欢迎来到课桌文档! | 帮助中心 课桌文档-建筑工程资料库
课桌文档
全部分类
  • 党建之窗>
  • 感悟体会>
  • 百家争鸣>
  • 教育整顿>
  • 文笔提升>
  • 热门分类>
  • 计划总结>
  • 致辞演讲>
  • 在线阅读>
  • ImageVerifierCode 换一换
    首页 课桌文档 > 资源分类 > DOCX文档下载  

    详解华为HCIE跨域Vpn解决方案.docx

    • 资源ID:573394       资源大小:84KB        全文页数:7页
    • 资源格式: DOCX        下载积分:5金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要5金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    详解华为HCIE跨域Vpn解决方案.docx

    详解华为hcie跨域vpn大家好,大家肯定在备考HClE的时候,会发现老师讲到这一块的时候,都会说一句这是重难点!对吧!在我们HCIE之旅中,实验中遇到的一个20多分的大题,就是我们的跨域Vpn,那么接下来,我们来跨域VPN的基本原理搞清楚!我们这边呢,建议大家按照这样的一个思路,我这个OPtionA为什么要这样去部署?这样做有什么优缺点?邻居是怎么建立的呢?路由怎么传递的呢?数据怎么访问的呢?带着这几个疑问去思考,想通了就没问题了!接下来进入我们的OptionA(看下图!)1.OptionAOPTIoNA的优缺点优点:配置起来简单,ASBR之间不需要运行MPLS,也不需要为跨AS做特殊配置缺点:可扩展性差,由于ASBR需要管理所有VPN路由,为每个VPN创建VPN实例。这将导致ASBR上的VPNV4路由数量过大。并且,由于ASBR间是普通的IP转发,要求为每个跨域的VPN使用不同的接口,从而提高了对PE设备的要求。如果跨越多个自治域,中间域必须支持VPN业务,不仅配置量大,而且对中间域影响大。在需要跨域的VPN数量比较少的情况,可以优先考虑使用路由传递环境部署:1、AR2-AR3,AR4-AR5建立VPrw4邻居关系2、AS内部IGP互通3、AR3-AR4之间建立ipv4邻居关系,接口绑定实例路由传递:1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、AR2将10.1.1.1/24的路由加入VPNV4路由表(32位IPv4路由添加64位RD,生成96位VPNV4路由),并且为其添加exRT100:1,私网标签Im1,NH地址2.222,生成关于CEl路由10.1.1.1的VRF,将其传递到AR3对应的VRF中;3、AR3匹配imRT100:l,剥离私网标签L1.L1和RD值,引入到实例2中4、引入实例2后以IPv4路由传递给R4,R4从实例3收到IPv4路由,将其加入VPNV4路由表(32位IPv4路由添加64位RD,生成96位VPNV4路由),并且为其添加exRT200:1,私网标签12222,NH地址3.3.33,将其传递到AR55、AR5收到后,匹配imRT200:l,剥离私网标签12222和RD值引入到实例4中数据访问1、AR6访问10.1.L1,将数据包发给AR5,进入到AR5的实例4中,实例4接收后,根据数据查看FIB路由表a、查看FlB路由表发现去往10.1.1.1/24的下一跳是4.444,以路由为FEC分发标签,进行私网标签封装,私网标签12222,NH4.4.4.4,由于4.444发布在IGP中,表中有关于4.4.4.4的LDP隧道,遂迭代到LDP中b、R4收到数据包后,查找标签转发表,找到对应实例3,剥离私网标签后转发给R3c、R3收到数据包查实例的FIB,先封装私网标签1,再封装去往R2的公网标签,然后转发出去d、R2收到数据包后,查找标签转发表,找到对应实例1,剥离私网标签1后转发给RlOptionB优点:不受ASBR之间互连链路数目的限制。缺点:VPN的路由信息是通过AS之间的ASBR来保存和扩散的,当VPN路由较多时,ASBR负担重,容易成为故障点。因此在MP-EBGP方案中,需要维护VPN路由信息的ASBR一般不再负责公网IP转发。