Cấu Hình Mạng Mplsvpn

Tác gi :ả

+ Nguy n Th Băng Tâm ễ ị

5.1. Phân tích các b c c u hình trên router c a Cisco ướ ấ ủ

t b router c a Cisco đ mô ph ng m ng MPLS/VPN. ể ề ủ ạ ề ườ ử ụ ạ ạ ẫ ố ộ ng truy n d n t c đ khi tri n khai mô hình m ng này s d ng các router dùng cho ợ ạ ử ụ ự ế

ố ể ệ ề ả ầ ượ ọ ạ ộ ừ ể ả ệ ấ ả ạ ề ấ ỉ ỏ ư ử ụ ệ

c khi đi vào ph n làm lab, ta đi tìm hi u các b ầ c c u hình VPN và QoS, TE c n ướ ấ ể ầ Trong đ tài này s d ng thi ế ị ỏ M ng MPLS là m ng chuy n m ch nhãn, thích h p cho môi tr ạ ể cao. Do đó, trong th c t ể m ng lõi nh router dòng 7200, router dòng 12000… ư ạ Đ c đi m c a router Cisco gi ng nh m t máy tính, nó c n ph i có h đi u hành cài ủ ặ ư ộ c g i là IOS. Tùy vào t ng IOS đ t vào. H đi u hành trong các thi t b c a Cisco đ ệ ề ặ ế ị ủ ừ mà có th đáp ng t ng ho t đ ng d ch v khác nhau. Đ i v i MPLS, c n s d ng ầ ử ụ ố ớ ụ ị ứ IOS phiên b n dành Enterprise Plus (phiên b n js). Tuy nhiên, trong đ tài này, vi c c u hình m ng MPLS/VPN ch là c u hình trong phòng thí nghi m, do đó s d ng các router nh nh router series 2600, hay router series 2500. Tr thi t trong m ng MPLS. ạ ướ ế

5.1.1. C u hình VPN trong m ng MPLS ấ ạ

c c u hình VPN t ạ ướ ấ

ế ị i router PE: Các b • B c 1: Khi báo VRF trong router PE ướ • B c 2: C u hình phiên MP-BGP gi a các router PE. ướ ữ • B c 3: C u hình đ nh tuy n gi a router PE và CE. ướ • B c 4: Ki m tra, giám sát ho t đ ng MPLS/VPN ướ ữ ạ ộ ấ ấ ể

5.1.1.a. Khai báo VRF trong router PE

Khai báo VRF theo s đ sau : ơ ồ

ồ ướ c nh sau: ư

ỉ ị ậ ấ

ạ ử ụ ệ t ch ủ ủ ứ ự ệ ữ ầ ạ ng và ch hoa. Nó ch có ý nghĩa c c b ụ ộ ỉ ữ ườ ố ỏ

khai báo g m các b Trình t ự • T o b ng VRF ả ạ • Đăng kí Route Distinguisher cho VRF • Ch ra các giá tr Route target xu t và nh p • Đăng kí VRF vào interface. • T o b ng VRF ả S d ng câu l nh: router(config)# ip vrf vrf_name vrf_name là tên c a vrf c n t o, tên c a vrf là case-sensitive, t c là có s phân bi th Mu n xoá vrf ra kh i router: no ip vrf vrf_name Đăng kí RD VRF s không ho t đ ng n u không có giá tr RD đăng kí cho nó. Đăng kí rd vào VRF ẽ ạ ộ ế ị

ệ ỗ ị ể ặ ỉ ể ử ụ ị ỉ ể ạ ệ b ng câu l nh sau: rd route-distinguisher ằ + M i VRF ch có m t giá tr rd duy nh t. ấ ộ + Có th s d ng format ASN:nn ho c A.B.C.D:nn đ đăng kí cho RD. + Ch ra giá tr Route Target import và export Đ t o route-target extended community cho VRF, s d ng câu l nh route-target trong submode c a vrf. Đ t t c u hình route-target, s d ng l nh no. ủ ử ụ ệ ể ắ ấ ử ụ

route-target {import | export | both} route-target-ext-community no route-target {import | export | both} route-target-ext-community

