伪连接简介
OSPF伪连接(Sham link)是MPLS VPN骨干网上两个PE之间的点到点链路,这些链路使用借用(Unnumbered)的地址。通常情况下,BGP对等体之间通过BGP扩展团体属性在MPLS VPN骨干网上承载路由信息。另一端PE上运行的OSPF可利用这些信息来生成PE到CE的区域间路由。如图1所示,如果本地CE所在网段和远端CE所在网段间存在一条区域内OSPF链路,则称之为后门链路(Backdoor link)
这种情况下经过后门链路的路由是区域内路由,其优先级要高于经过MPLS VPN骨干网的区域间路由,这将导致VPN流量总是通过后门路由转发,而不走骨干网。而后门链路一般只用作备份链路。为了避免上述问题,可以在PE之间建立OSPF伪连接(Sham link),使经过MPLS VPN骨干网的路由也成为OSPF区域内路由,并且被优选。OSPF伪连接仅应用在属于同一个OSPF区域的两个Site间存在后门链路的情况,如果Site间没有后门链路,则不需要配置OSPF伪连接。
Sham link在两台PE之间创建了一条区域内链路。当LSA在伪装链路中泛洪,所有的OSPF路由类型都不会改变,不会转换成LSA3或者LSA5的类型。
Sham link被看成是两个VPN实例之间的链路,链路的两端是PE上的端点地址,分别作为建立连接时的源和目的地址。伪连接的源地址和目的地址使用32位掩码的Loopback接口地址,该Loopback接口需要绑定到VPN实例中,并通过BGP发布。
同一个OSPF进程的多条Sham link可以共用端点地址,但不同OSPF进程不能拥有两条端点地址完全相同的Sham link。
Sham link配置实验
一.实验拓扑
二.实验目的
在CE之间配置ospf伪连接,作为站点进行MPLS网络互访的备份链路。
三.配置思路
1.配置伪连接的端点地址
每个VPN实例中必须有一个Sham link的端点地址,它是PE设备上VPN地址空间中的一个有32位掩码的Loopback接口地址。同一个OSPF进程的多条Sham link可以共用端点地址,但不同OSPF进程不能拥有两条端点地址完全相同的Sham link。
2.发布伪连接的端点地址的路由
3.创建伪连接
sham-link source-ip-address destination-ip-address
4.改大osfp后门链路开销
四.配置步骤
1.配置IP地址、IGP协议、mpls ldp,此处略。
2.PE与CE的路由交互、绑定vpn实例
CE1-R4:
ospf 2 router-id 4.4.4.4
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 10.1.14.4 0.0.0.0
network 10.1.45.4 0.0.0.0
PE1-R1:
ip vpn-instance vpna
ipv4-family
route-distinguisher 10:1
vpn-target 10:1 export-extcommunity
vpn-target 30:1 import-extcommunity
interface GigabitEthernet0/0/1
ip binding vpn-instance vpna
ip address 10.1.14.1 255.255.255.0
ospf 2 vpn-instance vpna
import-route bgp
area 0.0.0.0
network 10.1.14.1 0.0.0.0
CE2-R5:
ospf 2 router-id 5.5.5.5
area 0.0.0.0
network 5.5.5.5 0.0.0.0
network 10.1.35.5 0.0.0.0
network 10.1.45.5 0.0.0.0
PE2-R3:
ip vpn-instance vpna
ipv4-family
route-distinguisher 30:1
vpn-target 30:1 export-extcommunity
vpn-target 10:1 import-extcommunity
interface GigabitEthernet0/0/0
ip binding vpn-instance vpna
ip address 10.1.35.3 255.255.255.0
#
ospf 2 vpn-instance vpna
import-route bgp
area 0.0.0.0
network 10.1.35.3 0.0.0.0
3.发布伪连接的端点地址的路由
PE1-R1:
interface LoopBack1
ip binding vpn-instance vpna
ip address 11.11.11.11 255.255.255.255
bgp 20
ipv4-family vpn-instance vpna
network 11.11.11.11 255.255.255.255
import-route ospf 2
PE2-R3:
interface LoopBack1
ip binding vpn-instance vpna
ip address 23.23.23.23 255.255.255.255
bgp 20
ipv4-family vpn-instance vpna
network 23.23.23.23 255.255.255.255
import-route ospf 2
4.创建伪连接
PE1-R1:
ospf 2 vpn-instance vpna
sham-link 11.11.11.11 23.23.23.23
PE2-R3:
ospf 2 vpn-instance vpna
sham-link 23.23.23.23 11.11.11.11
5.改大osfp后门链路开销
在CE1-R4、CE2-R5上改大ospf开销
int gi 0/0/2
ospf cost 100
五.实验验证
1.可以看到伪连接成功建立
2.在CE1上tracertCE2,可知站点互访是利用MPLS网络进行互访的。
3.关闭CE1-R4的g0/0/1接口模拟mpls网络出现问题,站点之间通过后门链路进行互访。
可知,站点互访通过的是伪连接。