H3C 三层MPLS-VPN模板
1 实验环境:
1.1实施目的:
随着公司近年调度数据网的项目增多,为了使项目做到统一的规范、合理化。所以建立此次的试验,此试验中的配置作为以后调度数据网项目的配置模板和学习资料(供新手参考)。
1.2 设备模拟场景:
角色 核心层 汇聚层 汇聚层 接入层 接入层 省局核心层 核心层 接入层 核心层 接入层 R R R R R R S S PC2 PC1 R/S/pc 设备型号 H3C SR6608 H3C SR6608 H3C SR6608 H3C SR3040 H3C SR3040 H3C SR3040 H3C S3100 H3C S3100 模拟核心层业务主机 模拟接入层业务主机 设备SYSNAME Jieru_R1 Huiju_R2 Huiju_R3 Jieru_R4 Jieru_R5 Shengju_R Hexin_S Jieru_S
2 网络规划:
2.1 拓扑图:
2.2 网络结构:
2.2.1管理地址
采用Loopback地址,采用32位子网掩码。统一使用Loopback 1 接口 2.2.2互联地址:
使用网段非PE-CE地址192.168.1.0/24,PE-CE地址192.168.2.0/24。互联地址采用30位子网掩码。 2.2.3 OSPF: 2.2.3.1进程号: 进程号:1 2.2.3.2区域号:
核心层和汇聚层之间,汇聚和汇聚层之间区域号AREA 0。 接入层和接入层之间,接入层和汇聚层之间区域号AREA 1。 2.2.3.3 route-id:
loopback 1 地址 2.2.4 BGP:
2.2.4.1 AS编号:
县调AS号:100 市调AS号:200
2.2.4.1 路由反射器(RR): 采用二级BGP反射器。(核心层为一级BGP反射器,汇聚层为二级BGP反射器),
client server Jieru_R4 ,Jieru_R5 Huiju_R2,huiju_R3 Huiju_R2,huiju_R3 Hexin_R1 2.2.4.2 单跳M-BGP: 跨域MPLS-互连采用单跳M-BGP方式,通过E-BGP发布AS系统业务聚合路由到市调骨干,同时市调骨干发布其他AS业务聚合路由到接入网络
1.2.5 MPLS-VPN: 2.2.5.1 LSR-ID: loopback 1 地址
2.2.5.2 县调VRF命名及IP地址: VPN命名 -rt -nrt -e 2.2.5.3 RD和RT: 县调 VPN命名 -rt -nrt -e RD RT(both) 1:100 1:101 1:102 VPN命名 -rt -nrt -e RD 市调 RT(both) 2:200 2:201 2:202 VLAN号 10 20 30 地址段 172.16.1.0/24 172.16.2.0/24 172.16.3.0/24 2.2.5.4 单调M-EBGP: 各业务地址只发汇总地址到省局。并把县调RT属性变更市调的RT属性
2.2.6 交换机VLAN:
编号 -rt -nrt -e trunk vlan 10 20 30 1-8 9-16 17-23或24 24或25 接口
2.3 ip地址规划:
2.3.1 互联地址: 设备名称 端口 Loopback 1 G3/0/1 Hexin_R1 G3/0/0 G4/0/0.100 G5/0/1 Loopback 1 Huiju_R2 G3/0/1 G3/0/0 G4/0/0 Loopback 1 G3/0/0 Huiju_R3 G3/0/1 Route-agg 1 (G4/0/0,G4/0/1) Loopback 1 Jiru_R4 G0/0 E2/0 E4/0.100 Loopback 1 Jiru_R5 G0/0 E2/0 G0/0 G1/0/25(vlan 100) E1/0/24(vlan 100) VPN实例 -rt -nrt -e Ip地址 1.1.1.1/32 192.168.1.1/30 192.168.1.5/30 192.168.2.1/30 10.1.1.2/30 2.2.2.2/32 192.168.1.2/30 192.168.1.9/30 192.168.1.13/30 3.3.3.3/32 192.168.1.6/30 192.168.1.10/30 192.168.1.17/30 4.4.4.4/32 192.168.1.14/30 192.168.1.21/30 192.168.2.5/32 5.5.5.5/32 192.168.1.18/30 192.168.1.22/30 10.1.1.2/30 192.168.2.2/30 192.168.2.6/30 Vlan 号 10 20 30 TO — Huij_R2 G3/0/1 Huij_R3 G3/0/0 Hexin_S G1/0/25 Shengju_R G0/0 — Hexin_R1 G3/0/1 Huiju_R3 G3/0/1 Jieru_R4 G0/0 — Hexin_R1 G3/0/0 Huiju_R2 G3/0/0 Jieru_R5 G0/0 — Huij_R2 G4/0/0 Jiru_R5 E2/0 Jiru-S E1/0/24 — Huiju_R3 Route-agg 1 (G4/0/0,G4/0/1) Juru_R4 E2/0 Hexin_R G4/0/1 Hexin_R G4/0/0 Jieru_R E4/0 网关IP地址 172.16.1.126/25 172.16.2.126/25 172.16.3.126/25 Shengju_R Hexin_S Jieru_S 角色 接入层PE 2.3.1 业务地址: -rt 核心层PE
-nrt -e 10 20 30 172.16.1.254/25 172.16.2.254/25 172.16.3.254/25 3 县调设备配置步骤:(hexin_R1
3.1 第一步telnet建立:(重要)
为例)
