CCIE SP—Inter-Provider VPN Option 1
认证考完已经过了很久了,由于工作原因,很多知识还没有整理出来。
之后会陆续把相应SP的东西整理出来,留作日后复习。
对于跨域MPLS VPN来说,Option1是最好部署的一种方案。
但这是建立在牺牲了扩展性的前提下。
不过仍然有运营商在用此种方案,原因很简单—如果需要跨域的VPN不多,那么这种方案是最好的选择。
我们常把Option1叫做背靠背(Back-to-Back),顾名思义,即两端配置基本一致。
在域间交换时,数据包是以IPV4的形式交换的;对于原理,我们可以简单理解为普通的CE与PE的方式。
下面举了一个例子,在配置中也做了相应的说明:
Topology:
+------+ +------+ | RR1 | /| RR2 | //+------+\ / +------+\ // \ / \ // \ / \ +--/--+ +--\--+ +--/--+ +--\--+ | PE1 | |ASBR1+--------+ASBR2| | PE2 | +--X--+ +-----+ +-----+ +--X--+ // \\ // \\ / \\ / \\ +--/-+ +-\--+ +--/-+ +-\--+ |CE1 | |CE2 | |CE1 | |CE2 | +----+ +----+ +----+ +----+ test001 test002
现在我只把ASBR1的配置拿出来讨论,ASBR2类似
VRF配置:
ip vrf test001 rd 65535:3001 #在部署MPLS的RD时,一般65535代表运行商的AS号,3001是根据整体规划给客户分的 export map test001-export #如果需要监控相应端口(例如CE与PE相连的口),可用export map把需要监控的地址导入网管 route-target import 65535:3001 route-target import 65535:2 #为什么import不用map,可以参考我之前的文章《CCIE SP—MPLS VPN Basic 2》 ! route-map test001-export permit 10 match ip address test001-to-peer set extcommunity rt 65535:1 65535:3001 #仅有符合test001-to-peer的地址才能加上65535:1的rt,在这里这个rt代表网管标签 ! route-map test001-export permit 20 match ip address all-export set extcommunity rt 65535:3001 #其余的都打上客户默认的rt ! ip access-list standard test001-to-peer permit 10.1.1.0 0.0.0.3 ---------------------------------------- ip vrf test002 rd 65535:3002 export map test002-export route-target import 65535:3002 route-target import 65535:2 ! route-map test002-export permit 10 match ip address test002-to-peer set extcommunity rt 65535:1 65535:3002 ! route-map test002-export permit 20 match ip address all-export set extcommunity rt 65535:3002 ! ip access-list standard test002-to-peer permit 11.1.1.0 0.0.0.3 ---------------------------------------- ip access-list standard all-export permit any
端口配置:
interface Serial1/0/1 no ip address ! interface Serial1/0/1.101 point-to-point ip vrf forwarding test001 ip address 10.1.1.1 255.255.255.252 ! interface Serial1/0/1.102 point-to-point ip vrf forwarding test002 ip address 11.1.1.1 255.255.255.252
与ASBR2建立连接
这里用的是BGP,也可以用其他的协议,如静态、ospf和RIP等
address-family ipv4 vrf test001 redistribute connected neighbor 10.1.1.2 remote-as 65000 neighbor 10.1.1.2 activate neighbor 10.1.1.2 as-override #2个CE有同样AS号的情况下使用,参考《CCIE SP—MPLS VPN Basic 2》 no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf test002 redistribute connected neighbor 11.1.1.2 remote-as 65000 neighbor 11.1.1.2 activate neighbor 11.1.1.2 as-override no auto-summary no synchronization exit-address-family
版权声明:
本文链接:CCIE SP—Inter-Provider VPN Option 1
版权声明:本文为原创文章,仅代表个人观点,版权归 Frank Zhao 所有,转载时请注明本文出处及文章链接