1、VPN 技术分析讲座路由和转发 关于 VPN 路由和转发系列讲座的上一讲重点介绍了配置和验证 VRF(VPN 路由转发)的情况。在上述情况下,要在一个共享的设备上把用户隔离开。在那篇文章中,我没有定义共享接口外部的每个用户之间的通信方式,比如是静态路由还是动态路由协议。本星期,我将向你介绍如何配置这关于 VPN 路由和转发系列讲座的上一讲重点介绍了配置和验证 VRF(VPN 路由转发)的情况。在上述情况下,要在一个共享的设备上把用户隔离开。在那篇文章中,我没有定义共享接口外部的每个用户之间的通信方式,比如是静态路由还是动态路由协议。本星期,我将向你介绍如何配置这些通信,并且保证所有的用户路由都
2、能够正确地广播。 情况回顾回顾一下我最近几篇文章中介绍的小服务提供商的情况。一个共享的设备,作为一个提供商网络(PE)的边缘连接两个用户(用户 A 和 B)以提供互联网接入。每一个用户必须保持隔离状态,并且每一个用户必须能够在他们自己的路由器后面向子网广播。上个星期,我介绍了如何设置两个 VPN 路由和转发(VRF)的实例,把用户 A 和用户 B 分配给了每个 VRF 的单个接口。静态路由静态路由是通过一台下一跳路由器“指向”一个路由前缀(子网)的手工方法。传统的静态路由在使用低功率路由器的小型网络上使用。这种方法节省了处理器的功率,省去了收敛这样的动态机制。下面是如何增加一个静态路由的例子:
3、Router_A(config)#ip route 10.1.1.0 255.255.255.0 192.168.1.1这个命令定义 10.1.1.0/24 网络为通过 192.168.1.1 下一跳路由器可以访问的网络。这里没有描述路由器 A 和下一跳路由器之间的关系。要记住,下一跳必须是在没有路由的情况下也能够访问的,如果这种说法是正确的话。但是,VRF 如何呢?这个命令仅在全球路由表中增加了一个静态路由,要在 VRF 中设置一个静态路由要使用如下命令:Router_A(config)#ip route vrf VRF_A 10.1.1.0 255.255.255.0 192.168.1.
4、1这个命令将向 VRF 增加同样的静态路由。要验证这个入口的合法性,请使用如下命令:Router_A#show ip route vrf VRF_A输入的这个路由应该在 VRF 路由表中,并且写上代表静态的“S”标签。动态路由与静态路由不同,动态路由使用各种协议在“相同的”路由器之间自动发布路由信息。这种协议包括 OSPF 和 RIP。要设置 OSPF,可以使用如下命令:Router_A(config)#router ospf 1Router_A(config-router)#network 192.168.1.0 0.0.0.3 area 0.0.0.0这些命令最低限度能够在路由器 A 的接
5、口上启动 OSPF。路由器 A 的接口是为 192.168.1.1 网络设置的。第二个命令在 0 区域(OSPF 骨干网区域)放置一个特殊的接口。拥有相同网络命令的任何 OSPF 路由器将组成一个相邻空间并且路由信息将被发布。要验证任何学习到的路由,请使用如下命令:Router_A#show ip route or Router_A#show ip route ospf同静态路由一样,这种设置为全球路由表中的路由启动 OSPF。我们要扩展为下图显示的拓扑该怎样做呢?在这种情况下,客户的路由器和服务提供商的路由器必须在 VRF 之内启动OSPF。使用下列命令可以完成这个任务:Router_A(c
6、onfig)#router ospf 1 vrf VRF_ARouter_A(config-router)#network 192.168.1.0 0.0.0.3 area 0.0.0.0Router_A(config-router)#capability vrf-liteRouter_B(config)#router ospf 1 vrf VRF_BRouter_B(config-router)#network 172.16.1.0 0.0.3 area 0.0.0.0Router_B(config-router)#capability vrf-liteSP_Router(config)#r
7、outer ospf 1 vrf VRF_ASP_Router(config-router)#network 192.168.1.0 0.0.0.3 area 0.0.0.0SP_Router(config-router)#capability vrf-liteSP_Router(config)#router ospf 2 vrf VRF_BSP_Router(config-router)#network 172.16.1.0 0.0.0.3 area 0.0.0.0SP_Router(config-router)#capability vrf-lite这个命令表将为全部路由器启动每一个 VR
8、F 中的 OSPF,允许开始路由通信。正如互联网草案“draft-ietf-ospf-2547-dnbit-04.txt”中讨论的,需要用capability vrf-lite 命令获得 VRF 路由表的准确数量。这个草案的讨论超出了本文的范围。要验证你的相邻空间已组成和路由将被收到,你可以使用如下命令:SP_Router#show ip ospf neighborSP_Router#show ip route vrf VRF_ASP_Router#show ip route vrf VRF_BSP_Router#show ip vrf一旦你拥有适当的路由设置,你就能够开始扩展你的网络,并且开始向你的用户提供互联网接入。
