MPLS VPN技术原理与配置 华为数通HCIP
hcip考试要点
hcip考试要点HCIP是华为认证的一种高级职业资格证书,主要针对IT行业专业人士。
通过HCIP考试,能够证明考生具备在华为技术领域相关产品和解决方案的设计和实施方面的能力。
HCIP考试的内容涵盖了多个方面,包括网络、安全、存储、云计算、大数据、无线通信等。
下面将从这些方面列举一些考试要点,以供参考。
1. 网络- 网络基础知识:IP地址规划、子网划分、路由、交换、路由协议、网络拓扑等。
- 网络设计和规划:网络设计原则、网络规划方法、网络设备选型、网络拓扑设计等。
- 网络运维和故障排除:网络性能监控、故障排查和处理、网络安全等。
2. 安全- 安全基础知识:网络安全的基本概念、常见的攻击手段、防御措施等。
- 安全策略和风险评估:制定和实施网络安全策略、评估网络风险、建立安全组织结构等。
- 安全技术和解决方案:防火墙、入侵检测与防御系统、安全接入控制系统等。
3. 存储- 存储基础知识:存储技术的基本概念、存储网络、存储设备等。
- 存储规划和设计:存储需求分析、存储系统设计、存储虚拟化等。
- 存储管理和优化:存储设备管理、性能优化、数据备份与恢复等。
4. 云计算- 云计算基础知识:云计算的概念、服务模型、部署模型等。
- 云计算架构和设计:云计算架构设计、资源调度与管理、云计算安全等。
- 云计算平台与服务:OpenStack、KVM、Docker等云计算平台和相关服务的使用和实施。
5. 大数据- 大数据基础知识:大数据的概念、技术架构、数据分析方法等。
- 大数据处理和分析:大数据处理工具的使用、数据分析算法、数据挖掘等。
- 大数据应用:大数据在企业决策、金融、医疗等领域的应用案例分析。
6. 无线通信- 无线通信基础知识:无线通信网络体系结构、无线传输技术、无线接入技术等。
- 无线通信网络规划和设计:无线资源规划、无线网络规划、网络覆盖设计等。
- 无线通信网络优化和故障排除:无线网络性能优化、故障排查与处理、无线安全等。
华为VLAN-VPN配置实例
华为VLAN-VPN配置实例『配置环境参数』1.Switch A、Switch B、Switch C为S5600交换机。
2.Switch A和Switch C的端口GigabitEthernet1/0/1分别与两侧的用户网络相连。
『组网要求』1.Switch B只允许VLAN 10的报文通过。
2.Switch A和Switch C所连接的用户网络之间能够互通非VLAN 10的报文。
2适用产品及版本S3900系列,S5100系列,S5500系列,S5600系列S3900 Release 0019以后的版本,S5600 Release 0035以后的版本3数据配置步骤『VLAN-VPN配置流程』1.创建VLAN10,将交换机相关接口加入VLAN10。
2.将Switch A、Switch C与Switch B相连的端口配置为trunk口,Switch B两端的接口也配置为trunk口。
3.将Switch A和Switch C的端口GigabitEthernet1/0/1配置为VLAN-VPN端口。
【SwitchA相关配置】1.将交换机改名为SwitchA[Quidway]sysname SwitchA2.创建(进入)VLAN10[SwitchA] vlan 103.进入GigabitEthernet1/0/2端口[SwitchA-vlan10] interface GigabitEthernet1/0/24.配置端口类型为trunk[SwitchA-GigabitEthernet1/0/2] port link-type trunk5.将接口加入VLAN10[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 106.进入GigabitEthernet1/0/1端口[SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet1/0/17.将接口加入VLAN10[SwitchA-GigabitEthernet1/0/1] port access vlan 108.开启端口的VLAN-VPN特性[SwitchA-GigabitEthernet1/0/1] vlan-vpn enable【SwitchB相关配置】1.将交换机改名为SwitchB[Quidway]sysname SwitchB2.创建(进入)VLAN10[SwitchB] vlan 103.