siqi global it training base cisco綜合學習資料cisco綜合學習資料-08-3-ce-pe

1、思琦網(wǎng)絡科技有限公司 南京思琦網(wǎng)絡科技有限公司SIQI 思琦全球 IT 培訓基地CISCO（CCNACCNPCCIE）綜合學習資料-08-3-CE-PE 1 / 25PROTOTYPE： QI FANDATE： 2020REVIEW： QI FAN、BAERDATE： 2020思琦網(wǎng)絡科技有限公司 CONTENTS目錄一、靜態(tài)路由3二、rip3三、eigrp43.1 需要解決的問題43.2配置步驟54.1 配置步驟74.2 兩端站點屬于同一個 AS 時的問題84.3 AS 邊界路由器上是否需要 next-hop-se

2、lf 的問題94.4 SOO(site of origin-BGP 的站點起源擴展團體屬性)9五、ospf125.1兩端 CE 在不同的區(qū)域中125.2兩端 CE 在相同的區(qū)域中155.3外部路由的傳遞情況165.4小結(jié)175.5 sham-link195.6 MPLS VPN 中 ospf 的防環(huán)措施225.6.1 三類LSA 防環(huán)DN bit（DOWN bit 位）235.6.2 五類LSA 防環(huán)tag24 2 / 25思琦網(wǎng)絡科技有限公司 08-3-CE-PE 一、靜態(tài)路由在 PE 的VRF 中配置靜態(tài)路由，并把這條靜態(tài)路由重分布進 MP-BGP 中

3、 CE1： ip route 2 55 PE1： ip route vrf a 1 55 /添加基于 VRF 的靜態(tài)主機路由sh ip rou vrf a/能看到這條新加的靜態(tài)路由 把 VRF 中的靜態(tài)路由重分布進 MP-BGP 中： router bgp 100address-family ipv4 vrf a redis staticsh ip bgp vpnv4 all/有路由了 sh ip bgp vpnv4 all nei adver

4、tised-routes/查看 MP-BGP 中向鄰居通告的路由二、ripPE： router ripaddress-family ipv4 vrf a ver 2no aunet 3 / 25思琦網(wǎng)絡科技有限公司 sh ip rou vrf a/能收到 CE 的路由 把 rip 重分布進 MP-BGP：router bgp 100address-family ipv4 vrf a redis ripsh ip bgp vpnv4 allsh ip bgp vpnv4 all 1/看 MP-BGP 里的這條路由，

5、metric 為 1，當 rip 重分布進 MP-BGP 時，把 rip 的 metric 直接復制到 BGP 的 MED（BGP 的 metric）屬性里了 把 MP-BGP 重分布進 rip： router ripaddress-family ipv4 vrf aredis bgp 100 metric transparent/metric 仍為 1，把 MP-BGP 重分布進 rip 時，把 BGP 的 MED 屬性再復制回rip 的metric，做到透明傳輸推薦 三、eigrp3.1 需要解決的問題 1.要讓對端知道這條路由是源自哪里的因為 eigrp 存在兩種表項： D來自于 eig

6、rpD EX不是來自于 eigrp2.eigrp 的 metric 傳遞問題 eigrp 的 metric 計算比較復雜，其實也可以復制到 BGP 的 MED 屬性里，但無法做到透明傳輸。 因此使用 MP-BGP 的擴展團體屬性來承載 eigrp 的上述兩種信息，這個擴展屬性是后來 才做出來，所以一開始 MPLS VPN 不支持CE-PE 之間跑 eigrp 4 / 25思琦網(wǎng)絡科技有限公司 3.2 配置步驟 CE1： router eigrp 100 no aunet 1 net 5

7、5PE1： router eigrp 1/此時只是設(shè)置了 eigrp 的進程號，同一臺路由器上可以啟用多個進程號PE 上 AS 號和進程號要分開設(shè)置，因為可能要做到對不同 VRF 客戶的支持（不同的客戶可能分別屬于不同的AS） address-family ipv4 vrf a/eigrp 支持路由上下文一個進程可以關(guān)聯(lián)多個客戶的 VRF autonomous-system 100/必須手動指定VRF 所屬的 AS 號 no aunet 55注意：CE 上沒有對 VRF 的支持，不需要也無法對 eigrp 進程號和 AS 號分開設(shè)置這種 設(shè)置只用于 MPL