ị ị ị ậ ế ấ ế ậ ấ ậ ả

ủ ng t ự ư ị ủ nh route-distinguisher, có th là AS:nn ho c A.B.C.D:nn. ể ặ

ử ụ

ẽ ị ạ ỏ ặ ị ỉ

c b t lên trên interface. + Import: nh p thông tin đ nh tuy n t target VPN extended community ế ừ + Export: xu t thông tin đ nh tuy n đ n target VPN extended community ế ế + Both: nh p c thông tin đ nh tuy n nh p và xu t đ n target VPN extended community. + Route-tartget-ext-community: là giá tr c a route-target, format c a route-target cũng t ươ + Đăng kí interface vào VRF S d ng câu l nh ip vrf forwarding trong mode interface: ệ Router(config)# ip vrf forwarding vrf-name + Khi áp đ t interface vào vrf, đ a ch ip trên interface s b lo i b đi, lúc đó ta c n c u ầ ấ i đ a ch ip. hình l ỉ ạ ị + Chuy n m ch CEF ph i đ ạ ể ả ượ ậ

5.1.1.b. C u hình phiên MP-BGP gi a các router PE ữ ấ

ấ ấ ệ ạ ổ ề ề ố ư ệ + C u hình BGP address family. + C u hình láng gi ng MP-BGP. c c u hình cho vi c trao đ i route VPNv4. + Kích ho t láng gi ng BGP đã đ ượ ấ + Ch ra các tham s cho vi c trao đ i route VPNv4 (nh filter, next-hop v.v…) ổ + C u hình address family ỉ ấ

ố ử ụ ể ự ọ C u hình address family đ l a ch n routing context mà ta mu n s d ng. Bao g m ồ ấ các b c sau: ướ

+ C u hình ti n trình đ nh tuy n BGP global: ị ế ế ấ

Router(config)# router bgp autonomous-system

ể ế ứ ị ể ắ ể ấ ệ ử ụ Đ vào submode address family đ c u hình các giao th c đ nh tuy n nh BGP, RIPv2, ư và đ nh tuy n tĩnh, s d ng câu l nh address-family. Đ t ử ụ t tính năng này thì s d ng ị no phía tr c câu l nh. ế ướ ệ

+ C u hình trao đ i các prefix vpnv4: ổ ấ

address-family vpnv4 [unicast] no address-family vpnv4 [unicast]

+ C u hình các tham s trên vrf gi a PE và CE: ố ữ ấ

address-family ipv4 [unicast] vrf vrf-name address-family ipv4 [unicast] vrf vrf-name

+ C u hình láng gi ng MP-BGP ề ấ

c c u hình ề ấ ả ấ ở mode c u hình đ nh tuy n global ị ế ả ượ ấ ữ ả T t c láng gi ng MP-BGP ph i đ BGP. Phiên MP-BGP ph i ch y gi a các interface loopback. ạ Câu l nh nh sau: ư ệ

router(config)#

+ C u hình dành cho vi c trao đ i các route VPNv4 ệ ấ ổ

router(config-router)#address-family vpnv4 router(config-router-af)#neighbor {ip-address| peer-group-name} activate

+ Kích ho t vi c trao đ i route vpnv4 ệ ạ ổ

router(config-router-af)#neighbor ip-address send-community [extended| both]

ượ ử ụ ể ắ ề c trao đ i gi a các láng gi ng ả ượ ữ ổ + Đ c s d ng đ truy n community extended BGP và standard BGP g n vào ề VPNv4. Trong đó, community extended BGP ph i đ MP-BGP v i nhau. ớ

router(config-router)#no bgp default ipv4 unicast

ệ c b t lên m c đ nh, m i láng ặ ị ượ ậ ữ ổ ượ ấ ỗ ệ ử ụ ẽ ạ ả ộ + Vi c trao đ i route Ipv4 gi a các BGP láng gi ng đ ề gi ng đ c c u hình s nh n route Ipv4 bên c nh route VPNv4. S d ng câu l nh này ậ ề khi trên cùng m t router mang c các route internet và route VPNv4, và ta không mu n ố truy n route internet đ n router PE khác. ế ề

5.1.1.c. C u hình đ nh tuy n gi a router PE và router CE ữ ế ấ ị

ỗ ế ố ế ệ ể ạ ỉ ầ ấ ộ ề ứ ị ượ ọ t khi k t n i vào router M i khách hàng có th ch y m i giao th c đ nh tuy n riêng bi ứ ị ỗ PE. Trên router PE ch c n c u hình trên m i VRF thu c v khách hàng giao th c đ nh ỗ tuy n c a riêng h thì xem nh k t n i gi a router PE và CE đã đ c thành l p. Giao ậ ữ th c đ nh tuy n per-VRF có th đ c c u hình theo hai cách: ư ế ố ể ượ ấ ế ủ ứ ị ế

ỉ ế ượ ế ố c ch ra ỉ ị ệ + N u ch có BGP hay RIP hay đ nh tuy n tĩnh, các tham s per_VRF sex đ trong routing context, d + Ti n trình OSPF đ ướ c c u hình trên m i VRF. T ng s ti n trình đ nh tuy n trên ượ ấ i câu l nh address family. ổ ố ế ế ế ỗ ị

i đa là 32. ố ử ụ ế ầ ứ ị ế ạ ượ ể ả ẽ c redistribute vào BGP đ qu ng bá qua phiên MP-iBGP. Đây s là t n u site s d ng d ch v VPN là stub site, t c là ch có m t đi m entry ụ ứ ể ộ ỉ ử ụ ị m i router t ỗ C u hình routing context VRF s d ng đ nh tuy n tĩnh ấ ị L a ch n đ u tiên là ch y giao th c đ nh tuy n tĩnh gi a router PE và CE. Thông tin ọ ữ ự đ nh tuy n này đ ế ị l a ch n t ị ọ ố ế ự vào m ng nhà cung c p d ch v . ụ ạ C u trúc câu l nh nh sau: ệ ấ ư ấ

ip route vrf vrf-name static route parameters

C u hình routing context VRF cho BGP và RIPv2. ấ

ằ ọ ượ ự ế ủ ệ ấ ả ế ủ ố ị

i đ a ch family này . ế ỗ ướ ị ị ứ ỉ c l a ch n b ng câu l nh address-family ipv4 vrf vrf-name + VRF routing context đ trong ti n trình đ nh tuy n c a RIP và BGP. T t c các tham s đ nh tuy n c a riêng t ng m i giao th c (network number, passive interface, neighbor, filter…) đ ượ ấ c c u ừ hình d + C u hình per-VRF BGP routing context ấ

ứ ị ể ạ ọ ớ ự c h c t ượ ọ ừ ạ ổ router CE s đ ẽ ượ i tr ồ ạ ướ ữ ấ ư ầ ữ ấ ắ ầ ấ ế ệ ấ ớ ề ả ạ ị t ừ ấ ả ế ấ ứ ị ỗ ấ ứ ị ữ ế ả ọ Khách hàng có th ch y giao th c đ nh tuy n BGP-4 và trao đ i các route VPNv4 d c ế ả c qu ng t c các route đ phiên BGP-4. V i l a ch n này, t ấ ả bá vào d c m ng backbone MPLS/VPN s d ng phiên MP-iBGP đã t n t c đó ử ụ ọ gi a các router PE. Khi c u trình BGP gi a PE và CE, nh ph n trên ta đã th y, b t đ u c u hình per-VRF BGP v i câu l nh address-family ipv4 vrf vrf-name. Sau khi ti n vào mode c u hình address family, ta đ nh nghĩa láng gi ng BGP trên c CE và PE và kích ho t chúng. Sau t c các giao th c đ nh tuy n per-VRF khác vào BGP. Chú đó c u hình redistribute t ý là luôn c u hình BGP address-family cho m i VRF, và c u hình redistribute route vào ấ BGP ngay c khi không s d ng BGP là giao th c đ nh tuy n gi a PE và CE. ử ụ M t s l u ý khi c u hình đ nh tuy n gi a PE và CE: ị ộ ố ư ữ ế ấ

c b t lên). ượ ậ ắ ắ ạ i thành l p m ng ớ ạ ủ c b t lên). M ng MPLS/VPN backbone ph i truy n route c a ả ự ộ ạ c thay đ i nó đ đ m b o s trong su t đ nh ề ố ị ả ự ượ ổ ế ầ c b t lên). c t ả ượ ắ t đi (m c đ nh là đ ặ ị ượ ậ + T t tính năng BGP synchronization (m c đ nh là đ ặ ị + T t tính năng auto-summarization (t đ ng thu g n subnet l ọ classfull) (m c đ nh đ ượ ậ ặ ị khách hàng nh ban đ u, không đ ầ ể ả ư tuy n đ u cu i đ n đ u cu i gi a các site khách hàng. ữ ố ầ ố ế + Redistribute các route BGP vào IGP ph i đ + C u hình đ nh tuy n RIP gi a PE và CE ế ữ ấ ị

ơ ơ ả ấ ể ấ ấ ả ượ ấ c c u ố ấ ướ ề ạ ế ế ầ ố C u hình RIP đ n gi n h n BGP. Cũng nh BGP, đ c u hình routing context ta vào ư mode c u hình address-family ipv4 vrf vrf-name. T t c các tham s RIP đ hình d i mode này. Ch có RIPv2 m i tính năng address-family. ớ ỉ ố i vào RIP n u ta mu n đ nh tuy n RIP đ u cu i – c truy n l Các route BGP ph i đ ị ả ượ đ u cu i trong m ng khách hàng. ạ ầ ố

c copy vào trong thu c tính MED c a BGP route khi route IGP ượ ộ ủ ộ ứ c vào l ượ ọ c redistribute vào BGP. V i giao th c BGP-4 chu n, thu c tính ch đ c copy ng ự ở ộ ượ ệ c redistribute nh là metric c a RIP khi BGP qu ng bá route ng ư IGP metric luôn luôn đ ỉ ượ ử ụ c s d ng đ ẩ ớ ượ i IGP metric. Trong MPLS/VPN khi l a ch n route, và không đ ạ ượ c thêm vào đã m r ng câu l nh redistribute – metric transparent – cho phép MED đ ượ ạ i c l các route đ ủ vào RIP. Đi u này cho phép ta trong su t đ nh tuy n RIP gi a đ u cu i khách hàng: ố ị ả ữ ầ ượ ề ế ố

c thêm vào attribute MED khi route RIP đ c ingress router PE ượ

ướ ế c copy vào RIP hop count, n u ượ c c u hình, khi BGP route đ c redistribute l ộ ạ i vào RIP. Do đó toàn b m ng + Rip hop count đ ượ redistribute vào BGP. + Giá tr attribute MED (là RIP hop count tr ị đ ượ ấ backbone MPLS/VPN gi ng nh m t hop đ n l ượ ư ộ ố c đó) đ ạ đ i v i các router CE. ơ ẻ ố ớ

ấ ữ c h c t các site khách hàng thông qua OSPF đ ượ ặ ả ế ế ượ ọ ừ ớ ươ ứ ố ư ạ ậ ữ ượ ọ C u hình đ nh tuy n OSPF gi a router PE và CE ị Thông tin đ nh tuy n đ ị VRF t đây. Các route này sau đó đ router PE s d ng MP-iBGP, và đ ử ụ c đ t vào ng ng v i interface ngõ vào gi ng nh các c ch mà ta đã th o lu n trên ơ ế c qu ng bá d c m ng backbone MPLS/VPN gi a các c nh p vào VRF thích h p trên router PE khác. ợ ả ượ ậ

ế ứ ị ớ t k đ h tr ki n trúc m ng phân t ng v i ạ c thi ế ế ể ỗ ợ ế ạ ầ ấ ả ượ ạ ả ế ố ự ế ế ố ự ở ộ ầ ầ ọ site khác mà không c n ph i thi Giao th c đ nh tuy n OSPF đ ượ c chia thành các area. T t c các area m ng backbone trung tâm. M ng ch y OSPF đ ạ ph i k t n i tr c ti p vào area backbone (area 0). Toàn b m ng OSPF (area backbone ộ ạ c g i là OSPF domain (mi n OSPF). Đ h tr và các area khác k t n i vào nó) đ ể ỗ ợ ề ượ ọ ấ k t n i OSPF gi a PE và CE trong m ng MPLS/VPN, c n ph i có s m r ng c u ả ạ ữ ế ố trúc phân t ng trong OSPF đ ch y các ti n trình OSPF đ c l p v i nhau và h c các ộ ậ ế t l p m i quan h c n k tr c ti p. route t ệ ậ ế ậ ớ ề ự ế ể ạ ầ ừ ả ố

ớ ế ứ ị ạ ộ ế ế ạ ỗ ị ỗ ế ự ứ ầ ữ ượ ả ệ ứ ể ầ Khác v i các giao th c đ nh tuy n khác là ch y các routing context khác nhau nh ng ư trong cùng m t ti n trình, còn OSPF m i VRF ch y m i ti n trình đ nh tuy n khác nhau (t c là có process-ID khác nhau), do đó c n ph i có s cách ly gi a các ti n trình ế c m r ng, có OSPF trên router PE. Đ đáp ng yêu c u này, câu l nh router ospf đ ở ộ c u trúc nh sau: ấ ư

ể ủ ề ượ c các route c a khách hàng qua m ng backbone MPLS thì nó ph i đ ạ ả ượ c c redistribute vào ư ượ ộ ế giao th c đ nh tuy n khác, nó đ ừ ế ứ ị ậ ử ụ ượ ế ố c redistribute ng i vào OSPF c router PE nh n s đ ở Đ truy n đ t, b t kì khi nào m t route đ redistribute vào MP-BGP. Nh ta đã bi ấ c xem nh là external OSPF route. Trong OSPF t ư ượ ứ ị ế m ng MPLS VPN cũng v y khi khách hàng s d ng OSPF làm giao th c đ nh tuy n ạ c truy n d c ch y trên k t n i PE – CE. Các route OSPF đ ọ ề ậ ẽ ượ ạ site khác nh là external c l m ng backbone, và đ ư ượ ạ ượ ạ OSPF route.

ể ố ớ ộ ố ặ

t c các OSPF area khác. ớ ợ c flood đ n t ể ử ụ

c xem là stub và not-so- ượ ượ c thêm vào nh ng area nào đ ữ

ấ c u tiên h n đ i v i các route external, b t ch p ượ ư ố ớ ấ ơ ư ế ử ụ ụ ặ ị ủ ữ ể ấ ố ể ề ố ớ ị ế ể ề ở ộ ể ỗ ợ ự ả ị

ỗ ợ ạ ứ ế ể ạ ẽ ể ả ề ở M t s đ c đi m đ i v i external OSPF route là: + External route không th summarize. ể + External route đ ế ấ ả ượ + External route có th s d ng metric type khác, metric này không thích h p v i OSPF cost. + External route không đ stubby (NSSA). + Các route internal luôn luôn đ cost c a chúng nh th nào. Vì nh ng đ c đi m trên, vi c chuy n khách hàng OSPF s d ng d ch v MPLS VPN ệ có th gây ra nhi u v n đ đ i v i đ nh tuy n khách hàng. Do đó kh i ki n trúc MPLS ế ế ố ố ớ VPN ph i m r ng mô hình đ nh tuy n OSPF-BGP đ h tr s trong su t đ i v i khách hàng. ạ Ki n trúc MPLS VPN h tr m ng backbone qua area 0 (superbackbone). T c là m ng các MPLS VPN s là superbackbone, còn các site khách hàng khác có th ch y OSPF ở area khác nhau, k c area 0. Đi u này cho phép area backbone OSPF (area 0) đ ượ c tách ra + M ng superbackbone ph i đáp ng đ c các m c tiêu sau: các site khách hàng MPLS/VPN. ượ ứ ụ ạ ả

ơ ế ẩ

ử ụ c h tr gi a các site OSPF: ả ượ ỗ ợ ữ ả ượ ả ượ c duy trì là internal route OSPF. c duy trì là external route OSPF. ả ư c redistribute vào OSPF ph i xu t hi n nh là ượ ệ ả ấ

c b o v (t c là không ả ượ ả ệ ứ c thay đ i). ổ - Super-backbone không s d ng c ch redistribute OPSF-BGP chu n - OSPF continity ph i đ + Internal route OPSF ph i đ + External route OSPF ph i đ + Các route không ph i là OSPF đ external route OSPF trong OSPF. + Metric OSPF và metric type (external 1 và external 2) ph i đ đ ượ - OSPF super-backbone ph i trong su t đ i v i router CE ch y giao th c OSPF. ố ố ớ ứ ả ạ

ủ ế ố ượ ạ ằ ể ượ ượ ự c truy n vào các OSPF area khác nh là inter-area ượ ư ề ẽ ượ c Router PE k t n i các area OSPF c a khách hàng vào m ng super-backbone s đ ạ xem là ABR trong OSPF area. Các route OSPF intra-area đ c thêm vào m ng OSPF super-backbone b ng cách redistribute route OSPF vào MP-BGP. Route summarization ề có th đ c truy n c router PE th c hi n trên biên redistribute. Các route MP-BGP đ ệ đ n router PE khác, lúc này nó đ ế route.

ộ ố ắ ố ớ ạ ng. + M t s quy t c đ i v i m ng super-backbone MPLS VPN: - OSPF super-backbone có có đ c đi m chính xác nh area o trong OSPF thông th ặ ư ể ườ

ượ ượ ế BGP vào OSPF xu t hi n nh là inter-area route n u ư

area 0 c a site này khi ụ ư ệ ế c xem là external route n u ượ ắ ầ ừ ủ c xem là inter-area route. c xem là Area Border router. + Router PE đ c redistribute t + Các route đ ừ ấ route kh i t o là inter-area ho c intra-area route, và đ ở ạ ặ route kh i t o là external route. Ví d nh các route b t đ u t ở ạ đ n area 0 c a site khác s đ ủ ế ẽ ượ

ậ ấ ả ậ ậ ử ớ ậ ả ế ể ạ ậ ượ ề ầ ủ c s d ng đ truy n thu c tính OSPF c a ở ộ ề ể ộ

B t kì khi nào router PE nh n c p nh t MP-iBGP có các prefix đ c h c thông qua ượ ọ i, nó ph i có kh năng nh n di n lo i route OSPF nào OSPF do router PE đ u xa g i t ậ ầ ạ ệ có trong c p nh t. Đi u này th c s c n thi t đ cho router PE phát ra LSA thích h p ợ ự ự ầ ậ ề ể ỗ đ n router CE c a khách hàng VPN d a trên lo i route OSPF mà nó nh n đ c. Đ h ế ự ủ tr yêu c u này, khi router PE truy n route OSPF vào MP-iBGP thông qua redistribute, ợ thu c tính BGP Community m r ng đ ượ ử ụ ộ route. Format c a community này đ c đ nh nghĩa nh b ng sau: ượ ị ư ả ủ

B ng 5.1: Format c a thu c tính Community ủ ả ộ