龙空技术网

真正成功的跨域VPN-OptionC(方案一)实验

达哥网络 876

前言:

现时看官们对“net跨域取消option”都比较关注,我们都需要分析一些“net跨域取消option”的相关资讯。那么小编同时在网上网罗了一些对于“net跨域取消option””的相关资讯,希望你们能喜欢,大家快快来了解一下吧!

有多位同学总说BGP/MPLS IPV VPN跨域C方案一的实验做不成功,我估计还是对原理理解不透。因为C方案的原理比较复杂,基础不太好的话直接看书的话确实很难理解透,因为这还涉及到基础的网络通信原理,需要渐进式学习。现在把本公司会员课程中的这个实验PPT发给大家,自己照做一下,肯定可以通的。

【注意】在跨域VPN-OptionC方式中,ASBR之间连接的接口只需要启用MPLS能力,无需启用LDP或TE等标签分发协议它为IPv4公网路由分配标签是通过启用ASBR的IPv4路由标签交换能力实现的。它有两种实现方式:一是通过路由策略,对应方案一,二是通过引入IGP路由进入BGP路由表中触发标签的分配,对应方案二。

1. 实验说明

某公司总部和分部跨域不同的运营商,各AS域内采用LDP协议构建LSP隧道,现需实现跨域的BGP/MPLS IP VPN业务的互通。CE1连接公司总部,通过AS100的PE1接入;CE2连接公司分部,通过AS200的PE2接入,CE1和CE2同属于vpn1。

实验拓扑结构

2. 实验配置思路分析

本实验采用OptionC方案一实现。 OptionC方式与OptionB方式相比,主要区别就是在OptionB方式中ASBR是要负责VPN路由的发布和维护,兼做PE角色的,而OptionC方式中ASBR不发布也不维护VPN路由,直接由两AS域中的PE建立多跳的MP-EBGP连接,以构建公网逻辑LSP隧道

因为在OptionC方式中公网隧道是直接在PE之间建立的,而在ASBR之间建立的是EBGP连接,且需构建BGP LSP,所以在ASBR上需要使能MPLS功能,但无需使能LDP,所以需采取其它方法为BGP LSP隧道看公网路由分配MPLS标签,以实现传输标签IPv4路由信息。

在OptionC方案一是采用的是在ASBR上配置路由策略,通过apply mpls-label命令为向对端ASBR发布的路由分配MPLS标签;向本AS的PE发布的路由如果是带标签的IPv4路由,为其分配新的MPLS标签。

在配置OptionC方式之前,先要完成以下配置任务:

为各AS的MPLS骨干网分别配置IGP,实现同一AS内骨干网的IP连通性为各AS的MPLS骨干网分别配置MPLS基本能力和MPLS LDP(或RSVP-TE)各AS域内,在与CE相连的PE上配置VPN实例,并配置接口与VPN实例关联各AS域内,配置PE和CE间的路由交换

(1)在各AS域内的MPLS骨干网上配置各接口IP地址和IGP协议(本实验采用OSPF协议),实现各自骨干网ASBR-PE和PE之间的互通。

(2)在各AS域内的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP(ASBR-PE之间的连接无需使能LDP),建立LDP LSP。

(3)各AS域内,PE与ASBR-PE之间建立MP-IBGP对等体关系,使PE与ASBR-PE之间能够交换带标签的IPv4路由(因为只有MP-BGP才支持IPv4路由带有标签)。

(4)在各A域S内与CE相连的PE上需配置VPN实例,并把与CE相连的接口和相应的VPN实例绑定。

(5)各AS域内,PE与CE之间建立EBGP对等体关系,交换VPN路由信息。

(6)在不同AS域间的PE间建立MP-EBGP对等体关系,并配置PE之间的最大跳数。

(7)在ASBR-PE上配置路由策略:对于向对端ASBR-PE发布的路由,分配MPLS标签;对于向本AS的PE发布的路由,如果是带标签的IPv4路由,为其分配新的MPLS标签。

