H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx
《H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx》由会员分享,可在线阅读,更多相关《H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx(20页珍藏版)》请在冰豆网上搜索。
H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置
H3C三层MPLS-VPN模板
1实验环境:
实施目的:
随着公司近年调度数据网的项目增多,为了使项目做到统一的规范、合理化。
所以建立此次的试验,此试验中的配置作为以后调度数据网项目的配置模板和学习资料(供新手参考)。
设备模拟场景:
角色
R/S/pc
设备型号
设备SYSNAME
核心层
R
H3CSR6608
Jieru_R1
汇聚层
R
H3CSR6608
Huiju_R2
汇聚层
R
H3CSR6608
Huiju_R3
接入层
R
H3CSR3040
Jieru_R4
接入层
R
H3CSR3040
Jieru_R5
省局核心层
R
H3CSR3040
Shengju_R
核心层
S
H3CS3100
Hexin_S
接入层
S
H3CS3100
Jieru_S
核心层
PC2
模拟核心层业务主机
接入层
PC1
模拟接入层业务主机
2网络规划:
拓扑图:
网络结构:
管理地址
采用Loopback地址,采用32位子网掩码。
统一使用Loopback1接口
互联地址:
使用网段非PE-CE地址,PE-CE地址。
互联地址采用30位子网掩码。
OSPF:
进程号:
进程号:
1
区域号:
核心层和汇聚层之间,汇聚和汇聚层之间区域号AREA0。
接入层和接入层之间,接入层和汇聚层之间区域号AREA1。
route-id:
loopback1地址
BGP:
AS编号:
县调AS号:
100
市调AS号:
200
路由反射器(RR):
采用二级BGP反射器。
(核心层为一级BGP反射器,汇聚层为二级BGP反射器),
client
server
Jieru_R4,Jieru_R5
Huiju_R2,huiju_R3
Huiju_R2,huiju_R3
Hexin_R1
单跳M-BGP:
跨域MPLS-vpn互连采用单跳M-BGP方式,通过E-BGP发布AS系统业务聚合路由到市调骨干,同时市调骨干发布其他AS业务聚合路由到接入网络
MPLS-VPN:
LSR-ID:
loopback1地址
县调VRF命名及IP地址:
VPN命名
VLAN号
地址段
vpn-rt
10
RD和RT:
县调
市调
VPN命名
RD
RT(both)
VPN命名
RD
RT(both)
vpn-rt
1:
100
vpn-rt
2:
200
vpn-nrt
1:
101
vpn-nrt
2:
201
vpn-e
1:
102
vpn-e
2:
202
单调M-EBGP:
各业务地址只发汇总地址到省局。
并把县调RT属性变更市调的RT属性
交换机VLAN:
编号
vlan
接口
vpn-rt
10
1-8
vpn-nrt
20
9-16
vpn-e
30
17-23或24
trunk
24或25
ip地址规划:
互联地址:
设备名称
端口
Ip地址
TO
Hexin_R1
Loopback1
—
G3/0/1
G3/0/1
G3/0/0
G3/0/0
G4/0/
G1/0/25
G5/0/1
G0/0
Huiju_R2
Loopback1
—
G3/0/1
G3/0/1
G3/0/0
G3/0/1
G4/0/0
G0/0
Huiju_R3
Loopback1
—
G3/0/0
G3/0/0
G3/0/1
G3/0/0
Route-agg1
(G4/0/0,G4/0/1)
G0/0
Jiru_R4
Loopback1
—
G0/0
G4/0/0
E2/0
E2/0
E4/
E1/0/24
Jiru_R5
Loopback1
—
G0/0
1
(G4/0/0,G4/0/1)
E2/0
E2/0
Shengju_R
G0/0
G4/0/1
Hexin_S
G1/0/25(vlan100)
G4/0/0
Jieru_S
E1/0/24(vlan100)
E4/0
业务地址:
角色
VPN实例
Vlan号
网关IP地址
接入层PE
vpn-rt
10
核心层PE
vpn-rt
10
3县调设备配置步骤:
(hexin_R1为例)
第一步telnet建立:
(重要)
Ps:
站和站之间往往距离很远,建立的TELNET通过远程调试达到节省人力的目的。
配置及注释:
telnetserverenable*/必须写,要不telent不能使用
#
superpasswordlevel3simpleadmin*/enable密码
#
local-useradmin*/定义用户名密码
passwordsimpleadmin
service-typetelnet
user-interfacevty04
authentication-modescheme
*/写此命令。
Telnet时采用usernamepassword的登录方式
测试正常状态:
第二步OSPF建立:
Ps:
作为公网路由,作用有二:
a.是后面建立BGP、MPLS-VPN的基础。
b.连网管理地址可以TELENT远程登录进行管理
配置及注释:
interfaceGigabitEthernet3/0/0
