Giáo trình Chuyển mạch nhãn đa giao thức - Trần Thị Tố Uyên

pdf 147 trang cucquyet12 4630
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Chuyển mạch nhãn đa giao thức - Trần Thị Tố Uyên", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_chuyen_mach_nhan_da_giao_thuc_tran_thi_to_uyen.pdf

Nội dung text: Giáo trình Chuyển mạch nhãn đa giao thức - Trần Thị Tố Uyên

  1. VnPro – Cisco Authorized Training Center CHUYỂN MẠCH NHÃN ĐA GIAO THỨC (MPLS MultiProtocol Label Switching) Tác giả: Trần Thị Tố Uyên Trần Thị Tố Uyên 1
  2. VnPro – Cisco Authorized Training Center Mục lục Chương 1: TỔNG QUAN VỀ MPLS 3 Chương 2: CẤU HÌNH MPLS CƠ BẢN 13 LAB 2-1: Cấu hình MPLS frame-mode cơ bản 16 Chương 3: TỔNG QUAN VỀ MPLS VPN 28 Chương 4: GIAO THỨC ĐỊNH TUYẾN EIGRP PE-CE 43 LAB 4-1: Cấu hình định tuyến EIGRP PE-CE cơ bản 46 LAB 4-2: Cấu hình mạng sử dụng BGP CC và EIGRP SoO 62 Chương 5: GIAO THỨC ĐỊNH TUYẾN OSPF PE-CE 75 LAB 5-1 – Cấu hình định tuyến OSPF PE-CE 86 LAB 5-2—OSPF Sham-Links 101 Chương 6: KỸ THUẬT LƯU LƯỢNG TRONG MPLS 112 Trần Thị Tố Uyên 2
  3. VnPro – Cisco Authorized Training Center Chương 1: TỔNG QUAN VỀ MPLS Giới thiệu về chuyển mạch nhãn đa giao thức (MPLS): MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên (edge) bằng cách dựa vào nhãn (label). MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớp hai. Phương pháp chuyển mạch nhãn giúp các Router và MPLS-enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích. MPLS kết nối tính thực thi và khả năng chuyển mạch lớp hai với định tuyến lớp ba. Cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có. Cấu trúc MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào. MPLS hỗ trợ mọi giao thức lớp hai, triển khai hiệu quả các dịch cụ IP trên một mạng chuyển mạch IP. MPLS hỗ trợ việc tạo ra các tuyến khác nhau giữa nguồn và đích trên một đường trục Internet. Bằng việc tích hợp MPLS vào kiến trúc mạng, Các ISP có thể giảm chi phí, tăng lợi nhuận, cung cấp nhiều hiệu quả khác nhau và đạt được hiệu quả cạnh tranh cao. Đặc điểm mạng MPLS: - Không có MPLS API, cũng không có thành phần giao thức phía host. - MPLS chỉ nằm trên các router. - MPLS là giao thức độc lập nên có thể hoạt động cùng với giao thức khác IP như IPX, ATM, Frame Relay, - MPLS giúp đơn giản hoá quá trình định tuyến và làm tăng tính linh động của các tầng trung gian. Phương thức hoạt động: Thay thế cơ chế định tuyến lớp ba bằng cơ chế chuyển mạch lớp hai. MPLS hoạt động trong lõi của mạng IP. Các Router trong lõi phải enable MPLS trên từng giao tiếp. Nhãn được gắn thêm vào gói IP khi gói đi vào mạng MPLS. Nhãn được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label) được chèn vào giữa header lớp ba và header lớp hai. Sử dụng nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi. MPLS tập trung vào quá trình hoán đổi nhãn (Label Swapping). Một trong những thế mạnh của khiến trúc MPLS là tự định nghĩa chồng nhãn (Label Stack). Công thức để gán nhãn gói tin là: Network Layer Packet + MPLS Label Stack Không gian nhãn (Label Space): có hai loại. Một là, các giao tiếp dùng chung giá trị nhãn (per-platform label space). Hai là, mỗi giao tiếp mang giá trị nhãn riêng, (Per- interface Label Space). Bộ định tuyến chuyển nhãn (LSR – Label Switch Router): ra quyết định chặng kế tiếp dựa trên nội dung của nhãn, các LSP làm việc ít và hoạt động gần giống như Switch. Con đường chuyển nhãn (LSP – Label Switch Path): xác định đường đi của gói tin MPLS. Gồm hai loại: Hop by hop signal LSP - xác định đường đi khả thi nhất theo kiểu best effort và Explicit route signal LSP - xác định đường đi từ nút gốc. Một số ứng dụng của MPLS Trần Thị Tố Uyên 3
  4. VnPro – Cisco Authorized Training Center Internet có ba nhóm ứng dụng chính: voice, data, video với các yêu cầu khác nhau. Voice yêu cầu độ trễ thấp, cho phép thất thoát dữ liệu để tăng hiếu quả. Video cho phép thất thoát dữ liệu ở mức chấp nhận được, mang tính thời gian thực (realtime). Data yêu cầu độ bảo mật và chính xác cao. MPLS giúp khai thác tài nguyên mạng đạt hiệu quả cao. Một số ứng dụng đang được triển khai là: MPLS VPN: Nhà cung cấp dịch cụ có thể tạo VPN lớp 3 dọc theo mạng đường trục cho nhiều khách hàng, chỉ dùng một cơ sở hạ tầng công cộng sẵn có, không cần các ứng dụng encrytion hoặc end-user. MPLS Traggic Engineer: Cung cấp khả năng thiết lập một hoặc nhiều đường đi để điều khiển lưu lượng mạng và các đặc trưng thực thi cho một loại lưu lượng. MPLS QoS (Quality of service): Dùng QoS các nhà cung cấp dịch vụ có thể cung cấp nhiều loại dịch vụ với sự đảm bảo tối đa về QoS cho khách hàng. MPLS Unicast/Multicast IP routing. Điểm vượt trội của MPLS so với mô hình IP over ATM Khi hợp nhất với chuyển mạch ATM, chuyển mạch nhãn tận dụng những thuận lợi của các tế bào ATM - chiều dài thích hợp và chuyển với tốc độ cao. Trong mạng đa dịch vụ chuyển mạch nhãn cho phép chuyển mạch BPX/MGX nhằm cung cấp dịch vụ ATM, Frame, Replay và IP Internet trên một mặt phẳng đơn trong một đường đi tốc độ cao. Các mặt phẳng (Platform) công cộng hỗ trợ các dịch vụ này để tiết kiệm chi phí và đơn giản hóa hoạt động cho nhà cung cấp đa dịch vụ. ISP sử dụng chuyển mạch ATM trong mạng lõi, chuyển mạch nhãn giúp các các dòng Cisco, BPX8600, MGX8800, Router chuyển mạch đa dịch vụ 8540 và các chuyển mạch Cisco ATM giúp quản lí mạng hiệu quả hơn xếp chồng (overlay) lớp IP trên mạng ATM. Chuyển mạch nhãn tránh những rắc rối gây ra do có nhiều router ngang hàng và hỗ trợ cấu trúc phân cấp (hierarchical structure) trong một mạng của ISP. Sự tích hợp: MPLS xác nhập tính năng của IP và ATM chứ không xếp chồng lớp IP trên ATM. MPLS giúp cho cơ sở hạ tầng ATM thấy được định tuyến IP và loại bỏ các yêu cầu ánh xạ giữa các đặc tính IP và ATM. MPLS không cần địa chỉ ATM và kỹ thuật định tuyến (như PNNI). Độ tin cậy cao hơn: Với cơ sở hạ tầng ATM, MPLS có thể kết hợp hiệu quả với nhiều giao thức định tuyến IP over ATM thiết lập một mạng lưới (mesh) dịch vụ công cộng giữ các router xung quanh một đám mây ATM. Tuy nhiên có nhiều vấn đề xảy ra do các PCV link giữa các router xếp chồng trên mạng ATM. Cấu trúc mạng ATM không thể thấy bộ định tuyến. Một link ATM bị hỏng làm hỏng nhiều router-to-router link, gây khó khăn cho lượng cập nhật thông tin định tuyến và nhiều tiến trình xử lí kéo theo. Trực tiếp thực thi các loại dịch vụ: MPLS sử dụng hàng đợi và bộ đếm của ATM để cung cấp nhiều loại dịch vụ khác nhau. Nó hỗ trợ quyền ưu tiên IP và loại dịch vụ (class of service – cos) trên chuyển mạch ATM mà không cần chuyển đổi phức tạp sang các lớp ATM Forum Service. Hỗ trợ hiệu quả cho Mulicast và RSVP: Khác với MPLS, xếp lớp IP trên ATM nảy sinh nhiều bất lợi, đặc biệt trong việc hỗ trợ các dịch vụ IP như IP muticast và RSVP( Resource Reservation Protocol - RSVP). Trần Thị Tố Uyên 4
  5. VnPro – Cisco Authorized Training Center MPLS hỗ trợ các dịch vụ này, kế thừa thời gian và công việc theo các chuẩn và khuyến khích tạo nên ánh xạ xấp xỉ của các đặc trưng IP&ATM Sự đo lường và quản lí VPN: MPLS có thể tính được các dịch vụ IP VPN và rất dễ quản lí các dịch vụ VPN quan trọng để cung cấp các mạng IP riêng trong cơ sở hạ tầng của nó. Khi một ISP cung cấp dịch vụ VPN hỗ trợ nhiều VPN riêng trên một cơ sở hạ tầng đơn.Với một đường trục MPLS, thông tin VPN chỉ được xử lí tại một điểm ra vào. Các gói mang nhãn MPLS đi qua một đường trục và đến điểm ra đúng của nó. Kết hợp MPLS với MP- BGP (Mutiprotocol Broder Gateway Protocol) tạo ra các dịch vụ VNP dựa trên nền MPLS (MPLS-based VNP) dễ quản lí hơn với sự điều hành chuyển tiếp để quản lí phía VNP và các thành viên VNP, dịch vụ MPSL-based VNP còn có thể mở rộng để hỗ trợ hàng trăm nghìn VPN. Giảm tải trên mạng lõi Các dịch vụ VPN hướng dẫn cách MPLS hỗ trợ mọi thông tin định tuyến để phân cấp. Hơn nữa,có thể tách rời các định tuyến Internet khỏi lõi mạng cung cấp dịch vụ. Giống như dữ liệu VPN, MPSL chỉ cho phép truy suất bảng định tuyến Internet tại điểm ra vào của mạng. Với MPSL, kĩ thuật lưu lượng truyền ở biên của AS được gắn nhãn để liên kết với điểm tương ứng. Sự tách rời của định tuyến nội khỏi định tuyến Internet đầy đủ cũng giúp hạn chế lỗi, ổn định và tăng tính bảo mật Khả năng điều khiển lưu lượng: MPLS cung cấp các khả năng điều khiển lưu lượng để sửng dụng hiệu quả tài nguyên mạng. Kỹ thuật lưu lượng giúp chuyển tải từ các phần quá tải sang các phần còn rỗi của mạng dựa vào điểm đích, loại lưu lượng, tải, thời gian, Các hình thức hoạt động của MPLS Mạng MPLS dùng các nhãn để chuyển tiếp các gói. Khi một gói đi vào mạng, Node MPLS ở lối vào đánh dấu một gói đến lớp chuyển tiếp tương đương (FEC – Forwarding Equivalence Class) cụ thể. Trong mạng MPLS nhãn điều khiển mọi hoạt động chuyển tiếp. Điều này có nhiều thuận lợi hơn sự chuyển tiếp thông thường: - Sự chuyển tiếp MPLS có thể thực hiện bằng các bộ chuyển mạch (switch), có thể tra cứu (lookup) thay thế nhãn mà không ảnh hưởng đến header lớp mạng. Các bộ chuyển ATM thực hiệc các chức năng chuyển các tế bào dựa trên giá trị nhãn. ATM-switch cần được điều khiển bởi một thành phần điều khiển MPLS dựa vào IP (IP-base MPLS control element) như bộ điều khiển chuyển mạch nhãn (LSC - Label Switch Controller). Đây là dạng cơ bản của sự kết hợp IP với ATM. - Khi một gói vào mạng nó được chuyển đến lớp chuyển tiếp tương đương (FEC - Forwarding Equivalence Class). Router có thể sử dụng thông tin gói, như cổng vào (ingress) hay giao tiếp (interface). Các gói đi vào mạng được gán các nhãn khác nhau. Quyết định chuyển tiếp được thực hiện dễ dàng bởi router ngõ vào. Điều này không có trong sự chuyển tiếp thông thường, vì sự xác định lộ trình của router khác với thông tin lộ trình trên gói. - Mạng được quản lý lưu lượng buộc gói đi theo một con đường cụ thể, một con đường chưa được sử dụng. Con đường đó được chọn trước hoặc ngay khi gói đi vào mạng tốt hơn sự lựa chọn bởi các thuật toán định tuyến thông thường. Trong MPLS, một nhãn có thể được dùng để đại diện cho tuyến, không cần kèm trong gói. Đây là dạng cơ bản của MPLS Traffic Engineering. Trần Thị Tố Uyên 5
  6. VnPro – Cisco Authorized Training Center - "Lớp dịch vụ (Class of service)" của gói được xác định bởi nút MPLS vào (ingress MPLS node). Một nút MPLS vào có thể huỷ tuyến hay sửa đổi lịch trình để điều khiển các gói khác nhau. Các trạm sau có thể định lại ràng buộc dịch vụ bằng cách thiết lập PBH (per-hop behavior). MPLS cho phép (không yêu cầu) độ ưu tiên một phần hoặc hoàn toàn của lớp dịch vụ từ nhãn. Trường lợp này nhãn đại diện cho sự kết hợp của một FEC với độ ưu tiên hoặc lớp dịch vụ. Đây là dạng cơ bản của MPLS QoS. Nhãn (Label) trong MPLS Kiểu khung (Frame mode): Kiểu khung là thuật ngữ khi chuyển tiếp một gói với nhãn gắn trước tiêu đề lớp ba. 20 Một nhãn được mã hoá với 20bit, nghĩa là có thể có 2 giá trị khác nhau. Một gói có nhiều nhãn, gọi là chồng nhãn (label stack). Ở mỗi chặng trong mạng chỉ có một nhãn bên ngoài được xem xét. Hình 2 mô tả định dạng tiêu đề của MPLS Trong đó: - EXP=Experimental (3 bit): dành cho thực nghiệm. Cisco IOS sử dụng các bit này để giữ các thông báo cho QoS; khi các gói MPLS xếp hàng có thể dùng các bit EXP tương tự như các bit IP ưu tiên (IP Precedence). - S=Bottom of stack (1 bit): là bít cuối chồng. Nhãn cuối chồng bit này được thiết lập lên 1, các nhãn khác có bít này là 0. - TTL=Time To Live (8 bit): thời gian sống là bản sao của IP TTL. Giá trị của nó được giảm tại mỗi chặng để tránh lặp (giống như trong IP). Thường dùng khi người điều hành mạng muốn che dấu cấu hình mạng bên dưới khi tìm đường từ mạng bên ngoài. Kiểu tế bào (Cell mode): Thuật ngữ này dùng khi có một mạng gồm các ATM LSR dùng MPLS trong mặt phẳng điều khiển để trao đổi thông tin VPI/VCI thay vì dùng báo hiệu ATM. Trong kiểu tế bào, nhãn là trường VPI/VCI của tế bào. Sau khi trao đổi nhãn trong mặt phẳng điều khiển, ở mặt phẳng chuyển tiếp, router ngõ vào (ingress router) phân tách gói thành các tế bào ATM, dùng giá trị VCI/CPI tương ứng đã trao đổi trong mặt phẳng điều khiển và truyền tế bào đi. Các ATM LSR ở phía trong hoạt động như chuyển mạch ATM – chúng chuyển tiếp một tế bào dựa trên VPI/VCI vào và thông tin cổng ra tương ứng. Cuối cùng, router ngõ ra (egress router) sắp xếp lại các tế bào thành một gói. Trần Thị Tố Uyên 6
  7. VnPro – Cisco Authorized Training Center ATM Cell header GFC VPI VCI PT CLP HEC Header lớp 3 Dữ liệu Nhãn Gói qua SONET/SDH PPP Header Nhãn Header lớp 3 Dữ liệu Shim header Ethernet Ethernet Header Nhãn Header lớp 3 Dữ liệu Trong đó: GFC (Generic Flow Control): Điều khiển luồng chung VPI (Virtual Path Identifier): nhận dạng đường ảo VCI (Virtual Channel Identifier): nhận dạng kênh ảo PT (Payload Type): Chỉ thị kiểu trường tin CLP (Cell Loss Priority): Chức năng chỉ thị ưu tiên huỷ bỏ tế bào HEC (Header error check): Kiểm tra lỗi tiêu đề. Cấu trúc nút của MPLS Một nút của MPLS có hai mặt phẳng: mặt phẳng chuyển tiếp MPLS và mặt phẳng điều khiển MPLS. Nút MPLS có thể thực hiện định tuyến lớp ba hoặc chuyển mạch lớp hai. Kiến trúc cơ bản của một nút MPLS như sau: Mặt phẳng điều khiển Chuyển đổi thông tin Giao th c nh tuy n IP ứ đị ế định tuyến Chuyển đổi thông tin Giao th c phân ph i nhãn ứ ố liên kết nhãn Mặt phẳng chuyển tiếp Các gói IP Bảng định tuyến IP Các gói IP ra vừa đến (ECF FIB) Các gói được Cơ sở định tuyến chuyển Các gói IP được gắn nhãn vừa tiếp nhãn (LFIB) gắn nhãn ra đến Mặt phẳng chuyển tiếp (Forwarding plane) Mặt phẳng chuyển tiếp sử dụng một cơ sở thông tin chuyển tiếp nhãn (LFIB - Label Forwarding Information Base) để chuyển tiếp các gói. Mỗi nút MPLS có hai bảng liên quan đến việc chuyển tiếp là: cơ sở thông tin nhãn (LIB - Label Information Base) và LFIB. LIB chứa tất cả các nhãn được nút MPLS cục bộ đánh dấu và ánh xạ của các Trần Thị Tố Uyên 7
  8. VnPro – Cisco Authorized Training Center nhãn này đến các nhãn được nhận từ láng giềng (MPLS neighbor) của nó. LFIB sử dụng một tập con các nhãn chứa trong LIB để thực hiện chuyển tiếp gói. Mặt phẳng điều khiển (Control Plane) Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra và lưu trữ LFIB. Tất cả các nút MPLS phải chạy một giao thức định tuyến IP để trao đổi thông tin định tuyến đến các nút MPLS khác trong mạng. Các nút MPLS enable ATM sẽ dùng một bộ điều khiển nhãn (LSC – Label Switch Controller) như router 7200, 7500 hoặc dùng một mô đun xử lý tuyến (RMP – Route Processor Module) để tham gia xử lý định tuyến IP. Các giao thức định tuyến Link-state như OSPF và IS-IS là các giao thức được chọn vì chúng cung cấp cho mỗi nút MPLS thông tin của toàn mạng. Trong các bộ định tuyến thông thường, bản định tuyến IP dùng để xây dựng bộ lưu trữ chuyển mạch nhanh (Fast switching cache) hoặc FIB (dùng bởi CEF - Cisco Express Forwarding). Tuy nhiên với MPLS, bản định tuyến IP cung cấp thông tin của mạng đích và subnet prefix. Các giao thức định tuyến link-state gửi thông tin định tuyến (flood) giữa một tập các router nối trực tiếp (adjacent), thông tin liên kết nhãn chỉ được phân phối giữa các router nối trực tiếp với nhau bằng cách dùng giao thức phân phối (LDP – Label Distribution Protocol) hoặc TDP (Cisco ‘s proproetary Tag Distribution protocol). Các nhãn được trao đổi giữa các nút MPLS kế cận để xây dựng nên LFIB. MPLS dùng một mẫu chuyển tiếp dựa trên sự hoán đổi nhãn để kết nối với các mô đun điều khiển khác nhau. Mỗi mô đun điều khiển chịu trách nhiệm đánh dấu và phân phối một tập các nhãn cũng như lưu trữ các thông tin điều khiển có liên quan khác. Các giao thức cổng nội (IGP – Interior Gateway Potocols) được dùng để xác nhận khả năng đến được, sự liên kết, và ánh xạ giữa FEC và địa chỉ trạm kế (next-hop address). Các mô đun điều khiển MPLS gồm: Định tuyến Unicast (Unicast Routing) Định tuyến Multicast (Multicast Routing) Kỹ thuật lưu lượng (Traffic engineering) Mạng riêng ảo (VPN – Virtual private Network) Chất lượng dịch vụ (QoS – Quality of service) Mặt phẳng điều khiển một nút mạng Điều khiển Điều khiển định Điều khiển Điều khiển Chất lượng định tuyến tuyến MPLS định tuyến Lưu lượng dịch vụ MPLS IP Multicast IP MPLS/VPN (MPLS TE) (QoS) Cơ sở thông tin chuyển tiếp nhãn LFIB Mặt phẳng dữ liệu tại một nút mạng Các thành phần mặt phẳng dữ liệu và mặt phẳng điều khiển của MPLS Trần Thị Tố Uyên 8
  9. VnPro – Cisco Authorized Training Center Cisco Express Forwarding (CEF) là nền tảng cho MPLS và hoạt động trên các router của Cisco. Do đó, CEF là điều kiện tiên quyết trong thực thi MPLS trên mọi thiết bị của Cisco ngoại trừ các ATM switch chỉ hỗ trợ chức năng của mặt phẳng chuyển tiếp dữ liệu. CEF là một cơ chế chuyển mạch thuộc sở hữu của Cisco nhằm làm tăng tính đơn giản và khả năng chuyển tiếp gói IP. CEF tránh việc viết lại overhead của cache trong môi trường lõi IP bằng cách sử dụng một cơ sở thông tin chuyển tiếp (FIB – Forwarding Information Base) để quyết định chuyển mạch. Nó phản ánh toàn bộ nội dung của bảng định tuyến IP (IP routing table), ánh xạ 1-1 giữa FIB và bảng định tuyến. Khi router sử dụng CEF, nó duy trì tối thiểu 1 FIB, chứa một ánh xạ các mạng đích trong bảng định tuyến với các trạm kế tiếp (next-hop adjacencies) tương ứng. FIB ở trong mặt phẳng dữ liệu, nơi router thực hiện cơ chế chuyển tiếp và xử lý các gói tin. Trên router còn duy trì hai cấu trúc khác là cơ sở thông tin nhãn (LIB – Label Information Base) và cơ sở thông tin chuyển tiếp nhãn (LFIB – Label Forwarding Information Base). Giao thức phân phối sử dụng giữa các láng giềng MPLS có nhiệm vụ tạo ra các chỉ mục (entry) trong hai bảng này. LIB thuộc mặt phẳng điều khiển và được giao thức phân phối nhãn sử dụng khi địa chỉ mạng đích trong bảng định tuyến được ánh xạ với nhãn nhận được từ router xuôi dòng. LFIB thuộc mặt phẳng dữ liệu và chứa nhãn cục bộ (local label) đến nhãn trạm kế ánh xạ với giao tiếp ngõ ra (outgoing interface), được dùng để chuyển tiếp các gói được gán nhãn. Như vậy, thông tin về các mạng đến được do các giao thức định tuyến cung cấp dùng để xây dựng bảng định tuyến (RIB - Routing Information Base). RIB cung cấp thông tin cho FIB. LIB được tạo nên dựa vào giao thức phân phối nhãn và từ LIB kết hợp với FIB tạo ra LFIB. Thuật toán chuyển tiếp nhãn (Label Forwarding Algorithm) Bộ chuyển nhãn sử dụng một thuật toán chuyển tiếp dựa vào việc hoán đổi nhãn. Nút MPLS lấy giá trị trong nhãn của gói vừa đến làm chỉ mục đến LFIB. Khi giá trị nhãn tương ứng được tìm thấy, MPLS sẽ thay thế nhãn trong gói đó bằng nhãn ra (outgoing label) từ mục con (subentry) và gửi gói qua giao tiếp ngõ ra tương ứng đến trạm kế đã được xác định. Nếu nút MPLS chứa nhiều LFIB trên mỗi giao tiếp, nó sử dụng giao tiếp vật lý nơi gói đến để chọn một LFIB cụ thể phục vụ chuyển tiếp gói. Các thuật Trần Thị Tố Uyên 9
  10. VnPro – Cisco Authorized Training Center toán chuyển tiếp thông thường sử dụng nhiều thuật toán như unicast, multicast và các gói unicast có thiết lập bit ToS. Tuy nhiên, MPLS chỉ dùng một thuật toán chuyển tiếp dựa trên sự hoán đổi nhãn (Label swapping). Một nút MPLS truy xuất bộ nhớ đơn để lấy ra các thông tin như quyết định dành ra tài nguyên cần thiết để chuyển tiếp gói. Khả năng chuyển tiếp và tra cứu tốc độ nhanh giúp chuyển nhãn (label switching) trở thành công nghệ chuyển mạch có tính thực thi cao. MPLS còn có thể dùng để chuyển vận các giao thức lớp ba khác như IPv6, IPX, hoặc Apple Talk. Các thuộc tính này giúp MPLS có thể tương thích tốt với việc chuyển đổi các mạng từ IPv4 lên IPv6. Hoạt động chuyển tiếp của MPLS Thực hiện chuyển tiếp dữ liệu với MPLS gồm các bước sau: - Gán nhãn MPLS (trên LSR). - Giao thức phân phối nhãn (LDP - label distribution protocol hay TDP - tag distribution protocol ) thực hiện gán nhãn và trao đổi nhãn giữa các LSR trong miền MPLS để thiết lập các phiên làm việc (session). Việc gán nhãn có thể gán cục bộ trên router hoặc trên giao tiếp của router. - Thiết lập LDP/TDP giữa LSR/ELSR. - Mặc định trên router sử dụng LDP. Cấu hình: Router(config)#mpls label protocol {ldp | tdp} Thực hiện lệnh khi router không măc định dùng LDP hoặc muốn chuyển từ LDP sang TDP. Lệnh này có thể được cấu hình toàn cục hoặc trên giao tiếp: Router(config-if)#mpls label protocol {ldp | tdp} Nếu cấu hình trên giao tiếp thì nó sẽ ghi đè lên lệnh toàn cục. TDP dùng cổng TCP 711. LDP dùng cổng TCP 646. Có 4 loại thông điệp LDP: Discovery: quảng cáo và chấp nhận sự có mặt của LSR trong mạng. Session: Thiết lập, bảo dưỡng và hủy phiên làm việc giữa các LSR. Advertisement: quảng cáo ánh xạ nhãn tới FEC Notification: báo hiệu lỗi. Trần Thị Tố Uyên 10
  11. VnPro – Cisco Authorized Training Center Phân phối nhãn bằng giao thức phân phối nhãn LDP Trong một miền MPLS, một nhãn gán tới một địa chỉ (FIB) đích được phân phối tới các láng giềng ngược dòng sau khi thiết lập session. Việc kết nối giữa mạng cụ thể với nhãn cục bộ và một nhãn trạm kế (nhận từ router xuôi dòng) được lưu trữ trong LFIB và LIB. MPLS dùng các phương thức phân phối nhãn như sau: - Yêu cầu xuôi dòng (Downstream on demand). - Tự nguyện xuôi dòng (Unsolicited downstream). Sự duy trì nhãn MPLS Trần Thị Tố Uyên 11
  12. VnPro – Cisco Authorized Training Center Có hai chế độ duy trì nhãn: Chế độ duy trì nhãn tự do (liberal label retention mode): duy trì kết nối giữa nhãn và mạng đích nhưng không lưu giữ trạm kế cho đích đến đó. LSR có thể chuyển tiếp gói ngay khi IGP hội tụ và số lượng nhãn lưu giữ rất lớn cho từng đích đến cụ thể nên tốn bộ nhớ. Chế độ duy trì nhãn thường xuyên (conservative label retention mode): duy trì nhãn dựa vào hồi đáp LDP hay TDP của trạm kế. Nó hủy các kết nối từ LSR xuôi dòng mà không phải trạm kế của đích đến chỉ định nên giảm thiểu được bộ nhớ. Các loại nhãn đặc biệt Untagged: gói MPLS đến được chuyển thành một gói IP và chuyển tiếp đến đích. Nó được dùng trong thực thi MPLS VPN. Nhãn Implicit-null hay POP: Nhãn này được gán khi nhãn trên (top label) của gói MPLS đến bị bóc ra và gói MPLS hay IP được chuyển tiếp tới trạm kế xuôi dòng. Giá trị của nhãn này là 3 (trường nhãn 20 bit). Nhãn này được dùng trong mạng MPLS cho những trạm kế cuối. Nhãn Explicit-null: được gán để giữ giá trị EXP cho nhãn trên (top label) của gói đến. Nhãn trên được hoán đổi với giá trị 0 và chuyển tiếp như một gói MPLS tới trạm kế xuôi dòng. Nhãn này sử dụng khi thực hiện QoS với MPLS. Nhãn Aggregate: với nhãn này, khi gói MPLS đến nó bị bóc tất cả nhãn trong chồng nhãn ra để trở thành một gói IP và thực hiện tra cứu trong FIB để xác định giao tiếp ngõ ra cho nó. Trần Thị Tố Uyên 12
  13. VnPro – Cisco Authorized Training Center Chương 2: CẤU HÌNH MPLS CƠ BẢN Cấu hình và kiểm chứng MPLS ở chế độ khung (Frame-mode MPLS) Ở chế độ khung, MPLS sử dụng một nhãn 32 bit chèn vào giữa tiêu đề lớp 2 và lớp 3. Các dạng đóng gói lớp 2 như HDLC, PPP, Frame Relay, và Ethernet dựa trên kiểu khung (frame) nên có thể hoạt động ở chế độ khung (frame mode) hoặc chế độ tế bào (cell mode), ngoại trừ ATM chỉ hoạt động ở chế độ tế bào. Basic frame-mode MPLS Biểu đồ tiến trình cấu hình Frame-Mode MPLS Trần Thị Tố Uyên 13
  14. VnPro – Cisco Authorized Training Center Các bước cấu hình frame-mode MPLS cơ bản Các bước cấu hình dựa trên sơ đồ trên. Bước 1: Cho phép CEF CEF là một thành phần thiết yếu cho chuyển mạch nhãn (label switching) và chịu trách nhiệm sắp xếp và cài đặt nhãn trong một mạng MPLS. Cấu hình CEF toàn cục trên các router R1, R2, R3 và R4 bằng lệnh: Router(config)#ip cef [distributed]. Chắc chắn rằng CEF được cho phép trên giao tiếp. Nếu không được thì có thể cho phép CEF trên giao tiếp bằng cách dùng lệnh: Router(config-if)#ip route-cache cef. Dùng từ khóa [distribute] thể hiện khả năng của chuyển mạch CEF được chia sẻ. Bước 2: Cấu hình giao thức định tuyến IGP Ở đây ta xét giao thức OSPF. Cho phép các giao tiếp trên các router tham gia vào mạng của nhà cung cấp bằng lệnh : Router(config)#router ospf process-id Router(config-router)#network ip-address wild-card mask area area-id Cho phép giao thức phân phối nhãn là một bước tùy chọn. Ngầm định, LDP là giao thức phân phối nhãn. Lệnh mpls label protocol {ldp | tdp} chỉ được dùng nếu LDP không phải là giao thức ngầm định hoặc nếu muốn chuyển đổi qua lại giữa LDP và TDP. Lệnh này nên cấu hình trong chế độ toàn cục ( Router(config)# ) tốt hơn trên giao tiếp ( Router(config-if)# ). Tuy nhiên lệnh cấu hình trên giao tiếp sẽ ghi đè lên lệnh cấu hình toàn cục. Bước 3: Gán LDP router ID Trần Thị Tố Uyên 14
