H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx

H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx

《H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx》由会员分享，可在线阅读，更多相关《H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置.docx（21页珍藏版）》请在冰点文库上搜索。

H3C调度数据网项目MPLSVPN配置模板带拓扑图和详细配置

H3C三层MPLS-VPN模板

1实验环境：

1.1实施目的：

随着公司近年调度数据网的项目增多，为了使项目做到统一的规范、合理化。

所以建立此次的试验，此试验中的配置作为以后调度数据网项目的配置模板和学习资料（供新手参考）。

1.2设备模拟场景：

角色

R/S/pc

设备型号

设备SYSNAME

核心层

R

H3CSR6608

Jieru_R1

汇聚层

R

H3CSR6608

Huiju_R2

汇聚层

R

H3CSR6608

Huiju_R3

接入层

R

H3CSR3040

Jieru_R4

接入层

R

H3CSR3040

Jieru_R5

省局核心层

R

H3CSR3040

Shengju_R

核心层

S

H3CS3100

Hexin_S

接入层

S

H3CS3100

Jieru_S

核心层

PC2

模拟核心层业务主机

接入层

PC1

模拟接入层业务主机

2网络规划：

2.1拓扑图：

2.2网络结构：

2.2.1管理地址

采用Loopback地址，采用32位子网掩码。

统一使用Loopback1接口

2.2.2互联地址：

使用网段非PE-CE地址192.168.1.0/24，PE-CE地址192.168.2.0/24。

互联地址采用30位子网掩码。

2.2.3OSPF：

2.2.3.1进程号：

进程号：

1

2.2.3.2区域号：

核心层和汇聚层之间，汇聚和汇聚层之间区域号AREA0。

接入层和接入层之间，接入层和汇聚层之间区域号AREA1。

2.2.3.3route-id:

loopback1地址

2.2.4BGP：

2.2.4.1AS编号:

县调AS号：

100

市调AS号：

200

2.2.4.1路由反射器（RR）：

采用二级BGP反射器。

（核心层为一级BGP反射器，汇聚层为二级BGP反射器），

client

server

Jieru_R4，Jieru_R5

Huiju_R2，huiju_R3

Huiju_R2，huiju_R3

Hexin_R1

2.2.4.2单跳M-BGP：

跨域MPLS-vpn互连采用单跳M-BGP方式，通过E-BGP发布AS系统业务聚合路由到市调骨干，同时市调骨干发布其他AS业务聚合路由到接入网络

1.2.5MPLS-VPN：

2.2.5.1LSR-ID:

loopback1地址

2.2.5.2县调VRF命名及IP地址:

VPN命名

VLAN号

地址段

vpn-rt

10

172.16.1.0/24

vpn-nrt

20

172.16.2.0/24

vpn-e

30

172.16.3.0/24

2.2.5.3RD和RT：

县调

市调

VPN命名

RD

RT（both）

VPN命名

RD

RT（both）

vpn-rt

1：

100

vpn-rt

2：

200

vpn-nrt

1：

101

vpn-nrt

2：

201

vpn-e

1：

102

vpn-e

2：

202

2.2.5.4单调M-EBGP：

各业务地址只发汇总地址到省局。

并把县调RT属性变更市调的RT属性

2.2.6交换机VLAN：

编号

vlan

接口

vpn-rt

10

1-8

vpn-nrt

20

9-16

vpn-e

30

17-23或24

trunk

24或25

2.3ip地址规划：

2.3.1互联地址：

设备名称

端口

Ip地址

TO

Hexin_R1

Loopback1

1.1.1.1/32

—

G3/0/1

192.168.1.1/30

Huij_R2G3/0/1

G3/0/0

192.168.1.5/30

Huij_R3G3/0/0

G4/0/0.100

192.168.2.1/30

Hexin_SG1/0/25

G5/0/1

10.1.1.2/30

Shengju_RG0/0

Huiju_R2

Loopback1

2.2.2.2/32

—

G3/0/1

192.168.1.2/30

Hexin_R1G3/0/1

G3/0/0

192.168.1.9/30

Huiju_R3G3/0/1

G4/0/0

192.168.1.13/30

Jieru_R4G0/0

Huiju_R3

Loopback1

3.3.3.3/32

—

G3/0/0

192.168.1.6/30

Hexin_R1G3/0/0

G3/0/1

192.168.1.10/30

Huiju_R2G3/0/0

Route-agg1

（G4/0/0,G4/0/1）

192.168.1.17/30

Jieru_R5G0/0

Jiru_R4

Loopback1

4.4.4.4/32

—

G0/0

192.168.1.14/30

Huij_R2G4/0/0

E2/0

192.168.1.21/30

Jiru_R5E2/0

E4/0.100

192.168.2.5/32

Jiru-SE1/0/24

Jiru_R5

Loopback1

5.5.5.5/32

—

G0/0

192.168.1.18/30

Huiju_R3

Route-agg1

（G4/0/0,G4/0/1）

E2/0

192.168.1.22/30

Juru_R4E2/0

Shengju_R

G0/0

10.1.1.2/30

Hexin_RG4/0/1

Hexin_S

G1/0/25（vlan100）

192.168.2.2/30

Hexin_RG4/0/0

Jieru_S

E1/0/24（vlan100）

192.168.2.6/30

Jieru_RE4/0

2.3.1业务地址：

角色

VPN实例

Vlan号

网关IP地址

接入层PE

vpn-rt

10

172.16.1.126/25

vpn-nrt

20

172.16.2.126/25

vpn-e

30

172.16.3.126/25

核心层PE

vpn-rt

10

172.16.1.254/25

vpn-nrt

20

172.16.2.254/25

vpn-e

30

172.16.3.254/25

3县调设备配置步骤：

（hexin_R1为例）

3.1第一步telnet建立：

（重要）

Ps:

站和站之间往往距离很远，建立的TELNET通过远程调试达到节省人力的目的。

3.1.1配置及注释：

telnetserverenable*/必须写，要不telent不能使用

#

superpasswordlevel3simpleadmin*/enable密码

#

local-useradmin*/定义用户名密码

passwordsimpleadmin

service-typetelnet

user-interfacevty04

authentication-modescheme

*/写此命令。

Telnet时采用usernamepassword的登录方式

3.1.2测试正常状态：

3.2第二步OSPF建立：

Ps:

作为公网路由，作用有二：

a.是后面建立BGP、MPLS-VPN的基础。

b.连网管理地址可以TELENT远程登录进行管理

3.2.1配置及注释：

interfaceGigabitEthernet3/0/0

portlink-moderoute

descriptionTo-R2

ipaddress192.168.1.5255.255.255.252

#

interfaceGigabitEthernet3/0/1

portlink-moderoute

descriptionTo-R3

ipaddress192.168.1.1255.255.255.252

#

interfaceGigabitEthernet4/0/0.100

descriptionPE-CE

vlan-typedot1qvid100

*/封装为vlan100单臂路由，接交换机TRUNK接口

ipaddress192.168.2.1255.255.255.252

#

ospf1router-id1.1.1.1*/建立OSPF路由协议（公网路由），作为建立BGP的基础，

area0.0.0.0

network1.1.1.10.0.0.0*/宣告loopback地址

network192.168.1.50.0.0.0*/宣告和R3的互联地址

network192.168.1.10.0.0.0*/宣告和R2的互联地址

network192.168.2.10.0.0.0*/宣告PE-CE互联地址

3.2.2测试正常状态：

3.2.2.1查看接口信息：

disipintbrief

3.2.2.2查看OSPF邻居关系:

disospfpeer

状态为FULL邻居正常

3.2.2.3查看路由表：

disiprout

查看公网路由是不是都学到

3.3第三步BGP的建立：

PS:

BGP通过IGP建立，OSPF跑的是公网路由。

这里BGP的作用是在VPNIPV4私网中激活邻居，承载私网路由

3.3.1配置及注释：

bgp100

undosynchronization*/关闭同步

grouphahainternal

*/建立BGP对等体组，internal参数加上后，表示这个对等体组内的邻居为ibgp

peerhahaconnect-interfaceLoopBack1

*/以loopback1接口作为更新源。

靠环回接口建立BGP邻居，好处是环回口不会受物理口的限制会DOWN掉而失去邻居。

peer2.2.2.2grouphaha*/将邻居加入对等体组

peer3.3.3.3grouphaha

#

ipv4-familyvpnv4*/进入vpnIPv4的私网

peer2.2.2.2enable

*/激活邻居，必写，这样邻居才能在vpnipv4私网中正常通信

peer2.2.2.2advertise-community

*/向邻居发送团里属性，就是向邻居发送RT属性

peer2.2.2.2reflect-client

*/加入邻居为客户端，表示此路由器为路由反射器（RR），只需加此一条命令即可成为RR。

此命令一般用于全互联网络

peer3.3.3.3enable

peer3.3.3.3advertise-community

peer3.3.3.3reflect-client

peer10.1.1.2enable

peerhahaenable

peerhahareflect-client*/对haha对等体组添加属性

#

3.2.2测试正常状态：

3.2.2.1查看BGP邻居状态：

disbgppeer

状态为established（建立），正常。

3.2.2.2查看VPNIPV4私网路由表：

disbgpvpnv4allrouting-table

注意：

这里只能看到收到的路由，能不能通信要看是否有相应的VPN实例

从RD中看1：

100192.16.1.0/25是从4.4.4.4这个邻居学到的。

2：

20010.10.10.10/32是从ebgp邻居10.1.1.2学来的（往后看）。

上

路由收到了，但并没有放到路由表中，所以PING不通。

3.4第四步MPLS-VPN的建立：

3.4.1配置及注释：

3.4.1.1建立VRF属性：

ipvpn-instancevpn-rt

*/建立VPN实例，不同的设备相同的VPN实例才能通信

route-distinguisher1:

100*/RD路由区分符，区分路由，

vpn-target1:

100export-extcommunity

vpn-target1:

100import-extcommunity

*/rt路由对象。

本设备出1:

100，别的设备是入1:

100对方才能收到本路由的路由进行通讯，相反别人出2：

200，本设备要写成入2:

200才能收到对方设备的路由。

3.4.1.2启用MPLS：

3.4.1.2.1全局下启动MPLS协议：

mplslsr-id1.1.1.1*/不写。

全局下MPLS不能启用，

Mpls*/全局下启MPLS协议#

mplsldp*/启用MPLSLDP

3.4.1.2.2在互联接口启动MPLS：

interfaceGigabitEthernet3/0/0

mpls

mplsldp

*/端口下启用MPLS和MPLSLDP后，进行标签转发

interfaceGigabitEthernet3/0/1

mpls

mplsldp

3.4.1.2.3把接口分配到相应的VPN中：

interfaceG4/0.1

vlan-typedot1qvid10

ipbindingvpn-instancevpn-rt

*/把此接口加入VPN实例中，注意敲完此命令，接口IP要重新设置

ipaddress172.16.1.254255.255.255.128

3.4.1.2.4在BGP中建立vpn实例：

bgp100

ipv4-familyvpn-instancevpn-rt*/进入VPN实例

import-routedirect

*/ 重分布直连把属于直连并且是属于相关VPN实例中的接口发布进来

3.4.2测试正常状态：

3.4.2.1查看mpls邻居：

dismplsldppeer

3.4.2.2查看VPN实例路由表：

disiprouting-tablevpn-instancevpn-rt

3.4.2.3测试PE之间的VPN实例中的路由是否通：

ping–a源地址–vpnstanceVPN实例号目标地址

3.4.2.4如果vpn路由表里有目的路由查不能PING通：

a.查看是不是只有去的方向的路由，没有回的方向的路由

b.MPLS是不是没建好，没看到mpls邻居

3.4.2.5查看路由的各种属性：

a.disbgpvpnv4allrouting-table10.10.10.10

From:

从哪个邻居来，0.0.0.0表示本路由器发出的

Ext-community:

本路由携带的RT属性，如果符合本RT收的属性则放入相对应的VPN路由表

AS-PATH:

经过as200过来的

Origin:

这个路起源自哪i>e>?