portlink-moderoute
descriptionTo-R2
ipaddress
#
interfaceGigabitEthernet3/0/1
portlink-moderoute
descriptionTo-R3
ipaddressGigabitEthernet4/0/
descriptionPE-CE
vlan-typedot1qvid100
*/封装为vlan100单臂路由,接交换机TRUNK接口
ipaddress1router-id*/建立OSPF路由协议(公网路由),作为建立BGP的基础,
areanetwork*/宣告loopback地址
network*/宣告和R3的互联地址
network*/宣告和R2的互联地址
network*/宣告PE-CE互联地址
测试正常状态:
查看接口信息:
disipintbrief
查看OSPF邻居关系:
disospfpeer
状态为FULL邻居正常
查看路由表:
disiprout
查看公网路由是不是都学到
第三步BGP的建立:
PS:
BGP通过IGP建立,OSPF跑的是公网路由。
这里BGP的作用是在VPNIPV4私网中激活邻居,承载私网路由
配置及注释:
bgp100
undosynchronization*/关闭同步
grouphahainternal
*/建立BGP对等体组,internal参数加上后,表示这个对等体组内的邻居为ibgp
peerhahaconnect-interfaceLoopBack1
*/以loopback1接口作为更新源。
靠环回接口建立BGP邻居,好处是环回口不会受物理口的限制会DOWN掉而失去邻居。
peergrouphaha*/将邻居加入对等体组
peergrouphaha
#
ipv4-familyvpnv4*/进入vpnIPv4的私网
peerenable
*/激活邻居,必写,这样邻居才能在vpnipv4私网中正常通信
peeradvertise-community
*/向邻居发送团里属性,就是向邻居发送RT属性
peerreflect-client
*/加入邻居为客户端,表示此路由器为路由反射器(RR),只需加此一条命令即可成为RR。
此命令一般用于全互联网络
peerenable
peeradvertise-community
peerreflect-client
peerenable
peerhahaenable
peerhahareflect-client*/对haha对等体组添加属性
#
测试正常状态:
查看BGP邻居状态:
disbgppeer
状态为established(建立),正常。
查看VPNIPV4私网路由表:
disbgpvpnv4allrouting-table
注意:
这里只能看到收到的路由,能不能通信要看是否有相应的VPN实例
从RD中看1:
100是从这个邻居学到的。
2:
200是从ebgp邻居学来的(往后看)。
上
路由收到了,但并没有放到路由表中,所以PING不通。
第四步MPLS-VPN的建立:
配置及注释:
建立VRF属性:
ipvpn-instancevpn-rt
*/建立VPN实例,不同的设备相同的VPN实例才能通信
route-distinguisher1:
100*/RD路由区分符,区分路由,
vpn-target1:
100export-extcommunity
vpn-target1:
100import-extcommunity
*/rt路由对象。
本设备出1:
100,别的设备是入1:
100对方才能收到本路由的路由进行通讯,相反别人出2:
200,本设备要写成入2:
200才能收到对方设备的路由。
启用MPLS:
全局下启动MPLS协议:
mplslsr-id*/不写。
全局下MPLS不能启用,
Mpls*/全局下启MPLS协议#
mplsldp*/启用MPLSLDP
在互联接口启动MPLS:
interfaceGigabitEthernet3/0/0
mpls
mplsldp
*/端口下启用MPLS和MPLSLDP后,进行标签转发
interfaceGigabitEthernet3/0/1
mpls
mplsldp
把接口分配到相应的VPN中:
interfaceG4/
vlan-typedot1qvid10
ipbindingvpn-instancevpn-rt
*/把此接口加入VPN实例中,注意敲完此命令,接口IP要重新设置
ipaddress在BGP中建立vpn实例:
bgp100
ipv4-familyvpn-instancevpn-rt*/进入VPN实例
import-routedirect
*/ 重分布直连把属于直连并且是属于相关VPN实例中的接口发布进来
测试正常状态:
查看mpls邻居:
dismplsldppeer
查看VPN实例路由表:
disiprouting-tablevpn-instancevpn-rt
测试PE之间的VPN实例中的路由是否通:
ping–a源地址–vpnstanceVPN实例号目标地址
如果vpn路由表里有目的路由查不能PING通:
a.查看是不是只有去的方向的路由,没有回的方向的路由
是不是没建好,没看到mpls邻居
查看路由的各种属性:
a.disbgpvpnv4allrouting-table
从哪个邻居来,表示本路由器发出的
Ext-community:
本路由携带的RT属性,如果符合本RT收的属性则放入相对应的VPN路由表
AS-PATH:
经过as200过来的
Origin:
这个路起源自哪i>e>?
