首页 > 技术知识 > 正文

华为 跨域VPN-OptionA

2023-05-11 19:39:59

哈喽,大家好!我是艺博东 ,是一个思科出身、专注于华为的网工;好了,话不多说,我们直接进入正题。

一、拓扑

华为 跨域VPN-OptionA

二、配置与分析

背景需求: 分公司A只能访问分公司C, 不能访问其他分公司;同样分公司B只能访问分公司D。

按照上图配置;分以下步骤进行。

(1)在AS10,AS20分别配置公网的LSP隧道IGP, LDP; (2)配置AS10,AS20中的MP-IBGP邻居架构/反射器; (3)PE上配置VPN实例的业务接入vpn实例创建和CE的接口绑定,正确配置RD,RT正确的配置PE-CE之间的路由协议; (4)为每个VPN在 ASBR-PE之间通过子接口实现互联,并绑定vpn实例,每个实例配置EBGP邻居关系; (5)PE上正确引入vpnv4路由的引入,IGP引入BGP,BGP引入IGP; (6)检测路由是否正常传递; (7)测试联通性; (8)熟悉路由传递的机制以及私网标签和公网标签的分配特点。

1、在AS10,AS20分别配置公网的LSP隧道IGP, LDP;配置AS10,AS20中的MP-IBGP邻居架构/反射器。

AR1

[AR1]int g0/0/2 [AR1-GigabitEthernet0/0/2]ip address 10.1.12.1 24 [AR1-GigabitEthernet0/0/2]int l0 [AR1-LoopBack0]ip address 1.1.1.1 32 [AR1-LoopBack0]q [AR1]rip [AR1-rip-1]version 2 [AR1-rip-1]network 10.0.0.0 [AR1-rip-1]network 1.0.0.0 [AR1-rip-1]q [AR1]mpls lsr-id 1.1.1.1 [AR1]mpls [AR1-mpls]mpls ldp [AR1-mpls-ldp]q [AR1]int g0/0/2 [AR1-GigabitEthernet0/0/2]mpls [AR1-GigabitEthernet0/0/2]mpls ldp [AR1]bgp 10 [AR1-bgp]peer 2.2.2.2 as-number 10 [AR1-bgp]peer 2.2.2.2 connect-interface LoopBack0 [AR1-bgp]peer 2.2.2.2 next-hop-local [AR1-bgp]ipv4-family vpnv4 [AR1-bgp-af-vpnv4]peer 2.2.2.2 enable
<

AR2

[AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip address 10.1.12.2 24 [AR2-GigabitEthernet0/0/0]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip address 10.1.23.2 24 [AR2-GigabitEthernet0/0/1]int l0 [AR2-LoopBack0]ip address 2.2.2.2 32 [AR2-LoopBack0]q [AR2]rip [AR2-rip-1]version 2 [AR2-rip-1]network 10.0.0.0 [AR2-rip-1]network 2.0.0.0 [AR2]mpls lsr-id 2.2.2.2 [AR2]mpls [AR2-mpls]mpls ldp [AR2-mpls-ldp]q [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]mpls [AR2-GigabitEthernet0/0/0]mpls ldp [AR2-GigabitEthernet0/0/0]int g0/0/1 [AR2-GigabitEthernet0/0/1]mpls [AR2-GigabitEthernet0/01]mpls ldp [AR2-GigabitEthernet0/01]q [AR2]bgp 10 [AR2-bgp]peer 1.1.1.1 as-number 10 [AR2-bgp]peer 1.1.1.1 connect-interface LoopBack0 [AR2-bgp]peer 1.1.1.1 next-hop-local [AR2-bgp]peer 3.3.3.3 as-number 10 [AR2-bgp]peer 3.3.3.3 connect-interface LoopBack0 [AR2-bgp]peer 3.3.3.3 next-hop-local [AR2-bgp]ipv4-family vpnv4 [AR2-bgp-af-vpnv4]undo policy vpn-target [AR2-bgp-af-vpnv4]peer 1.1.1.1 enable [AR2-bgp-af-vpnv4]peer 1.1.1.1 reflect-client [AR2-bgp-af-vpnv4]peer 3.3.3.3 enable [AR2-bgp-af-vpnv4]peer 3.3.3.3 reflect-client
<

AR3

[AR3]int g0/0/0 [AR3-GigabitEthernet0/0/0]ip address 10.1.23.3 24 [AR3-GigabitEthernet0/0/0]int l0 [AR3-LoopBack0]ip address 3.3.3.3 32 [AR3-LoopBack0]q [AR3]rip [AR3-rip-1]version 2 [AR3-rip-1]network 10.0.0.0 [AR3-rip-1]network 3.0.0.0 [AR3-rip-1]q [AR3]mpls lsr-id 3.3.3.3 [AR3]mpls [AR3-mpls]mpls ldp [AR3-mpls-ldp]q [AR3]int g0/0/0 [AR3-GigabitEthernet0/0/0]mpls [AR3-GigabitEthernet0/0/0]mpls ldp

AR4、AR5、AR6底层配置类似

2、PE上配置VPN实例的业务接入vpn实例创建和CE的接口绑定,正确配置RD,RT正确的配置PE-CE之间的路由协议。

分公司A只能访问分公司C, 不能访问其他分公司

AR1

[AR1]ip vpn-instance ybd1 [AR1-vpn-instance-ybd1]route-distinguisher 10:1 [AR1-vpn-instance-ybd1]vpn-target 10:1 both [AR1-vpn-instance-ybd1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip binding vpn-instance ybd1 [AR1-GigabitEthernet0/0/0]ip address 10.1.17.1 255.255.255.0 [AR1-GigabitEthernet0/0/0]bgp 10 [AR1-bgp]ipv4-family vpn-instance ybd1 [AR1-bgp-ybd1]peer 10.1.17.7 as-number 1

AR7

[AR79]int g0/0/0 [AR79-GigabitEthernet0/0/0]ip address 10.1.17.7 24 [AR79-GigabitEthernet0/0/0]bgp 1 [AR79-bgp]peer 10.1.17.1 as-number 10 [AR79-bgp]network 7.7.7.7 255.255.255.255 [AR79-bgp]peer 10.1.17.1 enable [AR79-bgp]peer 10.1.17.1 allow-as-loop

[AR79]dis bgp peer 华为 跨域VPN-OptionA1 [AR1]dis bgp vpnv4 all peer 华为 跨域VPN-OptionA2

AR3

[AR3]ip vpn-instance ybd5 [AR3-vpn-instance-ybd5]route-distinguisher 10:1 [AR3-vpn-instance-ybd5]vpn-target 10:1 both [AR3-vpn-instance-ybd5]int g0/0/1.10 [AR3-GigabitEthernet0/0/1.10]dot1q termination vid 10 [AR3-GigabitEthernet0/0/1.10]ip binding vpn-instance ybd5 [AR3-GigabitEthernet0/0/1.10]ip address 10.1.34.3 255.255.255.0 [AR3-GigabitEthernet0/0/1.10]arp broadcast enable [AR3-GigabitEthernet0/0/1.10]bgp 10 [AR3-bgp]ipv4-family vpn-instance ybd5 [AR3-bgp-ybd5]peer 10.1.34.4 as-number 20

AR4

[AR4]ip vpn-instance ybd6 [AR4-vpn-instance-ybd6]route-distinguisher 20:1 [AR4-vpn-instance-ybd6]vpn-target 20:1 both [AR4-vpn-instance-ybd6]int g0/0/0.20 [AR4-GigabitEthernet0/0/0.20]dot1q termination vid 10 [AR4-GigabitEthernet0/0/0.20]ip binding vpn-instance ybd6 [AR4-GigabitEthernet0/0/0.20]ip address 10.1.34.4 255.255.255.0 [AR4-GigabitEthernet0/0/0.20]arp broadcast enable [AR4-GigabitEthernet0/0/0.20]bgp 20 [AR4-bgp]ipv4-family vpn-instance ybd6 [AR4-bgp-ybd6]peer 10.1.34.3 as-number 10

AR6

[AR6]ip vpn-instance ybd3 [AR6-vpn-instance-ybd3]route-distinguisher 20:1 [AR6-vpn-instance-ybd3]vpn-target 20:1 [AR6-vpn-instance-ybd3]int g0/0/1 [AR6-GigabitEthernet0/0/1]ip binding vpn-instance ybd3 [AR6-GigabitEthernet0/0/1]ip address 10.1.69.6 255.255.255.0 [AR6-GigabitEthernet0/0/1]bgp 20 [AR6-bgp]ipv4-family vpn-instance ybd3 [AR6-bgp-ybd3]peer 10.1.69.9 as-number 1 [AR6-bgp-ybd3]peer 10.1.69.9 substitute-as

AR97

[AR97]int g0/0/0 [AR97-GigabitEthernet0/0/0]ip address 10.1.69.9 255.255.255.0 [AR97-GigabitEthernet0/0/0]bgp 1 [AR97-bgp]peer 10.1.69.6 as-number 20 [AR97-bgp]network 9.9.9.9 255.255.255.255

[AR97]dis ip routing-table华为 跨域VPN-OptionA3 [AR79]dis ip routing-table 华为 跨域VPN-OptionA4

公司A是如何访问公司C的?

在 AR79 上查9.9.9.9路由,

[AR79]dis ip routing-table 9.9.9.9 华为 跨域VPN-OptionA5 以上输出结果可知9.9.9.9路由的下一跳是10.1.17.1;

数据包封装为:

华为 跨域VPN-OptionA6 然后根据AR1的接口下绑定的实例ybd1的路由表,去查相关路由。

[AR1]dis ip routing-table vpn-instance ybd1 华为 跨域VPN-OptionA7 [AR1]dis bgp vpnv4 vpn-instance ybd1 routing-table 9.9.9.9 华为 跨域VPN-OptionA8 私网标签1027 打上标签封装成: [AR1]dis mpls lsp 华为 跨域VPN-OptionA9 出去的标签是1024

打上标签封装成:华为 跨域VPN-OptionA10 压入了2个标签

然后AR1根据G0/0/2接口发出去

华为 跨域VPN-OptionA11

RR 查找标签

[AR2]dis mpls lsp 华为 跨域VPN-OptionA12

3.3.3.3的进标签为1024,出标签是3,然后进行弹出顶部标签,从G0/0/1接口发送出去。

华为 跨域VPN-OptionA13 AR3收到后,查看lsp

[AR3]dis mpls lsp 华为 跨域VPN-OptionA14 通过BGP协议得到的标签,收到的标签如果是1027的话,就属于ybd5路由表进行转发的。

弹出标签 [AR3]dis ip routing-table vpn-instance ybd5 9.9.9.9

华为 跨域VPN-OptionA15

下一跳为10.1.34.4,出接口g0/0/1.10发出; 华为 跨域VPN-OptionA16 这是一个IP报文;

华为 跨域VPN-OptionA17

下一跳为6.6.6.6,然后查找9.9.9.9的路由标签。

[AR4]dis bgp vpnv4 all routing-table 9.9.9.9

AR6给它分配了一个私网标签1026,然后打上1026的标签,

查下一跳6.6.6.6的公网标签

出标签1024,出接口为G0/0/1

[AR5]dis mpls lsp

6.6.6.6的进标签为1024,出标签是3,然后进行弹出顶部标签,从G0/0/1接口发送出去。 [AR6]dis mpls lsp 通过BGP协议得到的标签,收到的标签如果是1026的话,就属于ybd3路由表进行转发的。

弹出标签

[AR6]dis ip routing-table vpn-instance ybd3 9.9.9.9 下一跳为10.1.69.9,出接口g0/0/1发出;

转发层面OK;

[AR79]tracert -a 7.7.7.7 9.9.9.9 路径

3、分公司B只能访问分公司D

PE上正确引入vpnv4路由的引入,IGP引入BGP,BGP引入IGP

AR1

[AR1]ip vpn-instance ybd2 [AR1-vpn-instance-ybd2]route-distinguisher 10:2 [AR1-vpn-instance-ybd2]vpn-target 10:2 both [AR1-vpn-instance-ybd2]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip binding vpn-instance ybd2 [AR1-GigabitEthernet0/0/1]ip address 10.1.18.1 255.255.255.0 [AR1-GigabitEthernet0/0/1] [AR1]ospf 1 vpn-instance ybd2 [AR1-ospf-1]import-route bgp [AR1-ospf-1]a 0 [AR1-ospf-1-area-0.0.0.0]network 10.1.18.1 0.0.0.0 [AR1-ospf-1-area-0.0.0.0]q [AR1-ospf-1]q [AR1]bgp 10 [AR1-bgp]ipv4-family vpn-instance ybd2 [AR1-bgp-ybd2]import-route ospf 1

AR18

[AR18]int g0/0/0 [AR18-GigabitEthernet0/0/0]ip address 10.1.18.8 255.255.255.0 [AR18-GigabitEthernet0/0/0]q [AR18]int l0 [AR18-LoopBack0]ip address 8.8.8.8 32 [AR18-LoopBack0]q [AR18]ospf 1 router-id 8.8.8.8 [AR18-ospf-1]a 0 [AR18-ospf-1-area-0.0.0.0]network 8.8.8.8 0.0.0.0 [AR18-ospf-1-area-0.0.0.0]network 10.1.18.8 0.0.0.0

AR6、AR81配置类似

[AR18]dis ip routing-table AR18路由器上没有公司A、D的相关路由。

[AR18]ping 10.10.10.10

另外,bgp的实例指定的邻居相同是不影响的,因为实例不同。 RD: 区分实例,标记路由,只在本地有效,区分不同站点的相同路由; RT: 对路由进行控制,控制路由的导入与导出。

三、跨域 VPN-OptionA 的特点

背对背

优点: 配置比较简单;

在ASBR上创建子接口,绑定vpn实例。 在PE上配置vpn实例,绑定接口。

缺点: 可扩展性差;

就是ASBR需要管理所有VPN路由,为每个VPN创建VPN实例。ASBR需要维护的VPN-IPv4路由数量过大。在需要跨域的VPN数量比较少的情况,可以优先考虑使用。

这里的两个实例的路由ASBR都要管理。

[AR3]dis bgp vpnv4 all routing-table

名言警句时刻 世界如一面镜子:皱眉视之,它也皱眉看你;笑着对它,它也笑着看你。

好了这期就到这里了,如果你喜欢这篇文章的话,请点赞评论分享收藏,如果你还能点击关注,那真的是对我最大的鼓励。谢谢大家,下期见!

猜你喜欢

基于 Boosting 框架的主流集成算法介绍(下)-boosting算法优缺点

nvidia xavier nx平台禁用组合UART的问题

还在为单身发愁吗? AI也可以成为男友

一篇文章彻底搞定信号!-一篇完整的文章英语

Qt表格读写(CSV格式)

c 判断文件是否存在以及权限处理

触摸屏和鼠标共存

黑客可凭超声波获取信息 人工智能技术成重要媒介

边缘AI进入蓬勃发展期,ADI如何解决AI芯片落地难题?-ai芯片 通俗易懂