Ebook Chuyển mạch nhãn đa giao thức ( MPLS Multiprotocol Label Switching )

ter ospf 1 router-id 10.10.10.102 log-adjacency-changes network 10.0.0.0 0.255.255.255 area 0 ! router bgp 1 no synchronization bgp log-neighbor-changes neighbor 10.10.10.101 remote-as 1 neighbor 10.10.10.101 update-source Loopback0 no auto-summary ! address-family vpnv4 neighbor 10.10.10.101 activate neighbor 10.10.10.101 send-community both no auto-summary exit-address-family ! address-family ipv4 vrf CustomerA redistribute eigrp 101 no auto-summary no synchronization exit-address-family ! ip http server ip classless ! VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 68 route-map SOO-VPNA permit 10 set extcommunity soo 1:20 ! call rsvp-sync ! ! end Router CE1-A CE1-A#show run Building configuration... Current configuration : 817 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname CE1-A ! logging queue-limit 100 ! ip subnet-zero ! ! ! mpls ldp logging neighbor-changes ! interface Ethernet0/0 description VPN-A Site 1 network ip address 172.16.10.1 255.255.255.0 half-duplex no keepalive ! interface Serial0/0 description Connected to PE1-AS1 ip address 172.16.1.2 255.255.255.252 ! router eigrp 101 network 172.16.0.0 no auto-summary ! no ip http server ip classless ! call rsvp-sync ! ! end VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 69 Router CE2-A ! hostname CE2-A ! ! memory-size iomem 10 ip subnet-zero ! interface Ethernet0/0 description VPN-A Site 2 network ip address 172.16.20.1 255.255.255.0 no keepalive half-duplex ! interface Serial0/0 description Connected to PE2-AS1 ip address 172.16.2.2 255.255.255.252 clockrate 64000 ! router eigrp 101 network 172.16.0.0 no auto-summary no eigrp log-neighbor-changes ! ip classless ip http server ! call rsvp-sync ! end Router CE3-A CE3-A#show run Building configuration... Current configuration : 1034 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname CE3-A ! logging queue-limit 100 ! ip subnet-zero ! ! no ip domain lookup VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 70 ! mpls ldp logging neighbor-changes ! interface Ethernet0/0 description VPN-A Site 3 network ip address 172.16.30.1 255.255.255.0 half-duplex no keepalive ! interface Serial0/0 description Connected to PE1-AS1 ip address 172.16.3.2 255.255.255.252 no ip mroute-cache no fair-queue ! interface Serial0/1 description Connected to CE4-A bandwidth 1000 ip vrf sitemap SOO-VPNA ip address 172.16.5.1 255.255.255.252 clockrate 64000 ! router eigrp 101 network 172.16.0.0 no auto-summary ! no ip http server ip classless ! route-map SOO-VPNA permit 10 set extcommunity soo 1:10 ! ! call rsvp-sync ! end Router CE4-A CE4-A#show running-config Building configuration... Current configuration : 1061 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname CE4-A ! VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 71 logging queue-limit 100 ! ip subnet-zero ! ! ! mpls ldp logging neighbor-changes ! interface Ethernet0/0 description VPN-A Site 4 network ip address 172.16.40.1 255.255.255.0 half-duplex no keepalive ! interface Serial0/0 description Connected to PE2-AS1 ip address 172.16.4.2 255.255.255.252 clockrate 64000 no fair-queue ! interface Serial0/1 description Connected to CE3-A bandwidth 1000 ip vrf sitemap SOO-VPNA ip address 172.16.5.2 255.255.255.252 ! router eigrp 101 network 