1、Comment y1: 一般都是按目的地址来区分 FECComment y2: 也就是报文中的 EXP字段Comment y3: 在后面会讲到标签和FEC的绑定,所以说唯一MPLS基本概念1. 转发等价类FEC(Forwarding Equivalence Class,转发等价类)是 MPLS中的一个重要概念。MPLS 是一种分类转发技术,它将具有相同特征(目的地相同或具有相同服务等级等)的报文归为一类,称为 FEC。属于相同 FEC的报文在 MPLS网络中将获得完全相同的处理。目前设备只支持根据报文的网络层目的地址划分 FEC。2. 标签标签是一个长度固定、只具有本地意义的标识符,用于唯一标
2、识一个报文所属的 FEC。一个标签只能代表一个 FEC。图 1-1 标签的封装结构如 图 1-1所示,标签封装在链路层报头和网络层报头之间的一个垫层中。标签长度为 4个字节,由以下四个字段组成:Label:标签值,长度为 20bits,用来标识一个 FEC。Exp:3bits,保留,协议中没有明确规定,通常用作服务等级。S:1bit,MPLS 支持多重标签。值为 1时表示为最底层标签。TTL:8bits,和 IP报文中的 TTL意义相同,可以用来防止因环路而产生的无限传播。3. 标签交换路由器LSR(Label Switching Router,标签交换路由器)是具有标签分发能力和标签交换能力
3、的设备,是 MPLS网络中的基本元素。4. 标签边缘路由器Comment y4: LSP是针对数据传播而言的概念. 例如: 如果数据只是从 LSR A传到 LSR C, 那么对应的 LSP就是 A-B-C这一整条路径.Comment y5: 这个上游和下游是按照数据转发的方向来说的,下面我们还会遇到 ingress和 egress,这个也是按照数据的流向来说的Comment y6: 下面有标签转发表的组成,到底它都包括哪些部分Comment y7: 也就是将目的地址和标签进行绑定,然后告诉给上游LSR,这个绑定是由下游 LSR来做的位于 MPLS网络边缘、连接其他网络的 LSR称为 LER(L
4、abel Edge Router,标签边缘路由器)。5. 标签交换路径属于同一个 FEC的报文在 MPLS网络中经过的路径称为 LSP(Label Switched Path,标签交换路径)。LSP是从 MPLS网络的入口到出口的一条单向路径。在一条 LSP上,沿数据传送的方向,相邻的 LSR分别称为上游 LSR和下游 LSR。如 图 1-2所示,LSR B 为 LSR A的下游 LSR,相应的,LSR A 为 LSR B的上游 LSR。图 1-2 标签交换路径6. 标签转发表与 IP网络中的 FIB(Forwarding Information Base,转发信息表)类似,在 MPLS网络中
5、,报文通过查找标签转发表确定转发路径。7. 控制平面和转发平面MPLS节点由两部分组成:控制平面(Control Plane):负责标签的分配、路由的选择、标签转发表的建立、标签交换路径的建立、拆除等工作;转发平面(Forwarding Plane):依据标签转发表对收到的分组进行转发。LSP建立与标签的发布和管理1. LSP建立LSP的建立过程实际就是将 FEC和标签进行绑定,并将这种绑定通告相邻 LSR,以便在 LSR上建立标签转发表的过程。LSP 既可以通过手工配置的方式静态建立,也可以利用标签分发协议动态建立。(1)手工配置的方式静态建立 LSPComment y8: 这个表里面主要包
6、括“出接口,下游 LSR分给我的标签,下一跳地址”Comment y9: 这里可以看一下fib表所显示的内容: display fibDestination count: 4 FIB entry count: 4Flag:U:Useable G:Gateway H:Host B:Blackhole D:Dynamic S:StaticR:RelayDestination/Mask Nexthop Flag OutInterface InnerLabel Token 10.2.0.0/16 10.2.1.1 U Eth1/1 Null Invalid10.2.1.1/32 127.0.0.1 U