8、S VPN 中的 PE 上 sh ip eig nei/空的 sh ip eig vrf a nei/有 VRF 的鄰居sh ip rou vrf a/能收到 CE 的路由把 VRF 中的 eigrp 路由重分布進 MP-BGP 中：PE： router bgp 100address-family ipv4 vrf aredis eigrp 100/eigrp 的AS 號，在同一個 VRF 中，IOS 已限制只能引入該VRF 對應的eigrp AS 號。關(guān)聯(lián)不同的VRF 地址族可以引入不同的客戶 eigrp AS 號sh ip bgp vpnv4 allsh ip bgp vpnv4 all

9、2/eigrp 的 metric 被復制到 MP-BGP 里的MED 里了，具體的五個度量值都被放入 MP-BGP 的擴展團體屬性中，所以可以實現(xiàn)透明傳輸 把 MP-BGP 重分布進 eigrp：router eigrp 1/進程號 5 / 25思琦網(wǎng)絡科技有限公司 address-family ipv4 vrf aredis bgp 100 metric 1 1 1 1 1 /對端也是 AS100，因此并不使用這個種子度量值，因為要把它作為 eigrp 的內(nèi)部路由透明傳輸。但還是必須要設(shè)置，否則重分布不進去（如果使用這個指定的種子度

10、量值，那么算出來的 metric 值會很大） CE 上：sh ip rou/D 表項3.3 什么情況下使用 eigrp 的種子度量值D 表項：兩端都使用的是 eigrp，且 eigrp 的 AS 號一樣，作為內(nèi)部路由傳輸，并不使用重分 布時指定的種子度量值 D EX 表項：使用了重分布時指定的種子度量值產(chǎn)生 D EX 表項的情況： 1. 兩邊eigrp AS 號不一樣 2. 其他的路由協(xié)議重分布進來 PE 上在VRF 中添加一條靜態(tài)路由： ip route vrf a null0router bgp 100address-family ipv4

11、vrf a redis staticCE：sh ip rou/ D EX 表項（使用的是種子度量值）CE 的路由表： 6 / 25思琦網(wǎng)絡科技有限公司 四、ipv4-BGP1. 支持路由上下文環(huán)境 2. 因為都是BGP，所以不需要做任何重分布操作 3. PE 上不需要做 next-hop-self（ipv4-BGP 和 MP-BGP 相結(jié)合的環(huán)境，下一跳自動變化） 4.1 配置步驟 CE1： router bgp 200bgp router-id nei remote 100/如果使用物理接口建立鄰居 PE1： rou

12、ter bgp 100bgp router-id no bgp default ipv4-unicast/關(guān)閉的是全局路由表的 ipv4-BGP neighbor remote-as 100/和全局路由表關(guān)聯(lián) neighbor update-source Loopback0address-family vpnv4 neighbor activateneighbor send-community extendedaddress-family ipv4 vrf a/支持路由上下文環(huán)境，關(guān)聯(lián) VRF 后再跑 ipv4-BG

13、P nei remote 200/在 VRF 地址族下指鄰居 nei activate/不用添加，IOS 會在 BGP 的 VRF 下自動添加這句雖然關(guān)閉了全局路由表的 ipv4-BGP，但VRF 中的 ipv4-BGP 默認仍是激活的 7 / 25思琦網(wǎng)絡科技有限公司 驗證 ipv4-BGP 鄰居是否建立：CE1：sh ip bgp sumPE1： sh ip bgp sum/查看的是全局路由表的 ipv4-BGP 鄰居，空 sh ip bgp vpnv4 all sum或： sh ip bgp vpnv4

14、 vrf a sum/查看某個 VRF 中的 ipv4-BGP 鄰居，更加精確CE1 上起源路由： router bgp 200net 1 mask 55CE1：sh ip bgpPE1： sh ip rou vrf a/VRF 中能收到路由或： sh ip bgp vpnv4 vrf ash ip bgp vpnv4 all/MP-BGP 中能收到路由，對端 PE2 也能直接收到路由，并且是優(yōu)的（下 一跳自動變化了） PE2： sh ip bgp vpnv4 vrf a nei advertised-routes/查看是否

