网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1991|回复: 0

基本域间(Inter-AS)MPLS/VPN服务

[复制链接]
发表于 2007-8-27 22:00:43 | 显示全部楼层 |阅读模式
一个大型的企业网络(customer A)已经在两个服务提供商(SP Left和SP Right)中铺设了连接他们的VPN站点的MPLS VPN服务,见下图:

虽然客户能够通过在不同的服务提供商之间的一条站点间专线(Inter-Site)建立VPN站点间的连接,但是客户希望能够通过一条运营商之间的链路把两个独立的VPN连接起来,从而避免站点间的流量在站点内部传输。

本练习中,你将使用一个优化客户A所有站点之间连接性能的域间MPLS VPN的设计来连接两个MPLS/VPN骨干;同时你需要在服务提供商之间相互映射路由目标和路由区分符,使用一个不相兼容的地址架构。
作为过渡到铺设成熟的域间服务的临时过渡方案,你需要先建立一条VRF链路来连接两个MPLS/VPN骨干网;每个骨干将被另外一个骨干看作一个巨大的客户站点,见下图。由于ASBR-L和ASBR-R之间只有一条物理链路,你需要把这条VRF链路配置在连接AS边界路由器之间的隧道接口上




临时过渡方案铺设完毕,并且所有的客户站点已经能够成功连接以后,你需要铺设最终的域间MPLS/VPN解决方案,在AS边界路由器之间通过多协议EBGP交换VPN路由,见下图








以下是实验过程中可能使用到的命令:
address-family ipv4 vrf name ----- 选择在路由协议内为每个VRF进程配置
address-family vpnv4 ----- 在BGP路由进程选择VPNv4地址族配置
clear ip bgp *|ip-address ----- 重置BGP会话
clear ip bgp *|ip-address soft in ----- 请求从BGP邻居重新获得BGP路由更新
interface Tunnel x ----- 创建一个隧道接口
tunnel destination ip-address ----- 指定隧道接口所使用的传输目标的IP地址
tunnel source ip-address ----- 指定隧道接口所使用的传输源的IP地址
ip vrf forwarding name ----- 把一个接口绑定到某个VRF上面
ip vrf name ----- 创建一个虚拟路由/转发表(VRF)
ping vrf name host ----- 通过查询某个VRF检验主机的可达性
rd value ----- 为VRF分配路由区分符(RD)
address-family ipv4 vrf name ----- 选择在路由协议内为每个VRF进程配置
address-family vpnv4 ----- 选择VPNv4地址族配置
ip vrf forwarding name ----- 把一个接口绑定到某个VRF上面
ip vrf name ----- 创建一个虚拟路由/转发表(VRF)
neighbor ip-address remote-as as-number ----- 配置一个BGP邻居
no auto-summary ----- 关闭在网络边缘的子网自动汇总
neighbor ip-address activate ----- 为指定的邻居激活在地址族下交换路由
neighbor ip-address routere-flector-client ----- 在路由反射器上配置一个路由反射器客户
neighbor ip-address next-hop-self ----- 对于指定的邻居修改BGP下一跳属性
no bgp default route-target filter ----- 关闭缺省的对于VPNv4路由的基于路由目标的过滤
ping vrf name host ----- 通过查询某个VRF检验主机的可达性
rd value ----- 为VRF分配路由区分符(RD)
route-map name permit seq ----- 创建一个route-map的条目
router bgp as-number ----- 选择BGP配置
route-target import|export value ----- 给一个VRF分配一个路由目标(Route Target)
show ip bgp vpnv4 vrf name ----- 显示某个指定邻居的VPNv4路由
show ip route vrf name ----- 显示某个特定VRF的IP路由表
show ip vrf detail ----- 显示VRF的详细内容
telnet host /vrf name  ----- Telnet到与特定VRF直连的CE路由器上
show ip bgp [ vpnv4 vrf name ] prefix  ----- 显示某个特定VRF的VPNv4路由

Inter-AS VRF Link

        在AS边缘路由器为Customer A配置一个VRF
        在AS边缘路由器上把VRF绑定到Tunnel接口上
        通过VRF建立BGP路由交换


实战一:配置VRF表
第一步:在ASBR-L上使用32:1作为RT和RD值,创建VRF表VPNA
第二步:在ASBR-R上使用31:1作为RT和RD值,创建VRF表VPNA

实战二: 配置VRF隧道接口
第三步:使用以下参数在AS边缘路由器创建隧道接口        :

Router        Tunnel source        Tunnel destination        Tunnel IP address
ASBR-L        192.168.1.2        192.168.1.1        150.31.255.2/30
ASBR-R        192.168.1.1        192.168.1.2        150.31.255.1/30

实战三: 配置交换VPN路由信息
第四步:在两个AS边缘路由器BGP的VRF VPNA内,在他们之间创建EGBP对话。使用分配给隧道接口的IP地址作为建立BGP对话的终点。        

检验——
        在两个ASBR路由器上检查VRF配置,包括路由区分符和路由目标
ASBR-L#show ip vrf detail
VRF VPNA; default RD 32:1; default VPNID <not set>
  Interfaces:
    Tunnel0                 
  Connected addresses are not in global routing table
  Export VPN route-target communities
    RT:32:1                 
  Import VPN route-target communities
    RT:32:1                 
  No import route-map
  No export route-map

ASBR-R#show ip vrf detail
VRF VPNA; default RD 31:1; default VPNID <not set>
  Interfaces:
    Tunnel0                 
  Connected addresses are not in global routing table
  Export VPN route-target communities
    RT:31:1                 
  Import VPN route-target communities
    RT:31:1                 
  No import route-map
  No export route-map

        在ASBR路由器上面检查隧道接口的状态;它应该正常工作,并且被分配到VRF VPNA

ASBR-L#show ip vrf interfaces
Interface              IP-Address      VRF                              Protocol
Tunnel0                150.31.255.2    VPNA                             up      

ASBR-R#show ip vrf interfaces
Interface              IP-Address      VRF                              Protocol
Tunnel0                150.31.255.1    VPNA                             up

        检查ASBR路由器之间的VRF BGP对话
ASBR-R#show ip bgp vpnv4 vrf VPNA summary
BGP router identifier 192.168.32.2, local AS number 32
BGP table version is 19, main routing table version 19
9 network entries and 9 paths using 1665 bytes of memory
6 BGP path attribute entries using 360 bytes of memory
1 BGP rrinfo entries using 24 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
1 BGP extended community entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP activity 11/4 prefixes, 11/0 paths, scan interval 15 secs

Neighbor      V  AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
150.31.255.1 4    31       8       8       19    0    0 00:02:08        5

        检查ASBR路由器上面的VRF VPNA路由表,它应该获得所有在VPNA的路由
ASBR-L#sho ip route vrf vpna
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS interarea
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

B    203.1.134.0 255.255.255.0 [20/0] via 150.31.255.1, 00:00:28
B    203.1.133.0 255.255.255.0 [20/0] via 150.31.255.1, 00:00:28
B    203.1.132.0 255.255.255.0 [200/1] via 192.168.32.1, 00:28:31
B    203.1.131.0 255.255.255.0 [200/1] via 192.168.32.3, 00:28:31
     203.1.127.0 255.255.255.255 is subnetted, 1 subnets
B       203.1.127.3 [20/0] via 150.31.255.1, 00:00:28
     150.1.0.0 255.255.255.252 is subnetted, 2 subnets
B       150.1.31.128 [20/0] via 150.31.255.1, 00:00:28
B       150.1.31.4 [20/0] via 150.31.255.1, 00:00:29
     150.2.0.0 255.255.255.252 is subnetted, 2 subnets
B       150.2.32.4 [200/0] via 192.168.32.3, 00:28:32
B       150.2.32.0 [200/0] via 192.168.32.1, 00:28:32
     150.31.0.0 255.255.255.252 is subnetted, 1 subnets
C       150.31.255.0 is directly connected, Tunnel0

        使用trace命令检查站点间的连通性
A1#trace a3

Type escape sequence to abort.
Tracing the route to A3 (203.1.133.1)

  1 150.2.32.5 33 msec 28 msec 28 msec
  2 150.31.255.2 [MPLS: Label 19 Exp 0] 116 msec 116 msec 112 msec
  3 150.1.31.5 [MPLS: Label 19 Exp 0] 241 msec 236 msec 240 msec
  4 150.1.31.6 193 msec *  152 msec

Inter-AS MPLS VPN Link
在实验的第二部分,你需要配置一个可扩展的MPLS/VPN的解决方案;我们需要通过激活穿越AS边界的MP-BGP会话实现,为了达到这个目标,你需要完成以下实战任务:
实战一:激活VPNv4 EBGP会话
第一步:ASBR-L和ASBR-R之间的EBGP会话已经被配置为交换两个网络的IPv4路由了。对于相同的EBGP会话,激活他们在VPNv4地址族的连接
实战二:关闭缺省的VPNv4路由过滤器
第二步:缺省情况下,所有路由器使用内置的MPLS VPN过滤器来过滤进入的VPNv4路由更新,除非它是一个路由反射器。这个缺省的过滤器需要在AS边缘路由器被关闭。
附加任务
第三步:两个MPLS VPN骨干网所反配的路由区分符和路由目标都是不同的。路由区分符的不匹配不会严重影响VPN的正常工作,但是路由目标的不匹配会影响PE路由器接收从另外一个MPLS VPN骨干网接收过来的VPNv4路由。需要在所有的PE路由器上修改VRF的定义,从而保证在任意一个AS产生的路由都会被另外一个AS的PE路由器所接收。
第四步:通过激活ASBR-L和ASBR-R之间的VPNv4 EBGP会话,VPNv4的BGP路由被注入彼此的自治系统中,此时,路由的下一跳是AS以外的地址。然而,两个AS都没有将域间网段通告到IGP中,造成路由的下一跳不可达。你需要在ASBR路由器上面使用next-hop-self参数,在VPNv4地址族内将下一跳修改为ASBR路由器的地址
注意:域间VRF链路没有显示出下一跳不可达的问题,在于ASBR是通过IPv4学习另外一个AS的VPN路由,而但一个VRF的BGP路由从IPv4转换为VPNv4转发的时候,该BGP路由的下一跳地址将自动转变为PE路由器的地址

检验——
        检查ASBR路由器上面的VPNv4 BGP会话,检验ASBR路由器通过EBGP VPNv4会话交换路由信息
ASBR-R#show ip bgp vpnv4 all summary
BGP router identifier 192.168.31.2, local AS number 31
BGP table version is 43, main routing table version 43
13 network entries and 17 paths using 2661 bytes of memory
7 BGP path attribute entries using 420 bytes of memory
1 BGP rrinfo entries using 24 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
2 BGP extended community entries using 48 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP activity 20/57 prefixes, 26/7 paths, scan interval 15 secs

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
150.31.255.2    4    32      23      23       43    0    0 00:17:23        4
192.168.1.2     4    32      89      89       43    0    0 00:05:10        4
192.168.31.1    4    31      80      83       43    0    0 00:59:31        5

        检查ASBR路由器上的MPLS接口状态,确认MPLS转发已经在域间链路上面正确运行
ASBR-L#  show mpls interfaces
Interface              IP            Tunnel   Operational
Serial0/0.102          No            No       Yes
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-14 06:41 , Processed in 0.109201 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表