华为路由器MPLSVPN配置示例.docx

华为路由器MPLSVPN配置示例.docx

《华为路由器MPLSVPN配置示例.docx》由会员分享，可在线阅读，更多相关《华为路由器MPLSVPN配置示例.docx（20页珍藏版）》请在冰豆网上搜索。

华为路由器MPLSVPN配置示例

配置BGP/MPLSIPVPN示例

图1?

配置BGP/MPLSIPVPN组网图?

∙组网需求

∙配置思路

∙操作步骤

∙配置文件

组网需求

如所示：

∙CE1连接公司总部研发区、CE3连接分支机构研发区，CE1和CE3属于vpna；

∙CE2连接公司总部非研发区、CE4连接分支机构非研发区，CE2和CE4属于vpnb。

公司要求通过部署BGP/MPLSIPVPN，实现总部和分支机构的安全互通，同时要求研发区和非研发区间数据隔离。

配置思路

采用如下的思路配置BGP/MPLSIPVPN：

1.P、PE之间配置OSPF，实现骨干网的IP连通性。

2.PE、P上配置MPLS基本能力和MPLSLDP，建立MPLSLSP公网隧道，传输VPN数据。

3.PE1和PE2上配置VPN实例，其中，vpna使用的VPN-target属性为111:

1，vpnb使用的VPN-target属性为222:

2，以实现相同VPN间互通，不同VPN间隔离。

同时，与CE相连的接口和相应的VPN实例绑定，以接入VPN用户。

4.PE1和PE2之间配置MP-IBGP，交换VPN路由信息。

5.CE与PE之间配置EBGP，交换VPN路由信息。

操作步骤

1.在MPLS骨干网上配置OSPF协议，实现骨干网PE和P的互通

#配置PE1。

system-view

[Huawei]sysnamePE1

[PE1]interfaceloopback1

[PE1-LoopBack1]

[PE1-LoopBack1]quit

[PE1]interfacegigabitethernet3/0/0

[PE1-GigabitEthernet3/0/0]

[PE1-GigabitEthernet3/0/0]quit

[PE1]ospf1

[PE1-ospf-1]area0

quit

[PE1-ospf-1]quit

#配置P。

system-view

[Huawei]sysnameP

[P]interfaceloopback1

[P-LoopBack1]

[P-LoopBack1]quit

[P]interfacegigabitethernet1/0/0

[P-GigabitEthernet1/0/0]

[P-GigabitEthernet1/0/0]quit

[P]interfacegigabitethernet2/0/0

[P-GigabitEthernet2/0/0]

[P-GigabitEthernet2/0/0]quit

[P]ospf

[P-ospf-1]area0

quit

[P-ospf-1]quit

#配置PE2。

system-view

[Huawei]sysnamePE2

[PE2]interfaceloopback1

[PE2-LoopBack1]

[PE2-LoopBack1]quit

[PE2]interfacegigabitethernet3/0/0

[PE2-GigabitEthernet3/0/0]

[PE2-GigabitEthernet3/0/0]quit

[PE2]ospf

[PE2-ospf-1]area0

quit

[PE2-ospf-1]quit

配置完成后，PE1、P、PE2之间应能建立OSPF邻居关系，执行displayospfpeer命令可以看到邻居状态为Full。

执行displayiprouting-table命令可以看到PE之间学习到对方的Loopback1路由。

以PE1的显示为例：

[PE1]displayiprouting-table

RouteFlags:

R-relay,

D-downloadtofib

------------------------------------------------------------------------------

RoutingTables:

Public

Destinations:

11Routes:

11

Destination/MaskProtoPreCostFlagsNextHopInterface

[PE1]displayospfpeer

Neighbors

State:

FullMode:

NbrisMasterPriority:

1

Deadtimerduein37sec

Retranstimerinterval:

5

Neighborisupfor00:

16:

21

AuthenticationSequence:

[0]

2.在MPLS骨干网上配置MPLS基本能力和MPLSLDP，建立LDPLSP

#配置PE1。

[PE1]

[PE1]mpls

[PE1-mpls]quit

[PE1]mplsldp

[PE1-mpls-ldp]quit

[PE1]interfacegigabitethernet3/0/0

[PE1-GigabitEthernet3/0/0]mpls

[PE1-GigabitEthernet3/0/0]mplsldp

[PE1-GigabitEthernet3/0/0]quit

#配置P。

[P]

[P]mpls

[P-mpls]quit

[P]mplsldp

[P-mpls-ldp]quit

[P]interfacegigabitethernet1/0/0

[P-GigabitEthernet1/0/0]mpls

[P-GigabitEthernet1/0/0]mplsldp

[P-GigabitEthernet1/0/0]quit

[P]interfacegigabitethernet2/0/0

[P-GigabitEthernet2/0/0]mpls

[P-GigabitEthernet2/0/0]mplsldp

[P-GigabitEthernet2/0/0]quit

#配置PE2。

[PE2]

[PE2]mpls

[PE2-mpls]quit

[PE2]mplsldp

[PE2-mpls-ldp]quit

[PE2]interfacegigabitethernet3/0/0

[PE2-GigabitEthernet3/0/0]mpls

[PE2-GigabitEthernet3/0/0]mplsldp

[PE2-GigabitEthernet3/0/0]quit

上述配置完成后，PE1与P、P与PE2之间应能建立LDP会话，执行displaymplsldpsession命令可以看到显示结果中Status项为“Operational”。

执行displaymplsldplsp命令，可以看到LDPLSP的建立情况。

以PE1的显示为例：

[PE1]displaymplsldpsession

LDPSession（s）inPublicNetwork

Codes:

LAM（LabelAdvertisementMode）,SsnAgeUnit（DDDD:

HH:

MM）

A'*'beforeasessionmeansthesessionisbeingdeleted.

------------------------------------------------------------------------------

PeerIDStatusLAMSsnRoleSsnAgeKASent/Rcv

------------------------------------------------------------------------------

OperationalDUActive0000:

00:

016/6

------------------------------------------------------------------------------

TOTAL:

1session（s）Found.

[PE1]displaymplsldplsp

LDPLSPInformation

-------------------------------------------------------------------------------

DestAddress/MaskIn/OutLabelUpstreamPeerNextHopOutInterface

-------------------------------------------------------------------------------

-------------------------------------------------------------------------------

TOTAL:

5NormalLSP（s）Found.

TOTAL:

1LiberalLSP（s）Found.

TOTAL:

0FrrLSP（s）Found.

A'*'beforeanLSPmeanstheLSPisnotestablished

A'*'beforeaLabelmeanstheUSCBorDSCBisstale

A'*'beforeaUpstreamPeermeansthesessionisstale

A'*'beforeaDSmeansthesessionisstale

A'*'beforeaNextHopmeanstheLSPisFRRLSP

3.在PE设备上配置VPN实例，将CE接入PE

#配置PE1。

[PE1]ipvpn-instancevpna

[PE1-vpn-instance-vpna]ipv4-family

[PE1-vpn-instance-vpna-af-ipv4]route-distinguisher100:

1

[PE1-vpn-instance-vpna-af-ipv4]vpn-target111:

1both

[PE1-vpn-instance-vpna-af-ipv4]quit

[PE1-vpn-instance-vpna]quit

[PE1]ipvpn-instancevpnb

[PE1-vpn-instance-vpnb]ipv4-family

[PE1-vpn-instance-vpnb-af-ipv4]route-distinguisher100:

2

[PE1-vpn-instance-vpnb-af-ipv4]vpn-target222:

2both

[PE1-vpn-instance-vpna-af-ipv4]quit

[PE1-vpn-instance-vpnb]quit

[PE1]interfacegigabitethernet1/0/0

[PE1-GigabitEthernet1/0/0]ipbindingvpn-instancevpna

[PE1-GigabitEthernet1/0/0]

[PE1-GigabitEthernet1/0/0]quit

[PE1]interfacegigabitethernet2/0/0

[PE1-GigabitEthernet2/0/0]ipbindingvpn-instancevpnb

[PE1-GigabitEthernet2/0/0]

[PE1-GigabitEthernet2/0/0]quit

#配置PE2。

[PE2]ipvpn-instancevpna

[PE2-vpn-instance-vpna]ipv4-family

[PE2-vpn-instance-vpna-af-ipv4]route-distinguisher200:

1

[PE2-vpn-instance-vpna-af-ipv4]vpn-target111:

1both

[PE2-vpn-instance-vpna-af-ipv4]quit

[PE2-vpn-instance-vpna]quit

[PE2]ipvpn-instancevpnb

[PE2-vpn-instance-vpnb]ipv4-family

[PE2-vpn-instance-vpnb-af-ipv4]route-distinguisher200:

2

[PE2-vpn-instance-vpnb-af-ipv4]vpn-target222:

2both

[PE2-vpn-instance-vpnb-af-ipv4]quit

[PE2-vpn-instance-vpnb]quit

[PE2]interfacegigabitethernet1/0/0

[PE2-GigabitEthernet1/0/0]ipbindingvpn-instancevpna

[PE2-GigabitEthernet1/0/0]

[PE2-GigabitEthernet1/0/0]quit

[PE2]interfacegigabitethernet2/0/0

[PE2-GigabitEthernet2/0/0]ipbindingvpn-instancevpnb

[PE2-GigabitEthernet2/0/0]

[PE2-GigabitEthernet2/0/0]quit

#按配置各CE的接口IP地址。

#配置CE1。

CE2、CE3和CE4与CE1类似，不再赘述。

system-view

[Huawei]sysnameCE1

[CE1]interfacegigabitethernet1/0/0

[CE1-GigabitEthernet1/0/0]

[CE1-GigabitEthernet1/0/0]quit

配置完成后，在PE设备上执行displayipvpn-instanceverbose命令可以看到VPN实例的配置情况。

各PE能ping通自己接入的CE。

?