7、H InLoop0 Null Invalid127.0.0.0/8 127.0.0.1 U InLoop0 Null Invalid127.0.0.1/32 127.0.0.1 UH InLoop0 Null InvalidComment y10: 这三者之间的关系,可以结合下图来理解建立静态 LSP需要用户在报文转发路径中的各个 LSR上手工配置为 FEC分配的标签。建立静态 LSP消耗的资源比较少,但静态建立的 LSP不能根据网络拓扑变化动态调整。因此,静态 LSP适用于拓扑结构简单并且稳定的小型网络。(2)利用标签发布协议动态建立 LSP标签发布协议是 MPLS的信令协议,负责划分 FE
8、C、发布标签、建立维护 LSP等。标签发布协议的种类较多,有专为标签发布而制定的协议,如 LDP(Label Distribution Protocol,标签分发协议),也有扩展后支持标签发布的协议,如 BGP、RSVP-TE。本文只介绍 LDP协议。2. 标签的发布和管理标签发布方式分为:DU:对于一个特定的 FEC,下游 LSR自动为该 FEC分配标签,并主动将标签分发给上游LSR。DoD:对于一个特定的 FEC,上游 LSR请求下游 LSR为该 FEC分配标签,下游 LSR收到请求后,为该 FEC分配标签并向上游 LSR通告该标签。目前,设备只支持 DU标签发布方式。MPLS数据转发过程
9、1. 标签转发表构成标签转发表由以下三部分构成:NHLFE(Next Hop Label Forwarding Entry,下一跳标签转发项):描述对标签执行的操作,用于指导 MPLS报文的转发。FTN(FEC to NHLFE map,FEC 到 NHLFE表项的映射):用于在 Ingress节点将 FEC映射到NHLFE表项。LSR 接收到不带标签的报文后,查找对应的 FIB表项。如果 FIB表项的 Token值不是 Invalid,则该报文需要进行 MPLS转发。LSR 根据 Token值找到对应的 NHLFE表项,以便确定需要执行的标签操作。ILM(Incoming Label Map
10、,入标签映射):用于将入标签映射到 NHLFE表项。LSR 接收到带有标签的报文后,查找对应的 ILM表项。如果 ILM表项的 Token值非空,则找到 Token值对应的 NHLFE表项,以便确定需要执行的标签操作。FTN、ILM 通过 Token与 NHLFE关联。2. MPLS数据转发图 1-7 MPLS转发过程示意图Comment y11: 这个收到带有标签的报文意思是从上游 LSR收到的数据报文如图所示,MPLS 网络中报文的转发过程为:(1)Ingress(Router B)接收到不带标签的报文,根据目的地址判断该报文所属的 FEC,查找 FIB表,获取 Token值。Token
11、值不是 Invalid,则找到 Token值对应的 NHLFE表项。根据 NHLFE表项为报文添加标签(40),并从相应的出接口(Ethernet1/2)将带有标签的报文转发给下一跳 LSR(Router C)。(2)Router C接收到带有标签的报文,根据报文上的标签(40)查找 ILM表项,获取 Token值。Token 值非空,则找到 Token值对应的 NHLFE表项。根据 NHLFE表项,用新的标签(50)替换原有标签,并从相应的出接口(Ethernet1/2)将带有标签的报文转发给下一跳LSR(Router D)。(3)Egress(Router D)接收到带有标签的报文,根据报
12、文上的标签(50)查找 ILM表项,获取 Token值。Token 值为空,则删除报文中的标签。如果 ILM表项中记录了出接口,则通过该出接口转发报文;否则,根据 IP报头转发报文。3. 倒数第二跳弹出MPLS网络中,Egress 节点接收到带有标签的报文后,查找标签转发表,弹出报文中的标签后,再进行下一层的标签转发或 IP转发。Egress 节点转发报文之前要查找两次转发表:两次标签转发表,或一次标签转发表一次路由转发表。为了减轻 Egress节点的负担,提高 MPLS网络对报文的处理能力,可以利用PHP(Penultimate Hop Popping,倒数第二跳弹出)功能,在倒数第二跳节点