进入GigabitEthernet1/0/1端口[SwitchB] interface GigabitEthernet1/0/14.配置端口类型为trunk[SwitchB-GigabitEthernet1/0/1] port link-type trunk5.将接口加入VLAN10[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 106.进入GigabitEthernet1/0/2端口[SwitchB-GigabitEthernet1/0/1] interface GigabitEthernet1/0/27.配置端口类型为trunk[SwitchB-GigabitEthernet1/0/2] port link-type trunk8.将接口加入VLAN10[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 10【SwitchC相关配置】Switch C的配置与Switch A的配置相同。
MPLS L3 VPN原理培训胶片-20060711-B
地址族——VPNv4。而原来的标准的地址族就称为IPv4。
Page 6
VPN的定义(1)
IP-VPN:利用IP设施(包括公用的Internet或专用的IP骨干网等)
实现专用广域网设备专线业务(远程拨号、DDN等)的业务仿真。
Network-Based IP-VPN:基于网络的IP-VPN是指将关于VPN的维
护等外包给运营商实施(也允许用户在一定程度上进行业务管理和 控制),并且将其功能特性集中在网络侧设备实现。
对于每个PE,可以维护一个或多个VRF,同时维护一个公网的路由
表(也叫全局路由表),多个VRF实例相互分离独立。
其实实现VRF并不困难,关键在于如何在PE上使用特定的策略规则
来协调各VRF和全局路由表之间的关系。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
隧道(Tunnel):是利用一种协议来传输另外一种协议的一种技术,
主要利用隧道协议来实现这种功能;隧道技术涉及了三种协议,隧 道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
VPN的定义(2)
VLL(Virtual Leased Line):虚拟租用线业务,它通过运营商的边
缘节点向用户提供两个CPE设备间的点到点连接业务。
VPDN(Virtual Private Dial Network):虚拟专用拨号网,远端用
户通过PSTN/ISDN拨入公共IP网,并将数据包隧穿公网以传送至目 的网络
接收端 PE 将路由引入到所属的VRF中(有相匹配的import-target
华为官方 MPLS 培训资料 (仅内部使用)
ISSUE 1.0
日期:
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
课程目标
学习完本课程,您应该能够:
n 理解MPLS基本的基本概念和工作过 程 n 掌握标签的分配和分发 n 掌握MPLS的基本配置方法 n 掌握MPLS的基本调试方法
目录
n MPLS简介 n 标签与标签栈 n 标签的转发与分配 n LDP原理与配置
请求到目的地址 171.68.1.0/24 171.68.10/24 的标签
• •
上游LSR向下游LSR发送标签请求消息(包含FEC的描述信息) 下游LSR为此FEC分配标签,并将绑定的标签通过标签映射消息 反馈给上游LSR
28
标签分发模式:DU
上游
171.68.4.0/24
MPLS域
LSR LER
LER
LSR
LSP
MPLS
LSR LER
LSR: LSR:Label Switch Router LER: LER:Label Edge Router LSP: LSP:Label Switch Path
8
MPLS 基本工作过程
Core LSR LER LER
MPLS的几个术语(一)
l Label:是一个比较短的,定长的,通常只 具有局部意义的标识。 l FEC(Forwarding Equivalence Class): 转发等价类。是在转发过程中以等价的方式 处理的一组数据分组,可以通过地址、隧道 、COS等来标识创建FEC l LSP:标签交换通道。一个FEC的数据流, 在不同的节点被赋予确定的标签,数据转发 按照这些标签进行。数据流所走的路径就是 LSP
H3C华为-IPsecVPN配置教程
