Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấu Hình Mạng Mpls/vpn

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cấu Hình Mạng Mpls/vpn

    Tác giả:

    + Nguyễn Thị Băng Tâm

    5.1. Phân tích các bước cấu hình trên router của Cisco

    Trong đề tài này sử dụng thiết bị router của Cisco để mô phỏng mạng MPLS/VPN. Mạng MPLS là mạng chuyển mạch nhãn, thích hợp cho môi trường truyền dẫn tốc độ cao. Do đó, trong thực tế khi triển khai mô hình mạng này sử dụng các router dùng cho mạng lõi như router dòng 7200, router dòng 12000…
    Đặc điểm của router Cisco giống như một máy tính, nó cần phải có hệ điều hành cài đặt vào. Hệ điều hành trong các thiết bị của Cisco được gọi là IOS. Tùy vào từng IOS mà có thể đáp ứng từng hoạt động dịch vụ khác nhau. Đối với MPLS, cần sử dụng IOS phiên bản dành Enterprise Plus (phiên bản js).
    Tuy nhiên, trong đề tài này, việc cấu hình mạng MPLS/VPN chỉ là cấu hình trong phòng thí nghiệm, do đó sử dụng các router nhỏ như router series 2600, hay router series 2500.
    Trước khi đi vào phần làm lab, ta đi tìm hiểu các bước cấu hình VPN và QoS, TE cần thiết trong mạng MPLS.

    5.1.1. Cấu hình VPN trong mạng MPLS

    Các bước cấu hình VPN tại router PE:
    • Bước 1: Khi báo VRF trong router PE
    • Bước 2: Cấu hình phiên MP-BGP giữa các router PE.
    • Bước 3: Cấu hình định tuyến giữa router PE và CE.
    • Bước 4: Kiểm tra, giám sát hoạt động MPLS/VPN

    5.1.1.a. Khai báo VRF trong router PE

    Khai báo VRF theo sơ đồ sau :



    Trình tự khai báo gồm các bước như sau:
    • Tạo bảng VRF
    • Đăng kí Route Distinguisher cho VRF
    • Chỉ ra các giá trị Route target xuất và nhập
    • Đăng kí VRF vào interface.
    • Tạo bảng VRF
    Sử dụng câu lệnh: router(config)# ip vrf vrf_name
    vrf_name là tên của vrf cần tạo, tên của vrf là case-sensitive, tức là có sự phân biệt chữ thường và chữ hoa. Nó chỉ có ý nghĩa cục bộ
    Muốn xoá vrf ra khỏi router: no ip vrf vrf_name
    Đăng kí RD
    VRF sẽ không hoạt động nếu không có giá trị RD đăng kí cho nó. Đăng kí rd vào VRF bằng câu lệnh sau: rd route-distinguisher
    + Mỗi VRF chỉ có một giá trị rd duy nhất.
    + Có thể sử dụng format ASN:nn hoặc A.B.C.D:nn để đăng kí cho RD.
    + Chỉ ra giá trị Route Target import và export
    Để tạo route-target extended community cho VRF, sử dụng câu lệnh route-target trong submode của vrf. Để tắt cấu hình route-target, sử dụng lệnh no.

    route-target {import | export | both} route-target-ext-community
    no route-target {import | export | both} route-target-ext-community

    + Import: nhập thông tin định tuyến từ target VPN extended community
    + Export: xuất thông tin định tuyến đến target VPN extended community
    + Both: nhập cả thông tin định tuyến nhập và xuất đến target VPN extended community.
    + Route-tartget-ext-community: là giá trị của route-target, format của route-target cũng tương tự như route-distinguisher, có thể là AS:nn hoặc A.B.C.D:nn.
    + Đăng kí interface vào VRF
    Sử dụng câu lệnh ip vrf forwarding trong mode interface:
    Router(config)# ip vrf forwarding vrf-name
    + Khi áp đặt interface vào vrf, địa chỉ ip trên interface sẽ bị loại bỏ đi, lúc đó ta cần cấu hình lại địa chỉ ip.
    + Chuyển mạch CEF phải được bật lên trên interface.

