H3C调度数据网项目MPLS-VPN配置模板【带拓扑图和详细配置】.doc-道客多多

资源描述

1、H3C 三层 MPLS-VPN 模板1 实验环境：1.1 实施目的：随着公司近年调度数据网的项目增多，为了使项目做到统一的规范、合理化。所以建立此次的试验，此试验中的配置作为以后调度数据网项目的配置模板和学习资料（供新手参考）。1.2 设备模拟场景：角色 R/S/pc 设备型号设备 SYSNAME核心层 R H3C SR6608 Jieru_R1汇聚层 R H3C SR6608 Huiju_R2汇聚层 R H3C SR6608 Huiju_R3接入层 R H3C SR3040 Jieru_R4接入层 R H3C SR3040 Jieru_R5省局核心层 R H3C SR3040 Shen

2、gju_R核心层 S H3C S3100 Hexin_S接入层 S H3C S3100 Jieru_S核心层 PC2 模拟核心层业务主机接入层 PC1 模拟接入层业务主机2 网络规划：2.1 拓扑图： 2.2 网络结构： 2.2.1 管理地址采用 Loopback 地址，采用 32 位子网掩码。统一使用 Loopback 1 接口2.2.2 互联地址：使用网段非 PE-CE 地址 192.168.1.0/24，PE-CE 地址 192.168.2.0/24。互联地址采用 30位子网掩码。2.2.3 OSPF：2.2.3.1 进程号：进程号：1 2.2.3.2 区域号：核心层和汇聚层之间，汇聚和

3、汇聚层之间区域号 AREA 0。接入层和接入层之间，接入层和汇聚层之间区域号 AREA 1。2.2.3.3 route-id: loopback 1 地址2.2.4 BGP：2.2.4.1 AS 编号:县调 AS 号：100市调 AS 号：2002.2.4.1 路由反射器（RR）：采用二级 BGP 反射器。（核心层为一级 BGP 反射器，汇聚层为二级 BGP 反射器），client serverJieru_R4 ，Jieru_R5 Huiju_R2，huiju_R3Huiju_R2，huiju_R3 Hexin_R12.2.4.2 单跳 M-BGP：跨域 MPLS-vpn 互连采用单跳 M

4、-BGP 方式，通过 E-BGP 发布 AS 系统业务聚合路由到市调骨干，同时市调骨干发布其他 AS 业务聚合路由到接入网络1.2.5 MPLS-VPN：2.2.5.1 LSR-ID: loopback 1 地址2.2.5.2 县调 VRF 命名及 IP 地址 : VPN 命名 VLAN 号地址段vpn-rt 10 172.16.1.0/24vpn-nrt 20 172.16.2.0/24vpn-e 30 172.16.3.0/242.2.5.3 RD 和 RT：县调市调VPN 命名 RD RT(both) VPN 命名 RD RT(both)vpn-rt 1：100 vpn-rt 2：2

5、00vpn-nrt 1：101 vpn-nrt 2：201vpn-e 1：102 vpn-e 2：2022.2.5.4 单调 M-EBGP：各业务地址只发汇总地址到省局。并把县调 RT 属性变更市调的 RT 属性2.2.6 交换机 VLAN：2.3 ip 地址规划：2.3.1 互联地址：设备名称端口 Ip 地址 TOLoopback 1 1.1.1.1/32 G3/0/1 192.168.1.1/30 Huij_R2 G3/0/1G3/0/0 192.168.1.5/30 Huij_R3 G3/0/0G4/0/0.100 192.168.2.1/30 Hexin_S G1/0/25Hexin

6、_R1G5/0/1 10.1.1.2/30 Shengju_R G0/0Loopback 1 2.2.2.2/32 G3/0/1 192.168.1.2/30 Hexin_R1 G3/0/1G3/0/0 192.168.1.9/30 Huiju_R3 G3/0/1Huiju_R2G4/0/0 192.168.1.13/30 Jieru_R4 G0/0Loopback 1 3.3.3.3/32 G3/0/0 192.168.1.6/30 Hexin_R1 G3/0/0G3/0/1 192.168.1.10/30 Huiju_R2 G3/0/0Huiju_R3Route-agg 1(G4/0/0,