通过以上四步一个PE路由器建立完成。
配置正确的话。
县调(同一AS)两个PE路由VPN可以进行通讯了。
一个县调基础建立完了。
可以进配置优化工作了。
第五部跨域MPLS-vpn互连采用单跳M-BGP方式,通过E-BGP发布AS系统业务聚合路由到省调。
interfaceGigabitEthernet5/0/1
portlink-moderoute
ipaddressmpls
mplsldp
ipvpn-instancevpn-rt
route-distinguisher1:
100
vpn-target2:
200import-extcommunity
*/这里只收省调的发过来的RT属性,不发省局RT属性是避免所以路由(明细路由)都发到省局
Bgp100
peeras-number200*/建立EBGP邻居
peernext-hop-local
*/EBGP邻居会把学来的路由原封不动发给IBGP邻居,但实际上IBGP邻居不能直接到达目标路由,要加next-hop-local属性,表示要经过本跳才能达到目标。
算是搭个桥。
peernext-hop-local
#
ipv4-familyvpnv4
peerenable
peerroute-policyhahaexport*/名称为haha的路由映射,发给邻居
peeradvertise-community
#
ipv4-familyvpn-instancevpn-rt*/进入VPN实例
network
*/路由表中已经有了路由了,才可以宣告成功
import-routedirect
*/ 重分布直连把属于直连并且是属于VPN实便中的接口发布进来
#
iproute-staticvpn-instancevpn-rtNULL0
*/此条目的作用。
此地址为业务地址的汇总路由,BGP中要求宣告的网络在自己的路由表中一定要有。
所以要写一路指向空接口的静态发给省局,(指向空接口的路由不会消失)因为是业务地址所以是在VPN中,所以要加上vpn-intstanceVPN名称。
#
ipip-prefixhahaindex10permit16less-equal22
*/前缀列表。
抓位的路由,(精确路由)
#
route-policyhahapermitnode10*/建立路由映射haha
if-matchip-prefixhaha*/匹配前缀列表haha
applyextcommunityrt2:
200*/改为发出的RT属性为2:
200,此实验环境中用于发给省局的路由,2:
200为省局的RT倒入属性,此目的为的是只给省局发送汇总路由。
#
其它命令:
Bgp100
timerkeepalive10hold30
*/更改存活时间,使BGP收敛更快。
Bgp100
ipv4-familyvpnv4
undopolicyvpn-target
*/关闭路由过滤,表示只要是发给此路由器的路由都收接不作过滤,如果此路由没有相关VPNRT导入属性,结果只能看到路由而不能通讯,因为不符合相关的VPN的属性,就不能把路由放到相应的VPN路由表中,只有放在相应的VPN路由表中,相同VPN路由表的路由才可能通。
还有一个作用把由传递给邻居,看邻居有没有相应的VPN属性,一般用于RR。
适用于单跳M-EBGP中。
通disbgpvpnv4allrout查看路由。
4设备配置清单:
见附件中配置清单
5网络可靠性测试:
5.1测试正常拓扑:
5.2测试不正常拓扑:
测试不正常拓扑: