[个人笔记]HCIP-Routing & Switching-IENPH12-222

admin 管理员组

文章数量: 887021

MPLS

ISO位于二层和三册之间，可认定为是2.5层

VPN/虚拟私有网络的分类：

• 传统的VPN：
  • PPPoE
  • PPTP
  • L2TP
• 站点之间的基于互联网的IPSec
• MPLS VPN

传统IP的缺陷

• 路由器逐跳转发，最长匹配查找
• 传统IP流量工程切换，备份，转发的问题

术语定义

• LER/Label Edge Router:处于MPLS域边缘的路由器，用于打标签和删除标签

• LSR/Label Switch Router：处于MPLS域内，用于标签交换的路由器

• LSP/Label Switch Path： MPLS生成的路径，是单向的

• LDP/Label Distribution Protocol/标签分发协议： MPLS 体系中的一种主要协议。在 MPLS 网络中，两个标签交换路由器（LSR）必须用在它们之间或通过它们转发流量的标签上达成一致。[用UDP去发现邻居，TCP去建立邻居，目的端口号都为646]

• ISP/Internet Service Provider/互联网服务提供商：指的是面向公众提供下列信息服务的经营者：

  • 一是接入服务，即帮助用户接入Internet
  • 二是导航服务，即帮助用户在Internet上找到所需要的信息
  • 三是信息服务，即建立数据服务系统，收集、加工、存储信息，定期维护更新，并通过网络向用户提供信息内容服务。

• PE/Provider Edge：服务提供商骨干网的边缘路由器，它相当于标签边缘路由器（LER）。

• CE/Customer Edge/用户边缘设备:是服务提供商所连接的用户端路由器。CE路由器通过连接一个或多个PE路由器，为用户提供服务接入。CE路由器通常是一台IP路由器，它与连接的PE路由器建立邻接关系。

• P/Provider

标签的空间范围

• 0-15：特殊标签
• 16-1023：静态LSP和静态CR-LSP/Constraint-based Router Label Switch Path的共享的标签空间
• 1024即以上：LSP,RSVP-TE,MP-BGP等动态信令协议的标签空间

MPLS 结构

• 控制平面：负责产生和维护路由信息以及标签信息

  • 路由信息表/RIB/Routing Information Base：由IP路由协议（IP Routing Protocol）生成，用于选择路由
  • 标签分发协议/LDP/Label Distribution Protocol：负责标签的分配、标签转发信息表的建立、标签交换路径的建立、拆除等工作
  • 标签信息表/LIB/Label Information Base：由标签分发协议生成，用于管理标签信息

• 转发平面：即数据平面（Data Plane），负责普通IP报文的转发以及带MPLS标签报文的转发

  • 转发信息表/FIB/Forwarding Information Base：从RIB提取必要的路由信息生成，负责普通IP报文的转发
  • 标签转发信息表/LFIB/Label Forwarding Information Base：简称标签转发表，由标签分发协议在LSR上建立LFIB，负责带MPLS标签报文的转发

MPLS帧模式封装

MPLS Header包含（总长度4byte）：

• 标签长度20bit
• EXP/Expermental Use：3 bit，用于QoS
• S/Bottom Of Stack：1 bit，用于区分标签嵌套的结束
• TTL: 8bit，防止环路和数据无限转发

MPLS环路检测

1. IGP的环路检测机制
2. TTL环路检测
   1. 帧模式的MPLS中使用TTL
   2. 信源模式的MPLS中不使用TTL
3. LDP环路检测机制
   1. 距离向量法
   2. 最大跳数法

基本MPLS配置

• 必须有IGP或静态路由
• mpls lsr-id x.x.x.x–配置标签交换路由器的ID,该地址必须在全局路由可达，否则无法发现、建立邻居或邻居不稳定
• mpls–全局开启mpls
• mpls ldp–全局开启mpls的ldp/标签分发协议
• 接口上配置：mpls和mpls ldp
• tracert lsp ip 44.1.1.1 32----用该命令测试LDP的配置

MPLS标签的转发/标签的行为

• PUSH Label：存在于入口的PE；会根据FEC/转发等价类（一般意义上是一个前缀）压入一个标签
• SWAP：存在于P；进行标签的交换
• POP：移除/弹出一层标签