环境部署:1、AR2-AR3,AR4-AR5建立VPnV4邻居关系2、AS内部IGP互通3、AR3-AR4之间建立VPnV4邻居关系R3和R4上需要undopolicyvpn-target路由传递1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、AR2将10.1.1.1/24的路由加入VPNV4路由表(32位IPv4路由添加64位RD,生成96位VPNV4路由),并且为其添加exRT100:1,私网标签IIn1,NH地址2.222,生成关于CEl路由10.1.1.1的VRF,将其传递到AR3;3、AR3收到后,为其重新发布私网标签12222,NH33.3.3发布给AR44、AR4收到后,为其重新发布私网标签13333,NH4.444发布给R55、AR5收到后,匹配imRT100:1,剥离私网标签13333和RD值引入到实例2中数据访问1、AR6访问I(U.1.1,将数据包发给AR5,进入到AR5的实例2中,实例2接收后,根据数据查看FlB路由表a、查看FlB路由表发现去往10.1.1.1/24的下一跳是4.444,以路由为FEC分发标签,进行私网标签封装,私网标签13333,NH4.4.4.4,由于4.444发布在IGP中,表中有关于4.4.4.4的LDP隧道,遂迭代到LDP中b>R4收到数据包后,剥离私网标签13333,打上12222标签,发给AR3c、R3收到数据包,查看FlB表剥离私网标签12222,打上IIlI1,然后因为去往1.1.1.1不直达,迭代到LDP中,发给Rld、Rl收到数据包后,查找标签转发表,找到对应实例1,剥离私网标签1转发给RlOptionC的优缺点优点:VPN路由在入口PE和出口PE之间直接交换,不需要中间设备的保存和转发。VPN的路由信息只出现在PE设备上,而P和ASBR只负责报文的转发,使得中间域的设备可以不支持MPLSVPN业务,只需支持MPLS转发,ASBR设备不再成为性能瓶颈。因此跨域VPN-OptionC更适合在跨越多个AS时使用。更适合支持MPLSVPN的负载分担。缺点:配置复杂;维护一条端到端的PE连接管理代价较大。3.OptionC(方案一)EBGPVPNV4钵居AR1AW,10Q-OPTIONC方案一环境部署:1、PEl与PE2建立ebgpvpnv4邻居关系;2、AS内(如ASloO中PEI、Pl、ASBRl)建立IBGP邻居关系,启用MPLSLDP;3、ASBRl和ASBR2建立ebgplpv4邻居关系,开启MPLS,做标签交换;4、路由传递过程:1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、PEI将10.1.1.1/24的路由加入VPNV4路由表(32位IPv4路由添加64位RD,生成96位VPNV4路由),并且为其添加exRT100:1,私网标签11111,NH地址222.2,生成关于CEl路由10.1.1.1的VRF,将其(试图)传递到PE2对应的VRF中;(OPtionC的方案设计意图,是将VPNV4路由直接在PE设备间发送,路由不在ASBR的控制平面上进行路由选择,减轻ASBR的压力)3、传递VPNV4路由,首先需要PEI的2.222与PE2的5.555建立EBGP-VPnV4邻居关系;a、ASloO内,PEl的2.2.2.2/32地址以单播路由的方式,通过IGP传递到ASBRl上,在ASBRl上将2.2.2.2/32宣告到BGP中,并通过路由策略(ASBRl上peerASBR2时applymplslabel),为2.222分配公网标签13333,NH地址333.3,(此处加标签是为了将222.2路由及标签通过外层公网标签进行传递,这样ASBR就不需对路由进行控制,仅进行转发,减轻ASBR负担;)b、为传递2.2.2.2/32路由,ASlOO与AS200进行标签交换,ASBR2通过路由策略(PeerAR2if-matchmplslabelapplymplsIabeI)将公网标签13333替换为ASBR2的标签14444,NH为4.4.4.4,路由传递给AR54、AS200的PE2收到ASloo的PEl的2.2.2.2/32