7、G4/0/1) 192.168.1.17/30 Jieru_R5 G0/0Loopback 1 4.4.4.4/32 G0/0 192.168.1.14/30 Huij_R2 G4/0/0E2/0 192.168.1.21/30 Jiru_R5 E2/0Jiru_R4E4/0.100 192.168.2.5/32 Jiru-S E1/0/24Loopback 1 5.5.5.5/32 Jiru_R5 G0/0 192.168.1.18/30 Huiju_R3Route-agg 1(G4/0/0,G4/0/1)E2/0 192.168.1.22/30 Juru_R4 E2/0Shengju_R

8、G0/0 10.1.1.2/30 Hexin_R G4/0/1Hexin_S G1/0/25(vlan 100) 192.168.2.2/30 Hexin_R G4/0/0Jieru_S E1/0/24(vlan 100) 192.168.2.6/30 Jieru_R E4/02.3.1 业务地址：角色 VPN 实例 Vlan 号网关 IP 地址vpn-rt 10 172.16.1.126/25vpn-nrt 20 172.16.2.126/25接入层 PEvpn-e 30 172.16.3.126/25编号 vlan 接口vpn-rt 10 1-8vpn-nrt 20 9-16vpn-e

9、30 17-23 或 24trunk 24 或 25vpn-rt 10 172.16.1.254/25vpn-nrt 20 172.16.2.254/25核心层 PEvpn-e 30 172.16.3.254/253 县调设备配置步骤：（hexin_R1 为例）3.1 第一步 telnet 建立：（重要）Ps:站和站之间往往距离很远，建立的 TELNET 通过远程调试达到节省人力的目的。3.1.1 配置及注释：telnet server enable */ 必须写，要不 telent 不能使用#super password level 3 simple admin */ enable 密码#l

10、ocal-user admin */定义用户名密码password simple adminservice-type telnetuser-interface vty 0 4authentication-mode scheme */ 写此命令。Telnet 时采用 username password 的登录方式3.1.2 测试正常状态：3.2 第二步 OSPF 建立：Ps:作为公网路由，作用有二：a.是后面建立 BGP、MPLS-VPN 的基础。b.连网管理地址可以 TELENT 远程登录进行管理 3.2.1 配置及注释：interface GigabitEthernet3/0/0port

11、link-mode routedescription To-R2ip address 192.168.1.5 255.255.255.252#interface GigabitEthernet3/0/1port link-mode routedescription To-R3ip address 192.168.1.1 255.255.255.252#interface GigabitEthernet4/0/0.100description PE-CEvlan-type dot1q vid 100 */封装为 vlan 100 单臂路由，接交换机 TRUNK 接口ip address 192.

12、168.2.1 255.255.255.252#ospf 1 router-id 1.1.1.1 */建立 OSPF 路由协议（公网路由），作为建立 BGP 的基础，area 0.0.0.0network 1.1.1.1 0.0.0.0 */宣告 loopback 地址network 192.168.1.5 0.0.0.0 */ 宣告和 R3 的互联地址network 192.168.1.1 0.0.0.0 */ 宣告和 R2 的互联地址network 192.168.2.1 0.0.0.0 */ 宣告 PE-CE 互联地址3.2.2 测试正常状态：3.2.2.1 查看接口信息：dis ip

13、 int brief3.2.2.2 查看 OSPF 邻居关系: dis ospf peer状态为 FULL 邻居正常3.2.2.3 查看路由表：dis ip rout查看公网路由是不是都学到3.3 第三步 BGP 的建立：PS:BGP 通过 IGP 建立，OSPF 跑的是公网路由。这里 BGP 的作用是在 VPN IPV4 私网中激活邻居，承载私网路由3.3.1 配置及注释：bgp 100undo synchronization */ 关闭同步group haha internal */ 建立 BGP 对等体组，internal 参数加上后，表示这个对等体组内的邻居为 ibgppeer hah

