华为路由器MPLS VPN配置示例.docx
《华为路由器MPLS VPN配置示例.docx》由会员分享,可在线阅读,更多相关《华为路由器MPLS VPN配置示例.docx(24页珍藏版)》请在冰点文库上搜索。
华为路由器MPLSVPN配置示例
配置BGP/MPLSIPVPN示例
组网图形
图1 配置BGP/MPLSIPVPN组网图
∙组网需求
∙配置思路
∙操作步骤
∙配置文件
组网需求
如图1所示:
∙CE1连接公司总部研发区、CE3连接分支机构研发区,CE1和CE3属于vpna;
∙CE2连接公司总部非研发区、CE4连接分支机构非研发区,CE2和CE4属于vpnb。
公司要求通过部署BGP/MPLSIPVPN,实现总部和分支机构的安全互通,同时要求研发区和非研发区间数据隔离。
配置思路
采用如下的思路配置BGP/MPLSIPVPN:
1.P、PE之间配置OSPF,实现骨干网的IP连通性。
2.PE、P上配置MPLS基本能力和MPLSLDP,建立MPLSLSP公网隧道,传输VPN数据。
3.PE1和PE2上配置VPN实例,其中,vpna使用的VPN-target属性为111:
1,vpnb使用的VPN-target属性为222:
2,以实现相同VPN间互通,不同VPN间隔离。
同时,与CE相连的接口和相应的VPN实例绑定,以接入VPN用户。
4.PE1和PE2之间配置MP-IBGP,交换VPN路由信息。
5.CE与PE之间配置EBGP,交换VPN路由信息。
操作步骤
1.在MPLS骨干网上配置OSPF协议,实现骨干网PE和P的互通
#配置PE1。
system-view
[Huawei]sysnamePE1
[PE1]interfaceloopback1
[PE1-LoopBack1]ipaddress1.1.1.932
[PE1-LoopBack1]quit
[PE1]interfacegigabitethernet3/0/0
[PE1-GigabitEthernet3/0/0]ipaddress172.1.1.124
[PE1-GigabitEthernet3/0/0]quit
[PE1]ospf1
[PE1-ospf-1]area0
[PE1-ospf-1-area-0.0.0.0]network172.1.1.00.0.0.255
[PE1-ospf-1-area-0.0.0.0]network1.1.1.90.0.0.0
[PE1-ospf-1-area-0.0.0.0]quit
[PE1-ospf-1]quit
#配置P。
system-view
[Huawei]sysnameP
[P]interfaceloopback1
[P-LoopBack1]ipaddress2.2.2.932
[P-LoopBack1]quit
[P]interfacegigabitethernet1/0/0
[P-GigabitEthernet1/0/0]ipaddress172.1.1.224
[P-GigabitEthernet1/0/0]quit
[P]interfacegigabitethernet2/0/0
[P-GigabitEthernet2/0/0]ipaddress172.2.1.124
[P-GigabitEthernet2/0/0]quit
[P]ospf
[P-ospf-1]area0
[P-ospf-1-area-0.0.0.0]network172.1.1.00.0.0.255
[P-ospf-1-area-0.0.0.0]network172.2.1.00.0.0.255
[P-ospf-1-area-0.0.0.0]network2.2.2.90.0.0.0
[P-ospf-1-area-0.0.0.0]quit
[P-ospf-1]quit
#配置PE2。
system-view
[Huawei]sysnamePE2
[PE2]interfaceloopback1
[PE2-LoopBack1]ipaddress3.3.3.932
[PE2-LoopBack1]quit
[PE2]interfacegigabitethernet3/0/0
[PE2-GigabitEthernet3/0/0]ipaddress172.2.1.224
[PE2-GigabitEthernet3/0/0]quit
[PE2]ospf
[PE2-ospf-1]area0
[PE2-ospf-1-area-0.0.0.0]network172.2.1.00.0.0.255
[PE2-ospf-1-area-0.0.0.0]network3.3.3.90.0.0.0
[PE2-ospf-1-area-0.0.0.0]quit
[PE2-ospf-1]quit
配置完成后,PE1、P、PE2之间应能建立OSPF邻居关系,执行displayospfpeer命令可以看到邻居状态为Full。
执行displayiprouting-table命令可以看到PE之间学习到对方的Loopback1路由。
以PE1的显示为例:
[PE1]displayiprouting-table
RouteFlags:
R-relay,
D-downloadtofib
------------------------------------------------------------------------------
RoutingTables:
Public
Destinations:
11Routes:
11
Destination/MaskProtoPreCostFlagsNextHopInterface
1.1.1.9/32Direct00D127.0.0.1LoopBack1
2.2.2.9/32OSPF101D172.1.1.2GigabitEthernet3/0/0
3.3.3.9/32OSPF102D172.1.1.2GigabitEthernet3/0/0
127.0.0.0/8Direct00D127.0.0.1InLoopBack0
127.0.0.1/32Direct00D127.0.0.1InLoopBack0
127.255.255.255/32Direct00D127.0.0.1InLoopBack0
172.1.1.0/24Direct00D172.1.1.1GigabitEthernet3/0/0
172.1.1.1/32Direct00D127.0.0.1GigabitEthernet3/0/0
172.1.1.255/32Direct00D127.0.0.1GigabitEthernet3/0/0
172.2.1.0/24OSPF102D172.1.1.2GigabitEthernet3/0/0
255.255.255.255/32Direct00D127.0.0.1InLoopBack0
[PE1]displayospfpeer
OSPFProcess1withRouterID1.1.1.9
Neighbors
Area0.0.0.0interface172.1.1.1(GigabitEthernet3/0/0)'sneighbors
RouterID:
2.2.2.9Address:
172.1.1.2
State:
FullMode:
NbrisMasterPriority:
1
DR:
172.1.1.1BDR:
172.1.1.2MTU:
0
Deadtimerduein37sec
Retranstimerinterval:
5
Neighborisupfor00:
16:
21
AuthenticationSequence:
[0]
2.在MPLS骨干网上配置MPLS基本能力和MPLSLDP,建立LDPLSP
#配置PE1。
[PE1]mplslsr-id1.1.1.9
[PE1]mpls
[PE1-mpls]quit
[PE1]mplsldp
[PE1-mpls-ldp]quit
[PE1]interfacegigabitethernet3/0/0
[PE1-GigabitEthernet3/0/0]mpls
[PE1-GigabitEthernet3/0/0]mplsldp
[PE1-GigabitEthernet3/0/0]quit
#配置P。
[P]mplslsr-id2.2.2.9
[P]mpls
[P-mpls]quit
[P]mplsldp
[P-mpls-ldp]quit
[P]interfacegigabitethernet1/0/0
[P-GigabitEthernet1/0/0]mpls
[P-GigabitEthernet1/0/0]mplsldp
[P-GigabitEthernet1/0/0]quit
[P]interfacegigabitethernet2/0/0
[P-GigabitEthernet2/0/0]mpls
[P-GigabitEthernet2/0/0]mplsldp
[P-GigabitEthernet2/0/0]quit
#配置PE2。
[PE2]mplslsr-id3.3.3.9
[PE2]mpls
[PE2-mpls]quit
[PE2]mplsldp
[PE2-mpls-ldp]quit
[PE2]interfacegigabitethernet3/0/0
[PE2-GigabitEthernet3/0/0]mpls
[PE2-GigabitEthernet3/0/0]mplsldp
[PE2-GigabitEthernet3/0/0]quit
上述配置完成后,PE1与P、P与PE2之间应能建立LDP会话,执行displaymplsldpsession命令可以看到显示结果中Status项为“Operational”。
执行displaymplsldplsp命令,可以看到LDPLSP的建立情况。
以PE1的显示为例:
[PE1]displaymplsldpsession
LDPSession(s)inPublicNetwork
Codes:
LAM(LabelAdvertisementMode),SsnAgeUnit(DDDD:
HH:
MM)
A'*'beforeasessionmeansthesessionisbeingdeleted.
------------------------------------------------------------------------------
PeerIDStatusLAMSsnRoleSsnAgeKASent/Rcv
------------------------------------------------------------------------------
2.2.2.9:
0OperationalDUActive0000:
00:
016/6
------------------------------------------------------------------------------
TOTAL:
1session(s)Found.
[PE1]displaymplsldplsp
LDPLSPInformation
-------------------------------------------------------------------------------
DestAddress/MaskIn/OutLabelUpstreamPeerNextHopOutInterface
-------------------------------------------------------------------------------
1.1.1.9/323/NULL2.2.2.9127.0.0.1InLoop0
*1.1.1.9/32Liberal/1024DS/2.2.2.9
2.2.2.9/32NULL/3-172.1.1.2GE3/0/0
2.2.2.9/321024/32.2.2.9172.1.1.2GE3/0/0
3.3.3.9/32NULL/1025-172.1.1.2GE3/0/0
3.3.3.9/321025/10252.2.2.9172.1.1.2GE3/0/0
-------------------------------------------------------------------------------
TOTAL:
5NormalLSP(s)Found.
TOTAL:
1LiberalLSP(s)Found.
TOTAL:
0FrrLSP(s)Found.
A'*'beforeanLSPmeanstheLSPisnotestablished
A'*'beforeaLabelmeanstheUSCBorDSCBisstale
A'*'beforeaUpstreamPeermeansthesessionisstale
A'*'beforeaDSmeansthesessionisstale
A'*'beforeaNextHopmeanstheLSPisFRRLSP
3.在PE设备上配置VPN实例,将CE接入PE
#配置PE1。
[PE1]ipvpn-instancevpna
[PE1-vpn-instance-vpna]ipv4-family
[PE1-vpn-instance-vpna-af-ipv4]route-distinguisher100:
1
[PE1-vpn-instance-vpna-af-ipv4]vpn-target111:
1both
[PE1-vpn-instance-vpna-af-ipv4]quit
[PE1-vpn-instance-vpna]quit
[PE1]ipvpn-instancevpnb
[PE1-vpn-instance-vpnb]ipv4-family
[PE1-vpn-instance-vpnb-af-ipv4]route-distinguisher100:
2
[PE1-vpn-instance-vpnb-af-ipv4]vpn-target222:
2both
[PE1-vpn-instance-vpna-af-ipv4]quit
[PE1-vpn-instance-vpnb]quit
[PE1]interfacegigabitethernet1/0/0
[PE1-GigabitEthernet1/0/0]ipbindingvpn-instancevpna
[PE1-GigabitEthernet1/0/0]ipaddress10.1.1.224
[PE1-GigabitEthernet1/0/0]quit
[PE1]interfacegigabitethernet2/0/0
[PE1-GigabitEthernet2/0/0]ipbindingvpn-instancevpnb
[PE1-GigabitEthernet2/0/0]ipaddress10.2.1.224
[PE1-GigabitEthernet2/0/0]quit
#配置PE2。
[PE2]ipvpn-instancevpna
[PE2-vpn-instance-vpna]ipv4-family
[PE2-vpn-instance-vpna-af-ipv4]route-distinguisher200:
1
[PE2-vpn-instance-vpna-af-ipv4]vpn-target111:
1both
[PE2-vpn-instance-vpna-af-ipv4]quit
[PE2-vpn-instance-vpna]quit
[PE2]ipvpn-instancevpnb
[PE2-vpn-instance-vpnb]ipv4-family
