RouterOS软路由的3.x的允许创建多个虚拟路由和转发实例一台路由器。BGP的MPLS VPN,这是非常有用的。与BGP的VPLS,这是OSI第2层技术,在第3层和路由器之间的这种交换的IP前缀的BGP VPN的VRF工作。VRF中重叠的IP前缀,解决问题,并提供必要的隐私(通过分隔不同VPN的路由)。 要创建一个VRF,将其配置在/ IP路由VRF。现在,您可以添加路由,VRF -只需指定路由标记属性。连路由属于一个VRF的接口将自动安装在正确的路由表。 从技术上讲,是基于策略路由的VRF。恰好有一个策略的每个活动VRF路由表。MT RouterOS软路由的路由支持现有的政策没有改变,但在另一方面,它是不可能有一个VRF 内的策略路由。VRF表和简单的策略路由之间的主要区别是: VRF表中的路由解决默认情况下,在自己的路由表中的下一跳,而策略路由总是使用主路由表。只读路由属性网关表显示信息的表是用于一个特定的路线(默认为主体)。 路由查找是不同的。对于策略路由政策路由表中路由查找完成后,并没有找到路由,路由查找进入到主路由表。VRF中进行查找,并没有发现路由在VRF路由表,查找“网络不可达”的错误而失败。(您仍可以自定义路由查找规则重写此行为,因为他们有优先级)。 您可以使用多协议BGP VPNv4地址族从VRF路由表中的路由分配-不仅向其他路由器,也不同的路由表在路由器本身。首先配置一个VRF路由标识。这是可以做到在/ IP路由VRF。通常会有一到路由识别和VRF之间的对应关系,但是这并不是一项强制性的规定。VRF表中的路由安装在控制BGP扩展团体属性。配置/ IP路由下VRF的导入和导出列表中,import-route命令目标和出口路由的目标。出口路由目标列表应包含至少一个VRF,VRF路由标识。然后配置的VRF为每个BGP实例将参与VRF路由的列表。 已配置的VRF的BGP实例,路由标识及出口路由目标列表后,一些积极的VPNv4地址族路由可能被创建,取决于BGP重新分配设置。它们安装在一个单独的路由表,如果存在的话,下可见/路由BGP的VPNv4路由。这些所谓的VPNv4路由由路由标识和IPv4网络前缀的前缀。这样你就可以有重叠分布在BGP的IPv4前缀。 请注意,如果它有一个有效的MPLS标签,将被分配一个VPNv4路由。您需要安装MPLS测试包和配置有效的标签范围内,这个工作。(默认配置有效的标签范围)。 示例 最简单的MPLS VPN设置 在这个例子中,最基本的MPLS骨干网(包括两个提供商边缘(PE)路由器PE1和PE2)创建并配置为转发客户边缘(CE)路由器CE1和CE2属于卡斯特 VPN 路由器之间的流量。 CE1路由器 / IP地址10.1.1.1/24接口地址= = ether1的 #使用静态路由 / IP ROUTE ADD DST = 10.3.3.0/24网关地址10.1.1.2 CE2路由器 / IP地址10.3.3.4/24接口地址= = ether1的 / IP ROUTE ADD DST = 10.1.1.0/24网关地址10.3.3.3 PE1路由器 /接口桥接添加名称= lobridge / IP地址10.1.1.2/24接口地址= = ether1的 / IP地址10.2.2.2/24地址=接口ether2 / IP地址10.5.5.2/32接口地址= = lobridge /添加禁用IP路由VRF =没有路由标记=卡斯特一个路由区分符= 1.1.1.1:111 \ 出口路由目标= 1.1.1.1:111 import-route命令目标= 1.1.1.1:111接口= ether1的 / MPLS LDP设置启用=是传输地址= 10.5.5.2 / MPLS LDP接口外接接口= ether2 = 65000 /设置默认路由BGP实例 / BGP路由实例添加实例VRF =默认路由标记=卡斯特一个再分配连接= YES /路由BGP对等体增加远程地址= 10.5.5.3远程为= 65000地址家庭的VPNv4 \ 更新源= lobridge #添加路由到远程BGP对等体的环回地址 / IP ROUTE ADD DST = 10.5.5.3/32网关地址10.2.2.3 PE2路由器(思科) IP VRF卡斯特一 RD 1.1.1.1:111 路由目标出口1.1.1.1:111 路由目标导入1.1.1.1:111 出口 接口Loopback0的 IP地址为10.5.5.3 255.255.255.255 MPLS LDP路由器ID Loopback0的力量 MPLS标签协议LDP 接口FastEthernet0 / 0 IP地址为10.2.2.3 