发布时间:2021-09-14 13:04:48 作者:玉龙阅读:0
第一步:
配置ISP 100和ISP 200的IGP/LDP/MPLS协议
ISP 100和ISP 200的IGP协议使用OSPF
配置ISP 100和ISP 200的MPLS和MPLS LDP协议
第二步:
在PE(R1、R3、R4、R6)上配置VPN实例
R1-PE1和R6-PE2的VPN实例配置命令
[R1-PE1] ip vpn-instance hcie1
[R1-PE1-vpn-instance-hcie1] route-distinguisher 100:1
[R1-PE1-vpn-instance-hcie1-af-ipv4] vpn-target 100:1
IVT Assignment result:
Info: VPN-Target assignment is successful.
EVT Assignment result:
Info: VPN-Target assignment is successful.
-------------------------------------------------------
[R1-PE1] ip vpn-instance hcie2
[R1-PE1-vpn-instance-hcie2] route-distinguisher 200:2
[R1-PE1-vpn-instance-hcie2-af-ipv4] vpn-target 200:2
IVT Assignment result:
Info: VPN-Target assignment is successful.
EVT Assignment result:
Info: VPN-Target assignment is successful.
-------------------------------------------------------
[R1-PE1]int gi 0/0/2
[R1-PE1-GigabitEthernet0/0/2]ip binding vpn-instance hcie2
[R1-PE1-GigabitEthernet0/0/2]int gi 0/0/1
[R1-PE1-GigabitEthernet0/0/1]ip binding vpn-instance hcie1
按照教材,ASBR设备需要承载管理所有公司的VPNv4路由,为每个VPN创建VPN实例,当前环境有两个VPN,所以需要两条物理链路(分别绑定不同的VPN);
首先在R3-ASBR-PE1和R4-ASBR-PE2上配置VPN实例,和R1,R2相同,但是VPN实例不绑定接口;
R3-ASBR-PE1和R4-ASBR-PE2在这里使用子接口绑定不同的VPN实例
R3-ASBR-PE1配置命令
[R3-ASBR-PE1]int gi 0/0/1.1
[R3-ASBR-PE1-GigabitEthernet0/0/1.1]dot1q termination vid 10
[R3-ASBR-PE1-GigabitEthernet0/0/1.1]arp broadcast enable
[R3-ASBR-PE1-GigabitEthernet0/0/1.1]ip binding vpn-instance hcie1
[R3-ASBR-PE1]in gi 0/0/1.2
[R3-ASBR-PE1-GigabitEthernet0/0/1.2]ip binding vpn-instance hcie2
[R3-ASBR-PE1-GigabitEthernet0/0/1.2]dot1q termination vid 20
[R3-ASBR-PE1-GigabitEthernet0/0/1.2]arp broadcast enable
[R3-ASBR-PE1-GigabitEthernet0/0/1.2]ip add 10.1.43.3 24
R4-ASBR-PE2配置同理
配置完后ASBR VRF逻辑子接口直连网段测试是否连通
第三步:
PE之间的MP-BGP配置
第四步:
PE-CE之间的IGP配置
SiteA:R7-CE1的IGP配置
SiteC:R9-CE3的IGP配置
R1-PE1与R7-CE1的VPN实例IGP配置
R1-PE1与R9-CE3的VPN实例IGP配置
-------------------------------------------------------------------------------
SiteB:R8-CE2的IGP配置
SiteD:R10-CE4的IGP配置
R6-PE2与R8-CE2的VPN实例IGP配置
R6-PE2与R10-CE4的VPN实例IGP配置
第五步:
ASBR之间的子接口和IGP配置
配置R3和R4的子接口
在R3-ASBR-PE1的眼里,R4-ASBR-PE2是它的CE;而在R4-ASBR-PE2的,R3-ASBR-PE1是它的CE
在R3-ASBR-PE1和R4-ASBR-PE2之间要创建两个VPN实例的IGP OSPF,分别宣告对应逻辑子接口地址
第六步:路由引入(从左到右)
配置完左边PE-CE之间的OSPF后,在R1-PE1上将VRF的OSPF引入MP-BGP,使IPv4路由成为VPNv4路由传递给对端PE设备
配置完成后再R3-ASBR-PE1上查看状态
7.1.1.0/24和10.1.7.7/32对应的RD值为200:2,出向RT值也为200:2,R3根据RT值将出向RD值为200:2的7.1.1.0/24和10.1.7.7/32两条路由放入VPN实例hcie1内
但是在R4-ASBR-PE2上没有学习到关于R7和R9的IGP路由
R3-ASBR-PE1将MP-BGP学习到的路由引入R3和R4之间VPN实例的IGP中
注:ASBR-ASBR运行OSPF防环导致路由无法接收
在R4-ASBR-PE2查看OSPF LSDB数据库以及详细的LSA信息
查看学习到的5类LSA的详细信息,收到的OSPF路由都是Down bit置位
