H3C调度数据网项目MPLS-VPN配置模板【带拓扑图和详细配置】.docx

1、H3C 三层MPLS-VPN模板 1 实验环境： 1.1实施目的： 随着公司近年调度数据网的项目增多，为了使项目做到统一的规范、合理化。所以建立此次的试验，此试验中的配置作为以后调度数据网项目的配置模板和学习资料（供新手参考）。 1.2 设备模拟场景： 角色 R/S/pc 设备型号 设备SYSNAME 核心层 R H3C SR6608 Jieru_R1 汇聚层 R H3C SR6608 Huiju_R2 汇聚层 R H3C SR6608 Huiju_R3 接入层 R H3C SR3040 Jieru_R4 接入层 R H3

2、C SR3040 Jieru_R5 省局核心层 R H3C SR3040 Shengju_R 核心层 S H3C S3100 Hexin_S 接入层 S H3C S3100 Jieru_S 核心层 PC2 模拟核心层业务主机 接入层 PC1 模拟接入层业务主机 2 网络规划： 2.1 拓扑图： 2.2 网络结构： 2.2.1管理地址 采用Loopback地址，采用32位子网掩码。统一使用Loopback 1 接口 2.2.2互联地址： 使用网段非PE-CE地址192.168.

3、1.0/24，PE-CE地址192.168.2.0/24。互联地址采用30位子网掩码。 2.2.3 OSPF： 2.2.3.1进程号： 进程号：1 2.2.3.2区域号： 核心层和汇聚层之间，汇聚和汇聚层之间区域号AREA 0。 接入层和接入层之间，接入层和汇聚层之间区域号AREA 1。 2.2.3.3 route-id: loopback 1 地址 2.2.4 BGP： 2.2.4.1 AS编号: 县调AS号：100 市调AS号：200 2.2.4.1 路由反射器（RR）： 采用二级BGP反射器。（核心层为一级BGP反射器，汇聚层为二级BGP反射器

4、 client server Jieru_R4 ，Jieru_R5 Huiju_R2，huiju_R3 Huiju_R2，huiju_R3 Hexin_R1 2.2.4.2 单跳M-BGP： 跨域MPLS-vpn互连采用单跳M-BGP方式，通过E-BGP发布AS系统业务聚合路由到市调骨干，同时市调骨干发布其他AS业务聚合路由到接入网络 1.2.5 MPLS-VPN： 2.2.5.1 LSR-ID: loopback 1 地址 2.2.5.2 县调VRF命名及IP地址: VPN命名 VLAN号 地址段 vpn-rt 10

5、 172.16.1.0/24 vpn-nrt 20 172.16.2.0/24 vpn-e 30 172.16.3.0/24 2.2.5.3 RD和RT： 县调 市调 VPN命名 RD RT(both) VPN命名 RD RT(both) vpn-rt 1：100 vpn-rt 2：200 vpn-nrt 1：101 vpn-nrt 2：201 vpn-e 1：102 vpn-e 2：202 2.2.5.4 单调M-EBGP： 各业务地址只发汇总地址到省局。并把县调RT属性变更市调的RT属性 2.2.6 交换机VLAN：

6、 编号 vlan 接口 vpn-rt 10 1-8 vpn-nrt 20 9-16 vpn-e 30 17-23或24 trunk 24或25 2.3 ip地址规划： 2.3.1 互联地址： 设备名称 端口 Ip地址 TO Hexin_R1 Loopback 1 1.1.1.1/32 — G3/0/1 192.168.1.1/30 Huij_R2 G3/0/1 G3/0/0 192.168.1.5/30 Huij_R3 G3/0/0 G4/0/0.100 192.168.2.1/30 Hexin_S G1/0/25

7、 G5/0/1 10.1.1.2/30 Shengju_R G0/0 Huiju_R2 Loopback 1 2.2.2.2/32 — G3/0/1 192.168.1.2/30 Hexin_R1 G3/0/1 G3/0/0 192.168.1.9/30 Huiju_R3 G3/0/1 G4/0/0 192.168.1.13/30 Jieru_R4 G0/0 Huiju_R3 Loopback 1 3.3.3.3/32 — G3/0/0 192.168.1.6/30 Hexin_R1 G3/0/0 G3/0/1 192.168.1.10

8、/30 Huiju_R2 G3/0/0 Route-agg 1 (G4/0/0,G4/0/1) 192.168.1.17/30 Jieru_R5 G0/0 Jiru_R4 Loopback 1 4.4.4.4/32 — G0/0 192.168.1.14/30 Huij_R2 G4/0/0 E2/0 192.168.1.21/30 Jiru_R5 E2/0 E4/0.100 192.168.2.5/32 Jiru-S E1/0/24 Jiru_R5 Loopback 1 5.5.5.5/32 — G0/0 192.168.1.18/30

9、 Huiju_R3 Route-agg 1 (G4/0/0,G4/0/1) E2/0 192.168.1.22/30 Juru_R4 E2/0 Shengju_R G0/0 10.1.1.2/30 Hexin_R G4/0/1 Hexin_S G1/0/25(vlan 100) 192.168.2.2/30 Hexin_R G4/0/0 Jieru_S E1/0/24(vlan 100) 192.168.2.6/30 Jieru_R E4/0 2.3.1 业务地址： 角色 VPN实例 Vlan 号 网关IP地址 接入层PE vpn

10、rt 10 172.16.1.126/25 vpn-nrt 20 172.16.2.126/25 vpn-e 30 172.16.3.126/25 核心层PE vpn-rt 10 172.16.1.254/25 vpn-nrt 20 172.16.2.254/25 vpn-e 30 172.16.3.254/25 3 县调设备配置步骤：（hexin_R1为例） 3.1 第一步telnet建立：（重要） Ps:站和站之间往往距离很远，建立的TELNET通过远程调试达到节省人力的目的。 3.1.1 配置及注释： tel

11、net server enable */ 必须写，要不telent不能使用 # super password level 3 simple admin */ enable密码 # local-user admin */定义用户名密码 password simple admin service-type telnet user-interface vty 0 4 authentication-mode scheme

12、/ 写此命令。Telnet时采用username password 的登录方式 3.1.2 测试正常状态： 3.2 第二步OSPF建立： Ps:作为公网路由，作用有二： a.是后面建立BGP、MPLS-VPN的基础 。 b.连网管理地址可以TELENT远程登录进行管理 3.2.1 配置及注释： interface GigabitEthernet3/0/0 port link-mode route description To-R2 ip address 192.168.1.5 255.255.255.252 # i

13、nterface GigabitEthernet3/0/1 port link-mode route description To-R3 ip address 192.168.1.1 255.255.255.252 # interface GigabitEthernet4/0/0.100 description PE-CE vlan-type dot1q vid 100 */封装为vlan 100 单臂路由，接交换机TRUNK接口 ip address 192.168.2.1 255.255.255.252 # osp

14、f 1 router-id 1.1.1.1 */建立OSPF路由协议（公网路由），作为建立BGP 的基础， area 0.0.0.0 network 1.1.1.1 0.0.0.0 */宣告loopback地址 network 192.168.1.5 0.0.0.0 */ 宣告和R3的互联地址 network 192.168.1.1 0.0.0.0 */ 宣告和R2的互联地址 network 192.168.2.1 0.

15、0.0.0 */ 宣告PE-CE互联地址 3.2.2 测试正常状态： 3.2.2.1 查看接口信息：dis ip int brief 3.2.2.2 查看OSPF邻居关系: dis ospf peer 状态为FULL邻居正常 3.2.2.3 查看路由表：dis ip rout 查看公网路由是不是都学到 3.3 第三步BGP的建立： PS:BGP通过IGP建立，OSPF跑的是公网路由。这里BGP的作用是在VPN IPV4私网中激活邻居，承载私网路由 3.3.1 配置及注释： bgp 10

16、0 undo synchronization */ 关闭同步 group haha internal */ 建立 BGP对等体组，internal参数加上后，表示这个对等体组内的邻居为ibgp peer haha connect-interface LoopBack1 */ 以loopback 1 接口作为更新源。靠环回接口建立BGP邻居，好处是环回口不会受物理口的限制会DOWN掉而失去邻居。 peer 2.2.2.2 group ha

17、ha */ 将邻居加入对等体组 peer 3.3.3.3 group haha # ipv4-family vpnv4 */ 进入vpn IPv4的私网 peer 2.2.2.2 enable */ 激活邻居，必写，这样邻居才能在vpn ipv4 私网中正常通信 peer 2.2.2.2 advertise-community */ 向邻居发送团里属性，就是向邻居发送RT属性 peer 2.2.2.

18、2 reflect-client */加入邻居为客户端，表示此路由器为路由反射器（RR），只需加此一条命令即可成为RR。此命令一般用于全互联网络 peer 3.3.3.3 enable peer 3.3.3.3 advertise-community peer 3.3.3.3 reflect-client peer 10.1.1.2 enable peer haha enable peer haha reflect-client */ 对haha对等体组 添加属性 #

19、 3.2.2 测试正常状态： 3.2.2.1 查看BGP邻居状态： dis bgp peer 状态为established(建立)，正常。 3.2.2.2查看VPN IPV4私网路由表：dis bgp vpnv4 all routing-table 注意：这里只能看到收到的路由，能不能通信要看是否有相应的VPN实例 从RD中看1：100 192.16.1.0/25是从4.4.4.4这个邻居学到的。 2：200 10.10.10.10/32是从ebgp邻居10.1.1.2学来的（往后看）。上 路由收到了，但并没有

20、放到路由表中，所以PING不通。 3.4 第四步MPLS-VPN的建立： 3.4.1 配置及注释： 3.4.1.1 建立VRF属性： ip vpn-instance vpn-rt */ 建立VPN实例，不同的设备相同的VPN实例才能通信 route-distinguisher 1:100 */ RD路由区分符，区分路由， vpn-target 1:100 export-extcommunity vpn-target 1:100 import-extcommuni

21、ty */ rt 路由对象。本设备出1:100，别的设备是入1:100 对方才能收到本路由的路由进行通讯，相反别人出2：200，本设备要写成入2:200才能收到对方设备的路由。 3.4.1.2 启用MPLS： 3.4.1.2.1 全局下启动MPLS协议： mpls lsr-id 1.1.1.1 */ 不写。全局下MPLS不能启用， Mpls */ 全局下启MPLS协议# mpls ldp

22、 */ 启用MPLS LDP 3.4.1.2.2 在互联接口启动MPLS： interface GigabitEthernet3/0/0 mpls mpls ldp */端口下启用MPLS 和MPLS LDP后，进行标签转发 interface GigabitEthernet3/0/1 mpls mpls ldp 3.4.1.2.3 把接口分配到相应的VPN中：

23、 interface G4/0.1 vlan-type dot1q vid 10 ip binding vpn-instance vpn-rt */ 把此接口加入VPN实例中，注意敲完此命令，接口IP要重新设置 ip address 172.16.1.254 255.255.255.128 3.4.1.2.4 在BGP中建立vpn实例： bgp 100 ipv4-family vpn-instance vpn-rt */ 进入VPN实例 import-route direct

24、 */  重分布直连把属于直连并且是属于相关VPN实例中的接口发布进来 3.4.2 测试正常状态： 3.4.2.1 查看mpls 邻居：dis mpls ldp peer 3.4.2.2 查看VPN实例路由表：dis ip routing-table vpn-instance vpn-rt 3.4.2.3 测试PE之间的VPN实例中的路由是否通： ping –a 源地址 –vpnstance VPN实例号 目标地址 3.4.2.4 如果vpn路由表里有目的路由查不能PING通： a.查看是不是只有去的方向的路由，没

