H3C调度数据网综合项目MPLS-VPN配置模板.doc

H3C 三层MPLS-VPN模板 1 实验环境： 1.1实行目： 随着公司近年调度数据网项目增多，为了使项目做到统一规范、合理化。因此建立本次实验，此实验中配备作为后来调度数据网项目配备模板和学习资料（供新手参照）。 1.2 设备模仿场景： 角色 R/S/pc 设备型号 设备SYSNAME 核心层 R H3C SR6608 Jieru_R1 汇聚层 R H3C SR6608 Huiju_R2 汇聚层 R H3C SR6608 Huiju_R3 接入层 R H3C SR3040 Jieru_R4 接入层 R H3C SR3040 Jieru_R5 省局核心层 R H3C SR3040 Shengju_R 核心层 S H3C S3100 Hexin_S 接入层 S H3C S3100 Jieru_S 核心层 PC2 模仿核心层业务主机 接入层 PC1 模仿接入层业务主机 2 网络规划： 2.1 拓扑图： 2.2 网络构造： 2.2.1管理地址 采用Loopback地址，采用32位子网掩码。统一使用Loopback 1 接口 2.2.2互联地址： 使用网段非PE-CE地址192.168.1.0/24，PE-CE地址192.168.2.0/24。互联地址采用30位子网掩码。 2.2.3 OSPF： 2.2.3.1进程号： 进程号：1 2.2.3.2区域号： 核心层和汇聚层之间，汇聚和汇聚层之间区域号AREA 0。 接入层和接入层之间，接入层和汇聚层之间区域号AREA 1。 2.2.3.3 route-id： loopback 1 地址 2.2.4 BGP： 2.2.4.1 AS编号: 县调AS号：100 市调AS号：200 2.2.4.1 路由反射器（RR）： 采用二级BGP反射器。（核心层为一级BGP反射器，汇聚层为二级BGP反射器）， client server Jieru_R4 ，Jieru_R5 Huiju_R2，huiju_R3 Huiju_R2，huiju_R3 Hexin_R1 2.2.4.2 单跳M-BGP： 跨域MPLS-vpn互连采用单跳M-BGP方式，通过E-BGP发布AS系统业务聚合路由到市调骨干，同步市调骨干发布其她AS业务聚合路由到接入网络 1.2.5 MPLS-VPN： 2.2.5.1 LSR-ID： loopback 1 地址 2.2.5.2 县调VRF命名及IP地址： VPN命名 VLAN号 地址段 vpn-rt 10 172.16.1.0/24 vpn-nrt 20 172.16.2.0/24 vpn-e 30 172.16.3.0/24 2.2.5.3 RD和RT： 县调 市调 VPN命名 RD RT(both) VPN命名 RD RT(both) vpn-rt 1：100 vpn-rt 2：200 vpn-nrt 1：101 vpn-nrt 2：201 vpn-e 1：102 vpn-e 2：202 2.2.5.4 单调M-EBGP： 各业务地址只发汇总地址到省局。并把县调RT属性变更市调RT属性 2.2.6 互换机VLAN： 编号 vlan 接口 vpn-rt 10 1-8 vpn-nrt 20 9-16 vpn-e 30 17-23或24 trunk 24或25 2.3 ip地址规划： 2.3.1 互联地址： 设备名称 端口 Ip地址 TO Hexin_R1 Loopback 1 1.1.1.1/32 — G3/0/1 192.168.1.1/30 Huij_R2 G3/0/1 G3/0/0 192.168.1.5/30 Huij_R3 G3/0/0 G4/0/0.100 192.168.2.1/30 Hexin_S G1/0/25 G5/0/1 10.1.1.2/30 Shengju_R G0/0 Huiju_R2 Loopback 1 2.2.2.2/32 — G3/0/1 192.168.1.2/30 Hexin_R1 G3/0/1 G3/0/0 192.168.1.9/30 Huiju_R3 G3/0/1 G4/0/0 192.168.1.13/30 Jieru_R4 G0/0 Huiju_R3 Loopback 1 3.3.3.3/32 — G3/0/0 192.168.1.6/30 Hexin_R1 G3/0/0 G3/0/1 192.168.1.10/30 Huiju_R2 G3/0/0 Route-agg 1 (G4/0/0,G4/0/1) 192.168.1.17/30 Jieru_R5 G0/0 Jiru_R4 Loopback 1 4.4.4.4/32 — G0/0 192.168.1.14/30 Huij_R2 G4/0/0 E2/0 192.168.1.21/30 Jiru_R5 E2/0 E4/0.100 192.168.2.5/32 Jiru-S E1/0/24 Jiru_R5 Loopback 1 5.5.5.5/32 — G0/0 192.168.1.18/30 Huiju_R3 Route-agg 1 (G4/0/0,G4/0/1) E2/0 192.168.1.22/30 Juru_R4 E2/0 Shengju_R G0/0 10.1.1.2/30 Hexin_R G4/0/1 Hexin_S G1/0/25(vlan 100) 192.168.2.2/30 Hexin_R G4/0/0 Jieru_S E1/0/24(vlan 100) 192.168.2.6/30 Jieru_R E4/0 2.3.1 业务地址： 角色 VPN实例 Vlan 号 网关IP地址 接入层PE vpn-rt 10 172.16.1.126/25 vpn-nrt 20 172.16.2.126/25 vpn-e 30 172.16.3.126/25 核心层PE vpn-rt 10 172.16.1.254/25 vpn-nrt 20 172.16.2.254/25 vpn-e 30 172.16.3.254/25 3 县调设备配备环节：（hexin_R1为例） 3.1 第一步telnet建立：（重要） Ps:站和站之间往往距离很远，建立TELNET通过远程调试达到节约人力目。 3.1.1 配备及注释： telnet server enable */ 必要写，要不telent不能使用 # super password level 3 simple admin */ enable密码 # local-user admin */定义顾客名密码 password simple admin service-type telnet user-interface vty 0 4 authentication-mode scheme */ 写此命令。Telnet时采用username password 登录方式 3.1.2 测试正常状态： 3.2 第二步OSPF建立： Ps:作为公网路由，作用有二： a.是背面建立BGP、MPLS-VPN基本 。 b.连网管理地址可以TELENT远程登录进行管理 3.2.1 配备及注释： interface GigabitEthernet3/0/0 port link-mode route description To-R2 ip address 192.168.1.5 255.255.255.252 # interface GigabitEthernet3/0/1 port link-mode route description To-R3 ip address 192.168.1.1 255.255.255.252 # interface GigabitEthernet4/0/0.100 description PE-CE vlan-type dot1q vid 100 */封装为vlan 100 单臂路由，接互换机TRUNK接口 ip address 192.168.2.1 255.255.255.252 # ospf 1 router-id 1.1.1.1 */建立OSPF路由合同（公网路由），作为建立BGP 基本， area 0.0.0.0 network 1.1.1.1 0.0.0.0 */宣布loopback地址 network 192.168.1.5 0.0.0.0 */ 宣布和R3互联地址 network 192.168.1.1 0.0.0.0 */ 宣布和R2互联地址 network 192.168.2.1 0.0.0.0 */ 宣布PE-CE互联地址 3.2.2 测试正常状态： 3.2.2.1 查看接口信息：dis ip int brief 3.2.2.2 查看OSPF邻居关系：dis ospf peer 状态为FULL邻居正常 3.2.2.3 查看路由表：dis ip rout 查看公网路由是不是都学到 3.3 第三步BGP建立： PS:BGP通过IGP建立，OSPF跑是公网路由。这里BGP作用是在VPN IPV4私网中激活邻居，承载私网路由 3.3.1 配备及注释： bgp 100 undo synchronization */ 关闭同步 group haha internal */ 建立 BGP对等体组，internal参数加上后，表达这个对等体组内邻居为ibgp peer haha connect-interface LoopBack1 */ 以loopback 1 接口作为更新源。靠环回接口建立BGP邻居，好处是环回口不会受物理口限制会DOWN掉而失去邻居。 peer 2.2.2.2 group haha */ 将邻居加入对等体组 peer 3.3.3.3 group haha # ipv4-family vpnv4 */ 进入vpn IPv4私网 peer 2.2.2.2 enable */ 激活邻居，必写，这样邻居才干在vpn ipv4 私网中正常通信 peer 2.2.2.2 advertise-community */ 向邻居发送团里属性，就是向邻居发送RT属性 peer 2.2.2.2 reflect-client */加入邻居为客户端，表达此路由器为路由反射器（RR），只需加此一条命令即可成为RR。此命令普通用于全互联网络 peer 3.3.3.3 enable peer 3.3.3.3 advertise-community peer 3.3.3.3 reflect-client peer 10.1.1.2 enable peer haha enable peer haha reflect-client */ 对haha对等体组 添加属性 # 3.2.2 测试正常状态： 3.2.2.1 查看BGP邻居状态： dis bgp peer 状态为established(建立)，正常。 3.2.2.2查看VPN IPV4私网路由表：dis bgp vpnv4 all routing-table 注意：这里只能看到收到路由，能不能通信要看与否有相应VPN实例 从RD中看1：100 192.16.1.0/25是从4.4.4.4这个邻居学到。 2：200 10.10.10.10/32是从ebgp邻居10.1.1.2学来（往后看）。上 路由收到了，但并没有放到路由表中，因此PING不通。 3.4 第四步MPLS-VPN建立： 3.4.1 配备及注释： 3.4.1.1 建立VRF属性： ip vpn-instance vpn-rt */ 建立VPN实例，不同设备相似VPN实例才干通信 route-distinguisher 1:100 */ RD路由区别符，区别路由， vpn-target 1:100 export-extcommunity vpn-target 1:100 import-extcommunity */ rt 路由对象。本设备出1:100，别设备是入1:100 对方才干收到本路由路由进行通讯，相反别人出2：200，本设备要写成入2:200才干收到对方设备路由。 3.4.1.2 启用MPLS： 3.4.1.2.1 全局下启动MPLS合同： mpls lsr-id 1.1.1.1 */ 不写。全局下MPLS不能启用， Mpls */ 全局下启MPLS合同# mpls ldp */ 启用MPLS LDP 3.4.1.2.2 在互联接口启动MPLS： interface GigabitEthernet3/0/0 mpls mpls ldp */端口下启用MPLS 和MPLS LDP后，进行标签转发 interface GigabitEthernet3/0/1 mpls mpls ldp 3.4.1.2.3 把接口分派到相应VPN中： interface G4/0.1 vlan-type dot1q vid 10 ip binding vpn-instance vpn-rt */ 把此接口加入VPN实例中，注意敲完此命令，接口IP要重新设立 ip address 172.16.1.254 255.255.255.128 3.4.1.2.4 在BGP中建立vpn实例： bgp 100 ipv4-family vpn-instance vpn-rt */ 进入VPN实例 import-route direct */  重分布直连把属于直连并且是属于有关VPN实例中接口发布进来 3.4.2 测试正常状态： 3.4.2.1 查看mpls 邻居：dis mpls ldp peer 3.4.2.2 查看VPN实例路由表：dis ip routing-table vpn-instance vpn-rt 3.4.2.3 测试PE之间VPN实例中路由与否通： ping –a 源地址 –vpnstance VPN实例号 目的地址 3.4.2.4 如果vpn路由表里有目路由查不能PING通： a.查看是不是只有去方向路由，没有回方向路由 b.MPLS是不是没建好，没看到mpls 邻居 3.4.2.5 查看路由各种属性： a. dis bgp vpnv4 all routing-table 10.10.10.10 From： 从哪个邻居来，0.0.0.0 表达本路由器发出 Ext-community： 本路由携带RT属性，如果符合本RT收属性则放入相相应VPN路由表 AS-PATH： 通过as200过来 Origin： 这个路来源自哪 i>e>? 3.4 通过以上四步一种PE路由器建立完毕。配备对的话。县调（同一AS）两个PE路由VPN可以进行通讯了。一种县调基本建立完了。可以进配备优化工作 了。 3.5 第五部 跨域MPLS-vpn互连采用单跳M-BGP方式，通过E-BGP发布AS系统业务聚合路由到省调。 interface GigabitEthernet5/0/1 port link-mode route ip address 10.1.1.1 255.255.255.0 mpls mpls ldp ip vpn-instance vpn-rt route-distinguisher 1:100 vpn-target 2:200 import-extcommunity */这里只收省调发过来RT属性，不发省局RT属性是避免因此路由（明细路由）都发到省局 Bgp 100 peer 10.1.1.2 as-number 200 */建立EBGP邻居 peer 2.2.2.2 next-hop-local */ EBGP邻居会把学来路由原封不动发给IBGP邻居，但事实上IBGP邻居不能直接到达目的路由，要加next-hop-local 属性，表达要通过本跳才干达到目的。算是搭个桥。 peer 3.3.3.3 next-hop-local # ipv4-family vpnv4 peer 10.1.1.2 enable peer 10.1.1.2 route-policy haha export */名称为haha路由映射，发给邻居 peer 10.1.1.2 advertise-community # ipv4-family vpn-instance vpn-rt */ 进入VPN实例 network 172.16.0.0 */路由表中已有了路由了，才可以宣布成功 import-route direct */  重分布直连把属于直连并且是属于VPN实便中接口发布进来 # ip route-static vpn-instance vpn-rt 172.16.0.0 255.255.0.0 NULL0 */此条目作用。此地址为业务地址汇总路由，BGP中规定宣布网络在自己路由表中一定要有。因此要写一路指向空接口静态发给省局，（指向空接口路由不会消失）由于是业务地址因此是在VPN中，因此要加上vpn-intstance VPN名称。 # ip ip-prefix haha index 10 permit 172.16.0.0 16 less-equal 22 */ 前缀列表。抓172.16.0.0/16-22位路由，（精准路由） # route-policy haha permit node 10 */建立 路由映射 haha if-match ip-prefix haha */ 匹配 前缀列表 haha apply extcommunity rt 2:200 */ 改为发出RT属性为2:200，此实验环境中用于发给省局路由，2：200为省局RT倒入属性，此目为是只给省局发送汇总路由。 # 3.5 其他命令： Bgp 100 timer keepalive 10 hold 30 */ 更改存活时间， 使BGP收敛更快。 Bgp 100 ipv4-family vpnv4 undo policy vpn-target */ 关闭路由过滤，表达只要是发给此路由器路由都收接不作过滤，如果此路由没有有关VPN RT导入属性，成果只能看到路由而不能通讯，由于不符合有关VPN属性，就不能把路由放到相应VPN路由表中，只有放在相应VPN路由表中，相似VPN路由表路由才也许通。 尚有一种作用把由传递给邻居，看邻居有无相应VPN属性，普通用于RR。合用于单跳M-EBGP中。通dis bgp vpnv4 all rout 查看路由。 4 设备配备清单： 见附件中配备清单 5 网络可靠性测试： 5.1 测试正常拓扑： 5.2 测试不正常拓扑： 5.3测试不正常拓扑：