172.16.0.0 no auto-summary ! ip http server ip classless ! route-map SOO-VPNA permit 10 set extcommunity soo 1:200 ! ! call rsvp-sync ! end Kiểm tra (1) Kiểm tra đường đi CE1-A#traceroute 172.16.20.1 Type escape sequence to abort. Tracing the route to 172.16.20.1 1 172.16.1.1 16 msec 16 msec 16 msec 2 172.16.3.2 28 msec 28 msec 28 msec VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 72 3 172.16.5.2 44 msec 40 msec 44 msec 4 172.16.4.1 56 msec 56 msec 56 msec 5 172.16.2.2 68 msec 68 msec * CE1-A#traceroute 172.16.40.1 Type escape sequence to abort. Tracing the route to 172.16.40.1 1 172.16.1.1 16 msec 16 msec 16 msec 2 172.16.3.2 28 msec 28 msec 28 msec 3 172.16.5.2 80 msec 40 msec * CE3-A#traceroute 172.16.20.1 Type escape sequence to abort. Tracing the route to 172.16.20.1 1 172.16.5.2 16 msec 16 msec 16 msec 2 172.16.4.1 28 msec 28 msec 28 msec 3 172.16.2.2 45 msec * 41 msec CE3-A#traceroute 172.16.40.1 Type escape sequence to abort. Tracing the route to 172.16.40.1 1 172.16.5.2 16 msec * 13 msec (2) Kiểm tra các thuộc tính BGP extended community PE1-AS1#show ip bgp vpnv4 vrf CustomerA 172.16.20.1 BGP routing table entry for 1:100:172.16.20.0/24, version 19 Paths: (2 available, best #2, table CustomerA) Advertised to non peer-group peers: 10.10.10.102 Local 10.10.10.102 (metric 129) from 10.10.10.102 (10.10.10.102) Origin incomplete, metric 20537600, localpref 100, valid, internal Extended Community: RT:1:100 0x8800:32768:0 0x8801:101:537600 0x8802:32769:20000000 0x8803:32769:1500 Local 172.16.3.2 from 0.0.0.0 (10.10.10.101) Origin incomplete, metric 22073600, localpref 100, weight 32768, valid, sourced, best Extended Community: SoO:1:10 RT:1:100 0x8800:32768:0 0x8801:101:2073600 0x8802:32772:20000000 0x8803:32769:1500 PE1-AS1#show ip bgp vpnv4 vrf CustomerA 172.16.40.1 BGP routing table entry for 1:100:172.16.40.0/24, version 13 Paths: (2 available, best #2, table CustomerA) Advertised to non peer-group peers: 10.10.10.102 Local VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 73 10.10.10.102 (metric 129) from 10.10.10.102 (10.10.10.102) Origin incomplete, metric 20537600, localpref 100, valid, internal Extended Community: SoO:1:20 RT:1:100 0x8800:32768:0 0x8801:101:537600 0x8802:61697:20000000 0x8803:61697:1500 Local 172.16.3.2 from 0.0.0.0 (10.10.10.101) Origin incomplete, metric 21049600, localpref 100, weight 32768, valid, sourced, best Extended Community: SoO:1:10 RT:1:100 0x8800:32768:0 0x8801:101:1049600 0x8802:61698:20000000 0x8803:61697:1500 PE2-AS1#show ip bgp vpnv4 vrf CustomerA 172.16.10.0 BGP routing table entry for 1:100:172.16.10.0/24, version 16 Paths: (2 available, best #2, table CustomerA) Advertised to non peer-group peers: 10.10.10.101 Local 10.10.10.101 (metric 129) from 10.10.10.101 (10.10.10.101) Origin incomplete, metric 20537600, localpref 100, valid, internal Extended Community: RT:1:100 0x8800:32768:0 0x8801:101:537600 0x8802:32769:20000000 0x8803:32769:1500 Local 172.16.4.2 from 0.0.0.0 (10.10.10.102) Origin incomplete, metric 22073600, localpref 100, weight 32768, valid, sourced, best Extended Community: SoO:1:20 RT:1:100 0x8800:32768:0 0x8801:101:2073600 0x8802:32772:20000000 0x8803:32769:1500 PE2-AS1#show ip bgp vpnv4 vrf CustomerA 172.16.30.0 BGP routing table entry for 1:100:172.16.30.0/24, version 18 Paths: (2 available, best #2, table CustomerA) Advertised