13、处将标签弹出,Egress 节点只需查找一次转发表。PHP在 Egress节点上配置。支持 PHP的 Egress节点分配给倒数第二跳节点的标签有以下两种:标签值为 0 表示 IPv4 显示空标签(Explicit-null),这个值只有出现在标签栈底时才有效。Egress 为 FEC 分配 IPv4 显式空标签,并通告给上游 LSR 后,上游 LSR 用这个值替代栈顶原来的标签,并将报文转发给 Egress。Egress 收到标签值为 0 的报文时,不会查找标签转发表,直接弹出标签栈,进行 IPv4 转发。标签值 3 表示隐式空标签(Implicit-null),这个值不会出现在标签栈中。当
14、一个 LSR 发现下游 LSR 通告的标签为隐式空标签时,它并不用这个值替代栈顶原来的标签,而是直接弹出标签,并将报文转发给下游 LSR(即 Egress)。Egress 接收到报文后,直接进行下一层的转发处理。LDPLDP 是标签发布协议的一种,用来动态建立 LSP。通过 LDP,LSR 可以把网络层的路由信息映射到数据链路层的交换路径上。1. LDP 基本概念LDP 会话LDP 会话建立在 TCP 连接之上,用于在 LSR 之间交换标签映射、标签释放、差错通知等消息。LDP 对等体LDP 对等体是指相互之间存在 LDP 会话,并通过 LDP 会话交换标签FEC 映射关系的两个LSR。2.
15、LDP 消息类型LDP 协议主要使用四类消息:发现(Discovery)消息:用于通告和维护网络中 LSR 的存在;会话(Session)消息:用于建立、维护和终止 LDP 对等体之间的会话;通告(Advertisement)消息:用于创建、改变和删除“标签FEC”映射关系;通知(Notification)消息:用于提供建议性的消息和差错通知。为保证 LDP 消息的可靠发送,除了发现消息使用 UDP 传输外,LDP 的会话消息、通告消息和通知消息都使用 TCP 传输。3. LDP 工作过程LDP 主要包括以下四个阶段:Comment y12: 通过组播 224.0.0.2发送 hello消息C
16、omment y13: 这种应该是单播发送hello消息Comment y14: 即目的地址和标签的绑定(1)发现阶段所有希望建立 LDP会话的 LSR都周期性地发送 Hello消息,通告自己的存在。通过 Hello消息,LSR 可以自动发现它的 LDP对等体。LDP对等体发现机制分为两种:基本发现机制:用于发现本地的 LDP对等体,即通过链路层直接相连的 LSR。这种方式下,LSR周期性地向“子网内所有路由器”的组播地址 224.0.0.2发送 LDP链路 Hello消息,以便链路层直接相连的 LSR发现此 LDP对等体。扩展发现机制:用于发现远端的 LDP对等体,即不通过链路层直接相连的
17、LSR。这种方式下,LSR 周期性地向指定的 IP地址发送 LDP目标 Hello消息,以便指定 IP地址对应的 LSR发现此 LDP对等体。(2)会话建立与维护发现 LDP对等体后,LSR 开始建立会话。这一过程又可分为两步:建立传输层连接,即在 LSR之间建立 TCP连接;对 LSR之间的会话进行初始化,协商会话中涉及的各种参数,如 LDP版本、标签发布方式、Keepalive定时器值等。会话建立后,LDP 对等体之间通过不断地发送 Hello消息和 Keepalive消息来维护这个会话。(3)LSP建立与维护LDP通过发送标签请求和标签映射消息,在 LDP对等体之间通告 FEC和标签的绑
18、定关系,从而建立 LSP。(4)会话撤销在以下情况下,LSR 将撤销 LDP会话:LSR通过周期性发送 Hello消息表明自己希望与邻居 LSR继续维持这种邻接关系。如果 Hello保持定时器超时仍没有收到新的 Hello消息,则删除 Hello邻接关系。一个 LDP会话上可能存在多个 Hello邻接关系。当 LDP会话上的最后一个 Hello邻接关系被删除后,LSR将发送通知消息,结束该 LDP会话。LSR通过 LDP会话上传送的 LDP PDU(LDP PDU 中携带一个或多个 LDP消息)来判断LDP会话的连通性。如果在会话保持定时器(Keepalive 定时器)超时前,LDP 对等体之
