详解华为HCIE跨域Vpn解决方案.docx

详解华为hcie跨域vpn大家好，大家肯定在备考HClE的时候，会发现老师讲到这一块的时候，都会说一句这是重难点！对吧！在我们HCIE之旅中，实验中遇到的一个20多分的大题，就是我们的跨域Vpn,那么接下来，我们来跨域VPN的基本原理搞清楚！我们这边呢，建议大家按照这样的一个思路，我这个OPtionA为什么要这样去部署？这样做有什么优缺点？邻居是怎么建立的呢？路由怎么传递的呢？数据怎么访问的呢？带着这几个疑问去思考，想通了就没问题了！接下来进入我们的OptionA（看下图！）1.OptionAOPTIoNA的优缺点优点：配置起来简单，ASBR之间不需要运行MPLS,也不需要为跨AS做特殊配置缺点：可扩展性差，由于ASBR需要管理所有VPN路由，为每个VPN创建VPN实例。这将导致ASBR上的VPNV4路由数量过大。并且，由于ASBR间是普通的IP转发，要求为每个跨域的VPN使用不同的接口，从而提高了对PE设备的要求。如果跨越多个自治域,中间域必须支持VPN业务，不仅配置量大，而且对中间域影响大。在需要跨域的VPN数量比较少的情况，可以优先考虑使用路由传递环境部署：1、AR2-AR3,AR4-AR5建立VPrw4邻居关系2、AS内部IGP互通3、AR3-AR4之间建立ipv4邻居关系，接口绑定实例路由传递：1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、AR2将10.1.1.1/24的路由加入VPNV4路由表（32位IPv4路由添加64位RD,生成96位VPNV4路由），并且为其添加exRT100:1,私网标签Im1,NH地址2.222,生成关于CEl路由10.1.1.1的VRF,将其传递到AR3对应的VRF中；3、AR3匹配imRT100:l,剥离私网标签L1.L1和RD值,引入到实例2中4、引入实例2后以IPv4路由传递给R4,R4从实例3收到IPv4路由，将其加入VPNV4路由表（32位IPv4路由添加64位RD,生成96位VPNV4路由），并且为其添加exRT200：1,私网标签12222,NH地址3.3.33,将其传递到AR55、AR5收到后，匹配imRT200:l,剥离私网标签12222和RD值引入到实例4中数据访问1、AR6访问10.1.L1,将数据包发给AR5,进入到AR5的实例4中，实例4接收后，根据数据查看FIB路由表a、查看FlB路由表发现去往10.1.1.1/24的下一跳是4.444,以路由为FEC分发标签，进行私网标签封装，私网标签12222,NH4.4.4.4,由于4.444发布在IGP中，表中有关于4.4.4.4的LDP隧道，遂迭代到LDP中b、R4收到数据包后，查找标签转发表，找到对应实例3,剥离私网标签后转发给R3c、R3收到数据包查实例的FIB,先封装私网标签1,再封装去往R2的公网标签，然后转发出去d、R2收到数据包后，查找标签转发表，找到对应实例1,剥离私网标签1后转发给RlOptionB优点：不受ASBR之间互连链路数目的限制。缺点：VPN的路由信息是通过AS之间的ASBR来保存和扩散的，当VPN路由较多时，ASBR负担重，容易成为故障点。因此在MP-EBGP方案中，需要维护VPN路由信息的ASBR一般不再负责公网IP转发。环境部署：1、AR2-AR3,AR4-AR5建立VPnV4邻居关系2、AS内部IGP互通3、AR3-AR4之间建立VPnV4邻居关系R3和R4上需要undopolicyvpn-target路由传递1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、AR2将10.1.1.1/24的路由加入VPNV4路由表（32位IPv4路由添加64位RD,生成96位VPNV4路由），并且为其添加exRT100:1,私网标签IIn1,NH地址2.222,生成关于CEl路由10.1.1.1的VRF,将其传递到AR3；3、AR3收到后,为其重新发布私网标签12222,NH33.3.3发布给AR44、AR4收到后，为其重新发布私网标签13333,NH4.444发布给R55、AR5收到后，匹配imRT100:1,剥离私网标签13333和RD值引入到实例2中数据访问1、AR6访问I（U.1.1,将数据包发给AR5,进入到AR5的实例2中，实例2接收后，根据数据查看FlB路由表a、查看FlB路由表发现去往10.1.1.1/24的下一跳是4.444,以路由为FEC分发标签，进行私网标签封装，私网标签13333,NH4.4.4.4,由于4.444发布在IGP中，表中有关于4.4.4.4的LDP隧道，遂迭代到LDP中b>R4收到数据包后，剥离私网标签13333,打上12222标签，发给AR3c、R3收到数据包,查看FlB表剥离私网标签12222,打上IIlI1,然后因为去往1.1.1.1不直达，迭代到LDP中，发给Rld、Rl收到数据包后,查找标签转发表,找到对应实例1,剥离私网标签1转发给RlOptionC的优缺点优点：VPN路由在入口PE和出口PE之间直接交换，不需要中间设备的保存和转发。VPN的路由信息只出现在PE设备上，而P和ASBR只负责报文的转发，使得中间域的设备可以不支持MPLSVPN业务，只需支持MPLS转发，ASBR设备不再成为性能瓶颈。因此跨域VPN-OptionC更适合在跨越多个AS时使用。更适合支持MPLSVPN的负载分担。缺点：配置复杂；维护一条端到端的PE连接管理代价较大。3.OptionC（方案一）EBGPVPNV4钵居AR1AW,10Q-OPTIONC方案一环境部署：1、PEl与PE2建立ebgpvpnv4邻居关系；2、AS内（如ASloO中PEI、Pl、ASBRl）建立IBGP邻居关系，启用MPLSLDP；3、ASBRl和ASBR2建立ebgplpv4邻居关系,开启MPLS,做标签交换；4、路由传递过程：1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、PEI将10.1.1.1/24的路由加入VPNV4路由表（32位IPv4路由添加64位RD,生成96位VPNV4路由），并且为其添加exRT100:1,私网标签11111,NH地址222.2,生成关于CEl路由10.1.1.1的VRF,将其（试图）传递到PE2对应的VRF中;（OPtionC的方案设计意图，是将VPNV4路由直接在PE设备间发送，路由不在ASBR的控制平面上进行路由选择，减轻ASBR的压力）3、传递VPNV4路由，首先需要PEI的2.222与PE2的5.555建立EBGP-VPnV4邻居关系；a、ASloO内,PEl的2.2.2.2/32地址以单播路由的方式，通过IGP传递到ASBRl上,在ASBRl上将2.2.2.2/32宣告到BGP中，并通过路由策略（ASBRl上peerASBR2时applymplslabel）,为2.222分配公网标签13333,NH地址333.3,（此处加标签是为了将222.2路由及标签通过外层公网标签进行传递，这样ASBR就不需对路由进行控制，仅进行转发，减轻ASBR负担；）b、为传递2.2.2.2/32路由，ASlOO与AS200进行标签交换,ASBR2通过路由策略（PeerAR2if-matchmplslabelapplymplsIabeI）将公网标签13333替换为ASBR2的标签14444,NH为4.4.4.4,路由传递给AR54、AS200的PE2收到ASloo的PEl的2.2.2.2/32地址，即可建立PE1-PE2的EBGPvpnV4邻居关系数据传递过程：1、CE2上的数据包要发送给CEl的10.1.1.1/24网段2、CE2的数据包发送给PE2,进入PE2的实例2,实例2接收后，根据数据查看FlB路由表a、查看FIB路由表发现去往10.1.1.1/24的下一跳是2.222,以路由为FEC分发标签，进行私网标签封装，私网标签11111,NH2.2.2.2,由于下一跳222.2转发路径不能直达，查找隧道转发表，表中有222.2（私网FEC）的下一跳的隧道，就迭代到公网隧道中，此处公网隧道是IBGP邻居的路由建成；b查看公网隧道的IBGP路由表，发现去往222.2的下一跳是ASBR2的4.4.4.4,以路由为FEC分发标签，进行公网标签封装，公网标签14444,NH4.4.4.4,由于下一跳4.4.4.4转发路径不能直达，查找隧道转发表，表中有444.4（公网FEC）的下一跳LDP隧道，就再次迭代到LDP隧道中；CsPE2中MPLSLDP建立的LSP隧道已经建立完成，查看igp路由表，收到P2以4.4.4.4为FEC分发标签，下一跳是P2,封装由P2分发的LDP标签15555,NH5.5.5.5,将含三层标签的数据发往P23、P2作为数据传递的下一跳，收到15555标签，发现是自己所发，对标签进行处理，由于是倒数第二跳，进行PHP弹出LDP标签，根据FIB表和NHLFE表，下一跳是ASBR2,将含有公网标签14444和私网标签Illll的数据传递给ASBR24、ASBR2收到标签14444的数据，发现是自己所发，对标签进行处理，剥离14444的标签，根据BGP路由表，发现下一跳是ASBRl,分发了标签13333,加上13333的标签，发往ASBRl5、ASBRI收到标签13333的数据，发现是自己所发，对标签进行处理，剥离13333的标签，查看BGP路由表，发现下一跳是2.222,不可直达，就查看隧道转发表，有2.222的LDP隧道，下一跳Pl,就迭代到LDP隧道中，进行转发6、ASBRl中MPLSLDP建立的LSP隧道己经建立完成，当ASBRI以2.222位FEC,根据FlB表和NHFLE表，下一跳是Pl,封装由P2分发的LDP标签12222,NH2.2.2.2,保持两层标签发往Pl;7、Pl上收到LDP标签为12222的数据，发现是自己所发，对标签进行处理，由于是倒数第二跳，进行PHP弹出LDP标签，根据FlB表和NHFLE表，下一跳是PEl,将含有私网标签Illll的数据传递给PE1；8、PEl上收到私网标签为IIIll的数据，发现是自己所发，对标签进行处理，剥离IllIl的私网标签，将数据转入匹配的vpn实例19、VPN实例1将数据传递到实例对应的CEl,完成数据传递。OPTIONC方案二环境部署：1、PEl与PE2建立ebgpvpnv4邻居关系；2、AS内（如ASIoO中PEI、Pl、ASBRl）建立IGP邻居关系，启用MPLSLDP；3、ASBRl和ASBR2建立ebgplpv4邻居关系，开启MPLS,做标签交换;路由传递过程：1、CEl上宣告一条10.1.1.1/24的路由进入PEl;2、PEl将10.1.1.1/24的路由加入VPNV4路由表（32位IPv4路由添加64位RD,生成96位VPNV4路由），并且为其添加exRT100:1,私网标签：LrLILNH地址222.2,生成关于CEl路由10.1.1.1的VRF,将其（试图）传递到PE2对应的VRF中;（OPtionC的方案设计意图，是将VPNV4路由直接在PE设备间发送，路由不在ASBR的控制平面上进行路由选择，减轻ASBR的压力）3、传递VPNV4路由,首先需要PEl的2.222与PE2的222.2建立EBGP-VPnV4邻居关系；a、ASlOO内,PEl的2.2.2.2/32地址以单播路由的方式，通过IGP传递到ASBRl上，在ASBRl上将2.222/32宣告到BGP中，并通过路由策略（ASBRlPeer对方时候applymplslabel）,为2.2.2.2分配公网标签13333,NH地址3.33.3,（此处加标签是为了将2.222路由及标签通过外层公网标签进行传递，这样ASBR就不需对路由进行控制，仅进行转发，减轻ASBR负担；）b、为传递2.2.2.2/32路由，ASlOO与AS200进行标签交换，将公网标签13333替换为ASBR2的标签14444,NH为4.4.4.4,路由传递到AS200内4AS200内,通过BGP引入IGP的方式,将2.2.2.2/32以IGP单播路由方式逐跳传到PE22.2.2.2中，PE2收到的2.222/32的路由在IGP路由表中，不在BGP路由表中；5、AS200的PE2收到ASlOO的PEl的2.2.2.2/32地址，即可建立PE1-PE2的EBGPvpnV4邻居关系数据传递过程：1、CE2上的数据包要发送给CEl的10.1.1.1/24网段2、CE2的数据包发送给PE2,进入PE2的实例2,实例2接收后，根据数据查看FlB路由表a、查看FIB路由表发现去往10.1.1.1/24的下一跳是2.222,以路由为FEC分发标签，进行私网标签封装，私网标签11111,NH2.2.2.2,由于下一跳2.2.2.2转发路径不能直达，查找隧道转发表，表中有2.222（私网FEC）的下一跳的LDP隧道，就迭代到LDP隧道中，此处LDP隧道是IGP邻居的路由建成；b、PE2中MPLSLDP建立的LSP隧道己经建立完成，下一跳是P2,当PE2以4.444/32路由为FEC分发标签，封装由P2分发的LDP标签15555,NH5.5.5.5,将含二层标签的数据发往P23、P2作为数据传递的下一跳，收到15555标签，发现是自己所发，对标签进行处理，由于是倒数第二跳，进行PHP弹出LDP标签，根据FlB表和NHLFE表，下一跳是ASBR2,将含有私网标签IIlII的数据传递给ASBR24、数据传到ASBR2后，由于AS内是通过IGP传递路由，在ASBR2上IGP路由需要被引入BGP中，再传递给ASBR1。a、由于ASBRl和ASBR2之间仅转发数据，不做路由控制，所需ASBRl和ASBR2间进行标签交换，而ASBR2上的路由现在被引入BGP中，且由于LDP默认只为32位IGP分发标签，而不为BGP分发标签，需要在ASBR1/ASBR2上通过手动的方式是LDP为BGP分发标签；b、ASBR2查看BGP路由表，发现去往10.1.1.1/24的下一跳是3.333,进行公网标签封装，公网标签13333,NH3.3.3.3,加上13333的标签后,发往ASBRI5、ASBRI收到标签13333的数据，发现是自己所发，对标签进行处理，剥离13333的标签，查看BGP路由表，发现下一跳是2.222,不可直达，就查看隧道转发表，有2.222的LDP隧道，下一跳Pl,就迭代到LDP隧道中，进行转发6、ASBRl中MPLSLDP建立的LSP隧道己经建立完成，当ASBRI以2.222位FEC,根据FlB表和NHFLE表，下一跳是Pl,封装由P2分发的LDP标签12222,NH2.2.2.2,保持两层标签发往Pl;7、Pl上收到LDP标签为12222的数据，发现是自己所发，对标签进行处理，由于是倒数第二跳，进行PHP弹出LDP标签，根据FlB表和NHFLE表，下一跳是PEl,将含有私网标签Illll的数据传递给PE1；8、PEl上收到私网标签为IIIll的数据，发现是自己所发，对标签进行处理，剥离IllIl的私网标签，将数据转入匹配的vpn实例19、VPN实例1将数据传递到实例对应的CEl,完成数据传递。所以OPtiOnCI和C2的区别是什么呢？Cl一开始访问的时候是打了三层标签，C2是二层标签C2收到BGPipv4路由是直接引入到IGP中，Cl则是建立BGP邻居关系传递以上就是跨域VPN的知识点！还有一种带RR的场景希望大家看完后能够自己分析出来！谢谢大家。