15、通過 VRF 給CE2 發(fā)送 BGP路由 4.2 兩端站點屬于同一個 AS 時的問題由于兩邊站點都是AS200，則對端CE2 不會接收這條路由，但路由可以傳遞過去 解決方法： （1）CE2 上：有可能引起環(huán)路，不好。且 MPLS VPN 中 CE 端不應該做復雜的配置router bgp 200 8 / 25思琦網(wǎng)絡科技有限公司 nei allowas-in（2）PE2 上：推薦 router bgp 100address-family ipv4 vrf anei as-override/只有關(guān)聯(lián)了VRF 后

16、才支持這個參數(shù)，PE2 傳路由給CE2 的候AS path 屬性中變成：100 100CE2：有路由了sh ip roush ip bgp/AS path：100 1004.3 AS 邊界路由器上是否需要 next-hop-self 的問題如果全部是普通的 ipv4-BGP 或全部是 MP-BGP 的情況，則需要在 PE1 上指向 PE2 的 IBGP 鄰居時做 next-hop-self（因為是從 EBGP 傳路由過來的），但 ipv4-BGP 和 MP-BGP 相結(jié)合的環(huán)境，下一跳自動變化，不需要做 PE1：sh ip bgp vpnv4 all/下一跳是 CE1PE2：sh ip bgp

17、 vpnv4 all/下一跳是 PE1 的環(huán)回口地址，自動轉(zhuǎn)換的。PE1 自動將客戶路由的下一跳改為自己，相當于自己重新生成了一次。 4.4 SOO(site of origin-BGP 的站點起源擴展團體屬性)as-override 參數(shù)面臨的問題：次優(yōu)路徑、可能產(chǎn)生環(huán)路SOO 屬性也是放到 MP-BGP 的擴展團體屬性中傳遞的 從站點進來的路由收到VRF 中，并通過 MP-BGP 傳遞時都帶上SOO 屬性 PE 上在 BGP 的 VRF 下指 nei 時可以設(shè)置一個SOO 屬性（通過 route-map 調(diào)用）。意思是對 從這個鄰居 CE 進來的BGP 路由做一個標記（標記站點起源） 9

18、/ 25思琦網(wǎng)絡科技有限公司 都是一個VPN 客戶，有兩個站點，AS 號都是 200，其中一個站點中有兩個CE： PE 上從同一個站點進來的路由標記為一樣的 SOO 屬性值（100:100），這樣對同一個站點就不會給其發(fā)這條路由 從另一個站點進來的路由標記 SOO 屬性值（200:200） 注意：在一個 PE 上，屬于同一個客戶 VPN 的，用同一個VRF 名稱 使用 SOO 的前提： 1. CE 和 PE 之間跑的是 BGP2. 兩個CE 之間已經(jīng)通過其他路由協(xié)議互相學習了路由，且要優(yōu)先使用 如果兩個 CE 不屬于同一個站點，CE 之間有其他路由協(xié)議做了

19、一條后門鏈路（備份用的，成本高），應該讓數(shù)據(jù)優(yōu)先走 MPLS VPN 骨干，這種情況不應該使用 SOO 10 / 25思琦網(wǎng)絡科技有限公司 配置： route-map SOO per 10set extcommunity soo 100:100router bgp 100address-family ipv4 vrf anei route-map SOO in鄰居收到的路由在重分布進 / 從這個 ipv4-BGPMP-BGP 時會上 SOO 的標記 需要軟清使策略生效PE1：sh ip bgp vpnv4 all 11.11.11.

20、11/有攜帶 SOO 屬性此時 PE2 不會向CE2 發(fā)送 BGP 路由： sh ip bgp vpnv4 vrf a nei advertised-routes 11 / 25思琦網(wǎng)絡科技有限公司 五、ospf問題： 1. 路由重分布進來屬于區(qū)域內(nèi)還是區(qū)域外（stub area：不收 5 類的，只收 1、2、3 類（如果是重分布進來，就是 5 類） 2. ospf 是層次化的（兩層），所有普通區(qū)域都要直接連接到骨干區(qū)域 0 上，中間是 MPLS 域，如何做到透明的互聯(lián) 3. eigrp 和 rip 發(fā)送的是路由條目，但 ospf