19、间没有需要交互的信息,LSR 将发送 Keepalive消息给 LDP对等体,以便维持 LDP会话。如果会话保持定时器超时,没有收到任何 LDP PDU,LSR 将关闭 TCP连接,结束 LDP会话。LSR 还可以发送 Shutdown 消息,通知它的 LDP 对等体结束 LDP 会话。因此,LSR 收到LDP 对等体发送的 Shutdown 消息后,将结束与该 LDP 对等体的会话。MPLS 的典型配置:在 VRF 中定义的和 VPN 业务有关的两个重要参数是 RT 和 RD,RT 和 RD 长度都是64bit。RT 是 Route Target 的缩写, RT 的本质是每个 VRF 表达自
20、己的路由取舍及喜好的方式,主要用于控制 VPN 路由的发布和安装策略。分为 import 和 export 两种属性,前者表示了我对那些路由感兴趣,而后者表示了我发出的路由的属性。当 PE 发布路由时,将使用路由所属 VRF 的 RT export 规则,直接发送给其他的 PE 设备。对端 PE 接收路由时,首先接收所有的路由,并根据每个 VRF 配置的 RT 的 import 规则进行检查,如果与路由中的RT 属性 match,则将该路由加入到相应的 VRF 中。以下图为例:SITE-1:我发的路由是蓝色的,我也只接收蓝色的路由。SITE-2:我发的路由是黄色的,我也只接收黄色的路由。SIT
21、E-3:我发的路由是蓝色的,我也只接收蓝色的路由。SITE-4:我发的路由是黄色的,我也只接收黄色的路由。这样,SITE-1 与 SITE-3 中就只有自己和对方的路由,两者实现了互访。同理 SITE-2 与SITE-4 也一样。这时我们就可以把 SITE-1 与 SITE-3 称为 VPN BLUE,而把 SITE-2 与SITE-4 称为 VPN YELLOW。图 2 RD 是 Route Distinguisher 的缩写,是说明路由属于哪个 VPN 的标志。理论上可以为每个VRF 配置一个 RD,通常建议为每个 VPN 的 VRF 都配置相同的 RD,并且要保证这个 RD全球唯一。如果
22、两个 VRF 中存在相同的地址,但是由于 RD 不同,这两个路由在 PE 间发布过程中也不会混淆,因为 MP BGP 把 RD 和路由一起发送,对端 PE 可以根据 RD 确定路由所属的 VPN,从而把路由安装到正确的 VRF 中。RD 并不会影响不同 VRF 之间的路由选择以及 VPN 的形成,这些事情由 RT 搞定。PE 从 CE 接收的标准的路由是 IPv4 路由,如果需要发布给其他的 PE 路由器,此时需要为这条路由附加一个 RD。在 IPv4 地址加上 RD 之后,就变成 VPN-IPv4 地址族了。VPN-Comment y15: 即在接口下配置 ip bindingComment
23、 y16: 这个标签是“ 公网标签”还是“私网标签”?是私网标签IPv4地址仅用于服务供应商网络内部。在 PE发布路由时添加,在 PE接收路由后放在本地路由表中,用来与后来接收到的路由进行比较。CE 不知道使用的是 VPN-IPv4地址。 组网应用2.1 VRF与 MPLS组合应用下面以图 3为例说明 MPLS VPN与 VRF的典型应用:组网中两个用户站点 SITE1和 SITE2属于同一个 VPN,在两个 PE上分别配置 VRF参数,其中 VRF SITE1的 RD=100:1,import RT =100:3,export RT =100:2,VRF SITE2的 RD=100:1,im
24、port RT =100:2,export RT =100:3。通过 VRF的配置可见:两个 VRF的 RD同为 100:1,说明他们属于同一个 VPN;VRF SITE1导入和导出的 RT分别等于 VRF SITE2导出和导入的 RT,说明两个 VRF分别可以接收对方的 VPN站点内的路由;PE连接 CE的接口与 VRF绑定,说明该接口是属于对于 VRF的资源,其他 VRF和公网是看不到的。PE和 CE之间可以运行 OSPF、RIP2、EBGP 和静态路由。运营商网络要求为MPLS网络,在 PE1和 PE2之间建立 LSP,同时 PE1与 PE2间通过 MP-IBGP来传播VPN路由。BGP
25、 和路由协议的相关配置请参考 VRP操作手册和命令手册。图 3 VPN SITE1内的一条路由 10.10/16被通告到 VPN SITE2的过程如下:PE1从接口 S0/0上学习到由 CE1通告的 10.10.0.0/16的路由,由于 S0/0是绑定到VRF的接口,所以 PE1把该路由安装到对应 VRF的路由表中,并且分配该路由的本地标签,注意该标签是本地唯一的。Comment y17: 两端的 RD值需要配置成一样的,这样才能确定是两端建立的是同一 VPNComment y18: 图中的“10 ”对应的是私网标签,L2、L1 对应的是公网标签Comment y19: 这个标签是 MP-BG