14、a connect-interface LoopBack1 */ 以 loopback 1 接口作为更新源。靠环回接口建立 BGP 邻居，好处是环回口不会受物理口的限制会 DOWN 掉而失去邻居。peer 2.2.2.2 group haha */ 将邻居加入对等体组peer 3.3.3.3 group haha#ipv4-family vpnv4 */ 进入 vpn IPv4 的私网peer 2.2.2.2 enable */ 激活邻居，必写，这样邻居才能在 vpn ipv4 私网中正常通信peer 2.2.2.2 advertise-community */ 向邻居发送团里属性，就是向邻居

15、发送 RT 属性peer 2.2.2.2 reflect-client */加入邻居为客户端，表示此路由器为路由反射器（RR），只需加此一条命令即可成为RR。此命令一般用于全互联网络peer 3.3.3.3 enablepeer 3.3.3.3 advertise-communitypeer 3.3.3.3 reflect-clientpeer 10.1.1.2 enablepeer haha enablepeer haha reflect-client */ 对 haha 对等体组添加属性# 3.2.2 测试正常状态：3.2.2.1 查看 BGP 邻居状态： dis bgp peer状态

16、为 established(建立)，正常。3.2.2.2 查看 VPN IPV4 私网路由表： dis bgp vpnv4 all routing-table注意：这里只能看到收到的路由，能不能通信要看是否有相应的 VPN 实例从 RD 中看 1：100 192.16.1.0/25 是从 4.4.4.4 这个邻居学到的。2： 200 10.10.10.10/32 是从 ebgp 邻居 10.1.1.2 学来的（往后看）。上路由收到了，但并没有放到路由表中，所以 PING 不通。3.4 第四步 MPLS-VPN 的建立：3.4.1 配置及注释：3.4.1.1 建立 VRF 属性：ip vpn-

17、instance vpn-rt */ 建立 VPN 实例，不同的设备相同的 VPN 实例才能通信route-distinguisher 1:100 */ RD 路由区分符，区分路由，vpn-target 1:100 export-extcommunity vpn-target 1:100 import-extcommunity */ rt 路由对象。本设备出 1:100，别的设备是入 1:100 对方才能收到本路由的路由进行通讯，相反别人出 2：200 ，本设备要写成入 2:200 才能收到对方设备的路由。3.4.1.2 启用 MPLS：3.4.1.2.1 全局下启动 MPLS 协议：mpls

18、 lsr-id 1.1.1.1 */ 不写。全局下 MPLS 不能启用，Mpls */ 全局下启 MPLS 协议# mpls ldp */ 启用 MPLS LDP3.4.1.2.2 在互联接口启动 MPLS：interface GigabitEthernet3/0/0mpls mpls ldp */端口下启用 MPLS 和 MPLS LDP 后，进行标签转发interface GigabitEthernet3/0/1mplsmpls ldp3.4.1.2.3 把接口分配到相应的 VPN 中：interface G4/0.1vlan-type dot1q vid 10ip binding vpn

19、-instance vpn-rt */ 把此接口加入 VPN 实例中，注意敲完此命令，接口 IP 要重新设置ip address 172.16.1.254 255.255.255.1283.4.1.2.4 在 BGP 中建立 vpn 实例：bgp 100ipv4-family vpn-instance vpn-rt */ 进入 VPN 实例import-route direct */ 重分布直连把属于直连并且是属于相关 VPN 实例中的接口发布进来3.4.2 测试正常状态：3.4.2.1 查看 mpls 邻居：dis mpls ldp peer3.4.2.2 查看 VPN 实例路由表：dis

20、ip routing-table vpn-instance vpn-rt3.4.2.3 测试 PE 之间的 VPN 实例中的路由是否通：ping a 源地址 vpnstance VPN 实例号目标地址3.4.2.4 如果 vpn 路由表里有目的路由查不能 PING 通：a.查看是不是只有去的方向的路由，没有回的方向的路由b.MPLS 是不是没建好，没看到 mpls 邻居3.4.2.5 查看路由的各种属性：a. dis bgp vpnv4 all routing-table 10.10.10.10From: 从哪个邻居来，0.0.0.0 表示本路由器发出的Ext-community: 本路由携

21、带的 RT 属性，如果符合本 RT 收的属性则放入相对应的 VPN 路由表AS-PATH: 经过 as200 过来的Origin: 这个路起源自哪 ie?3.4 通过以上四步一个 PE 路由器建立完成。配置正确的话。县调（同一 AS）两个 PE 路由 VPN 可以进行通讯了。一个县调基础建立完了。可以进配置优化工作了。3.5 第五部跨域 MPLS-vpn 互连采用单跳 M-BGP 方式，通过 E-BGP发布 AS 系统业务聚合路由到省调。interface GigabitEthernet5/0/1port link-mode routeip address 10.1.1.1 255.255

22、.255.0mplsmpls ldpip vpn-instance vpn-rt route-distinguisher 1:100 vpn-target 2:200 import-extcommunity */这里只收省调的发过来的 RT 属性，不发省局 RT 属性是避免所以路由（明细路由）都发到省局Bgp 100peer 10.1.1.2 as-number 200 */建立 EBGP 邻居peer 2.2.2.2 next-hop-local */ EBGP 邻居会把学来的路由原封不动发给 IBGP 邻居，但实际上 IBGP 邻居不能直接到达目标路由，要加 next-hop-local

23、属性，表示要经过本跳才能达到目标。算是搭个桥。 peer 3.3.3.3 next-hop-local#ipv4-family vpnv4 peer 10.1.1.2 enablepeer 10.1.1.2 route-policy haha export */名称为 haha 的路由映射，发给邻居peer 10.1.1.2 advertise-community#ipv4-family vpn-instance vpn-rt */ 进入 VPN 实例network 172.16.0.0 */路由表中已经有了路由了，才可以宣告成功import-route direct */ 重分布直连把属于直

24、连并且是属于 VPN 实便中的接口发布进来#ip route-static vpn-instance vpn-rt 172.16.0.0 255.255.0.0 NULL0*/此条目的作用。此地址为业务地址的汇总路由，BGP 中要求宣告的网络在自己的路由表中一定要有。所以要写一路指向空接口的静态发给省局，（指向空接口的路由不会消失）因为是业务地址所以是在 VPN 中，所以要加上 vpn-intstance VPN 名称。#ip ip-prefix haha index 10 permit 172.16.0.0 16 less-equal 22 */ 前缀列表。抓 172.16.0.0/16-

25、22 位的路由，（精确路由）#route-policy haha permit node 10 */建立路由映射 hahaif-match ip-prefix haha */ 匹配前缀列表 hahaapply extcommunity rt 2:200 */ 改为发出的 RT 属性为 2:200，此实验环境中用于发给省局的路由，2：200 为省局的 RT 倒入属性，此目的为的是只给省局发送汇总路由。#3.5 其它命令：Bgp 100timer keepalive 10 hold 30 */ 更改存活时间，使 BGP 收敛更快。Bgp 100ipv4-family vpnv4 undo

26、policy vpn-target */ 关闭路由过滤，表示只要是发给此路由器的路由都收接不作过滤，如果此路由没有相关 VPN RT 导入属性，结果只能看到路由而不能通讯，因为不符合相关的 VPN 的属性，就不能把路由放到相应的 VPN 路由表中，只有放在相应的 VPN 路由表中，相同 VPN 路由表的路由才可能通。还有一个作用把由传递给邻居，看邻居有没有相应的 VPN 属性，一般用于 RR。适用于单跳 M-EBGP 中。通 dis bgp vpnv4 all rout 查看路由。4 设备配置清单：见附件中配置清单5 网络可靠性测试：5.1 测试正常拓扑：5.2 测试不正常拓扑：5.3 测试不正常拓扑：

展开阅读全文