MPLS VPN 同时走VPN 和外网问题

location · 发表于 2012-5-23 22:31:39

现已经做好了MPLS VPN，共有3个VPN客户，CE1-CE11 CE2-CE22 R8-R9，3个VRF。3个VPN客户可以各自通信。现在我想让VPN客户可以在VPN同时可以上外网。PE1-P-PE2 之间用IGP ，PE1-PE2 之间有MP-IBGP会话。各VRF配置正确。拿CE1-CE11为例。
CE1-PE1 和CE11-PE2之间用的RIP2，在PE1和PE11上，分别在ADDRESS-FAMILY地址中把RIP 和BGP 重分发到了BGP和RIP中。CE1和CE11间能够MPLS VPN通信。但在想让CE1客户能够上外网时（在CE1的F0/0上做NAT），遇到了问题。CE1-PE1之间的网段200.0.0.0/24因为在VRF中被通告，所以在PE1-P-PE2I的IGP之间不能被通告，即PE1 P PE2的路由表中没有200.0.0.0/24网段，这就会使外网不能到达200.0.0.0/24网段。
请会的朋友，告知思路和问题所在。

232663970 · 发表于 2012-5-23 23:58:52

yanzijiangjun · 发表于 2012-5-24 10:17:00

qq360870025 · 发表于 2012-5-25 07:48:06

你哪个路由器充当internet？如果做集中式的就起子接口，一条为VRF的，一条为global的。PE之间与internet建立 ipv4 BGP关系，把internet的路由学习到PE中。 PE在指向CE端一条默认（做NAT后的地址）
重分布进BGP，这样internet的流量能返回了。
如果是分布式的话，那么就做VRF与global的路由泄露就行，注意接口就行了

location · 发表于 2012-5-25 18:52:56

qq360870025 发表于 2012-5-25 07:48
你哪个路由器充当internet？如果做集中式的就起子接口，一条为VRF的，一条为global的。PE之间与internet建 ...

设置子接口要多配置一个公有IP，这不是我想要用的解决方法。分布式的话，接口属于了VRF，就不能被重分发到global路由中，如何让VRF的的路由泄露到GLOBAL路由中？

qq360870025 · 发表于 2012-5-25 19:21:13

location 发表于 2012-5-25 18:52
设置子接口要多配置一个公有IP，这不是我想要用的解决方法。分布式的话，接口属于了VRF，就不能被重分 ...

ip vrf a 0.0.0.0 0.0.0.0 下一跳是跟internet的PE 下一跳 gloabl
ip route 200.0.0.0 255.255.255.0 下一跳跟VRF接口也可以精确就是指向你PAT后的地址
然后将重分布BGP中就行了，我想你因该知道这个办法呀

location · 发表于 2012-5-25 21:45:25

本帖最后由 location 于 2012-5-25 21:46 编辑

qq360870025 发表于 2012-5-25 19:21
ip vrf a 0.0.0.0 0.0.0.0 下一跳是跟internet的PE 下一跳 gloabl
ip route 200.0.0.0 255.255.255.0 ...

这个方法我试过，ip vrf a 0.0.0.0 0.0.0.0 下一跳是跟internet的PE 下一跳 gloabl 这个命令是给VRF指定默认路由的 ip route 0.0.0.0 0.0.0.0 下一跳跟VRF接口这个命令是在BGP中通告NAT地址的，看似是可以，但是，数据到PE1上就停止了。我觉得问题可能是 VRF接口上，我在PE1上PING 它自己VRF接口的地址，PING不通，说明VRF实际上是把PE1分成了两个虚拟的路由器，所以PE1 ping不到VRF的接口地址，所以上面 ip route 200.0.0.0 255.255.255.0 下一跳跟VRF接口是没用的，因为PE1根本到达不了VRF接口。同理，ip vrf a 0.0.0.0 0.0.0.0 下一跳是跟internet的PE 下一跳 gloabl 也是没用的，因为从虚拟的VRF路由器来看，它也是不能到达PE下一跳global地址的。
这只是个人的理解，不到是理解有错，还是我配置还哪里有问题，请指正

qq360870025 · 发表于 2012-5-25 21:56:59

location 发表于 2012-5-25 21:45
这个方法我试过，ip vrf a 0.0.0.0 0.0.0.0 下一跳是跟internet的PE 下一跳 gloabl 这个命令是给VRF指定 ...

以前做个一次路由泄露是以太网连接的，debug显示封装失败。你可以换成串口试试以太网指定出接口会很多问题

location · 发表于 2012-5-25 22:03:24

qq360870025 发表于 2012-5-25 21:56
以前做个一次路由泄露是以太网连接的，debug显示封装失败。你可以换成串口试试以太网指定出 ...

我觉得还有个问题，MPLS VPN 是有两个标签的，栈底标签是VPN标签，顶是普通MPLS标签，但NAT流量到达PE1的VRF口后，PE1该如何去封装标签，依然像对待VPN流量一样，封装两个标签，还是指封装一个，还是如何去封装？

qq360870025 · 发表于 2012-5-25 22:10:47

location 发表于 2012-5-25 22:03
我觉得还有个问题，MPLS VPN 是有两个标签的，栈底标签是VPN标签，顶是普通MPLS标签，但NAT流量到达PE ...

跟以往一样，MPBGP先封内层标签，LDP分外层标签。数据包过来一样查询 VRF 中的FIB

location · 发表于 2012-5-25 22:18:46

qq360870025 发表于 2012-5-25 22:10
跟以往一样，MPBGP先封内层标签，LDP分外层标签。数据包过来一样查询 VRF 中的FIB

那就会有问题啊，NAT流量到达外网的某个目的P路由后，去掉外层标签，留下内层标签，而此P路由上没有VRF VPN，它如何处理内层标签？

qq360870025 · 发表于 2012-5-25 22:37:35

location 发表于 2012-5-25 22:18
那就会有问题啊，NAT流量到达外网的某个目的P路由后，去掉外层标签，留下内层标签，而此P路由上没有VRF V ...

你CE端做NAT，进入PE就会压双层标签，怎么会先执行Pop动作呢，P传递这个数据包是靠MPLS 分配的标签来传递。其实吧你这图我还是没看明白你internet 做哪就知道200.0.0.0 做NAT访问而已

location · 发表于 2012-5-25 23:05:56

qq360870025 发表于 2012-5-25 22:10
跟以往一样，MPBGP先封内层标签，LDP分外层标签。数据包过来一样查询 VRF 中的FIB

我DEBUG了下，缺省路由只包含以个标签，即分配给去往外网网关的下一跳IP地址的标签，不用封装2个标签了。封装两个标签就不好解释了

qq360870025 · 发表于 2012-5-26 00:11:02

location 发表于 2012-5-25 23:05
我DEBUG了下，缺省路由只包含以个标签，即分配给去往外网网关的下一跳IP地址的标签，不用封装2个标签了。 ...

明白了，后来想想是只有一层标签， CE只能通过PE的VRF泄露让它走global Router Table。所以MPBGP只打入了一层标签。

qq360870025 · 发表于 2012-5-26 00:12:28

location 发表于 2012-5-25 23:05
我DEBUG了下，缺省路由只包含以个标签，即分配给去往外网网关的下一跳IP地址的标签，不用封装2个标签了。 ...

之前一直考虑VRF的存在了，所以习惯性的以为双层标签

账号		自动登录	找回密码
密码			论坛注册

MPLS VPN 同时走VPN 和外网问题

浏览过的版块

客服中心

投诉建议