一个互联网服务提供商的简单MPLS VPN设计
了解CEF和MPLS关系
CEF考虑时故障排除MPLS VPN跨各种平台
CEF和MPLS VPN负载共享的考虑
了解CEF在多协议标签交换(MPLS)环境中的操作对设计稳定性和故障排除很重要。本章分析了CEF在跨思科平台的MPLS虚拟专用网(VPN)应用中的应用。服务提供商和企业越来越多地使用MPLS来提供使用IP基础设施的面向连接的服务。他们部署MPLS vpn的原因还包括可伸缩性、安全性和灵活性。由于MPLS VPN使用量增加,您需要了解CEF的角色,特别是在故障排除时。
CEF是MPLS基础开关路径。如果没有CEF,不会发生MPLS转发。MPLS转发在很大程度上依赖于IP路由表和CEF架构。因此,MPLS VPN依靠CEF因为MPLS VPN依赖于MPLS的成功运作。
本章假定MPLS VPN的一个基本的了解。虽然问题可以与MPLS VPN设置,标签分发协议(LDP),和操作发生,多次问题涉及存储在CEF或一些其它CEF不一致标签不匹配。有时候,管理员认为该问题是与CEF,但它与布线设计。本章讨论一些跨各种思科平台这些问题。
互联网服务提供商的简单的MPLS VPN设计
ISP网络通常由边缘路由器(通常称为提供商边缘,或PE,路由器)连接到客户边缘(CE)路由器和其他服务供应商的设备。在图7-1中,ISP的PE路由器接收通过外部BGP(EBGP对)或一些其他的路由协议客户路由(VPNv4路由),并通过内部BGP(IBGP对)到所有其他PE路由器发送它们。大多数网络使用路由反射器,以避免IBGP连接的全网状,因此,所有IBGP对音箱有一个会话路由反射。这是一个ISP网络的MPLS VPN实现的基本结构。表7-1定义了设备在MPLS VPN网络的类型和它们的MPLS VPN的认识。
典型的ISP MPLS VPN的实现
表7-1 MPLS VPN设备类型和感知
| 设备类型 | 描述 | MPLS VPN意识 |
|---|---|---|
| 供应商(P)路由器 | 与PE和其他P路由器接口的供应商网络的一部分 | 没有 |
| 提供商边缘(PE)路由器 | 与CE路由器和P和PE路由器接口的提供者网络的一部分 | 是的 |
| 客户边缘(CE)路由器 | 客户网络的一部分,与PE接口 | 没有 |
MPLS VPN使用共享的基础设施,为客户提供了交通安全。如果站点路由器CE1和CE3属于同一个客户和VPN,他们的流量是从其他客户的流量分割并打上标签。PE路由器维护一个单独的路由表为每个客户VPN称为虚拟路由和转发(VRF)表。
虽然VRF表格提供客户之间的隔离,从这些路由表中的数据PE路由器之间交换,以使附连到不同的PE路由器站点之间的数据传送。在供应商网络中的核心路由器(P路由器)提供跨供应商的骨干网传输不知道客户路线。
跨骨干的公共交通是通过使用已经在全球IP路由表中的路由交换的标签进行。所以,在最常见的形式,两个标签添加到客户流量。核心路由器不关心客户的转发IP数据包,但看向出口PE路由器针对一个标记数据包。出口PE路由器执行标签转发切换所述第二标签(即先前分配VPN标签)上,并且或者朝向CE路由器或另一个执行IP查找在VRF的IP分组。CE1和CE3之间的端至端的路径是MPLS标签交换路径(LSP)隧道。图7-2显示了两个站点之间的典型LSP。
两个位点之间的典型LSP
了解CEF和MPLS VPN关系
一个MPLS VPN取决于CEF功能。MPLS进行查找名为创建自己的数据库标签转发信息库(LFIB)但它使用CEF的小谎作为信息来源。如果CEF不能解决一个路由,标签也不能切换到一个目的地。MPLS VPN包在客户站点之间的标签过程路径是标签强制、标签交换、标签分配。
当PE路由器转发基于IP报头发生标签拼版并在进入MPLS网络增加一个MPLS标签该分组。在标签征收的方向,路由器交换机基于一个CEF表查询,找到下一跳包,并增加存储在FIB为目标适当的标签信息。
当路由器执行标签在芯上的MPLS报文交换,路由器确实的MPLS表查找。路由器从CEF表中的信息和标签信息库(LIB)派生该MPLS表(LFIB)。发生到达目的地的路径的变化可能导致的FIB和金狮森林工业的变化。通过不同的路由器已知的多条路径可导致对每个路径中的一个标签。路由器导出标签从负载分担CEF信息共享负载信息。对于负载均衡,数据包内的路由器的外观,以确定它是否是一个IP版本4(IPv4)的数据包。如果它是一个IPv4分组,CEF使用的IP地址散列。例如,在P-P的情况下,P路由器的外观下面的MPLS标签以及IP报头中使用IP地址来分配负载分担正确的散列桶,但不做出转发决定。在P路由器利用最上面的标签上的转发决策。
当PE路由器接收的MPLS报文,使得基于MPLS标签上的转发决定,移除标签,并且将IP分组中出现标签布置。PE路由器使用用于路径确定LFIB对该方向的分组。
表7-2总结了故障排除时需要查看的结构。如前所述,一个特殊的iBGP会话有助于在PE路由器之间宣传VPNv4前缀及其标签。在advertising PE中,BGP为本地学到的VPN前缀分配标签,并将它们安装在LFIB中,即MPLS转发表。从PE设备的角度来看,本地学习前缀是PE从连接的客户边缘设备学习的前缀。在接收PE时,如果BGP接受基于路由-目标输入的带有标签的远程学习VPN前缀,则BGP将VPN前缀安装在VRF FIB中,即CEF表。从PE的角度来看,远程学习前缀是通过eBGP从另一个PE学习到的前缀。IP查找只在入口PE发生一次。简而言之,如果路由器收到一个MPLS包,查找就会在LFIB中发生。如果路由器收到一个IP包,就会在FIB中进行查找。
表7-2开关结构所使用的功能
| 结构体 | 命令 | 在哪里使用 | 设备功能 |
|---|---|---|---|
| 金狮森林工业 | 显示mpls转发<目标> | P路由器 | 标签到标签交换 |
| 金狮森林工业 | 显示mpls转发vrf<名称> <目标>详情 | 广告PE /出口PE路由器对当地了解到前缀 | 标签至IP交换(处置) |
| 多联机无伤大雅的谎言 | 显示ip cef vrf<名称> <目标>详情 | 接收PE /入口PE用于远程了解到前缀 | IP-to-label切换(实施) |
| 撒小谎 | 显示IP CEF<目标> | CE | 普通路由/ CEF交换 |
最好用一个例子来说明CEF在标签过程路径的每个阶段是多么重要。下面的案例展示了如何验证一个MPLS VPN网络的正确运行,以及如何分析一个LSP中的LFIB和VRF CEF表。
案例1:标签处理
在图7-3中,MPLS VPN隧道(LSP)PE1和PE2之间存在。CE1通过EBGP对宣传其网络前缀10.1.0.0/16到PE1。PE1轮流发布通过IBGP对等PE路由器这个本地前缀。PE1必须从MPLS云未来走向10.1.0.0/16的流量进行标签配置。因此,为了验证PE1对如何达到10.1.1.1正确的信息,你需要看看金狮森林工业在PE1上。首先,检查什么这个VPN标签BGP受让人前缀10.1.0.0/16。
MPLS VPN隧道
在例7-1,PE1的BGP进程设置VPN标签20。
上出口PE例7-1验证BGP标签分配为10.1.0.0/16
PE1 #显示IP BGP VPN的VRF红色标签|包括10.1.0.010.1.0.0/16 10.3.1.2 20 / NOLABEL PE1#显示IP BGP VPN的VRF红10.1.1.11 BGP路由表条目:1:10.1.0.0/16,版本25550路径:(1可用,最好的#1,表红)播发非对等组的同行:192.168.4.4 65001 10.3.1.2从10.3.1.2(10.3.1.6)产地IGP,公制0,ノ唬100,有效的,外部的,最好扩展团体:RT:1:1,在MPLS /标签出20 / NOLABEL
现在,检查金狮森林工业,以确保PE1看到的地方,预计标签接收为20例7-2,公告称,金狮森林工业看到了正确的地方标贴/标签为20。
例7-2验证出口PE上的LFIB为10.1.0.0/16
PE1 #显示mpls转发vrf红色10.1.1.1本地输出前缀字节标签输出下一跳标签标签或VC或隧道Id切换接口20无标记10.1.0.0/16[V] 0 Se2/0 point2point
注意:PE路由器通常安装从VRF路由表中的CE,VRF CEF表,LFIB本地习得的路线。但是,通过的流量时,以一个CE因为目的地为CE的流量通常是传入MPLS报文的PE通常只检查标签转发表。PE路由器还可以接收目的地为CE如果两个CE路由器处于相同的VRF的IP分组,连接到相同的PE路由器,和信息流发送到对方。所以,如果进入的数据包传送给PE是从VPN站点的IP数据包,看在VRF CEF表。如果传入分组是MPLS报文,看看在金狮森林工业。
案例2:标签拼版
为了使CE2达到CE1, PE2必须对从CE2收到的IP包执行标签强制执行。在VPN隧道的另一端,PE2也应该看到正确的VPN标签20才能达到10.1.1.1。查看BGP表和VRF FIB来确认这一点,如例7-3所示。
实施例7-3验证BGP和VRF FIB上入口PE为10.1.0.0/16
PE2 #显示IP BGP VPN的VRF红10.1.1.11 BGP路由表条目:1:10.1.0.0/16,版本8路径:(1可用,最好#1,表红)播发到非对等体组对等体:10.4.1.2 65001 192.168.2.2(公制21)从192.168.2.2(192.168.2.2)产地IGP,公制0,ノ唬100,有效的,内部的,最好扩展团体:RT:1:1,MPLS标签/缩小NOLABEL / 20 PE2#显示ip cef vrf红色10.1.1.110.1.0.0/16,第7版,时代0,缓存的邻接172.16.3.1 0包,0字节的标签信息设置局部变量:与ET1 / 0,172.16.3.1 VPN路由头快速标签重写,实行标签:{1620}通过192.168.2.2,0依赖性,递归下一跳172.16.3.1,通过与ET1 / 0,172.16.3.1 192.168.2.2/32有效的缓存邻接标签改写端口Ethernet / 0,标签罚款:{16} 20
在例7-3中,PE2达到10.1.1.1的out标签为20。这是正确的。在FIB输出中有两个标签。第二个标签/底部标签是BGP标签。第一个标签/顶部标签是IGP标签。核心P装置使用IGP标签到达出口PE。因此,IGP标签也必须正确,才能跨MPLS云从PE2到达PE1。在此输出中,IGP标签为16。下一个例子验证这个IGP标签是否正确。PE2使用PE1的环回地址到达10.1.1.1,因为它是BGP的下一跳,如例7-4所示。
实施例7-4验证从入口PE的VPN路径到达10.1.1.1
PE2 #显示ip路由vrf红色10.1.1.1路由条目10.1.0.0/16经“BGP 65100”着称,距离200,指标0标签65001,由前路由描述符块192.168.2.2 3d13h类型的内部更新时间:* 192.168.2.2(默认-IP-路由表),从192.1路由度量值为0,流量份额数为1的跳1 PE2#显示IP路由192.168.2.2路由描述符块:* 172.16.3.1,从192.168.2.2,01:38:42 ago,通过Ethernet1/0路由度量是21,流量共享计数是1
案例3:标签交换
在P路由器,本地标签到达192.168.2.2,PE1的环回,是16,如例7-5所示。因此,对于发往192.168.2.2流量,P路由器预计16的入标签。
实施例7-5在P路由器验证标签转发表
P #显示MPLS转发192.168.2.2本地传出前缀字节标签传出下一跳标签标签或VC或隧道ID交换接口16弹出标签192.168.2.2/32 4350468 ET0 / 0 172.16.2.1
因此,IGP标签,该标签PE2看到的是例7-3在正确的。当P路由器接收业务朝向10.1.1.1与16的标签,它弹出顶部标签并将该分组传送到PE1,只有20的底部的标签,所述VPN标签。