请详细阅读操作文档,结合实际情况进行配置:
若操作不当将可能导致网络卡顿甚至断网等异常情况。
若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。
若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。
功能简介:
option A 的特点是,两台ASBR彼此把对方看作自己的MCE设备。其他配置即为域内VPN配置。
也称为“VRF背靠背”, 这种方式实现较简单。自治域的ASBR 为有跨域需求的VPN各自建立一个VRF,分别为这些VRF绑定接口,ASBR 间的VRF利用这些接口互联交互VPN路由。 创建VRF并绑定接口,其目的是:
1. 用来接受本自治域的VPN路由
2. VRF和另外一个自治域上的VRF建立EBGP 连接,交互IPv4 路由
VRF-to-VRF 的实现方式的特点是实现简单,直接利用MP-IBGP就可以实现,业务部署相对简单,但是这种配置方案要求ASBR 上为每个跨域的VPN配置一个接口(通常是逻辑子接口)与之绑定,绑定接口的数量至少要和跨域的 VPN的数量相当,并在ASBR 上需要逐个对VPN进行配置,因而存在可扩展性问题。此外为每个 VPN单独创建子接口也提高了对ASBR 设备的要求。这种方案一般适用于跨域VPN数量较少的网络中。
Option A技术的优势:
原理简单、部署方便
只需要ASBR支持基本的PE功能即可
Option A技术的劣势:
配置工作量较大,后期扩展、维护较为烦琐
可能会造成ASBR的VRF资源出现瓶颈
一、组网需求
1、拓扑中的CE1,CE2分别用一台交换机用MCE技术进行模拟;
2、要求实现跨域的MPLS/VPN访问,即实现VPN-A的1.1.1.1和7.7.7.7互通,VPN-B的11.11.11.11和77.77.77.77互通;
3、该拓扑中在PE1(SW2) 和RR(SW3),ASBR2(SW5) 和PE2(SW6)之间建立MP-BGP关系
4、ASBMCE1(SW4)和ASBR2(SW5)之间起多VPN的VRF
二、组网拓扑
三、配置要点
1、部署AS核心的IGP路由协议
2、部署AS核心的MPLS
1)全局开启MPLS转发功能
2)全局开启LDP标签分发协议
3)开启接口的标签交换能力
4)接口下开启LDP协议
3、部署PE-PE的MP-BGP协议
1)启用BGP进程
2)进入VPNV4地址簇下激活VPNV4邻居关系
3)配置路由反射器RR
4、部署PE-CE的路由协议
1)创建VRF实例
2)将相关接口划入对应的VRF实例中
3)配置PE-CE的路由协议
5、将CE的路由重发布进MP-BGP
6、将MP-BGP的路由重发布进CE
----->到第6步为止,是完整的域内VPN配置
7、跨域option A模式ASBR间的部署
1)创建VRF,并将相关接口划入VRF
2)指定ASBR间的IGP协议
3)ASBR上将BGP路由重发布进IGP
4)ASBR上将IGP重发布进BGP
关于各产品支持的VRF数量说明如下:
(一)10.X软件平台设备说明:
1、如果是S12000交换机组网的话,EA:2000,DA:1000,如果两者混插整机降为1000
2、如果是S86交换机,EA线卡不支持VRF,可以搭配M8600-MPLS线卡,支持254个VRF,版本采用10.4(3b7)p1;
如果全部是EB:63,版本采用10.4(3b17)p5;
如果是EA+EB的话可以搭配M8600-MPLS线卡,支持254个VRF,版本采用10.4(3b7)p1;
如果全部是EC:2000,版本采用10.4(3b17)p5;
如果是EB+EC:63个VRF,推荐10.4(3b17)p5;
另外以上组合如果有搭配防火墙卡使用的话,S12000必须采用v2.0的RG-WALL1600-B-DE,如果采用RG-WALL1600-B-DC整机将不支持分布式MPLS,不支持VRF;S86交换机必须采用v2.0的RG-WALL1600-B-E防火墙卡,如果采用M8600-FW整机将不支持分布式MPLS,不支持VRF。
3、S6000系列,S5750-E/P/S系列交换机都支持255个VRF,推荐版本10.4(3b16)p2。
(二)11.X软件平台设备说明:
关于各产品支持的VRF数量说明如下:
如果全部是ED卡:2000;
如果全部是EF卡:1000;
如果全部是DB卡:500;
如果全部是CB卡:2000;
如果两者混插,以容量低的为准,例如ED+EF卡,VRF数量为1000。CB卡不能与其他卡混插。
11x防火墙卡插入设备,整机MPLS正常使用。
四、配置步骤
1、部署AS核心的IGP路由协议
MPLS公网的IGP路由协议部署可以使用RIP或OSPF,请参考”IP路由“章节
需要注意的两点:
1)MPLS公网中的IGP路由不要做汇总或OSPF的末节区域等,确保路由的连续性。
2)loopback地址配置为32位掩码。
本测试案例AS 100和AS200的IGP路由协议均采用RIP(实际项目中推荐使用OSPF)
SW2的配置如下:
router rip
version 2
network 2.0.0.0
network 23.0.0.0
no auto-summary ----->禁止自动汇总
SW3的配置如下:
router rip
