【正确答案】当一个VPN业务分组由CE路由器(R1)发送给入口PE路由器R2时，R2查找该子接口对应的VRF表，从表中得到VPN标签、初始外层标签以及到出口PE路由器(R5)的输出接口。该VPN分组被打上两层标签后，通过R2输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE路由器(R5)之前的最后一个P路由器(R4)上，外层标签被弹出。出口PE路由器(R5)根据内层标签查找对应的输出接口，在弹出VPN标签后通过该输出接口将VPN分组转发给相应的CE路由器(R6)，从而实现整个数据的转发过程

【答案解析】设计本问题的目的是加深读者对MPLS VPN体系结构工作原理的理解。本题的解答思路如下。 MPLS VPN网络主要由CE、PE和P等3部分组成。其中，CE(Custom Edge Router，用户网络边缘路由器)设备用于发布用户网络路由。PE(Provider Edge Router，骨干网边缘路由器)设备与用户的CE直接相连，负责VPN业务接入，存储VRF(Virtual RoutingForwarding Instance)，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者。P(ProviderRouter，骨干网核心路由器)负责快速转发MPLS数据，不与CE直接相连。在整个MPLSVPN网络中，对VPN的所有处理都发生在PE路由器上，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。 MPLS VPN体系结构可以分成控制面和数据面。其中，控制面定义了标签交换路径(LSP)的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。 在控制层面上，P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE和邻居PE路由器之间的路由交互得到属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由，或采用IGP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互，PE路由器通过维持iBGP网状连接(或使用路由反射器)来确保路由信息分发了给所有的PE路由器。除了路由选择协议之外，在控制层面上工作的还有标签分发协议(LDP)，它在整个MPLS网络中进行标签的分发，形成数据转发的逻辑通道LSP。 在数据转发层面上，MPLS VPN网络中传输的VPN业务数据采用外标签(也称为隧道标签)和内标签(也称为VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发送给入口PE路由器时，PE路由器查找该子接口对应的虚拟路由转发表(VRF表)，从VRF表中得到VPN标签、初始外层标签及到出口PE路由器的输出接口。当该VPN分组被打上两层标签之后，就通过入口PE路由器输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE路由器之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给相应的CE路由器，从而实现了整个数据在MPLS骨干网中的转发过程。

【正确答案】network 10.1.0.0 0.0.15.255 area 0，或network 10.0.0.0 0.255.255.255 area 0，或network 10.1.0.00.0.255.255 area 0，或其他等价语句 ip cef mpls label protocol ldp tag-switching ip neighbor 10.1.1.5 remote-as 51512 neighbor 10.1.1.5 address-family vpnv4 ip vrf forwarding ft_vpn 用做BGP会话的更新源和LDP路由器的ID 为了MP-BGP携带路由区分符(RD)和起源场点属性