MPLS 对TTL的处理/TTL的繁衍

1. 在进入MPLS域内的时候复制IP的TTL，即既有IP的TTL又有MPLS的TTL
2. 在MPLS域内只对MPLS 的TTL进行计算
3. 出MPLS域的时候，将MPLS的TTL复制到IP的TTL，并删除MPLS的TTL

• 有时候需要关闭MPLS的TTL复制功能，如不希望边缘用户/CE知道PE内的具体信息
• 建议在配置MPLS的时候也配置关闭TTL
• 命令：在mpls视图下配置undo ppl propagate public

LDP

用来在LSR之间建立LDP Session 并交换Label/FEC映射信息的协议

用UDP去发现邻居，TCP去建立邻居，目的端口号都为646

LDP发现机制–hello

• 基本发现机制：发现直接连接在同一链路上的LSR邻居，目的地址224.0.0.2（224网段的组播地址的TTL值都为1）
• 扩展发现机制：发现非直连的LSR邻居，单播形式

LDP Session建立和维护----Initiation+KeepAlive

LDP的邻居状态：

基于平台的标签空间：

• 如LDP ID 的11.1.1.1：0中的：0代表基于平台
• 对一个前缀向所有的邻居发送相同的标签
• 两个设备之间有多个运行LDP的链路，但是会话依旧只有一个
• 只有出接口没有入接口

LDP的标签发布方式/Label Advertisement Mode：

• 下游自主方式/DU/Downstream Unsolicited：默认情况下的标签分发方式，对于一个特定的FEC，LSR无需从上游获得标签请求消息即进行标签分配与分发；华为设备默认情况下只针对32位的路由来分发标签（因此在配置接口IP时应该配置成32位的后缀）（思科设备是对所有的静态和igp路由分发标签）；下游分配的标签供上游使用的
• 下游按需方式/DoD/Downstream on Demand：需要上游请求，下游设备才会进行标签的分配与分发

LDP的标签分配方式/Label Distribution Control Mode：

• 定义：在LSP的建立过程中，LSR分配标签时采用的处理方式。
• Independent/独立标签分配控制方式：本地LSR可以自主地分配一个标签绑定到某个FEC，并通告上游LSR，而无需等待下游的标签
• Ordered/有序标签分配控制方式：默认的标签分配方式，对于LSR上某个FEC的标签映射，只有当该LSR已经具有此FEC下一跳的标签映射消息、或者该LSR就是此FEC的出节点时，该LSR才可以向上游发送此FEC的标签映射

LDP标签的保持方式/Label Retention Mode：

• 定义：对LSR收到的、但目前暂时不需要的标签映射的处理方式
• Conservative/保守：对于从邻居LSR收到的标签映射，只有当邻居LSR是自己的下一跳才保留
• Liberal/自由标签保持方式：默认的方式；对于从邻居LSR收到的标签映射，无论邻居LSR是不是自己的下一跳都保留，可以更快速地切换

LDP的一些调整：

• local：默认的用mpls lsr-id 的地址来建立邻居
• 用直连接口来作为transport地址：接口视图下配置 mpls ldp transport-address interface
• 建立远端LDP会话：
  • mpls ldp remote-peer name
  • remote-ip x.x.x.x
  • 需要两端对指

PHP/次末跳弹出：

• 原本在MPLS的最后一跳需要查找FIB和LFIB，而MPLS域内PE又多，会造成效率低，因此有了PHP

• PHP：在倒数第二跳收到了来自末跳设备的特殊标签（3，即隐式空标签，默认行为；0，即显示空标签~用于QoS）

  • 显示空标签配置：mpls下配置label advertise explicit-null
  • 隐式空标签配置：mpls下配置label advertise implicit-null

• 严格意义上不是只有最后一跳才做，任何设备都会做

LDP与IGP同步：

• 产生背景：由于LDP的收敛速度依赖于IGP路由的收敛，即LDP的收敛速度比IGP的收敛速度慢，因此可能导致：
  • 当主链路发生故障时，IGP路由和LSP均切换到备份链路上。但当主链路从故障中恢复时，由于LDP的收敛速度低于IGP，IGP会先切换回主链路，因此会造成LSP流量损失
  • 当主链路IGP正常但主链路的LDP会话发生故障时，由于IGP仍在使用主链路而备份链路不存在IGP，导致LSP链路无法建立，造成LSP流量丢失
  • 当某节点发生主备倒置时，LDP会话的建立可能晚于IGP的GR/Graceful Restart结束，从而发布链路的最大开销值，造成路由震荡
• 三个定时器：
  • Hold-down timer：用于抑制IGP邻居建立的时长
  • Hold-max-cost timer:用于控制通告接口链路的最大cost值的时长
  • Delay timer：用于控制等待LSP建立的时间

