H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx
《H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx》由会员分享,可在线阅读,更多相关《H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx(19页珍藏版)》请在冰豆网上搜索。
H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置
H3C三层MPLS-VPN模板
1实验环境:
1.1实施目的:
随着公司近年调度数据网的项目增多,为了使项目做到统一的规范、合理化。
所以建立此次的试验,此试验中的配置作为以后调度数据网项目的配置模板和学习资料(供新手参考)。
1.2设备模拟场景:
角色
R/S/pc
设备型号
设备SYSNAME
核心层
R
H3CSR6608
Jieru_R1
汇聚层
R
H3CSR6608
Huiju_R2
汇聚层
R
H3CSR6608
Huiju_R3
接入层
R
H3CSR3040
Jieru_R4
接入层
R
H3CSR3040
Jieru_R5
省局核心层
R
H3CSR3040
Shengju_R
核心层
S
H3CS3100
Hexin_S
接入层
S
H3CS3100
Jieru_S
核心层
PC2
模拟核心层业务主机
接入层
PC1
模拟接入层业务主机
2网络规划:
2.1拓扑图:
2.2网络结构:
2.2.1管理地址
采用Loopback地址,采用32位子网掩码。
统一使用Loopback1接口
2.2.2互联地址:
使用网段非PE-CE地址192.168.1.0/24,PE-CE地址192.168.2.0/24。
互联地址采用30位子网掩码。
2.2.3OSPF:
2.2.3.1进程号:
进程号:
1
2.2.3.2区域号:
核心层和汇聚层之间,汇聚和汇聚层之间区域号AREA0。
接入层和接入层之间,接入层和汇聚层之间区域号AREA1。
2.2.3.3route-id:
loopback1地址
2.2.4BGP:
2.2.4.1AS编号:
县调AS号:
100
市调AS号:
200
2.2.4.1路由反射器(RR):
采用二级BGP反射器。
(核心层为一级BGP反射器,汇聚层为二级BGP反射器),
client
server
Jieru_R4,Jieru_R5
Huiju_R2,huiju_R3
Huiju_R2,huiju_R3
Hexin_R1
2.2.4.2单跳M-BGP:
跨域MPLS-vpn互连采用单跳M-BGP方式,通过E-BGP发布AS系统业务聚合路由到市调骨干,同时市调骨干发布其他AS业务聚合路由到接入网络
1.2.5MPLS-VPN:
2.2.5.1LSR-ID:
loopback1地址
2.2.5.2县调VRF命名及IP地址:
VPN命名
VLAN号
地址段
vpn-rt
10
172.16.1.0/24
vpn-nrt
20
172.16.2.0/24
vpn-e
30
172.16.3.0/24
2.2.5.3RD和RT:
县调
市调
VPN命名
RD
RT(both)
VPN命名
RD
RT(both)
vpn-rt
1:
100
vpn-rt
2:
200
vpn-nrt
1:
101
vpn-nrt
2:
201
vpn-e
1:
102
vpn-e
2:
202
2.2.5.4单调M-EBGP:
各业务地址只发汇总地址到省局。
并把县调RT属性变更市调的RT属性
2.2.6交换机VLAN:
编号
vlan
接口
vpn-rt
10
1-8
vpn-nrt
20
9-16
vpn-e
30
17-23或24
trunk
24或25
2.3ip地址规划:
2.3.1互联地址:
设备名称
端口
Ip地址
TO
Hexin_R1
Loopback1
1.1.1.1/32
—
G3/0/1
192.168.1.1/30
Huij_R2G3/0/1
G3/0/0
192.168.1.5/30
Huij_R3G3/0/0
G4/0/0.100
192.168.2.1/30
Hexin_SG1/0/25
G5/0/1
10.1.1.2/30
Shengju_RG0/0
Huiju_R2
Loopback1
2.2.2.2/32
—
G3/0/1
192.168.1.2/30
Hexin_R1G3/0/1
G3/0/0
192.168.1.9/30
Huiju_R3G3/0/1
G4/0/0
192.168.1.13/30
Jieru_R4G0/0
Huiju_R3
Loopback1
3.3.3.3/32
—
G3/0/0
192.168.1.6/30