3. 实验配置步骤

(1)在各AS内的MPLS骨干网上配置各接口IP地址和IGP协议,此处采用OSPF 1号路由进程,加入区域0中。

# PE1上的配置。

<Huawei> system-view

[Huawei] sysname PE1

[PE1] interface loopback 1

[PE1-LoopBack1] ip address 1.1.1.9 32

[PE1-LoopBack1] quit

[PE1] interface gigabitethernet 1/0/0

[PE1-GigabitEthernet1/0/0] ip address 172.1.1.2 24

[PE1-GigabitEthernet1/0/0] quit

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0

[PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

# ASBR-PE1上的配置。

<Huawei> system-view

[Huawei] sysname ASBR-PE1

[ASBR-PE1] interface loopback 1

[ASBR-PE1-LoopBack1] ip address 2.2.2.9 32

[ASBR-PE1-LoopBack1] quit

[ASBR-PE1] interface gigabitethernet 1/0/0

[ASBR-PE1-GigabitEthernet1/0/0] ip address 172.1.1.2 24

[ASBR-PE1-GigabitEthernet1/0/0] quit

[ASBR-PE1] ospf

[ASBR-PE1-ospf-1] area 0

[ASBR-PE1-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0

[ASBR-PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255

[ASBR-PE1-ospf-1-area-0.0.0.0] quit

[ASBR-PE1-ospf-1] quit

# PE2上的配置。

<Huawei> system-view

[Huawei] sysname PE2

[PE2] interface loopback 1

[PE2-LoopBack1] ip address 4.4.4.9 32

[PE2-LoopBack1] quit

[PE2] interface gigabitethernet 1/0/0

[PE2-GigabitEthernet1/0/0] ip address 162.1.1.2 24

[PE2-GigabitEthernet1/0/0] quit

[PE2] ospf

[PE2-ospf-1] area 0

[PE2-ospf-1-area-0.0.0.0] network 4.4.4.9 0.0.0.0

[PE2-ospf-1-area-0.0.0.0] network 162.1.1.0 0.0.0.255

[PE2-ospf-1-area-0.0.0.0] quit

[PE2-ospf-1] quit

# ASBR-PE2上的配置。

<Huawei> system-view

[Huawei] sysname ASBR-PE2

[ASBR-PE2] interface loopback 1

[ASBR-PE2-LoopBack1] ip address 3.3.3.9 32

[ASBR-PE2-LoopBack1] quit

[ASBR-PE2] interface gigabitethernet 1/0/0

[ASBR-PE2-GigabitEthernet1/0/0] ip address 162.1.1.1 24

[ASBR-PE2-GigabitEthernet1/0/0] quit

[ASBR-PE2] ospf

[ASBR-PE2-ospf-1] area 0

[ASBR-PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0

[ASBR-PE2-ospf-1-area-0.0.0.0] network 162.1.1.0 0.0.0.255

[ASBR-PE2-ospf-1-area-0.0.0.0] quit

[ASBR-PE2-ospf-1] quit

以上配置完成后,同一AS域中的ASBR-PE与PE之间应能建立OSPF邻居关系,执行display ospf peer命令可以看到邻居状态为Full。

(2)在AS100和AS200域内的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP,建立LDP LSP。