Ps:站和站之间往往距离很远,建立的TELNET通过远程调试达到节省人力的目的。
3.1.1 配置及注释:
telnet server enable */ 必须写,要不telent不能使用 #
super password level 3 simple admin */ enable密码 #
local-user admin */定义用户名密码 password simple admin service-type telnet
user-interface vty 0 4
authentication-mode scheme
*/ 写此命令。Telnet时采用username password 的登录方式
3.1.2 测试正常状态:
3.2 第二步OSPF建立:
Ps:作为公网路由,作用有二:
a.是后面建立BGP、MPLS-VPN的基础 。
b.连网管理地址可以TELENT远程登录进行管理
3.2.1 配置及注释:
interface GigabitEthernet3/0/0 port link-mode route description To-R2
ip address 192.168.1.5 255.255.255.252 #
interface GigabitEthernet3/0/1 port link-mode route description To-R3
ip address 192.168.1.1 255.255.255.252 #
interface GigabitEthernet4/0/0.100 description PE-CE
vlan-type dot1q vid 100
*/封装为vlan 100 单臂路由,接交换机TRUNK接口 ip address 192.168.2.1 255.255.255.252 #
ospf 1 router-id 1.1.1.1 */建立OSPF路由协议(公网路由),作为
建立BGP 的基础,
area 0.0.0.0
network 1.1.1.1 0.0.0.0 */宣告loopback地址 network 192.168.1.5 0.0.0.0 */ 宣告和R3的互联地址 network 192.168.1.1 0.0.0.0 */ 宣告和R2的互联地址 network 192.168.2.1 0.0.0.0 */ 宣告PE-CE互联地址
3.2.2 测试正常状态:
3.2.2.1 查看接口信息:dis ip int brief
3.2.2.2 查看OSPF邻居关系: dis ospf peer 状态为FULL邻居正常
3.2.2.3 查看路由表:dis ip rout 查看公网路由是不是都学到
3.3 第三步BGP的建立:
PS:BGP通过IGP建立,OSPF跑的是公网路由。这里BGP的作用是在VPN IPV4私网中激活
邻居,承载私网路由
3.3.1 配置及注释: bgp 100
undo synchronization */ 关闭同步 group haha internal
*/ 建立 BGP对等体组,internal参数加上后,表示这个对等体组内的邻居为ibgp peer haha connect-interface LoopBack1
*/ 以loopback 1 接口作为更新源。靠环回接口建立BGP邻居,好处是环回口不会受物理口的会DOWN掉而失去邻居。
peer 2.2.2.2 group haha */ 将邻居加入对等体组 peer 3.3.3.3 group haha #
ipv4-family v4 */ 进入 IPv4的私网 peer 2.2.2.2 enable
*/ 激活邻居,必写,这样邻居才能在 ipv4 私网中正常通信 peer 2.2.2.2 advertise-community
*/ 向邻居发送团里属性,就是向邻居发送RT属性 peer 2.2.2.2 reflect-client */加入邻居为客户端,表示此路由器为路由反射器(RR),只需加此一条命令即可成为RR。此命令一般用于全互联网络 peer 3.3.3.3 enable
peer 3.3.3.3 advertise-community peer 3.3.3.3 reflect-client peer 10.1.1.2 enable peer haha enable
peer haha reflect-client */ 对haha对等体组 添加属性 #
3.2.2 测试正常状态:
3.2.2.1 查看BGP邻居状态: dis bgp peer 状态为established(建立),正常。
3.2.2.2查看VPN IPV4私网路由表:dis bgp v4 all routing-table
注意:这里只能看到收到的路由,能不能通信要看是否有相应的VPN实例
从RD中看1:100 192.16.1.0/25是从4.4.4.4这个邻居学到的。 2:200 10.10.10.10/32是从ebgp邻居10.1.1.2学来的(往后看)。上
路由收到了,但并没有放到路由表中,所以PING不通。
3.4 第四步MPLS-VPN的建立:
3.4.1 配置及注释: 3.4.1.1 建立VRF属性:
ip -instance -rt
*/ 建立VPN实例,不同的设备相同的VPN实例才能通信
route-distinguisher 1:100 */ RD路由区分符,区分路由, -target 1:100 export-extcommunity -target 1:100 import-extcommunity
*/ rt 路由对象。本设备出1:100,别的设备是入1:100 对方才能收到本路由的路由进行通讯,相反别人出2:200,本设备要写成入2:200才能收到对方设备的路由。
3.4.1.2 启用MPLS:
3.4.1.2.1 全局下启动MPLS协议:
mpls lsr-id 1.1.1.1 */ 不写。全局下MPLS不能启用,
Mpls */ 全局下启MPLS协议# mpls ldp */ 启用MPLS LDP
3.4.1.2.2 在互联接口启动MPLS: interface GigabitEthernet3/0/0
mpls mpls ldp
*/端口下启用MPLS 和MPLS LDP后,进行标签转发
interface GigabitEthernet3/0/1 mpls mpls ldp
3.4.1.2.3 把接口分配到相应的VPN中: interface G4/0.1
vlan-type dot1q vid 10
ip binding -instance -rt
*/ 把此接口加入VPN实例中,注意敲完此命令,接口IP要重新设置 ip address 172.16.1.254 255.255.255.128
3.4.1.2.4 在BGP中建立实例: bgp 100
ipv4-family -instance -rt */ 进入VPN实例 import-route direct
*/ 重分布直连把属于直连并且是属于相关VPN实例中的接口发布进来
3.4.2 测试正常状态:
3.4.2.1 查看mpls 邻居:dis mpls ldp peer
3.4.2.2 查看VPN实例路由表:dis ip routing-table -instance -rt
3.4.2.3 测试PE之间的VPN实例中的路由是否通: ping –a 源地址 –stance VPN实例号 目标地址
3.4.2.4 如果路由表里有目的路由查不能PING通:
a.查看是不是只有去的方向的路由,没有回的方向的路由 b.MPLS是不是没建好,没看到mpls 邻居
3.4.2.5 查看路由的各种属性:
a. dis bgp v4 all routing-table 10.10.10.10
From:
从哪个邻居来,0.0.0.0 表示本路由器发出的 Ext-community:
本路由携带的RT属性,如果符合本RT收的属性则放入相对应的VPN路由表 AS-PATH:
经过as200过来的 Origin:
这个路起源自哪 i>e>?
3.4 通过以上四步一个PE路由器建立完成。配置正确的话。县调(同
一AS)两个PE路由VPN可以进行通讯了。一个县调基础建立完了。可以进配置优化工作 了。
3.5 第五部 跨域MPLS-互连采用单跳M-BGP方式,通过E-BGP
发布AS系统业务聚合路由到省调。
interface GigabitEthernet5/0/1 port link-mode route
ip address 10.1.1.1 255.255.255.0 mpls mpls ldp
ip -instance -rt
route-distinguisher 1:100 -target 2:200 import-extcommunity
*/这里只收省调的发过来的RT属性,不发省局RT属性是避免所以路由(明细路由)都发到省局
Bgp 100
peer 10.1.1.2 as-number 200 */建立EBGP邻居 peer 2.2.2.2 next-hop-local
*/ EBGP邻居会把学来的路由原封不动发给IBGP邻居,但实际上IBGP邻居不能直接到达目标路由,要加next-hop-local 属性,表示要经过本跳才能达到目标。算是搭个桥。 peer 3.3.3.3 next-hop-local #
ipv4-family v4 peer 10.1.1.2 enable
peer 10.1.1.2 route-policy haha export */名称为haha的路由映射,发给邻居 peer 10.1.1.2 advertise-community #
ipv4-family -instance -rt */ 进入VPN实例 network 172.16.0.0 */路由表中已经有了路由了,才可以宣告成功
import-route direct
*/ 重分布直连把属于直连并且是属于VPN实便中的接口发布进来 #
ip route-static -instance -rt 172.16.0.0 255.255.0.0 NULL0 */此条目的作用。此地址为业务地址的汇总路由,BGP中要求宣告的网络在自己的路由表中一定要有。所以要写一路指向空接口的静态发给省局,(指向空接口的路由不会消失)因为是业务地址所以是在VPN中,所以要加上-intstance VPN名称。 #
ip ip-prefix haha index 10 permit 172.16.0.0 16 less-equal 22 */ 前缀列表。抓172.16.0.0/16-22位的路由,(精确路由) #
route-policy haha permit node 10 */建立 路由映射 haha if-match ip-prefix haha */ 匹配 前缀列表 haha
apply extcommunity rt 2:200 */ 改为发出的RT属性为2:200,此实验环境中用于发给省局的路由,2:200为省局的RT倒入属性,此目的为的是只给省局发送汇总路由。 #
3.5 其它命令:
Bgp 100
timer keepalive 10 hold 30
*/ 更改存活时间, 使BGP收敛更快。
Bgp 100
ipv4-family v4
undo policy -target
*/ 关闭路由过滤,表示只要是发给此路由器的路由都收接不作过滤,如果此路由没有相关VPN RT导入属性,结果只能看到路由而不能通讯,因为不符合相关的VPN的属性,就不能把路由放到相应的VPN路由表中,只有放在相应的VPN路由表中,相同VPN路由表的路由才可能通。
还有一个作用把由传递给邻居,看邻居有没有相应的VPN属性,一般用于RR。适用于单跳M-EBGP中。通dis bgp v4 all rout 查看路由。
4 设备配置清单:
见附件中配置清单
5 网络可靠性测试:
5.1 测试正常拓扑:
5.2 测试不正常拓扑:
5.3测试不正常拓扑:
