本篇文章將已實驗的基礎來詳細講解MPLS 中VRF表的分離技術與靜態穿越VRF表
如果你不理解以下四點,那就請繼續看下去吧
- 控制層面與數據層面的區別
- MPLS 中VRF表的作用
- 靜態路由如何穿越不同的VRF表
- 如何打破AS-Path的防環原則
實驗拓撲如下
需求:
- 分部間的通信要繞行總部
- 儘可能減少VRF表的數量(VRF表分離)
- 去往互聯網採用靜態的VRF穿越
- 主備結構,分流互備
分析:
如何將VRF表分離:
在R3這個PE上做兩個VRF表,即spoke作爲接收其他分部路由的VRF表(入向添加的是分部的出向),hub作爲發出給其他分部的VRF表(分部的入向要添加這個hub的出向)
分離後的好處:
- 適合分支不斷擴展,便於做策略
- 可以把安全策略中心與總部結合起來
- 壓縮成本
- 便於管理,人員調配
實施:
由於此篇文章重點講述VRF表分離與靜態VRF的穿越,前三步將省略,如果想要了解的話,請看這篇文章,這是一個具體項目的配置方案
- 配置IP地址
- 配置路由(ISP底層用OSPF,配置BGP)
- 運營商內部鋪設MPLS weipi嗯隧道
- 配置VRF表
- 配置靜態穿越VRF表
- 策略
從第四步開始的詳細配置
- 連接總部的邊界ISP R3 上的兩個VRF表,spoke作爲接收分部的路由,hub作爲發送給分部的路由
- 連接分部的邊界ISP R8 R9的VRF表
新的問題:
由於AS號的昂貴,此實驗中模擬了真是環境的操作,即總部與分部的AS號相同,那麼此時就會出現一個新的問題,環路問題,即分部的路由進入到總部後,就會因爲AS-Path的存在則不能進去
解決:
打破這種默認存在的防環原則
- 連接分部的邊界運營商上,在VPNV4的instance中允許給/扔給鄰居一個出環(存在分部的AS號)的路由
- 上面的操作在每個連接分部的邊界運營商上都要做
- 連接總部的運營商上,允許發出環的路由,且允許收到出環的路由
a.在spoke的VRF表中,對總部進行允許發出/扔給 出環的路由(substitute-as)
b.在hub的VRF表中,對總部進行允許接收/收到 出環的路由(allow-as-loop)
一定要分清楚數據層面與控制層面
- Ping(流量走向):控制層面是spoke進,hub出,但是,數據層面的話,查看PE(連接總部的PE)的hub路由表,分部的私網路由是CE給的,所以數據層面的流量會從hub子接口進,spoke子接口出
- 打破防環原則時:研究對象是站在PE的角度 對EBGP的CE鄰居而言 允許出去或進來的;說明:此時的選擇對應的是路由表,即控制層面,則spoke是import分部的VRF的,所以是PE將分部的流量導入給到CE的,那就是允許出去 ,即spoke就對鄰居就配置substitue-as;那麼在hub中就是允許CE的路由進來,即hub對鄰居配置allow-as-loop
圖解說明:
- 紅色是控制層面,可見經過R6這個路由反射器反射路由並從spoke進入,hub出去
- 黑色是數據層面,可見經過MPLS 隧道從hub進入,spoke出去
詳細配置:
R3上,注意允許出環的次數不要用默認的1 要改大些,要不就沒有打破原先的防環原則
R8 R9上 允許發出去可能出環的路由
測試:
PC1pingPC2 即分部間的通信,可以明顯的看出繞行了總部,且數據層面的流量從hub進,spoke出
接下來做互聯網的部分,兩種做法,此實驗環境採用的是第二種方案
- 連接互聯網的VRF表,在spoke中接收一下
- 手工配置靜態缺省,穿越VRF白哦
靜態穿越VRF表:
目的:爲了使VRF來到全局/全局來到VRF/VRF來到VRF(即打破隔離)
實施:
- 寫在全局路由表中 穿到VPN 即下一跳爲VPN 下一跳前面寫vpn-instance
- 寫在VPN 中 穿到全局路由表,public爲全局下一跳的聲明 目的地前面寫vpn-instance 下一跳後面寫public
- 寫在VPN中 穿到VPN中 目的地前面寫vpn-instance 下一跳前面寫vpn-instance
總結:
靜態可以在一個路由器的不同VRF相互穿越,BGP可以做到遠端兩個VRF相互穿(接收即可),但是其他動態路由協議是不能做到不同VRF相互穿越
配置:R3 R4配置相同,並對互聯網鄰居做bgp的靜態引入
檢查,R3的全局路由表有0.0.0.0的下一跳爲連接互聯網的接口;int這個VRF表中有10網段的路由
R3 R4要對R1 R2下發默認,這個下發的是spoke的鄰居,因爲此時研究對象是控制層面,即想要達到的是將路由導入
接下來就是製作策略,使R3成爲分部間通信的流量承載點,那麼將R1選擇R3進來(spoke接口)的LP增大,那麼流量就會從R3進入,還要控制出去時也走R3,則將R2出去的MED增大,影響R4對我自己的選路,這樣一來,R3就成爲承載所有分部流量的路由器,爲了使R4成爲互聯網路由器,在互聯網路由器上製作策略,即將R4鄰居傳遞來的路由的PV增大
以上就是所有的配置,下面是此實驗的技術總結(思維導圖的形式),算是給看到這裏的你一個彩蛋吧~