MPLS/VPN基本原理及配置

MESH方式为普通VPN业务，是客户对VPN的最基本的需求。

基本的VPN服务要求相同的VPN客户之间能相互通信，而不同的VPN客户间不能通信。典型的组网图如图7所示，VPN1间互相通信，VPN2间互相通信，而VPN1与VPN2间不能通信。

HUB-SPOKE方式

对于有很多子公司的大客户来说，普通的VPN业务可能无法满足其需求。通常总公司可能需要监控子公司间的通信，同时要能够与各子公司直接通信。这就要求子公司间通信时必须经过总公司中转。

图8  HUB-SPOKE方式

一种典型的组网图如图8所示，总公司可以直接与子公司1、子公司2通信，而子公司1和子公司2间通信时必须经过总司中转，如此总公司可以监控各子公司间的通信。其中PE-3为HUB路由器，PE-1及PE-2为SPOKE路由器。

INTERNET接入

VPN客户间通信使用的是私网地址，可以自由规划内部网络，但同样可能需要能连上INTERNET。

图9  INTERNET接入

一种典型的组网图如图9所示，通过在VPN1的某个网关上提供NAT完成私网地址到公网地址的转换即可完成INTERNET业务。

在ZXR10中配置MPLS/VPN

ZXR10中配置MPLS/VPN的基本步骤

目前ZXR10中MPLS/VPN应用最多的为T64E/T128及T32C/T64C等中高档路由器产品。其中E系列中，T64E/T128支持MPLS/VPN的常用单板有8端口FEI板、2端口GEI接口板、4端口POS3接口板、E1接口板。C系列中支持MPLS/VPN的常用单板有GEI板、POS接口板。

对于T64E/T128而言，要配置MPLS/VPN业务必须使用V1.2以上版本或平台版本，对于C系列路由器而言需要使用ros9302以上版本。在ZXR10中配置MPLS/VPN业务主要步骤如下。

1．在PE路由器上定义一个VPN名称或者说一个VPN的转发表（VRF）的名称。名称长度为1到16个字符。注意该名称只是本地有效，在某个接口与VPN绑定时将使用到该名称。

2．定义该VRF的路由标识符（RD）和路由目标（RT），定义导入导出策略，该策略将在MP-BGP中用来区分不同的VPN。

3．定义指定的接口与VRF关联。如果这个接口预先配置了IP地址，那么需将原IP地址删除，定义好关联后，再行配置IP地址。

4．定义VRF路由。PE路由器与CE路由器之间可以定义静态路由，也可以运行动态路由协议。

5．配置MPBGP协议。PE路由器从CE路由器学习到VRF路由后，需要通过运行MPBGP协议通告给其他PE。配置MPBGP协议通常分以下三步：

（1）在BGP路由配置模式下，用neighbor命令指定PE对等体，必须是IBGP对等体；

（2）进入BGP的address-familaryvpnv4地址模式，激活该对等体；

（3）对于不同的VRF，将其路由（直连、静态、OSPF、ISIS）重分布到MPBGP中进行通告。

MPSL/VPN配置实例

下面通过一个组网实例讲述MPLS/VPN业务在ZXR10中的应用。实例中描述的是E系列路由器独立组网配置。

图10  E系列路由器独立组网配置

图10中，CE1和CE2在同一个VPN中，CE1的loopback地址为100.1.1.1/24，CE2的loopback地址为200.1.1.1/24，需要能互相学习到对端的loopback路由。CE1与PE1之间运行BGP协议，CE2与PE2之间运行OSPF协议。