26、P分配的私网标签,是由 PE1传过来的,这个私网标签在传输过程中式不变的,除非改变下一跳然后通过路由重新发布把 VRF路由表中的路由重新发布到 BGP中,此时通过附加VRF表的 RD、RT 参数,把正常的 IPv4路由变成 VPN-IPv4路由,如 10.10.0.0/16变成100:1:10.10.0.0/16,同时把 export RT值和该路由的本地标签值等信息一起通过 MP-IBGP会话通告给 PE2。PE2收到这条 VPN-IPv4路由后,先根据 RD确定该路由所属的 VRF,然后去掉VPN-IPv4路由所带的 RD值,使之恢复 IPv4路由原貌,并且根据所属 VRF配置的导入策略(
27、本地 Import RT与收到的 export RT是否一致)决定是否在本地 VRF中安装此路由。本例中导入策略允许,所以 PE2把 10.10.0.0/16路由添加到 VRF路由表中,同时记录对应的标签。PE2再通过 CE和 PE之间的路由协议,把 10.10.0.0/16路由通过与 VRF绑定的接口S0/1通告出去,CE2 学习到这条路由后把该路由添加到路由表中。同样的道理 SITE2内的路由 10.11.0.0/16也可以被 CE1学到。下面说明从 CE2 Ping 10.10.0.0/16时数据报文的转发过程(假设 PE1为该路由分配的标签为 10,从 PE2到 PE1的 LSP标签分
28、别为 L1、L2 ):图 4 首先 Ping包从 CE2发出,为 IPv4报文,在图中用绿色方块标识。当 IP报文到达 PE2时,PE2 根据目的地址查找 VRF的转发表,发现该路由出标签为10,同时该路由下一跳为 PE1,而 PE1对应的 LSP标签为 L1,于是 PE2给报文分别打上 10、L1 作为内外层标签,进行 MPLS转发。MPLS报文到达 P时,P 根据 MPLS转发表项把外层标签替换为 L2继续转发。MPLS报文到达 PE1时,因为 PE1是 LSP的终点,所以外层标签被剥掉。 PE1根据露出的内层标签 10判断出该报文是发往 SITE1所属 VPN的报文。于是 PE1剥掉内层
29、标签向 CE1转发 IP报文。CE1收到的是还原后的 IP报文,后续处理与正常 IP处理流程一样,这里不再赘述。2.2 VRF lite特性应用(即 MCE的应用)尽管 VRF经常与 MPLS一起使用,但 VRF也可以脱离 MPLS单独应用。VRF lite就是典型例子。VRF lite就是在 CE设备上支持 VRF。图 5所示为典型 MPLS VPN组网中用户侧网络,一个企业分支内部的三个部门要求相互隔离,分别通过一台 CE连接到 PE,形成一个 VPN。可见,该分支机构需要三台出口路由器,三条链路与 PE连接;同时 PE需要为一个企业用户提供三个接口,这将带来端口、链路资源的浪费,直接导致
30、成本与支出的增加。图 5 针对这种情况,我们引入 VRF lite 特性来解决问题,即在 CE 上配置 VRF 特性。具体组网如图 6 所示:此时企业分支只需要一台 CE 路由器与 PE 相连,在 CE 上配置VRF,CE 连接三个部门的接口分别与 VRF 绑定。同时 CE 只需要一条物理链路与 PE 相连,并通过链路的子接口分别与 VRF 绑定,完成 CE 与 PE 上对应 VRF 的逻辑连接。PE与 CE 可以在各个 VRF 中运行动态路由协议完成 VPN 路由交换。PE 上的配置和图 5 中的一样,需要配置 VRF 和 MP-IBGP。图 6 这种方案的优点有:只需要一个 CE,比多 C
31、E 情况简化了网络的配置和管理;PE 与 CE 间只需一条物理链路;节省了 PE 端口资源;允许企业内部不同部门间的地址重叠;MCE 工作原理下面以图 1-19 为例介绍 MCE 对多个 VPN 的路由表项进行维护,并与 PE 交互 VPN 路由的过程。图 1-19 MCE 工作原理示意图如图 1-19 所示,左侧私网内有两个 VPN 站点:Site 1 和 Site 2,分别通过 MCE 设备接入MPLS 骨干网,其中 VPN 1 和 VPN 2 的用户,需要分别与远端 Site 2 内的 VPN 1 用户和 Site 1 内的 VPN 2 用户建立 VPN 隧道。通过配置 MCE 功能,可