version 2
network 3.0.0.0
network 23.0.0.0
network 34.0.0.0
no auto-summary
SW4的配置如下:
router rip
version 2
passive-interface GigabitEthernet 4/45
network 4.0.0.0
network 34.0.0.0
no auto-summary
SW5的配置如下:
router rip
version 2
passive-interface GigabitEthernet 5/45
network 5.0.0.0
network 56.0.0.0
no auto-summary
SW6的配置如下:
router rip
version 2
network 6.0.0.0
network 56.0.0.0
no auto-summary
2、部署AS核心的MPLS
此处的配置以SW2的配置为例,介绍如何在交换机上开启MPLS,并启动LDP标签分发协议。在其他交换机上的配置雷同。
1)全局开启MPLS转发功能
SW2(config)#mpls ip
2)全局开启LDP标签分发协议
SW2(config)#mpls router ldp
SW2(config-mpls-router)#ldp router-id interface loopback 0 forc
----->建议此处指定LDP的router-id的时候,使用loopback接口且使用force的强制属性。
3)开启接口的标签交换能力
SW2(config)#int gigabitEthernet 2/23
SW2(config-GigabitEthernet 2/23)#label-switching
----->缺省情况下,三层接口只能识别IP数据包,如果不开启标签交换能力的话,是不能识别0x8847的标签包。
4)接口下开启LDP协议
SW2(config)#int gigabitEthernet 2/23
SW2(config-GigabitEthernet 2/23)#mpls ip
5)查看LDP邻居关系
SW2#show mpls ldp neighbor
Default VRF:
Peer LDP Ident: 3.3.3.3:0; Local LDP Ident: 2.2.2.2:0
TCP connection: 3.3.3.3.1025 - 2.2.2.2.646
State: OPERATIONAL; Msgs sent/recv: 5532/5529; UNSOLICITED
Up time: 22:59:50
LDP discovery sources:
Link Peer on GigabitEthernet 0/0.23, Src IP addr: 23.2.2.3
Addresses bound to peer LDP Ident:
23.2.2.3 34.3.3.3 3.3.3.3
----->LDP协议的运行是经过邻居发现和会话建立,维护阶段的。LDP会话建立的端口号是TCP的646端口。
3、部署PE-PE的MP-BGP协议
此处的配置以AS100中的SW2,SW3,SW4的配置为例:
SW2的配置如下:
1)启用BGP进程
router bgp 100
bgp router-id 2.2.2.2
no bgp default ipv4-unicast ----->此处要关闭缺省的IPV4单播的邻居建立过程
bgp log-neighbor-changes
neighbor 3.3.3.3 remote-as 100
neighbor 3.3.3.3 update-source Loopback 0
2)进入VPNV4地址簇下激活VPNV4邻居关系
address-family vpnv4 unicast ----->多协议BGP是基于地址簇AFI结构的,建立VPNV4邻居关系需要在VPNV4的地址族下激活。
neighbor 3.3.3.3 activate
neighbor 3.3.3.3 send-community extended ----->由于MPLS/VPN涉及到扩展的community属性RT,此命令虽说是默认,但是排错的时候一定要关注,如果没有明确的发送团体属性,它是不会传给任何一个邻居关系的。
exit-address-family
3)配置路由反射器RR
----->由于BGP的水平分割原则,此处为了优化BGP的session,采用路由反射器减少BGP的neighbor个数。SW3在此处采用反射器的配置,不是必须配置。
----->要接收VPNV4的路由,可以通过如下方法实现:1.配置RR 2.在该交换机上划分VRF 3.关闭RT的过滤功能。
SW3(RR)的配置如下:
router bgp 100
bgp router-id 3.3.3.3
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 2.2.2.2 remote-as 100
neighbor 2.2.2.2 update-source Loopback 0
neighbor 4.4.4.4 remote-as 100
neighbor 4.4.4.4 update-source Loopback 0
!
