洞悉MPLS VPN以及OSPF在配置上的注意事项

安全
如果希望优先使用MPLS VPN骨干传输数据,并利用VRF内的线路做备份,可以使用sham-link配置方法--在MPLS VPN骨干内配置cost更低的OSPF虚拟的域内线路(如上图虚线所示),具体配置方法请参考:

洞悉MPLS VPN以及OSPF在配置上的注意事项,熟练掌握下面的MPLS VPN 知识点,你只需花几分钟的时间就能学会MPLS VPN 。IP地址的连接,本地连接也将在文中提到。

网络从RWAN向MPLS VPN演变之后,PE-CE之间的路由协议通常继续使用OSPF,这时有一些问题需要注意: P-NETWORK使用不带VRF参数的OSPF进程,VPN使用带有VRF参数的OSPF进程。如:
router ospf
3 vrf VPN_3

在配置以上命令时需要保证有一个属于该VRF的端口已经配置了IP并且处于UP的状态。在将用户路由分发到MP-BGP的时候需要注意必须使用match匹配不同类型的OSPF路由,例如:
address-family ipv4 vrf VPN_3
redistribute ospf 3 vrf wan match internal external 1 external 2 route-map filter_1

适当地使用route-map做路由过滤正好可以弥补OSPF路由控制不便的问题。在新的结构中,MPLS VPN通常作为OSPF 的SuperBackbone,即PE和CE运行OSPF的链路属于AREA0。MPLS VPN分发到OSPF中的路由是EX类型的,其优先级低于OSPF域内路由。如下图所示,如果CE1与CE2之间运行OSPF,那么CE1到CE2的流量会通过两者之间直连的线路传输,而不是通过MPLS VPN骨干。

如果希望优先使用MPLS VPN骨干传输数据,并利用VRF内的线路做备份,可以使用sham-link配置方法--在MPLS VPN骨干内配置cost更低的OSPF虚拟的域内线路(如上图虚线所示),具体配置方法请参考:
OSPF Sham-Link Support for MPLS VPN

支持多VRF的OSPF增加了防止路由环路的功能:如果一条路由曾被从MP-BGP往OSPF中分发的,则PE不允许该路由再从OSPF分发到MP-BGP中。有时如果某个PE与其他PE互联的P-NETWORK端口都当掉了,唯一可用的是通过某台CE连接到另外一台PE的一条VPN内线路,这时就必须要在这两台PE上关闭环路检测功能,以便OSPF路由顺利传递,连通整个VPN。配置命令(OSPF 进程配置模式):capability vrf-lite, 参考:
OSPF Support for Multi-VRF on CE Routers

最后由于OSPF路由器之间形成邻居时并不检查其所属的VRF,要小心属于不同VPN的OSPF路由进程之间形成邻居,导致路由策略错误。各种路由汇总也可能导致类似的策略错误,在使用MPLS VPN重叠功能的环境下尤其要注意避免使用路由汇总。

责任编辑:佟健 来源: chinaunix
相关推荐

2011-09-01 09:45:01

Ubuntu上安装Mo

2009-12-29 13:46:06

2011-06-03 15:52:47

2014-05-16 10:04:19

JavaScriptthis原理

2017-04-06 09:49:55

Hive注意事项优化

2009-06-25 08:50:43

微软Windows 7操作系统

2009-09-04 11:03:42

2011-03-31 13:58:34

cactinagios

2011-07-21 14:28:17

MySQL事务事务保存点

2021-09-28 08:59:40

UPS蓄电池电源

2012-06-13 02:02:43

ServletJavaJSP

2011-05-26 11:22:04

SEO

2010-01-13 09:02:57

华为交换机堆叠

2012-12-27 13:04:17

Android开发SQLite数据库

2019-07-04 22:45:51

云计算云安全网络安全

2011-07-07 10:03:09

2019-07-05 15:10:44

云计算物联网大数据

2009-12-15 17:47:17

VSIP

2009-07-24 13:40:16

使用SilverLig

2010-02-22 11:00:05

CCIE
点赞
收藏

51CTO技术栈公众号