32、以在 MCE 设备上为 VPN 1 和 VPN 2 创建各自的路由转发表,并使用 Vlan-interface2 接口与 VPN 1 进行绑定、Vlan-interface3 与 VPN 2 进行绑定。在接收路由信息时,MCE 设备根据接收接口的编号,即可判断该路由信息的来源,并将其维护到对应VPN 的路由转发表中。同时,在 PE 1 上也需要将连接 MCE 的接口(子接口)与 VPN 进行绑定,绑定的方式与MCE 设备一致。MCE 与 PE 1 之间通过 Trunk 链路连接,并允许 VLAN 2 和 VLAN 3 的报文携带 VLAN Tag 传输,从而使 PE 1 在接收时可以根据报文所
33、属 VLAN 判别该报文属于哪一个VPN,将报文在指定的隧道内传输。3 应用场合VRF 特性用于实现 VPN 的需求,可以与 MPLS 配合使用,也可以单独组网应用4 配置举例4.1 VRF 与 MPLS 组合应用图 3 所示的组网配置如下:CE1 配置:# sysname CE1 # domain system # controller T3 3/0 using t3 # interface Aux0 async mode flow # interface Ethernet0/0 /*连接 site1 内的网络 */ip address 10.10.0.1 255.255.0.0 # int
34、erface Ethernet0/1 # interface Serial3/0/0 link-protocol ppp ip address 100.10.0.1 255.255.0.0 # interface NULL0 # interface LoopBack9 ip address 28.40.1.1 255.255.255.255 # ospf 1 import-route direct area 0.0.0.0 network 100.10.0.0 0.0.255.255 # user-interface con 0 idle-timeout 0 0 user-interface
35、aux 0 user-interface vty 0 4 # returnPE1 配置:# sysname PE1# mpls lsr-id 28.40.1.2 # /*公网运行 MPLS*/mpls # mpls ldp # /*VRF 配置*/ip vpn-instance site1 route-distinguisher 100:1 vpn-target 100:2 export-extcommunity vpn-target 100:3 import-extcommunity # domain system # controller T3 3/0 using t3 # interfa
36、ce Aux0 async mode flow # interface Ethernet0/0 /*连接 P 的接口*/ip address 172.16.32.59 255.255.0.0 mplsmpls ldp enable# Comment y20: PE与 PE之间保证 ip层可达的 ospfComment 惠惠惠惠21: 这个是 PE与 CE之间运行 ospf时的 vpn-instanceinterface Ethernet0/1 # interface Serial0/0 /*连接 CE的接口*/ ip binding vpn-instance site1link-protoco
37、l ppp ip address 100.10.0.2 255.255.0.0 # interface NULL0 # interface LoopBack9 ip address 28.40.1.2 255.255.255.255 # bgp 100 /*配置 MP iBGP*/ undo synchronization group in100 internal peer in100 connect-interface LoopBack9 peer 46.80.1.1 group in100 /*46.80.1.1是 PE2的 loopback口地址*/ # ipv4-family vpn-