静态LSP

• 产生背景：LDP是动态方式通告标签，一般情况下都使用LDP建立LSP，但若LDP协议出现问题，可能导致MPLS流量的丢失，因此对于某些关键数据或重要业务，通过配置静态LSP来确定传输路径

• 特点：静态LSP需要通过手工配置来实现，不需要交互控制报文，资源消耗比较小，但通过静态方式建立的LSP不能根据网络topo变化动态调整，需要管理员预干涉，所以适用于topo简单且稳定的网络

• 配置原则：

  • 上一节点的出标签等于下一节点的入标签
  • 范围是16~1023
  • 需要在Ingress/入口PE、Transit/传输P设备和Egress/出口PE上配置（因为LSP是单向的而数据包有来有回，因此在每个需要配置的设备上都需要配置双向）

• 基本配置代码：

  • Ingress/入口PE的配置：

    • system-view视图下：
    • static-lsp ingress name destination IP-address mask nexthop IP-address out-label number

  • Transit/传输P设备的配置

    • system-view视图下：
    • static-lsp transit name incoming-interface g0/0/1 in-label number1 nexthop IP-address out-balel number2

  • Egress/出口PE的配置：

    • system-view视图下：
    • static-lsp egress 14 incoming-interface g0/0/2 in-label number

    ▲因为LSP是单向的，所以不要忘记建立双向的LSP

MPLS VPN

典型的具有两层标签：

• 其中外层标签/公网标签是LDP分发的
• 内层标签/VPN的标签/私网标签是MP-BGP协议（VPNV4）来自动分发的（每个VPNV4分配一条标签，仅出口PE了解内层标签，中间设备不关心内层标签）。

VRF/Virtual Route Forwarding/虚拟路由器转发：相当于把一个路由器划分成多个子虚拟路由器，不同的虚拟子路由器之间相互隔离（VRP,FIB等都隔离）

• VPNv4的路由：96位的=64位的RD+32位的IP

• 关键参数：

  • RD/route-distinguisher/路由区分符：64位长，必须拥有，建议RD是惟一的；目的是解决在PE和PE之间更新VPNv4路由的时候解决潜在的路由重叠问题

• RT/route-target/路由目标：用来控制收发VPNv4的路由

• 通常只在PE上配置

VPN实例/VPN Instance:即VPN路由转发表/VRF

• 不同的VPN之间的路由表通过VRF实现
• PE上存在多个路由转发表，包括一个公网/全局路由转发表，以及一个或多个VPN路由转发表
• 一个VPN实例/Site可以拥有多个接口，但一个接口只能属于一个VPN实例

MP-BGP：

• 多个PE之间需要全互联或者需要有RR
• 采用不同的地址族来区分不同的网络层协议，以便正确处理VPN-IPv4路由
  • IPv4的单播
  • IPv4的VPNv4地址族
  • IPv4的vpn-instance的地址族
  • …
• 在PE设备间更新什么内容：
  • 96位的VPNv4
  • 对应的内层标签
  • 其他属性（metric，ext-community等）
• PE和CE的交互：
  • PE必会运行MP-BGP
  • 如果客户端是IDG协议则需要双向重分布
  • 如果客户端是静态路由，需要手工书写静态路由指向客户站点，然后重发布到BGP的vpn实例中
  • 如果客户也是BGP协议，需要在BGP的vpn实例中激活邻居

基本配置–PE端：

• 1.配置SP内的IGP（OSPF，ISIS等），以确定路由可达
• 2.配置LDP（具体命令见上），以为BGP配置更新源，确保外层的LSP是连续的
• 3.ip vpn-instance Name —为每个客户配置vpn实例
  • router-distinguisher 100:1 --配置RD
  • vpn-target 100:14 export-extcommunity —配置RT的出方向
  • vpn-target 100:14 import-extcommunity —配置RT的入方向
• 4.isis 1 vpn-instance Name --配置与CE相关的IGP，此处注意要绑定vpn实例，否则该ISIS为全局协议
  • is-level level-2
  • cost-style wide
  • network-entity 49.2525.0000.0000.0001.00
  • import-route bgp —bgp重分布到isis
• 5.int g0/0/1 —用户祥光的接口绑定vpn实例
  • ip binding vpn-instance Name —在接口上绑定VPN实例
  • ip add 15.1.1.1 24 --配置IP地址，此时的IP地址不是全局范围的单播地址（若在绑定vpn实例之前配置了IP地址，可能会被删除）
  • isis enable —需要先绑定vpn实例后再绑定isis，否则会报错
• 6.bgp 100 ----配置mp-bgp
  • peer 11.1.1.1 as-number 100
  • peer 11.1.1.1 connect-interface loopback0
  • ipv4-family unicast
    • undo synchronization
    • undo peer 11.1.1.1 enable --关闭默认的单播邻居，该设备不需要承载默认的IPv4单播路由
  • ipv4-family vpnv4
    • policy-target —对收到的VPN路由或者标签进行VPN-Target过滤，是系统的默认命令
    • peer 11.1.1.1 enable --配置使能vpnv4邻居
  • ipv4-family vpn-instance Name
    • network 15.1.1.0 24 --宣告网段
    • import-route isis 1 —isis重分布到bgp
• 7.测试
  • ping -vpn-instance Name 15.1.1.5 ----若要ping测试，需要加“-vpn-instance”内容
  • tracert lsp ip 44.1.1.1 32----用该命令测试LDP的配置
  • display bgp vpnv4 vpn-instance Name routing-table
  • display ip routing-table vpn-instance Name

MPLS VPN和OSPF:

• 存在的问题：在MPLS VPN的场景下的OSPF，改变了框架，PE设备成为ABR。MPLS区域被认为是超级区域0，所以得到了区域间的路由/inter-area[会造成问题，如若两个CE之间存在直连的低速备份链路，那么路由就不会走MPLS域而是走直连的备份链路]
• 解决方法：还原MPLS环境下的OSPF的LSA的技术：sham-link
  • 在PE设备上运行
  • 1.int loop 10 —新建一个虚拟接口
    • ip binding vpn-instance Name --绑定vpn实例
    • ip address 10.10.10.10 32 --必须是32位的
  • 2.bgp 100
    • ipv4-family vpn-instance Name
      • network 10.10.10.10 32 --宣告loop 10
  • 3.ospf 1 —在ospf中建立sham-link.默认的cost为1，不要没事干修改cost否则可能被备份低速链路抢先
    • area 0
      • shame link 10.10.10.10 destin-ip/40.40.40.40

MPLS VPN和BGP：

• 问题：因为同一个CE/vpn实例若运行的是BGP协议，那么他们的AS号就会配置成相同，在CE1通过MPLS传递给CE2的时候，因为AS_Path的放环机制，会丢弃传递过来的路由
• 解决方法1：PE设备改写AS_Path
  • bgp 100
    • ipv4-family vpn-instance Name
      • peer 15.1.1.5 substitute-as --核心命令，配置CE的AS号为自己的AS号（即若原来是 100 64241该命令后AS会被改为100 100）
• 解决方法2：配置SoO/Set of Origin：不常见

QinQ/dot1Q in dot1Q

描述：类似于MPLS VPN（L3 VPN），该为L2 VPN，也存在两层标签（私网+公网），封装双层VLAN Tag

优点：

• 解决日益紧缺的公网VLAN ID资源问题(原本只有4096个Vlan可供使用，该技术将可使用的Vlan扩展到4096*4096个)
• 用户可以规划自己的私网VLAN ID
• 提供一种较为简单的二层VPN解决方法
• 使用户网络具有较高的独立性

数据转发流程：

QinQ的类型：

• 基于端口的QinQ
• 灵活QinQ：相对于基于端口的QinQ，灵活QinQ可以根据如报文的外层Vlan及802.1P来选择加入或不加入S-Vlan tag，并且S-Vlan tag可配置

基本配置：

• 基于端口的QinQ：
  • 在PE的与CE相连接的接口视图下配置
    • port link-type dot1q-tunnel —开启QinQ
    • port default vlan 3 —配置外层tag

本文标签： 笔记 routing HCIP amp IENP