配置BGP/MPLS IP VPN示例

简介: 本文介绍了通过配置MPLS VPN实现分部与总部之间的通信需求。具体要求为分部1和分部2只能与总部通信,而分部之间不能通信。配置思路包括使用BGP协议传递路由,并将各分部分别划分到不同的VPN实例中(VPN1、VPN2、VPN3),通过设置RD和Target属性确保路由隔离。操作步骤涵盖设备IP地址配置、MPLS域内互通、PE上的VPN实例配置、接口绑定、MP-IBGP配置、CE与PE间的路由交换及MPLS LDP功能配置。最终验证显示,同一VPN内的CE设备可以相互通信,不同VPN的CE设备则无法通信,满足了组网需求。

组网需求

分部1与分部2只能与总部通信,分部之间不能通信。根据图上信息进行正确配置,使总部的用户能正确访问各分部的用户。

配置思路

     VPN进行通信,用户与运营商之间使用BGP协议传递路由。分部1被划分到VPN1中,使用的RD为1:1,Export Target=12:3,Import Target=3:12;分部2被划分到VPN2中,使用的RD为2:2,Export Target=12:3,Import Target=3:12;总部被划分到VPN3中,使用的RD为3:3,Export Target=3:12,Import Target=12:3。

如上图所示,配置MPLS VPN需要从以下两个方面考虑:

  1. 用户侧设备的配置:
  1. 主要考虑CE与PE之间使用何种协议将私网路由传递到运营商网络
  1. 运营商骨干网络的配置,运营商骨干网络的配置需要从以下三个方面考虑:
  1. 运营商骨干网络IGP协议的配置,保证运营商网络路由可达;
  2. VPN的配置,将私网路由通过运营商设备封装并传递;
  3. MP-BGP与MPLS协议的配置,实现私网路由的传递与标签隧道的建立。

操作步骤

配置各设备的IP地址

CE1

<Huawei>system-view
[Huawei]sysname CE1
[CE1]interface GigabitEthernet0/0/0
[CE1-GigabitEthernet0/0/0]ip address 10.1.13.1 255.255.255.0 
[CE1]interface LoopBack1
[CE1-LoopBack1]ip address 172.16.1.1 255.255.255.255

CE2

<Huawei>system-view
[Huawei]sysname CE2
[CE2]interface GigabitEthernet0/0/0
[CE2-GigabitEthernet0/0/0]ip address 10.1.23.2 255.255.255.0 
[CE2]interface LoopBack1
[CE2-LoopBack1]ip address 172.16.2.1 255.255.255.255

PE1

<Huawei>system-view
[Huawei]sysname PE1
[PE1]interface GigabitEthernet0/0/0
[PE1-GigabitEthernet0/0/0]ip address 10.1.13.3 255.255.255.0
[PE1]interface GigabitEthernet0/0/1
[PE1-GigabitEthernet0/0/1]ip address 10.1.23.3 255.255.255.0
[PE1]interface GigabitEthernet0/0/2
[PE1-GigabitEthernet0/0/2]ip address 10.1.34.3 255.255.255.0
[PE1]interface LoopBack1
[PE1-LoopBack1]ip address 1.1.1.1 255.255.255.255

P

<Huawei>system-view
[Huawei]sysname P
[P]interface GigabitEthernet0/0/0
[P-GigabitEthernet0/0/0]ip address 10.1.34.4 255.255.255.0
[P]interface GigabitEthernet0/0/1
[P-GigabitEthernet0/0/1]ip address 10.1.45.4 255.255.255.0
[P]interface LoopBack1
[P-LoopBack1]ip address 2.2.2.2 255.255.255.255

PE2

<Huawei>system-view
[Huawei]sysname PE2
[PE2]interface GigabitEthernet0/0/0
[PE2-GigabitEthernet0/0/0]ip address 10.1.56.5 255.255.255.0
[PE2]interface GigabitEthernet0/0/1
[PE2-GigabitEthernet0/0/1]ip address 10.1.45.5 255.255.255.0
[PE2]interface LoopBack1
[PE2-LoopBack1]ip address 3.3.3.3 255.255.255.255

CE3

<Huawei>system-view
[Huawei]sysname CE3
[CE3]interface GigabitEthernet0/0/0
[CE3-GigabitEthernet0/0/0]ip address 10.1.56.6 255.255.255.0 
[CE3]interface LoopBack1
[CE3-LoopBack1]ip address 172.16.3.1 255.255.255.255

MPLS域内互通(IP骨干网互通)

PE1

[PE1]ospf 1
[PE1-ospf-1]area 0.0.0.0
[PE1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[PE1-ospf-1-area-0.0.0.0]network 10.1.34.0 0.0.0.255