H3C华为-IPsecVPN配置教程H3C&华为-IPsecVPN配置教程第⼀篇:⽹关对⽹关IPSec-VPN⼀、H3C路由1、型号:MER5200;软件版本: version 7.1.064, Release 0809P07;固定外⽹IP;2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条,如下图:3、创建IPsecVPN3.1 “虚拟专⽹”---“IPsecVPN”---新建-如下图:3.2 名称----⾃⾏编辑;接⼝---选择外⽹出⼝,组⽹⽅式---分⽀节点;对端⽹关---对端外⽹IP;认证⽅式---预共享密钥;预共享密钥要与对端路由⼀致;3.3 保护流配置H3C路由器下有个内⽹段需要与对端通信,就添加⼏个。
本例172.16.10.0/24与10.10.11.0/24为本地内⽹,172.24.0.0/24为对端内⽹。
注:H3C设备不需要单独再做NAT配置。
4、显⽰⾼级配置4.1 ike配置:主模式、本地外⽹、对端外⽹,关闭对等体检测,算法组推荐。
如下图:4.2 IPsec配置:按照默认配置即可。
5、监控信息待对端华为路由配置完成且正确后,监控会显⽰如下信息。
6、命令⾏检查[H3C]dis acl allDis ike saDis ipsec sa⼆、华为路由1、型号:AR1220-S,软件版本:[V200R007C00SPC900],固定外⽹IP。
2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条,如下图:2、配置⾼级ACL2.1 新建“nonat”,添加⽬的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条,其他允许NAT转换;如下图2.2 新建“nj-g”,i添加本地内⽹172.24.0.0/24⾄⽬的内⽹10.10.11.0/24,172.16.10.0/24的acl,此路由⾛IPsec。
如下图2.3 创建“⽣效时间”3、NAT应⽤⾼级acl“ip业务”--“NAT”---“外⽹访问”---编辑----ACL名称选择“nonat”。
华为VPLS详解
华为VPLS详解4 VPLS 关于本章本章描述内容如下表所⽰。
标题内容4.1 简介介绍VPLS的基本原理4.2 VPLS隧道两种信令⽅式的⽐较介绍了使⽤LDP作为信令的VPLS和使⽤BGP作为信令的VPLS的区别4.3 VPLS的基本架构介绍了VPLS的基本架构4.4 VPLS的实现⽅式介绍VPLS在控制平⾯和数据平⾯的实现⽅法4.5 报⽂的封装与接⼊介绍VPLS报⽂的封装⽅法和⽤户接⼊⽅式4.6 HVPLS介绍HVPLS的产⽣、基本原理和实现⽅式4.7 VPLS的可靠性介绍CE接⼊和PW接⼊的可靠性以及PE间的链路保护4.8 VPLS的应⽤介绍VPLS的典型组⽹应⽤以及需要注意的地⽅4.9 参考资料清单 VPLS的相关参考资料清单4.1 简介4.1.1 VPLS的引⼊在过去的⼗年,以太⽹技术得到了迅速的发展和⼴泛的应⽤,速率从10M到100M,再到1000M,部署成本也越来越低。
以太⽹技术不但在企业⽹得到⼴泛应⽤。
在运营⽹络,特别是MAN(城域⽹)也⽇渐增多。
由于⾼带宽和低成本,以太⽹有很强的竞争⼒。
城域以太⽹通常提供点到点的业务,并且不能跨⼴域⽹(WAN)提供服务。
MPLS的发展使得基于MPLS的L2VPN得到⼴泛应⽤,为了能在MAN/WAN上提供类似以太⽹的多点服务,VPLS应运⽽⽣。
VPLS是⼀种基于MPLS和以太⽹技术的⼆层VPN技术。
VPLS可以实现多点到多点的VPN组⽹,VPLS为许多原来使⽤点到点L2VPN业务的运营商提供了⼀种更完备的解决⽅案,还可以避免像L3VPN那样需要管理⽤户内部的路由信息。
VPLS也称为透明局域⽹服务TLS(Transparent LAN Service)或虚拟专⽤交换⽹服务(Virtual Private Switched Network Service)。
不同于普通L2VPN的点到点业务,利⽤VPLS技术,服务提供商可以通过MPLS⾻⼲⽹向⽤户提供基于以太的多点业务。
华为网络工程师认证HCNP-IENP
华为⽹络⼯程师认证HCNP-IENP MPLS协议原理级配置(最后附实验压缩包)MPLS:多协议标签交换LDP:标签分发协议LSP:标签交换路径LSR:标签交换路由器MPLS LDP配置基础配置[S1]int Vlanif 1[S1]ip add 10.0.1.2 24[R1]int gi0/0/0[R1-GigabitEthernet0/0/0]ip add 10.1.1.1 24[R1]int gi0/0/1[R1-GigabitEthernet0/0/1]ip add 10.2.2.1 24[R1]int gi 0/0/0[R1-GigabitEthernet0/0/0]ip address 10.0.1.1 24[R1] int S4/0/0[R1-Serial4/0/0Jip address 10.0.12.1 24[R1] int loopback 0[R1-LoopBackO]ip address 2.2.2.2 24[R2] int S4/0/0[R2-Serial4/0/0Jip address 10.0.12.2 24[R2] int S4/0/1[R2-Serial4/0/1Jip address 10.0.23.2 24[R2] int loopback 0[R2-LoopBackO]ip address 3.3.3.3 24[R3] interface Gi0/0/0[R3-GigabitEtherneto/0/2] ip address 10.0.2.1 24[R3] int S4/0/0[R3-Serial4/0/0Jip address 10.0.23.3 24[R3-Serial2/0/0] quit[R3] int loopback 0[R3-LoopBackO]ip address 4.4.4.4 24[S2] int Vlanif 1[S2-VlaniflJip address 10.0.2.2 24配置单区域ospf[S1]ospf 1 router-id 1.1.1.1[S1-ospf-1]area 0[S1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255[R1]ospf 1 router-id 2.2.2.2[R1-ospf-1]area 0[R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 2.2.2.0 0.0.0.255[R2]ospf 1 router-id 3.3.3.3[R2-ospf-1]area 0[R2-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255[R2-ospf-1-area-0.0.0.0]network 3.3.3.0 0.0.0.255[R3]ospf 1 router-id 4.4.4.4[R3-ospf-1]area 0[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255[R3-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255[R3-ospf-1-area-0.0.0.0]network 4.4.4.0 0.0.0.255[S2]ospf 1 router-id 5.5.5.5[S2-ospf-1]area 0[S2-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255配置完成以后查看连通性MPLS LDP配置在各MPLS路由器上配置全局MPLS和LDP.[R1]mpls lsr-id 2.2.2.2 //配置标签交换路由器的id(不配置id不能启⽤全局MPLS)[R1]mpls //启⽤MPLSInfo:Mpls starting,please wait...OK![R1-mpls]mpls ldp //启⽤LDP[R2]mpls lsr-id 3.3.3.3[R2]mplsInfo:Mpls starting,please wait...OK![R2-mpls]mpls ldp[R3]mpls lsr-id 4.4.4.4[R3]mplsInfo:Mpls starting,please wait...Ok![R3-mpls]mpls ldp在各MPLS路由器接⼝上配置MPLS和LDP.[R1]interface Serial 1/0/0[R1-Serial1/0/0]mpls //启⽤MPLS[R1-Serial1/0/0]mpls ldp //启⽤LDP[R2]interface Serial 1/0/0[R2-Serial1/0/0]mpls[R2-Serial1/0/0]mpls ldp[R2-Serial1/0/0]quit[R2]interface Serial 2/0/0[R2-Serial2/0/0]mpls[R2-Serial2/0/0]mpls ldp[R3]interface Serial 2/0/0[R3-Serial2/0/0]mpls[R3-Serial2/0/0]mpls ldp配置完成后,在节点上执⾏display mpls ldp session命令,可以看到R1和R2和R3之间的本地LDP会话状态为"Operational" LDP建⽴LSP在配置完成后,各MPLS路由器已根据默认的LDP触发策略建⽴LSP,即所有主机路由触发建⽴LDP LSP.在各MPLS路由器上执⾏display mpls ldp Isp命令,可以看到所有主机路由都触发建⽴了LDP LSP通常情况下,使⽤缺省的触发策略,即由"host"⽅式触发建⽴LDP LSP.在各MPLS路由器上将LDP LSP的触发策略修改为all,使路由表中的所有静态路由和IGP表项都可以触发建⽴LDP LSP.[R1]mpls[R1-mpls]lsp-trigger all //策略修改为all[R2]mpls[R2-mpls]lsp-trigger all[R3]mpls[R3-mpls]lsp-trigger allLDP Inbound策略配置R1性能较低,如果不对R1收到的标签进⾏控制,则会建⽴⼤量的LSP,消耗⼤量内存,R1⽆法承受。
华为hcip认证考试内容
华为hcip认证考试内容
华为HCIP认证考试内容为:
1、基础知识:了解华为路由器和交换机的基本功能、OSPF、VRRP、BGP等网络协议的工作原理,以及智能交换机的特性、交换机的管理等内容。
2、技术层面:掌握如何搭建高可用的IP-VPN、实现VLAN的管理和
交换,利用IPV6实现IPV4和IPV6的转换,具备路由器及交换机的配置、维护、监控和管理能力,实现网络的优化管理,配置复杂的防火墙和安全
策略,实现网络的安全性管理,实现网络设备的QoS优化和负载均衡,以
及实现路由及LAN双向负载均衡。
3、管理层面:通过eSight统一网络管理平台,实现混合环境网络管理、网络自动化管理、安全管理、故障诊断管理等功能。
4、实操:需要考生搭建一套华为网络,完成相关的实际配置和管理,能够完成对网络的配置、维护、监控和管理,以及实现高可用的路由和交换,是考试的重要环节。
华为HCIP(HCNP)精品课程 Wakin出品课件PPT模板
112greoveripse c原理及配置案例
1-10ipsec 配置案例
(手动模式)
1-11ipsec 配置案例
(ike协商)
1-7ipsec基 础
1-8ipsec安 全协议和服
装模式
1-9ipsec安 全联盟sa和
ike
第1章虚拟专用网 络
1-13业界知名防火墙厂商产品介 绍
02 第2章高可靠性技术
202x
华为hcip(hcnp)精 品课程-wakin出品
演讲人
2 0 2 x - 11 - 11
目录
01. 第1章虚拟专用网络 02. 第2章高可靠性技术
01 第1章虚拟专用网络
第1章虚 拟专用网 络
0 1
1-1虚拟专用网 络基础(产生背 景、核心技术、 网络安全厂商介
0 4
1-4gre配置案 例
0 2
1-2虚拟专用网 络类型详解
0 5
1-5信息安全基 础和加密学(特 色课程)
0 3
1-3gre技术原 理
0 6
1-6数字信封、哈 希、数字签名、数 字证书(特色课程)
第1章虚拟专用网络
单击此处添加标题
单击此处添加文本具体内容, 简明扼要的阐述您的观点。根 据需要可酌情增减文字,以便 观者准确的理解您传达的思想。
第2章高 可靠性技 术
0 1
2-1高可靠性 概述
0 2
2-2eth-trunk (链路聚合) 技术原理
0 3
2-3eth-trunk (链路聚合) 配置案例
0 4
2-4vrrp技术 原理
0 5
2-5vrrp配置 案例
0 62-6vrrp监Fra bibliotek 路由技术第2章高可靠性技 术
华为HCIP认证ENSP实现IPV4与IPV6的双栈配置详解
华为HCIP认证ENSP实现IPV4与IPV6的双栈配置详解本⽂讲述了华为HCIP认证ENSP实现IPV4与IPV6的双栈配置。
分享给⼤家供⼤家参考,具体如下:双栈:设备能同时⼯作在IPV4与IPV6两种⽹络中,能同时与IPV4和IPV6⽹络中的设备进⾏通信。
IPV6的特点:1:全球单播地址—IPV6⽹络中没有NAT。
2:可聚合性—IANA组织对全球的IPV6地址进⾏合理分配。
3:多宿主—在⼀个物理接⼝上可以同时配置多个不同⽹段的IPV6地址,不同接⼝的IPV6地址不能处于同⼀⽹段。
4:⾃动配置:1>:DHCP2>:auto-config—在路由接⼝⼿⼯配置IPV6地址,随后路由器将⾃⼰地址的前缀(⽹络号)下放给PC,PC使⽤EUI-64来补充主机位。
5:即插即⽤—⽀持热插拔。
6:端到端连接—不需要NAT。
7:重编址。
8:简易的报头:1>:没有⼴播机制,只有单播和组播。
2>:没有校验盒(2、4层均存在校验盒)。
3>:流标签—QOS9:安全性和移动性。
10:IPV4和IPV6可以共存。
双栈及不同IPV6局域⽹之间的通信案例拓扑图:注:路由器连接的蓝⾊线表⽰环回。
要求:1:两个局域⽹基于6 to 4 tunnel进⾏通信。
2:R1环回可以访问R3的环回。
配置及思路:1:实现R2、R3、R4所在IPV4局域⽹全⽹可达。
R2:[r2]interface GigabitEthernet 0/0/0[r2-GigabitEthernet0/0/0]ip add[r2-GigabitEthernet0/0/0]ip address 23.1.1.1 24[r2-GigabitEthernet0/0/0]quit[r2]ip route-static 0.0.0.0 0 23.1.1.2R3:[r3]interface GigabitEthernet 0/0/1[r3-GigabitEthernet0/0/1]ip address 23.1.1.2 24[r3-GigabitEthernet0/0/1]quit[r3]interface LoopBack 0[r3-LoopBack0]ip address 3.3.3.3 24[r3-LoopBack0]quit[r3]interface GigabitEthernet 0/0/0[r3-GigabitEthernet0/0/0]ip address 34.1.1.2 24[r3-GigabitEthernet0/0/0]quitR4:[r4]interface GigabitEthernet 0/0/1[r4-GigabitEthernet0/0/1]ip address 34.1.1.1 24[r4-GigabitEthernet0/0/1]quit[r4]ip route-static 0.0.0.0 0 34.1.1.2测试:R2:R4:2:配置R1、R2所在的IPV4局域⽹并可正常访问R3环回。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
各层VPN:数据链路层:PPTP L2F L2TP网络层:Ipsec Gre应用层:SSL DPNVPN技术:虚拟专用网(帧中继、X.25等)定义:是一种逻辑的隔离技术,就好像在两个站点之间跨越公共网络建立了专用的隧道,站点通过隧道实现通信产生原因:能提高带宽利用率,价格相对于专线比较便宜,因此成为构成早期VPN网络的主要技术VPN网络的特点:使用共享的公共网络环境实现各私网的连接不同的私有网络之间相互不可见企业用户接入运营商的网络结构企业用户的网络设备:RTA,RTB,RTF与RTG被称为CE(Customer Edge)设备运营商的网络设备:RTC与RTE,设备直接与客户设备相连,被称为PE(Provider Edge)设备RTD,是运营商网络中的骨干设备,被称为P(Provider)设备CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商SP(Service Provider)网络相连。
CE可以是SVN 或交换机,也可以是一台主机。
通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLSPE(Provider Edge):服务提供商边缘设备,是服务提供商网络的边缘设备,与CE直接相连。
在MPLS网络中,对VPN的所有处理都发生在PE上P(Provider):服务提供商网络中的骨干设备,不与CE直接相连。
P设备只需要具备基本MPLS转发能力,不维护VPN信息用户设备所在的区域,称为一个站点(Site),站点是指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过运营商网络实现VPN模型:1。
Overlay VPNOverlay VPN的特点:客户路由协议总是在客户设备之间交换,而运营商对客户网络结构一无所知典型的协议:二层——帧中继三层——GRE与IPSec应用层——SSL VPNOverlay VPN可以在CE设备上建立隧道,也可以在PE设备上建立隧道:在CE与CE之间建立隧道,并直接传递路由信息,路由协议数据总是在客户设备之间交换,运营商对客户网络结构一无所知:优点:不同的客户地址空间可以重叠,保密性、安全性非常好缺点:本质是一种“静态”VPN,无法反应网络的实时变化。