# PE1上的配置。

[PE1] mpls lsr-id 1.1.1.9

[PE1] mpls

[PE1-mpls] quit

[PE1] mpls ldp

[PE1-mpls-ldp] quit

[PE1] interface gigabitethernet 1/0/0

[PE1-GigabitEthernet1/0/0] mpls

[PE1-GigabitEthernet1/0/0] mpls ldp

[PE1-GigabitEthernet1/0/0] quit

# ASBR-PE1上的配置。

[ASBR-PE1] mpls lsr-id 2.2.2.9

[ASBR-PE1] mpls

[ASBR-PE1-mpls] quit

[ASBR-PE1] mpls ldp

[ASBR-PE1-mpls-ldp] quit

[ASBR-PE1] interface gigabitethernet 1/0/0

[ASBR-PE1-GigabitEthernet1/0/0] mpls

[ASBR-PE1-GigabitEthernet1/0/0] mpls ldp

[ASBR-PE1-GigabitEthernet1/0/0] quit

# ASBR-PE2上的配置。

[ASBR-PE2] mpls lsr-id 3.3.3.9

[ASBR-PE2] mpls

[ASBR-PE2-mpls] quit

[ASBR-PE2] mpls ldp

[ASBR-PE2-mpls-ldp] quit

[ASBR-PE2] interface gigabitethernet 1/0/0

[ASBR-PE2-GigabitEthernet1/0/0] mpls

[ASBR-PE2-GigabitEthernet1/0/0] mpls ldp

[ASBR-PE2-GigabitEthernet1/0/0] quit

# PE2上的配置。

[PE2] mpls lsr-id 4.4.4.9

[PE2] mpls

[PE2-mpls] quit

[PE2] mpls ldp

[PE2-mpls-ldp] quit

[PE2] interface gigabitethernet 1/0/0

[PE2-GigabitEthernet1/0/0] mpls

[PE2-GigabitEthernet1/0/0] mpls ldp

[PE2-GigabitEthernet1/0/0] quit

以上配置完成后,同一AS域中的PE和ASBR-PE之间应该建立起LDP对等体,执行display mpls ldp session命令可以看到显示结果中State项为“Operational”。

(3)配置PE与ASBR-PE之间建立MP-IBGP对等体关系,使能与对等体交换VPN-IPv4路由信息的能力。

# PE1上的配置。

[PE1] bgp 100

[PE1-bgp] peer 2.2.2.9 as-number 100

[PE1-bgp] peer 2.2.2.9 connect-interface loopback 1 #---此处因为PE1与ASBR-PE1是直接连接的,故可用他们连接的物理接口作为建立TCP连接的源接口,下同

[PE1-bgp] ipv4-family vpnv4

[PE1-bgp-af-vpnv4] peer 2.2.2.9 enable #---使能与MP-IBGP对等体ASBR-PE1交换VPN-IPv4路由信息的能力