3.4通过以上四步一个PE路由器建立完成。

配置正确的话。

县调（同一AS）两个PE路由VPN可以进行通讯了。

一个县调基础建立完了。

可以进配置优化工作了。

3.5第五部跨域MPLS-vpn互连采用单跳M-BGP方式，通过E-BGP发布AS系统业务聚合路由到省调。

interfaceGigabitEthernet5/0/1

portlink-moderoute

ipaddress10.1.1.1255.255.255.0

mpls

mplsldp

ipvpn-instancevpn-rt

route-distinguisher1:

100

vpn-target2:

200import-extcommunity

*/这里只收省调的发过来的RT属性，不发省局RT属性是避免所以路由（明细路由）都发到省局

Bgp100

peer10.1.1.2as-number200*/建立EBGP邻居

peer2.2.2.2next-hop-local

*/EBGP邻居会把学来的路由原封不动发给IBGP邻居，但实际上IBGP邻居不能直接到达目标路由，要加next-hop-local属性，表示要经过本跳才能达到目标。

算是搭个桥。

peer3.3.3.3next-hop-local

#

ipv4-familyvpnv4

peer10.1.1.2enable

peer10.1.1.2route-policyhahaexport*/名称为haha的路由映射，发给邻居

peer10.1.1.2advertise-community

#

ipv4-familyvpn-instancevpn-rt*/进入VPN实例

network172.16.0.0

*/路由表中已经有了路由了，才可以宣告成功

import-routedirect

*/ 重分布直连把属于直连并且是属于VPN实便中的接口发布进来

#

iproute-staticvpn-instancevpn-rt172.16.0.0255.255.0.0NULL0

*/此条目的作用。

此地址为业务地址的汇总路由，BGP中要求宣告的网络在自己的路由表中一定要有。

所以要写一路指向空接口的静态发给省局，（指向空接口的路由不会消失）因为是业务地址所以是在VPN中，所以要加上vpn-intstanceVPN名称。

#

ipip-prefixhahaindex10permit172.16.0.016less-equal22

*/前缀列表。

抓172.16.0.0/16-22位的路由，（精确路由）

#

route-policyhahapermitnode10*/建立路由映射haha

if-matchip-prefixhaha*/匹配前缀列表haha

applyextcommunityrt2:

200*/改为发出的RT属性为2:

200，此实验环境中用于发给省局的路由，2：

200为省局的RT倒入属性，此目的为的是只给省局发送汇总路由。

#

3.5其它命令：

Bgp100

timerkeepalive10hold30

*/更改存活时间，使BGP收敛更快。

Bgp100

ipv4-familyvpnv4

undopolicyvpn-target

*/关闭路由过滤，表示只要是发给此路由器的路由都收接不作过滤，如果此路由没有相关VPNRT导入属性，结果只能看到路由而不能通讯，因为不符合相关的VPN的属性，就不能把路由放到相应的VPN路由表中，只有放在相应的VPN路由表中，相同VPN路由表的路由才可能通。

还有一个作用把由传递给邻居，看邻居有没有相应的VPN属性，一般用于RR。

适用于单跳M-EBGP中。

通disbgpvpnv4allrout查看路由。

4设备配置清单：

见附件中配置清单

5网络可靠性测试：

5.1测试正常拓扑：

5.2测试不正常拓扑：

5.3测试不正常拓扑：