地址,即可建立PE1-PE2的EBGPvpnV4邻居关系数据传递过程:1、CE2上的数据包要发送给CEl的10.1.1.1/24网段2、CE2的数据包发送给PE2,进入PE2的实例2,实例2接收后,根据数据查看FlB路由表a、查看FIB路由表发现去往10.1.1.1/24的下一跳是2.222,以路由为FEC分发标签,进行私网标签封装,私网标签11111,NH2.2.2.2,由于下一跳222.2转发路径不能直达,查找隧道转发表,表中有222.2(私网FEC)的下一跳的隧道,就迭代到公网隧道中,此处公网隧道是IBGP邻居的路由建成;b查看公网隧道的IBGP路由表,发现去往222.2的下一跳是ASBR2的4.4.4.4,以路由为FEC分发标签,进行公网标签封装,公网标签14444,NH4.4.4.4,由于下一跳4.4.4.4转发路径不能直达,查找隧道转发表,表中有444.4(公网FEC)的下一跳LDP隧道,就再次迭代到LDP隧道中;CsPE2中MPLSLDP建立的LSP隧道已经建立完成,查看igp路由表,收到P2以4.4.4.4为FEC分发标签,下一跳是P2,封装由P2分发的LDP标签15555,NH5.5.5.5,将含三层标签的数据发往P23、P2作为数据传递的下一跳,收到15555标签,发现是自己所发,对标签进行处理,由于是倒数第二跳,进行PHP弹出LDP标签,根据FIB表和NHLFE表,下一跳是ASBR2,将含有公网标签14444和私网标签Illll的数据传递给ASBR24、ASBR2收到标签14444的数据,发现是自己所发,对标签进行处理,剥离14444的标签,根据BGP路由表,发现下一跳是ASBRl,分发了标签13333,加上13333的标签,发往ASBRl5、ASBRI收到标签13333的数据,发现是自己所发,对标签进行处理,剥离13333的标签,查看BGP路由表,发现下一跳是2.222,不可直达,就查看隧道转发表,有2.222的LDP隧道,下一跳Pl,就迭代到LDP隧道中,进行转发6、ASBRl中MPLSLDP建立的LSP隧道己经建立完成,当ASBRI以2.222位FEC,根据FlB表和NHFLE表,下一跳是Pl,封装由P2分发的LDP标签12222,NH2.2.2.2,保持两层标签发往Pl;7、Pl上收到LDP标签为12222的数据,发现是自己所发,对标签进行处理,由于是倒数第二跳,进行PHP弹出LDP标签,根据FlB表和NHFLE表,下一跳是PEl,将含有私网标签Illll的数据传递给PE1;8、PEl上收到私网标签为IIIll的数据,发现是自己所发,对标签进行处理,剥离IllIl的私网标签,将数据转入匹配的vpn实例19、VPN实例1将数据传递到实例对应的CEl,完成数据传递。OPTIONC方案二环境部署:1、PEl与PE2建立ebgpvpnv4邻居关系;2、AS内(如ASIoO中PEI、Pl、ASBRl)建立IGP邻居关系,启用MPLSLDP;3、ASBRl和ASBR2建立ebgplpv4邻居关系,开启MPLS,做标签交换;路由传递过程:1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、PEl将10.1.1.1/24的路由加入VPNV4路由表(32位IPv4路由添加64位RD,生成96位VPNV4路由),并且为其添加exRT100:1,私网标签:LrLILNH地址222.2,生成关于CEl路由10.1.1.1的VRF,将其(试图)传递到PE2对应的VRF中;(OPtionC的方案设计意图,是将VPNV4路由直接在PE设备间发送,路由不在ASBR的控制平面上进行路由选择,减轻ASBR的压力)3、传递VPNV4路由,首先需要PEl的2.222与PE2的222.2建立EBGP-VPnV4邻居关系;a、ASlOO内,PEl的2.2.2.2/32地址以单播路由的方式,通过IGP传递到ASBRl上,在ASBRl上将2.222/32宣告到BGP中,并通过路由策略(ASBRlPeer对方时候applymplslabel),为2.2.2.2分配公网标签13333,NH地址3.33.3,(此处加标签是为了将2.222路由及标签通过外层公网标签进行传递,这样ASBR就不需对路由进行控制,仅进行转发,减轻ASBR负担;)b、为传递2.2.2.2/32路由,ASlOO与AS200进行标签交换,将公网标签13333替换为ASBR2的标签14444,NH为4.4.4.4,路由传递到AS200内4AS200内,通过BGP引入IGP的方式,将2.2.2.2/32以IGP单播路由方式逐跳传到PE22.2.2.2中,PE2收到的2.222/32的路由在IGP路由表中,不在BGP路由表中;5、AS200的PE2收到ASlOO的PEl的2.2.2.2/32地址,即可建立PE1-PE2的EBGPvpnV4邻居关系数据传递过程:1、CE2上的数据包要发送给CEl的10.1.1.1/24网段2、CE2的数据包发送给PE2,进入PE2的实例2,实例2接收后,根据数据查看FlB路由表a、查看FIB路由表发现去往10.1.1.1/24的下一跳是2.222,以路由为FEC分发标签,进行私网标签封装,私网标签11111,NH2.2.2.2,由于下一跳2.2.2.2转发路径不能直达,查找隧道转发表,表中有2.222(私网FEC)的下一跳的LDP隧道,就迭代到LDP隧道中,此处LDP隧道是IGP邻居的路由建成;b、PE2中MPLSLDP建立的LSP隧道己经建立完成,下一跳是P2,当PE2以4.444/32路由为FEC分发标签,封装由P2分发的LDP标签15555,NH5.5.5.5,将含二层标签的数据发往P23、P2作为数据传递的下一跳,收到15555标签,发现是自己所发,对标签进行处理,由于是倒数第二跳,进行PHP弹出LDP标签,根据FlB表和NHLFE表,下一跳是ASBR2,将含有私网标签IIlII的数据传递给ASBR24、数据传到ASBR2后,由于AS内是通过IGP传递路由,在ASBR2上IGP路由需要被引入BGP中,再传递给ASBR1。a、由于ASBRl和ASBR2之间仅转发数据,不做路由控制,所需ASBRl和ASBR2间进行标签交换,而ASBR2上的路由现在被引入BGP中,且由于LDP默认只为32位IGP分发标签,而不为BGP分发标签,需要在ASBR1/ASBR2上通过手动的方式是LDP为BGP分发标签;b、ASBR2查看BGP路由表,发现去往10.1.1.1/24的下一跳是3.333,进行公网标签封装,公网标签13333,NH3.3.3.3,加上13333的标签后,发往ASBRI5、ASBRI收到标签13333的数据,发现是自己所发,对标签进行处理,剥离13333的标签,查看BGP路由表,发现下一跳是2.222,不可直达,就查看隧道转发表,有2.222的LDP隧道,下一跳Pl,就迭代到LDP隧道中,进行转发6、ASBRl中MPLSLDP建立的LSP隧道己经建立完成,当ASBRI以2.222位FEC,根据FlB表和NHFLE表,下一跳是Pl,封装由P2分发的LDP标签12222,NH2.2.2.2,保持两层标签发往Pl;7、Pl上收到LDP标签为12222的数据,发现是自己所发,对标签进行处理,由于是倒数第二跳,进行PHP弹出LDP标签,根据FlB表和NHFLE表,下一跳是PEl,将含有私网标签Illll的数据传递给PE1;8、PEl上收到私网标签为IIIll的数据,发现是自己所发,对标签进行处理,剥离IllIl的私网标签,将数据转入匹配的vpn实例19、VPN实例1将数据传递到实例对应的CEl,完成数据传递。所以OPtiOnCI和C2的区别是什么呢?Cl一开始访问的时候是打了三层标签,C2是二层标签C2收到BGPipv4路由是直接引入到IGP中,Cl则是建立BGP邻居关系传递以上就是跨域VPN的知识点!还有一种带RR的场景希望大家看完后能够自己分析出来!谢谢大家。

    注意事项

    本文(详解华为HCIE跨域Vpn解决方案.docx)为本站会员(夺命阿水)主动上传,课桌文档仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知课桌文档(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-1

    经营许可证:宁B2-20210002

    宁公网安备 64010402000986号

    课桌文档
    收起
    展开