21、是鏈路狀態(tài)型協(xié)議，發(fā)送的是 LSA（CE-PE 之間 傳遞的是LSA） 把需要的信息全部放進 MP-BGP 的擴展團體屬性中，做到透明傳輸 為做到透明傳輸： MPLS VPN 提供了一個超級骨干（比區(qū)域 0 還要高級）兩個普通區(qū)域可以直接通過 MPLS VPN 的超級骨干通信，不需要區(qū)域 0， 但如果 CE 端內(nèi)部有區(qū)域 0 則不行，區(qū)域 0 也必須直連到 MPLS則要起虛鏈路） VPN 的超級骨干（否5.1 兩端 CE 在不同的區(qū)域中CE 和 PE 跑 ospf： CE1： router os 1net 1 a 1net 0.0.0

22、.0 a 1PE1： ospf 進程 1 已經(jīng)是 MPLS 域內(nèi)部底層的協(xié)議進程，屬于全局路由表只能新建一個進程 2 關(guān)聯(lián)一個VRF，ospf 不支持路由上下文環(huán)境 12 / 25思琦網(wǎng)絡科技有限公司 router os 2 vrf a/開始自動選舉 RID，注意只能在VRF 中選舉 net a 1sh ip os nei或： sh ip os 2 neish ip rou vrf a/有路由sh ip os/有兩個進程（其中進程 2 的 VRF 連接到 MPLS VPN 的超級骨干，并且是ABR） CE 和 PE

23、之間發(fā)送的是 1 類的LSA：sh ip os data把 VRF 中的 ospf 路由重分布進 MP-BGP： router bgp 100address-family ipv4 vrf aredis ospf 2 match internal external nssa-external/這樣所有的都能重分布進來 把 ospf 重分布進 MP-BGP 時，默認只會重分布internal 的進來（1、2、3 類O、O IA） PE2： sh ip bgp vpnv4 all 1（1） metric 被復制到BGP 的 MED 屬性中 （2） MP-BGP 中對于 ospf

24、 的擴展團體屬性： 13 / 25思琦網(wǎng)絡科技有限公司 ospfRT（ospf 路由類型）：中間的數(shù)字： 1區(qū)域內(nèi)路由（1、2 類） 2區(qū)域間路由 44 類 5外部路由 注意：這里的數(shù)字并不能表示真正要發(fā)送的LSA 的類型，并非所見即所得 最后的數(shù)字：0O E11O E2ospf 的 RIDPE2 的根據(jù)以上這些信息可以判斷出路由源自于哪里PE1： 14 / 25思琦網(wǎng)絡科技有限公司 RT：區(qū)域 1區(qū)域間路由 RID 是PE1 的把 MP-BGP 的路由重分布進 ospf： router os 2/可以直接輸入進程 2

25、，因為進程 2 已經(jīng)劃給 VRF a 了 redis bgp 100 subnetsCE2：sh ip rou/OIA 表項（本來就應該是區(qū)域間的）PE2：sh ip os data/MP-BGP 重分布進ospf 時，PE2 把路由通過 3 類 LSA 發(fā)給CE2sh ip os/做了重分布之后，不僅是 ABR 還是 ASBR（但是并沒有發(fā) 5 類 LSA，而是發(fā) 3類 LSA） sh ip bgp vpnv4 all 1/RT：中間為 2（區(qū)域間的）5.2 兩端 CE 在相同的區(qū)域中把 CE2 這端也改為 area 1（和 CE1 是同一個區(qū)域）CE2： 15 / 25

26、思琦網(wǎng)絡科技有限公司 router os 1net 2 a 1net a 1PE2： router os 2net a 1PE2：sh ip bgp vpnv4 all 1/RT：中間為 2（還是區(qū)域間的）sh ip os data/還是發(fā)送 3 類的LSA 給 CE25.3 外部路由的傳遞情況 做一個 5 類 LSACE1： int lo1ip add 4 55router

27、os 1redis connected subnets route-map Croute-map C per 10match int lo1PE1： sh ip rou vrf a/有路由O E2sh ip bgp vpnv4 all/注意如果是默認的 match internal，則不會進 MP-BGPPE2： sh ip bgp vpnv4 all 4/RT:5 1O E2 傳遞過來的是 5 類，但不一定就向 CE 發(fā) 5類的 16 / 25思琦網(wǎng)絡科技有限公司 RT：外部路由是針對整個 ospf 路由域的概念，不屬于任何區(qū)域，所以