38、instance blue import-route direct import-route ospf undo synchronization # ipv4-family vpnv4 peer in100 enable peer 46.80.1.1 group in100 ospf 1 /*IP网络上跑 OSPF*/ import-route direct area 0.0.0.0 network 172.16.0.0 0.0.255.255 # ospf 100 vpn-instance site1 /*VRF中运行 OSPF,与 CE交换路由*/ import-route direct
39、area 0.0.0.0 network 100.10.0.0 0.0.255.255 # user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4 # return 说明:PE2和 CE2的配置与 PE1和 CE1类似,此处不再列出。关于 BGP和 MPLS的配置,请参考操作手册和命令手册4.2 VRF lite特性应用图 6中各路由器的配置如下CE的配置:# sysname CE # ip vpn-instance MRT /*VRF MRT */route-distinguisher
40、 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity # ip vpn-instance RD /*VRF RD */route-distinguisher 200:1 vpn-target 200:1 export-extcommunity vpn-target 200:1 import-extcommunity # ip vpn-instance HR /*VRF HR */route-distinguisher 300:1 vpn-target 300:1 export-extco
41、mmunity vpn-target 300:1 import-extcommunity # domain system # local-user admin # interface Aux0 async mode flow # interface Ethernet0/0ip address 110.11.0.2 255.255.0.0 /*连接 MRT 部门*/# interface Ethernet0/1 ip address 110.12.0.2 255.255.0.0 /*连接 RD 部门*/# interface Ethernet2/0 ip address 110.13.0.2 2
42、55.255.0.0 /*连接 HR 部门*/# interface Ethernet2/1 # interface Ethernet2/1.1 /*VRF MRT 的子接口*/ip binding vpn-instance MRT ip address 11.11.0.2 255.255.0.0 vlan-type dot1q vid 1 # interface Ethernet2/1.2 /*VRF RD 的子接口*/ip binding vpn-instance RD ip address 11.12.0.2 255.255.0.0 vlan-type dot1q vid 2 # int
43、erface Ethernet2/1.3 /*VRF HR 的子接口*/ip binding vpn-instance HR ip address 11.13.0.2 255.255.0.0 vlan-type dot1q vid 3 # interface Serial1/0 link-protocol ppp ip address ppp-negotiate # interface NULL0 # ospf 1 vpn-instance MRT /*VRF MRT 与 PE 跑 ospf*/import-route direct area 0.0.0.0 network 11.11.0.0 0.0.255.255 # ospf 2 vpn-instance RD /* VRF RD 与 PE 跑 ospf */import-route dire