address-family vpnv4 unicast
neighbor 2.2.2.2 activate
neighbor 2.2.2.2 route-reflector-client
neighbor 2.2.2.2 send-community extended
neighbor 4.4.4.4 activate
neighbor 4.4.4.4 route-reflector-client
neighbor 4.4.4.4 send-community both
exit-address-family
!
SW4的配置如下:
该命令和SW2,SW3处相类似,故不作解释。
router bgp 100
bgp router-id 4.4.4.4
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 3.3.3.3 remote-as 100
neighbor 3.3.3.3 update-source Loopback 0
!
address-family ipv4
no bgp redistribute-internal
exit-address-family
!
address-family vpnv4 unicast
neighbor 3.3.3.3 activate
neighbor 3.3.3.3 send-community extended
exit-address-family
4)查看MP-BGP的邻居关系:
SW3#show bgp vpnv4 unicast all summary
BGP router identifier 3.3.3.3, local AS number 100
BGP table version is 40
1 BGP AS-PATH entries
0 BGP Community entries
10 BGP Prefix entries (Maximum-prefix:4294967295)
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 100 1363 1388 40 0 0 19:40:18 4
4.4.4.4 4 100 1179 1166 23 0 0 16:54:59 6
Total number of neighbors 2
4、部署PE-CE的路由协议
此处的操作以SW2为例:
1)创建VRF实例
ip vrf VPN-A ----->VRF实例的名称只具有本地意义
rd 100:1 ----->配置RD和RT值,RT是控制VPN路由的关键
route-target both 100:1
!
ip vrf VPN-B
rd 200:1
route-target both 200:1
2)将相关接口划入对应的VRF实例中
interface vlan 12
ip vrf forwarding VPN-A ----->将接口划入到VRF中后,该接口上的IP地址等信息会被清除。因此建议现将结构划入VRF,再配置接口IP
ip address 12.1.1.2 255.255.255.0
!
interface vlan 21
ip vrf forwarding VPN-B
ip address 21.1.1.2 255.255.255.0
3)配置PE-CE的路由协议
本案例中:
AS100中的SW2与MCE1启用的IGP路由协议采用OSPF;
AS200中的MCE2与SW6启用的IGP路由协议采用RIP;
此处以SW2与MCE1的OSPF为例:
router ospf 1 vrf VPN-A-------------启用VPN-A虚拟转发的OSPF进程
router-id 2.2.2.2
network 12.1.1.2 0.0.0.0 area 0
!
router ospf 2 vrf VPN-B-------------启用VPN-A虚拟转发的OSPF进程
router-id 22.22.22.22
network 21.1.1.2 0.0.0.0 area 0
4)查看VRF相关信息
SW2#show ip vrf detail
VRF VPN-A; default RD 100:1------------配置的RD值
VRF Table ID = 1
Interfaces:
vlan 12------------------哪些接口划入到该VRF
Export VPN route-target communities
RT:100:1--------------------------------设置导出的路由目标
Import VPN route-target communities
RT:100:1--------------------------------设置导入的路由目标
No import route-map
No export route-map
Alloc-label per-vrf:1536(platform)/aggregate(VPN-A)
VRF VPN-B; default RD 200:1
VRF Table ID = 2
Interfaces:
vlan 21
Export VPN route-target communities
RT:200:1
Import VPN route-target communities
RT:200:1
No import route-map
No export route-map
Alloc-label per-vrf:1537(platform)/aggregate(VPN-B)
5) MCE1和MCE2的配置参考
MCE1:
!
