CISCO路由器VPN講解課件

基于CISCO路由器的

IPSECVPN和BGP/MPLSVPN目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例VPN背景總公司租用專線我們有很多分公司，如果用租用專線的方式把他們和總公司連起來，需要花很多錢想節(jié)約成本的話，可以用VPN來連接分公司分公司分公司隧道機(jī)制IPVPN可以理解為：通過隧道技術(shù)在公眾IP/MPLS網(wǎng)絡(luò)上仿真一條點到點的專線。隧道是利用一種協(xié)議來傳輸另外一種協(xié)議的技術(shù)，共涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議。被封裝的原始IP包新增加的IP頭IPSec頭乘客協(xié)議隧道協(xié)議承載協(xié)議原始IP包經(jīng)過IPSec封裝后隧道帶來的好處隧道保證了VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用地址無關(guān)

Internet被封裝的原始IP包新增加的IP頭IPSec頭私網(wǎng)地址公網(wǎng)地址中心站點分支機(jī)構(gòu)Internet根據(jù)這個地址路由可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來的，而不是Internet隧道按隧道類型對VPN分類隧道協(xié)議如下：第二層隧道協(xié)議，如L2TP第三層隧道協(xié)議，如IPSec介于第二層和第三層之間的隧道協(xié)議，如MPLSVPNL2TP的典型應(yīng)用--VPDNL2TP連接PPP連接用戶發(fā)起PPP連接到接入服務(wù)器接入服務(wù)器封裝用戶的PPP會話到L2TP隧道，L2TP隧道穿過公共IP網(wǎng)絡(luò)，終止于電信VPDN機(jī)房的LNS用戶的PPPsession經(jīng)企業(yè)內(nèi)部的認(rèn)證服務(wù)器認(rèn)證通過后即可訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源IPSecIPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議IPSec可以對被封裝的數(shù)據(jù)包進(jìn)行加密和摘要等，以進(jìn)一步提高數(shù)據(jù)傳輸?shù)陌踩訫PLSVPN的基本工作模式在入口邊緣路由器為每個包加上MPLS標(biāo)簽，核心路由器根據(jù)標(biāo)簽值進(jìn)行轉(zhuǎn)發(fā)，出口邊緣路由器再去掉標(biāo)簽，恢復(fù)原來的IP包。MPLS網(wǎng)P1P2PE1PE2CE1CE210.1.1.1MPLS標(biāo)簽10.1.1.110.1.1.1三種VPN的比較L2TPIPSecMPLSVPN隧道協(xié)議類型第二層第三層第二層和第三層之間是否支持?jǐn)?shù)據(jù)加密不支持支持不支持對設(shè)備的要求只要求邊緣設(shè)備支持L2TP只要求邊緣設(shè)備支持IPSec要求邊緣設(shè)備和核心設(shè)備都支持MPLS目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例IPSec概述IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(hash)等手段，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性(confidentiality)、完整性(dataintegrity)和真實性(originauthentication)。IPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議對稱加密如果加密密鑰與解密密鑰相同，就稱為對稱加密由于對稱加密的運算速度快，所以IPSec使用對稱加密算法來加密數(shù)據(jù)對數(shù)據(jù)進(jìn)行hash運算來保證完整性完整性：數(shù)據(jù)沒有被非法篡改通過對數(shù)據(jù)進(jìn)行hash運算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性土豆兩塊錢一斤Hash4ehIDx67NMop9土豆兩塊錢一斤4ehIDx67NMop9土豆三塊錢一斤4ehIDx67NMop9我偷改數(shù)據(jù)Hash2fwex67N32rfee3兩者不一致代表數(shù)據(jù)已被篡改對數(shù)據(jù)和密鑰一起進(jìn)行hash運算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。通過把數(shù)據(jù)和密鑰一起進(jìn)行hash運算，可以有效抵御上述攻擊。土豆兩塊錢一斤Hashfefe23fgrNMop7土豆兩塊錢一斤fefe23fgrNMop7土豆三塊錢一斤2fwex67N32rfee3我同時改數(shù)據(jù)和摘要兩者還是不一致Hashfergergr23frewfghDH算法的基本原理RouterARouterB生成一個整數(shù)p生成一個整數(shù)q把p發(fā)送到對端p把q發(fā)送到對端q根據(jù)p、q生成g根據(jù)p、q生成g生成密鑰Xa生成密鑰Xb把Ya=g^Xa發(fā)送到對端把Yb=g^Xb發(fā)送到對端YaYbKey=Yb^Xa=g^(Xb*Xa)Key=Ya^Xb=g^(Xa*Xb)最后得到的對稱密鑰雙方?jīng)]有直接傳遞密鑰通過身份認(rèn)證保證數(shù)據(jù)的真實性真實性：數(shù)據(jù)確實是由特定的對端發(fā)出通過身份認(rèn)證可以保證數(shù)據(jù)的真實性。常用的身份認(rèn)證方式包括：Pre-sharedkey，預(yù)共享密鑰RSASignature，數(shù)字簽名預(yù)共享密鑰預(yù)共享密鑰，是指通信雙方在配置時手工輸入相同的密鑰。Hash_L+