说明：

当PE上有多个接口绑定了同一个VPN，则使用ping-vpn-instance命令ping对端PE接入的CE时，要指定源IP地址，即要指定ping-vpn-instance?

vpn-instance-name?

-a?

source-ip-addressdest-ip-address命令中的参数-asource-ip-address，否则可能ping不通。

以PE1为例：

[PE1]displayipvpn-instanceverbose

TotalVPN-Instancesconfigured:

2

TotalIPv4VPN-Instancesconfigured:

2

TotalIPv6VPN-Instancesconfigured:

0

VPN-InstanceNameandID:

vpna,1

Interfaces:

GigabitEthernet1/0/0

Addressfamilyipv4

Createdate:

2012/07/2500:

58:

17

Uptime:

0days,22hours,24minutesand53seconds

RouteDistinguisher:

100:

1

ExportVPNTargets:

111:

1

ImportVPNTargets:

111:

1

LabelPolicy:

labelperroute

LogInterval:

5

VPN-InstanceNameandID:

vpnb,2

Interfaces:

GigabitEthernet2/0/0

Addressfamilyipv4

Createdate:

2012/07/2500:

58:

17

Uptime:

0days,22hours,24minutesand53seconds

RouteDistinguisher:

100:

2

ExportVPNTargets:

222:

2

ImportVPNTargets:

222:

2

LabelPolicy:

labelperroute

LogInterval:

5

[PE1]

5packet（s）transmitted

5packet（s）received

%packetloss

round-tripmin/avg/max=3/6/16ms

4.在PE之间建立MP-IBGP对等体关系

#配置PE1。

[PE1]bgp100

[PE1-bgp]

[PE1-bgp]

[PE1-bgp]ipv4-familyvpnv4

[PE1-bgp-af-vpnv4]

[PE1-bgp-af-vpnv4]quit

[PE1-bgp]quit

#配置PE2。

[PE2]bgp100

[PE2-bgp]

[PE2-bgp]

[PE2-bgp]ipv4-familyvpnv4

[PE2-bgp-af-vpnv4]

[PE2-bgp-af-vpnv4]quit

[PE2-bgp]quit

配置完成后，在PE设备上执行displaybgppeer或displaybgpvpnv4allpeer命令，可以看到PE之间的BGP对等体关系已建立，并达到Established状态。

[PE1]displaybgppeer

LocalASnumber:

100

Totalnumberofpeers:

1Peersinestablishedstate:

1

PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv

Established0

[PE1]displaybgpvpnv4allpeer

LocalASnumber:

100

Totalnumberofpeers:

1Peersinestablishedstate:

1

PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv

Established0

5.在PE与CE之间建立EBGP对等体关系，引入VPN路由

#配置CE1。

CE2、CE3和CE4与CE1类似，不再赘述。

[CE1]bgp65410

[CE1-bgp]

[CE1-bgp]import-routedirect

[CE1-bgp]quit

#配置PE1。

PE2的配置与PE1类似，不再赘述。

[PE1]bgp100

[PE1-bgp]ipv4-familyvpn-instancevpna

[PE1-bgp-vpna]

[PE1-bgp-vpna]import-routedirect

[PE1-bgp-vpna]quit

[PE1-bgp]ipv4-familyvpn-instancevpnb

[PE1-bgp-vpnb]

[PE1-bgp-vpnb]import-routedirect

[PE1-bgp-vpnb]quit

[PE1-bgp]quit

配置完成后，在PE设备上执行displaybgpvpnv4vpn-instancepeer命令，可以看到PE与CE之间的BGP对等体关系已建立，并达到Established状态。

以PE1与CE1的对等体关系为例：

[PE1]displaybgpvpnv4vpn-instancevpnapeer

LocalASnumber:

100

Totalnumberofpeers:

1Peersinestablishedstate:

1

PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv

Established4

6.验证配置结果

#在PE设备上执行displayiprouting-tablevpn-instance命令，可以看到去往对端CE的路由。

#以PE1的显示为例：

[PE1]displayiprouting-tablevpn-instancevpna

RouteFlags:

R-relay,

D-downloadtofib

------------------------------------------------------------------------------

RoutingTables:

vpna

Destinations:

5Routes:

5

Destination/MaskProtoPreCostFlagsNextHopInterface

[PE1]displayiprouting-tablevpn-instancevpnb

RouteFlags:

R-relay,

D-downloadtofib

------------------------------------------------------------------------------

RoutingTables:

vpnb

Destinations:

5Routes:

5

Destination/MaskProtoPreCostFlagsNextHopInterface

#同一VPN的CE能够相互Ping通，不同VPN的CE不能相互Ping通。

[CE1]

5packet（s）transmitted

5packet（s）received

%packetloss

round-tripmin/avg/max=34/48/72ms

[CE1]

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

5packet（s）transmitted

0packet（s）received

%packetloss

配置文件

∙PE1的配置文件

∙#

∙sysnamePE1

∙#

∙i