    5.1.1.b. Cấu hình phiên MP-BGP giữa các router PE

    + Cấu hình BGP address family.
    + Cấu hình láng giềng MP-BGP.
    + Kích hoạt láng giềng BGP đã được cấu hình cho việc trao đổi route VPNv4.
    + Chỉ ra các tham số cho việc trao đổi route VPNv4 (như filter, next-hop v.v…)
    + Cấu hình address family

    Cấu hình address family để lựa chọn routing context mà ta muốn sử dụng. Bao gồm các bước sau:

    + Cấu hình tiến trình định tuyến BGP global:

    Router(config)# router bgp autonomous-system

    Để vào submode address family để cấu hình các giao thức định tuyến như BGP, RIPv2, và định tuyến tĩnh, sử dụng câu lệnh address-family. Để tắt tính năng này thì sử dụng no phía trước câu lệnh.

    + Cấu hình trao đổi các prefix vpnv4:

    address-family vpnv4 [unicast]
    no address-family vpnv4 [unicast]

    + Cấu hình các tham số trên vrf giữa PE và CE:

    address-family ipv4 [unicast] vrf vrf-name
    address-family ipv4 [unicast] vrf vrf-name

    + Cấu hình láng giềng MP-BGP

    Tất cả láng giềng MP-BGP phải được cấu hình ở mode cấu hình định tuyến global BGP. Phiên MP-BGP phải chạy giữa các interface loopback.
    Câu lệnh như sau:

    router(config)#



    + Cấu hình dành cho việc trao đổi các route VPNv4

    router(config-router)#address-family vpnv4
    router(config-router-af)#neighbor {ip-address| peer-group-name} activate

    + Kích hoạt việc trao đổi route vpnv4

    router(config-router-af)#neighbor ip-address send-community [extended| both]

    + Được sử dụng để truyền community extended BGP và standard BGP gắn vào VPNv4. Trong đó, community extended BGP phải được trao đổi giữa các láng giềng MP-BGP với nhau.

    router(config-router)#no bgp default ipv4 unicast

    + Việc trao đổi route Ipv4 giữa các BGP láng giềng được bật lên mặc định, mỗi láng giềng được cấu hình sẽ nhận route Ipv4 bên cạnh route VPNv4. Sử dụng câu lệnh này khi trên cùng một router mang cả các route internet và route VPNv4, và ta không muốn truyền route internet đến router PE khác.
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    5.1.1.c. Cấu hình định tuyến giữa router PE và router CE

    Mỗi khách hàng có thể chạy mỗi giao thức định tuyến riêng biệt khi kết nối vào router PE. Trên router PE chỉ cần cấu hình trên mỗi VRF thuộc về khách hàng giao thức định tuyến của riêng họ thì xem như kết nối giữa router PE và CE đã được thành lập. Giao thức định tuyến per-VRF có thể được cấu hình theo hai cách:

    + Nếu chỉ có BGP hay RIP hay định tuyến tĩnh, các tham số per_VRF sex được chỉ ra trong routing context, dưới câu lệnh address family.
    + Tiến trình OSPF được cấu hình trên mỗi VRF. Tổng số tiến trình định tuyến trên mỗi router tối đa là 32.
    Cấu hình routing context VRF sử dụng định tuyến tĩnh
    Lựa chọn đầu tiên là chạy giao thức định tuyến tĩnh giữa router PE và CE. Thông tin định tuyến này được redistribute vào BGP để quảng bá qua phiên MP-iBGP. Đây sẽ là lựa chọn tốt nếu site sử dụng dịch vụ VPN là stub site, tức là chỉ có một điểm entry vào mạng nhà cung cấp dịch vụ.
    Cấu trúc câu lệnh như sau:

    ip route vrf vrf-name static route parameters

    Cấu hình routing context VRF cho BGP và RIPv2.



    + VRF routing context được lựa chọn bằng câu lệnh address-family ipv4 vrf vrf-name trong tiến trình định tuyến của RIP và BGP. Tất cả các tham số định tuyến của riêng từng mỗi giao thức (network number, passive interface, neighbor, filter…) được cấu hình dưới địa chỉ family này .
    + Cấu hình per-VRF BGP routing context

    Khách hàng có thể chạy giao thức định tuyến BGP-4 và trao đổi các route VPNv4 dọc phiên BGP-4. Với lựa chọn này, tất cả các route được học từ router CE sẽ được quảng bá vào dọc mạng backbone MPLS/VPN sử dụng phiên MP-iBGP đã tồn tại trước đó giữa các router PE.
    Khi cấu trình BGP giữa PE và CE, như phần trên ta đã thấy, bắt đầu cấu hình per-VRF BGP với câu lệnh address-family ipv4 vrf vrf-name. Sau khi tiến vào mode cấu hình address family, ta định nghĩa láng giềng BGP trên cả CE và PE và kích hoạt chúng. Sau đó cấu hình redistribute từ tất cả các giao thức định tuyến per-VRF khác vào BGP. Chú ý là luôn cấu hình BGP address-family cho mỗi VRF, và cấu hình redistribute route vào BGP ngay cả khi không sử dụng BGP là giao thức định tuyến giữa PE và CE.
    Một số lưu ý khi cấu hình định tuyến giữa PE và CE:

    + Tắt tính năng BGP synchronization (mặc định là được bật lên).
    + Tắt tính năng auto-summarization (tự động thu gọn subnet lại thành lớp mạng classfull) (mặc định được bật lên). Mạng MPLS/VPN backbone phải truyền route của khách hàng như ban đầu, không được thay đổi nó để đảm bảo sự trong suốt định tuyến đầu cuối đến đầu cuối giữa các site khách hàng.
    + Redistribute các route BGP vào IGP phải được tắt đi (mặc định là được bật lên).
    + Cấu hình định tuyến RIP giữa PE và CE

    Cấu hình RIP đơn giản hơn BGP. Cũng như BGP, để cấu hình routing context ta vào mode cấu hình address-family ipv4 vrf vrf-name. Tất cả các tham số RIP được cấu hình dưới mode này. Chỉ có RIPv2 mới tính năng address-family.
    Các route BGP phải được truyền lại vào RIP nếu ta muốn định tuyến RIP đầu cuối – đầu cuối trong mạng khách hàng.



    IGP metric luôn luôn được copy vào trong thuộc tính MED của BGP route khi route IGP được redistribute vào BGP. Với giao thức BGP-4 chuẩn, thuộc tính chỉ được sử dụng khi lựa chọn route, và không được copy ngược vào lại IGP metric. Trong MPLS/VPN đã mở rộng câu lệnh redistribute – metric transparent – cho phép MED được thêm vào các route được redistribute như là metric của RIP khi BGP quảng bá route ngược lại vào RIP. Điều này cho phép ta trong suốt định tuyến RIP giữa đầu cuối khách hàng:

    + Rip hop count được thêm vào attribute MED khi route RIP được ingress router PE redistribute vào BGP.
    + Giá trị attribute MED (là RIP hop count trước đó) được copy vào RIP hop count, nếu được cấu hình, khi BGP route được redistribute lại vào RIP. Do đó toàn bộ mạng backbone MPLS/VPN giống như một hop đơn lẻ đối với các router CE.

    Cấu hình định tuyến OSPF giữa router PE và CE
    Thông tin định tuyến được học từ các site khách hàng thông qua OSPF được đặt vào VRF tương ứng với interface ngõ vào giống như các cơ chế mà ta đã thảo luận trên đây. Các route này sau đó được quảng bá dọc mạng backbone MPLS/VPN giữa các router PE sử dụng MP-iBGP, và được nhập vào VRF thích hợp trên router PE khác.

    Giao thức định tuyến OSPF được thiết kế để hỗ trợ kiến trúc mạng phân tầng với mạng backbone trung tâm. Mạng chạy OSPF được chia thành các area. Tất cả các area phải kết nối trực tiếp vào area backbone (area 0). Toàn bộ mạng OSPF (area backbone và các area khác kết nối vào nó) được gọi là OSPF domain (miền OSPF). Để hỗ trợ kết nối OSPF giữa PE và CE trong mạng MPLS/VPN, cần phải có sự mở rộng cấu trúc phân tầng trong OSPF để chạy các tiến trình OSPF độc lập với nhau và học các route từ site khác mà không cần phải thiết lập mối quan hệ cận kề trực tiếp.

    Khác với các giao thức định tuyến khác là chạy các routing context khác nhau nhưng trong cùng một tiến trình, còn OSPF mỗi VRF chạy mỗi tiến trình định tuyến khác nhau (tức là có process-ID khác nhau), do đó cần phải có sự cách ly giữa các tiến trình OSPF trên router PE. Để đáp ứng yêu cầu này, câu lệnh router ospf được mở rộng, có cấu trúc như sau:



    Để truyền được các route của khách hàng qua mạng backbone MPLS thì nó phải được redistribute vào MP-BGP. Như ta đã biết, bất kì khi nào một route được redistribute vào OSPF từ giao thức định tuyến khác, nó được xem như là external OSPF route. Trong mạng MPLS VPN cũng vậy khi khách hàng sử dụng OSPF làm giao thức định tuyến chạy trên kết nối PE – CE. Các route OSPF được router PE nhận sẽ được truyền dọc mạng backbone, và được redistribute ngược lại vào OSPF ở site khác như là external OSPF route.