Hexin_R1G3/0/0
G3/0/1
192.168.1.10/30
Huiju_R2G3/0/0
Route-agg1
(G4/0/0,G4/0/1)
192.168.1.17/30
Jieru_R5G0/0
Jiru_R4
Loopback1
4.4.4.4/32
—
G0/0
192.168.1.14/30
Huij_R2G4/0/0
E2/0
192.168.1.21/30
Jiru_R5E2/0
E4/0.100
192.168.2.5/32
Jiru-SE1/0/24
Jiru_R5
Loopback1
5.5.5.5/32
—
G0/0
192.168.1.18/30
Huiju_R3
Route-agg1
(G4/0/0,G4/0/1)
E2/0
192.168.1.22/30
Juru_R4E2/0
Shengju_R
G0/0
10.1.1.2/30
Hexin_RG4/0/1
Hexin_S
G1/0/25(vlan100)
192.168.2.2/30
Hexin_RG4/0/0
Jieru_S
E1/0/24(vlan100)
192.168.2.6/30
Jieru_RE4/0
2.3.1业务地址:
角色
VPN实例
Vlan号
网关IP地址
接入层PE
vpn-rt
10
172.16.1.126/25
vpn-nrt
20
172.16.2.126/25
vpn-e
30
172.16.3.126/25
核心层PE
vpn-rt
10
172.16.1.254/25
vpn-nrt
20
172.16.2.254/25
vpn-e
30
172.16.3.254/25
3县调设备配置步骤:
(hexin_R1为例)
3.1第一步telnet建立:
(重要)
Ps:
站和站之间往往距离很远,建立的TELNET通过远程调试达到节省人力的目的。
3.1.1配置及注释:
telnetserverenable*/必须写,要不telent不能使用
#
superpasswordlevel3simpleadmin*/enable密码
#
local-useradmin*/定义用户名密码
passwordsimpleadmin
service-typetelnet
user-interfacevty04
authentication-modescheme
*/写此命令。
Telnet时采用usernamepassword的登录方式
3.1.2测试正常状态:
3.2第二步OSPF建立:
Ps:
作为公网路由,作用有二:
a.是后面建立BGP、MPLS-VPN的基础。
b.连网管理地址可以TELENT远程登录进行管理
3.2.1配置及注释:
interfaceGigabitEthernet3/0/0
portlink-moderoute
descriptionTo-R2
ipaddress192.168.1.5255.255.255.252
#
interfaceGigabitEthernet3/0/1
portlink-moderoute
descriptionTo-R3
ipaddress192.168.1.1255.255.255.252
#
interfaceGigabitEthernet4/0/0.100
descriptionPE-CE
vlan-typedot1qvid100
*/封装为vlan100单臂路由,接交换机TRUNK接口
ipaddress192.168.2.1255.255.255.252
#
ospf1router-id1.1.1.1*/建立OSPF路由协议(公网路由),作为建立BGP的基础,
area0.0.0.0
network1.1.1.10.0.0.0*/宣告loopback地址
network192.168.1.50.0.0.0*/宣告和R3的互联地址
network192.168.1.10.0.0.0*/宣告和R2的互联地址
network192.168.2.10.0.0.0*/宣告PE-CE互联地址
3.2.2测试正常状态:
3.2.2.1查看接口信息:
disipintbrief
3.2.2.2查看OSPF邻居关系:
disospfpeer
状态为FULL邻居正常
3.2.2.3查看路由表:
disiprout
查看公网路由是不是都学到
3.3第三步BGP的建立:
PS:
BGP通过IGP建立,OSPF跑的是公网路由。
这里BGP的作用是在VPNIPV4私网中激活邻居,承载私网路由
3.3.1配置及注释:
bgp100
undosynchronization*/关闭同步
grouphahainternal
*/建立BGP对等体组,internal参数加上后,表示这个对等体组内的邻居为ibgp