to non peer-group peers: 10.10.10.101 Local 10.10.10.101 (metric 129) from 10.10.10.101 (10.10.10.101) Origin incomplete, metric 20537600, localpref 100, valid, internal Extended Community: SoO:1:10 RT:1:100 0x8800:32768:0 0x8801:101:537600 0x8802:32769:20000000 0x8803:32769:1500 Local 172.16.4.2 from 0.0.0.0 (10.10.10.102) Origin incomplete, metric 21049600, localpref 100, weight 32768, valid, sourced, best Extended Community: SoO:1:20 RT:1:100 0x8800:32768:0 0x8801:101:1049600 0x8802:32770:20000000 0x8803:32769:1500 (3) Kiểm tra bảng định tuyến CE3-A#show ip route eigrp 172.16.0.0/16 is variably subnetted, 9 subnets, 2 masks D 172.16.40.0/24 [90/3097600] via 172.16.5.2, 00:45:57, Serial0/1 D 172.16.20.0/24 [90/21561600] via 172.16.5.2, 00:28:44, Serial0/1 VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 74 D 172.16.10.0/24 [90/21049600] via 172.16.3.1, 00:37:54, Serial0/0 D 172.16.4.0/30 [90/3584000] via 172.16.5.2, 00:29:46, Serial0/1 D 172.16.1.0/30 [90/21024000] via 172.16.3.1, 00:37:56, Serial0/0 D 172.16.2.0/30 [90/21536000] via 172.16.5.2, 00:28:47, Serial0/1 CE4-A#show ip route eigrp 172.16.0.0/16 is variably subnetted, 9 subnets, 2 masks D 172.16.30.0/24 [90/3097600] via 172.16.5.1, 00:49:26, Serial0/1 D 172.16.20.0/24 [90/21049600] via 172.16.4.1, 00:32:12, Serial0/0 D 172.16.10.0/24 [90/21561600] via 172.16.5.1, 00:41:22, Serial0/1 D 172.16.1.0/30 [90/21536000] via 172.16.5.1, 00:41:25, Serial0/1 D 172.16.2.0/30 [90/21024000] via 172.16.4.1, 00:32:15, Serial0/0 D 172.16.3.0/30 [90/3584000] via 172.16.5.1, 00:42:40, Serial0/1 VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 75 Chương 5: GIAO THỨC ĐỊNH TUYẾN OSPF PE-CE OSPF PE-CE được phát triển hỗ trợ các ISP cung cấp các dịch vụ MPLS VPN cho khách hàng khi khách hàng triển khai OSPF định tuyến bên trong site của họ, khi đó OSPF được sử dụng như giao thức định tuyến giữa các site khách hàng (inter-site routing protocol) trong một môi trường MPLS VPN. Mô hình định tuyến OSPF truyền thống: Miền OSPF truyền thống chia thành một backbone (area 0) và các non-backbone và các non-backbone kết nối với area 0. Customer A thực hiện mô hình OSPF truyền thống, trong đó các non-backbone area (Area 1 và Area 2) thuộc Site 1 và Site 2 và được kết nối vào backbone area (Area 0) Trong một môi trường MPLS VPN, các mạng của khách hàng được kết nối vào một backbone của nhà cung cấp. Trong hình trên, các area của Customer A (Area 1 và 2) kết nối vào mạng MPLS VPN của nhà cung cấp. Area 1 và Area 2 có router CE1-A và CE2-A chạy giao thức định tuyến OSPF. MP-iBGP được sử dụng giữa PE1 và PE2 để quảng bá các tuyến giữa Site 1 (Area 1) và Site 2 (Area 2). Thực hiện phân phối (redistribute) OSPF-BGP tại các router PE, PE1 và PE2. Quá trình thực hiện như sau: (1) Mạng 172.16.10.0/24 được CE1-A quảng bá tới PE1 bằng LSA (link-state advertisement) Type 1 và Type 2. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 76 (2) Tại PE1, tuyến 172.16.10.0/24 được redistribute vào BGP. Sau đó tuyến này được quảng bá như là một tuyến VPNv4 tới PE2. (3) Tại PE2 địa chỉ BGP VPNv4 172.16.10.0/24 được redistribute vào OSPF. (4) Sau đó tuyến 172.16.10.0/24 được quảng bá như một tuyến OSPF với LSA Type 5. Do đó, loại tuyến OSPF (LSA Type) không được duy trì khi tuyến OSPF được redistribute vào BGP. Trong môi trường MPLS VPN, các nguyên tắc dịnh tuyến OSPF truyền thống vẫn được sử dụng. Tuy nhiên, một số đặc tính sau đây của tuyến OSPF external bị thay đổi khi khách hàng chuyển từ định tuyến OSPF truyền thống sang mô hình MPLS VPN: - Các tuyến internal, không quan tâm đến cost của chúng, luôn được ưu tiên hơn tuyến external. - Các tuyến external không được tóm tắt (summary). - Các tuyến external được flood ra mọi OSPF area. - Các tuyến External có thể dùng một loại metric khác, không thể so sánh với OSPF cost. - Các tuyến External LSA Type 5 không được thêm vào một stub area hay not-so-stubby area (NSSA). Khi thực thi OSPF với MPLS VPN, khách hàng có thể có nhiều site trong Area 0. Do đó hơi khác với cấu trúc OSPF truyền thống - một backbone Area 0 và nhiều non- backbone area đượcn nối vào Area 0 này. MPLS VPN hay khái niệm OSPF Superbackbone Kiến trúc MPLS VPN cho định tuyến OSPF PE-CE được mở rộng để cho phép sự chuyển đổi khách hàng một cách trong suốt từ định tuyến OSPF truyền thống sang mô hình định tuyến MPLS VPN bằng cách giới thiệu một backbone khác với OSPF Area 0. Backbone này được gọi là OSPF hay MPLS VPN superbackbone. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 77 - Các non-backbne area, Area 1 và Area 2, kết nối trực tiếp vào MPLS VPN superbackbone có chức năng như một OSPF Area 0. Do đó, không yêu cầu một Area 0 như miền OSPF truyền thống. Area 0 chỉ được yêu cầu khi router PE kết nối vào hai non-backbone area khác nhau cùng thuộc vào một OSPF domain trên một PE router. - Các router PE, PE1 và PE2, kết nối các OSPF area trong miền khách hàng vào superbackbone, giữ vai trò là ABR (OSPF Area Border Router) cho các thiết bị trong miền OSPF của khách hàng. Các router CE, CE1 và CE2, không nhận biết được bất kỳ miền OSPF nào khác trong MPLS VPN superbackbone. - MPLS VPN superbackbone sử dụng MP-iBGP giữa các PE. Thông tin OSPF được mang đi trong MPLS VPN backbone bằng các BGP extended community. Các extended community này được thiết lập và sử dụng bởi các router PE. - Không có các lân cận OSPF (OSPF adjacencies) hay sự flooding trong MPLS VPN superbackbone cho các site khách hàng kết nối vào superbackbone, trừ khi sử dụng OSPF sham-link. Các BGP Extended Community cho định tuyến OSPF PE-CE Trong MPLS VPN superbackbone, các thuộc tính mở rộng của BGP (BGP extended attribute) sau được mang theo: - OSPF Route Type – quảng bá thông tin loại tuyến OSPF qua MP-iBGP backbone. Hình bên dưới cho thấy thuộc tính community mở rộng OSPF route type và chi tiết OSPF route type cho mạng 172.16.20.0, 192.168.99.0 và 192.168.199.0. - OSPF router ID – xác định router ID của PE trong VRF instance của OSPF có liên quan. Địa chỉ này không tham gia vào không gian địa chỉ của nhà cung cấp và là duy nhất trong mạng OSPF. - OSPF domain ID – xác định miền của một địa chỉ mạng OSPF cụ thể trong MPLS VPN backbone. Mặc định, giá trị này bằng với giá trị của OSPF process ID và có thể thiết lập lại bằng lệnh: Router(config-router)#domain ID ip-address. Nếu domain ID của tuyến không trùng khớp domain ID của PE nhận, tuyến đó được chuyển thành tuyến OSPF ngoài (LSA Type 5) với VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 78 metric-type E2 trong bảng VRF. Mọi tuyến giữa các miền OSPF được nhận biết là LSA Type 5. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 79 Quảng bá tuyến OSPF qua MPLS VPN Superbackbone Quảng bá tuyến OSPF trong môi trường MPLS VPN không giống như trong mô hình định tuyến OSPF và phụ thuộc vào OSPF domain ID. Mặc định, OSPF domain ID bằng với process ID trên PE router. Domain ID được thiết lập trong cập nhật VPNv4 khi tuyến OSPF được redistribute vào MP-iBGP. OSPF Domain ID giống nhau trên các router PE. Hình sau mô tả một mạng MPLS cung cấp dịch vụ MPLS VPN cho CustomerA. Các router CE1-A và CE2-A ở các mạng 172.16.10.0/24 và 172.16.20.0/24 tại site khách hàng thuộc vào Area 1 và Area 2 trong khi kết nối PE-CE ở cả hai site thuộc vào Area 0. OSPF process ID trên cả hai router PE là 101. CE2-A là một ASBR giữa miền OSPF và hai miền RIPv2 và EIGRP (AS 101). VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 80 Quá trình thực hiện khi CE2-A gửi 172.16.20.0/24, 209.165.201.0/27 và 209.165.202.128/27 tới CE1-A: (1) CE2-A redistribute mạng RIPv2 209.165.201.0 vào OSPF và quảng bá với LSA Type 5 có metric-type loại 1 (O E1) cho PE2-AS1. Mạng EIGRP 209.165.202.128/27 được redistribute tại CE2-A và quảng bá tới PE2-AS1 với LSA Type 5 (O E2). CE2-A cũng gửi 172.16.20.0/24 với LSA Type 3 (O IA) tới PE2-AS1. (2) Bảng định tuyến VRF CustomerA trên PE2-AS1 nhận được tuyến 172.16.20.0/24 như là một tuyến liên vùng (O IA- OSPF Inter-Area route) với OSPF metric (cost) 74, 209.165.201.0/27 là tuyến ngoài miền loại 1 (O E1) metric 84 và tuyến 209.165.202.128/27 với metric 20. (3) OSPF cost cho 172.16.20.0/24, 209.165.201.0/27, và 209.165.202.128/27 được sao chép vào các thuộc tính mở rộng của BGP (extended BGP attributes) như BGP MED khi OSPF được redistribute vào MP-BGP. Các tuyến 172.16.20.0, 209.165.201.0/27, và 209.165.202.128/27 được quảng bá tới PE1-AS1 qua MP-iBGP session. (4) PE1-AS1 nhận các tuyến BGP VPNv4 172.16.20.0/24, 209.165.201.0/27 và 209.165.202.128/27 từ PE2-AS1 và thêm vào bảng BGP. OSPF metric cho các tuyến vẫn được giữ nguyên khi quảng bá quá MP-BGP backbone. (5) Router PE nhận, PE1-AS1 redistribute các tuyến MP-BGP vào OSPF, kiểm tra domain ID, và nếu domain ID của tuyến trùng khớp domain ID trên router nhận, PE1-AS1, nó dùng LSA gốc và thuộc tính MED để phát sinh một LSA Type 3. Ở đây, domain ID trùng khớp với domain ID của PE1-AS1 nên PE1- AS1 cấu trúc lại cập nhật gốc và cập nhật metric dựa trên giao tiếp ngõ ra và quảng bá 172.126.20.0/24 là một tuyến liên vùng (O IA) tới CE1-A. 209.165.201.0/27 và 209.165.202.128/27 được quảng bá là tuyến liên miền (O E1 và O E2) tới CE1-A. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 81 (6) CE1-A nhận 172.16.20.0 (O IA), 209.165.201.0/27 (O E1) và 209.165.202.128/27 (O E2). SPF Domain ID khác nhau trên các router PE Nếu process ID khác nhau trên các router PE cho các site thuộc cùng VPN, các tuyến OSPF được xem như các tuyến OSPF ngoài (OSPF LSA Type 5). Khi PE1-AS1 trong OSPF Area 1 sử dụng OSPF process ID 201 cho Site 1 thuộc VPN VPN-A, và PE2- AS1 trong OSPF Area 2 sử dụng OSPF process ID 202 cho Site 2 thuộc VPN VPN-A thì tại Site 1 và Site 2 sẽ thấy các tuyến bên ngoài (O E). Thứ tự thực hiện khi CE2-A gửi 192.168.20.0, 192.168.99.0 và 192.168.199.0 tới CE1-A: (1) CE2-A redistribute mạng RIPv2 192.168.99.0 vào OSPF và quảng bá nó với một LSA type 5 (O E1) tới PE2-AS1. Mạng EIGRP 192.168.199.0/24 được redistribute và quảng bá với OSPF LSA Type 5 (O E2). CE2-A cũng gửi 192.168.20.0/24 tới PE2-AS1. (2) Bảng định tuyến VRF CustomerA trên PE2-AS1 thấy các