28、是 sh ip os data/發(fā)送的確實是 5 類的CE2：sh ip rou/O E25.4 小結(jié) 通過 MPLS VPN 網(wǎng)絡傳遞 ospf 路由表項時，默認情況下： 區(qū)域間的過來是O IA區(qū)域內(nèi)的過來也是O IA外部的 5 類過來是O E2如果 PE 通過 MP-BGP 收到兩條去往同一目的地的路由（O E 和O IA 表項），只能收一條進 VRF，因為ospf 需要做選路判斷：OO IAO E1O E2PE 認為對端都是區(qū)域間的關(guān)系，因為自己是 ABR。并且認為對端區(qū)域 1 或區(qū)域 0 都是平等 的，因為它直接連接到超級骨干區(qū)域（但重分布進來的關(guān)系會保留） 能不能成為

29、OIA 是通過 domain ID 來判斷的： PE2 收到對端 PE1 傳遞過來的路由時，會比較 MP-BGP 路由的擴展屬性中的 domain 否一致 1. 一致：O IA2. 不一致：全部都是O E 表項 ID 是domain ID 的值默認情況下等于 PE 上針對VRF 啟用的 ospf 進程號 domain ID 的值是十六進制的表現(xiàn)形式 17 / 25思琦網(wǎng)絡科技有限公司 sh ip os 2/可以看到本地 PE 的 domain ID 值將 O IA 變成 O E 的方法： 1. 改 VRF 的 ospf 進程號 2. 在 ospf 進程下

30、手動指定 domain IDPE2： router os 2domain-id /相當于 ospf 進程號為 3PE2： sh ip bgp vpnv4 all 1/RT：還是 2（區(qū)域間）sh ip os data/但發(fā)送的全是 5 類 LSA 給CE2CE2：sh ip rou/收到的路由全變成 O E2 了CE-PE 之間傳遞的是 LSA，但是進入到了 MP-BGP 中傳遞的是路由，所以無法做到透明的傳遞，也沒有辦法傳遞 1、2 類 LSA（1、2 類 LSA 才是真正的 LSA，3、4、5 類其實都是路由） 18 / 25思琦網(wǎng)絡科技有限公司 www.

31、5.5 sham-link使 LSA 通過邏輯隧道跨越MPLS-VPN 的網(wǎng)絡進行傳遞，這樣可以實現(xiàn)透明傳遞 1、2 類 LSA應用場合： 1. 適用于必須讓區(qū)域內(nèi)的路由保持為 O 表項的情況（totally stub 區(qū)域不能收 3 類） 2. 存在后門鏈路（backdoor），但想讓路由優(yōu)選走 MPLS 網(wǎng)絡的情況 因為 MP-BGP 只能把 3 類的 LSA（路由）發(fā)送過去 只能在 PE 之間打一條隧道（通過 sham-link 偽鏈路），讓 1、2 類LSA 通過中間的 MPLS VPN網(wǎng)絡進行傳遞O 表項 哪兩個站點之間有后門，就在連接站點的那兩個 PE

32、 上建一條 sham-link配置 sham-link： 19 / 25思琦網(wǎng)絡科技有限公司 在完整的 MPLS VPN 域配置前提下繼續(xù)做 sham-link： 1.在兩端 PE 上各新建一個環(huán)回口（必須是 32 位的），并劃分到連客戶的 VRF 中 PE1： int lo1ip vrf for aip add 55/必須為 32 位，否則 sham-link 鄰居無法正常建立 sh ip rou vrf a2.使環(huán)回口的地址互相可達，因為 sham-link 要建立鄰居關(guān)系只能是通過 MP-BGP 可達：

33、（1） 在 MP-BGP 中 network 此 32 位的環(huán)回口 （2） 或?qū)⒋?32 位的環(huán)回口重分布進 MP-BGProuter bgp 1address-family ipv4 vrf anetwork mask 55或： router bgp 100address-family ipv4 vrf a redistribute connected route-map C 20 / 25思琦網(wǎng)絡科技有限公司 route-map C permit 10match interface Loopback1sh ip bgp vpnv4 all/有環(huán)回口路由了 ping vrf a source /可以 ping 通3.到和客戶關(guān)聯(lián)的 VRF 的 ospf 進程下去做 sham-link以這兩個環(huán)回口地址為互相的端點進行配置 PE1： router os 2a