路由器名等本地Hash共享密鑰遠(yuǎn)端生成的Hash_LHash=+對端路由器名Internet共享密鑰接收到的Hash_L數(shù)字簽名認(rèn)證+IDInformation加密Hash_I解密Hash_I私鑰公鑰本地遠(yuǎn)端Hash=+身份信息Hash對稱密鑰數(shù)字簽名+身份信息Hash12數(shù)字證書+Internet對稱密鑰數(shù)字簽名數(shù)字證書IPSec框架結(jié)構(gòu)ESPAHDES3DESAESMD5SHADH1DH2IPSec框架可選擇的算法IPSec安全協(xié)議加密數(shù)據(jù)摘要對稱密鑰交換IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式隧道模式：增加新的IP頭，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)新IP頭AHhashIP頭數(shù)據(jù)ESP頭hashESPtrailerESPauthESP加密hashAH頭新IP頭IPSec與NATAH模式無法與NAT一起運行AH對包括IP地址在內(nèi)的整個IP包進(jìn)行hash運算，而NAT會改變IP地址，從而破壞AH的hash值。IP頭數(shù)據(jù)AH頭hashhashNAT：我要修改源/目的IP地址AH：不行！我對IP地址也進(jìn)行了hashIPSec與NATESP模式下：只進(jìn)行地址映射時，ESP可與它一起工作。進(jìn)行端口映射時，需要修改端口，而ESP已經(jīng)對端口號進(jìn)行了加密和/或hash，所以將無法進(jìn)行。IP頭數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：端口號被加密了，沒法改，真郁悶IPSec與NATESP模式下：啟用IPSecNAT穿越后，會在ESP頭前增加一個UDP頭，就可以進(jìn)行端口映射。IP頭數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：可以改端口號了，太棒了新UDP頭目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例對上一節(jié)的回顧IPSec協(xié)議框架包括加密、hash、對稱密鑰交換、安全協(xié)議等四個部分，這些部分都可以采用多種算法來實現(xiàn)。問題1：要成功建立IPSecVPN，兩端路由器必須采用相同的加密算法、hash算法和安全協(xié)議等，但I(xiàn)PSec協(xié)議中并沒有描述雙方應(yīng)如何協(xié)商這些參數(shù)。問題2：IPSec協(xié)議中沒有定義通信雙方如何進(jìn)行身份認(rèn)證，路由器有可能會和一個假冒的對端建立IPSecVPN。端到端IPSecVPN的工作原理需要保護(hù)的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。啟動IKE(Internetkeyexchange)階段1，對通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道。啟動IKE階段2，在上述安全通道上協(xié)商IPSec參數(shù)。按協(xié)商好的IPSec參數(shù)對數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)。HostAHostBRouterARouterB什么是端到端的VPN？IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)協(xié)商建立IKE安全通道所使用的參數(shù)IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)，包括：加密算法Hash算法DH算法身份認(rèn)證方法存活時間IKE階段1Policy10DESMD5DH1Pre-sharelifetimePolicy15DESMD5DH1Pre-sharelifetimeRouterARouterBhostAhostBPolicy203DESSHADH1Pre-sharelifetimePolicy253DESSHADH2Pre-sharelifetime雙方找到相同的策略集上述IKE參數(shù)組合成集合，稱為IKEpolicy。IKE協(xié)商就是要在通信雙方之間找到相同的policy。IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認(rèn)證建立IKE安全通道協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認(rèn)證建立IKE安全通道IKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)協(xié)商IPSec安全參數(shù)IKE階段2雙方協(xié)商IPSec安全參數(shù)，稱為變換集transformset，包括：加密算法Hash算法安全協(xié)議封裝模式存活時間Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetimeIKE與IPSec安全參數(shù)的比較加密算法Hash算法存活時間DH算法身份認(rèn)證安全協(xié)議封裝模式IKEIPSecIKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)建立IPSecSA協(xié)商IPSec安全參數(shù)建立IPSecSAIPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：SA由SPD(securitypolicydatabase)和SAD(SAdatabase)組成。兩端成功協(xié)商IPSec參數(shù)加密算法hash算法封裝模式lifetime安全協(xié)議SPD加密SPIHash封裝模式lifetimeSAD目的IP地址SPI安全協(xié)議IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：SPI(SecurityParameterIndex)，由IKE自動分配發(fā)送數(shù)據(jù)包時，會把SPI插入到IPSec頭中接收到數(shù)據(jù)包后，根據(jù)SPI值查找SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法等。一個SA只記錄單向的參數(shù)，所以一個IPSec連接會有兩個IPSecSA。IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：使用SPI可以標(biāo)識路由器與不同對象之間的連接。BANK192.168.2.1SPI–12ESP/3DES/SHAtunnel28800192.168.12.1

SPI–39ESP/DES/MD5tunnel28800InternetIPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：達(dá)到lifetime以后，原有的IPSecSA就會被刪除如果正在傳輸數(shù)據(jù)，系統(tǒng)會在原SA超時之前自動協(xié)商建立新的SA，從而保證數(shù)據(jù)的傳輸不會因此而中斷。SA示例端到端IPSecVPN的配置流程配置IPSec前的準(zhǔn)備工作配置IKE參數(shù)配置IPSec參數(shù)測試并驗證IPSec是否正常工作端到端IPSecVPN的配置步驟1配置IPSec前的準(zhǔn)備工作確認(rèn)在配置IPSec之前，網(wǎng)絡(luò)是通的。確認(rèn)AH流量(IP協(xié)議號為50)、ESP流量(IP協(xié)議號為51)和ISAKMP流量(UDP的端口500)不會被ACL所阻塞。配置IPSec前的準(zhǔn)備工作在RouterA上ping路由器RouterBRouterA上要有到site2的路由，RouterB上有到site1的路由有必要的情況下，在路由器中添加類似以下的ACL條目：RouterA#showaccess-listsaccess-list102permitahphost172.30.2.2host172.30.1.2access-list102permitesphost172.30.2.2host172.30.1.2access-list102permitudphost172.30.2.2host172.30.1.2eqisakmpE0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB端到端IPSecVPN的配置步驟2配置IKE參數(shù)啟用IKE創(chuàng)建IKE策略集policy配置IKE身份認(rèn)證的相關(guān)參數(shù)驗證IKE配置啟用IKERouterA(config)#nocryptoisakmpenableRouterA(config)#cryptoisakmpenablerouter(config)#[no]cryptoisakmpenable默認(rèn)情況下，IKE處于開啟狀態(tài)IKE在全局模式下對所有端口啟用對于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，達(dá)到阻斷IKE的目的創(chuàng)建IKE策略cryptoisakmppolicypriorityrouter(config)#RouterA(config)#cryptoisakmppolicy110RouterA(config-isakmp)#encryptiondesRouterA(config-isakmp)#hashmd5RouterA(config-isakmp)#group1RouterA(config-isakmp)#authenticationpre-shareRouterA(config-isakmp)#lifetime86400Authentication---身份認(rèn)證方式Encryption---加密算法Group---DH算法組Hash---摘要算法Lifetime---IKE生存期IKE策略集的取值<86400秒86400秒IKESA生存期DHGroup2DHGroup1密鑰交換算法Rsa-sigPre-share身份認(rèn)證方式SHA-1MD5摘要算法3DESDES加密算法更安全的取值安全的取值參數(shù)(56bit密鑰)(3次DES運算)(128bit密鑰)(160bit密鑰)(768bit密鑰)(1024bit密鑰)(共享密鑰)(數(shù)字簽名)IKE策略集的優(yōu)先級cryptoisakmppolicy100

hashmd5

authentication

pre-sharecryptoisakmppolicy200authenticationrsa-sig

hashshacryptoisakmppolicy300authenticationpre-sharehashmd5RouterA(config)#RouterB(config)#cryptoisakmppolicy100hashmd5authenticationpre-sharecryptoisakmppolicy200authenticationrsa-sighashshacryptoisakmppolicy300authenticationrsa-sighashmd5Priority表示策略集的優(yōu)先級，該值越小表示優(yōu)先級越高路由器將首先比較優(yōu)先級最高的策略集是否匹配，因此本例中雖然三個策略集都匹配，但路由器只會采用policy100建議把最安全的策略集設(shè)為最高優(yōu)先級使用共享密鑰進(jìn)行身份認(rèn)證RouterA(config)#cryptoisakmpkeycisco1234address172.30.2.2router(config)#cryptoisakmpkeykeystringaddresspeer-addresscryptoisakmpkeykeystringhostnamehostnamerouter(config)#共享密鑰Cisco1234Site1Site2172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB兩端路由器使用的共享密鑰必須相同可以用IP地址或

主機(jī)名來指定對端驗證IKE配置RouterA#showcryptoisakmppolicyProtectionsuiteofpriority110encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:MessageDigest5authenticationmethod:Pre-SharedKeyDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitDefaultprotectionsuiteencryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitshowcryptoisakmppolicy

router#顯示已配置的和缺省的策略集端到端IPSecVPN的配置步驟3配置IPSec參數(shù)配置IPSec變換集用ACL定義需要IPSec保護(hù)的流量創(chuàng)建cryptomap把cryptomap應(yīng)用到路由器的端口上配置IPSec變換集cryptoipsectransform-settransform-set-name

transform1[transform2[transform3]]router(cfg-crypto-trans)#router(config)#RouterA(config)#cryptoipsectransform-setmineesp-desRouterA(cfg-crypto-trans)#modetunnel每個變換集中可以包含AH變換、ESP變換和封裝模式(隧道模式或傳輸模式)每個變換集中最多可以有一個AH變換和兩個ESP變換IOS支持的變換RouterA(config)#cryptoipsectransform-set transform-set-name?ah-md5-hmacAH-HMAC-MD5transformah-sha-hmacAH-HMAC-SHAtransformesp-3desESPtransformusing3DES(EDE)cipher(168 bits)esp-desESPtransformusingDEScipher(56bits)esp-md5-hmacESPtransformusingHMAC-MD5authesp-sha-hmacESPtransformusingHMAC-SHAauthesp-nullESPtransformw/ocipher用ACL定義需要IPSec保護(hù)的流量access-listaccess-list-number[dynamicdynamic-name

[timeoutminutes]]{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedenceprecedence][tostos][log]router(config)#RouterA(config)#access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterB10.0.1.010.0.2.0加密定義哪些流量需要IPSec保護(hù)Permit=要保護(hù)/deny=不用保護(hù)兩端路由器要配置對稱的ACLRouterA(config)#access-list110permittcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255RouterB(config)#access-list101permittcp

10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255E0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBCryptomap的主要配置參數(shù)需要IPSec保護(hù)的流量的ACLVPN對端的IP地址使用的IPSec變換集協(xié)商建立IPSecSA的方式(手工或通過IKE)IPSecSA的存活期創(chuàng)建cryptomapcryptomapmap-nameseq-numipsec-manualcryptomapmap-nameseq-numipsec-isakmp

[dynamicdynamic-map-name]router(config)#Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterBRouterA(config)#cryptomapmymap110ipsec-isakmpSite3B10.0.3.3RouterC每個路由器端口只能應(yīng)用一個cryptomap當(dāng)一個端口有多個VPN對端時，就使用seq-num來區(qū)分Cryptomap配置示例RouterA(config)#cryptomapmymap110ipsec-isakmpRouterA(config-crypto-map)#matchaddress110RouterA(config-crypto-map)#setpeer172.30.2.2RouterA(config-crypto-map)#setpeer172.30.3.2RouterA(config-crypto-map)#setpfsgroup1RouterA(config-crypto-map)#settransform-setmineRouterA(config-crypto-map)#setsecurity-associationlifetime86400Site1Site2172.30.2.2AB10.0.1.310.0.2.3RouterARouterB172.30.3.2BRouterCInternet可配置多個vpn對端進(jìn)行冗余應(yīng)用cryptomap到路由器端口上RouterA(config)#interfaceethernet0/1RouterA(config-if)#cryptomapmymapE0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBmymaprouter(config-if)#cryptomapmap-name在出口上應(yīng)用cryptomap端到端IPSecVPN的配置步驟4測試并驗證IPSec是否正常工作_1顯示IKE策略

showcryptoisakmppolicy顯示IPSec變換集

showcryptoipsectransform-set顯示cryptomaps

showcryptomap端到端IPSecVPN的配置步驟4測試并驗證IPSec是否正常工作_2顯示IPSecSA的狀態(tài)

showcryptoipsecsadebugIPSec事件

debugcryptoipsecdebugISAKMP事件

debugcryptoisakmp端到端IPSecVPN的配置示例RouterA#showruncryptoisakmppolicy110hashmd5authenticationpre-sharecryptoisakmpkeycisco1234address172.30.2.2!cryptoipsectransform-setmineesp-des!cryptomapmymap10ipsec-isakmpsetpeer172.30.2.2settransform-setminematchaddress110!interfaceEthernet0/1ipaddress172.30.1.2255.255.255.0noipdirected-broadcastcryptomapmymap!access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255E0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBRouterB#showruncryptoisakmppolicy110hashmd5authenticationpre-sharecryptoisakmpkeycisco1234address172.30.1.2!cryptoipsectransform-setmineesp-des!cryptomapmymap10ipsec-isakmpsetpeer172.30.1.2settransform-setminematchaddress101!interfaceEthernet0/1ipaddress172.30.2.2255.255.255.0noipdirected-broadcastcryptomapmymap!access-list101permittcp10.0.2.00.0.0.25510.0.1.00.0.0.255目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例EasyVPN的特點EasyVPNRemoteEasyVPNServer端到端模式下，兩端路由器都要進(jìn)行較復(fù)雜的配置EasyVPN模式下，Remote只需要進(jìn)行簡單的配置，其余大部分參數(shù)由Server端直接推送給它EasyVPN模式常用于用戶的遠(yuǎn)程接入Remote可以是ciscovpnclient，server端可以是路由器，其IOS要求高于或等于12.2(8)T流程1--client向server發(fā)送IKEpolicyRemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerPolicy1,Policy2,Policy3EasyVPN由client觸發(fā)ciscovpnclient中內(nèi)置了多個IKEpolicyclient觸發(fā)EasyVPN后，會把內(nèi)置的IKEpolicy全部發(fā)送到server端流程2--server找到匹配的policyserver把client發(fā)送來的IKEpolicy與自己的policy相比較找到匹配值后成功建立IKESARemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerPolicy1檢查后發(fā)現(xiàn)policy1匹配流程3--server要client輸入用戶/口令RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerUsername/passwordAAAcheckingUsername/passwordchallenge如果配置了擴(kuò)展認(rèn)證Xauth，server端將要求client端發(fā)送用戶名/口令進(jìn)行身份認(rèn)證配置Xauth將獲得更高的安全性，因此建議server端配置Xauth流程4--server向client推送參數(shù)RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServerClient請求配置參數(shù)Server推送配置參數(shù)身份認(rèn)證通過后，client將向server請求其余的配置參數(shù)Server向client推送的參數(shù)至少要包含分配給client的IP地址流程5--server進(jìn)行反向路由注入RemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServer創(chuàng)建RRI靜態(tài)路由Server進(jìn)行反向路由注入(ReverseRouteInjeciton，RRI)，為剛分配的client端IP地址產(chǎn)生一條靜態(tài)路由，以便正確地路由發(fā)送給client端的數(shù)據(jù)包流程6--建立IPSecSARemotePCwithEasyRemoteVPNClient3.xIOSrouter12.2(8)T

EasyVPNServer建立IPSecSAVPNtunnelClient收到配置參數(shù)，雙方建立IPSecSAEasyVPN在server端的配置步驟vpngate1創(chuàng)建IKE策略集，該策略集至少要能與vpnclient的一個內(nèi)置策略集相匹配，以便在server和client之間建立IKESA定義要推送給client的組屬性，其中包含分配給client的地址池、pre-sharekey等定義IPSec變換集(只用于client觸發(fā)建立IPSecSA時，如果是server觸發(fā)建立IPSecSA就不需要使用)啟用DPD死亡對端檢測配置Xauth擴(kuò)展認(rèn)證把cryptomap應(yīng)用到路由器端口上創(chuàng)建IKE策略集vpngate1(config)#cryptoisakmpenablevpngate1(config)#cryptoisakmppolicy1vpngate1(config-isakmp)#authenpre-sharevpngate1(config-isakmp)#encryption3desvpngate1(config-isakmp)#group2vpngate1(config-isakmp)#exitAuthen:PresharedkeysEncryption:3-DESDiffie-Hellman:Group2Othersettings:DefaultPolicy1vpngate1Ciscovpnclient內(nèi)置的部分策略集DESMD5DH2Pre-share3DESMD5DH2Pre-share3DESSHADH2Pre-sharevpngate1定義分配給client的地址池router(config)#iplocalpool{default|pool-name

low-ip-address[high-ip-address]}vpngate1(config)#iplocalpoolremote-pool10.0.1.10010.0.1.150vpngate1Remoteclientremote-pool10.0.1.100to10.0.1.150Pool地址池中的地址將分配給client端定義推送給client的組屬性router(config)#cryptoisakmpclientconfigurationgroup{group-name|default}vpngate1(config)#cryptoisakmpclientconfigurationgroupvpngroup1vpngate1(config-isakmp-group)#keymyvpnkeyvpngate1(config-isakmp-group)#poolremote-poolKey:myvpnkeyPoolname:remote-poolGroup:vpngroup1vpngate1Remoteclient可定義多個組，每個組使用自己的pre-sharekey和地址池配置組屬性的查詢模式router(config)#aaaauthorizationnetworkgroup-namelocalgroupradiusvpngate1(config)#aaanew-modelvpngate1(config)#aaaauthorizationnetwork

vpn-remote-accesslocalvpngate1Remoteclientvpn-remote-accessGrouprouter(config)#aaanew-model定義查詢模式vpn-remote-access，表明是在路由器本地查詢把組屬性查詢模式與cryptomap關(guān)聯(lián)router(config)#cryptomapmap-nameisakmpauthorizationlistlist-namevpngate1(config)#cryptomapdynmapisakmpauthorizationlistvpn-remote-accessvpngate1Remoteclientvpn-remote-accessGroup配置路由器響應(yīng)client的IP地址申請router(config)#cryptomapmap-nameclientconfigurationaddress{initiate|respond}vpngate1(config)#cryptomapdynmapclientconfigurationaddressrespondvpngate1Remoteclient創(chuàng)建IPSec變換集router(config)#cryptoipsectransform-settransform-set-name

transform1[transform2[transform3]]vpngate1(config)#cryptoipsectransform-setvpntransformesp-3desesp-sha-hmacvpngate1(cfg-crypto-trans)#exitvpntransformTransformsetnamevpngate1Remoteclient創(chuàng)建動態(tài)cryptomaprouter(config)#cryptodynamic-mapdynamic-map-name

dynamic-seq-numvpngate1(config)#cryptodynamic-mapmaptemplate1vpngate1(config-crypto-map)#settransform-setvpntransformvpngate1(config-crypto-map)#reverseroutevpngate1(config-crypto-map)#exitmaptemplate1Cryptomapname/sequence#vpngate1動態(tài)cryptomap與靜態(tài)cryptomap靜態(tài)cryptomap中要配置保護(hù)流量的ACL等EasyVPN模式下client的地址是變化的，定義保護(hù)流量的ACL比較困難，所以不適宜直接使用靜態(tài)cryptomap動態(tài)cryptomap中不需要配置全部參數(shù)，缺少的參數(shù)可以在后續(xù)動態(tài)地配置把動態(tài)map與靜態(tài)map相關(guān)聯(lián)router(config)#cryptomapmap-name

seq-numipsec-isakmpdynamicdynamic-map-namevpngate1(config)#cryptomapdynmap1

ipsec-isakmpdynamicmaptemplatevpngate1Remoteclientdynmap1Cryptomapname/sequence#啟用IKE的DPD死亡對端檢測vpngate1router(config)#cryptoisakmpkeepalivesecsretries

vpngate1(config)#cryptoisakmpkeepalive20101)DPDSend:Areyouthere?2)DPDReply:YesIamhere.2)DPDReply:YesIamhere.Secs:發(fā)送DPD消息的時間間隔，取值范圍是10-3600秒Retries:DPD失敗后隔多長時間重發(fā)，取值范圍是2-60秒啟用AAA登錄認(rèn)證router(config)#aaaauthenticationloginlist-namemethod1[method2…]vpngate1(config)#aaaauthenticationloginvpnuserslocalvpngate1(config)#usernameuser1passwordpass1vpngate1(config)#usernameuser2passwordpass2vpngate1RemoteclientvpnusersVPNusergroup定義擴(kuò)展認(rèn)證Xauth的超時時間router(config)#cryptoisakmpxauthtimeoutsecondsvpngate1(config)#cryptoisakmpxauthtimeout20vpngate1RemoteclientvpnusersVPNusergroup20seconds把Xauth認(rèn)證方式與cryptomap關(guān)聯(lián)router(config)#cryptomapmap-nameclientauthenticationlistlist-namevpngate1(config)#cryptomapdynmapclientauthenticationlistvpnusersvpngate1RemoteclientvpnusersVPNusergroupdynmap1Cryptomapname把cryptomap應(yīng)用到路由器的端口vpngate1(config)#interfaceethernet0/1vpngate1(config-if)#cryptomapdynmapvpngate1(config-if)#exitdynmap1Cryptomapnamevpngate1Remotecliente0/1EasyVPN在client端的配置步驟1點擊“new”創(chuàng)建一個新條目EasyVPN在client端的配置步驟2設(shè)置EasyVPNserver的IP地址EasyVPN在client端的配置步驟3設(shè)置組名和對應(yīng)的pre-sharekeyXauth擴(kuò)展認(rèn)證如果設(shè)置了Xauth擴(kuò)展認(rèn)證，在連接的過程中會提示輸入用戶名/口令連接成功后的狀態(tài)信息目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠(yuǎn)程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例VPN中的角色CECECECEPEPEPP運營商網(wǎng)絡(luò)用戶網(wǎng)絡(luò)用戶網(wǎng)絡(luò)CE(CustomEdgeRouter)，用戶邊緣路由器，直接與運營商網(wǎng)絡(luò)相連PE(ProviderEdgeRouter)，運營商邊緣路由器，與CE相連，主要負(fù)責(zé)VPN業(yè)務(wù)的接入。P(ProviderRouter)：運營商核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能。對IPSecVPN的回顧C(jī)ECECECEPEPEPPIPSec隧道在CE與CE之間建立，需要用戶自己創(chuàng)建并維護(hù)VPNIPSecVPN的創(chuàng)建以及相關(guān)用戶路由的配置等都需要手工完成擴(kuò)展不方便，如果用戶VPN網(wǎng)絡(luò)中新增一個節(jié)點，需要完成以下工作：1.在這個新增結(jié)點上建立與所有已存在的N個結(jié)點的隧道及相關(guān)的路由；2.對于已存在的N個結(jié)點，需要在每個結(jié)點上都建立一個與新增結(jié)點之間的隧道及相關(guān)的路由。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0IPSecVPNtunnelVPN_A10.4.0.0BGP/MPLSVPN要達(dá)到的目標(biāo)CECECECEPEPEPP隧道在PE與PE之間建立，用戶不需要自己維護(hù)VPN把VPN隧道的部署及路由發(fā)布變?yōu)閯討B(tài)實現(xiàn)VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0VPNtunnel要解決的主要問題CECECECEPEPEPP提供一種動態(tài)建立的隧道技術(shù)解決不同VPN共享相同地址空間的問題VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0MPLSBGPVPNtunnel動態(tài)隧道----MPLSMPLS與動態(tài)隧道MPLS（MultiProtocollabelSwitch，多協(xié)議標(biāo)簽交換）是根據(jù)標(biāo)簽對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，因此在三層數(shù)據(jù)包中可以使用私有地址，從而形成了一種天然的隧道。MPLS標(biāo)簽的分發(fā)可以通過LDP等協(xié)議動態(tài)完成，所以MPLS能夠提供動態(tài)的隧道。三層包頭MPLS標(biāo)簽二層包頭MPLS包頭結(jié)構(gòu)MPLS包頭通常有32Bit:20Bit用作標(biāo)簽（Label）3個Bit的EXP,協(xié)議中沒有明確，通常用作COS1個Bit的S,用于標(biāo)識是否是棧底，表明MPLS的標(biāo)簽可以嵌套。理論上，標(biāo)記?？梢詿o限嵌套，從而提供無限的業(yè)務(wù)支持能力。8個Bit的TTL2層頭部MPLS頭部IP頭部數(shù)據(jù)標(biāo)簽EXPSTTL32Bit020232432MPLS標(biāo)簽的生成1R1R2R3R4172.16.1/24路由器發(fā)現(xiàn)有直連路由時就會向外發(fā)送標(biāo)簽172.16.1/24Label20In20MPLS標(biāo)簽的生成2R1R2R3R4172.16.1/24路由器發(fā)現(xiàn)自己有直連路由時就會向外發(fā)送標(biāo)簽收到下游到某條路由的標(biāo)簽并且該路由生效（也就是說，在本地已經(jīng)存在該條路由，并且路由的下一跳和標(biāo)簽的下一跳相同）時會發(fā)送標(biāo)簽。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30MPLS標(biāo)簽生成的要點R1R2R3R4172.16.1/24運行MPLS的路由器中必須同時運行普通路由協(xié)議通過標(biāo)簽形成的路經(jīng)，與查找路由表形成的路徑是相同的In標(biāo)簽是由本地路由器發(fā)給其他路由器的，Out標(biāo)簽是由其他路由器發(fā)給自己的。172.16.1/24Label20In20172.16.1/24In20out20172.16.1/24In30out20Label30Label40Label50172.16.1/24out30MPLS數(shù)據(jù)包轉(zhuǎn)發(fā)R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2MPLS的優(yōu)化1R1R2R3R4172.16.1/24172.16.1/24In20172.16.1/24In30out20172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.2204172.16.1.2205172.16.1.26172.16.1.2最后一跳路由器收到數(shù)據(jù)包后，并不需要進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)，所做的只是去掉標(biāo)簽，然后送交IP層。最好在倒數(shù)第二跳路由器就去掉標(biāo)簽，直接把IP報文發(fā)送給最后一跳路由器。問題：路由器怎么知道自己是倒數(shù)第二跳？MPLS的優(yōu)化2R1R2R3R4172.16.1/24172.16.1/24In3172.16.1/24In30out3172.16.1/24out30172.16.1.21302172.16.1.2303172.16.1.24172.16.1.25172.16.1.2最后一跳路由器向倒數(shù)第二跳分配一個特殊的標(biāo)簽3。路由器查看標(biāo)簽轉(zhuǎn)發(fā)表，如果發(fā)現(xiàn)out標(biāo)簽是3，就認(rèn)為自己是倒數(shù)第二跳路由器。標(biāo)簽分配方式（優(yōu)化前）標(biāo)簽分配方式（優(yōu)化后）轉(zhuǎn)發(fā)方式(優(yōu)化前)轉(zhuǎn)發(fā)方式(優(yōu)化后)倒數(shù)第一跳隨機(jī)分配分配特定的標(biāo)簽3標(biāo)簽彈出，IP路由轉(zhuǎn)發(fā)IP路由轉(zhuǎn)發(fā)倒數(shù)第二跳隨機(jī)分配隨機(jī)分配標(biāo)簽交換標(biāo)簽彈出地址沖突----BGP地址沖突的細(xì)分CECECECEPEPEPP本地路由沖突問題，即在同一臺PE上如何區(qū)分不同VPN的相同路由。（PE發(fā)時）路由在網(wǎng)絡(luò)中的傳播問題，即在PE上接收到來自不同VPN的兩條相同路由時，如何進(jìn)行辨別（PE收時）數(shù)據(jù)包的轉(zhuǎn)發(fā)問題，即使成功解決了路由表的沖突，但在PE接收到一個IP數(shù)據(jù)包時，怎么知道該發(fā)給那個VPN？因為IP數(shù)據(jù)包頭中唯一可用的信息就是目的地址，而很多VPN中都可能存在這個地址。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0解決本地路由沖突的思路CECEPE在PE上同時維護(hù)多張相互獨立路由表一張全局路由表（公網(wǎng)路由表）為每個VPN建立一個路由表由于每個VPN使用自己獨立的路由表，因此可以有效地解決本地路由沖突。VPN_AVPN_B10.1.0.010.1.0.0GlobalRoutingTableVRFforVPN-AVRFforVPN-BVPNRoutingTableIGP&/orBGPVRFVRF(VPNRouting&ForwardingInstance，VPN路由轉(zhuǎn)發(fā)實例)可以看作虛擬的路由器，該虛擬路由器包括以下元素：一張獨立的路由表，從而包括了獨立的地址空間；一組歸屬于這個VRF的路由器接口的集合；一組只用于本VRF的路由協(xié)議。問題：VRF實現(xiàn)了不同VPN之間路由的隔離，這并不夠，如何實現(xiàn)VRF之間的路由發(fā)布和交互呢？RT（Routetarget）PE2PE1Vrf1：exportredimportredVrf2：exportyellowimportyellowVrf3：exportredimportredVrf4：exportyellowimportyellowVPN-AVPN-BRT的本質(zhì)是每個VRF表達(dá)自己的路由取舍及喜好的方式，分為兩部分：exporttarget，表示發(fā)出路由的屬性importtarget，表示愿意接收什么路由RT的靈活應(yīng)用每個VRF中都可以配置多個exporttarget和importtarget屬性，接收時采用“或”操作，從而實現(xiàn)靈活的VPN訪問控制總結(jié)：VRF作用：1、問題：如何在PE之間傳遞各VRF中的路由以及相應(yīng)的RT？BGP的引入解決辦法：使用BGP路由協(xié)議BGP簡介AS100AS200AS300BGP是外部路由協(xié)議，用在自治系統(tǒng)AS之間傳遞路由信息，屬于增強(qiáng)型的距離矢量路由協(xié)議。BGP鄰居分為兩類：IBGP（同一個AS內(nèi)的鄰居）和EBGP（不同AS間的鄰居）BGP鄰居之間通過TCP協(xié)議相連，因此可以在不直接相連的路由器間交換路由信息用BGP傳遞VPN路由的好處CECECECEPEPEPPVPN路由信息可以直接在PE之間傳遞，所以P路由器中不會包含任何VPN路由信息。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.0BGP連接BGP報文的種類Open:用于建立BGP鄰居關(guān)系，是BGP路由器之間的初始握手信息Keepalive:定期檢測BGP鄰居是否存活Update:發(fā)送路由更新信息Notification:檢測到差錯時發(fā)送該報文Update報文的格式不可達(dá)路由長度(2byte)不可達(dá)路由withdrawnroutes(變長)路由屬性長度(2byte)路由屬性(變長)可達(dá)路由信息NLRI(變長)不可達(dá)路由中不攜帶路由屬性，可達(dá)路由同時攜帶路由屬性一個update報文中可以攜帶多條不可達(dá)路由信息，可攜帶多條具有相同路由屬性的可達(dá)路由信息常見的路由屬性O(shè)riginAs-pathNext-hopCommunity:團(tuán)體屬性，可用來對入路由和出路由進(jìn)行過濾。Community:20:101Community:20:102只接收Community為20:102的路由R1R2R3RT的表示可以用擴(kuò)展的community來表示RT，type字段為0x0002或者0x0102時是RT。Type（0x0002）

AS#（16bit）Value（32bit）Type（0x0102）IPaddress（32bit）Value（16bit）可見RT有兩種表示方法：AS:nn和ipaddress:nn。通常建議使用AS:nn表示法路由傳播的沖突問題CECECECEPEPE

RT屬于BGP的路由屬性，而在BGP的不可達(dá)路由信息中不包含路由屬性。所以在收到來自不同vpn、具有相同網(wǎng)段的不可達(dá)路由信息時，路由器將無法根據(jù)RT來分辨。VPN_AVPN_AVPN_BVPN_B10.1.0.010.1.0.010.3.0.010.3.0.010.3.0.0/1610.3.0.0/16問題：RT能否解決路由傳播的沖突問題？RD(RouteDistinguisher)每個VRF中分別配置一個標(biāo)識，稱為RD。在PE發(fā)布VRF中的路由信息時，會在地址前面加上RD，以便接收方PE區(qū)分來自不同VRF的路由信息。RD的長度為8個字節(jié)，格式與RT相似。在IPv4地址前加上RD之后，就稱為VPN-IPv4地址族。RD的本質(zhì)通常建議為一個VPN中的VRF都配置相同的RD，不同的VPN配置不同的RD。事實上分配RD只需遵循以下原則:保證存在相同地址的兩個VRF的RD不同。RD并不會影響不同VRF之間的路由選擇以及VPN的形成，這些事情由RT完成。PE與CE之間傳遞的是IPv4路由，PE與PE之間傳遞的是VPN-IPv4路由。數(shù)據(jù)包轉(zhuǎn)發(fā)的沖突問題解決本地路由和路由傳播的沖突問題后，如果一個PE的兩個VRF中同時存在10.1.0.0/16的路由，當(dāng)接收到一個目的地址為10.1.0.1的數(shù)據(jù)包時，PE如何知道該把這個數(shù)據(jù)包發(fā)給與哪個VRF相連的CE？既然路由發(fā)布時已經(jīng)攜帶了RD，能否在發(fā)送數(shù)據(jù)包時也在地址前面加上RD呢？理論上可以，但是RD太長，會導(dǎo)致轉(zhuǎn)發(fā)效率的降低，所以只需要一個短小、定長的標(biāo)記即可。由于公網(wǎng)的隧道已經(jīng)由MPLS來提供，而且MPLS支持多層標(biāo)簽的嵌套，因此這個標(biāo)記可定義成MPLS標(biāo)簽的格式。對BGP的要求要求支持VPN-IPv4路由，而原有的BGP只支持IPv4路由。要求路由信息中包含私網(wǎng)MPLS標(biāo)簽。BGP的多協(xié)議擴(kuò)展----MP-BGPBGP增加了兩個擴(kuò)展屬性MP_REACH_NLRI和MP_UNREACH_NLRI。使用了這兩種屬性的BGP稱為MP-BGPAddress-family:指明使用了VPN-IPV4地址族Next-hop:路由的下一跳地址Label:24bit，與MPLS標(biāo)簽一樣，但沒有TTL字段Prefix:64bit的RD＋I(xiàn)P前綴MP_REACH_NLRI的結(jié)構(gòu)BGP/MPLSVPN的關(guān)鍵流程CE與PE之間交換路由CECEPEPE維護(hù)獨立的路由表，包括公網(wǎng)和VRF路由表：公網(wǎng)路由表：包含全部PE和P路由器之間的路由，由骨干網(wǎng)IGP產(chǎn)生VRF路由表：包含本VPN內(nèi)的路由信息。PE和CE通過標(biāo)準(zhǔn)的EBGP、OSPF、RIP或者靜態(tài)路由交換VRF路由信息VPN_AVPN_B10.1.0.010.1.0.0PE私網(wǎng)路由公網(wǎng)路由VRF路由注入MP-iBGPCE向PE發(fā)送的是標(biāo)準(zhǔn)IPv4路由，PE接收到路由后會進(jìn)行以下操作：加上RD（RD為手工配置），變?yōu)橐粭lVPN-IPv4路由更改下一跳屬性為本PE的Loopback地址加上私網(wǎng)標(biāo)簽（隨機(jī)自動生成，無需配置）加上RT屬性（RT需手工配置）發(fā)給所有的PE鄰居

MP-iBGPBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-1VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-A,Label=(28)CE1CE2PE1PE2149.27.2.0/24MP-iBGP路由注入VRFPE接收到MP-iBGP路由后，首先剝離RD成為IPv4路由，然后根據(jù)本地VRF的importRT屬性把路由加入到相應(yīng)的VRF中，私網(wǎng)標(biāo)簽保留，留做轉(zhuǎn)發(fā)時使用。通過本VRF的路由協(xié)議引入上述路由并轉(zhuǎn)發(fā)給相應(yīng)的CE。

MP-iBGPBGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=CE-1VPN-v4update:

RD:1:27:149.27.2.0/24,Next-hop=PE-1

RT=VPN-A,Label=(28)CE1CE2PE1PE2149.27.2.0/24BGP,OSPF,RIPv2updatefor149.27.2.0/24,NH=PE-2分配PE之間的公網(wǎng)標(biāo)簽PE和P路由器通過骨干網(wǎng)IGP學(xué)習(xí)到BGP鄰居下一跳的地址通過運行LDP協(xié)議，分配標(biāo)簽，建立標(biāo)簽轉(zhuǎn)發(fā)通道標(biāo)簽棧用于報文轉(zhuǎn)發(fā)，外層標(biāo)簽用來指示如何到達(dá)BGP下一跳，內(nèi)層標(biāo)簽表示報文屬于哪個VRFMPLS節(jié)點轉(zhuǎn)發(fā)是基于外層標(biāo)簽，而不管內(nèi)層標(biāo)簽是多少Prouter

InLabelFECOutLabel-197.26.15.1/32-InLabelFECOutLabel41

197.26.15.1/32

3

InLabelFECOutLabel

-

197.26.15.1/3241Uselabel3fordestination197.26.15.1/32Uselabel41fordestination197.26.15.1/32VPN-v4update:

RD:1:27:149.27.2.0/24,NH=197.26.15.1

RT=VPN-A,Label=(28)PE-1CE1149.27.2.0/24CE2數(shù)據(jù)包轉(zhuǎn)發(fā)－從CE到入口PECE將報文發(fā)給與其相連的VRF接口。PE在本VRF的路由表中進(jìn)行查找，得到該路由的公網(wǎng)下一跳地址（即對端PE的Loopback地址）和私網(wǎng)標(biāo)簽。將該報文封裝一層私網(wǎng)標(biāo)簽后，在公網(wǎng)的標(biāo)簽轉(zhuǎn)發(fā)表中查找下一跳地址，再封裝一層公網(wǎng)標(biāo)簽，然后交給MPLS轉(zhuǎn)發(fā)。Prouter

InLabelFECOutLabel

-

197.26.15.1/3241PE-1CE1149.27.2.0/24CE2149.27.2.27VPN-AVRF

149.27.2.0/24,NH=197.26.15.1

Label=(28)2841149.27.2.27入口PE->出口PE->CE該報文在公網(wǎng)上沿著LSP轉(zhuǎn)發(fā)，并根據(jù)途徑的每一臺設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行標(biāo)簽交換。在倒數(shù)第二跳處，將外層的公網(wǎng)標(biāo)簽彈出，交給目的PE。PE根據(jù)內(nèi)層的私網(wǎng)標(biāo)簽判斷該報文的出接口和下一跳。去掉私網(wǎng)標(biāo)簽后，請報文轉(zhuǎn)發(fā)給相應(yīng)的VRF中的CE。ProuterPE-1CE1149.27.2.0/24CE2149.27.2.27VPN-AVRF

149.27.2.0/24,NH=197.26.15.1

Label=(28)2841149.27.2.2728149.27.2.27InLabelFECOutLabel41

197.26.15.1/32

3InLabelFECOutL