，配置工作量小。每一個 UPE 只要運行1315.6OSPF 偽連接15.6.1Sham link 的產(chǎn)生通常情況下，BGP 對等體之間通過 BGP 擴展團體屬性在 MPLS骨干網(wǎng)上承載路由信息。另一端 PE 上運行的OSPF 可利用這些信息來生成 PE 到 CE 的 Type-3 LSA，這些路由是區(qū)域間路由。如圖 15-6-1 所示：在 OSPF 的 PE-CE

35、連接中，同一個 OSPF 區(qū)域中有兩個 site 連接到不同的 PE，兩個 site 屬于同一個，它們之間存在一條區(qū)域內(nèi)OSPF 鏈路（backdoor link）。可以將這兩個 site 看成是一個 site（多歸屬）。這種情況下，通過 PE 連接兩個 site 的路由將作為區(qū)域間路由（ er-Area Route），其優(yōu)先級低于經(jīng)過 backdoor 鏈路的區(qū)域內(nèi)路由（ ra-Area Route），不被 OSPF 優(yōu)選。圖 15-6-1 Sham link 應用示意圖上述情況導致流量總是通過后門路由轉發(fā)，而不走骨干網(wǎng)。為了避免這一問題，可以在PE 設備之間建立OSPF 偽連接（Sham

36、link），使經(jīng)過MPLS區(qū)域內(nèi)路由。骨干網(wǎng)的路由也成為OSPF15.6.2Sham link 的實現(xiàn)Sham link 作為區(qū)域內(nèi)的一條點到點鏈路，包含在 Type1 LSA 中發(fā)布。用戶可以通過調整度量值在 Sham link 和 backdoor 之間進行選路。Sham link 被看成是兩個的端點地址，它是 PE 設備上實例之間的鏈路，每個實例中必須有一個 Sham link地址空間中的一個有 32 位掩碼的 Loack 接口地址。同一個 OSPF 進程的多條 Sham link 可以共用端點地址，但不同OSPF 進程不能擁有兩條端點地14址完全相同的 Sham link。Sham l

37、ink 的端點地址被 BGP 作為-IPv4 地址發(fā)布。如果路由經(jīng)過了 Sham link，它就不能再以-IPv4 路由的形式被引入到 BGP。15.6.3Sham link 的路由發(fā)布過程Sham link 在兩個 PE 之間建立起來后，這兩個 PE 將成為 Sham link 鄰居，交互 LSDB。此時骨干網(wǎng)將被看成是點到點的區(qū)域鏈路，PE 通過其發(fā)布 Type1 LSA。此時，Sham link 中的路由發(fā)布過程如圖 15-6-2。其中，Adv 表示路由發(fā)布者（Advertiser）；D 表示報文的目的地址，Cost 表示 Sham link 的路由開銷。圖 15-6-2 Sham li

38、nk 路由發(fā)布從圖 15-6-2 可以看出，Sham link 路由發(fā)布整個過程，LSA 的類型、發(fā)布者及 Cost 值始終不變，相當于 LSA 從 PE1 透明傳送到 PE2。15.7Multi-Instance CE15.7.1Multi-Instance CE 的產(chǎn)生單純使用傳統(tǒng)路由器很難實現(xiàn)局域網(wǎng)中不同業(yè)務的完全。目前，局域網(wǎng)不同業(yè)務的隔離一般是通過交換機的 VLAN 功能實現(xiàn)的。但交換機的路由功能相對較弱。因此，為了保證局域網(wǎng)的安全并提高局域網(wǎng)的路由能力，需要同時布置路由器和交換機，這對小網(wǎng)絡而言15說明：如果把Sham link 看成一條鏈路，則Sham link 的路由開銷相當于

39、該鏈路接口的 OSPF 路由開銷。為了使 流量通過 MPLS 骨干網(wǎng)轉發(fā)，Sham link 的路由開銷應小于 backdoor 鏈路的 OSPF路由 OSPF 路由開銷。是不經(jīng)濟的。在一臺路由器上運行多個 OSPF 進程，將不同的進程綁定到不同的實例。就像在 PE上使用 OSPF 多實例一樣，在 CE 通過為不同的業(yè)務建立各自的OSPF 實例，相當于不同的業(yè)務使用不同的虛擬 CE 設備。這樣，可以用較低成本實現(xiàn)不同業(yè)務的，保證各自的安全性。OSPF 多實例通常運行在 PE 設備上，在用戶局域網(wǎng)運行 OSPF 多實例的設備稱為Multi-Instance CE，即多實例 CE。與 PE 上的O

40、SPF 多實例相比，Multi-Instance CE不需要支持 BGPF 互操作功能。Multi-Instance CE 主要用于以較低的成本解決局域網(wǎng)的安全問題。15.7.2MCE 實現(xiàn)原理Multi-Instance CE 的實現(xiàn)原理較簡單，就是在同一臺 CE 和 PE 設備上實現(xiàn)不同的OSPF 多實例。關鍵的實現(xiàn)在于路由環(huán)的檢查，直接進行路由計算。通常情況下，如果 PE-CE 之間運行 OSPF，則 PE 設備對接收的 Summary位檢查，以防止 PE 又從 CE 學到發(fā)出的 LSA 而引起環(huán)路。但在運行 OSPF PE 設備上，對路由環(huán)的檢測反而不能正確進行路由選路。LSA 進行

41、DN多實例的非圖 15-7-1 MCE 進行環(huán)路檢測的情況如圖 15-7-1 所示，PE2 向 MCE 發(fā)布的OSPF Type3 LSA 時，由于使用 OSPF 多實例發(fā)布，該 3 類 LSA 中的 DN 被置位。當 MCE 收到該 LSA 時，發(fā)現(xiàn)其 DN 位置位，就會忽略該 LSA，不使用它來進行路由計算。這樣，MCE 上就沒有到 CE1 站點的路由。如果在 MCE 上路由環(huán)的檢查，對 PE2 來的 3 類LSA，不管其 DN 位是否置位，都使用它來進行路由計算。這樣，MCE 就可以正確接收來自 CE1 站點的路由。1615.8與ernet 互聯(lián)一般內(nèi)的用戶只能相互通信，不能與ernet

42、 用戶通信，也不能接入ernet。但的各個 Site 可能有為了實現(xiàn)ernet 的需要，因此需要實現(xiàn)ernet 互聯(lián)，需要滿足以下條件：與ernet 互聯(lián)。與ernet 的用戶設備必須有到達ernet 返回的路由。ernet 目的地址的路由。要有從如果需要公網(wǎng)的用戶的地址是私網(wǎng)地址，則需要進行網(wǎng)絡地址轉換（NAT），把私網(wǎng)地址轉換成公網(wǎng)地址。像非用戶與ernet 互聯(lián)方式一樣，必須采用一定的安全機制（如使用）。有三種實現(xiàn)方法：在骨干網(wǎng)邊緣路由器 PE 側實現(xiàn)，該 PE 負責區(qū)別兩種不同的數(shù)據(jù)流，并分別轉發(fā)至及ernet。同時，在與ernet 兩個域之間提供功能。在 PE 側實現(xiàn)，與接入使用同一

43、個接口，節(jié)約接口資源，并且不同的可以共享一個公有 IP 地址；缺點是在 PE 上實現(xiàn)復雜，且存在安全隱患：如果 CE 使用邏輯鏈路接入 PEernet，來自ernet 的的大流量攻擊會使得 PE-CE 鏈路飽和，從而使得正常的不論 CE 使用邏輯鏈路還是物理鏈路接入 PE能受到ernet 的 DoS（Denial of Service）數(shù)據(jù)包無法傳輸。ernet，該 PE 設備都有可。在用戶側實現(xiàn)。此時，由私網(wǎng)邊緣路由器 CE 區(qū)分兩種不同的數(shù)據(jù)流，并分別引導兩個不同的域：一個通過 PE 邊緣路由器接入內(nèi)的 ISP 路，一個通過不包含在功能。由器接入ernet。同時，CE 設備提供在用戶側實現(xiàn)

44、，其實現(xiàn)方法簡單，公網(wǎng)和私網(wǎng)路由，安全可靠；但缺點是需使用單獨的接口，占用接口資源，并且每個都需要單獨使用一個公網(wǎng)地址。在備ernet 網(wǎng)關側實現(xiàn)。這里的ernet 網(wǎng)關是指接入ernet 的運營商設備，必須具用戶的 PE 設備。路由管理功能，可以是不接入任何在ernet 網(wǎng)關側實現(xiàn)，比在 PE 側實現(xiàn)安全性高，但ernet 網(wǎng)關要創(chuàng)建多個實例，使用負擔重。且ernet 網(wǎng)關要使用多個接口接入ernet，占用多個公有 IP 地址，每個一個接口和一個公有 IP 地址。三種與ernet 互聯(lián)的實現(xiàn)方法比較如表 15-8-1所示。17表 15-8-1 三種與ernet 互聯(lián)的實現(xiàn)方法比較實現(xiàn)方法安全

45、性使用接口使用公有 IP 地址NAT 轉換實現(xiàn)難易程度在用戶側實現(xiàn)相對較高每個 單獨使用一個接口，占用用戶接口資源每個單獨使用一個公有 IP 地址在 CE 側進行實現(xiàn)簡單在 PE 側實現(xiàn)相對較低ernet 接入與接入使用同一個接口，節(jié)約接口資源PE 上多個共用一個公有 IP 地址一般在 PE 側進行實現(xiàn)復雜15.9BGP MPLS配置示例15.9.1配置 BGP/MPLS IP配置基本的 BGP/MPLS IP路由信息。，使兩個之間相互，在 CE 與 PE 之間配置 EBGP交換組網(wǎng)需求如圖 15-9-1，CE1、CE3 屬于-A，CE2、CE4 屬于屬性為 222:2。不同-B；-A 使用的

46、-屬性為 111:1，-B 使用的-用戶之間不能互相。18表 15-8-1 三種與ernet 互聯(lián)的實現(xiàn)方法比較實現(xiàn)方法安全性使用接口使用公有 IP 地址NAT 轉換實現(xiàn)難易程度在ernet 網(wǎng)關側實現(xiàn)相對較高每個單獨使用一 個接口 ，占 用 ernet 網(wǎng)關的接口資源每個單獨使用一個公有 IP 地址 般在ernet網(wǎng)關側進行實現(xiàn)復雜圖 15-9-1 BGP/MPLS IP組網(wǎng)圖操作步驟1.在 MPLS 骨干網(wǎng)上配置 IGP 協(xié)議，實現(xiàn)骨干網(wǎng) PE 和P 的互通。# 配置 PE1。 system-view sysname PE1erface loack 1PE1-Lo PE1-LoPE1ack

47、1 ip address 1.1.1.9 32ack1 quiterface GigabitEthernet 1/0/2PE1-GigabitEthernet1/0/2 ip address 172.1.1.1 24PE1-GigabitEthernet1/0/2 quitPE1 firewall zone trustPE1-zone-trust adderface GigabitEthernet 1/0/2PE1-zone-trust quitPE1 ospf19PE1-ospf-1 area 0PE1-ospf-1-area-0.0.0.0 network 172.1.1.0 0.0.0.

48、255PE1-ospf-1-area-0.0.0.0 network 1.1.1.9 0.0.0.0PE1-ospf-1-area-0.0.0.0 quitPE1-ospf-1 quit# 配置 P。 system-view sysname Perface loack 1ack1 ip address 2.2.2.9 32ack1 quiterface GigabitEthernet 1/0/3P-GigabitEthernet1/0/3 ip address 172.1.1.2 24P-GigabitEthernet1/0/3 quitP firewall zone trustP-zone-

49、trust adderface GigabitEthernet 1/0/3P-zone-trust quitPerface GigabitEthernet 1/0/1P-GigabitEthernet1/0/1 ip address 172.2.1.1 24P-GigabitEthernet1/0/1 quitP firewall zone trustP-zone-trust adderface GigabitEthernet 1/0/1P-zone-trust quitP ospf#pf-1 area 0pf-1-area-0.0.0.0 network 172.1.1.0 0.0.0.25

50、5pf-1-area-0.0.0.0 network 172.2.1.0 0.0.0.255pf-1-area-0.0.0.0 network 2.2.2.9 0.0.0.0pf-1-area-0.0.0.0 quitpf-1 quit配置 PE2。 system-view sysname PE2erface loack 1PE2-Loack1 ip address 3.3.3.9 3220說明：配置P 設備時，請執(zhí)行undo firewall seslink-s e check命令關閉其狀態(tài)檢測功能。PE2-LoPE2ack1 quiterface GigabitEthernet 1/0/2

51、PE2-GigabitEthernet1/0/2 ip address 172.2.1.2 24PE2-GigabitEthernet1/0/2 quitPE2 firewall zone trustPE2-zone-trust adderface GigabitEthernet 1/0/2PE2-zone-trust quitPE2 ospfPE2-ospf-1 area 0PE2-ospf-1-area-0.0.0.0 network 172.2.1.0 0.0.0.255PE2-ospf-1-area-0.0.0.0 network 3.3.3.9 0.0.0.0PE2-ospf-1-a

52、rea-0.0.0.0 quitPE2-ospf-1 quit配置完成后，PE1、P、PE2 之間應能建立OSPF 鄰居關系，執(zhí)行 display ospf peer 命令可以看到鄰居狀態(tài)為 Full。執(zhí)行 display ip routing-table 命令可以看到 PE 之間學習到對方的Loack1 路由。以 PE1 的顯示為例：PE1 display ospf peerOSPF Pros 1 with Router ID 1.1.1.9 NeighborsArea 0.0.0.0erface 172.1.1.1(GigabitEthernet1/0/2)s neighborsRoute

53、r ID: 172.1.1.2S e: Full Mode:Nbr isAddress: 172.1.1.2Master Priority: 1MTU: 1500GR S e: NormalDR: NoneBDR: NoneDead timer due in 38 secNeighup for 00:02:44Authentication Sequence: 0 PE1 display ip routing-tableRoute Flags: R - re d, D - download to fib-Routing Tables: PublicDestinations : 9Routes :

54、 9Destination/Mask1.1.1.9/322.2.2.9/323.3.3.9/32127.0.0.0/8Proto Pre CostFlags NextHoperfaceDirect 0 OSPF OSPFDirect 00D 127.0.0.1 InLoack0101023D 172.1.1.2 GigabitEthernet1/0/2D 172.1.1.2 GigabitEthernet1/0/20D 127.0.0.1 InLoack021127.0.0.1/32172.1.1.0/24172.1.1.1/32172.1.1.2/32172.2.1.0/24Direct 0

55、Direct 0Direct 0Direct 0 OSPF0000D D DD127.0.0.1172.1.1.1127.0.0.1172.1.1.2InLoack0GigabitEthernet1/0/2InLoack0GigabitEthernet1/0/2102D 172.1.1.2 GigabitEthernet1/0/22.在 MPLS 骨干網(wǎng)上配置 MPLS 基本功能和 MPLS LDP，建立 LDP LSP。 # 配置 PE1。PE1 mpls lsr-id 1.1.1.9PE1 mplsPE1-mpls lsp-trigger allPE1-mpls quitPE1 mpls

56、ldpPE1-mpls-ldp quitPE1erface GigabitEthernet 1/0/2PE1-GigabitEthernet1/0/2 mpls PE1-GigabitEthernet1/0/2 mpls ldp PE1-GigabitEthernet1/0/2 quit# 配置 P。P mpls lsr-id 2.2.2.9P mplsP-mpls lsp-trigger allP-mpls quitP mpls ldpP-mpls-ldp quitPerface GigabitEthernet 1/0/3P-GigabitEthernet1/0/3 mplsP-Gigabi

57、tEthernet1/0/3 mpls ldpP-GigabitEthernet1/0/3 quitPerface GigabitEthernet 1/0/1P-GigabitEthernet1/0/1 mplsP-GigabitEthernet1/0/1 mpls ldpP-GigabitEthernet1/0/1 quit# 配置 PE2。PE2 mpls lsr-id 3.3.3.9PE2 mplsPE2-mpls lsp-trigger allPE2-mpls quitPE2 mpls ldp22PE2-mpls-ldp quitPE2erface GigabitEthernet 1/

58、0/2PE2-GigabitEthernet1/0/2 mpls PE2-GigabitEthernet1/0/2 mpls ldp PE2-GigabitEthernet1/0/2 quit上述配置完成后，PE1 與P、P 與 PE2 之間應能建立 LDP 會話，執(zhí)行 display mpls ldp ses命令可以看到顯示結果中 Sus 項為“Operational”，即會話已經(jīng)建立。執(zhí)行 display mpls ldp lsp命令，可以看到 LDP LSP 的建立情況。以 PE1 的顯示為例：PE1 display mpls ldp sesLDP Ses(s) in Public Ne

59、tworkPeer-IDS usLAMRoleAgeKA-Sent/Rcv2.2.2.9:0Operational DUPassive 000:00:015/5TOTAL: 1 ses(s) Found.LAM : Label Advertisement ModePE1 display mpls ldp lspAge Unit : DDD:HH:MMLDP LSP Information-SNDestAddress/MaskIn/OutLabelNext-HopIn/Out- erface-1231.1.1.9/322.2.2.9/323.3.3.9/323/NULL NULL/3NULL/1

60、024127.0.0.1172.1.1.2172.1.1.2GE1/0/2/InLoop0-/GE1/0/2-/GE1/0/2-TOTAL: 3 Normal LSP(s) Found. TOTAL: 0 Liberal LSP(s) Found.A * before an LSP means the LSP is not establishedA * before a Label means the USCB or DSCB is stale3.在 PE 設備上配置# 配置 PE1。實例，將 CE 接入 PE。PE1 ip-instanceaEnter root system-instanc