[PE2-vpn-instance-vpnb-af-ipv4]route-distinguisher200:
2
[PE2-vpn-instance-vpnb-af-ipv4]vpn-target222:
2both
[PE2-vpn-instance-vpnb-af-ipv4]quit
[PE2-vpn-instance-vpnb]quit
[PE2]interfacegigabitethernet1/0/0
[PE2-GigabitEthernet1/0/0]ipbindingvpn-instancevpna
[PE2-GigabitEthernet1/0/0]ipaddress10.3.1.224
[PE2-GigabitEthernet1/0/0]quit
[PE2]interfacegigabitethernet2/0/0
[PE2-GigabitEthernet2/0/0]ipbindingvpn-instancevpnb
[PE2-GigabitEthernet2/0/0]ipaddress10.4.1.224
[PE2-GigabitEthernet2/0/0]quit
#按图1配置各CE的接口IP地址。
#配置CE1。
CE2、CE3和CE4与CE1类似,不再赘述。
system-view
[Huawei]sysnameCE1
[CE1]interfacegigabitethernet1/0/0
[CE1-GigabitEthernet1/0/0]ipaddress10.1.1.124
[CE1-GigabitEthernet1/0/0]quit
配置完成后,在PE设备上执行displayipvpn-instanceverbose命令可以看到VPN实例的配置情况。
各PE能ping通自己接入的CE。
说明:
当PE上有多个接口绑定了同一个VPN,则使用ping-vpn-instance命令ping对端PE接入的CE时,要指定源IP地址,即要指定ping-vpn-instance vpn-instance-name -a source-ip-addressdest-ip-address命令中的参数-asource-ip-address,否则可能ping不通。
以PE1为例:
[PE1]displayipvpn-instanceverbose
TotalVPN-Instancesconfigured:
2
TotalIPv4VPN-Instancesconfigured:
2
TotalIPv6VPN-Instancesconfigured:
0
VPN-InstanceNameandID:
vpna,1
Interfaces:
GigabitEthernet1/0/0
Addressfamilyipv4
Createdate:
2012/07/2500:
58:
17
Uptime:
0days,22hours,24minutesand53seconds
RouteDistinguisher:
100:
1
ExportVPNTargets:
111:
1
ImportVPNTargets:
111:
1
LabelPolicy:
labelperroute
LogInterval:
5
VPN-InstanceNameandID:
vpnb,2
Interfaces:
GigabitEthernet2/0/0
Addressfamilyipv4
Createdate:
2012/07/2500:
58:
17
Uptime:
0days,22hours,24minutesand53seconds
RouteDistinguisher:
100:
2
ExportVPNTargets:
222:
2
ImportVPNTargets:
222:
2
LabelPolicy:
labelperroute
LogInterval:
5
[PE1]ping-vpn-instancevpna10.1.1.1
PING10.1.1.1:
56databytes,pressCTRL_Ctobreak
Replyfrom10.1.1.1:
bytes=56Sequence=1ttl=255time=5ms
Replyfrom10.1.1.1:
bytes=56Sequence=2ttl=255time=3ms
Replyfrom10.1.1.1:
bytes=56Sequence=3ttl=255time=3ms
Replyfrom10.1.1.1:
bytes=56Sequence=4ttl=255time=3ms
Replyfrom10.1.1.1:
bytes=56Sequence=5ttl=255time=16ms
---10.1.1.1pingstatistics---
5packet(s)transmitted
5packet(s)received
0.00%packetloss
round-tripmin/avg/max=3/6/16ms
4.在PE之间建立MP-IBGP对等体关系
#配置PE1。
[PE1]bgp100
[PE1-bgp]peer3.3.3.9as-number100
[PE1-bgp]peer3.3.3.9connect-interfaceloopback1
[PE1-bgp]ipv4-familyvpnv4
[PE1-bgp-af-vpnv4]peer3.3.3.9enable
[PE1-bgp-af-vpnv4]quit
[PE1-bgp]quit
#配置PE2。
[PE2]bgp100
升级会员 