  15. VnPro – Cisco Authorized Training Center LDP sử dụng địa chỉ IP cao nhất trên một giao tiếp loopback như là một LDP router ID. Nếu không có địa chỉ loopback thì địa chỉ IP cao nhất trên router sẽ trở thành LDP router ID. Muốn buộc một giao tiếp trở thành LDP router ID dùng lệnh: Router(config)#mpls ldp router-id {interface | ip-address} [force] Giao tiếp loopback được khuyến khích vì chúng luôn hoạt động. Bước 4: Cho phép Ipv4 MPLS hay chuyển tiếp nhãn trên giao tiếp Router(config-if)#mpls ip Kiểm tra hoạt động của frame-mode MPLS cơ bản: Kiểm tra sự cho phép CEF trên router: Router#show ip cef Xác định chuyển tiếp MPLS được cho phép trên giao tiếp : Router#show mpls interfaces Xem trạng thái của tiến trình khám phá LDP. Hiển thị thông tin khám phá LDP của láng giềng và các giao tiếp mà tiến trình khám phá LDP đang chạy. Router#show mpls ldp discovery Trường xmit/recv thể hiện giao tiếp đang truyền và nhận các gói LDP discovery Hello. Xác định trạng thái các phiên làm việc với láng giềng LDP: Router#show mpls ldp neighbor Sự chuyển tiếp ở mặt phẳng điều khiển và mặt phẳng dữ liệu Mặt phẳng điều khiển Hình trên thể hiện hoạt động của mặp phẳng điều khiển cho prefix 10.10.10.101/32 từ R1 đến R4. Các bước sau thể hiện tiến trình quảng bá nhãn cho prefix 10.10.10.101/32: Trần Thị Tố Uyên 15
  16. VnPro – Cisco Authorized Training Center Bước 1: R1 gửi một implicit null hay POP label tới R2. Giá trị 3 đại diện cho nhãn implicit-null. R1 quảng bá (propagates) implicit-null đến R2, R2 thực hiện chức năng POP dữ liệu chuyển tiếp từ R4 tới 10.10.10.101/32. Nếu R1 quảng bá một nhãn explicit-null, LSR R2 ngược dòng không POP nhãn nhưng gán một giá trị nhãn là 0 và gửi một gói được gán nhãn tới R2. Ví dụ : R1#show mpls ldp bindings tib entry: 10.10.10.101/32, rev 4 local binding: tag: imp-null remote binding: tsr: 10.10.10.102:0, tag: 16 Bước 2 : R2 gán một LSP label tới 10.10.10.101/32. Giá trị nhãn này được quảng bá tới R3. Giá trị này được R3 áp đặt trên đường chuyển tiếp dữ liệu. Bước 3 : trên R3, prefix 10.10.10.101/32 được gán một nhãn cục bộ là 17 và một nhãn ra 16. Nhãn ra được nhận từ R2. Nhãn cục bộ 17 được quảng bá bằng sự chia sẻ nhãn đến R4. Nhãn 17 được R4 dùng để chuyển tiếp dữ liệu đến 10.10.10.101/32. Hoạt động chuyển tiếp dữ liệu Các bước sau biểu diễn đường chuyển tiếp dữ liệu từ R4 tới 10.10.10.101/32 R4 áp đặt nhãn 17 lên gói dữ liệu từ R4 tới 10.10.10.101/32. R3 thực hiện tra cứu LFIB (LFIB lookup) và hoán đổi nhãn 17 thành 16 và chuyển tiếp gói dữ liệi tới R2. R2 nhận gói dữ liệu từ R3, thực hiện chức năng pop của trạm kế cuối, bóc nhãn 16 và chuyển tiếp gói dữ liệu tới R1. LAB 2-1: Cấu hình MPLS frame-mode cơ bản Mô tả Cấu hình và kiểm tra LSR1#show run Building configuration Trần Thị Tố Uyên 16
  17. VnPro – Cisco Authorized Training Center Current configuration : 912 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname LSR1 ! logging queue-limit 100 ! ip subnet-zero ! ip cef mpls ldp logging neighbor-changes tag-switching tdp router-id Loopback0 ! interface Loopback0 ip address 10.10.10.101 255.255.255.255 ! interface Serial0/1 ip address 10.10.10.1 255.255.255.252 tag-switching ip clockrate 72000 ! router ospf 100 log-adjacency-changes network 10.10.10.0 0.0.0.255 area 0 ! ip http server ip classless end LSR1#show ip route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks O 10.10.10.8/30 [110/192] via 10.10.10.2, 00:02:58, Serial0/1 C 10.10.10.0/30 is directly connected, Serial0/1 O 10.10.10.4/30 [110/128] via 10.10.10.2, 00:02:58, Serial0/1 O 10.10.10.104/32 [110/193] via 10.10.10.2, 00:02:58, Serial0/1 O 10.10.10.102/32 [110/65] via 10.10.10.2, 00:02:58, Serial0/1 O 10.10.10.103/32 [110/129] via 10.10.10.2, 00:02:58, Serial0/1 C 10.10.10.101/32 is directly connected, Loopback0 LSR1#show ip cef Prefix Next Hop Interface 0.0.0.0/0 drop Null0 (default route handler entry) 0.0.0.0/32 receive Trần Thị Tố Uyên 17
  18. VnPro – Cisco Authorized Training Center 10.10.10.0/30 attached Serial0/1 10.10.10.0/32 receive 10.10.10.1/32 receive 10.10.10.3/32 receive 10.10.10.4/30 10.10.10.2 Serial0/1 10.10.10.8/30 10.10.10.2 Serial0/1 10.10.10.101/32 receive 10.10.10.102/32 10.10.10.2 Serial0/1 10.10.10.103/32 10.10.10.2 Serial0/1 10.10.10.104/32 10.10.10.2 Serial0/1 224.0.0.0/4 drop 224.0.0.0/24 receive 255.255.255.255/32 receive LSR1#show cef int s0/1 Serial0/1 is up (if_number 5) Corresponding hwidb fast_if_number 5 Corresponding hwidb firstsw->if_number 5 Internet address is 10.10.10.1/30 ICMP redirects are always sent Per packet load-sharing is disabled IP unicast RPF check is disabled Inbound access list is not set Outbound access list is not set IP policy routing is disabled BGP based policy accounting is disabled Interface is marked as point to point interface Hardware idb is Serial0/1 Fast switching type 4, interface type 60 IP CEF switching enabled IP CEF Fast switching turbo vector Input fast flags 0x0, Output fast flags 0x0 ifindex 4(4) Slot 0 Slot unit 1 Unit 1 VC -1 Transmit limit accumulator 0x0 (0x0) IP MTU 1500 LSR1#show mpls interfaces Interface IP Tunnel Operational Serial0/1 Yes (tdp) No Yes LSR1#show mpls ldp discovery Local LDP Identifier: 10.10.10.101:0 Discovery Sources: Interfaces: Serial0/1 (tdp): xmit LSR2#show run ! Trần Thị Tố Uyên 18
  19. VnPro – Cisco Authorized Training Center hostname LSR2 ! logging queue-limit 100 ! memory-size iomem 10 ip subnet-zero ! ! ! ip cef mpls ldp logging neighbor-changes tag-switching tdp router-id Loopback0 ! interface Loopback0 ip address 10.10.10.102 255.255.255.255 ! interface Serial0/0 ip address 10.10.10.2 255.255.255.252 mpls label protocol ldp tag-switching ip ! interface Serial0/1 ip address 10.10.10.5 255.255.255.252 mpls label protocol ldp tag-switching ip ! router ospf 100 log-adjacency-changes network 10.10.10.0 0.0.0.255 area 0 ! end LSR2#show cdp nei Device ID Local Intrfce Holdtme Capability Platform Port ID LSR1 Ser 0/0 173 R 2610 Ser 0/1 LSR3 Ser 0/1 125 R 2610 Ser 0/1 LSR2#show ip route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks O 10.10.10.8/30 [110/128] via 10.10.10.6, 00:23:26, Serial0/1 C 10.10.10.0/30 is directly connected, Serial0/0 C 10.10.10.4/30 is directly connected, Serial0/1 O 10.10.10.104/32 [110/129] via 10.10.10.6, 00:23:26, Serial0/1 C 10.10.10.102/32 is directly connected, Loopback0 O 10.10.10.103/32 [110/65] via 10.10.10.6, 00:23:26, Serial0/1 O 10.10.10.101/32 [110/65] via 10.10.10.1, 00:23:26, Serial0/0 Trần Thị Tố Uyên 19
  20. VnPro – Cisco Authorized Training Center LSR2#show ip cef Prefix Next Hop Interface 0.0.0.0/0 drop Null0 (default route handler entry) 0.0.0.0/32 receive 10.10.10.0/30 attached Serial0/0 10.10.10.0/32 receive 10.10.10.2/32 receive 10.10.10.3/32 receive 10.10.10.4/30 attached Serial0/1 10.10.10.4/32 receive 10.10.10.5/32 receive 10.10.10.7/32 receive 10.10.10.8/30 10.10.10.6 Serial0/1 10.10.10.101/32 10.10.10.1 Serial0/0 10.10.10.102/32 receive 10.10.10.103/32 10.10.10.6 Serial0/1 10.10.10.104/32 10.10.10.6 Serial0/1 224.0.0.0/4 drop 224.0.0.0/24 receive 255.255.255.255/32 receive LSR2#show cef int s0/0 Serial0/0 is up (if_number 4) Corresponding hwidb fast_if_number 4 Corresponding hwidb firstsw->if_number 4 Internet address is 10.10.10.2/30 ICMP redirects are always sent Per packet load-sharing is disabled IP unicast RPF check is disabled Inbound access list is not set Outbound access list is not set IP policy routing is disabled BGP based policy accounting is disabled Interface is marked as point to point interface Hardware idb is Serial0/0 Fast switching type 4, interface type 60 IP CEF switching enabled IP CEF Fast switching turbo vector Input fast flags 0x0, Output fast flags 0x0 ifindex 3(3) Slot 0 Slot unit 0 Unit 0 VC -1 Transmit limit accumulator 0x0 (0x0) IP MTU 1500 LSR2#show cef int s0/1 Serial0/1 is up (if_number 5) Corresponding hwidb fast_if_number 5 Corresponding hwidb firstsw->if_number 5 Internet address is 10.10.10.5/30 Trần Thị Tố Uyên 20
  21. VnPro – Cisco Authorized Training Center ICMP redirects are always sent Per packet load-sharing is disabled IP unicast RPF check is disabled Inbound access list is not set Outbound access list is not set IP policy routing is disabled BGP based policy accounting is disabled Interface is marked as point to point interface Hardware idb is Serial0/1 Fast switching type 4, interface type 60 IP CEF switching enabled IP CEF Fast switching turbo vector Input fast flags 0x0, Output fast flags 0x0 ifindex 4(4) Slot 0 Slot unit 1 Unit 1 VC -1 Transmit limit accumulator 0x0 (0x0) IP MTU 1500 LSR2#show mpls int Interface IP Tunnel Operational Serial0/0 Yes (ldp) No Yes Serial0/1 Yes (ldp) No Yes LSR2#show mpls ldp dis Local LDP Identifier: 10.10.10.102:0 Discovery Sources: Interfaces: Serial0/0 (ldp): xmit Serial0/1 (ldp): xmit/recv LDP Id: 10.10.10.103:0 LSR2#show mpls ldp nei Peer LDP Ident: 10.10.10.103:0; Local LDP Ident 10.10.10.102:0 TCP connection: 10.10.10.103.11010 - 10.10.10.102.646 State: Oper; Ms LSR3#show run Building configuration Current configuration : 947 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname LSR3 ! logging queue-limit 100 Trần Thị Tố Uyên 21
  22. VnPro – Cisco Authorized Training Center ! ip subnet-zero ! ! ! ip cef mpls label protocol ldp mpls ldp logging neighbor-changes ! interface Loopback0 ip address 10.10.10.103 255.255.255.255 ! interface Serial0/0 ip address 10.10.10.9 255.255.255.252 tag-switching ip clockrate 72000 no fair-queue ! interface Serial0/1 ip address 10.10.10.6 255.255.255.252 tag-switching ip clockrate 72000 ! router ospf 100 log-adjacency-changes network 10.10.10.0 0.0.0.255 area 0 ! end LSR3#show ip route . Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks C 10.10.10.8/30 is directly connected, Serial0/0 O 10.10.10.0/30 [110/128] via 10.10.10.5, 00:11:19, Serial0/1 C 10.10.10.4/30 is directly connected, Serial0/1 O 10.10.10.104/32 [110/65] via 10.10.10.10, 00:11:19, Serial0/0 O 10.10.10.102/32 [110/65] via 10.10.10.5, 00:11:19, Serial0/1 C 10.10.10.103/32 is directly connected, Loopback0 O 10.10.10.101/32 [110/129] via 10.10.10.5, 00:11:19, Serial0/1 LSR3# show cdp nei Device ID Local Intrfce Holdtme Capability Platform Port ID LSR4 Ser 0/0 131 R 2610 Ser 0/1 LSR2 Ser 0/1 178 R 2610 Ser 0/1 LSR3#show ip cef Prefix Next Hop Interface Trần Thị Tố Uyên 22
  23. VnPro – Cisco Authorized Training Center 0.0.0.0/0 drop Null0 (default route handler entry) 0.0.0.0/32 receive 10.10.10.0/30 10.10.10.5 Serial0/1 10.10.10.4/30 attached Serial0/1 10.10.10.4/32 receive 10.10.10.6/32 receive 10.10.10.7/32 receive 10.10.10.8/30 attached Serial0/0 10.10.10.8/32 receive 10.10.10.9/32 receive 10.10.10.11/32 receive 10.10.10.101/32 10.10.10.5 Serial0/1 10.10.10.102/32 10.10.10.5 Serial0/1 10.10.10.103/32 receive 10.10.10.104/32 10.10.10.10 Serial0/0 224.0.0.0/4 drop 224.0.0.0/24 receive 255.255.255.255/32 receive LSR3#show cef int s0/0 Serial0/0 is up (if_number 4) Corresponding hwidb fast_if_number 4 Corresponding hwidb firstsw->if_number 4 Internet address is 10.10.10.9/30 ICMP redirects are always sent Per packet load-sharing is disabled IP unicast RPF check is disabled Inbound access list is not set Outbound access list is not set IP policy routing is disabled BGP based policy accounting is disabled Interface is marked as point to point interface Hardware idb is Serial0/0 Fast switching type 4, interface type 60 IP CEF switching enabled IP CEF Fast switching turbo vector Input fast flags 0x0, Output fast flags 0x0 ifindex 3(3) Slot 0 Slot unit 0 Unit 0 VC -1 Transmit limit accumulator 0x0 (0x0) IP MTU 1500 LSR3#show cef int s0/1 Serial0/1 is up (if_number 5) Corresponding hwidb fast_if_number 5 Corresponding hwidb firstsw->if_number 5 Internet address is 10.10.10.6/30 ICMP redirects are always sent Per packet load-sharing is disabled IP unicast RPF check is disabled Trần Thị Tố Uyên 23
  24. VnPro – Cisco Authorized Training Center Inbound access list is not set Outbound access list is not set IP policy routing is disabled BGP based policy accounting is disabled Interface is marked as point to point interface Hardware idb is Serial0/1 Fast switching type 4, interface type 60 IP CEF switching enabled IP CEF Fast switching turbo vector Input fast flags 0x0, Output fast flags 0x0 ifindex 4(4) Slot 0 Slot unit 1 Unit 1 VC -1 Transmit limit accumulator 0x0 (0x0) IP MTU 1500 LSR3#show mpls interfaces Interface IP Tunnel Operational Serial0/0 Yes (ldp) No Yes Serial0/1 Yes (ldp) No Yes LSR3#show mpls ldp dis Local LDP Identifier: 10.10.10.103:0 Discovery Sources: Interfaces: Serial0/0 (ldp): xmit/recv LDP Id: 10.10.10.104:0 Serial0/1 (ldp): xmit/recv LDP Id: 10.10.10.102:0 LSR3#show mpls ldp nei Peer LDP Ident: 10.10.10.102:0; Local LDP Ident 10.10.10.103:0 TCP connection: 10.10.10.102.646 - 10.10.10.103.11010 State: Oper; Msgs sent/rcvd: 53/49; Downstream Up time: 00:32:45 LDP discovery sources: Serial0/1, Src IP addr: 10.10.10.5 Addresses bound to peer LDP Ident: 10.10.10.102 10.10.10.2 10.10.10.5 Peer LDP Ident: 10.10.10.104:0; Local LDP Ident 10.10.10.103:0 TCP connection: 10.10.10.104.11004 - 10.10.10.103.646 State: Oper; Msgs sent/rcvd: 24/24; Downstream Up time: 00:12:43 LDP discovery sources: Serial0/0, Src IP addr: 10.10.10.10 Addresses bound to peer LDP Ident: 10.10.10.104 10.10.10.10 LSR4#show run Building configuration ! Trần Thị Tố Uyên 24
