创建VRF空间
[r2]ip vpn-instance a
[r2-vpn-instance-a]
配置VRF空间
[r2-vpn-instance-a]route-distinguisher 100:100 --- 配置RD值
[r2-vpn-instance-a-af-ipv4]vpn-target 100:1 exportextcommunity --- 配置出站RT
[r2-vpn-instance-a-af-ipv4]vpn-target 100:2 importextcommunity --- 配置入站RT
[r2-GigabitEthernet0/0/0]ip binding vpn-instance a ---- 讲接口绑
定到对应的VRF空间中
[r2]display ip routing-table vpn-instance a ---- 查看VRF空间路由
表
[r2]ping -vpn-instance a 192.168.2.1
[r2]ip route-static vpn-instance a 192.168.1.0 24
192.168.2.1 ---- 在空间路由表中配置静态路由
MP-BGP建邻
[r2]bgp 1
[r2-bgp]router-id 2.2.2.2
[r2-bgp]peer 4.4.4.4 as 1
[r2-bgp]peer 4.4.4.4 connect-interface LoopBack 0
[r2-bgp]ipv4-family vpnv4
[r2-bgp-af-vpnv4]peer 4.4.4.4 enable
MP-BGP的路由发布
[r2-bgp]ipv4-family vpn-instance a
[r2-bgp-a]import-route direct
[r2-bgp-a]import-route static
[r2]display bgp vpnv4 vpn-instance a routing-table ---- 查看空间内部BGP表
[r2]display fib vpn-instance a --- 查看空间内部的FIB表
[r2]rip 1 vpn-instance a ---- 在VRF空间中启动RIP进程
[r2-rip-1]v 2
[r2-rip-1]network 192.168.2.0
[r4]ospf 2 vpn-instance b router-id 4.4.4.4 ---- 在VRF空间中启动 ospf进程
企业的三层架构 --- 企业网搭建的建议方案
园区 ---- 工厂,政府机关,写字楼,校园,公园等,这些公共场所内为实现数据的互通所搭建的网络都可以称为园区网。不同的园区网搭建的侧重点可能不同。
无线永远是有线的最后一公里无线连接需要依靠可以发射和接收无线信号的无线设备,而这些设备最终也需要通过有线接入到网络中。
AP --- 无线接入点
WLAN --- 无线局域网 ---- 其广义上指以无线电波,激光,红外线等来代替有线局域网的部分或全部传输介质所有构建的网络。
无线网络天生的缺陷:
1,无线信号的穿透性较差无线采用的是以太网技术 --- 频分 ---- 而民用无线网络使用的是低频频段进行数据传输,低频频段的先天缺陷就是穿透性差。 2,无线网传输速率和信号强度有关,而且,他的传输速率指的双向速率
1000 / 8 * 0.85 = 106.25
200 / 8 / 2 * 0.85 = 10.625
3,无线网络传输效率较低,速度较慢
冲突域:发生冲突的范围 --- 一个集线器就处于一个冲突域中
CSMA/CD --- 载波侦听多路访问/冲突检测技术
无线局域网相当于在同一个冲突域中,而无线技术解决冲突的方法是采用CSMA/CA
CSMA/CA --- 载波侦听多路访问/冲突避免技术 --- 其传输效率比CD技术更低
无线设备无法去检测冲突其原因 --- 无线信号本身强度动态范围非常大,往往收到的信号强度可能远远小于发出的信号强度,导致检测冲突困难(可以增加硬件性能提高强度)
CA技术避免冲突的做法:
1,在侦听到范围内没有信息发送时,不直接发送信号,而是,先给自己设置一个随机的计时器。
2,CSMA/CA技术采用停等式流控。
接入层 ---- 主要目的使终端设备接入到网络中来,提供接入端口 ---一般采用二层交换机(依靠MAC地址表实现二层转发)
汇聚层 ---- 主要目的是汇聚接入层收集的流量,一般采用三层交换机 ---- 他拥有类似普通二层交换机使用的二层接口,也拥有类似于路由器或计算机所使用的三层接口。二层口和三层口最大的区别就是有无IP地址。
三层交换机即可以通过MAC地址表实现二层转发,也可以通过路由表实现三层转发。
企业网的三层架构的核心 --- 冗余 ---- 备份
1,线路冗余
2,设备冗余
3,网关冗余
4,UPS冗余 ---- UPS --- 不间断电源 ---- 保证企业设备的电源达到6个9的可用性。99.9999%
一个真正的三层架构,一定会存在冗余。
核心层 --- 主要作用是完成公网和私网之间数据的快速转发。 ---- 一般选择路由器作为核心层设备。
VLAN
V --- 虚拟
LAN --- 局域网 ---- 地理覆盖范围较小的网络
MAN --- 城域网
WAN --- 广域网
LAN --- 广播域
VLAN --- 虚拟局域网 --- 交换机和路由器协同做后,将原来的一个广播域逻辑上划分为多个;
第一步:创建VLAN
[Huawei]display vlan --- 查看VLAN信息
VID --- VLAN ID ---- 区分和标定不同的VLAN ---- IEEE组织颁布
802.1Q标准中要求 --- VID必须是由12位二进制构成。取值范围 0 4095,0和4095是保留编号,所以,可用的取值范围为1 - 4094
[Huawei]vlan 2 --- 创建VLAN
[Huawei]vlan batch 4 to 100 --- 批量创建VLAN
[Huawei]undo vlan batch 4 to 10 --- 批量删除VLAN
第二步:将接口划入VLAN
VID配置映射到交换机的接口,实现VLAN的划分 --- 一层VLAN/物理
VLAN
VID配置映射到数据中的MAC地址,实现VLAN的划分 --- 二层VLAN
VID配置映射到数据中的类型字段,实现VLAN的划分 --- 三层VLAN
VLAN还可以根据IP地址进行划分,甚至可以根据策略进行VLAN划分。
802.1Q标准设计了VLAN的标签,是由4个字节构成,其中包含12位的 VID,用来区分不同VLAN的流量。并将这个标签加入到以太网Ⅱ型帧源MAC地址和类型字段之间。
802.1Q标准规定,将带有标签的帧称为tagged帧或802.1Q帧,没带标签的帧我们称为untagged帧
根据这个特性,我们将交换机和电脑之间的链路称为ACCESS链路,并且,ACCESS链路中交换机侧的接口称为ACCESS接口。ACCESS链路中只能通过untagged帧,并且,这些帧只能属于同一个VLAN。
我们将交换机之间的链路称为trunk链路,trunk链路两端的接口称为 trunk接口。trunk链路中允许通过tagged帧,并且这些帧可以属于多个VLAN。
第三步:配置trunk干道
第二步配置
[sw1-GigabitEthernet0/0/1]port link-type access [sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1]port-group group-member GigabitEthernet 0/0/3
GigabitEthernet 0/0/4
[sw1-port-group] --- 创建接口组
第三步配置
[sw1-GigabitEthernet0/0/5]port link-type trunk
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all
hybrid --- 混杂接口
[sw1]display port vlan active
link Type ---- 华为设备,所有接口默认的接口类型为hybrid PVID --- 华为给每一个接口,都需要配置一个PVID,就是接口所属的 VID。所有接口没有更改PVID则默认的PVID值为1.
华为体系规定:所有通过接口进入到交换机的数据,都必须打上接口所对应的PVID的标签,也就是说,交换机内部所有的数据都是带标签的。
ACCESS接口
1,当ACCESS接口从链路上收到一个untagged帧后,交换机会在这个帧中添加VID为接口PVID是tag,之后看这个VID是否在允许列表中,如果在,则对得到的tagged帧进行转发。
2,当tagged帧从交换机的其他端口到达一个ACCESS口后,则交换机会检查这个帧中的tag的VID是否在自己的允许列表中,如果在,则将tag剥离后再从链路中转发出去,如果不再,则丢弃。
3,如果ACCESS接口从链路上收到一个tagged帧后,则直接看该数据的标签所属的VID是否在自己的允许列表中,在则转发,不再则丢弃。
trunk接口
1,当trunk接口从链路上收到一个untagged帧,交换机先给数据帧中添加一个VID为PVID的tag,之后根据VID查看允许列表,如果有,则转发,如果没有,则丢弃;
2,当一个tagged帧从交换机的其他端口到达一个trunk端口后,如果tag 的VID在trunk的允许列表中,则进行转发(如果VID和trunk接口的PVID相同时,转出时需要剥离标签,如果不是PVID相同的标签,则直接转出),如果不再,则直接丢弃;
3,如果trunk端口从链路上收到一个tagged帧后,则查看tag中的VID,如果在允许列表中,则转发,不在,则丢弃;
不同接口在定制转发表时的修改权限是不同的。
ACCESS接口的修改权限
可以修改PVID,也可以修改允许列表(但是,允许列表只能有一个
VID,并且必须和PVID相同),出口封装方式仅为不封装。
trunk接口的修改权限可以修改PVID,也可以修改允许列表,允许列表可以设置多个VID,出口封装仅为封装(和PVID相同的VID如果在允许列表中则固定为不带标签)
[sw1-GigabitEthernet0/0/5]port trunk pvid vlan 2 ---- 可以修改trunk的PVID
hybrid --- 混杂接口的修改权限可以修改PVID,也可以修改允许列表,允许列表也可以存在多个
VID,出去的封装方式也可以修改。
[sw1-GigabitEthernet0/0/1]port link-type hybrid
[sw1-GigabitEthernet0/0/1]port hybrid pvid vlan 2 --- 修改hybrid 接口PVID
[sw1-GigabitEthernet0/0/1]port hybrid untagged vlan 2 3 4 --- 定义允许列表
拓展:
MPLS包头:通常有32bit
20bit用作标签
3个bit的exp,协议中没有明确,通常用作COS
1个bit的S,用于标识是否是栈低,表明MPLS的标签可以嵌套
8个bit的TTL
3bit的exp通常对应于ip协议的tos
S位置一:标识后面接的是IP头部。
标签label:
是一个比较短的,定长的只具有局部意义。
转发等价类FEC:
是在转发过程中以等价的方式处理的一组数据分组。处理动作相同的话就可以理解是相同FEC(一条路由对应一个FEC)
标签交换通道LSP:
一个FEC的数据流,在不同的节点被赋予确定的标签,数据转发按照这些标签进行。数据流所走的路径就是LSP
MPLS的网络的核心交换机LSR:
提供标签交换和标签分发功能
MPLS的网络的边界交换机LER:
在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能
打标签PUSH、弹出标签POP
MPLS的标签转发,通过事先分配好的标签,为报文建立了一个标签转发通道LSP,在通道经过的每一台设备处,只需要经过一次查找即可
FEC的精妙之处:
不同目的地址(属于相同网段)的IP报文,在ingress处被划分为相同的FEC,具有相同的标签,这样在LSR处,只需根据标签做快速的交换即可。cache功能开启的话,标签对应的是FEC,可能是网段,可以做到很少的条目匹配大量的报文
FEC的致命缺陷:
对于一条FEC来说,沿途所有的设备都必须具有相同的路由(前缀和掩码必须完全相同)才可以建成一条LSP。使用MPLS转发的所有沿途设备上,对于要使用标签转发的路由,不能做聚合操作
靠近二层头的label为栈顶label,靠近ip报文的label为栈低label,lsr执行label交换时总是基于栈顶label。
以太网中:0x8847(单播)和0x8848(组播)来标识承载的是MPLS报文。
PPP中:0x8281来标识承载的是MPLSCP
标签生成器LDP(label distribution protocol)。跟RIP十分相似.BGP和RSVP也可以分发标签
几大要素:
1,报文(消息)
2,邻居的自动发现和维护机制
3,一套算法,用来根据搜集到的信息计算最终结果
LDP消息:
发现消息DISCOVERY:用于通告和维护网络中LSR的存在
会话消息SESSION:用于建立、维护和结束LDP对等体之间的会话连接
通告消息ADVERTISEMENT:用于创建、改变和删除特定FEC-标签绑定
通知消息NOTIFICATION消息:用于提供消息通告和差错通知
邻居发现:互发hello报文(UDP:PORT646/IP:224.0.0.2)
建立TCP连接:由地址大的一方主动发起(TCP:PORT646)(transport address大)
会话初始化:由MASTER发出初始化消息,并携带协商参数
由SLAVE检查参数能否接受,如果能则发送初始化消息,并携带协商参数。并随后发送keepalive消息
master检查参数能否接受,如果能则发送keepalive消息
相互收到keepalive消息,会话建立
期间收到任何差错消息,均关闭会话,断开TCP连接
LDP会话建立的状态迁移图:
NON EXISTENT:会话还没建立状态。相互发送hello消息,在此阶段协商主动方和被动方。收到tcp连接建立成功事件的触发后变为initialized状态
INITIALIZED:会话连接建立成功。主动方发送initialization报文,转向opensent状态,等待被动方的initialization消息
OPENSENT:主动方发送init消息,进入opensent状态
OPENREC :接收到可接受的init消息后进入openrec状态
OPERATIONAL:都接收到keepalive消息后进入operational状态
标记分发方式:
DOD:下游按需标记分发
DU:下游自主标记分发
标记控制方式:
有序方式标记控制
独立方式标记控制
标签保留方式:
保守方式
自由方式
上游和下游:在一条LSP上,沿数据包传送的方向,相邻的LSR分别叫上游LSR和下游LSR。下游是路由的始发者(宣告者)
DU方式:
下游主动向上游发出标记映射消息。标签分配方式中同样存在水平分割。
标签是设备随机自动生成的,16以下为系统保留
DOD方式的使用较少:
上游向下游发标签映射请求消息,下游收到消息后,根据请求的FEC,从标签资源池里面分配标签资源
自由方式:
保留来自邻居的所有发送来的标签
优点:当IP路由收敛、下一跳改变时减少了lsp收敛时间
缺点:需要更多的内存和标签空间
保守方式:
只保留来自下一跳邻居的标签,丢弃所有非下一跳邻居发来的标签
优点:节省内存和标签空间
缺点:当IP路由收敛、下一跳改变时lsp收敛慢
自由方式使用的更多
有序方式:除非LSR是路由的始发节点,否则LSR必须等收到下一跳的标记映射才能向上游发出标记映射
独立方式:LSR可以向上游发出标记映射,而不必等待来自LSR下一跳的标记映射消息
比较流行的是有序方式
DU+自由+有序方式:
1,发现自己有直连接口路由时会发送标签
2,收到下游到某条路由的标签并且该路由生效(也就是说,在本地已经存在该条路由,并且路由的下一跳和标签的下一跳相同)时会发送标签
3,标签表中会存在大量的非选中的标签
只会对运行MPLS的设备的直连路由生成标签,对于其他设备(IP域)始发的路由则不会生成标签。
帧模式:独立控制+自主分发DOD+自由保留
信元模式:有序控制+按需分发DU+保守保留