255.255.255.0 MPLS IP 接口FastEthernet1 / 0 IP VRF转发卡斯特的一 ip地址10.3.3.3 255.255.255.0 BGP路由器65000 邻居10.5.5.2远程65000 邻居10.5.5.2更新源Loopback0接口 地址family vpnv4,进入 邻居10.5.5.2激活 邻居10.5.5.2发送社区都 退出地址族 IPV4 VRF地址族卡斯特一 重新分配连接 退出地址族 IP路由10.5.5.2 255.255.255.255 10.2.2.2 结果 VPNv4路由再分配工作: [管理员@ PE1]> /路由BGP的VPNv4路由打印详细 标志:L - 标签礼物 0 L = 1.1.1.1:111 DST地址路由区分符= 10.3.3.0/24网关= 10.5.5.3 接口= ether2标签= 17个标签= 17 BGP本地県= 100 BGP-MED = 0 BGP-产地=不完整的BGP-EXT社区=“RT:1.1.1.1:111” 1升路由区分符= 1.1.1.1:111 DST地址10.1.1.0/24接口= ether1的 标签= 16 BGP-EXT社区=“RT:1.1.1.1:111” 检查10.3.3.0安装IP路由,卡斯特一个路由表: [管理员@ PE1]> / IP路由打印 标志:X - 禁用,A - 活跃,D - 动态, C - S - 连接,静态的,R - RIP,B - 邻 - BGP,OSPF,M - MME, B - 黑洞,可达,U - P - 禁止 #DST-ADDRESS PREF-SRC网关距离 0 ADC 10.1.1.0/24 10.1.1.2 ether1的0 1 ADB 10.3.3.0/24 10.5.5.3 recursi ... 20 2 ADC 10.2.2.0/24 10.2.2.2 ether2 0 3 ADC 10.5.5.2/32 10.5.5.2 lobridge 0 4 10.5.5.3/32 10.2.2.3 reachab ... 1 让我们来仔细看看卡斯特一个VRF的IP路由。10.1.1.0/24的IP前缀是属于一个接口,配置属于卡斯特一个VRF连接的路由。10.3.3.0/24的IP前缀从PE2的VPNv4路由通过BGP广告被导入此VRF路由表,因为我们的import-route命令配置的目标相匹配BGP的扩展团体属性是广告。 [管理员@ PE1] / IP路由>打印详细的路由标记=卡斯特一 标志:X - 禁用,A - 活跃,D - 动态, C - S - 连接,静态的,R - RIP,B - 邻 - BGP,OSPF,M - MME, B - 黑洞,可达,U - P - 禁止 0 ADC DST地址10.1.1.0/24的偏好src = 10.1.1.2网关= ether1的距离= 0的范围= 10 路由标记=卡斯特一 亚行DST = 10.3.3.0/24网关地址为10.5.5.3递归通过10.2.2.3 ether2 距离= 20范围= 40目标范围= 30路由标记=卡斯特一 BGP本地県BGP-产地= 100 =不完整 BGP-分机社区=“RT:1.1.1.1:111” 同为思科: PE2#显示IP BGP的VPNv4 BGP表的版本是5,本地路由器ID为10.5.5.3 状态代码:S抑制衰减,D,H的历史,有效的,最好的,我 - 内部, ?RIB故障,陈旧 产地代码:I - IGP,电子 - EGP,? - 不完整 网络下一跳的公制LocPrf重量路径 路由标识:1.1.1.1:111(VRF卡斯特默认为一) *> i10.1.1.0/24 10.5.5.2 100 0? *> 10.3.3.0/24 0.0.0.0 0 32768? PE2#显示IP路由VRF,卡斯特一 路由表:卡斯特一 标志:C - , - ,R - RIP,静态M - 移动,B - BGP D - EIGRP,EX - EIGRP外部,O - OSPF,IA - OSPF区域间的 N1 - OSPF NSSA外部类型1,N2 - OSPF NSSA外部类型2 E1 - OSPF外部类型1,E2 - OSPF外部类型2 - IS-IS,SU - IS-IS的摘要,L1 - IS-IS的Level-1,L2 - IS-IS的Level-2 IA - IS-IS区域间,* - 候选默认情况下,U - 每个用户的静态路由 邻 - ODR,P - 定期下载静态路由 不得已网关没有设置 10.0.0.0/24子网,子网 乙10.1.1.0 [200/0]通过10.5.5.2,00:05:33 10.0.0.0/24子网,子网 ?10.3.3.0直接相连,FastEthernet1 / 0 你应该能ping从CE1,CE2和反之亦然。 [管理员@ CE1]> /坪10.3.3.4 10.3.3.4 64字节的ping:TTL = 62时间= 18毫秒 10.3.3.4 64字节的ping:TTL = 62时间= 13毫秒 10.3.3.4 64字节的ping:TTL = 62时间= 13毫秒 10.3.3.4 64字节的ping:TTL = 62时间= 14毫秒 4传输的数据包,4包,0%丢包 往返最小/平均/最大= 13??/14.5/18毫秒 一个更复杂的设置(更改) 而不是最简单的设置,在这个例子中,我们有两个客户:卡斯特 - 酮和cust个。 我们两个VPN配置那么,卡斯特和卡斯特两个分别,并在它们之间交换的所有路由。(这也被称为“路由泄漏”)。 请注意,这可能是最典型的设置,因为路由通常没有不同客户之间交换。相比之下,默认情况下,它不应该有可能获得进入一个VRF网站从不同的VRF网站在另一个VPN。(这是“私人”的VPN方面。)独立路由是一种隐私的方式来提供,它也需要解决的问题重叠的IP网络前缀。路由交换这两个要求直接冲突,但有时可能需要(如温度,当两个客户迁移到单一的网络基础设施解决方案)。 CE1路由器,卡斯特一 / IP ROUTE ADD DST = 10.4.4.0/24网关地址10.1.1.2 CE2路由器,卡斯特一 / IP ROUTE ADD DST = 10.4.4.0/24网关地址10.3.3.3 CE1路由器,卡斯特两 / IP地址添加地址= 10.4.4.5接口= ether1的 / IP ROUTE ADD DST = 10.1.1.0/24网关地址10.3.3.3 / IP ROUTE ADD DST = 10.3.3.0/24网关地址10.3.3.3 PE1路由器 #替换旧的VRF: /添加禁用IP路由VRF =没有路由标记=卡斯特一个路由区分符= 1.1.1.1:111 \ 出口路由目标= 1.1.1.1:111 import-route命令目标= 1.1.1.1:111,2.2.2.2:222接口= ether1的 PE2路由器(思科) IP VRF卡斯特一 RD 1.1.1.1:111 路由目标出口1.1.1.1:111 路由目标导入1.1.1.1:111 路由目标导入2.2.2.2:222 出口 IP VRF卡斯特两 RD 2.2.2.2:222 路由目标出口2.2.2.2:222 路由目标导入1.1.1.1:111 路由目标导入2.2.2.2:222 出口 接口FastEthernet2 / 0 IP VRF转发卡斯特的两 ip地址10.4.4.3 255.255.255.0 BGP路由器65000 IPV4 VRF地址族卡斯特两 重新分配连接 退出地址族 变化:更换思科与另一MT PE2 MikroTik的配置 /接口桥接添加名称= lobridge / IP地址 新增地址= 10.2.2.3/24接口= ether1的 新增地址= 10.3.3.3/24接口= ether2 新增地址= 10.4.4.3/24接口= ether3 新增地址= 10.5.5.3/32接口= lobridge / IP路由VRF 添加禁用=没有路由标记=卡斯特一个路由区分符= 1.1.1.1:111 \ 出口路由目标= 1.1.1.1:111 import-route命令目标= 1.1.1.1:111,2.2.2.2:222 \ 接口= ether2 添加禁用=没有路由标记=卡斯特两个路由区分符= 2.2.2.2:222 \ 出口路由目标= 2.2.2.2:222 import-route命令目标= 1.1.1.1:111,2.2.2.2:222 \ 接口= ether3 / MPLS LDP设置启用=是传输地址= 10.5.5.3 / MPLS LDP接口外接接口= ether1的 = 65000 /设置默认路由BGP实例 / BGP路由实例添加实例VRF =默认路由标记=卡斯特一个再分配连接= YES / BGP路由实例添加实例VRF =默认路由标记=卡斯特两再分配连接= YES /路由BGP对等体增加远程地址= 10.5.5.2远程为= 65000地址家庭的VPNv4 \ 更新源= lobridge #添加路由到远程BGP对等体的环回地址 / IP ROUTE ADD DST = 10.5.5.2/32网关地址10.2.2.2 结果 / IP路由打印输出是足够有趣,值得细致的观察。 [管理员@ PE2] / IP路由>打印 标志:X - 禁用,A - 活跃,D - 动态, C - S - 连接,静态的,R - RIP,B - 邻 - BGP,OSPF,M - MME, B - 黑洞,可达,U - P - 禁止 #DST-ADDRESS PREF-SRC网关距离 0 ADB 10.1.1.0/24 10.5.5.2复发... 20 1 ADC 10.3.3.0/24 10.3.3.3 ether2 0 2 ADB 10.4.4.0/24 20 3 ADB 10.1.1.0/24 10.5.5.2复发... 20 4 ADB 10.3.3.0/24 20 5 ADC 10.4.4.0/24 10.4.4.3 ether3 0率 6 ADC 10.2.2.0/24 10.2.2.3 ether1的0 7 AS 10.5.5.2/32 10.2.2.2 reacha ... 1 8 ADC 10.5.5.3/32 10.5.5.3 lobridge 0 10.1.1.0/24的路由被接收来自远程BGP对等体,并安装在两个VRF路由表。 还安装了两个VRF路由表中的路由10.3.3.0/24,10.4.4.0/24。每个连接的表和另一个表中的BGP路由路线。这有做他们通过BGP广告无关。他们只是被“广告”本地VPNv4路由表和本地后,重新导入。导入和导出路由的目标确定在哪个表,他们将结束。 可以推导出它的属性 - 它们不具有通常的BGP属性。(10.4.4.0/24干线)。 [管理员@ PE2] / IP路由>打印详细的路由标记=卡斯特一 标志:X - 禁用,A - 活跃,D - 动态, C - S - 连接,静态的,R - RIP,B - 邻 - BGP,OSPF,M - MME, B - 黑洞,可达,U - P - 禁止 0 ADB = 10.1.1.0/24网关为10.5.5.2递归通过10.2.2.2 ether1的DST地址 距离= 20范围= 40目标范围= 30路由标记=卡斯特一 BGP本地県BGP-产地= 100 =不完整 BGP-分机社区=“RT:1.1.1.1:111” 1 ADC DST地址10.3.3.0/24的偏好src = 10.3.3.3网关= ether2距离= 0的范围= 10 路由标记=卡斯特一 2亚行DST地址10.4.4.0/24范围= 40距= 20目标范围= 10 路由标记=卡斯特一BGP-EXT社区=“RT:2.2.2.2:222” 静态间VRF路由 一般来说,建议使用BGP本地导入和导出功能,所有VRF之间的航线应交换。如果这是不够的,静态路由可以用来实现这个所谓的路线泄漏。 有两种方法来安装具有不同的路由表中的路由和本身的网关的路由。 第一种方式是明确指定路由表的网关字段中添加的路由时。这是唯一可能的“主”的路由表。例如: #添加VRF1的路由表中的路由5.5.5.0/24网关在主路由表 添加DST = 5.5.5.0/24网关地址10.3.0.1 @主路由标记= VRF1 第二种方式是明确指定接口的网关字段中。指定的接口只能属于一个VRF实例。例如: 主路由表中添加路由5.5.5.0/24 ether2 VRF接口网关 添加DST地址= 5.5.5.0/24网关= 10.3.0.1%ether2路由标记=主 #添加在主路由表与路由5.5.5.0/24 PTP链接1'VRF接口作为网关 添加DST地址= 5.5.5.0/24网关= PTP-LINK-1路由标记=主 如可以观察到的,有两个可能的变化-指定网关IP地址%的接口,或简单地指定接口。首先应该在大多数情况下,用于广播接口。应使用第二点至点接口,还为广播接口,如果该路由在某些VRF连接的路由。例如,如果你有地址1.2.3.4/24被放在一个VRF 接口ether2,将连接的路由1.2.3.0/24,VRF路由表。这是可以接受的唯一接口的网关不同的路由表添加静态路由 1.2.3.0/24 ether2,即使是一个广播接口: 添加DST地址= 1.2.3.0/24网关= ether2路由标记=主 参考文献 RFC 4364:BGP / MPLS IP虚拟专用网(VPN) MPLS基础,第7章,吕克德Ghein 2006年,思科出版社 |
不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流
GMT+8, 2025-3-29 15:36 , Processed in 0.141931 second(s), 15 queries .
Powered by Discuz! X3.4
Copyright © 2001-2021, Tencent Cloud.