  25. VnPro – Cisco Authorized Training Center version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname LSR4 ! logging queue-limit 100 ! memory-size iomem 10 ip subnet-zero ! ip cef mpls label protocol ldp mpls ldp logging neighbor-changes ! interface Loopback0 ip address 10.10.10.104 255.255.255.255 ! interface Serial0/1 ip address 10.10.10.10 255.255.255.252 tag-switching ip ! router ospf 100 log-adjacency-changes network 10.10.10.0 0.0.0.255 area 0 ! end LSR4#show cdp nei Device ID Local Intrfce Holdtme Capability Platform Port ID LSR3 Ser 0/1 159 R 2610 Ser 0/0 LSR4#show ip route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks C 10.10.10.8/30 is directly connected, Serial0/1 O 10.10.10.0/30 [110/192] via 10.10.10.9, 00:13:46, Serial0/1 O 10.10.10.4/30 [110/128] via 10.10.10.9, 00:13:46, Serial0/1 C 10.10.10.104/32 is directly connected, Loopback0 O 10.10.10.102/32 [110/129] via 10.10.10.9, 00:13:46, Serial0/1 O 10.10.10.103/32 [110/65] via 10.10.10.9, 00:13:46, Serial0/1 O 10.10.10.101/32 [110/193] via 10.10.10.9, 00:13:46, Serial0/1 LSR4#show ip cef Prefix Next Hop Interface 0.0.0.0/0 drop Null0 (default route handler entry) 0.0.0.0/32 receive Trần Thị Tố Uyên 25
  26. VnPro – Cisco Authorized Training Center 10.10.10.0/30 10.10.10.9 Serial0/1 10.10.10.4/30 10.10.10.9 Serial0/1 10.10.10.8/30 attached Serial0/1 10.10.10.8/32 receive 10.10.10.10/32 receive 10.10.10.11/32 receive 10.10.10.101/32 10.10.10.9 Serial0/1 10.10.10.102/32 10.10.10.9 Serial0/1 10.10.10.103/32 10.10.10.9 Serial0/1 10.10.10.104/32 receive 224.0.0.0/4 drop 224.0.0.0/24 receive 255.255.255.255/32 receive LSR4#show cef int s0/1 Serial0/1 is up (if_number 5) Corresponding hwidb fast_if_number 5 Corresponding hwidb firstsw->if_number 5 Internet address is 10.10.10.10/30 ICMP redirects are always sent Per packet load-sharing is disabled IP unicast RPF check is disabled Inbound access list is not set Outbound access list is not set IP policy routing is disabled BGP based policy accounting is disabled Interface is marked as point to point interface Hardware idb is Serial0/1 Fast switching type 4, interface type 60 IP CEF switching enabled IP CEF Fast switching turbo vector Input fast flags 0x0, Output fast flags 0x0 ifindex 4(4) Slot 0 Slot unit 1 Unit 1 VC -1 Transmit limit accumulator 0x0 (0x0) IP MTU 1500 LSR4#show mpls int Interface IP Tunnel Operational Serial0/1 Yes (ldp) No Yes LSR4#show mpls ldp dis Local LDP Identifier: 10.10.10.104:0 Discovery Sources: Interfaces: Serial0/1 (ldp): xmit/recv LDP Id: 10.10.10.103:0 LSR4#show mpls ldp nei Peer LDP Ident: 10.10.10.103:0; Local LDP Ident 10.10.10.104:0 TCP connection: 10.10.10.103.646 - 10.10.10.104.11004 Trần Thị Tố Uyên 26
  27. VnPro – Cisco Authorized Training Center State: Oper; Msgs sent/rcvd: 26/26; Downstream Up time: 00:14:34 LDP discovery sources: Serial0/1, Src IP addr: 10.10.10.9 Addresses bound to peer LDP Ident: 10.10.10.103 10.10.10.6 10.10.10.9 Trần Thị Tố Uyên 27
  28. VnPro – Cisco Authorized Training Center Chương 3: TỔNG QUAN VỀ MPLS VPN Tổng quan về VPN VPN được giới thiệu để cho phép các nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng công cộng có sẵn để thực thi các kết nối point-to-point giữa các site khách hàng. Một mạng khách hàng thực thi với bất kỳ công nghệ VPN nào sẽ nằm trong vùng điều khiển của khách hàng được gọi là các site khách hàng, các site này được kết nối với nhau thông qua mạng của nhà cung cấp dịch vụ (SP – service provider). Trong các mạng dựa trên bộ định tuyến truyền thống (traditional router-based network), các site khác nhau của cùng khách hàng được kết nối với nhau bằng các kết nối point-to-point chuyên dụng (lease line, Frame Relay, ). Chi phí thực hiện phụ thuộc vào số lượng site khách hàng. Các site kết nối dạng full mesh sẽ làm gia tăng chi phí theo cấp số mũ. Frame Relay và ATM là những công nghệ đi đầu thích hợp thực thi VPN. Các mạng này bao gồm các thiết bị khác nhau thuộc về khách hàng hoặc nhà cung cấp dịch vụ, đó là các thành phần của giải pháp VPN. Nhìn chung, VPN gồm các vùng sau: - Mạng khách hàng (Customer network) – gồm các router tại các site khách hàng khác nhau. Các router kết nối các site cá nhân với mạng của nhà cung cấp được gọi là các router biên phía khách hàng (CE – customer edge). - Mạng nhà cung cấp (Provider network) – được dùng để cung cấp các kết nối point-to-point qua hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà cung cấp dịch vụ mà nối trực tiếp vối CE router được gọi là router biên phía nhà cung cấp (PE – Provifer edge). Mạng của nhà cung cấp còn có các thiết bị dùng để chuyển tiếp dữ liệu trong mạng trục (SP backbone) được gọi là các rouer nhà cung cấp (P - Provider). Dựa trên sự tham gia của nhà cung cấp dịch vụ trong việc định tuyến cho khách hàng, VPN có thể chia thành hai loại mô hình: Overlay và Peer-to-peer. Khi Frame Relay và ATM cung cấp cho khách hàng các mạng riêng, nhà cung cấp không thể tham gia vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận chuyển dữ liệu qua các kết nối point-to-point ảo. Như vậy nhà cung cấp chỉ cung cấp cho khách hàng kết nối ảo tại lớp 2; Đó là mô hình Overlay. Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì được gọi là mạch ảo cố định (PVC – permanent virtual circuit). Nếu mạch ảo được thiết lập theo yêu cầu (on-demand) thì được gọi là mạch ảo chuyển đổi (SVC – switch virtual circuit). Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối dạng full mesh (ngoại trừ triển khai dạng hub-and-spoke hay partial hub-and-spoke). Nếu có N site khách hàng thì tổng số lượng mạch ảo cần thiết cho việc tối ưu định tuyến là N(N-1)/2. Ban đầu Overlay VPN được thực thi bởi SP để cung cấp các kết nối lớp 1 (physical layer) hay mạch chuyển vận lớp 2 (dữ liệu dạng frame hoặc cell) giữa các site khách hàng bằng cách sử dụng các thiết bị Frame Relay hay ATM switch làm PE. Do đó nhà cung cấp dịch vụ không thể nhận biết được việc định tuyến ở phía khách hàng. Sau đó, Overlay VPN thực thi các dịch vụ qua IP (lớp 3) với các giao thức định đường hầm như L2TP, GRE, và IPSec. Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt đối với khách hàng, và các giao thức định tuyến chạy trực tiếp giữa các router của khách hàng. Trần Thị Tố Uyên 28
  29. VnPro – Cisco Authorized Training Center Mô hình ngang cấp (peer-to-peer) được phát triển để khắc phục nhược điểm của mô hình Overlay và cung cấp cho khách hàng cơ chế vận chuyển tối ưu qua SP backbone. Do đó nhà cung cấp dịch vụ có thể tham gia vào việc định tuyến của khách hàng. Trong mô hình peer-to-peer, thông tin định tuyến được trao đổi giữa các router khách hàng và các router của nhà cung cấp dịch vụ, dữ liệu của khách hàng được vận chuyển qua mạng lõi của nhà cung cấp. Thông tin định tuyến của khách hàng được mang giữa các router trong mạng của nhà cung cấp (P và PE), và mạng khách hàng (các CE router). Mô hình này không yêu cầu tạo ra mạch ảo. Quan sát hình trên ta thấy, các CE router trao đổi tuyến với các router PE trong SP domain. Thông tin định tuyến của khách hàng được quảng bá qua SP backbone giữa các PE và P và xác định được đường đi tối ưu từ một site khách hàng đến một site khác. Việc phát hiện các thông tin định tuyến riêng của khác hàng đạt được bằng cách thực hiện lọc gói tại các router kết nối với mạng khách hàng. Địa chỉ IP của khách hàng do nhà cung cấp kiểm soát. Tiến trình này xem như là thực thi các PE peer-topeer chia sẻ (shared PE peer-to-peer). Hình sau mô tả những việc triển khai mô hình peer-to-peer. Trần Thị Tố Uyên 29
  30. VnPro – Cisco Authorized Training Center Kiến trúc và thuật ngữ trong MPLS VPN Trong kiến trúc mạng MPLS VPN, các router biên mang thông tin định tuyến khách hàng, cung cấp định tuyến tối ưu cho lưu lượng giữa các site của khách hàng. Mô hình MPLS-based VPN cũng giúp cho khách hàng sử dụng không gian địa chỉ trùng lắp (overlapping address spaces), không giống như mô hình peer-to-peer truyền thống trong việc định tuyến lưu lượng khách hàng yêu cầu nhà cung cấp phải gán địa chỉ IP riêng cho mỗi khách hàng (hoặc khách hàng phải thực hiên NAT) để tránh trùng lắp không gian địa chỉ. MPLS VPN là một dạng thực thi đầy đủ của mô hình peer-to-peer; MPLS VPN backbone và các site khách hàng trao đổi thông tin định tuyến lớp 3, và dữ liệu được chuyển tiếp giữa các site khách hàng sử dụng MPLS-enable SP IP backbone. Miền (domain) MPLS VPN, giống như VPN truyền thống, gồm mạng của khách hàng và mạng của nhà cung cấp. Mô hình MPLS VPN giống với mô hình router PE dành riêng (dedicated PE router model) trong các dạng thực thi VPN ngang cấp peer-to-peer VPN. Tuy nhiên, thay vì triển khai các router PE khác nhau cho từng khách hàng, lưu lượng khách hàng được tách riêng trên cùng router PE nhằm cung cấp khả năng kết nối vào mạng của nhà cung cấp cho nhiều khách hàng. Các thành phần của một MPLS VPN được trình bày trong hình sau: Các thành phần chính của kiến trúc MPLS VPN: Mạng khách hàng – thường là miền điều khiển của khách hàng gồm các thiết bị hay các router trải rộng trên nhiều site của cùng một khách hàng. Các router CE – là những router trong mạng khách hàng giao tiếp với mạng của nhà cung cấp. Ở hình trên, mạng khách hàng của CustomerA gồm các router CE1-A, CE2-A và các thiết bị trong Site 1 và Site 2 của CustomerA. Các router CE của Customer A là CE1-A và CE2-A, và router CE của Customer B là CE1-B và CE2-B. Trần Thị Tố Uyên 30
  31. VnPro – Cisco Authorized Training Center Mạng của nhà cung cấp – miền thuộc điều khiển của nhà cung cấp gồm các router biên (edge) và lõi (core) để kết nối các site thuộc vào các khách hàng trong một hạ tầng mạng chia sẻ. Các router PE – là các router trong mạng của nhà cung cấp giao tiếp với router biên của khách hàng. Các router P – router trong lõi của mạng, giao tiếp với các router lõi khác hoặc router biên của nhà cung cấp. Trong hình trên, mạng của nhà cung cấp gồm các router PE1, PE2, P1, P2, P3, và P4. PE1 và PE2 là router biên của nhà cung cấp trong miền MPLS VPN cho khách hàng A và B. Router P1, P2, P3 và P4 là các router nhà cung cấp (provider router). Mô hình định tuyến MPLS VPN MPLS VPN giống như mô hình mạng ngang cấp với router dành riêng. Từ một router CE, chỉ cập nhật IPv4, dữ liệu được chuyển tiếp đến router PE. CE không cần bất kỳ một cấu hình riêng biệt nào cho phép nó tham gia vào miền MPLS VPN. Yêu cầu duy nhất trên CE là một giao thức định tuyến (hay tuyến tĩnh(static)/tuyến ngầm định (default)) cho phép nó trao đổi thông tin định tuyến IPv4 với các router PE. Trong mô hình MPLS VPN, router PE thực hiện rất nhiều chức năng. Trước tiên nó phải phân tách lưu lượng khách hàng nếu có nhiều hơn một khách hàng kết nối tới nó. Vì thế, mỗi khách hàng được gắn với một bảng định tuyến độc lập. Định tuyến qua SP backbone thực hiện bằng một tiến trình định tuyến trong bảng định tuyến toàn cục. Router P cung cấp chuyển mạch nhãn giữa các router biên của nhà cung cấp và không biết đến các tuyến VPN. Các router CE trong mạng khách hàng không nhận biết được các router P và do đó cấu trúc mạng nội bộ của mạng SP trong suốt đối với khách hàng. Hình sau mô tả chức năng của router PE. VRF - Virtual Routing and Forwarding Table Khách hàng được phân biệt trên router PE bằng các bảng định tuyến ảo (virtual routing tables) hoặc các instance, còn được gọi là VRF (virtual routing and forwarding tables/instances). Thực chất nó giống như duy trì nhiều router riêng biệt cho các khách hàng kết nối vào mạng của nhà cung cấp. chức năng của VRF giống như một bản định tuyến toàn cục, ngoại trừ việc nó chứa mọi tuyến liên quan đến một VPN cụ thể. VRF cũng chứa một bảng chuyển tiếp CEF cho VRF riêng biệt (VRF- specific CEF forwarding table) tương ứng với bảng CEF toàn cục xác định các yêu cầu kết nối và các giao thức cho mỗi site khách hàng kết nối trên một router PE. VRF xác định bối cảnh (context) giao thức định tuyến tham gia vào một VPN cụ thể cũng như giao tiếp trên router PE cục bộ tham gia vào VPN, nghĩa là sử dụng VRF. Giao tiếp tham gia vào VRF phải hỗ trợ chuyển mạch CEF. Một VRF có thể gồm một giao tiếp (logical hay physical) hoặc nhiều giao tiếp trên một router. Trần Thị Tố Uyên 31
  32. VnPro – Cisco Authorized Training Center VRF chứa một bảng định tuyến IP tương ứng với bảng định tuyến IP toàn cục, một bảng CEF, liệt kê các giao tiếp tham gia vào VRF, và một tập hợp các nguyên tắc xác định giao thức định tuyến trao đổi với các router CE (routing protocol contexts). VRF còn chứa các định danh VPN (VPN identifier) như thông tin thành viên VPN (RD và RT). Hình sau cho thấy chức năng của VRF trên một touter PE thực hiện tách tuyến khách hàng. Cisco IOS hỗ trợ các giao thức định tuyến khác nhau như những tiến trình định tuyến riêng biệt (OSPF, EIGRP, ) trên router. Tuy nhiên, một số giao thức như RIP và BGP, IOS chỉ hỗ trợ một instance của giao thức định tuyến. Do đó, thực thi định tuyến VRF bằng các giao thức này phải tách riêng hoàn toàn các VRF với nhau. Bối cảnh định tuyến (routing context) được thiết kế để hỗ trợ các bản sao của cùng giao thức định tuyến VPN PE-CE. Các bối cảnh định tuyến này có thể được thực thi như các tiến trình riêng biệt (OSPF), hay như nhiều instance của cùng một giao thức định tuyến (BGP, RIP, ). Nếu nhiều instance của cùng một giao thức định tuyến được sử dụng thì mỗi instance có một tập các tham số của riêng nó. Hiện tại, Cisco IOS hỗ trợ RIPv2, EIGRP, BGPv4 (nhiều instance), và OSPFv2 (nhiều tiến trình) được dùng cho VRF để trao đổi thông tin định tuyến giữa CE và PE. Chú ý: các giao tiếp VRF có thể là luận lý (logical) hoặc vật lý (physical) nhưng mỗi giao tiếp chỉ được gán với một VRF. Route Distinguisher, Route Targets, MP-BGP, và Address Families Trong mô hình MPLS VPN, router PE phân biệt các khách hàng bằng VRF. Tuy nhiên, thông tin này cần được mang theo giữa các router PE để cho phép truyền dữ liệu giữa các site khách hàng qua MPLS VPN backbone. Router PE phải có khả năng thực thi các tiến trình cho phép các mạng khách hàng kết nối vào có không gian địa chỉ trùng lắp (overlapping address spaces). Router PE học các tuyến này từ các mạng khách hàng và quảng bá thông tin này bằng mạng trục chia sẻ của nhà cung cấp (shared provider backbone). Điều này thực hiện bằng việc kết hợp với RD (route distinguisher) trong bảng định tuyến ảo (virtual routing table) trên một router PE. RD là một định danh 64-bit duy nhất, thêm vào trước 32-bit địa chỉ tuyến được học từ router CE tạo thành địa chỉ 96-bit duy nhất có thể được chuyển vận giữa các router PE trong miền MPLS. Do đó chỉ duy nhất một RD được cấu hình cho 1 VRF trên router Trần Thị Tố Uyên 32
  33. VnPro – Cisco Authorized Training Center PE. Địa chỉ 96-bit cuối cùng (tổng hợp của 32-bit địa chỉ khách hàng và 64-bit RD) được gọi là một địa chỉ VPNv4. Địa chỉ VPNv4 trao đổi giữa các router PE trong mạng nhà cung cấp. RD có thể có hai định dạng: dạng địa chỉ IP hoặc chỉ số AS. Hình bên dưới cho thấy hai khách hàng có địa chỉ mạng giống nhau, 172.16.10.0/24, được phân biệt nhờ vào các giá trị RD khác nhau, 1:100 và 1:101, ưu tiên quảng bá địa chỉ VPNv4 trên router PE. Giao thức dùng để trao đổi các tuyến VPNv4 giữa các PE là multiprotocol BGP (MP- BGP). IGP yêu cầu duy trì iBGP (internal BGP) khi thực thi MPLS VPN. Do đó, PE phải chạy một IGP cung cấp thông tin NLRI cho iBGP nếu cả hai PE cùng trong một AS. Hiện tại, Cisco hỗ trợ cả OSPFv2 và ISIS trong mạng nhà cung cấp như là IGP. MP-BGP cũng chịu trách nhiệm chỉ định nhãn VPN. Khả năng mở rộng là lý do chính chọn BGP làm giao thức mang thông tin định tuyến khách hàng. Hơn nữa, BGP cho phép sử dụng địa chỉ VPNv4 trong môi trường MPLS VPN với dãy địa chỉ trùng lắp cho nhiều khách hàng. Một phiên làm việc MP-BGP giữa các PE trong một BGP AS được gọi là MP-iBGP session và kèm theo các nguyên tắc thực thi của iBGP liên quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi phạm vi một AS, các VPNv4 sẽ trao đổi giữa các AS tại biên bằng MP-eBGP session. Route targets (RT) là những định danh dùng trong MPLS VPN domain khi triển khai MPLS VPN nhằm xác định thành viên VPN của các tuyến được học từ các site cụ thể. RT được thực thi bởi các BGP community mở rộng sử dụng 16 bit cao của BGP ecxtended community (64 bit) mã hóa với một gía trị tương ứng với thành viên VPN của site cụ thể. Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính community mở rộng cho VPN router target được kết hợp với nó. Export RT dùng để xác định thành viên VPN và được kết lớp với mỗi VRF. Export RT được nối thêm vào địa chỉ khách hàng khi chuyển thành địa chỉ VPNv4 bởi PE và quảng bá trong các cập nhật MP-BGP. Import RT kết hợp với mỗi VRF và xác định các tuyến VPNv4 được thêm vào VRF cho khách hàng cụ thể. Định dạng của RT Trần Thị Tố Uyên 33
  34. VnPro – Cisco Authorized Training Center giống như giá trị RD. Sự tương tác của RT và giá trị RD trong MPLS VPN domain khi cập nhật được chuyển thành cập nhật MP-BGP như hình sau. Khi thực thi các cấu trúc mạng VPN phức tạp (như: extranet VPN, Internet access VPNs, network management VPN, ) sử dụng công nghệ MPLS VPN thì RT giữ vai trò nồng cốt. Một địa chỉ mạng có thể được kết hợp với một hoặc nhiều export RT khi quảng bá qua mạng MPLS VPN. Như vậy, RT có thể kết hợp với nhiều site thành viên của nhiều VPN. Các tiến trình xảy ra trong suốt quá trình quảng bá tuyến ở hình trên như sau: Mạng 172.16.10.0/24 được nhận từ CE1-A, tham gia vào VRF CustomerA trên PE1- AS1. PE1 kết hợp một giá trị RD 1:100 và một giá trị export RT 1:100 khi cấu hình cho VRF trên router PE1-AS1. Các tuyến học từ CE1-A được phân phối vào tiến trình MP-BGP trên PE1-AS1 với prefix 172.16.10.0/24 và thêm vào đầu giá trị RD 1:100 và nối thêm export RT 1:100 để gửi đi địa chỉ VPNv4 khi tham gia cập nhật MP- iBGP giữa các PE. Nhãn VPN (3 byte) được gán cho mỗi địa chỉ học từ các tiến trình của CE kết nối trong một VRF từ tiến trình MP-BGP của PE. MP-BGP chạy trong miền MPLS của nhà cung cấp dịch vụ nên mang theo địa chỉ VPNv4 (Ipv4 + RD) và BGP RT. Lưu ý: RT là cấu hình bắt buộc trong một MPLS VPN cho mọi VRF trên một router, giá trị RT có thể được dùng để thực thi trên cấu trúc mạng VPN phức tạp, trong đó một site có thể tham gia vào nhiều VPN. Giá trị RT còn có thể dùng để chọn tuyến nhập vào VRF khi các tuyến VPNv4 được học trong các cập nhật MP-iBGP. Nhãn VPN chỉ được hiểu bởi egress PE (mặt phẳng dữ liệu) kết nối trực tiếp với CE quảng bá mạng đó. Các trạm kế (next hop) phải được học từ IGP khi thực thi MPLS VPN chứ không phải quảng cáo từ tiến trình BGP. Trong hình trên nhãn VPN được mô tả bằng trường V1 và V2. Trần Thị Tố Uyên 34
  35. VnPro – Cisco Authorized Training Center Cập nhật MP-BGP được nhận bởi PE2 và tuyến được lưu trữ trong bảng VRF tương ứng cho Customer A dựa trên nhãn VPN. Các tuyến MP-BGP nhận được được phân phối vào các tiến trình định tuyến VRF PE-CE, và tuyến được quảng bá tới CE2-A. Các thuộc tính commynity BGP mở rộng khác như SoO (site of origin) có thể dùng chủ yếu trong quảng bá cập nhật MP-iBGP. Thuộc tính SoO được dùng để xác định site cụ thể từ tuyến học được của PE và ứng dụng trong việc chống vòng lặp tuyến (routing loop) vì nó xác định được nguồn của site nên có thể ngăn việc quảng cáo lại mạng cho site đã gửi quảng cáo đó. SoO xác định duy nhất một site từ một tuyến mà PE học được. SoO cho phép lọc lưu lượng dựa trên site mà lưu lượng đó xuất phát. Khả năng lọc của SoO giúp quản trị lưu lượng MPLS VPN và chống vòng lặp tuyến xảy ra trong cấu trúc mạng hỗn hợp và phức tạp, các site khách hàng trong đó có thể xử lý các kết nối qua MPLS VPN backbone như các kết nối cửa sau (backdoor link) giữa các site. Khi thực thi một MPLS VPN, mọi VPN site thuộc vào một khách hàng có thể liên lạc với mọi site trong cùng miền của khách hàng đó được gọi là VPN đơn giản hay intranet VPN. RT có thể được sử dụng để thực hiện cấu trúc VPN phức tạp, các site của một khách hàng có thể truy cập đến site của các khách hàng khác. Dạng thực thi này được gọi là extranet VPN. Các biến thể của extranet VPN như network management VPN, central services VPN và Internet access VPN có thể được triển khai. Address family là một khái niệm quan trọng trong hoạt động của MP-BGP cho phép chuyển vận các tuyến VPNv4 với các thuộc tính community mở rộng. Theo RFC 2283 “Multiprotocol Extensions for BGP-4”, BGPv4 chỉ có khả năng mang thông tin định tuyến thuộc vào IPv4. BGP-4 có thể mang thông tin của nhiều giao thức lớp mạng. BGP-4 hỗ trợ định tuyến cho nhiều giao thức lớp mạng, BGP-4 phải đăng ký (account) một giao thức lớp mạng cụ thể liên quan đế một trạm kế (next hop) như NLRI (network layer reachability information). Hai thuộc tính mới được thêm vào của BGP là MP_REACH_NLRI (Multiprotocol Reachable NLRI ) và MP_UNREACH_NLRI (Multiprotocol Unreachable NLRI). MP_REACH_NLRI mang một tập các đích đến được (reachable destination) với thông tin trạm kế được dùng để chuyển tiếp cho các đích đến này. MP_UNEACH_NLRI mang một tập các đích không đến được. Cả hai thuộc tính này là optional và nontransitive. Vì thế, một BGP speaker không hỗ trợ tính năng đa giao thức này sẽ bỏ qua thông tin được mang trong các thuộc tính này và sẽ không chuyển nó đến các BGP speaker khác. Một address family là một giao thức lớp mạng được định nghĩa. Một định danh họ địa chỉ (AFI – address family identifier) mang một định danh của giao thức lớp mạng kết hợp với địa chỉ mạng trong thuộc tính đa giao thức của BGP. AFI cho các giao thức lớp mạng được xác định trong RFC 1700, ‘Assigned Numbers’. PE thực chất là một LER biên (Edge LSR) và thực hiện tất cả chức năng của một Edge LSR. PE yêu cầu LDP cho việc gán và phân phối nhãn cũng như chuyển tiếp các gói được gắn nhãn. Cộng thêm các chức năng của một Edge LSR, PE thực thi một giao thức định tuyến (hay định tuyến tĩnh) với các EC trong một bảng định tuyến ảo (virtual routing table) và yêu cầu MP-BGP quảng bá các mạng học được từ CE như các VPNv4 trong MP-iBGP đến các PE khác bằng nhãn VPN. Router P cần chạy một IGP (OSPF hoặc ISIS) khi MPLS cho phép chuyển tiếp các gói được gán nhãn (mặt phẳng dữ liệu – data plane) giữa các PE. IGP quảng bá các NLRI đến các P và PE để thực thi một MP—iBGP session giữa các PE (mặt phẳng điều khiển – control plane). LDP chạy trên các router P để gán và phân phối nhãn. Trần Thị Tố Uyên 35
  36. VnPro – Cisco Authorized Training Center Hoạt động của mặt phẳng điều khiển MPLS VPN Mặt phẳng điều khiển trong MPLS VPN chứa mọi thông tin định tuyến lớp 3 và các tiến trình trao đổi thông tin của các IP prefix được gán và phân phối nhãn bằng LDP. Mặt phẳng dữ liệu thực hiện chức năng chuyển tiếp các gói IP được gán nhãn đến trạm kế để về đích. Hình sau cho thấy sự tương tác của các giao thức trong mặt phẳng điều khiển của MPLS VPN. Các router CE được kết nối với các PE, và một IGP, BGP, hay tuyến tĩnh (static route) được yêu cầu trên các CE cùng với các PE để thu thập và quảng cáo thông tin NLRI. Trong MPLS VPN backbone gồm các router P và PE, một IGP kết hợp với LDP được sử dụng giữa các PE và P. LDP dùng để phân phối nhãn trong một MPLS domain. IGP dùng để trao đổi thông tin NLRI, ánh xạ (map) các NLRI này vào MP- BGP. MP-BGP được duy trì giữa các PE trong một miền MPLS VPN và trao đổi cập nhật MP-BGP. Các gói từ CE đến PE luôn được quảng bá như các gói Ipv4. Hoạt động của mặt phẳng điều khiển MPLS VPN như hình sau: Trần Thị Tố Uyên 36
  37. VnPro – Cisco Authorized Training Center Sau đây là các bước hoạt động của mặt phẳng điều khiển MPLS VPN (minh họa bằng hình trên): Cập nhật Ipv4 cho mạng 172.16.10.0 được nhận bởi egress PE (mặt phẳng dữ liệu). PE1-AS1 nhận và vận chuyển tuyến Ipv4, 172.16.10.0/24, đến một tuyến VPNv4 gắn với RD 1:100, SoO, và RT 1:100 dựa trên cấu hình VRF trên PE1-AS1. Nó định vị một nhãn VPNv4 V1 tới cập nhật 172.16.10.0/24 và viết lại thuộc tính trạm kế cho địa chỉ 10.10.10.101 của loopback0 trên PE1-AS1. Sự quảng bá nhãn cho 10.10.10.101/32 từ PE1-AS1 tới PE2-AS2 nhanh chóng được thay thế ngay khi mạng MPLS VPN của nhà cung cấp được thiết lập và thực hiện quảng bá VPNv4 trong mạng. Các bước sau thực hiện tiến trình quảng bá nhãn cho 10.10.10.101/32:  2a: Router PE2-AS1 yêu cầu một nhãn cho 10.10.10.101/32 sử dụng LDP ánh xạ nhãn yêu cầu từ láng giềng xuôi dòng (downstream neighbor) của nó, P1- AS1. PE1-AS1 xác định một nhãn implicit-null cho 10.10.10.101/32, chỉnh sửa mục trong LFIB liên quan đến 10.10.10.101/32, và gửi đến P1-AS1 bằng LDP reply.  2b: P1-AS1 sử dụng nhãn implicit-null nhận được từ PE1-AS1 làm giá trị nhãn xuất (outbound label) của nó, xác định một nhãn (L1) cho 10.10.10.101/32, và sửa mục trong LFIB cho 10.10.10.101/32. Sau đó P1-AS1 gửi giá trị nhãn này đến P2-AS1 bằng LDP reply.  2c: P2-AS1 dùng nhãn L1 làm giá trị nhãn xuất, xác định nhãn L2 cho 10.10.10.101/32, và sửa mục trong LFIB cho 10.10.10.101/32. Sau đó P2-AS1 gửi giá trị nhãn này đến PE2-AS1 bằng LDP reply. PE1-AS1 có cấu hình VRF để nhận các tuyến với RT 1:100 nên chuyển cập nhật VPNv4 thành Ipv4 và chèn tuyến trong VRF cho Customer A. Sau đó nó quảng bá tuyến này tới CE2-A. Hoạt động của mặt phẳng dữ liệu MPLS VPN Việc chuyển tiếp trong mạng MPLS VPN đòi hỏi phải dùng chồng nhãn (label stack). Nhãn trên (top lable) được gán và hoán đổi (swap) để chuyển tiếp gói dữ liệu đi trong lõi MPLS. Nhãn thứ hai (nhãn VPN) được kết hợp với VRF ở router PE để chuyển tiếp gói đến các CE. Hình sau mô tả các bước trong chuyển tiếp dữ liệu khách hàng của mặt phẳng dữ liệu từ một site khách hàng CE2-A tới CE1-A trong hạ tầng mạng của SP. Trần Thị Tố Uyên 37
  38. VnPro – Cisco Authorized Training Center Khi dữ liệu được chuyển tiếp tới một mạng cụ thể dọc theo mạng VPN qua lõi MPLS, chỉ có nhãn trên (top lable) trong chồng nhãn bị hoán đổi (swap) khi gói đi qua backbone. Nhãn VPN vẫn giữ nguyên và được bóc ra khi đến router PE ngõ ra (egress)/xuôi dòng(downstream). Mạng gắn với một giao tiếp ngõ ra thuộc vào một VRF cụ thể trên router phụ thuộc vào giá trị của nhãn VPN. Sau đây là những bước trong vịêc chuyển tiếp của mặt phẳng dữ liệu minh họa cho hình trên: CE2-A tạo ra một gói dữ liệu với địa chỉ nguồn 172.16.20.1 và đích là 172.16.10.1. PE2-AS1 nhận gói dữ liệu, thêm vào nhãn VPN V1 và nhãn LDP L2 rồi chuyển tiếp gói đến P2-AS1. P2-AS1 nhận gói dữ liệu và chuyển đổi (swap) nhãn LDP L2 thành L1. P1-AS1 nhận gói dữ liệu và bóc (pop) nhãn trên (top label) ra vì nó nhận một ánh xạ nhãn implicit-null cho 10.10.10.101/32 từ PE1-AS1. Kết quả, gói được gán nhãn (nhãn VPN là V1) được chuyển tiếp đến PE1-AS1. PE1-AS1 bóc nhãn VPN V1 ra và chuyển tiếp gói dữ liệu đến CE1-A nơi có địa chỉ mạng 172.16.10.0 được định vị. Cấu hình MPLS VPN cơ bản Mô tả Cấu hình cho router CE Cấu hình trao đổi tuyến giữa PE và CE bao gồm việc thực thi một giao thức định tuyến (hay tuyến tĩnh (static)/ngầm định (default)) trên các router CE. Cấu hình theo cách của một giao thức định tuyến thông thường. Trên PE, bối cảnh định tuyến (routing context) VRF (hay các bối cảnh họ địa chỉ (address family context)) được yêu cầu để trao đổi tuyến giữa PE và CE. Các tuyến này sau đó được phân phối lẫn nhau nhờ cào tiến trình MP-BGP trên VRF. Cấu hình chuyển tiếp MPLS và định danh VRF trên PE: Cấu hình chuyển tiếp MPLS là bước đầu tiên xây dựng MPLS VPN backbone của nhà cung cấp. Các bước tối thiểu để cấu hình chuyển tiếp MPLS trên PE như sau: 1. Cho phép CEF. 2. Cấu hình giao thức định tuyến IGP trên PE. 3. Cấu hình MPLS hay chuyển tiếp nhãn trên giao tiếp PE kết nối với P. Các bước này đã được giải quyết ở những chương trước nên ở đây ta chỉ quan tâm đến cấu hình định danh VRF. Trần Thị Tố Uyên 38
  39. VnPro – Cisco Authorized Training Center Cấu hình VRF trên PE Cấu hình VRF CustomerA trên PE1-AS1 và PE2-AS1 để tạo bảng định tuyến VRF và bảng CEF cho CustomerA. RouterPE(config)#ip vrf CustomerA Xóa một VRF : RouterPE(config-vrf)#no ip vrf CustomerA Chú ý : khi tạo hoặc xóa một VRF sẽ làm mất đi địa chỉ ip trên giao tiếp. Khi đó xuất hiện thông điệp : % IP addresses from all interfaces in VRF CustomerA have been removed Cấu hình RD RD tạo bảng chuyển tiếp và định tuyến. RD được thêm vào đầu địa chỉ Ipv4 của khách hàng để chuyển chúng thành địa chỉ VPNv4 duy nhất. Cấu hình thông số RD của VRF: RouterPE(config-vrf)#rd route-distinguisher RD có thể được dùng theo các dạng sau:  Chỉ số AS-16 bit : chỉ số 32 bit (ví dụ: 1:100)  Địa chỉ IP 32 bit : chỉ số 16 bit (ví dụ: 10.10.10.101:1) RD chỉ thay đổi khi xóa VRF đi. RD là duy nhất cho một VRF cụ thể. Không có hai VRF trên một router mà cùng giá trị RD. Nếu thiết lập cùng RD cho nhiều VRF trên một router sẽ có thông điệp cảnh báo sau: % Cannot set RD, check if it's unique Cấu hình chính sách nhập (import) và xuất (export) Trần Thị Tố Uyên 39
  40. VnPro – Cisco Authorized Training Center Cấu hình chính sách nhập và xuất cho các community mở rộng của MP-BGP. Chính sách này dùng để lọc tuyến cho RT cụ thể. Router(config-vrf)#route-target {import | export | both} route-target-ext-community Kết hợp VRF với giao tiếp. Nếu trên giao tiếp cấu hình sẵn địa chỉ IP thì việc kết hợp này sẽ làm mất địa chỉ IP trên giao tiếp đó nên phải cấu hình lại. Ví dụ: PE1-AS1(config)#interface serial4/0 PE1-AS1(config-if)#ip add 172.16.1.1 255.255.255.252 PE1-AS1(config-if)# ip vrf forwarding CustomerA % Interface Serial4/0 IP address 172.16.1.1 removed due to enabling VRF CustomerA PE1-AS1(config-if)#ip add 172.16.1.1 255.255.255.252 Kiểm chứng cấu hình VRF trên PE: Kiểm tra sự tồn tại của VRF trên giao tiếp Router#show ip vrf Liệt kê các giao tiếp hoạt động trong một VRF cụ thể Router#show ip vrf interfaces Cấu hình định tuyến BGP PE-PE trên router PE: Cấu hình định tuyến BGP PE-PE là bước kế tiếp trong việc triển khai một MPLS VPN. Mục đích của bước này là chắc rằng các tuyến VPNv4 có thể được chuyển vận qua mạng trục của nhà cung cấp bằng MP-iBGP. Router P là trong suốt đối với tiến trình này nên nó không mang bất kỳ tuyến nào của khách hàng. Các bước cấu hình tuyến BGP PE-PE giữa các PE như sơ đồ sau. Trần Thị Tố Uyên 40
  41. VnPro – Cisco Authorized Training Center Cấu hình định tuyến BGP trên PE. Cho phép BGP và xác định AS trên router PE1- AS1 và PE2-AS1. Router(config)#router bgp as-number Cấu hình láng giềng cho MP-iBGP: Router(config-router)#neighbor {ip-address | peer-group-name} remote-as as-number Cấu hình họ địa chỉ VPNv4 (VPNv4 address family): Cấu hình trong tiến trình của BGP, cho phép địa chỉ VPNv4 hoạt động tên các láng giềng. Kích hoạt các láng giềng iBGP chuyển vận địa chỉ VPNv4 qua mạng trục của nhà cung cấp dịch vụ. Router(config-router)#address-family vpnv4 Router(config-router-af)#neighbor {ip-address | peer-group-name | ipv6- address} activate Router(config-router-af)#neighbor {ip-address | peer-group-name | ipv6- address} send-community extended Cấu hình họ địa chỉ Ipv4: PE1-AS1(config-router)#address-family ipv4 vrf CustomerA PE1-AS1(config-router-af)# redistribute connected PE1-AS1(config-router-af)# exit-address-family Kiểm chứng và giám sát định tuyến BGP PE-PE trên router PE: Sử dụng các lệnh sau: show ip bgp vpnv4 * summary show IP bgp vpnv4 all show ip bgp summary show ip bgp neighbor ip-address Trần Thị Tố Uyên 41
  42. VnPro – Cisco Authorized Training Center Cấu hình trên router P: Router P là một LSR của mạng MPLS, nên chỉ cần cấu hình các chức năng sau :  Cho phép một giao thức IGP.  Cho phép CEF trên mọi giao tiếp chuyển tiếp MPLS.  Cấu hình LDP để gán và phân phối nhãn. Trần Thị Tố Uyên 42
  43. VnPro – Cisco Authorized Training Center Chương 4: GIAO THỨC ĐỊNH TUYẾN EIGRP PE-CE Giao thức định tuyến EIGRP PE-CE Giao thức định tuyến EIGRP PE-CE được nhà cung cấp dịch vụ sử dụng đối với các khách hàng sử dụng EIGRP làm giao thức định tuyến IGP, vì thế nên dùng EIGRP để trao đổi thông tin định tuyến giữa các site của khách hàng qua một MPLS VPN backbone. Trong môi trường MPLS VPN EIGRP metric phải được mang vào các cập nhật MP-BGP (MP-BGP update). Các thuộc tính BGP extended community giữ nhiệm vụ mang và giữ nguyên metric EIGRP khi đi qua MP-iBGP domain. Các community này xác định các đặc tính bản chất liên quan đến EIGRP như chỉ số AS hay EIGRP cost như băng thông (bandwidth), độ trễ (delay), tải (load), độ tin cậy (reliability), và MTU. Bảng sau mô tả sáu loại extended BGP community được định nghĩa để mang theo các tuyến EIGRP qua MPLS backbone bằng MP-BGP. EIGRP Type Usage Value Attribute General 0x8800 EIGRP General Route Route Flag and Tag Information Metric 0x8801 EIGRP Route Metric AS and Delay Information and AS 0x8802 EIGRP Route Metric Reliability, Next Hop, and Information Bandwidth 0x8803 EIGRP Route Metric Reserve, Load, and Maximum Information Transmission Unit (MTU) 0x8804 EIGRP External Route Remote AS and Remote ID Information External 0x8805 EIGRP External Route Remote Protocol and Remote Information Metric Hình sau mô tả chi tiết các thuộc tính extended BGP community gắn với các tuyến 192.168.20.0 và 192.168.99.0. Trần Thị Tố Uyên 43
  44. VnPro – Cisco Authorized Training Center Quảng bá tuyến EIGRP Việc quảng bá tuyến trong mạng MPLS VPN sử dụng định tuyến EIGRP PE-CE dựa trên EIGRP AS được cấu hình trên router PE. Trong môi trường MPLS VPN, EIGRP AS có thể giống hoặc khác nhau trên mọi router PE. Quảng bá tuyến khi EIGRP AS giống nhau trên mọi PE: Hình bên dưới mô tả một mạng MPLS VPN cung cấp các dịch vụ MPLS VPN cho Customer A. PE1-AS1 và PE2-AS1 được cấu hình với EIGRP AS 101. Trình tự thực hiện khi CE2-A gửi 172.16.20.0 và 209.165.201.0 tới CE1-A: (1) CE2-A redistribute mạng OSPF 209.165.127.0/27 (D EX) và 172.16.20.0/24 (D) cho PE2-AS1. Trần Thị Tố Uyên 44
  45. VnPro – Cisco Authorized Training Center (2) Bảng định tuyến VRF Cust_A trên PE2-AS1 nhận 172.16.20.0/24 với EIGRP metric 2195456 và 209.165.127.0/27 với EIGRP metric 3097600. (3) EIGRP metric cho 172.16.20.0 và 209.165.127.0 được sao chép vào extended BGP attribute như BGP MED, các communitie này chứa thông tin EIGRP như AS, MTU, route type, kèm theo các tuyến EIGRP được redistribute vào MP-BGP. Sau đó các tuyến 172.16.20.0 và 209.165.127.0 được quảng bá tới PE1-AS1 bằng MP-iBGP session. (4) PE1-AS1 nhận các tuyến BGP VPNv4 172.16.20.0/24 và 209.165.127.0/27 từ PE2-AS1. EIGRP metric của các tuyến này không bị thay đổi khi đi qua MP- BGP backbone. (5) PE2-AS1 kiểm tra các thuộc tính nhận được trong tuyến và nếu route type là internal (nếu bit MSB trong BGP extended community được thiết lập bằng 0x8800) và AS nguồn trùng khớp với AS trên router nhận thì tuyến đó được quảng bá như một tuyến nội EIGRP (EIGRP internal route). Nếu route type là external (bit MSB được thiết lập bằng 0x8800) thì tuyến đó được quảng bá tới CE là một tuyến ngoại EIGRP (external EIGRP route). PE1-AS1 sử dụng thông tin thuộc tính extended community để cấu trúc lại cập nhật tuyến EIGRP gốc khi redistribute từ MP-BGP vào EIGRP. Dạng này chỉ được thực hiện EIGRP AS của PE2-AS1 và PE1-AS1 bằng nhau. Các PE hoạt động như là các EIGRP query boundary. Trong trường hợp này, AS 101 trùng khớp với AS của PE1-AS1 nên 172.16.20.0/24 được quảng bá là EIGRP internal route và 209.165.127.0/27 được quảng bá là một external route tới CE1-A. (6) CE1-A nhận 172.16.20.0 và 209.165.127.0. Quảng bá tuyến khi EIGRP AS khác nhau trên các router PE: Nếu hai EIGRP AS khác nhau, các nguyên tắc redistribute bình thường được áp dụng. Nghĩa là, các external EIGRP route được tạo ra khi các tuyến của khách hàng được redistribute vào EIGRP từ các cập nhật MP-BGP. Hình sau mô tả một mạng MPLS VPN sử dụng các EIGRP AS khác nhau trên các PE. Vì MPLS backbone là trong suốt đối với giao thức định tuyến ở CE nên không có EIGRP adjacency hay cập nhật EIGRP (EIGRP update) và các query gửi qua các PE. Trình tự thực hiện từ bước (1) tới (4) giống như phần “Quảng bá tuyến khi EIGRP AS giống nhau trên mọi PE” ngoại trừ các mạng 192.168.99.0 và 192.168.20.0 và metric: Trần Thị Tố Uyên 45
  46. VnPro – Cisco Authorized Training Center (1) PE2-AS1 kiểm tra các thuộc tính nhận được trong tuyến và nếu route type là internal và AS nguồn không trùng khớp hay nếu route type là external, tuyến đó được quảng bá tới CE thành một external EIGRP route. Tuyến sẽ không sử dụng thông tin extended community vì không xuất phát cùng AS. Route type cho 192.168.20.0 là internal và AS nguồn là 202 không trùng khớp với cấu hình trên PE1-AS1 (201). Do đó, PE1-AS1 quảng bá thành một external route tới CE1-A. Route type của 192.168.99.0 là external nên vì thế cả hai tuyến được quảng bá là external route tới CE1-A. (2) CE1-A nhận các tuyến 192.168.20.0/24 và 192.168.99.0/24 là các external route. Sơ đồ cấu hình định tuyến EIGRP PE-CE Cần lưu ý các điểm sau: - Chế độ cấu hình address family được sử dụng khi cấu hình EIGRP AS cho VRF. - Để cho phép sử dụng một tiến trình EIGRP đơn (single EIGRP process), EIGRP AS phải được cấu hình trong chế độ EIGRP address family. Các bước cấu hình khác giống như cấu hình EIGRP bình thường, metric mặc định sẽ được gán khi redistribute các tuyến không phải là EIGRP (non-EIGRP route). LAB 4-1: Cấu hình định tuyến EIGRP PE-CE cơ bản Mô tả Mục tiêu của bài lab này là minh họa cấu hình EIGRP PE-CE, việc quảng bá tuyến EIGRP khi các PE thuộc vào cùng EIGRP AS và khác EIGRP AS với một VRF. Hình Trần Thị Tố Uyên 46
  47. VnPro – Cisco Authorized Training Center sau cho thấy một MPLS VPN cung cấp các dịch vụ MPLS VPN cho các site của Customer A và Customer B. - Mạng của Customer A – Customer A có CE1-A và CE2-A trong cùng VPN-A và cùng thuộc EIGRP AS 101. EIGRP AS 101 được cấu hình cho VRF CustomerA trên PE1-AS1 và PE2-AS1. - Mạng của Customer B – Customer B có CE1-B và CE2-B trong cùng VPN-B và thuộc hai EIGRP AS khác nhau, 201 và 202. PE1-AS1 và PE2-AS1 cấu hình hai EIGRP AS, 201 và 202, cho VRF CustomerB. Thực hiện Các bước cấu hình định tuyến EIGRP PE-CE như sau: (1) Cho phép tiến trình định tuyến EIGRP toàn cục. Cho phép tiến trình định tuyến EIGRP toàn cục (global EIGRP routing process) trên các router PE, PE1-AS1 và PE2-AS1. Trần Thị Tố Uyên 47
  48. VnPro – Cisco Authorized Training Center (2) Định ngữ cảnh (context) và các thông số (parameter) cho định tuyến VRF EIGRP. - Định ngữ cảnh định tuyến cho VRF CustomerA và CustomerB trong tiến trình EIGRP ở bước 1. - Cho phép các mạng được định tuyến EIGRP - Cấu hình no auto-summary. - Cho phép một tiến trình EIGRP được sử dụng, EIGRP AS phải được cấu hình trong chế độ cấu hình EIGRP address family. Nhiều VRF có thể sử dụng cùng một giá trị EIGRP AS. Thực hiện cấu hình cho hai bước (1) và (2): PE1-AS1(config)#router eigrp 1 PE1-AS1(config-router)#address-family ipv4 vrf CustomerB PE1-AS1(config-router-af)# network 172.16.0.0 PE1-AS1(config-router-af)# no auto-summary PE1-AS1(config-router-af)# autonomous-system 201 PE1-AS1(config-router-af)# exit-address-family PE2-AS1(config)#router eigrp 1 PE2-AS1(config-router)# address-family ipv4 vrf CustomerB PE2-AS1(config-router-af)# network 172.16.0.0 PE2-AS1(config-router-af)# no auto-summary PE2-AS1(config-router-af)# autonomous-system 202 PE2-AS1(config-router-af)# exit-address-family Thực hiện tương tự cho CustomerA. (3) Redistribute các tuyến BGP VPNv4 vào EIGRP. PE1-AS1(config)#router eigrp 1 PE1-AS1(config-router)# address-family ipv4 vrf Cust_A PE1-AS1(config-router-af)# redistribute bgp 1 metric 1000 100 255 1 1500 (4) Redistribute các tuyến EIGRP vào BGP. PE1-AS1(config)#router bgp 1 PE1-AS1(config-router)#address-family ipv4 vrf Cust_A PE1-AS1(config-router-af)#redistribute eigrp 101 PE2-AS1(config)#router bgp 1 PE2-AS1(config-router)# address-family ipv4 vrf Cust_A PE2-AS1(config-router-af)# redistribute eigrp 101 Thực hiện tương tự để hoàn thành cấu hình cho VRF CustomerA và CustomerB trên các router PE. Cấu hình Router P1-AS1 ! hostname P1-AS1 ! ip subnet-zero ! Trần Thị Tố Uyên 48
  49. VnPro – Cisco Authorized Training Center ip cef mpls ldp logging neighbor-changes ! interface Loopback0 ip address 10.10.10.200 255.255.255.255 ! interface Serial0/0 description Connected to PE1-AS1 ip address 10.10.10.2 255.255.255.252 tag-switching ip ! interface Serial0/1 description Connected to PE2-AS1 ip address 10.10.10.6 255.255.255.252 tag-switching ip ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 ! ip http server ip classless ! end Router PE1-AS1 ! hostname PE1-AS1 ! ip subnet-zero ! ip vrf CustomerA rd 1:100 route-target export 1:100 route-target import 1:100 ! ip vrf CustomerB rd 1:200 route-target export 1:200 route-target import 1:200 ! ip cef mpls ldp logging neighbor-changes ! interface Loopback0 ip address 10.10.10.101 255.255.255.255 ! interface Serial0/0 description Connected to P1-AS1 ip address 10.10.10.1 255.255.255.252 Trần Thị Tố Uyên 49
  50. VnPro – Cisco Authorized Training Center tag-switching ip clockrate 64000 no fair-queue ! interface Serial1/1 description Connected to CE1-A ip vrf forwarding CustomerA ip address 172.16.1.1 255.255.255.252 clockrate 64000 ! interface Serial1/3 description Connected to CE1-B ip vrf forwarding CustomerB ip address 192.168.1.1 255.255.255.252 tag-switching ip ! router eigrp 1 auto-summary ! address-family ipv4 vrf CustomerB redistribute bgp 1 metric 1000 100 255 1 1500 network 192.168.1.0 no auto-summary autonomous-system 201 exit-address-family ! address-family ipv4 vrf CustomerA redistribute bgp 1 metric 1000 100 255 1 1500 network 172.16.0.0 no auto-summary autonomous-system 101 exit-address-family ! router ospf 1 router-id 10.10.10.101 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 ! router bgp 1 no synchronization bgp log-neighbor-changes neighbor 10.10.10.102 remote-as 1 neighbor 10.10.10.102 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 10.10.10.102 activate neighbor 10.10.10.102 send-community extended no auto-summary exit-address-family Trần Thị Tố Uyên 50
  51. VnPro – Cisco Authorized Training Center ! address-family ipv4 vrf CustomerB redistribute eigrp 201 no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf CustomerA redistribute eigrp 101 no auto-summary no synchronization exit-address-family ! ip http server ip classless ! end Router PE2-AS1 ! hostname PE2-AS1 ! ip subnet-zero ! ip vrf CustomerA rd 1:100 route-target export 1:100 route-target import 1:100 ! ip vrf CustomerB rd 1:200 route-target export 1:200 route-target import 1:200 ! ip cef mpls ldp logging neighbor-changes ! interface Loopback0 ip address 10.10.10.102 255.255.255.255 ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface Serial0/0 no ip address shutdown no fair-queue ! Trần Thị Tố Uyên 51
  52. VnPro – Cisco Authorized Training Center interface Serial0/1 description Connected to P1-AS1 ip address 10.10.10.5 255.255.255.252 tag-switching ip clockrate 64000 ! interface Serial1/2 description Connected to CE2-A ip vrf forwarding CustomerA ip address 172.16.2.1 255.255.255.252 ! interface Serial1/4 description Connected to CE2-B ip vrf forwarding CustomerB ip address 192.168.2.1 255.255.255.252 clockrate 64000 ! router eigrp 1 auto-summary ! address-family ipv4 vrf CustomerB redistribute bgp 1 metric 1000 100 255 1 1500 network 192.168.2.0 no auto-summary autonomous-system 202 exit-address-family ! address-family ipv4 vrf CustomerA redistribute bgp 1 metric 1000 100 255 1 1500 network 172.16.0.0 no auto-summary autonomous-system 101 exit-address-family ! router ospf 1 router-id 10.10.10.102 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 ! router bgp 1 no synchronization bgp log-neighbor-changes neighbor 10.10.10.101 remote-as 1 neighbor 10.10.10.101 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 10.10.10.101 activate neighbor 10.10.10.101 send-community extended no auto-summary Trần Thị Tố Uyên 52
  53. VnPro – Cisco Authorized Training Center exit-address-family ! address-family ipv4 vrf CustomerB redistribute eigrp 202 no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf CustomerA redistribute eigrp 101 no auto-summary no synchronization exit-address-family ! ip http server ip classless ! end Router CE1-A ! hostname CE1-A ! ip subnet-zero ! interface Ethernet0/0 description VPN-A Site 1 network ip address 172.16.10.1 255.255.255.0 half-duplex no keepalive ! interface Serial0/0 description Connected to PE1-AS1 ip address 172.16.1.2 255.255.255.252 no fair-queue ! router eigrp 101 network 172.16.0.0 no auto-summary ! ip http server ip classless ! end Router CE2-A ! hostname CE2-A ! interface Ethernet0/0 Trần Thị Tố Uyên 53
  54. VnPro – Cisco Authorized Training Center description VPN-A Site 2 network ip address 172.16.20.1 255.255.255.0 no ip directed-broadcast no keepalive ! interface Serial0/0 description Connected to PE2-AS1 ip address 172.16.2.2 255.255.255.252 no ip directed-broadcast no ip mroute-cache no fair-queue clockrate 64000 ! router eigrp 101 network 172.16.0.0 no auto-summary ! ip classless ! end Router CE1-B ! hostname CE1-B ! ip subnet-zero ! interface Ethernet0/0 description VPN-B Site 1 network ip address 192.168.10.1 255.255.255.0 no ip directed-broadcast no keepalive ! interface Serial0/0 description Connected to PE1-AS1 ip address 192.168.1.2 255.255.255.252 no ip directed-broadcast no ip mroute-cache no fair-queue clockrate 64000 ! router eigrp 201 network 192.168.1.0 network 192.168.10.0 no auto-summary ! ip classless ! end Router CE2-B Trần Thị Tố Uyên 54
  55. VnPro – Cisco Authorized Training Center ! hostname CE2-B ! ip subnet-zero ! interface Ethernet0/0 description VPN-B Site 2 network ip address 192.168.20.1 255.255.255.0 no ip directed-broadcast no keepalive ! interface Serial0/0 description Connected to PE2-AS1 ip address 192.168.2.2 255.255.255.252 no ip directed-broadcast no ip mroute-cache no fair-queue ! router eigrp 202 network 192.168.2.0 network 192.168.20.0 no auto-summary ! ip classless ! end Kiểm tra Các bước kiểm tra định tuyến EIGRP PE-CE như sau: (1) Kiểm tra quan hệ láng giềng (neighbor) EIGRP trên các router PE. PE1-AS1#show ip eigrp vrf CustomerA neighbors IP-EIGRP neighbors for process 201 H Address Interface Hold Uptime SRTT RTO Q Seq Type (sec) (ms) Cnt Num 0 192.168.1.2 Se1/3 12 05:27:05 214 1284 0 2 PE2-AS1#show ip eigrp vrf CustomerA neighbors IP-EIGRP neighbors for process 202 H Address Interface Hold Uptime SRTT RTO Q Seq Type (sec) (ms) Cnt Num 0 192.168.2.2 Se1/4 11 05:19:21 903 5000 0 2 (2) Kiểm tra các thuộc tính BGP mở rộng gắn với tuyến 192.168.20.0 PE2-AS1#show ip bgp vpnv4 vrf CustomerB 192.168.20.1 BGP routing table entry for 1:200:192.168.20.0/24, version 9 Paths: (1 available, best #1, table CustomerB) Advertised to non peer-group peers: 10.10.10.101 Local Trần Thị Tố Uyên 55
  56. VnPro – Cisco Authorized Training Center 192.168.2.2 from 0.0.0.0 (10.10.10.102) Origin incomplete, metric 20537600, localpref 100, weight 32768, valid, sourced, best Extended Community: RT:1:200 0x8800:32768:0 0x8801:202:537600 0x8802:62209:20000000 0x8803:62209:1500 PE1-AS1#show ip bgp vpnv4 vrf CustomerB 192.168.20.1 BGP routing table entry for 1:200:192.168.20.0/24, version 17 Paths: (1 available, best #1, table CustomerB) Not advertised to any peer Local 10.10.10.102 (metric 129) from 10.10.10.102 (10.10.10.102) Origin incomplete, metric 20537600, localpref 100, valid, internal, best Extended Community: RT:1:200 0x8800:32768:0 0x8801:202:537600 0x8802:62209:20000000 0x8803:62209:1500 Ta thấy EIGRP metric không đổi (metric 20537600) khi đi qua MP-BGP domain. (3) Kiểm việc quảng bá tuyến EIGRP cho CustomerA. PE2-AS1#show ip route vrf CustomerA eigrp 172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks D 172.16.20.0/24 [90/20537600] via 172.16.2.2, 05:18:44, Serial1/2 PE2-AS1#show ip bgp vpnv4 vrf CustomerA 172.16.20.1 BGP routing table entry for 1:100:172.16.20.0/24, version 7 Paths: (1 available, best #1, table CustomerA) Advertised to non peer-group peers: 10.10.10.101 Local 172.16.2.2 from 0.0.0.0 (10.10.10.102) Origin incomplete, metric 20537600, localpref 100, weight 32768, valid, sourced, best Extended Community: RT:1:100 0x8800:32768:0 0x8801:101:537600 0x8802:62209:20000000 0x8803:62209:1500 PE1-AS1#show ip bgp vpnv4 vrf CustomerA 172.16.20.1 BGP routing table entry for 1:100:172.16.10.0/24, version 7 Paths: (1 available, best #1, table CustomerA) Advertised to non peer-group peers: 10.10.10.102 Local 172.16.2.2 from 0.0.0.0 (10.10.10.101) Origin incomplete, metric 20537600, localpref 100, weight 32768, valid, sourced, best Extended Community: RT:1:100 0x8800:32768:0 0x8801:101:537600 0x8802:62209:20000000 0x8803:62209:1500 (4) Kiểm tra các tuyến EIGRP trên các router CE CE1-A#show ip route eigrp Trần Thị Tố Uyên 56
  57. VnPro – Cisco Authorized Training Center 172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks D 172.16.20.0/24 [90/21049600] via 172.16.1.1, 04:40:11, Serial0/0 D 172.16.2.0/30 [90/21024000] via 172.16.1.1, 04:40:11, Serial0/0 CE1-B#show ip route eigrp D EX 192.168.20.0/24 [170/3097600] via 192.168.1.1, 04:38:14, Serial0/0 192.168.2.0/30 is subnetted, 1 subnets D EX 192.168.2.0 [170/3097600] via 192.168.1.1, 04:38:14, Serial0/0 (5) Kiểm tra kết nối giữa các site CE1-A#ping 172.16.20.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.20.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 116/116/117 ms CE1-B#ping 192.168.20.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 116/116/117 ms Vòng lặp tuyến (Routing loop) Routing loop có thể xảy ra trong các trường hợp sau: - Một tuyến nhận được bởi một multihomed site từ backbone qua một kết nối mà có thể chuyển tiếp ngược lại backbone qua kết nối khác. - Một tuyến xuất phát từ một multihomed site và được gửi tới backbone qua một kết nối có thể trở về từ một kết nối khác. Multihomed Site gửi lại các tuyến cho Backbone Hình sau mô tả một mạng MPLS VPN cho Customer A có 3 site, Site 1, Site 2 và Site 3. Site 3 là multihomed. Site 3 nhận được tuyến EIGRP 172.16.20.0/24 và redistribute lại vào backbone tại PE1-AS1. Trần Thị Tố Uyên 57
  58. VnPro – Cisco Authorized Training Center Thứ tự thực hiện khi tuyến EIGRP được gửi lại vào backbone như sau: (1) 172.16.20.0/24 được quảng bá là internal route tới PE2-AS1. (2) PE2-AS1 quảng bá 172.16.20.0/24 tới CE4-A qua EIGRP và gửi 172.16.20.0/24 bằng MP-iBGP session tới PE1-AS1. (3) CE4-A quảng bá 172.16.20.0/24 là một EIGRP internal route tới CE3-A (4) CE3-A quảng bá 172.16.20.0/24 là một EIGRP internal route tới PE1-AS1 PE1-AS1 phải ra quyết định chọn đường đi: - Nếu cập nhật BGP cho 172.16.20.0/24 tới trước, nó sẽ redistribute vào EIGRP và gửi tới CE3-A. Vì composite metric tốt hơn nên nó chọn đường này vì MPLS VPN không thêm vào giới hạn độ trễ (delay) và băng thông (bandwidth). Nghĩa là PE1-AS1 sẽ không bao giờ nhận được một cập nhật thứ hai và chỉ có một đường để đi. - Nếu tuyến EIGRP tới trước, nó sẽ redistribute vào BGP và gửi lại cho PE2- AS1. PE2-AS1 vẫn chọn đường được cập nhật từ EIGRP. Hơn nữa, Bảng định tuyến sẽ chọn đường có chỉ số AD (administrative distance) thấp hơn (EIGRP là 90 hoặc 170; iBGP là 200). Backbone gửi lại tuyến vào Multihomed Site Trường hợp truyến 172.16.50.0/24 xuất phát từ multihomed site được gửi ngược lại qua kết nối với PE. Tình trạng này không xảy ra nếu mạng giữ nguyên AD mặc định vì PE ưu tiên cho các tuyến học từ EIGRP hơn. Đếm ra vô cực (Count to Infinity) Hình trên cho thấy PE1-AS1 và/hoặc PE2-AS1 có hai đường đi cho 172.16.50.0/24: một học từ MP-iBGP và một học trực tiếp bằng EIGRP. Nếu 172.16.50.0/24 gặp sự cố (down), trình tự xử lý xảy ra như sau: (1) CE3-A và CE4-A gửi ra các thông điệp truy vấn (query message). Trần Thị Tố Uyên 58
  59. VnPro – Cisco Authorized Training Center (2) Giả sử PE1-AS1 có hai đường đi như trên, khi nhận 1 query message nó sẽ trả lời với một đường đi liên quan và vẫn còn hoạt động qua MP-iBGP. (3) CE3-A sẽ nhận được một đường đi tới 172.16.50.0/24 qua PE1-AS1. (4) PE1-AS1 nhận được một thông điệp hủy tuyến (withdrawal message) từ PE2- AS1. (5) PE1-AS1 sẽ hủy tuyến mà nó quảng bá tới CE3-A, router này quảng bá thông tin đến cho CE4-A, và CE4-A quảng bá lại cho PE3-AS1. (6) Query message bắt nguồn từ PE1-AS1 để tìm mạng 172.16.50.0/24. Khi query message đến được PE2-AS1, PE2-AS1 vừa quảng bá một cập nhật tuyến mới đến được cho mạng 172.16.50.0/24 qua MP-iBGP tới PE1-AS1, PE1-AS1 sẽ tạo lại một cập nhật EIGRP để trả lời cho các query trước đó. (7) Tiến trình lặp của các thông điệp reachable/unreachable tiếp tục đến khi qua một lượng tối đa các hop. Hiện tượng này được gọi là “count to infinity”. Định tuyến kém tối ưu (Suboptimal Routing) Hiện tượng này xảy ra do AD của EIGRP tốt hơn của iBGP. Một bảng định tuyến luôn luôn ưu tiên cho các tuyến học được từ IGP vì có AD nhỏ hơn iBGP. Hình bên dưới cho thấy các gói dữ liệu từ CE1-A tới CE2-A sẽ được chuyển tiếp bởi PE1-AS1 tới cho CE3-A tạo nên định tuyến kém tối ưu. Lặp tuyến và định tuyến kém tối ưu có thể tránh được bằng cách sử dụng: - BGP cost community có thể dùng để ép BGP so sánh các tuyến xuất phát từ EIGRP và các tuyến MP-iBGP dựa trên EIGRP metric. - EIGRP Site of Origin (SoO) trên các router PE và CE có thể dùng để chống lặp tuyến. BGP Cost Community Trần Thị Tố Uyên 59
  60. VnPro – Cisco Authorized Training Center BGP cost community (BGP CC) là một thuộc tính community mở rộng mới của BGP. BGP CC là một thuộc tính non-transitive extended community, nó chỉ qua iBGP và các confederation peer nhưng không đến được external BGP peer. BGP CC cho phép PE so sánh các tuyến đến từ các giao thức khác nhau sử dụng giá trị AD khác nhau dựa trên metric của chúng. Các tuyến BGP mang thuộc tính BGP cost community sẽ dùng EIGRP AD thay vì iBGP AD để so sánh mà không cần cấu hình tĩnh giá trị AD. Các tuyến được redistribute từ EIGRP vào MP-BGP, chúng sẽ được đánh dấu (tag) với thuộc tính BGP cost community để mang composite EIGRP metric thêm vào các thuộc tính EIGRP riêng. Thuộc tính BGP CC được mô tả trong hình sau: Giá trị Điểm chèn (POI – point of insertion) để chắc rằng tuyến BGP được chọn sử dụng BGP CC. Điều này cho phép so sánh các tuyến iBGP với các tuyến EIGRP. BGP CC có thể phân biệt giữa các tuyến EIGRP internal và external bằng trường ID: internal có ID là 128, external có ID là 129. Tuyến có BGP CC ID nhỏ nhất sẽ được chọn. Tuyến internal EIGRP có ID thấp hơn tuyến external. Sự lựa chọn tuyến thường dựa trên giá trị trong trường Cost của BGP CC vì nó mang composite EIGRP metric. Trình tự xảy ra với PE1-AS1 để chọn đường đi tốt nhất dựa trên EIGRP metric và không dựa trên AD giữa EIGRP và iBGP (hình trên): (1) CE2-A xuất phát tuyến 172.16.20.0/24 tới PE2-AS1. (2) PE2-AS1 chuyển tiếp tuyến tới CE4-A qua EIGRP và tới PE1-AS1 qua MP- iBGP. Trần Thị Tố Uyên 60
  61. VnPro – Cisco Authorized Training Center (3) PE1-AS1 nhận hai cập nhật cho 172.16.20.0/24, một qua EIGRP từ CE3-A và một qua MP-iBGP từ PE2-AS1. PE1-AS1 sẽ dùng tuyến học từ MP-iBGP nhờ vào thuộc tính BGP CC. (4) Các gói từ CE1-A tới CE2-A sẽ được chuyển tiếp bởi PE1-AS1 tới PE2-AS1 vì bảng định tuyến của VRF A chứa tuyến MP-iBGP, tuyến này mang composite EIGRP metric nhỏ hơn. EIGRP SoO EIGRP SoO được thêm vào để gắn với các các tuyến internal và external EIGRP. Thuộc tính này được trao đổi tự động giữa các giao thức định tuyến (SoO-cho phép EIGRP và MP-BGP) để chống lặp tuyến trong môi trường multihome nơi có sử dụng redistribute hai chiều. Tất cả các router CE, hay ít nhất tại các multihomed site, phải hỗ trợ đặc tính này để cho phép quảng bá qua VPN. EIGRP SoO được dùng trên PE và CE để chống lặp tuyến hiệu quả nhất. Các tuyến backdoor được cấu hình với EIGRP SoO để hội tụ nhanh nhất cho việc mất tuyến. Multihomed Site và EIGRP SoO Các tuyến được đẩy vào một multihomed site và bị tag với một giá trị EIGRP SoO 1:101. Router PE nhận được sẽ kiểm tra mọi cập nhật giá trị SoO được cấu hình trên giao tiếp nhận cập nhật đó. Nếu giá trị bằng nhau, cập nhật đó sẽ bị hủy, giúp chống lặp tuyến và tối ưu việc định tuyến. Trình tự xảy ra khi 172.16.20.0/24 được quảng bá tới CE1-A: (1) CE2-A xuất phát một tuyến 172.16.20.0/24. (2) PE2-AS1 chuyển tiếp tuyến tới CE4-A qua EIGRP và tới PE1-AS1 qua MP- iBGP. Tuyến EIGRP sẽ được tag với thuộc tính EIGRP SoO 1:101 để các định tuyến này đến từ backbone. (3) CE4-A chuyển tiếp cập nhật 172.16.20.0/24 tới CE3-A. (4) PE1-AS1 nhận hai cập nhật cho 172.16.20.0/24, một qua EIGRP từ CE3-A và một qua MP-iBGP từ PE2-AS1. PE1-AS1 sẽ sử dụng tuyến học từ BGP; tuyến EIGRP từ CE3-A bị lọc đi vì có cùng giá trị SoO với giao tiếp nhận nó. Backdoor Link và EIGRP SoO Trần Thị Tố Uyên 61
  62. VnPro – Cisco Authorized Training Center Tiến trình chọn tuyến như sau: (1) CE2-A quảng bá 172.16.20.0/24 tới PE2-AS1. (2) PE2-AS1 chuyển tiếp 172.16.20.0/24, tuyến này tới CE4-A qua EIGRP và tới PE1-AS1 qua MP-iBGP. Tuyến EIGRP sẽ bị tag với giá trị EIGRP SoO là 1:20 để xác định nó đến từ MPLS backbone và được gửi vào Site 4 với giá trị 1:20. (3) PE1-AS1 nhận hai cập nhật cho 172.16.20.0, một qua EIGRP từ CE2 và một qua MP-iBGP từ PE2. Cập nhật khi đi qua backdoor link sẽ mang EIGRP SoO giá trị 1:20 khi quảng bá tới CE3-A, và CE3-A sử dụng 1:10 để quảng bá tuyến này tới PE1-AS1. (4) PE1-AS1 nhận hai cập nhật cho 172.16.20.0/24, một qua EIGRP từ CE3-A với SoO 1:10, tuyến này bị lọc vì chứa trùng giá trị SoO với giao tiếp nhận nó và chỉ nhận tuyến qua MP-iBGP từ PE2-AS1. LAB 4-2: Cấu hình mạng sử dụng BGP CC và EIGRP SoO Mô tả Trần Thị Tố Uyên 62
  63. VnPro – Cisco Authorized Training Center Cấu hình Router P1-AS1 P1-AS1#show run Building configuration Current configuration : 970 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname P1-AS1 ! logging queue-limit 100 ! ip subnet-zero ! ip cef mpls ldp logging neighbor-changes ! interface Loopback0 ip address 10.10.10.200 255.255.255.255 ! interface Serial0/0 description Connected to PE1-AS1 ip address 10.10.10.2 255.255.255.252 Trần Thị Tố Uyên 63
  64. VnPro – Cisco Authorized Training Center tag-switching ip clockrate 64000 ! interface Serial0/1 description Connected to PE2-AS1 ip address 10.10.10.6 255.255.255.252 tag-switching ip ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 ! ip http server ip classless ! end Router PE1-AS1 PE1-AS1#show run Building configuration Current configuration : 2084 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname PE1-AS1 ! ip subnet-zero ! ip vrf CustomerA rd 1:100 route-target export 1:100 route-target import 1:100 ! ip cef mpls ldp logging neighbor-changes ! interface Loopback0 ip address 10.10.10.101 255.255.255.255 ! interface Serial0/0 description Connected to P1-AS1 ip address 10.10.10.1 255.255.255.252 tag-switching ip no fair-queue ! interface Serial1/1 Trần Thị Tố Uyên 64
  65. VnPro – Cisco Authorized Training Center description Connected to CE1-A ip vrf forwarding CustomerA ip address 172.16.1.1 255.255.255.252 clockrate 64000 ! interface Serial1/3 description Connected to CE3-A ip vrf forwarding CustomerA ip vrf sitemap SOO-VPNA ip address 172.16.3.1 255.255.255.252 clockrate 64000 ! router eigrp 1 auto-summary ! address-family ipv4 vrf CustomerA redistribute bgp 1 metric 1000 100 255 1 1500 network 172.16.0.0 no auto-summary autonomous-system 101 exit-address-family ! router ospf 1 router-id 10.10.10.101 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 ! router bgp 1 no synchronization bgp log-neighbor-changes neighbor 10.10.10.102 remote-as 1 neighbor 10.10.10.102 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 10.10.10.102 activate neighbor 10.10.10.102 send-community both no auto-summary exit-address-family ! address-family ipv4 vrf CustomerA redistribute eigrp 101 no auto-summary no synchronization exit-address-family ! ip http server ip classless ! route-map SOO-VPNA permit 10 Trần Thị Tố Uyên 65
  66. VnPro – Cisco Authorized Training Center set extcommunity soo 1:10 ! call rsvp-sync ! ! end Router PE2-AS1 PE2-AS1#show run Building configuration Current configuration : 2255 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname PE2-AS1 ! logging queue-limit 100 ! memory-size iomem 10 ip subnet-zero ! ! ! ip vrf CustomerA rd 1:100 route-target export 1:100 route-target import 1:100 ! ip cef mpls ldp logging neighbor-changes ! ! interface Loopback0 ip address 10.10.10.102 255.255.255.255 ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface Serial0/1 description Connected to P1-AS1 ip address 10.10.10.5 255.255.255.252 tag-switching ip clockrate 64000 ! Trần Thị Tố Uyên 66
  67. VnPro – Cisco Authorized Training Center interface Serial1/2 description Connected to CE2-A ip vrf forwarding CustomerA ip address 172.16.2.1 255.255.255.252 ! interface Serial1/4 description Connected to CE4-A ip vrf forwarding CustomerA ip vrf sitemap SOO-VPNA ip address 172.16.4.1 255.255.255.252 ! ! router eigrp 1 auto-summary ! address-family ipv4 vrf CustomerA redistribute bgp 1 metric 1000 100 255 1 1500 network 172.16.0.0 no auto-summary autonomous-system 101 exit-address-family ! router ospf 1 router-id 10.10.10.102 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 ! router bgp 1 no synchronization bgp log-neighbor-changes neighbor 10.10.10.101 remote-as 1 neighbor 10.10.10.101 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 10.10.10.101 activate neighbor 10.10.10.101 send-community both no auto-summary exit-address-family ! address-family ipv4 vrf CustomerA redistribute eigrp 101 no auto-summary no synchronization exit-address-family ! ip http server ip classless ! Trần Thị Tố Uyên 67