peerhahaconnect-interfaceLoopBack1
*/以loopback1接口作为更新源。
靠环回接口建立BGP邻居,好处是环回口不会受物理口的限制会DOWN掉而失去邻居。
peer2.2.2.2grouphaha*/将邻居加入对等体组
peer3.3.3.3grouphaha
#
ipv4-familyvpnv4*/进入vpnIPv4的私网
peer2.2.2.2enable
*/激活邻居,必写,这样邻居才能在vpnipv4私网中正常通信
peer2.2.2.2advertise-community
*/向邻居发送团里属性,就是向邻居发送RT属性
peer2.2.2.2reflect-client
*/加入邻居为客户端,表示此路由器为路由反射器(RR),只需加此一条命令即可成为RR。
此命令一般用于全互联网络
peer3.3.3.3enable
peer3.3.3.3advertise-community
peer3.3.3.3reflect-client
peer10.1.1.2enable
peerhahaenable
peerhahareflect-client*/对haha对等体组添加属性
#
3.2.2测试正常状态:
3.2.2.1查看BGP邻居状态:
disbgppeer
状态为established(建立),正常。
3.2.2.2查看VPNIPV4私网路由表:
disbgpvpnv4allrouting-table
注意:
这里只能看到收到的路由,能不能通信要看是否有相应的VPN实例
从RD中看1:
100192.16.1.0/25是从4.4.4.4这个邻居学到的。
2:
20010.10.10.10/32是从ebgp邻居10.1.1.2学来的(往后看)。
上
路由收到了,但并没有放到路由表中,所以PING不通。
3.4第四步MPLS-VPN的建立:
3.4.1配置及注释:
3.4.1.1建立VRF属性:
ipvpn-instancevpn-rt
*/建立VPN实例,不同的设备相同的VPN实例才能通信
route-distinguisher1:
100*/RD路由区分符,区分路由,
vpn-target1:
100export-extcommunity
vpn-target1:
100import-extcommunity
*/rt路由对象。
本设备出1:
100,别的设备是入1:
100对方才能收到本路由的路由进行通讯,相反别人出2:
200,本设备要写成入2:
200才能收到对方设备的路由。
3.4.1.2启用MPLS:
3.4.1.2.1全局下启动MPLS协议:
mplslsr-id1.1.1.1*/不写。
全局下MPLS不能启用,
Mpls*/全局下启MPLS协议#
mplsldp*/启用MPLSLDP
3.4.1.2.2在互联接口启动MPLS:
interfaceGigabitEthernet3/0/0
mpls
mplsldp
*/端口下启用MPLS和MPLSLDP后,进行标签转发
interfaceGigabitEthernet3/0/1
mpls
mplsldp
3.4.1.2.3把接口分配到相应的VPN中:
interfaceG4/0.1
vlan-typedot1qvid10
ipbindingvpn-instancevpn-rt
*/把此接口加入VPN实例中,注意敲完此命令,接口IP要重新设置
ipaddress172.16.1.254255.255.255.128
3.4.1.2.4在BGP中建立vpn实例:
bgp100
ipv4-familyvpn-instancevpn-rt*/进入VPN实例
import-routedirect
*/ 重分布直连把属于直连并且是属于相关VPN实例中的接口发布进来
3.4.2测试正常状态:
3.4.2.1查看mpls邻居:
dismplsldppeer
3.4.2.2查看VPN实例路由表:
disiprouting-tablevpn-instancevpn-rt
3.4.2.3测试PE之间的VPN实例中的路由是否通:
ping–a源地址–vpnstanceVPN实例号目标地址
3.4.2.4如果vpn路由表里有目的路由查不能PING通:
a.查看是不是只有去的方向的路由,没有回的方向的路由
b.MPLS是不是没建好,没看到mpls邻居
3.4.2.5查看路由的各种属性:
a.disbgpvpnv4allrouting-table10.10.10.10
From:
从哪个邻居来,0.0.0.0表示本路由器发出的
Ext-community:
本路由携带的RT属性,如果符合本RT收的属性则放入相对应的VPN路由表
AS-PATH:
经过as200过来的
Origin:
这个路起源自哪i>e>?