并且当有新增站点时,需要手工在所有站点上建立与新增站点的连接,配置与维护复杂,不易管理在PE上为每一个VPN用户建立相应的隧道,路由信息在PE与PE之间传递,公网中的P设备不知道私网的路由信息:优点:客户把VPN的创建及维护完全交给运营商,保密性、安全性比较好缺点:不同的VPN用户不能共享相同的地址空间2。
Peer-to-Peer VPNPeer-to-Peer VPN特点:在CE设备与PE设备之间交换私网信息,由PE设备将私网信息在运营商网络中传播,实现了VPN 部署及路由发布的动态性解决了Overlay VPN的“静态”性质不太适合大规模应用和部署的问题如图所示,所有VPN用户的CE设备都连到同一台PE上,PE与不同的CE之间运行不同的路由协议(或者是相同路由协议的不同进程)。
由始发PE将路由发布到公网上,在接收端的PE上将路由过滤后再发给相应的CE设备Peer-to-Peer是在CE与PE之间交换私网路由信息,然后由PE将私网路由在运营商网络中传播,由于CE与PE之间运行了路由协议,所以私网路由会自动地传播到PE上;由于Peer-to-Peer VPN 将私网路由泄露到公网上,所以必须通过严格的路由过滤和选择机制来控制私网路由的传播缺点:为了防止连接在同一台PE上的不同CE之间互通,必须在PE上配置大量的ACL,但这种操作也增加了管理PE设备的负担VPN客户之间如果出现地址重叠问题,PE设备无法识别重叠的地址图中的Peer-to-Peer VPN使用的是共享PE的接入方式,为了减少配置复杂度,便于管理,可以采用Peer-to-Peer VPN的专用PE接入方式Peer-to-Peer VPN的专用PE的接入方式:特点:运营商为每一个VPN单独准备一台PE设备,PE和CE之间可以运行任意的路由协议,与其他VPN 无关优点:无需配置任何的ACL,配置复杂度、管理难度有所降低缺点:每新增一个VPN站点都需要新增一台专用的PE设备,代价过于昂贵。
而且没有解决VPN客户之间地址空间重叠的问题MPLS VPN:MPLS VPN的优点:降低成本,提高资源利用率,提高灵活性和可扩展性方便用户,安全性高,业务综合能力强产生原因:两个客户的VPN存在相同的地址空间,传统VPN网络结构中的设备无法区分客户重叠的路由信息(地址空间的重叠问题)解决地址空间重叠问题的讨论:解决VPN客户地址空间重叠问题需要解决上述三个问题:1.本地路由冲突的问题:可以通过在同一台PE设备上为不同的VPN建立单独的路由,这样冲突的的路由就被隔离开来2.在路由传递过程中,为不同的VPN路由添加不同的标识,以示区别。
这些标识可以作为BGP属性进行传递3.由于IP报文不可更改,可以在IP报文头前加一些信息。
由始发路由器打上标记,接收路由器在收到带标记的的数据包时,根据标记转发给正确的VPN详解:1.本地路由冲突的解决方案专用PE设备分工明确,每个PE设备只保存自己的VPN路由,P设备只保存公网路由。
因此解决共享PE设备上地址空间重叠的思路是:将专用PE设备与P设备的功能在同一台PE设备上完成,并实现VPN路由的隔离在共享PE设备上使用VRF技术将重叠的路由隔离:每个VPN的路由放入自己对应的VPN Routing Table 中PE设备在维护多个VPN Routing Table时,同时还维护一个公网的路由表每一个VRF都需要对应一个VPN instance,VPN用户对应的接口绑定到VPN instance中对于每个PE,可以维护一个或多个VPN instance ,同时维护一个公网的路由表(全局路由表),多个VPN instance实例相互独立且隔离。
其实实现VPN instance并不困难,关键在于如何在PE上使用特定的策略规则来协调各VPN instance和全局路由表之间的关系2.如何在网络传递过程中区分冲突路由将VPN路由发布到全局路由表之前,使用一个全局唯一的标识和路由绑定,以区分冲突的私网路由RD:VPN路由标识符,由8字节组成,配置时同一PE设备上分配给每个VPN的RD必须唯一RD用于区分使用相同地址空间的IPv4前缀,增加了RD的IPv4地址称为VPN-IPv4地址(即VPNv4地址)运营商设备采用BGP协议作为承载VPN路由的协议,并将BGP协议进行了扩展,称为MP-BGP (Multiprotocol Extensions for BGP-4)PE从CE接收到客户的IPv4私网路由后,将客户的私网路由添加各种标识信息后变为VPNv4路由放入MP-BGP的VPNv4路由表中,并通过MP-BGP协议在公网上传递3.Hub-Spoke场景中VPN路由的引入RD不能解决VPN路由正确引入VPN的问题RT属性用于将路由正确引入VPN:RT封装在BGP的扩展Community属性中,在路由传递过程中作为可选可传递属性进行传递两类VPN Target属性:Import Target:用于VPN路由的导入,对端收到路由时,检查其Export Target属性。