P

[P]ospf 1
[P-ospf-1]area 0.0.0.0
[P-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 
[P-ospf-1-area-0.0.0.0]network 10.1.34.0 0.0.0.255
[P-ospf-1-area-0.0.0.0]network 10.1.45.0 0.0.0.255

PE2

[PE2]ospf 1
[PE2-ospf-1]area 0.0.0.0
[PE2-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 
[PE2-ospf-1-area-0.0.0.0]network 10.1.45.0 0.0.0.255

CE1

[CE1]bgp 1
[CE1-bgp]peer 10.1.13.3 as-number 5
[CE1-bgp]ipv4-family unicast
[CE1-bgp-af-ipv4]network 172.16.1.1 255.255.255.255

CE2

[CE2]bgp 2
[CE2-bgp]peer 10.1.23.3 as-number 5
[CE2-bgp]ipv4-family unicast
[CE2-bgp-af-ipv4]network 172.16.2.1 255.255.255.255

CE3

[CE3]bgp 3
[CE3-bgp]peer 10.1.56.5 as-number 5
[CE3-bgp]ipv4-family unicast
[CE3-bgp-af-ipv4]network 172.16.3.1 255.255.255.255

配置PE上的VPN实例

PE1

#创建VPN实例,并进入VPN实例视图
[PE1]ip vpn-instance vpn1
#使能VPN实例IPv4地址族,并进入VPN实例IPv4地址族视图
[PE1-vpn-instance-vpn1]ipv4-family
#配置VPN实例IPv4地址族的RD
[PE1-vpn-instance-vpn1-af-ipv4]route-distinguisher 1:1
#为VPN实例IPv4地址族配置VPN-target扩展团体属性。VPN Target是BGP的扩展团体属性,用来控制VPN路由信息的接收和发布。一条vpn-target命令最多可以配置8个VPN Target。
[PE1-vpn-instance-vpn1-af-ipv4]vpn-target 12:3 export-extcommunity
[PE1-vpn-instance-vpn1-af-ipv4]vpn-target 3:12 import-extcommunity
[PE1]ip vpn-instance vpn2
[PE1-vpn-instance-vpn2]ipv4-family
[PE1-vpn-instance-vpn2-af-ipv4]route-distinguisher 2:2
[PE1-vpn-instance-vpn2-af-ipv4]vpn-target 12:3 export-extcommunity
[PE1-vpn-instance-vpn2-af-ipv4]vpn-target 3:12 import-extcommunity

PE2

[PE2]ip vpn-instance vpn3
[PE2-vpn-instance-vpn3]ipv4-family
[PE2-vpn-instance-vpn3-af-ipv4]route-distinguisher 3:3
[PE2-vpn-instance-vpn3-af-ipv4]vpn-target 3:12 export-extcommunity
[PE2-vpn-instance-vpn3-af-ipv4]vpn-target 12:3 import-extcommunity

配置接口与VPN实例绑定

PE1

[PE1]interface GigabitEthernet0/0/0
#将当前接口与VPN实例绑定
[PE1-GigabitEthernet0/0/0] ip binding vpn-instance vpn1
#绑定以后会删除IP配置,需重新配置
[PE1-GigabitEthernet0/0/0] ip address 10.1.13.3 255.255.255.0
[PE1]interface GigabitEthernet0/0/1
[PE1-GigabitEthernet0/0/1] ip binding vpn-instance vpn2 
[PE1-GigabitEthernet0/0/1] ip address 10.1.23.3 255.255.255.0

PE2

[PE2]interface GigabitEthernet0/0/1
[PE2-GigabitEthernet0/0/1] ip binding vpn-instance vpn2 
[PE2-GigabitEthernet0/0/1] ip address 10.1.56.5 255.255.255.0

配置PE与PE间使用MP-IBGP

PE1

#进入BGP视图
[PE1]bgp 5
#将对端PE配置为对等体
[PE1-bgp]peer 3.3.3.3 as-number 5
#指定BGP建立TCP 连接的接口
[PE1-bgp]peer 3.3.3.3 connect-interface LoopBack1
#进入BGP-VPNv4地址族视图
[PE1-bgp]ipv4-family vpnv4
#使能对等体交换VPN-IPv4路由信息的能力
[PE1-bgp-af-vpnv4]peer 3.3.3.3 enable

PE2

[PE2]bgp 5
[PE2-bgp]peer 1.1.1.1 as-number 5
[PE2-bgp]peer 1.1.1.1 connect-interface LoopBack1
[PE2-bgp]ipv4-family vpnv4
[PE2-bgp-af-vpnv4]peer 1.1.1.1 enable

配置PE和CE路由交换——PE1、PE2

PE1

#进入BGP视图
[PE1]bgp 5
#进入BGP-VPN实例IPv4地址族视图
[PE1-bgp]ipv4-family vpn-instance vpn1
#将CE配置为VPN私网对等体
[PE1-bgp-vpn1]peer 10.1.13.1 as-number 1
[PE1-bgp-vpn1]quit
[PE1-bgp]ipv4-family vpn-instance vpn2
[PE1-bgp-vpn2]peer 10.1.23.2 as-number 2

PE2

[PE2-bgp]ipv4-family vpn-instance vpn3
[PE2-bgp-vpn3]peer 10.1.56.6 as-number 3

CE1

#进入BGP视图
[CE1]bgp 1
#将PE配置为对等体
[CE1-bgp]peer 10.1.13.3 as-number 5
#进入BGP-IPv4单播地址族视图
[CE1-bgp]ipv4-family unicast
#指定BGP发布本地路由172.16.1.1/32
[CE1-bgp-af-ipv4]network 172.16.1.1 255.255.255.255

CE2

[CE2]bgp 2
[CE2-bgp]peer 10.1.23.3 as-number 5
[CE2-bgp]ipv4-family unicast
[CE2-bgp-af-ipv4]network 172.16.2.1 255.255.255.255

CE3

[CE3]bgp 3
[CE3-bgp]peer 10.1.56.5 as-number 5
[CE3-bgp]ipv4-family unicast
[CE3-bgp-af-ipv4]network 172.16.3.1 255.255.255.255

配置MPLS和MPLS LDP功能——PE1、PE2、P

PE1

#配置本节点的LSR ID
[PE1]mpls lsr-id 1.1.1.1
#使能全局MPLS功能,并进入MPLS视图
[PE1]mpls
[PE1-mpls]quit
#使能全局的LDP功能,并进入MPLS-LDP视图。缺省情况下,LDP实例的LSR ID等于节点的LSR ID。推荐采用缺省值。
[PE1]mpls ldp
[PE1-mpls-ldp]quit
[PE1]interface GigabitEthernet0/0/2
#使能接口的MPLS能力
[PE1-GigabitEthernet0/0/2] mpls
#使能接口的MPLS LDP能力
[PE1-GigabitEthernet0/0/2] mpls ldp

PE2

[PE2]mpls lsr-id 3.3.3.3
[PE2]mpls
[PE2-mpls]quit
[PE2]mpls ldp
[PE2-mpls-ldp]quit
[PE2]interface GigabitEthernet0/0/1
[PE2-GigabitEthernet0/0/1] mpls
[PE2-GigabitEthernet0/0/1] mpls ldp

P

[P]mpls lsr-id 2.2.2.2
[P]mpls
[P-mpls]quit
[P]mpls ldp
[P-mpls-ldp]quit
[P]interface GigabitEthernet0/0/0
[P-GigabitEthernet0/0/0] mpls
[P-GigabitEthernet0/0/0] mpls ldp
[P]interface GigabitEthernet0/0/1
[P-GigabitEthernet0/0/1] mpls
[P-GigabitEthernet0/0/1] mpls ldp
[P]interface GigabitEthernet0/0/2
[P-GigabitEthernet0/0/2] mpls
[P-GigabitEthernet0/0/2] mpls ldp

验证

在PE设备上执行display ip routing-table vpn-instance命令,可以看到去往对端CE的路由

PE1的显示为例

[PE1]display ip routing-table  vpn-instance vpn1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: vpn1
         Destinations : 6        Routes : 6        
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      10.1.13.0/24  Direct  0    0           D   10.1.13.3       GigabitEthernet0/0/0
      10.1.13.3/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
    10.1.13.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
     172.16.1.1/32  EBGP    255  0           D   10.1.13.1       GigabitEthernet0/0/0
     172.16.3.1/32  IBGP    255  0          RD   3.3.3.3         GigabitEthernet0/0/2
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
[PE1]display ip routing-table vpn-instance vpn2
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: vpn2
         Destinations : 6        Routes : 6        
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      10.1.23.0/24  Direct  0    0           D   10.1.23.3       GigabitEthernet0/0/1
      10.1.23.3/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
    10.1.23.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
     172.16.2.1/32  EBGP    255  0           D   10.1.23.2       GigabitEthernet0/0/1
     172.16.3.1/32  IBGP    255  0          RD   3.3.3.3         GigabitEthernet0/0/2
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

同一VPN的CE能够相互Ping通,不同VPN的CE不能相互Ping通。

例如:CE1能够Ping通CE3(172.16.1.1),但不能Ping通CE2(172.16.2.1)

[CE1]ping -a 172.16.1.1 172.16.3.1
  PING 172.16.3.1: 56  data bytes, press CTRL_C to break
    Reply from 172.16.3.1: bytes=56 Sequence=1 ttl=252 time=50 ms
    Reply from 172.16.3.1: bytes=56 Sequence=2 ttl=252 time=30 ms
    Reply from 172.16.3.1: bytes=56 Sequence=3 ttl=252 time=40 ms
    Reply from 172.16.3.1: bytes=56 Sequence=4 ttl=252 time=40 ms
    Reply from 172.16.3.1: bytes=56 Sequence=5 ttl=252 time=40 ms
  --- 172.16.3.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 30/40/50 ms
[CE1]ping -a 172.16.1.1 172.16.2.1
  PING 172.16.2.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out
  --- 172.16.2.1 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss
相关文章
|
5天前
|
调度 云计算 芯片
云超算技术跃进,阿里云牵头制定我国首个云超算国家标准
近日,由阿里云联合中国电子技术标准化研究院主导制定的首个云超算国家标准已完成报批,不久后将正式批准发布。标准规定了云超算服务涉及的云计算基础资源、资源管理、运行和调度等方面的技术要求,为云超算服务产品的设计、实现、应用和选型提供指导,为云超算在HPC应用和用户的大范围采用奠定了基础。
179564 18
|
12天前
|
存储 运维 安全
云上金融量化策略回测方案与最佳实践
2024年11月29日,阿里云在上海举办金融量化策略回测Workshop,汇聚多位行业专家,围绕量化投资的最佳实践、数据隐私安全、量化策略回测方案等议题进行深入探讨。活动特别设计了动手实践环节,帮助参会者亲身体验阿里云产品功能,涵盖EHPC量化回测和Argo Workflows量化回测两大主题,旨在提升量化投研效率与安全性。
云上金融量化策略回测方案与最佳实践
|
14天前
|
人工智能 自然语言处理 前端开发
从0开始打造一款APP:前端+搭建本机服务,定制暖冬卫衣先到先得
通义灵码携手科技博主@玺哥超carry 打造全网第一个完整的、面向普通人的自然语言编程教程。完全使用 AI,再配合简单易懂的方法,只要你会打字,就能真正做出一个完整的应用。
9175 23
|
18天前
|
Cloud Native Apache 流计算
资料合集|Flink Forward Asia 2024 上海站
Apache Flink 年度技术盛会聚焦“回顾过去,展望未来”,涵盖流式湖仓、流批一体、Data+AI 等八大核心议题,近百家厂商参与,深入探讨前沿技术发展。小松鼠为大家整理了 FFA 2024 演讲 PPT ,可在线阅读和下载。
4872 12
资料合集|Flink Forward Asia 2024 上海站
|
18天前
|
自然语言处理 数据可视化 API
Qwen系列模型+GraphRAG/LightRAG/Kotaemon从0开始构建中医方剂大模型知识图谱问答
本文详细记录了作者在短时间内尝试构建中医药知识图谱的过程,涵盖了GraphRAG、LightRAG和Kotaemon三种图RAG架构的对比与应用。通过实际操作,作者不仅展示了如何利用这些工具构建知识图谱,还指出了每种工具的优势和局限性。尽管初步构建的知识图谱在数据处理、实体识别和关系抽取等方面存在不足,但为后续的优化和改进提供了宝贵的经验和方向。此外,文章强调了知识图谱构建不仅仅是技术问题,还需要深入整合领域知识和满足用户需求,体现了跨学科合作的重要性。
|
25天前
|
人工智能 自动驾驶 大数据
预告 | 阿里云邀您参加2024中国生成式AI大会上海站,马上报名
大会以“智能跃进 创造无限”为主题,设置主会场峰会、分会场研讨会及展览区,聚焦大模型、AI Infra等热点议题。阿里云智算集群产品解决方案负责人丛培岩将出席并发表《高性能智算集群设计思考与实践》主题演讲。观众报名现已开放。
|
13天前
|
人工智能 容器
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
本文介绍了如何利用千问开发一款情侣刮刮乐小游戏,通过三步简单指令实现从单个功能到整体框架,再到多端优化的过程,旨在为生活增添乐趣,促进情感交流。在线体验地址已提供,鼓励读者动手尝试,探索编程与AI结合的无限可能。
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
|
13天前
|
消息中间件 人工智能 运维
12月更文特别场——寻找用云高手,分享云&AI实践
我们寻找你,用云高手,欢迎分享你的真知灼见!
1014 67