25、有回的方向的路由 b.MPLS是不是没建好，没看到mpls 邻居 3.4.2.5 查看路由的各种属性： a. dis bgp vpnv4 all routing-table 10.10.10.10 From: 从哪个邻居来，0.0.0.0 表示本路由器发出的 Ext-community: 本路由携带的RT属性，如果符合本RT收的属性则放入相对应的VPN路由表 AS-PATH: 经过as200过来的 Origin: 这个路起源自哪 i>e>? 3.4 通过以上四步一个PE路由器建立完成。配置正确的话。县调（同一AS）两个PE路由VPN可以进行通讯了

26、一个县调基础建立完了。可以进配置优化工作 了。 3.5 第五部 跨域MPLS-vpn互连采用单跳M-BGP方式，通过E-BGP发布AS系统业务聚合路由到省调。 interface GigabitEthernet5/0/1 port link-mode route ip address 10.1.1.1 255.255.255.0 mpls mpls ldp ip vpn-instance vpn-rt route-distinguisher 1:100 vpn-target 2:200 import-extc

27、ommunity */这里只收省调的发过来的RT属性，不发省局RT属性是避免所以路由（明细路由）都发到省局 Bgp 100 peer 10.1.1.2 as-number 200 */建立EBGP邻居 peer 2.2.2.2 next-hop-local */ EBGP邻居会把学来的路由原封不动发给IBGP邻居，但实际上IBGP邻居不能直接到达目标路由，要加next-hop-local 属性，表示要经过本跳才能达到目标。算是搭个桥。 peer 3.3.3.3 next-hop-local #

28、 ipv4-family vpnv4 peer 10.1.1.2 enable peer 10.1.1.2 route-policy haha export */名称为haha的路由映射，发给邻居 peer 10.1.1.2 advertise-community # ipv4-family vpn-instance vpn-rt */ 进入VPN实例 network 172.16.0.0 */路由表中已经有了路由了，才可以宣告成功 import-route direc

29、t */  重分布直连把属于直连并且是属于VPN实便中的接口发布进来 # ip route-static vpn-instance vpn-rt 172.16.0.0 255.255.0.0 NULL0 */此条目的作用。此地址为业务地址的汇总路由，BGP中要求宣告的网络在自己的路由表中一定要有。所以要写一路指向空接口的静态发给省局，（指向空接口的路由不会消失）因为是业务地址所以是在VPN中，所以要加上vpn-intstance VPN名称。 # ip ip-prefix haha index 10 permit 172.

30、16.0.0 16 less-equal 22 */ 前缀列表。抓172.16.0.0/16-22位的路由，（精确路由） # route-policy haha permit node 10 */建立 路由映射 haha if-match ip-prefix haha */ 匹配 前缀列表 haha apply extcommunity rt 2:200 */ 改为发出的RT属性为2:200，此实验环境中用于发给省局的路由，2：200为省局的RT倒入属性，此目的为的是只给省局

31、发送汇总路由。 # 3.5 其它命令： Bgp 100 timer keepalive 10 hold 30 */ 更改存活时间， 使BGP收敛更快。 Bgp 100 ipv4-family vpnv4 undo policy vpn-target */ 关闭路由过滤，表示只要是发给此路由器的路由都收接不作过滤，如果此路由没有相关VPN RT导入属性，结果只能看到路由而不能通讯，因为不符合相关的VPN的属性，就不能把路由放到相应的VPN路由表中，只有放在相应的VPN路由表中，相同VPN路由表的路由才可能通。 还有一个作用把由传递给邻居，看邻居有没有相应的VPN属性，一般用于RR。适用于单跳M-EBGP中。通dis bgp vpnv4 all rout 查看路由。 4 设备配置清单： 见附件中配置清单 5 网络可靠性测试： 5.1 测试正常拓扑： 5.2 测试不正常拓扑： 5.3测试不正常拓扑：