华为培训：MPLS L3 VPN原理.ppt

1、MPLS L3 VPN原理,ISSUE 1.0,本课程主要介绍MPLS L3 VPN协议原理以及数据报文的转发过程，另外还介绍了跨AS MPLS L3 VPN解决方案。,学习指南,本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书，合理有效利用上述资料您将会取得良好的学习效果。,参考资料,VRP 3.30 /5.10操作手册、命令手册 故障信息收集排错指导书 。,目标,学习完此课程，您将会： 了解VPN的分类 掌握MPLS L3 VPN 转发过程 了解跨AS的MPLS L3 VPN 的实现,第1章 VPN概述 第2章 MPLS L3 VPN 转发过程 第3章

2、跨AS的MPLS L3 VPN 实现,VPN的分类,VPN: Virtual Private Network,VPN的定义（1）,IP-VPN：利用IP设施（包括公用的Internet或专用的IP骨干网等）实现专用广域网设备专线业务(远程拨号、DDN等)的业务仿真。 Network-Based IP-VPN：基于网络的IP-VPN是指将关于VPN的维护等外包给运营商实施（也允许用户在一定程度上进行业务管理和控制），并且将其功能特性集中在网络侧设备实现。 隧道（Tunnel）：是利用一种协议来传输另外一种协议的一种技术，主要利用隧道协议来实现这种功能；隧道技术涉及了三种协议，隧道协议、隧道协议下

3、面的承载协议和隧道协议所承载的被承载协议。,VPN的定义（2）,VLL（Virtual Leased Line）：虚拟租用线业务，它通过运营商的边缘节点向用户提供两个CPE设备间的点到点连接业务。 VPDN（Virtual Private Dial Network）：虚拟专用拨号网，远端用户通过PSTN/ISDN拨入公共IP网，并将数据包隧穿公网以传送至目的网络 VPLS（Virtual Private LAN Segments）：VPLS是利用公共IP资源建立局域网的一种“虚拟“方法，其组网是建立在MAC层转发，对网络层协议是完全透明的。是一种二层VPN VPRN（Virtual Priva

4、te Routed Network）：VPRN被定义为通过公用IP网络进行多站点广域路由网络业务的一种仿真，VPN 的数据包在网络层转发,使用GRE构建VPN,建设这样的网络只需要在每一个网络的接入路由器上作配置 运营商网络无需知晓VPN内部路由 不同VPN可以采用相同地址空间 转发效率低,10.0.1.1/24,10.0.0.0/24,10.0.0.0/24,129.0.0.2/30,129.0.0.1/30,129.0.1.1/30,129.0.1.2/30,公网IP网络,129.0.2.2/30,129.0.2.1/30,129.0.3.1/30,129.0.3.2/30,GRE隧道,G

5、RE隧道,10.0.1.1/24,10.0.1.2/24,10.0.1.2/24,Rt1,Rt2,HQ1,HQ2,MPLS VPN 网络结构,CE（Custom Edge）：直接与服务提供商相连的用户设备。 PE（Provider Edge Router）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。 P（Provider Router）：指骨干网上的核心路由器，主要完成路由和快速转发功能。,VPN_A,VPN_A,VPN_B,10.3.0.0,10.1.0.0,11.5.0.0,CE,CE,CE,VPN_A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.

6、6.0.0,CE,PE,PE,CE,CE,VPN_A,10.2.0.0,CE,VPN_A,VPN_B,VPN_B,10.1.0.0,10.2.0.0,11.6.0.0,CE,PE,PE,CE,CE,VPN_A,10.2.0.0,CE,VPN_A,10.2.0.0,CE,iBGP,sessions,P,P,P,P,PE,PE,网络拓扑结构1,一个site只属于一个VPN: Intranet,网络拓扑结构2,MPLS VPN 的特点,在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。 P 路由器，也不需要知道有VPN的存在，仅仅负责骨干网

7、内部的数据传输。但其必须能够支持MPLS协议，并使能该协议。 所有的VPN的构建、连接和管理工作都是在PE上进行的。 网络配置简单 可以直接利用现有路由协议而无需任何改动 MPLS VPN网络具有良好的可扩展性 可实现具有QOS和TE的VPN,第1章 VPN概述 第2章 MPLS L3 VPN 转发过程 第3章 跨AS的MPLS L3 VPN 实现,PE和CE设备之间的关系,PE 和 CE routers 通过EBGP、RIP和静态路由交换信息,CE 运行标准路由协议 PE 维护独立的路由表：公网和私网 公网路由表，包含全部PE和P路由器的路由，由VPN的骨干网IGP产生 VRF (VPN r

8、outing & forwarding)，包含到一个或多个直接相连的CE的路由和转发表；VRF可以与任何类型接口绑定在一起；如果直接相连的site属于同一VPN，那这几个接口可以使用同一个VRF,PE,C,PE,CE,CE,Site,-,2,Site,-,2,Site,-,1,Site,-,1,EBGP, RIP, Static,VPNA,VPNB,VRF for VPNA,VRF for VPNB,Global route,VRF,VRF-VPN路由转发实例（VPN Routing & Forwarding Instance） 每一个VRF可以看作虚拟的路由器，好像是一台专用的PE设备。该虚

9、拟路由器包括如下元素： 一张独立的路由表，当然也包括了独立的地址空间。 一组归属于这个VRF的接口的集合。 一组只用于本VRF的路由协议。 对于每个PE，可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由表），多个VRF实例相互分离独立。 其实实现VRF并不困难，关键在于如何在PE上使用特定的策略规则来协调各VRF和全局路由表之间的关系。,VRF 路由的发布,PE路由器通过MPLS/VPN骨干网发布本地的VPN路由信息。 发送端 PE通过使用 MP-iBGP 将VRF路由从本地发布出去（带有export-target属性） 接收端 PE 将路由引入到所属的VRF中（有相匹配的im

10、port-target属性）,PE,PE,CE Router,CE Router,P Router,Site,Site,MP,-,iBGP,Route Target,RT 使用了BGP的扩展community属性,并且起了一个新名字：RT（Route Target） 扩展的community有如下两种格式：其中type字段为0x0002或者0x0102时表示RT。,RT的本质,RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分：Export Target与import Target 在一个VRF中，在发布路由时使用RT的export规则。直接发送给其他的PE设备 在接收端的P

11、E上，接收所有的路由，并根据每个VRF配置的RT的import规则进行检查，如果与路由中的RT属性match，则将该路由加入到相应的VRF中。,RT的灵活应用,由于每个RT Export Target与import Target都可以配置多个属性，可以实现非常灵活的VPN访问控制,RT的作用,P Router,P Router,MPLS/VPN Backbone,MPLS/VPN Backbone,VPN A,VPN A,VPN B,SITE,SITE,-,-,2,2,VPN B,MP,-,iBGP,SITE,SITE,-,-,1,1,SITE,SITE,-,-,3,3,SITE,SITE,-

12、,-,4,4,VPNv4和IPv4 地址族,为了解决不同的VPN可以使用相同的地址空间的问题，引入了新的地址族VPNv4。而原来的标准的地址族就称为IPv4。 VPNv4 地址族主要用于PE路由器之间传递VPN路由 由于RD在不同的VPN间具有唯一性。如果两个VPN使用相同的IP地址，PE路由器为它们添加不同的RD，转换成唯一的VPN-v4地址，不会造成地址空间的冲突。 PE从CE接收的标准的路由是IPv4路由，如果需要引入VRF路由表并发布给其他的路由器，此时需要附加一个RD。建议相同VPN的RD配置成相同的。,Route Distinguisher(8个字节),IPv4 地址,VPNV4地

13、址结构：,MPLS/VPN RD,RD的格式: 16位自治系统号ASN：32位用户自定义数，例如：100:1 32位IP地址：16位用户自定义数，例如：172.1.1.1:1 一般为一个site分配唯一一个RD，它是VRF的标识符 公网和私网的区别： 公网路由表有IGP路由产生，可能包含BGP-4 (IPv4)路由 ，但不会有VPN路由 VRF路由表包含特定 VPN 路由，可能有MP-iBGP 路由引入到VRF中的路由，也可能有vrf路由实例从CE 获得的路由,RD的结构：,MBGP,MBGP (Multiprotocol Extensions for BGP-4 ) BGP-4仅仅支持IPv

14、4，MBGP是为了让BGP可以用于传输更多协议（IPv6, IPX,.）的路由信息而进行的扩展。 为了保持兼容性，MBGP仅仅添加了两个BGP属性：MP_REACH_NLRI、MP_UNREACH_NLRI，这两个属性可以用在BGP Update消息中用于通告或废止网络可达性信息。,MBGP： MP_REACH_NLRI,携带标签映射消息,这里可以携带多个Label，每个Label的前20位是标签，后4位则的前3位是EXP域，最后一位用于指示是否是栈底 必须注意这个标签必须是由MP_REACH_NLRI 属性中Next-Hop所指LSR所分配。 可以有两种办法废除路由信息（同时也解除了标签绑定

15、） 对同一个目标再次发布不同的路由（和一个新的Label） 用Withdraw消息将MP_UNREACH_NLRI将这个目的包含于其中,Network Layer Reachability Information:,MBGP： MP_UNREACH_NLRI,标签映射消息携带在MP_REACH_NLRI属性中 Address Famaily Identifier和Subsequent Address Family Identifier 一起用于指示该属性通告的可达性信息所属的地址族，AFI为1、SAFI为128指示随后通告的是VPN-IPV4可达性信息及与其绑定的MPLS标记 Length o

16、f Nexthop Network Address和Network Address of Nexthop是路由信息的下一跳，下一跳确定规则服从通常的BGP关于下一跳的规则,BGP发布路由时需要携带的信息,一个扩展之后的NLRI（ Network Layer Reachability Information），增加了地址族的描述，以及私网lable和RD,跟随之后的是RT的列表：,对于使用了扩展属性MP_REACH_NLRI的BGP，我们称之为MP-BGP。,VRF路由注入到MP-iBGP,PE路由器需要对一台路由进行如下操作： 加上RD（RD为手工配置），变为一条VPN-IPV4路由。 更改下

17、一跳属性为自己（通常是自己的loopback地址） 加上私网标签（随机自动生成，无需配置） 加上RT属性（RT需手工配置） 发给所有的PE邻居,PE-1,CE,-,1,MP-iBGP,PE-2,BGP, RIPv2 update,for,149.27.2.0/24,NH=CE,-,1,CE,-,2,北京,上海,VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-1 SOO=北京, RT=VPN-A, Label=(28),MP-iBGP路由注入到VRF,每个VRF都有import route-target和 export route-target

18、 的配置 发送PE发出MP-iBGP updates时，报文携带 export 属性。 接受PE 收到VPN-IPv4的MP-iBGP updates 时，判断收到的export是否与本地的VRF的import相等，相等就加入到相应的VRF路由表中，否则丢弃,PE,CE,-,1,MP,-,iBGP,PE,CE,-,2,北京,上海,VPN-v4 update: RD:1:27:149.27.2.0/24, Next-hop=PE-1 SOO=北京, RT=VPN-A, Label=(28),VPN-v4 路由变为IPV4路由，并且根据本地VRF的import RT属性加入到相应的VRF中，私网标

19、签保留，留做转发时使用。再由本VRF的路由协议引入并转发给相应的CE,MPLS/VPN 标签分配,PE 和 P 路由器通过骨干网IGP具有到bgp下一跳的可达性； 通过运行IGP和LDP，分配标签，建立LSP，获得到BGP下一跳的LSP通道 标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳 ，内层标签表示报文的出接口或者属于哪个VRF（属于哪个VPN） MPLS 节点转发是基于外层标签，而不管内层标签是多少,P router,P router,In Label FEC Out Label,-,197.26.15.1/32,-,In Label FEC Out Label,41,197.

20、26.15.1/30,POP,In Label FEC Out Label,-,197.26.15.1/30,41,Use label,implicit,-,null,for,destination 197.26.15.1/30,Use label,41,for destination,197.26.15.0/24,VPN,-,v4 update:,RD:1:27,:149.27.2.0/24,NH=,197.26.15.1,RT=VPN-A,-,Label=(,28,),PE,-,1,上海,北京,149.27.2.0/24,MPLS/VPN 报文转发-1,入口PE收到CE的普通IP报文后，P

21、E根据入接口所属的VRF加入到相应的VPN转发表，查找下一跳和标签,In Label FEC Out Label,-,197.26.15.1/30,41,149.27.2.27,PE,-,1,149.27.2.27,28,41,VPN,-,A VRF,149.27.2.0/24,NH=,197.26.15.1,Label=(,28,),上海,北京,149.27.2.0/24,MPLS/VPN 报文转发-2,倒数第二跳路由器弹出外层标签，根据下一跳发送至出口PE 出口PE路由器根据内层标签判断报文是去向哪个CE 弹出内层标签，用普通IP报文向目的CE进行转发,In Label FEC Out L

22、abel,41,197.26.15.1/30,POP,北京,149.27.2.27,PE,-,1,上海,149.27.2.0/24,149.27.2.27,28,41,VPN,-,A VRF,149.27.2.0/24,NH=,197.26.15.1,Label=(,28,),149.27.2.27,28,In Label FEC Out Label,28(V),149.27.2.0/24,-,VPN,-,A VRF,149.27.2.0/24,NH=,北京,149.27.2.27,197.25.15.1/30,基础VPN模型,CE2,PE2,P,PE1,AS100,CE1,MPLS doma

23、in,在AS100域中，配置IGP，发布各自的loopback地址 配置mpls ldp 用各自的loopback地址建立session 在PE上创建vpn-instance，并绑定到一个PE连接CE的接口 PE-CE启动路由协议 PE1-PE2启用MP-BGP,Loo1000:55.55.55.55/32,Loo1000:44.444.44.44/32,Loo1000:11.11.11.11/32,基础VPN配置,PE1.config ip vpn-instance vpnaroute-distinguisher 100:1vpn-target 100:1 export-extcommuni

24、tyvpn-target 100:1 import-extcommunity interface GigabitEthernet2/0/6.4000vlan-type dot1q 4000 ip binding vpn-instance vpnaip address 10.0.111.1 255.255.255.0 bgp 100peer 55.55.55.55 as-number 100peer 55.55.55.55 connect-interface LoopBack1000#ipv4-family unicastundo synchronization,peer 55.55.55.55

25、 enable#ipv4-family vpnv4policy vpn-targetpeer 55.55.55.55 enable #ipv4-family vpn-instance vpnaimport-ospf 100 ospf 100 vpn-instance vpnaimport-route bgparea 0.0.0.0network 10.0.111.1 0.0.0.0 CE1.config ospf 100 area 0.0.0.0 network 10.0.111.2 0.0.0.0,另一种基础VPN配置,P.configbgp 100peer 11.11.11.11 as-n

26、umber 100peer 11.11.11.11 connect-interface LoopBack1000peer 55.55.55.55 as-number 100peer 55.55.55.55 connect-interface LoopBack1000#ipv4-family unicastundo synchronizationpeer 11.11.11.11 enablepeer 11.11.11.11 reflect-clientpeer 55.55.55.55 enablepeer 55.55.55.55 reflect-client#ipv4-family vpnv4u

27、ndo policy vpn-targetpeer 11.11.11.11 enablepeer 11.11.11.11 reflect-clientpeer 55.55.55.55 enablepeer 55.55.55.55 reflect-client,PE1.configbgp 100peer 44.44.44.44 as-number 100peer 44.44.44.44 connect-interface LoopBack1000#ipv4-family unicastundo synchronizationpeer 44.44.44.44 enable#ipv4-family

28、vpnv4policy vpn-targetpeer 44.44.44.44 enable #ipv4-family vpn-instance vpnaimport-ospf 100,VPN隧道,VPN隧道 VPN应用中PE和PE间提供隧道，将PE封装后的私网数据流进行转发。目前VRP提供的隧道有LDP LSP、CRLSP及GRE隧道，其他的隧道如IPsec等尚未提供，而NE5000E上目前支持LDP LSP和CRLSP两种隧道。缺省情况下PE间使用并且只选中一条LDP LSP作为隧道，如果想使用CRLSP作为隧道/使PE间的隧道实现负载分担，需要配置隧道策略。隧道策略也可以指定不同隧道类型的

29、优先级。假如上图中的PE1和PE2之间有3条LDP LSP和2条CRLSP，如果需要使LDP LSP的优先级高于CRLSP，并且负载分担条数为4，那么可以按如下配置来实现： RouterA tunnel-policy tp1 RouterA -tunnel-policy-tp1 tunnel select-seq lsp cr-lsp gre load-balance-number 5 然后将隧道策略tp1应用在相应的VPN实例上。 RouterA ip vpn-instance vpn1 RouterA -vpn-instance-vfn1 tnl-policy tp1,VPNV4的ibgp

30、邻居和普通ibgp邻居的不同之处 对于普通的bgp，一台路由器从ebgp邻居处学来的路由在向ibgp邻居发布时，缺省的情况下是不修改下一跳的，而对于VPNV4的ibgp邻居来说，其从ebgp处学来的路由在向VPNV4 ibgp邻居发布时默认情况下会修改下一跳为自己。,用户需求 二,总部可以直接和各个分部通信.但是分部与分部之间必须通过总部来通信,对数据共享采取集中管理,深圳总部 局域网,北京分部 局域网,上海分部 局域网,Hub&Spoke 模型,Hub-PE,Hub-CE,Spoke-PE1,Spoke-PE2,Spoke-CE1,Spoke-CE2,AS100,MPLS domain,Hu

31、b&Spoke 配置,ip vpn-instance vpn_inroute-distinguisher 100:21vpn-target 100:1 import-extcommunity # ip vpn-instance vpn_outroute-distinguisher 100:22vpn-target 200:1 export-extcommunityinterface GigabitEthernet3/0/0ip binding vpn-instance vpn_inip address 110.1.1.2 255.255.255.0 # interface GigabitEth

32、ernet4/0/0ip binding vpn-instance vpn_outip address 110.2.1.2 255.255.255.0,bgp 100peer 1.1.1.9 as-number 100peer 3.3.3.9 as-number 100peer 1.1.1.9 connect-interface LoopBack1peer 3.3.3.9 connect-interface LoopBack1#ipv4-family vpnv4policy vpn-targetpeer 1.1.1.9 enablepeer 3.3.3.9 enablequit#ipv4-fa

33、mily vpn-instance vpn_inpeer 110.1.1.1 as-number 65430import-route directquit#ipv4-family vpn-instance vpn_outpeer 110.2.1.1 as-number 65430import-route directpeer 110.2.1.1 allow-as-loopquit,HoVPN模型,CE1,CE2,SPE1,PE2,AS100,MPLS domain,UPE1,在AS100域中，配置IGP，发布各自的loopback地址 配置mpls ldp 用各自的loopback地址建立se

34、ssion 在PE上创建vpn-instance，并绑定到一个PE连接CE的接口;SPE也要创建vpn-instance PE-CE启动路由协议 UPE1-PE2-SPE1全部启用MP-BGP,HoVPN配置,SPE1.config ip vpn-instance vpnaroute-distinguisher 100:1vpn-target 1:1 export-extcommunityvpn-target 1:1 import-extcommunitybgp 100peer 11.11.11.11 as-number 100peer 55.55.55.55 as-number 100pee

35、r 11.11.11.11 connect-interface LoopBack1000peer 55.55.55.55 connect-interface LoopBack1000#ipv4-family vpnv4policy vpn-targetpeer 11.11.11.11 enablepeer 11.11.11.11 upepeer 11.11.11.11 default-originate vpn-instance vpna（暗含对R5的RR配置）peer 55.55.55.55 enable,第1章 VPN概述 第2章 MPLS L3 VPN 转发过程 第3章 跨AS的MPLS

36、 L3 VPN 实现,MPLS跨域解决方案,随着MPLS-VPN应用范围的扩展，网络规模的扩充，逐渐的出现了在不同的AS之间开通MPLS-VPN业务的需求。 目前比较流行的解决方案有三种： VRF-VRF方案 “单跳”M-EBGP方案 Multi-Hop-EBGP方案,VRF-VRF解决方案,VRF-VRF解决方案技术上最简单的，没有在“AS内部的MPLS-VPN”上作任何扩展，完全应用已有技术实现 。 ASBR对等体间，通过划分子接口方式，每个子接口分别绑定一个VRF，保证域间传播路由的私有性。 ASBR对等体间，只运行普通BGP，不运行LDP，交互IPV4路由。 每个PE-ASBR路由器都

37、把对方PE-ASBR路由器当做CE路由器看待。 比较适合运用在AS域间交互VPN(VRF)数量较少的情况。但是扩展性较差。,VRF-VRF组网结构,VPN-A-1,PE-1,VPN-A-2,PE-2,CE-4,VPN-B-1,CE-2,CE-1,CE-3,VPN-B-2,One logical interface & VRF per VPN client,PE-ASBR-1,PE-ASBR-2,AS #100,AS #200,VRF to VRF Connectivity between PE-ASBRs,VRF-VRF控制平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-

38、B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,BGP, OSPF, RIPv2 152.12.4.0/24,NH=CE-2,VPN-v4 update: RD:1:27:152.12.4.0/24, NH=PE-1 RT=1:222, Label=(29),VPN-B VRF Import routes with route-target 1:222,BGP, OSPF, RIPv2 152.12.4.0/24 NH=PE-ASBR1,VPN-v4 update: RD:1:27:152.12.4.0/24, NH=PE-ASBR-2 RT=1:222, Labe

39、l=(92),VPN-B VRF Import routes with route-target 1:222,BGP, OSPF, RIPv2 152.12.4.0/24,NH=PE-2,VRF-VRF转发平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,152.12.4.1,LDP PE-ASBR-2 Label 92 152.12.4.1,152.12.4.1,LDP PE-1 Label 29 152.12.4.1,152.12.4.1,“单跳”M-EBGP方案,PE-ASBR对等体之间建立单

40、跳的MP-EBGP邻接体，传递VPN-IPV4路由，不运行IGP和LDP。 PE-ASBR对等体之间传递私网路由时，因为EBGP邻居关系，需要改变路由的下一跳，所以需要交换内层标签。 接收端PE-ASBR，可以使用next-hop-local命令，强制修改路由的下一跳，同时再次交换内层标签，通告给MP-IBGP邻居。如果没有配置next-hop-local命令，需要把direct路由重分布（import-route）到IGP中。 PE-ASBR路由器上需要保存所有域间的私网路由。对于ASBR路由器来说，压力较大。 和VRF-VRF方式相比，具有更好的扩展性。,“单跳”M-EBGP组网,VPN-

41、A-1,PE-1,VPN-A-2,PE-2,CE-4,VPN-B-1,CE-2,CE-1,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,AS #100,AS #200,MP-eBGP for VPNv4,Label exchange between Gateway PE-ASBR routers using MP-eBGP,MP-BGP VPNv4 prefix exchange between Gateway PE-ASBRs,“单跳”M-EBGP控制平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,15

42、2.12.4.0/24,BGP, OSPF, RIPv2 152.12.4.0/24,NH=CE-2,VPN-v4 update: RD:1:27:152.12.4.0/24, NH=PE-1 RT=1:222, Label=(L1),VPN-v4 update: RD:1:27:152.12.4.0/24, NH=PE-ASBR-2 RT=1:222, Label=(L3),BGP, OSPF, RIPv2 152.12.4.0/24,NH=PE-2,VPN-v4 update: RD:1:27:152.12.4.0/24, NH=PE-ASBR-1 RT=1:222, Label=(L2)

43、,“单跳”M-EBGP转发平面,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-ASBR-2,152.12.4.0/24,152.12.4.1,LDP PE-ASBR-2 Label L3 152.12.4.1,152.12.4.1,L3,L2,152.12.4.1,LDP PE-1 Label L1 152.12.4.1,152.12.4.1,L1,152.12.4.1,“单跳”M-EBGP方案的扩展,“单跳”M-EBGP方案中，PE-ASBR既是BGPV4的ASBR，又是MBGPV4的ASBR。保存于所有的公网和私网路由，路由数目巨大。 从

44、网络分层角度分析，核心层并不希望维护汇聚层的私网路由，毕竟私网路由条目又多又散。目前许多运营商国干上还没有部署MPLS，但是各省干网络上部署MPLS VPN业务，要实现各省网跨域的MPLS VPN业务的互通， “单跳”M-EBGP方案实现不了。 我们假设一下，如果“单跳”能扩展到逻辑链路上，那么MBGPV4 ASBR的位置就比较随意了，BGPv4的ASBR不再必须启动MBGP，也实现了BGPv4 ASBR与MBGP ASBR的分离。 流行的扩展解决方案：MPLS-VPN over GRE 。,PE-1,PE-2,VPN-B-1,CE-2,CE-3,VPN-B-2,PE-ASBR-1,PE-AS

45、BR-2,152.12.4.0/24,152.12.4.1,LDP PE-ASBR-2 Label 92 152.12.4.1,152.12.4.1,LDP PE-1 Label 29 152.12.4.1,152.12.4.1,Option A,Option A config,配置VRF-to-VRF方式的跨域VPN # 配置ASBR-PE1：创建VPN实例，并将此实例绑定到连接ASBR-PE2的接口（ASBR-PE1认为ASBR-PE2是自己的CE） ASBR-PE1 ip vpn-instance vpna ASBR-PE1-vpn-instance-vpna route-disting

46、uisher 100:1 ASBR-PE1-vpn-instance-vpna vpn-target 100:1 ASBR-PE1 interface pos 2/0/0 ASBR-PE1-Pos2/0/0 ip binding vpn-instance vpna ASBR-PE1-Pos2/0/0 ip address 192.1.1.1 24 # 配置ASBR-PE2：创建VPN实例，并将此实例绑定到连接ASBR-PE1的接口（ASBR-PE2认为ASBR-PE1是自己的CE） ASBR-PE2 ip vpn-instance vpna ASBR-PE2-vpn-instance-vpna

47、 route-distinguisher 200:1 ASBR-PE2-vpn-instance-vpna vpn-target 100:1 ASBR-PE2 interface Pos 2/0/0 ASBR-PE2-Pos2/0/0 ip binding vpn-instance vpna ASBR-PE2-Pos2/0/0 ip address 192.1.1.2 24,# 配置ASBR-PE1：与ASBR-PE2建立EBGP对等体 ASBR-PE1 bgp 100 ASBR-PE1-bgp ipv4-family vpn-instance vpna ASBR-PE1-bgp-vpna peer 192.1.1.2 as-number 200 # 配置ASBR-PE2：与ASBR-PE1建立EBGP对等体 ASBR-PE2 bgp 200 ASBR-PE2-bgp ipv4-family vpn-instance vpna ASBR-PE2-bgp-vpna peer 192.1.1.1 as-number 100,