[PE1-bgp-af-vpnv4] quit

[PE1-bgp] quit

# ASBR-PE1上的配置。

[ASBR-PE1] bgp 100

[ASBR-PE1-bgp] peer 1.1.1.9 as-number 100

[ASBR-PE1-bgp] peer 1.1.1.9 connect-interface loopback 1

[ASBR-PE1-bgp] ipv4-family vpnv4

[ASBR-PE1-bgp-af-vpnv4] peer 1.1.1.9 enable

[ASBR-PE1-bgp-af-vpnv4] quit

[ASBR-PE1-bgp] quit

# PE2上的配置。

[PE2] bgp 200

[PE2-bgp] peer 3.3.3.9 as-number 200

[PE2-bgp] peer 3.3.3.9 connect-interface loopback 1

[PE2-bgp] ipv4-family vpnv4

[PE2-bgp-af-vpnv4] peer 3.3.3.9 enable

[PE2-bgp-af-vpnv4] quit

[PE2-bgp] quit

# ASBR-PE2上的配置。

[ASBR-PE2] bgp 200

[ASBR-PE2-bgp] peer 4.4.4.9 as-number 200

[ASBR-PE2-bgp] peer 4.4.4.9 connect-interface loopback 1

[ASBR-PE2-bgp] ipv4-family vpnv4

[ASBR-PE2-bgp-af-vpnv4] peer 4.4.4.9 enable

[ASBR-PE2-bgp-af-vpnv4] quit

[ASBR-PE2-bgp] quit

(4)在PE设备上配置使能IPv4地址族的VPN实例,将CE接入PE 。不同AS域中的PE的VPN实例的VPN-Target属性值可不匹配

# PE1上的配置。

[PE1] ip vpn-instance vpn1

[PE1-vpn-instance-vpn1] ipv4-family

[PE1-vpn-instance-vpn1-af-ipv4] route-distinguisher 100:1

[PE1-vpn-instance-vpn1-af-ipv4] vpn-target 1:1 both

[PE1-vpn-instance-vpn1-af-ipv4] quit

[PE1-vpn-instance-vpn1] quit

[PE1] interface gigabitethernet 2/0/0

[PE1-GigabitEthernet2/0/0] ip binding vpn-instance vpn1

[PE1-GigabitEthernet2/0/0] ip address 10.1.1.2 24

[PE1-GigabitEthernet2/0/0] quit

# PE2上的配置。

[PE2] ip vpn-instance vpn1

[PE2-vpn-instance-vpn1] ipv4-family

[PE2-vpn-instance-vpn1-af-ipv4] route-distinguisher 200:1

[PE2-vpn-instance-vpn1-af-ipv4] vpn-target 2:2 both

[PE2-vpn-instance-vpn1-af-ipv4] quit

[PE2-vpn-instance-vpn1] quit

[PE2] interface gigabitethernet 2/0/0

[PE2-GigabitEthernet2/0/0] ip binding vpn-instance vpn1

[PE2-GigabitEthernet2/0/0] ip address 10.2.1.2 24

[PE2-GigabitEthernet2/0/0] quit

(5)配置PE与CE间建立EBGP对等体关系,引入直连路由,交换VPN路由。

# CE1上的配置。引入与PE1直连链路的直连路由。

<Huawei> system-view

[Huawei] sysname CE1

[CE1] interface gigabitethernet 1/0/0

[CE1-GigabitEthernet1/0/0] ip address 10.1.1.1 24

[CE1-GigabitEthernet1/0/0] quit

[CE1] bgp 65001

[CE1-bgp] peer 10.1.1.2 as-number 100

[CE1-bgp] import-route direct

[CE1-bgp] quit

# PE1上的配置。无需引入与CE1直连链路的直连路由

[PE1] bgp 100

[PE1-bgp] ipv4-family vpn-instance vpn1

[PE1-bgp-vpn1] peer 10.1.1.1 as-number 65001

[PE1-bgp-vpn1] quit

[PE1-bgp] quit

# CE2上的配置。引入与PE2直连链路的直连路由。

<Huawei> system-view

[Huawei] sysname CE2

[CE2] interface gigabitethernet 1/0/0

[CE2-GigabitEthernet1/0/0] ip address 10.2.1.1 24

[CE2-GigabitEthernet1/0/0] quit

[CE2] bgp 65002

[CE2-bgp] peer 10.2.1.2 as-number 200

[CE2-bgp] import-route direct

[CE2-bgp] quit

# PE2上的配置无需引入与CE2直连链路的直连路由

[PE2] bgp 200

[PE2-bgp] ipv4-family vpn-instance vpn1

[PE2-bgp-vpn1] peer 10.2.1.1 as-number 65002

[PE2-bgp-vpn1] quit

[PE2-bgp] quit

以上配置完成后,在PE设备上执行display bgp vpnv4 vpn-instance vpn-instancename peer可以看到PE与CE之间的BGP对等体关系已建立,并达到Established状态。执行display bgp vpnv4 all peer命令,可以看到PE与CE之间、PE与ASBR-PE之间的BGP对等体关系已建立,并达到Established状态。

(6)在不同AS间的PE间建立MP-EBGP对等体关系。

# PE1上的配置。

[PE1] bgp 100

[PE1-bgp] peer 4.4.4.9 as-number 200

[PE1-bgp] peer 4.4.4.9 connect-interface LoopBack 1

[PE1-bgp] peer 4.4.4.9 ebgp-max-hop 10

[PE1-bgp] ipv4-family vpnv4

[PE1-bgp-af-vpnv4] peer 4.4.4.9 enable

[PE1-bgp-af-vpnv4] quit

[PE1-bgp] quit

# PE2上的配置。

[PE2] bgp 200

[PE2-bgp] peer 1.1.1.9 as-number 100

[PE2-bgp] peer 1.1.1.9 connect-interface LoopBack 1

[PE2-bgp] peer 1.1.1.9 ebgp-max-hop 10

[PE2-bgp] ipv4-family vpnv4

[PE2-bgp-af-vpnv4] peer 1.1.1.9 enable

[PE2-bgp-af-vpnv4] quit

[PE2-bgp] quit

(7)在PE、ASBR-PE上配置路由策略,使能标签IPv4路由交换能力。

# 配置PE1,使能与ASBR-PE1交换标签IPv4路由的能力

[PE1] bgp 100

[PE1-bgp] peer 2.2.2.9 label-route-capability #---使能与ASBR-PE1交换标签IPv4路由的能力

[PE1-bgp] quit

# 配置PE2,使能与ASBR-PE2交换标签IPv4路由的能力

[PE2] bgp 200

[PE2-bgp] peer 3.3.3.9 label-route-capability #---使能与ASBR-PE2交换标签IPv4路由的能力

[PE2-bgp] quit

# 在ASBR-PE1与ASBR-PE2相连的接口上使能MPLS。

[ASBR-PE1] interface gigabitethernet 2/0/0

[ASBR-PE1-GigabitEthernet2/0/0] ip address 192.1.1.1 24

[ASBR-PE1-GigabitEthernet2/0/0] mpls

[ASBR-PE1-GigabitEthernet2/0/0] quit

# 在ASBR-PE1上配置并应用当向ASBR-PE2发布的BGP IPv4路由时,为IPv4路由分配MPSL标签的路由策略,并使能与ASBR-PE2交换标签IPv4路由的能力。

[ASBR-PE1] route-policy policy1 permit node 1

[ASBR-PE1-route-policy] apply mpls-label #---为以上策略配置分配MPLS标签的动作

[ASBR-PE1-route-policy] quit

[ASBR-PE1] bgp 100

[ASBR-PE1-bgp] peer 192.1.1.2 as-number 200

[ASBR-PE1-bgp] peer 192.1.1.2 route-policy policy1 export #---向对等体192.1.1.2发布路由时应用名为policy1的路由策略,分配MPLS标签

[ASBR-PE1-bgp] peer 192.1.1.2 label-route-capability #---使能ASBR-PE1与ASBR-PE2交换带标签的IPv4路由的能力

# 在ASBR-PE1上创建并应用当向PE1发布BGP IPv4路由时,如果IPv4路由带有标签,则重新为该IPv4路由分配MPLS标签的路由策略,并使能与PE1交换标签IPv4路由的能力。

[ASBR-PE1] route-policy policy2 permit node 1

[ASBR-PE1-route-policy] if-match mpls-label

[ASBR-PE1-route-policy] apply mpls-label[ASBR-PE1-route-policy] quit

[ASBR-PE1] bgp 100

[ASBR-PE1-bgp] peer 1.1.1.9 route-policy policy2 export

[ASBR-PE1-bgp] peer 1.1.1.9 label-route-capability

[ASBR-PE1-bgp] quit

# 在ASBR-PE1上将PE1的Loopback路由发布给ASBR-PE2,进而发布给PE2。

[ASBR-PE1] bgp 100

[ASBR-PE1-bgp] network 1.1.1.9 32

[ASBR-PE1-bgp] quit

# 在ASBR-PE2在与ASBR-PE1相连的接口上使能MPLS。

[ASBR-PE2] interface gigabitethernet 2/0/0

[ASBR-PE2-GigabitEthernet2/0/0] ip address 192.1.1.2 24

[ASBR-PE2-GigabitEthernet2/0/0] mpls

[ASBR-PE2-GigabitEthernet2/0/0] quit

# 在ASBR-PE2上配置并应用当向ASBR-PE1发布的BGP IPv4路由时,为IPv4路由分配MPSL标签的路由策略,并使能与ASBR-PE1交换标签IPv4路由的能力。

[ASBR-PE2] route-policy policy1 permit node 1

[ASBR-PE2-route-policy] apply mpls-label

[ASBR-PE2-route-policy] quit

[ASBR-PE2] bgp 200

[ASBR-PE2-bgp] peer 192.1.1.1 as-number 100

[ASBR-PE2-bgp] peer 192.1.1.1 route-policy policy1 export

[ASBR-PE2-bgp] peer 192.1.1.1 label-route-capability

[ASBR-PE2-bgp] quit

# 在ASBR-PE2上创建并应用当向PE2发布BGP IPv4路由时,如果IPv4路由带有标签,则重新为该IPv4路由分配MPLS标签的路由策略,并使能与PE2交换标签IPv4路由的能力。

[ASBR-PE2] route-policy policy2 permit node 1

[ASBR-PE2-route-policy] if-match mpls-label

[ASBR-PE2-route-policy] apply mpls-label

[ASBR-PE2-route-policy] quit

[ASBR-PE2] bgp 200

[ASBR-PE2-bgp] peer 4.4.4.9 route-policy policy2 export

[ASBR-PE2-bgp] peer 4.4.4.9 label-route-capability

# 在ASBR-PE2上将PE2的Loopback路由发布给ASBR-PE1,进而发布给PE1。

[ASBR-PE2] bgp 200

[ASBR-PE2-bgp] network 4.4.4.9 32

[ASBR-PE2-bgp] quit

4. 实验结果验证

(1)在CE上执行display ip routing-table命令可以查看到CE之间能学习到对方的接口路由,CE1和CE2能够相互ping通。

(2)在ASBR-PE上执行display bgp routing-table label命令,可以看到路由的标签信息。

标签: #net跨域取消option