tuyến nhận được: 192.168.20.0 với metric 74, 192.168.99.0/24 (O E2) có metric 84 và 192.168.199.0/24 có metric 20. (3) PE2-AS1 redistribute các tuyến OSPF 192.168.20.0, 192.168.99.0, 192.168.199.0 vào MP-BGP, sao chép OSPF cost cho các tuyến này vào thuộc tính MED (multi-exit discriminator), và thiết lập community mở rộng của BGP là RT (route type) để chỉ định loại LSA từ nguồn của tuyến, cũng như thuộc tính OSPF domain ID để chỉ định chỉ số tiến trình (process number) của tiến trình OSPF nguồn (source OSPF process). OSPF RT mang thông tin vùng gốc (original area), loại LSA và metric-type của LSA loại 5. (4) PE1-AS1 nhận các tuyến BGP VPNv4 192.168.20.0, 192.168.99.0, và 192.168.199.0 với cùng thông tin metric từ PE2-AS1. Thêm thông tin nhận được vào bảng BGP. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 82 (5) PE2-AS1 kiểm tra thuộc tính nhận được trong tuyến, và vì domain ID của tuyến không trùng khớp với domain ID trên router nhận nên tuyến được chuyển đổi thành tuyến ngoài (LSA Type 5). Trong trường hợp này, domain ID trùng khớp với domain ID trên PE1-AS1 nên PE1-AS1 sẽ tái cấu trúc lại cập nhật gốc và cập nhật metric dựa trên các giao tiếp ngõ ra và quảng bá lại cho CE1-A. (6) CE1-A nhận các tuyến quảng bá tới. Ảnh hưởng của việc cấu hình OSPF Domain ID trên router PE Cấu hình OSPF domain ID làm thay đổi hành vi (behavior) của tuyến cho các kết nối VPN với nhiều OSPF domain. Cấu hình domain ID giúp kiểm soát việc chuyển đổi LSA (cho LSA Type 3 và Type 5) giữa các OSPF domain và đường backdoor. Domain ID ngầm định là 0.0.0.0. Mỗi bảng định tuyến VPN trên một router PE tương ứng với một OSPF routing instance được cấu hình với cùng OSPF domain ID. Vì thế, Domain ID được dùng để các định các tuyến có nguồn gốc từ OSPF domain hay từ các giao thức định tuyến bên ngoài dựa trên LSA. Trong hình trên, thật khó xác định tuyến nào thuộc OSPF domian, tuyến nào thuộc miền định tuyến bên ngoài. Trong hình sau, cấu hình domain ID giống nhau trên PE1-AS1 và PE2-AS1, chúng ta có thể xác định chính xác nguồn gốc của các tuyến. OSPF Down Bit Lặp tuyến (routing loop) có thể xảy ra trong môi trường MPLS VPN khi các router biên phía khách hàng kết nối dạng dual-home tới mạng của nhà cung cấp. Hình bên dưới cho thấy một mạng MPLS thực thi định tuyến OSPF PE-CE cho nhiều site của Customer A VPN-A, Stie 1 và Site 2. Site 2 nằm trong OSPF Area 2 và có nhiều kết nối tới backbone của nhà cung cấp. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 83 Việc quảng bá tuyến ở đây không thiết lập OSPF Down Bit: (1) CE1-A gửi một LSA Type 1 hoặc LSA Type 2 tới router biên của nhà cung cấp (PE1). (2) PE1 nhận tuyến OSPF nội vùng (intra-areaa) từ CE1-A và redistribute vào MP-BGP. (3) PE2 nhận được và redistribute tuyến MP-BGP vào OSPF Area 2 như là một tuyến liên vùng (inter-area summary route) LSA Type 3. (4) Tuyến tóm tắt được quảng bá qua vùng OSPF và được nhận bởi PE3, trong cùng Area 2. (5) PE3 chọn tuyến OSPF, vì AD (administrative distance) của OSPF tốt hơn của MP-iBGP. PE3 redistribute tuyến OSPF ngược vào MP-BGP nên xảy ra routing loop. Có thể ngăn routing loop bằng cách sử dụng OSPF Down Bit, một phần của trường option trong OSPF header. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 84 OSPF Down Bit được sử dụng để chống routing loop: Quá trình quảng bá tuyến khi OSPF Down Bit được thiết lập: (1) CE1-A gửi LSA Type 1 hoặc Type 2 tới PE1. (2) PE1 nhận tuyến OSPF nội vùng (intra-area OSPF route) từ CE1-A và redistribute vào MP-BGP. (3) PE2 nhận được và redistribute tuyến MP-BGP đó vào OSPF Area 2 với LSA Type 3 và thiết lập OSPF Down Bit. (4) Tuyến này được quảng bá qua OSPF area và PE3 nhận được. (5) Khi PE3 nhận LSA Type 3 với Down Bit được thiết lập thì PE3 không redistribute lại vào MP-BGP. OSPF Route Tag hay VPN Route Tag VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 85 Down Bit giúp ngăn lặp tuyến giữa MP-BGP và OSPF, nhưng không hiệu quả với các tuyến ngoài (external route), như khi redistribute giữa nhiều OSPF domain hay xen external route vào một vùng được kết nối dual-homed tới mạng của nhà cung cấp. PE redistribute một tuyến OSPF từ các miền OSPF khác nhau vào một miền OSPF thành các external route. Down Bit không được thiết lập vì LSA Type 5 không hỗ trợ Down Bit. Tuyến được redistribute được quảng bá qua OSPF domain. Một router không chạy MPLS (non-MPLS router) có thể redistribute tuyến OSPF vào miền OSPF khác. Tuyến OSPF đó được quảng bá qua miền OSPF khác mà không có Down Bit. Một router PE nhận được tuyến OSPF. Khi không có Down Bit, tuyến đó lại được redistribute vào MP-BGP backbone và gây ra routing loop. Điều này được thể hiện trong hình sau với các tuyến ngoài được quảng bá vào các VPN site. Các bước thực hiện như sau: (1) CE2-A gửi một LSA Type 5 cho 209.165.201.0/27 tới PE2-AS1. (2) PE2-AS1 nhận tuyến OSPF ngoài (O E1) từ CE2-A với OSPF Down Bit được thiết lập và redistribute nó vào MP-BGP. (3) Giả sử router nhận được là PE1-AS1, vì nó được redistribute tới một miền OSPF khác (201) nên PE1-AS1 xóa OSPF Down Bit và quảng bá tuyến tới CE1-A như là một tuyến ngoài (O E1), LSA Type 5. (4) CE1-A nhận tuyến không có thiết lập OSPF Down Bit và quảng bá external route đó tới PE3-AS1. (5) PE3-AS1 nhận được tuyến này và redistribute trở vào MP-BGP. (6) PE3-AS1 quảng bá tuyến này tới cho PE1-AS1 và PE2-AS1 nên có thể xảy ra routing loop. Routing loop xảy ra cho các tuyến redistribute giữa các miền OSPF có thể được giải quyết bằng trường Tag, sử dụng các nguyên tắc redistribute BGP-OSPF chuẩn. Một tuyến không phải OSPF (non-OSPF route) được redistribute như là một external OSPF route bởi các router PE. Mặc định, trường Tag được thiết lập theo giá trị của BGP-AS. Tuyến được redistibute sẽ được quảng bá qua OSPF domain mà không có Down Bit nhưng được thiết lập trường Tag. Khi route được redistibute vào miền OSPF domain thì trường Tag cũng được quảng bá. Các router PE khác nhận được thực hiện lọc tuyến dựa trên trường Tag. Nếu trường Tag trùng khớp với chỉ số AS thì tuyến không được redistribute lại vào MP-BGP. VnPro – Cisco Authorized Training Center Trần Thị Tố Uyên 86 Cấu hình và kiểm chứng định tuyến OSPF PE-CE Cơ đồ cấu hình để thực thi định tuyến OSPF PE-CE như sau:  Chú ý: Các phiên bản Cisco IOS trước 12.3(4)T, 12.0(27)S và 12.2(25)S có giới hạn 32 tiến trình riêng biệt tạo ra cho mỗi VRF để các PE có thể xác định đúng các tuyến OSPF thuộc vào tiến trình nào. Trong môi trường MPLS VPN, một tiến trình được sử dụng bởi MP-iBGP, một cho giao thức định tuyến IGP (ví dụ: OSPF), một tiến trình cho các tuyến nối trực tiếp (connected route) và một tuyến cho tuyến tĩnh (static route). Do đó, chỉ còn lại 28 tiến trình có thể được tạo cho các VRF sử dụng định tuyến OSPF PE-CE. LAB