ip vrf VPN-A
!
ip vrf VPN-B
!
interface vlan 12
ip vrf forwarding VPN-A
ip address 12.1.1.1 255.255.255.0
!
interface vlan21
ip vrf forwarding VPN-B
ip address 21.1.1.1 255.255.255.0
!
interface Loopback 0
ip vrf forwarding VPN-A
ip address 1.1.1.1 255.255.255.255
!
interface Loopback 1
ip vrf forwarding VPN-B
ip address 11.11.11.11 255.255.255.255
!
router ospf 1 vrf VPN-A
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 12.1.1.1 0.0.0.0 area 0
!
router ospf 2 vrf VPN-B
router-id 11.11.11.11
network 11.11.11.11 0.0.0.0 area 0
network 21.1.1.1 0.0.0.0 area 0
!
!
MCE2:
!
ip vrf VPN-A
!
ip vrf VPN-B
!
!
!
interface vlan 67
ip vrf forwarding VPN-A
ip address 67.6.6.7 255.255.255.0
!
interface vlan 76
ip vrf forwarding VPN-B
ip address 76.6.6.7 255.255.255.0
!
!
interface Loopback 0
ip vrf forwarding VPN-A
ip address 7.7.7.7 255.255.255.255
!
interface Loopback 1
ip vrf forwarding VPN-B
ip address 77.77.77.77 255.255.255.255
!
!
router rip
no auto-summary
!
address-family ipv4 vrf VPN-A
network 7.0.0.0
network 67.0.0.0
exit-address-family
!
address-family ipv4 vrf VPN-B
network 76.0.0.0
network 77.0.0.0
exit-address-family
!
!
6)查看PE-CE的OSPF邻居关系
SW2#show ip ospf neighbor
OSPF process 1, 1 Neighbors, 1 is Full:
Neighbor ID Pri State BFD State Dead Time Address Interface
1.1.1.1 1 Full/DR - 00:00:32 12.1.1.1 vlan 12
OSPF process 2, 1 Neighbors, 1 is Full:
Neighbor ID Pri State BFD State Dead Time Address Interface
11.11.11.11 1 Full/DR - 00:00:34 21.1.1.1 vlan 21
5、将CE的路由重发布进MP-BGP
以SW2为例:
router bgp 100
address-family ipv4 vrf VPN-A
maximum-prefix 10000
redistribute ospf 1 match internal external
exit-address-family
!
address-family ipv4 vrf VPN-B
maximum-prefix 10000
redistribute ospf 2 match internal external
exit-address-family
----->在将VRF的路由重分布进MP-BGP时,默认情况下只能将O,OIA的路由重分布进BGP,OE1,OE2的路由是重分布不进BGP的,需要添加match external的参数
6、将MP-BGP的路由重发布进CE
以SW2为例:
router ospf 1 vrf VPN-A
redistribute bgp subnets
!
router ospf 2 vrf VPN-B
redistribute bgp subnets
----->此处和普通的BGP重发布OSPF协议一致,需要添加subnet属性。
7、跨域option A模式ASBR间的部署
option A的特点就是在域内VPN模式下,两个ASBR交换机把对端看成是自己的MCE设备。
ASBR1(SW4)上的相关配置:
1)创建VRF,并将相关接口划入VRF
ip vrf A
rd 2:2
route-target both 100:1
!
ip vrf B
rd 3:3
route-target both 200:1
interface vlan 45
ip vrf forwarding A
ip address 45.4.4.4 255.255.255.0
!
interface vlan 54
ip vrf forwarding B
ip address 54.4.4.4 255.255.255.0
----->在Option A模型中,有几个VPN,在ASBR间就需要创建几个接口
2)指定ASBR间的IGP协议
ASBR间的IGP路由,通常采用静态路由,配置复杂但理解和维护非常简单。
这个案例采用RIP:
router rip
version 2
passive-interface GigabitEthernet 4/45
network 4.0.0.0
network 34.0.0.0
no auto-summary
!
address-family ipv4 vrf A
network 45.0.0.0
exit-address-family
!
address-family ipv4 vrf B
network 54.0.0.0
exit-address-family
3)ASBR上将BGP路由重发布进IGP
address-family ipv4 vrf A
network 45.0.0.0
redistribute bgp metric 1
exit-address-family
!
address-family ipv4 vrf B
network 54.0.0.0
redistribute bgp metric 1
exit-address-family
4)ASBR上将IGP重发布进BGP
router bgp 100
address-family ipv4 vrf A
maximum-prefix 10000
redistribute rip
exit-address-family
!
address-family ipv4 vrf B
maximum-prefix 10000
redistribute rip
exit-address-family
ASBR2(SW5)上的相关配置:
1)创建VRF,并将相关接口划入VRF
ip vrf A
rd 2:2
route-target both 100:1
!
ip vrf B
rd 3:3
route-target both 200:1
!
interface vlan 45
ip vrf forwarding A
ip address 45.4.4.5 255.255.255.0
!
interface vlan 54
ip vrf forwarding B
ip address 54.4.4.5 255.255.255.0
----->在Option A模型中,有几个VPN,在ASBR间就需要创建几个接口
2)指定ASBR间的IGP协议
router rip
version 2
passive-interface GigabitEthernet 5/45
network 5.0.0.0
network 56.0.0.0
no auto-summary
!
address-family ipv4 vrf A
network 45.0.0.0
exit-address-family
!
address-family ipv4 vrf B
network 54.0.0.0
exit-address-family
3)ASBR上将BGP重发布进IGP
address-family ipv4 vrf A
network 45.0.0.0
redistribute bgp metric 1
exit-address-family
!
address-family ipv4 vrf B
network 54.0.0.0
redistribute bgp metric 1
exit-address-family
4)ASBR上将IGP重发布进BGP
ASBR2(SW5)相关配置:
router bgp 200
address-family ipv4 vrf A
maximum-prefix 10000
redistribute rip
exit-address-family
!
address-family ipv4 vrf B
maximum-prefix 10000
redistribute rip
exit-address-family
5)查看VPNV4的路由信息
查看SW2的VPNV4路由信息
SW2#show bgp vpnv4 unicast all
BGP table version is 4, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 1:1
*>i7.0.0.0 4.4.4.4 0 100 0 200 ?
*>i67.6.6.0/24 4.4.4.4 0 100 0 200 ?
Total number of prefixes 2
Route Distinguisher: 2:2
*>i76.6.6.0/24 4.4.4.4 0 100 0 200 ?
*>i77.0.0.0 4.4.4.4 0 100 0 200 ?
Total number of prefixes 2
Route Distinguisher: 100:1 (Default for VRF VPN-A)
*> 1.1.1.1/32 12.1.1.1 1 32768 ?
*>i7.0.0.0 4.4.4.4 0 100 0 200 ?
*> 12.1.1.0/24 0.0.0.0 1 32768 ?
*>i67.6.6.0/24 4.4.4.4 0 100 0 200 ?
Total number of prefixes 4
Route Distinguisher: 200:1 (Default for VRF VPN-B)
*> 11.11.11.11/32 21.1.1.1 1 32768 ?
*> 21.1.1.0/24 0.0.0.0 1 32768 ?
*>i76.6.6.0/24 4.4.4.4 0 100 0 200 ?
*>i77.0.0.0 4.4.4.4 0 100 0 200 ?
Total number of prefixes 4
查看路由反射器SW3的VPNV4路由信息
SW3#show bgp vpnv4 unicast all
BGP table version is 45, local router ID is 3.3.3.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 1:1
*> 7.0.0.0 6.6.6.6 0 0 200 ?
*> 67.6.6.0/24 6.6.6.6 0 0 200 ?
Total number of prefixes 2
Route Distinguisher: 2:2
*> 76.6.6.0/24 6.6.6.6 0 0 200 ?
*> 77.0.0.0 6.6.6.6 0 0 200 ?
Total number of prefixes 2
Route Distinguisher: 100:1
*>i1.1.1.1/32 2.2.2.2 1 100 0 ?
*>i12.1.1.0/24 2.2.2.2 1 100 0 ?
Total number of prefixes 2
Route Distinguisher: 200:1
*>i11.11.11.11/32 2.2.2.2 1 100 0 ?
*>i21.1.1.0/24 2.2.2.2 1 100 0 ?
Total number of prefixes 2
五、功能验证
1、通过Ping测试VPN间的路由连通性:
MCE1#ping vrf VPN-A 7.7.7.7 sou 1.1.1.1
Sending 5, 100-byte ICMP Echoes to 7.7.7.7, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/10/10 ms
MCE1#ping vrf VPN-B 77.77.77.77 sou 11.11.11.11
Sending 5, 100-byte ICMP Echoes to 77.77.77.77, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/10/10 ms
2、通过Traceroute测试路径:
MCE1#trace vrf VPN-A 7.7.7.7 sou 1.1.1.1
< press Ctrl+C to break >
Tracing the route to 7.7.7.7
1 12.1.1.2 0 msec 0 msec 0 msec
2 * * *
3 45.4.4.4 0 msec 0 msec 0 msec
4 45.4.4.5 0 msec 10 msec 0 msec
5 56.5.5.6 0 msec 0 msec 10 msec
6 7.7.7.7 10 msec 10 msec 10 msec
MCE1#trace vrf VPN-B 77.77.77.77 sou 11.11.11.11
< press Ctrl+C to break >
Tracing the route to 77.77.77.77
1 21.1.1.2 0 msec 0 msec 10 msec
2 * * *
3 54.4.4.4 0 msec 0 msec 0 msec
4 54.4.4.5 0 msec 10 msec 0 msec
5 56.5.5.6 0 msec 0 msec 10 msec
6 77.77.77.77 10 msec 10 msec 10 msec
MCE1#
3、LSP ping测试:
SW2#ping mpls ipv4 4.4.4.4/32
Sending 5, 84-byte MPLS Echoes to 4.4.4.4/32,
timeout is 2 seconds, send interval is 0 msec:
Codes: '!' - success, 'Q' - request not sent, '.' - timeout,
'L' - labeled output interface, 'B' - unlabeled output interface,
'D' - DS Map mismatch, 'F' - no FEC mapping, 'f' - FEC mismatch,
'M' - malformed request, 'm' - unsupported tlvs, 'N' - no label entry,
'P' - no rx intf label prot, 'p' - premature termination of LSP,
'R' - transit router, 'I' - unknown upstream index,
'X' - unknown return code, 'x' - return code 0
Press Ctrl+C to break.
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
4、LSP traceroute测试
SW2#traceroute mpls ipv4 4.4.4.4/32
Tracing MPLS Label Switched Path to 4.4.4.4/32, timeout is 2 seconds
Codes: '!' - success, 'Q' - request not sent, '.' - timeout,
'L' - labeled output interface, 'B' - unlabeled output interface,
'D' - DS Map mismatch, 'F' - no FEC mapping, 'f' - FEC mismatch,
'M' - malformed request, 'm' - unsupported tlvs, 'N' - no label entry,
'P' - no rx intf label prot, 'p' - premature termination of LSP,
'R' - transit router, 'I' - unknown upstream index,
'X' - unknown return code, 'x' - return code 0
Press Ctrl+C to break.
0 23.2.2.2 MRU 1500 [Labels: 1025 Exp: 0]
L 1 23.2.2.3 MRU 1500 [Labels: implicit-null Exp: 0] <1 ms
! 2 34.3.3.4 <1 ms