【答案解析】设计本问题的目的是加深读者对MPLS VPN主要配置过程的理解。本题的解答思路是： 由于上图所给出的路由器R2的Loopback 0接口的IP地址为10.1.1.2/32，而S1/1接口的IP地址为10.1.10.1/24，将这两个IP地址CIDR汇总，可得到CIDR地址块10.1.0.0/20，因此，在第一空缺处使用配置语句network 10.1.0.0 0.0.15.255 area 0，可以一次性将R2的S1/1接口和Loopback0接口加入到OSPF的进程，这是一种快捷的OSPF声明接口的配置方式。 通常，MPLS依赖于CEF，因此，第二空缺处需使用配置语句ip cef，以启用CEF的快速转发机制。 MPLS有两种标签转发协议TDP(Cisco私有)和LDP。Cisco路由器默认的标签分发协议为TDP。第三空缺处要求配置标签分发协议为LDP，其对应的配置语句是mpls labelprotocol ldp。 空缺处前一条配置语句mpls ip，在S1/1接口启用了MPLS。而第四空缺处启用标签转发的配置语句是tag-switching ip。 配置BGP协议的目的是为了启用MP-BGP，用于在PE路由器之间交换VPN路由。由于BGP创建邻居时，不要求对等体是物理直连接的，可以使用TCP 179号端口进行邻居的会话，因此在PE路由器上配置BGP协议时，只需要配置R2与R5路由器的BGP协议。根据MPLS VPN的工作原理，在上图中路由器R2的邻居路由器是R5，因此第五空缺处配置邻居路由器及其所在AS使用的配置语句是neighbor 10.1.1.5 remote-as 51512。 为了保证MPLS VPN正常运行，通常使用一个掩码为32的接口指定为BGP的更新源。因此，第六空缺处所在行完整的配置语句是neighbor 10.1.1.5 update-source loopback 0。 激活两台PE路由器MP-BGP协议，其目的是用于交换不同VPN场点的路由。要启用MP-BGP协议，必须在VPNv4的地址族下激活，因此第七空缺处使用的配置语句是address-family vpnv4。 配置VRF(即VPN路由转发表)实质是配置路由目标(RT)和路由区分符(RD)。而且需要注意的是属于同一个VPN场点中的路由目标(RT)的值必须一致，否则可能会导致MPLS VPN的路由表构建出错。本试题关于与VRF相关的配置语句及其解释如下。 R2 (config) # ip vrf ft_vpn //配置ft_vpn场点的路由目标标记，注意：VRF的名称是区分大小写的 R2 (config-vrf) # rd 51512：i00 //iN置ft_vpn场点的路由区分符值为51512:100 R2 (config-vrf) # route-target import 51512:100 //指定将路由目标为51512:100的路由导入到VRF中 R2 (config-vrf) # route-target export 51512:100 //指出从客户端的路由器重发布到MP—BGP中使用路由区分符为51512:100 R2 (config-vrf) # exit R2 (config) # interface serial 1/0 R2 (config-if) # ip vrf forwarding ft_vpn //将ft_vpn的VRF与S1/0接口关联起来 R2 (config-if) # ip address 192.168.1.2 255.255.255.0 //由于配置了VRF会导致接口的IP丢失，因此需要重新配置一次IP地址 R2 (config-if) # exit R2 (config) # 因此，第入空缺处使用的配置语句是ip vrfforwarding ft_ypn。 由于OSPF在默认通告环回口时，会将其通告为32位掩码的IP地址。而其他LSR(标签交换路由器)会创建一个与PE路由器通告的OSPF相对应的标签绑定(OSPF Router-ID与LDP Router-ID)，即使用32位掩码的路由。若PE路由器的与标签绑定的接口LOOPBACK0子网掩码为24位，则会出现LSP(标签转发协议)出错，导致MPLS不能正常工作。 在路由器R2的配置信息中，配置语句mpls ldp router-id loopback 0 force选择使用回环口作为LSR的Router-ID，配置语句neighbor 10.1.1.5 update-source loopback 0将回环口指定为BGP的更新源，因此R2的Loopback 0接口的子网掩码配置为255.255.255.255，其主要目的是用做BGP会话的更新源和LDP路由器的ID。 配置语句neighbor 10.1.1.5 send-community extended，用于BGP扩展共用体交换，目的是为了MP-BGP携带路由区分符(RD)和起源场点属性。路由区分符，可以确保不同的VPN场点的路由是相对独立的。其可以确保MP-BGP为不同的VPN场点构建不同的VRF(VPN Routing Forwarding)转发表。路由区分符(RD)可以解决客户端场点地址空间重叠的问题。 另外，路由目标(RT)也可以实现与RD相同的功能。但RD灵活性不够，无法在MPLSVPN主干上支持复杂的网络拓扑。若要在不同的VPN场点实现VOIP交互，可以使用RT解决不同的场点而共用相同的一个语音网关，但使用RD则无法实现此功能。

【正确答案】address-family ipv4 vrf ft_vpn redistribute bgp 51512 metric transparent address-family ipv4 vrf ft_vpn redistribute rip

【答案解析】设计本问题的目的是加深读者对MPLS VPN路由重发布配置过程的理解。本题的解答思路如下。 在上图所示的拓扑结构中，需要配置PE路由器R2与CE路由器R1、PE路由器R5与CE路由器R6之间的路由选择协议和MP-BGP与RIP之间的路由重发布。以R2和R1为例，首先配置CE端R1的RIP路由，示例如下： R1 (config) # router rip R1 (config-router) # version 2 //配置为V2的RIP版本 R1 (config-router) # network 192.168.1.0 //定义参与RIP路由的网络地址 R1 (config-router) # network 192.168.2.0 R1 (config-router) # network 192.168.3.0 R1 (config-router) # exit R1 (config) # 接着配置PE端R2的RIP路由，示例如下： R2 (config) # router rip R2 (config-router) # version 2 //配置为V2的RIP版本 R2 (config-router) # address-family ipv4 vrf ft_vpn //启用IPV4地址族，配置RIP //与VRF转发表之间的关系，以指出在重发布时采用VRF中那个RT的值 R2 (config-router-af) # version 2 R2 (config-router-af) # redistribute bgp 51512 metric transparent //将MP-BGP中带有51512:100的RT的路由重发布到RIP中，使用关键字transparent的 //主要目的是保留RIP的原始度量值，它们将被复制在MED属性中 R2 (config-router-af) # network 192.168.1.0 //定义参与RIP路由的网络地址 R2 (config-router-af) # no auto-summary //关闭自动汇总 R2 (config-router-af) # exit R2 (config-router) # exit R2 (config) # 然后配置PE端R2的BGP路由，确保RIP的路由重发布到MP-BGP中，示例如下： R2 (config) # router bgp 51512 R2 (config-router) # address-family ipv4 vrf ft_vpn //配置重发布时VRF相关联的RT的值 R2 (config-router-af) # redistribute rip //重发布RIP路由协议。 R2 (config-router-af) # no auto-summary //关闭自动汇总 R2 (config-router-af) # no synchronization //关闭同步的规则 R2 (config-router-af) # exit R2 (config-router) # exit R1 (config) #