当此属性与PE上某个VPN实例的Import Target匹配时,PE就把路由加入到该VPN实例中Export Target:用于VPN路由的导出,本端的路由在导出VRF,转变为VPNv4的路由时,标记该属性Hub-Spoke场景中路由引入问题的优化使用RT实现本端与对端的路由正确引入VPN,原则如下:本端的Export Target=对端的Import Target,本端的Import Target=对端的Export Target解决数据转发过程中冲突路由的查找因为数据包没有携带任何标识,所以在ICMP的数据包到达PE1时,PE1并不知道该查找哪个VPN的路由表找到正确的目标地址解决该问题的方案有两种:1.在数据包中增加标识信息,并且使用RD作为区分数据包所属VPN的标识符,数据转发时也携带RD信息缺点:由于RD由8字节组成,额外增大数据包,会导致转发效率降低2.借助公网中已经实施的MPLS协议建立的标签隧道,采用标签作为数据包正确转发的标识,MPLS 标签支持嵌套,可以将区分数据包所属VPN的标签封装在公网标签内MPLS标签嵌套的应用使用标签嵌套解决数据转发过程中冲突路由的查找问题公网标签( Outer MPLS Label):用于MPLS网络中转发数据。
一般公网标签会在到达PE设备时已被倒数第二跳剥掉,漏出Inner Label私网标签(Inner MPLS Label):用于将数据正确发送到相应的VPN中,PE依靠Inner Label区分数据包属于哪个VPNMPLS VPN的工作过程MPLS VPN的工作过程分为两部分:1.MPLS VPN路由的传递过程:(1)CE与PE之间的路由交换PE与CE之间可以通过静态路由协议交换路由信息,也可以通过动态路由协议(如:RIP,OSPF,ISIS,BGP等)交换路由信息如图所示,以CE1与PE1之间采用BGP协议为例展示配置,其中,VPN1被分配实例名称为VPN1,RD为1:1,RT为1:1。
配置命令如下:CE1上的配置:bgp 100peer 10.1.13.3 as-number 500#ipv4-family unicastpeer 10.1.13.3 enablePE1上的配置:ip vpn-instance VPN1ipv4-familyroute-distinguisher 1:1vpn-target 1:1 export-extcommunityvpn-target 1:1 import-extcommunity#interface GigabitEthernet0/0/0ip binding vpn-instance VPN1ip address 10.1.13.3 255.255.255.0#bgp 500#ipv4-family vpn-instance VPN1peer 10.1.13.1 as-number 100(2)VRF路由注入MP-BGP的过程VRF中的IPv4路由被添加上RD,RT与标签等信息成为VPN-IPv4的路由放入到MP-BGP的路由表中,并通过MP-BGP协议在PE设备之间交换路由信息两端PE运行MP-BGP,通过公网将路由传递给对端,以PE1为例配置如下:bgp 500peer 5.5.5.5 as-number 500peer 5.5.5.5 connect-interface LoopBack0#ipv4-family unicastundo synchronizationpeer 5.5.5.5 enable#ipv4-family vpnv4policy vpn-targetpeer 5.5.5.5 enable(3)公网标签的分配过程MPLS协议在运营商网络分配公网标签,建立标签隧道,实现私网数据在公网上的转发PE之间运行的MP-BGP协议为VPN路由分配私网标签,PE设备根据私网标签将数据正确转发给相应的VPN 运营商的骨干网络中的PE设备与P设备,需要运行IGP协议使运营商网络中的路由可达。