    Một số đặc điểm đối với external OSPF route là:
    + External route không thể summarize.
    + External route được flood đến tất cả các OSPF area khác.
    + External route có thể sử dụng metric type khác, metric này không thích hợp với OSPF cost.
    + External route không được thêm vào những area nào được xem là stub và not-so-stubby (NSSA).
    + Các route internal luôn luôn được ưu tiên hơn đối với các route external, bất chấp cost của chúng như thế nào.
    Vì những đặc điểm trên, việc chuyển khách hàng OSPF sử dụng dịch vụ MPLS VPN có thể gây ra nhiều vấn đề đối với định tuyến khách hàng. Do đó khối kiến trúc MPLS VPN phải mở rộng mô hình định tuyến OSPF-BGP để hỗ trợ sự trong suốt đối với khách hàng.
    Kiến trúc MPLS VPN hỗ trợ mạng backbone qua area 0 (superbackbone). Tức là mạng MPLS VPN sẽ là superbackbone, còn các site khách hàng khác có thể chạy OSPF ở các area khác nhau, kể cả area 0. Điều này cho phép area backbone OSPF (area 0) được tách ra ở các site khách hàng MPLS/VPN.
    + Mạng superbackbone phải đáp ứng được các mục tiêu sau:

    - Super-backbone không sử dụng cơ chế redistribute OPSF-BGP chuẩn
    - OSPF continity phải được hỗ trợ giữa các site OSPF:
    + Internal route OPSF phải được duy trì là internal route OSPF.
    + External route OSPF phải được duy trì là external route OSPF.
    + Các route không phải là OSPF được redistribute vào OSPF phải xuất hiện như là external route OSPF trong OSPF.
    + Metric OSPF và metric type (external 1 và external 2) phải được bảo vệ (tức là không được thay đổi).
    - OSPF super-backbone phải trong suốt đối với router CE chạy giao thức OSPF.

    Router PE kết nối các area OSPF của khách hàng vào mạng super-backbone sẽ được xem là ABR trong OSPF area. Các route OSPF intra-area được thêm vào mạng OSPF super-backbone bằng cách redistribute route OSPF vào MP-BGP. Route summarization có thể được router PE thực hiện trên biên redistribute. Các route MP-BGP được truyền đến router PE khác, lúc này nó được truyền vào các OSPF area khác như là inter-area route.

    + Một số quy tắc đối với mạng super-backbone MPLS VPN:
    - OSPF super-backbone có có đặc điểm chính xác như area o trong OSPF thông thường.

    + Router PE được xem là Area Border router.
    + Các route được redistribute từ BGP vào OSPF xuất hiện như là inter-area route nếu route khởi tạo là inter-area hoặc intra-area route, và được xem là external route nếu route khởi tạo là external route. Ví dụ như các route bắt đầu từ area 0 của site này khi đến area 0 của site khác sẽ được xem là inter-area route.

    Bất kì khi nào router PE nhận cập nhật MP-iBGP có các prefix được học thông qua OSPF do router PE đầu xa gửi tới, nó phải có khả năng nhận diện loại route OSPF nào có trong cập nhật. Điều này thực sự cần thiết để cho router PE phát ra LSA thích hợp đến router CE của khách hàng VPN dựa trên loại route OSPF mà nó nhận được. Để hỗ trợ yêu cầu này, khi router PE truyền route OSPF vào MP-iBGP thông qua redistribute, thuộc tính BGP Community mở rộng được sử dụng để truyền thuộc tính OSPF của route.
    Format của community này được định nghĩa như bảng sau:

    Bảng 5.1: Format của thuộc tính Community

    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      tác giả của mấy bài cấu hình VPN ởi. Bạn có thể upload lại mấy cái hình minh họa không.

      Comment


      • #4
        uh ,bạn làm ơn up lại mấy cái hỉnh minh họa giùm mình .Thanks

        Comment


        • #5
          Chào bạn,
          Bạn hãy xem các bài viết MPLS VPN trong box CCIE Services Provider rồi xem bài này sẽ hiểu mà không cần hình ảnh.

          Comment


          • #6
            các bác có thể demo MPLS - QoS giùm để cho mọi người tham khảo được ko ạ ??? tks

            Comment


            • #7
              minh ko nhin duoc hinh ban up lai duoc ko

              Comment

              Working...
              X