收藏 分销(赏)
立即下载 开通VIP

构建安全优化广域网CSOW之BGPMPLSVPN配置与故障排查.pptx

上传人:精**** 文档编号:11422761 上传时间:2025-07-23 格式:PPTX 页数:36 大小:942.08KB 下载积分:12 金币
下载 相关 举报
构建安全优化广域网CSOW之BGPMPLSVPN配置与故障排查.pptx_第1页
第1页 / 共36页
构建安全优化广域网CSOW之BGPMPLSVPN配置与故障排查.pptx_第2页
第2页 / 共36页


点击查看更多>>
资源描述
,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,理解了,BGP MPLS VPN,的基本原理以后,掌握,BGP MPLS VPN,技术的配置将是一件非常容易的事,,BGP MPLS VPN,技术的配置思路与其实现原理完全吻合,甚至其故障排查的思路也完全来源于其实现原理。,引入,课程目标,学习完本课程,您应该能够:,了解,BGP MPLS VPN,主要配置,掌握,BGP MPLS VPN,配置思路与步骤,理解,BGP MPLS VPN,故障排查思路与步骤,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,BGP MPLS VPN,配置思路,BGP MPLS VPN,的配置思路与对,BGP MPLS VPN,技术原理的理解一致,分为以下三个步骤:,配置公网隧道,配置本地,VPN,配置,MP-BGP,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,配置公网隧道,配置本节点的,LSR ID,:,系统模式下使能,MPLS,和,MPLS LDP,接口模式使能,MPLS,和,MPLS LDP,mpls lsr-id,lsr-id,mpls,mpls ldp,interface,interface-type interface-number,mpls,mpls ldp,配置本地,VPN,创建,VPN,实例,进入,VPN,视图:,配置,RD,和,RT,配置接口与,VPN,实例绑定,配置,PE,与,CE,之间的路由实例与,VPN,绑定,以,OSPF,为例:,ip vpn-instance,vpn-instance-name,route-distinguisher,route-distinguisher,vpn-target,vpn-target,&,both,|,export-extcommunity,|,import-extcommunity,interface,interface-type interface-number,ip binding vpn-instance,vpn-instance-name,ospf,process-id,|,router-id,router-id,|,vpn-instance,vpn-instance-name,配置,MP-BGP,进入,BGP-VPNv4,子地址族视图,使能对等体交换,BGP-VPNv4,路由信息,ipv4-family vpnv4,peer,group-name,|,ip-address,enable,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,网络环境和需求,VPN1,CE3,VPN1,CE1,公网,PE2,P,VPN2,VPN2,CE2,CE4,Loopback0,:,1.1.1.3/32,Loopback0,:,1.1.1.1/32,100.0.0.1/30,.2,100.0.0.5/30,.6,192.168.1.1/30,.2,172.32.1.1/30,192.168.2.1/30,.2,172.32.2.1/30,.2,用户,1,:,192.168.254.1/24,E0/0,E1/1,E1/0,E0/0,PE1,Loopback0,:,1.1.1.2/32,组网需求:如上图所示,公网上承载了两个,VPN,用户,,VPN1,和,VPN2,,,VPN1,内部的用户,1,和用户,3,需要能够互通,,VPN2,内部的用户,2,和用户,4,可以互通,但,VPN1,和,VPN2,的用户之间不能互通,如用户,1,不能和用户,2,或者用户,4,互通。,用户,2,:,172.32.254.1/24,用户,3,:,192.168.255.1/24,用户,4,:,172.32.254.1/24,AS 100,E0/1,.2,E0/2,E0/1,E0/2,配置公网隧道的步骤,配置公网隧道分为两步:,配置公网,IGP,路由协议,配置使能,MPLS,及,MPLS LDP,配置公网隧道步骤一,配置公网,IGP,路由协议。,PE1,:,router id 1.1.1.1,ospf 1,area 0.0.0.0,network 1.1.1.1 0.0.0.0,network 100.0.0.1 0.0.0.3,P,:,router id 1.1.1.3,ospf 1,area 0.0.0.0,network 1.1.1.3 0.0.0.0,network 100.0.0.2 0.0.0.3,network 100.0.0.5 0.0.0.3,PE2,:,router id 1.1.1.2,ospf 1,area 0.0.0.0,network 1.1.1.2 0.0.0.0,network 100.0.0.6 0.0.0.3,目标:使所有,PE,和,P,设备可以互相学到,32,位,loopback,地址路由。,IGP,路由协议可以选择,OSPF,、,ISIS,、甚至静态路由等等。,以,OSPF,为例:,PE1,、,P,和,PE2,设备之间建立,OSPF,邻居。,配置公网隧道步骤二,配置使能,MPLS,及,MPLS LDP,。,PE1,:,目标:所有,PE,和,P,设备之间建立,LDPsession,,建立起到达对端,PE,的,LSP,隧道,需要在设备全局模式及公网接口上均使能,MPLS,及,MPLS LDP,系统模式:,mpls lsr-id 1.1.1.1,mpls,mpls ldp,接口模式:,interface Ethernet0/1,mpls,mpls ldp,P,:,系统模式:,mpls lsr-id 1.1.1.3,mpls,mpls ldp,接口模式:,interface Ethernet1/1,mpls,mpls ldp,PE2,:,系统模式:,mpls lsr-id 1.1.1.2,mpls,mpls ldp,接口模式:,interface Ethernet0/0,mpls,mpls ldp,接口模式:,interface Ethernet1/0,mpls,mpls ldp,配置本地,VPN,的步骤,配置本地,VPN,分为三步:,配置,VPN,,按照用户互访需求配置,VPN,的,RD,和,RT,配置私网接口与,VPN,的绑定,配置,PE,和,CE,之间的路由协议,配置本地,VPN,步骤一,配置,VPN,,按照用户互访需求配置,VPN,的,RD,和,RT,此步配置需要仔细分析用户互访需求,设计各,PE,上每个,VPN,的,RD,和,RT,属性;,根据本案例的组网需求设计做如下配置:,PE1,:,ip vpn-instance vpn1,route-distinguisher 100:1,vpn-target 100:1 export-extcommunity,vpn-target 100:1 import-extcommunity,#,ip vpn-instance vpn2,route-distinguisher 100:2,vpn-target 100:2 export-extcommunity,vpn-target 100:2 import-extcommunity,PE2,:,ip vpn-instance vpn1,route-distinguisher 100:1,vpn-target 100:1 export-extcommunity,vpn-target 100:1 import-extcommunity,#,ip vpn-instance vpn2,route-distinguisher 100:2,vpn-target 100:2 export-extcommunity,vpn-target 100:2 import-extcommunity,配置本地,VPN,步骤二,配置私网接口与,VPN,的绑定:,将与对应用户相连的接口与对应的,VPN,进行绑定;,对端,CE,设备无需感知,VPN,的存在,仅需做普通的接口地址等配置。,PE1,:,interface Ethernet0/1,ip binding vpn-instance vpn1,ip address 192.168.1.1 255.255.255.252,#,interface Ethernet0/2,ip binding vpn-instance vpn2,ip address 172.32.1.1 255.255.255.252,PE2,:,interface Ethernet0/1,ip binding vpn-instance vpn1,ip address 192.168.2.1 255.255.255.252,#,interface Ethernet0/2,ip binding vpn-instance vpn2,ip address 172.32.2.1 255.255.255.252,配置本地,VPN,步骤三,配置,PE,和,CE,之间的路由协议,目标:,PE,设备能学习到本端相连的用户路由,如,PE1,学习到用户,1,的路由,并能与用户,1,互通;,PE,和相连的,CE,设备之间运行路由协议,其中,PE,设备上的路由协议需要与对应的,VPN,进行绑定,也就是运行路由协议多实例;,路由协议可以选择,OSPF,、,ISIS,、,EBGP,、,RIP,、静态等;,本例中以,OSPF,为例,且以,PE1,和,CE1,及,CE2,之间的配置为例:,PE1,:,ospf 11 vpn-instance vpn1,area 0.0.0.0,network 192.168.1.0 0.0.0.3,#,ospf 12 vpn-instance vpn2,area 0.0.0.0,network 172.32.1.0 0.0.0.3,CE1,:,ospf 11,area 0.0.0.0,network 192.168.1.0 0.0.0.3,network 192.168.254.1 0.0.0.0,CE2,:,ospf 12,area 0.0.0.0,network 172.32.1.0 0.0.0.3,network 172.32.254.1 0.0.0.0,配置,MP-BGP,的步骤,配置,MP-BGP,分为三步:,配置,PE,之间普通,BGP,邻居,配置,PE,之间,MP-BGP,邻居,配置本地,VPN,路由与,MP-BGP,之间的路由引入引出,配置,MP-BGP,步骤一,配置,PE,之间普通,BGP,邻居,目标:,PE,之间建立起普通的,BGP,邻居关系;,注意配置,BGP,建立邻居的地址为,PE,的,loopback,地址,此举的目的在于发布的私网路由的下一跳是,PE,的,loopback,地址,;,bgp 100,peer 1.1.1.2 as-number 100,peer 1.1.1.2 connect-interface LoopBack0,PE1,:,bgp 100,peer 1.1.1.1 as-number 100,peer 1.1.1.1 connect-interface LoopBack0,PE2,:,配置,MP-BGP,步骤二,配置,PE,之间,MP-BGP,邻居,BGP,邻居只能传递普通的,IPv4,路由,建立起,MP-BGP,才能传递,BGP MPLS VPN,的私网路由,也就是,VPNv4,路由,但建立,MP-BGP,邻居的前提是,PE,之间已经建立普通的,BGP,邻居,建立,MP-BGP,邻居的方法是,进入,BGP VPNv4,族,使能对应的,BGP,邻居,bgp 100,ipv4-family vpnv4,peer 1.1.1.2 enable,PE1,:,bgp 100,ipv4-family vpnv4,peer 1.1.1.1 enable,PE2,:,配置,MP-BGP,步骤三,配置本地,VPN,路由与,MP-BGP,之间的路由相互引入,本地的私网路由需要引入,BGP,,才能通过,BGP,传给远端,CE,;通过,BGP,学习到的远端私网路由需要引入本地,PE,与,CE,之间的路由协议,才能传递给本地的,CE,。