1 、结构

IP VPN 服务模块包括向用户提供 IP-VPN 服务的路由器和交换机，路由器主要是 7507 或 7513 ，交换机主要是 2924 。这些设备包括：

Provider Edge (PE) Router (Cisco 7500 series routers):

• M-SN-7507-A

• M-HMG-7513-A

• M-DX-7507-A

• M-NS-7507-A

• M-XA-7507-A

• M-LZ-7507-A

• M-STJ-7507-A

VPN Access Concentrator (Cisco Catalyst 2924M-XL LAN switches):

• M-SN-2924-A

• M-HMG-2924-A

• M-DX-2924-A

• M-NS-2924-A

• M-XA-2924-A

• M-LZ-2924-A

• M-STJ-2924-A

所有 VPN Access Concentrator 2924M-XL 都是 100MbaseT 以太网交换机，通过 GE 链路连接到 7500 系列路由器上。该 GE 链路被定义为 multi-VLAN Trunk 。

2924M-XL 上的每个 100M 端口被映射到一个单独的 VLAN 上， 7500 路由器上为每个 VLAN 建立一个 sub-interface 。

• 在 VPN Access Concentrator 2924M-XL 上分配一个 100M 端口；

• 通过 FE-to-Fiber 单模光纤转换器连接用户端的设备；

• 将分配到的 100M 端口映射到 VPN Access Concentrator 2924M-XL 的一个 VLAN 上；

• 在 PE 7500 的 GE 端口上为该 VLAN 建立一个 sub-interface ；

• 将该 sub-interface 联系到一个 VPN 上；

• 在用户端，用户提供 CE 路由器通过 100M 端口连接到 PE 上。

2 、实现

A 、 VLAN Trunk

Trunk 是交换机之间或交换机和路由器之间的点到点链路， trunk 在整个网络内承载 multi-VLAN 的流量。目前有两种 trunk 封包技术，一种是 Cisco 专用技术 ISL(Inter Switch Link) ，另一种是 IEEE 802.1Q ，是国际标准。在本次城域网工程中，使用 IEEE 802.1Q 作为 inter-VLAN 的 trunk 封包技术。

下面是 2924M-XL 用作 VPN Access Concentrator 的 Sample Configuration ：

interface gigabitethernet 1/1

switchport mode trunk

switchport trunk encapsulation dot1Q

下面是 PE 路由器 7500 的 trunk 端口的 Sample configuration ：

interface gigabitethernet 8/0/0.103

encapsulation dot1Q 103

ip address 123.123.4.1 255.255.255.252

B 、 MPLS VPN

MPLS 采用虚拟路由表的方法来实现一个路由器上多个 VPN 的路由表。每一个 VPN 对应一个或多个 VRFs(VPN routing/forwarding instance) 。 VRF 定义连接到 PE 上的 VPN 成员 ( 一个 site) 资格。一个 VRF 包括一个 IP 路由表、一个 CEF(cisco express forwarding) 表、几个相关联的端口、和一些控制路由的规则和参数。

用户 site 和 VPN 之间可以不是一一对应的，一个用户 site 可以是多个 VPN 的成员。但是，一个用户 site 只可以和一个 VRF 相关联。一个用户 site 的 VRF 包括所有该 site 所属 VPN 到该 site 的路由。

数据包的路由和交换由 VRF 路由表和单独的 CEF 表所控制，每一个 VPN 对应一个路由表和一个 CEF 表，这样可以防止 packet 被交换到不关联的端口上去，同时也防止不关联的端口的 packet 被交换到该 VPN 中。

VPN 路由信息的传播由 VPN route-target communities 来控制，这主要是通过 BGP 的 extended communities 属性来实现的。 VPN 路由信息的传播通过下述的方法进行工作：

• 当一条从 CE 处学习到的 VPN 路由被 inject 到 BGP 中时，一些 VPN route target communities 属性被赋于它；其中主要包括 route-target 属性，该属性决定这些 route 将被 export 到哪些 VRF 。

• 每个 VRF 配置有一个 import route-target 列表，该列表指明了一个 BGP 的 update 中的 community 属性应该包含什么 route-target 才能被目标 VRF 接受。比如，某一个 VRF 的 import route-target 列表指明 route-target communities A 、 B 和 C ，这样，每一个 MP-iBGP 的 update 中 communities 属性的 route-target 中有 A 或 B 或 C 的 route 将被 import 到该 VRF 中。

一个 PE 路由器可通过静态路由、 RIP 或 BGP 从 CE 处得到某一个 IP 前缀的路由，该前缀是标准 IPv4 的前缀。然后， PE 通过加上一个 8 字节的 RD(route distinguisher) 将它转换成为一个 VPN-IPv4 的前缀。通过这种方法，可以使用户地址唯一，即使用户使用的是 IANA 规定的保留地址。用于生成 VPN-IPv4 前缀的 RD(route distinguisher) 由 PE 路由器的 VRF 配置命令指定。

MP BGP 协议为 VPN 的每个 VPN-IPv4 前缀传递 NLRI(Network Layer Reachability Information) 。 BGP 实体之间的通信有两种可能， AS 内的 iBGP 和 AS 间的 EBGP ， PE-PE 和 PE-RR(route reflector) 之间为 iBGP ， PE-CE 之间为 EBGP 。

BGP 协议通过 BGP 多协议扩展 (BGP multiprotocol extensions 参见 RFC 2283, Multiprotocol Extensions for BGP-4) 来传递 VPN-IPv4 的路由可达性信息，多协议扩展的 BGP 采用的方法为限定 BGP 的 peer 只能从其它 VPN 的同伴处得到 BGP 路由。

IP 包经过 MPLS 标签交换到其目标地址，其选路的基础是 VRF 路由表和 VRF CEF 表。

PE 路由器为每一个从 CE 路由器学到的前缀产生一个 label ，然后将这个 label 作为一个 BGP Communities 属性附加到 BGP 更新中传递出去。当一个源 PE 路由器从 CE 路由器处得到一个 IP 包，它使用从目标 PE 路由器学到的 label 将该 IP 包发送出去。当目标 PE 路由器得到这个 labeled IP 包后，将 label 从 IP 包中去除，作为一个纯 IP 包发送到 CE 路由器。

当 labeled IP 包在核心骨干部分传递时，其基于 label switching 或 traffic engineered path 进行，一个用户的 IP 包在核心穿行时，携带了 2 层 label ：

• 第一层 label 指示到正确的目标 PE 路由器；

• 第二层 label 给目标 PE 路由器指示，到哪一个其连接的 site 链路。

下面以黄木岗 M-HMG-7513-A 为例，给出建立一个名为“ education” 的 VPN 的 sample configuration ：

Step1: create vrf instance

ip vrf education ! Define VPN Routing instance “education”

rd 65001:101 ! Specify the route distinguisher

route-target both 65001:101 ! Configure import and export route-targets for “education”

Step 2: Activating PE exchange of VPNv4 NLRI over iMP-BGP:

router bgp 65001 ! Configure BGP sessions

no synchronization

no bgp default ipv4-activate ! Deactivate default IPv4 advertisements

neighbor 123.123.1.230 remote-as 65001 ! Define IBGP session with another PE

neighbor 123.123.1.230 description “M-SN-7507-A loopback”

neighbor 123.123.1.230 update-source lo0

address-family vpnv4 unicast ! Activate PE exchange of VPNv4 NLRI

neighbor 123.123.1.230 activate

exit-address-family

Step 3: Associate interfaces with a VPN:

interface GigabitEthernet5/0/0 ! Set up GE interface as VRF link to a CE router

ip vrf forwarding education

ip address 123.123.4.1 255.255.255.252

interface GigabitEthernet 8/0/0.101 ! Setup up 2924 FE port as VRF link

encapsulation dot1q 101

ip vrf forwarding education

ip address 123.123.4.5 255.255.255.252

Step 4: Assuming static routes are used for connecting the CE side network:

ip route vrf education 172.16.0.0 255.255.0.0 123.123.4.2

ip route vrf education 192.168.1.0 255.255.255.0 123.123.4.6