Domain Tag一共是4个字节,前两个字节固定为0XD000,后两个字节表示本端BGP AS号依旧为16bit格式,比如AS100就是0064。所以一个AS100得到的Tag值为0XD000 0064,十进制就是3489661028
在MPLS VPN中,5类LSA防环依靠Down bit和Domain Tag。由于两边AS不一致,导致Domain Tag防环失效。但是Down bit防住了,R3-ASBR-PE1从VRF OSPF收到的来自R4-ASBR-PE2的路由Down bit置位,所以只加入数据库,不进行计算
可以看到在VPN hcie1中并没有来自对端Site B的路由,所以此时需要把Down bit防环解除
解除Down bit的方式
第一种是R3将OSPF路由传出去的时候Down bit不要置位
第二种是R4在收到OSPF路由时不进行Down bit的检查
第三种是在OSPF视图下使用vpn-instance-capability simple命令
在MCE(Multi-VPN-Instance CE)设备上部署OSPF VPN多实例时,如果有Type3、Type5或Type7 LSA中设置DN Bit,就会导致这些路由无法计算,因为OSPF进行路由计算会进行防环路检测。这种情况下,通过配置vpn-instance-capability simple命令可以取消OSPF路由环路检测,不检查DN Bit和Route-tag而直接计算出所有OSPF路由,Route-tag恢复为缺省值1
此时使用第一种方法,R3将OSPF路由传出去的路由不设置Down-bit
重新在R4上查看五类LSA和VRF路由表,此时R4上收到来自R3的OSPF路由,Down-bit已经被关闭了,该路由也能正常接收到了
但是此时在AS200的MP-BGP环境内还没有学习到R7和R9的IGP路由,所以需要在R4的BGP对应VPN实例下引入R3-ASBR-PE1和R4-ASBR-PE2之间的IGP路由
在R6上就可以看到通过MP-BGP都学习到了由R1引入的OSPF路由
最后一步,在R6的VRF实例所对应的的IGP中引入MP-BGP的路由。到这里,在R8上就可以学习到关于R7的路由的路由
路由引入(从右到左)原理相同
第七步:实验测试
跨域MPLS VPN OptionA数据转发解释
AS 100和AS 200内部运行IGP、MPLS、LDP用于传递各自环回口路由的标签
R1、R3、R4、R6上又要配置相应的VPN实例,R3和R4配置VPN实例是用于接收相应VPN实例的VPNv4路由。因为ASBR设备需要承载管理所有公司的VPNv4路由,为每个VPN创建VPN实例
R1-PE1和R3-ASBR-PE2、R4-ASBR-PE3和R6-PE4建立MP-IBGP,和域内的MPLS VPN道理一致
R3-ASBR-PE2和R4-ASBR-PE3之间要建立VPN实例对应的IGP,并且在R3-ASBR-PE2和R4-ASBR-PE3之间要创建多个VPN实例的IGP OSPF(由于ASBR间是普通的IP转发,要求为每个跨域的VPN使用不同的接口或同一个接口的不同逻辑子接口),并分别宣告对应逻辑子接口地址
注:在R3-ASBR-PE2的眼里,R4-ASBR-PE3是它的CE;而在R4-ASBR-PE3的,R3-ASBR-PE2是它的CE
CE2发送一个目的地为1.1.1.1的IP报文给R6-PE4(普通IP转发)
R6-PE4收到IP报文,首先查找该VPN实例对应的FIB表,发现目的IP的Tunnel ID为非0,于是进行MPLS标签的封装,先打上对应的私网内层标签1028(由R4-ASBR-PE3通过MP-IBGP将该VPNv4路由传递给R6-PE4时分配的)
接着再迭代查询LFIB表去往该VPNv4路由下一跳R4-ASBR-PE3(10.1.4.4)的LSP标签作为外层公网标签1024(去往VPNv4路由下一跳10.1.4.4的LSP,由R5-P2通过LDP协议为其分配标签传递给R6-PE4),然后将此报文发送给R5-P2
R5-P2收到带标签报文后对照LFIB表进行标签交换,私网内层标签不变,把外层标签1024换成3(去往VPNv4路由下一跳10.1.4.4的LSP,由R4-ASBR-PE3通过LDP协议为其分配标签传给R5-P2),由于R5-P2为倒数第二跳,执行Pop弹出外层标签,然后将此报文发送给R4-ASBR-PE3
R4-ASBR-PE3收到后根据内层标签1028判断出该报文属于哪个VPN实例以及下一跳,并去掉私网内层标签1028,将报文(普通IP报文)转发给R3-ASBR-PE2
R3-ASBR-PE2收到IP报文。首先查找该VPN实例对应的FIB表,发现目的IP的Tunnel ID为非0,于是进行MPLS标签的封装,先封装私网内层标签1026(R1-PE1通过MP-BGP将该VPNv4路由传递给R3-ASBR-PE2时随机分配的)
接着再封装公网外层标签1024(去往VPNv4路由下一跳10.1.1.1的LSP,由R2-P1通过LDP协议为其分配标签传递给R3-ASBR-PE2),然后将此报文发送给R2-P1
R2-P1收到带标签报文后对照LFIB表进行标签交换,私网内层标签不变,把外层标签1024换成3(去往VPNv4路由下一跳10.1.1.1的LSP,由R1-PE1通过LDP协议为其分配标签传给R2-P1),由于R2-P1为倒数第二跳,执行Pop弹出外层标签,然后将此报文发送给R1-PE1
R1-PE1收到报文只有内层标签,查找LFIB表,由于内层标签就是R1-PE1设备为该VPNv4路由分配的,所以知道对应的VPN实例与下一跳,于是去掉内层标签,将报文(普通IP报文)转发给CE1
以上就是跨域MPLS VPN OptionA综合实验的介绍。
微云网络作为国内知名的云服务综合解决方案提供商,拥有包括MPLS专线、IPLC专线、云专线以及SD-WAN在内的多种产品,可为您提供专业、灵活、多样性的专线及SD-WAN组网解决方案。详询微云网络客服电话 400-028-9798。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
标题:跨域MPLS OptionA综合实验
TAG标签:MPLS VPN
地址:http://www.kd010.com/hyzs/297.html