3.4通过以上四步一个PE路由器建立完成。
配置正确的话。
县调(同一AS)两个PE路由VPN可以进行通讯了。
一个县调基础建立完了。
可以进配置优化工作了。
3.5第五部跨域MPLS-vpn互连采用单跳M-BGP方式,通过E-BGP发布AS系统业务聚合路由到省调。
interfaceGigabitEthernet5/0/1
portlink-moderoute
ipaddress10.1.1.1255.255.255.0
mpls
mplsldp
ipvpn-instancevpn-rt
route-distinguisher1:
100
vpn-target2:
200import-extcommunity
*/这里只收省调的发过来的RT属性,不发省局RT属性是避免所以路由(明细路由)都发到省局
Bgp100
peer10.1.1.2as-number200*/建立EBGP邻居
peer2.2.2.2next-hop-local
*/EBGP邻居会把学来的路由原封不动发给IBGP邻居,但实际上IBGP邻居不能直接到达目标路由,要加next-hop-local属性,表示要经过本跳才能达到目标。
算是搭个桥。
peer3.3.3.3next-hop-local
#
ipv4-familyvpnv4
peer10.1.1.2enable
peer10.1.1.2route-policyhahaexport*/名称为haha的路由映射,发给邻居
peer10.1.1.2advertise-community
#
ipv4-familyvpn-instancevpn-rt*/进入VPN实例
network172.16.0.0
*/路由表中已经有了路由了,才可以宣告成功
import-routedirect
*/ 重分布直连把属于直连并且是属于VPN实便中的接口发布进来
#
iproute-staticvpn-instancevpn-rt172.16.0.0255.255.0.0NULL0
*/此条目的作用。
此地址为业务地址的汇总路由,BGP中要求宣告的网络在自己的路由表中一定要有。
所以要写一路指向空接口的静态发给省局,(指向空接口的路由不会消失)因为是业务地址所以是在VPN中,所以要加上vpn-intstanceVPN名称。
#
ipip-prefixhahaindex10permit172.16.0.016less-equal22
*/前缀列表。
抓172.16.0.0/16-22位的路由,(精确路由)
#
route-policyhahapermitnode10*/建立路由映射haha
if-matchip-prefixhaha*/匹配前缀列表haha
applyextcommunityrt2:
200*/改为发出的RT属性为2:
200,此实验环境中用于发给省局的路由,2:
200为省局的RT倒入属性,此目的为的是只给省局发送汇总路由。
#
3.5其它命令:
Bgp100
timerkeepalive10hold30
*/更改存活时间,使BGP收敛更快。
Bgp100
ipv4-familyvpnv4
undopolicyvpn-target
*/关闭路由过滤,表示只要是发给此路由器的路由都收接不作过滤,如果此路由没有相关VPNRT导入属性,结果只能看到路由而不能通讯,因为不符合相关的VPN的属性,就不能把路由放到相应的VPN路由表中,只有放在相应的VPN路由表中,相同VPN路由表的路由才可能通。
还有一个作用把由传递给邻居,看邻居有没有相应的VPN属性,一般用于RR。
适用于单跳M-EBGP中。
通disbgpvpnv4allrout查看路由。
4设备配置清单:
见附件中配置清单
5网络可靠性测试:
5.1测试正常拓扑:
5.2测试不正常拓扑:
5.3测试不正常拓扑: