VPN技術(shù)分析講座-路由和轉(zhuǎn)發(fā)

第第頁VPN技術(shù)分析講座——路由和轉(zhuǎn)發(fā)VPN技術(shù)分析講座——路由和轉(zhuǎn)發(fā)

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

關(guān)于VPN路由和轉(zhuǎn)發(fā)系列講座的上一講重點(diǎn)介紹了配置和驗(yàn)證VRF(VPN路由轉(zhuǎn)發(fā))的情況。在上述情況下，要在一個(gè)共享的設(shè)備上把用戶隔離開。在那篇文章中，我沒有定義共享接口外部的每個(gè)用戶之間的通信方式，比如是靜態(tài)路由還是動(dòng)態(tài)路由協(xié)議。本星期，我將向你介

關(guān)于VPN路由和轉(zhuǎn)發(fā)系列講座的上一講重點(diǎn)介紹了配置和驗(yàn)證VRF(VPN路由轉(zhuǎn)發(fā))的情況。在上述情況下，要在一個(gè)共享的設(shè)備上把用戶隔離開。在那篇文章中，我沒有定義共享接口外部的每個(gè)用戶之間的通信方式，比如是靜態(tài)路由還是動(dòng)態(tài)路由協(xié)議。本星期，我將向你介紹如何配置這些通信，并且保證所有的用戶路由都能夠正確地廣播。

情況回顧

回顧一下我最近幾篇文章中介紹的小服務(wù)提供商的情況。一個(gè)共享的設(shè)備，作為一個(gè)提供商網(wǎng)絡(luò)(PE)的邊緣連接兩個(gè)用戶(用戶A和B)以提供互聯(lián)網(wǎng)接入。每一個(gè)用戶必須保持隔離狀態(tài)，并且每一個(gè)用戶必須能夠在他們自己的路由器后面向子網(wǎng)廣播。上個(gè)星期，我介紹了如何設(shè)置兩個(gè)VPN路由和轉(zhuǎn)發(fā)(VRF)的實(shí)例，把用戶A和用戶B分配給了每個(gè)VRF的單個(gè)接口。

靜態(tài)路由

靜態(tài)路由是通過一臺(tái)下一跳路由器“指向”一個(gè)路由前綴(子網(wǎng))的手工方法。傳統(tǒng)的靜態(tài)路由在使用低功率路由器的小型網(wǎng)絡(luò)上使用。這種方法節(jié)省了處理器的功率，省去了收斂這樣的動(dòng)態(tài)機(jī)制。下面是如何增加一個(gè)靜態(tài)路由的例子:

Router_A(config)#iproute10.1.1.0255.255.255.0192.168.1.1

這個(gè)命令定義10.1.1.0/24網(wǎng)絡(luò)為通過192.168.1.1下一跳路由器可以訪問的網(wǎng)絡(luò)。這里沒有描述路由器A和下一跳路由器之間的關(guān)系。要記住，下一跳必須是在沒有路由的情況下也能夠訪問的，如果這種說法是正確的話。但是，VRF如何呢?這個(gè)命令僅在全球路由表中增加了一個(gè)靜態(tài)路由，要在VRF中設(shè)置一個(gè)靜態(tài)路由要使用如下命令:

Router_A(config)#iproutevrfVRF_A10.1.1.0255.255.255.0192.168.1.1

這個(gè)命令將向VRF增加同樣的靜態(tài)路由。要驗(yàn)證這個(gè)入口的合法性，請(qǐng)使用如下命令:

Router_A#showiproutevrfVRF_A

輸入的這個(gè)路由應(yīng)該在VRF路由表中，并且寫上代表靜態(tài)的“S”標(biāo)簽。

動(dòng)態(tài)路由

與靜態(tài)路由不同，動(dòng)態(tài)路由使用各種協(xié)議在“相同的”路由器之間自動(dòng)發(fā)布路由信息。這種協(xié)議包括OSPF和RIP。要設(shè)置OSPF，可以使用如下命令:

Router_A(config)#routerospf1

Router_A(config-router)#network192.168.1.00.0.0.3area0.0.0.0

這些命令最低限度能夠在路由器A的接口上啟動(dòng)OSPF。路由器A的接口是為192.168.1.1網(wǎng)絡(luò)設(shè)置的。第二個(gè)命令在0區(qū)域(OSPF骨干網(wǎng)區(qū)域)放置一個(gè)特殊的接口。擁有相同網(wǎng)絡(luò)命令的任何OSPF路由器將組成一個(gè)相鄰空間并且路由信息將被發(fā)布。要驗(yàn)證任何學(xué)習(xí)到的路由，請(qǐng)使用如下命令:

Router_A#showiprouteorRouter_A#showiprouteospf

同靜態(tài)路由一樣，這種設(shè)置為全球路由表中的路由啟動(dòng)OSPF。我們要擴(kuò)展為下圖顯示的拓?fù)湓撛鯓幼瞿?

在這種情況下，客戶的路由器和服務(wù)提供商的路由器必須在VRF之內(nèi)啟動(dòng)OSPF。使用下列命令可以完成這個(gè)任務(wù):

Router_A(config)#routerospf1vrfVRF_A

Router_A(config-router)#network192.168.1.00.0.0.3area0.0.0.0

Router_A(config-router)#capabilityvrf-lite

Router_B(config)#routerospf1vrfVRF_B

Router_B(config-router)#network172.16.1.00.0.3area0.0.0.0

Router_B(config-router)#capabilityvrf-lite

SP_Router(config)#routerospf1vrfVRF_A

SP_Router(config-router)#network192.168.1.00.0.0.3area0.0.0.0

SP_Router(config-router)#capabilityvrf-lite

SP_Router(config)#routerospf2vrfVRF_B

SP_Router(config-router)#network172.16.1.00.0.0.3area0.0.0.0

SP_Router(config-router)#capabilityvrf-lite

這個(gè)命令表將為全部路由器啟動(dòng)每一個(gè)VRF中的OSPF，允許開始路由通信。正如互聯(lián)網(wǎng)草案“draft-ietf-ospf-2547-dnbit-04.txt”中討論的，需要用capabilityvrf-lite命令獲得VRF路由表的準(zhǔn)確數(shù)量。這個(gè)草案的討論超出了本文的范圍。要驗(yàn)證你的相鄰空間已組成和路由將被收到，你可以使用如下命令:

SP_Router#showipospfneighbor

SP_Router#showiproutevrfVRF_A

SP_Router#showiproutevrf