,以,PE1,为例,,PE2,与之对称不做重复:,bgp 100,ipv4-family vpn-instance vpn1,import-route direct,import-route ospf 11,#,ipv4-family vpn-instance vpn2,import-route direct,import-route ospf 12,ospf 11 vpn-instance vpn1,import-route bgp,#,ospf 12 vpn-instance vpn2,import-route bgp,PE1,:,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,BGP MPLS VPN,故障排查思路,BGP MPLS VPN,的故障排查的思路与,BGP MPLS VPN,的原理也是统一的,当,BGP MPLS VPN,的网络出现两个私网用户之间无法互通,可以按照下面的思路进行排查:,排查公网隧道是否存在,排查本地,VPN,建立是否符合要求,排查,MP-BGP,私网路由传递是否正确,公网隧道故障排查步骤,排查公网隧道故障分为以下三步,检查公网路由学习是否正确,检查公网设备之间的,MPLS LDP,邻居关系是否正常,检查到达对端,PE,的,loopback,地址的公网隧道是否存在,公网隧道故障排查步骤一,检查公网路由学习是否正确,根据所选择的公网,IGP,路由协议,检查公网设备之间的,IGP,路由邻居关系是否正确;,在,PE,上检查是否存在到达对端,PE,的,loopback,地址的,32,位掩码的明细路由,以,PE1,为例:,bgp 100,dis ip routing-table,Routing Tables:Public,Destinations:11 Routes:11,Destination/Mask Proto Pre Cost NextHop Interface,1.1.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0,1.1.1.2/32 OSPF 10 3 100.0.0.2 Ethernet0/0,1.1.1.3/32 OSPF 10 2 100.0.0.2 Ethernet0/0,100.0.0.0/30 Direct 0 0 100.0.0.1 Ethernet0/0,100.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0,100.0.0.4/30 OSPF 10 2 100.0.0.2 Ethernet0/0,127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0,127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0,PE1,:,公网隧道故障排查步骤二,检查公网设备之间的,MPLS LDP,邻居关系是否正常,LDP,邻居建立完成后,正确的状态应该处于,Operational,;,如果不能到达,Operational,状态,则应进一步确认,LDP,配置,或深入排查,LDP,邻居建立过程的故障所在。,R8(PE1)dis mpls ldp session,LDP Session(s)in Public Network,-,Peer-ID Status LAM SsnRole SsnAge KA-Sent/Rcv,-,59.0.0.3:0 Operational DU Passive 000:00:00 2/2,-,LAM:Label Advertisement Mode SsnAge Unit:DDD:HH:MM,PE1,:,公网隧道故障排查步骤三,检查公网隧道是否存在,如果公网,IGP,和,LDP,均正常,,PE,之间的应建立起到达对方,loopback,地址的,MPLS,隧道;,隧道是单向的,需要在每台,PE,上分别查询:,PE1dis mpls ldp lsp,LDP LSP Information,-,SN DestAddress/Mask In/OutLabel Next-Hop In/Out-Interface,-,1 1.1.1.1/32 3/NULL 127.0.0.1 Eth0/0/InLoop0,2 1.1.1.2/32 NULL/1024 100.0.0.2 -/Eth0/0,3 1.1.1.3/32 NULL/3 100.0.0.2 -/Eth0/0,PE1,:,PE2dis mpls ldp lsp,LDP LSP Information,-,SN DestAddress/Mask In/OutLabel Next-Hop In/Out-Interface,-,1 1.1.1.1/32 NULL/1025 100.0.0.5 -/Eth0/0,2 1.1.1.2/32 3/NULL 127.0.0.1 Eth0/0/InLoop0,3 1.1.1.3/32 NULL/3 100.0.0.5 -/Eth0/0,PE2,:,排查本地,VPN,故障,排查本地,VPN,故障分为两步,检查确认对应,VPN,的私网路由邻居建立是否正常;,检查,PE,与本地,CE,之间的路由学习是否正确;,排查本地,VPN,故障(续),检查确认对应,VPN,的私网路由邻居建立是否正常;,首先在,PE,上查看与对应用户相连的接口状态应该处于,UP,并与对应的,VPN,实例绑定;,按照本例如果,PE,与,CE,之间采用,OSPF,路由协议,可查看对应的,OSPF,实例路由邻居是否建立成功:,dis ospf 11 peer,OSPF Process 11 with Router ID 192.168.1.1,Neighbors,Area 0.0.0.0 interface 192.168.1.1(Ethernet1/0/0)s,neighbors,Router ID:192.168.254.1 Address:192.168.1.2,GR State:Normal,State:Full Mode:Nbr is Master Priority:1,DR:192.168.1.1 BDR:192.168.1.2 MTU:0,Dead timer due in 28 sec,Neighbor is up for 00:04:49,Authentication Sequence:0,PE1,:,排查本地,VPN,故障(续),检查,PE,与本地,CE,之间的路由学习是否正确;,在,PE,上检查是否学习到本地,CE,及用户的路由信息;,无论,PE,与,CE,之间采用何种路由协议,重点在于,PE,能学习到本地用户的路由信息,以,PE1,的,VPN1,为例,,PE1,可以学习到用户,1,的路由,如下:,dis ip routing-table vpn-instance vpn1,Routing Tables:vpn1,Destinations:5 Routes:5,Destination/Mask Proto Pre Cost NextHop Interface,192.168.1.0/30 Direct 0 0 192.168.1.1 Ethernet1/0/0,192.168.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.1.3/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.254.1/32 OSPF 10 2 192.168.1.2 Ethernet1/0/0,255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopBack0,PE1,:,排查,MP-BGP,私网路由传递故障,排查,MP-BGP,私网路由传递故障分为以下三步:,检查,PE,之间,MP-BGP,邻居是否建立成功;,检查,PE,是否学习到远端用户的私网路由;,检查,CE,是否学习到远端用户的私网路由;,排查,MP-BGP,私网路由传递故障(续),检查,PE,之间,MP-BGP,邻居是否建立成功;,建立,MP-BGP,邻居的前提是,PE,之间首先建立普通的,BGP,邻居;,如果,MP-BGP,邻居未能正常建立,检查对应的,MP-BGP,配置是否正确。,dis bgp peer,BGP local router ID:1.1.1.1,Local AS number:100,Total number of peers:1 Peers in established state:1,Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv,1.1.1.2 4 100 3 2 0 00:00:10 Established 0,dis bgp vpnv4 all peer,BGP local router ID:1.1.1.1,Local AS number:37937,Total number of peers:1 Peers in established state:1,Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv,1.1.1.2 4 100 3 2 0 00:00:18 Established 0,PE1,:,排查,MP-BGP,私网路由传递故障(续),检查,PE,是否学习到远端用户的私网路由;,在,PE,上检查是否学习到本地,CE,及用户的路由信息;,PE,之间建立起,MP-BGP,邻居后具备了互相传递私网路由的能力;,但此时需要将本地的私网路由引入,BGP,,,BGP,才能将这些引入的路由传递给对端,结果可以在,PE,上检查到对端用户的私网路由。,dis ip routing-table vpn-instance vpn1,Routing Tables:vpn1,Destinations:7 Routes:7,Destination/Mask Proto Pre Cost NextHop Interface,192.168.1.0/30 Direct 0 0 192.168.1.1 Ethernet1/0/0,192.168.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.1.3/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.2.0/30 BGP 255 0 59.0.0.2 Ethernet1/0/2,192.168.254.1/32 OSPF 10 2 192.168.1.2 Ethernet1/0/0,192.168.255.1/32 BGP 255 3 59.0.0.2 Ethernet1/0/2,255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopBack0,PE1,:,排查,MP-BGP,私网路由传递故障(续),检查,CE,是否学习到远端用户的私网路由;,PE,通过,BGP,学习到远端用户的私网路由后,需要将该,BGP,路由引入到,PE,与,CE,之间的路由协议,,CE,才能学习到远端用户的私网路由;,以,CE1,为例,可以查看到用户,3,的路由信息:,dis ip routing-table,Routing Table:public net,Destination/Mask Protocol Pre Cost Nexthop Interface,127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0,127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0,192.168.1.0/30 DIRECT 0 0 192.168.1.2 Ethernet0/0,192.168.1.2/32 DIRECT 0 0 127.0.0.1 InLoopBack0,192.168.2.0/30 O_ASE 150 1 192.168.1.1 Ethernet0/0,192.168.254.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0,192.168.255.1/32 OSPF 10 4 192.168.1.1 Ethernet0/0,CE1,:,掌握,BGP MPLS VPN,的配置和故障排查思路,熟悉,BGP MPLS VPN,的配置步骤,了解,BGP MPLS VPN,的故障排查步骤,本章总结,
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服