Настройка MPLS VPN на Huawei

1241 0 0 0

MPLS ( Multiprotocol Label Switching) — мультипротокольная коммутация по меткам. Принцип заключается в том, что после организации IP связности, на маршрутизаторах включается MPLS. Далее каждому маршруту присваивается метка. Происходит формирование таблицы меток, которая содержит информацию обо всех существующих метках. После этого, каждый маршрутизатор формирует для себя другую таблицу, согласно которой уже и будет осуществляться передача трафика. Другими словами, маршрутизатору для выбора оптимального маршрута не надо будет обращаться к своей таблице маршрутизации. Практически получается, что маршрутизатор осуществляет коммутацию, а не маршрутизацию, что в свою очередь очень ускоряет работу по доставке трафика в место назначения. Следует отметить, что MPLS должнен настраиваться на уже существующей и нормально функционирующей IP сети. Рассмотрим настройку MPLS на примере следующей топологии:

MPLS_1

У нас есть два филиала компании AR1 и AR5. Необходимо настроить их взаимодействие через сеть провайдера (маршрутизаторы AR2, AR3, AR4).

AR2 и AR4 - пограничные маршрутизаторы. Они будут вешать метки при входе в домен MPLS и снимать метки при выходе из домена.

AR3 - внутренний машрутизатор доменаMPLS. Он только передает пакеты от одного MPLS маршрутизатора к другому. Перейдем к базовой настройке:

AR1
interface GigabitEthernet 0/0/2
   ip address 10.1.1.1 24
interface loopback 0
   ip address 192.168.1.1 24

AR2
interface GigabitEthernet 0/0/0
   ip address 10.1.2.2 24
interface GigabitEthernet 0/0/2
   ip address 10.1.1.2 24
interface loopback 0
   ip address 2.2.2.2 24

AR3
interface GigabitEthernet 0/0/0
   ip address 10.1.2.1 24
interface GigabitEthernet 0/0/1
   ip address 10.1.3.1 24
interface loopback 0
   ip address 3.3.3.3 24

AR4
interface GigabitEthernet 0/0/1
   ip address 10.1.3.2 24
interface GigabitEthernet 0/0/2
   ip address 10.1.4.2 24
interface loopback 0
   ip address 4.4.4.4 24

AR5
interface GigabitEthernet 0/0/2
   ip address 10.1.4.1 24
interface loopback 0
   ip address 192.168.2.1 24

Далее настроим OSPF между маршрутизаторами сети провайдера:

AR2
router id 2.2.2.2
ospf 1
   area 0
      network 10.1.2.0 0.0.0.255
      network 10.1.1.0 0.0.0.255
      network 2.2.2.2 0.0.0.0

AR3
router id 3.3.3.3
ospf 1
   area 0
      network 10.1.2.0 0.0.0.255
      network 10.1.3.0 0.0.0.255
      network 3.3.3.3 0.0.0.0

AR4
router id 4.4.4.4
ospf 1
   area 0
      network 10.1.3.0 0.0.0.255
      network 10.1.4.0 0.0.0.255
      network 4.4.4.4 0.0.0.0

Теперь настроим VPN instance на пограничных маршрутизаторах AR2 иAR4:

AR2
ip vpn-instance VPN1 – создаем виртуальный маршрутизатор
   route-distinguisher 1:1 – задаем уникальный идентификатор, который будет использоваться для определения принадлежности маршрутной информации определенному VPN
   vpn-target 1:2 both – определяем идентификатор, описывающий правила экспорта и импорта маршрутов
interface GigabitEthernet 0/0/2
   ip binding vpn-instance VPN1 – назначаем принадлежность интерфейса виртуальному маршрутизатору
   ip address 10.1.1.2 24

AR4
ip vpn-instance VPN2
   route-distinguisher 2:2
   vpn-target 1:2 both
interface GigabitEthernet 0/0/2
   ip binding vpn-instance VPN2
   ip address 10.1.4.2 24

При помощи команды display ip vpn-instance verbose проверим наши виртуальные маршрутизаторы:

[AR2] display ip vpn-instance verbose
  Total VPN-Instances configured : 1

  VPN-Instance Name and ID : VPN1, 1
    Interfaces : GigabitEthernet0/0/2
  Address family ipv4
    Create date : 2019-04-29 05:01-08:00
    Up time : 0 days, 00 hours, 05 minutes and 09 seconds
    Route Distinguisher : 1:1
    Export VPN Targets : 1:2
    Import VPN Targets : 1:2
    Label Policy : label per route
    The diffserv-mode Information is : uniform
    The ttl-mode Information is : pipe
    Log Interval : 5

[AR4] display ip vpn-instance verbose
Total VPN-Instances configured : 1

  VPN-Instance Name and ID : VPN2, 1
    Interfaces : GigabitEthernet0/0/2
  Address family ipv4
    Create date : 2019-04-29 05:01-08:00
    Up time : 0 days, 00 hours, 00 minutes and 45 seconds
    Route Distinguisher : 2:2
    Export VPN Targets : 1:2
    Import VPN Targets : 1:2
    Label Policy : label per route
    The diffserv-mode Information is : uniform
    The ttl-mode Information is : pipe
    Log Interval : 5

Далее настроим BGP на пограничных маршрутизаторах для объявления VPN маршрутов:

AR1
bgp 12
   peer 10.1.1.2 as-number 24
   network 192.168.1.0 24

AR2
bgp 24
   ipv4-family vpn-instance VPN1
   peer 10.1.1.1 as-number 12

AR4
bgp 24
   ipv4-family vpn-instance VPN2
   peer 10.1.4.1 as-number 45

AR5
bgp 45
   peer 10.1.4.2 as-number 24
   network 192.168.2.0 24

Проверим установилось ли соседство между устройствами:

[AR2] display bgp vpnv4 vpn-instance VPN1 peer

  BGP local router ID : 2.2.2.2
  Local AS number : 24

  VPN-Instance VPN1, Router ID 2.2.2.2:
  Total number of peers : 1              Peers in established state : 1

    Peer                V             AS    MsgRcvd     MsgSent   OutQ   Up/Down   State             PrefRcv

    10.1.1.1           4             12           3                   3           0        00:00:03    Established       1

[AR4] display bgp vpnv4 vpn-instance VPN2 peer

BGP local router ID : 4.4.4.4
Local AS number : 24

VPN-Instance VPN2, Router ID 4.4.4.4:
Total number of peers : 1              Peers in established state : 1

    Peer                V             AS    MsgRcvd     MsgSent   OutQ   Up/Down   State             PrefRcv

    10.1.4.1          4              45         10                10             0       00:07:45    Established       1

[AR1] display bgp peer

  BGP local router ID : 10.1.1.1
  Local AS number : 12
  Total number of peers : 1                 Peers in established state : 1

    Peer          V         AS      MsgRcvd     MsgSent    OutQ    Up/Down    State             PrefRcv

    10.1.1.2    4          24               3               4             0         00:01:39     Established      0

[AR5] display bgp peer

  BGP local router ID : 10.1.4.1
  Local AS number : 45
  Total number of peers : 1                 Peers in established state : 1

    Peer         V         AS      MsgRcvd     MsgSent    OutQ    Up/Down    State             PrefRcv

    10.1.4.2   4          24            10               11             0         00:08:49     Established      0

Также проверим какие маршруты получили маршрутизаторы сети провайдера AR2 и AR4:

[AR2] display ip routing-table vpn-instance VPN1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: VPN1
                  Destinations : 3                  Routes : 3

Destination/Mask        Proto      Pre        Cost       Flags    NextHop       Interface

          10.1.1.0/24        Direct      0            0            D        10.1.1.2         GigabitEthernet0/0/2
          10.1.1.2/32        Direct      0            0            D        127.0.0.1       GigabitEthernet0/0/2
    192.168.1.0/24        EBGP    255          0            D        10.1.1.1         GigabitEthernet0/0/2

[AR4] display ip routing-table vpn-instance VPN2
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: VPN2
                  Destinations : 3                  Routes : 3 

Destination/Mask        Proto      Pre        Cost       Flags    NextHop       Interface

          10.1.4.0/24        Direct      0            0             D       10.1.4.2 GigabitEthernet0/0/2
          10.1.4.2/32        Direct      0            0             D       127.0.0.1 GigabitEthernet0/0/2
    192.168.2.0/24        EBGP    255          0             D       10.1.4.1 GigabitEthernet0/0/2

Настроим устройства сети провайдера для передачи vpn маршрутов при помощи MP-BGP.

Для этого поднимем iBGP соседство между маршрутизаторами AR2 и AR4:

AR2
bgp 24
   peer 4.4.4.4 as-number 24
   peer 4.4.4.4 connect-interface loopback 0
   ipv4-family vpnv4 unicast
   peer 4.4.4.4 enable

AR4
bgp 24
   peer 2.2.2.2 as-number 24
   peer 2.2.2.2 connect-interface loopback 0
   ipv4-family vpnv4 unicast
   peer 2.2.2.2 enable

[AR2] display bgp vpnv4 all peer

   BGP local router ID : 2.2.2.2
   Local AS number : 24
   Total number of peers : 2              Peers in established state : 2

   Peer          V           AS     MsgRcvd     MsgSent     OutQ    Up/Down    State             PrefRcv

   4.4.4.4      4            24            2                  3                0       00:00:04     Established      0

[AR4] display bgp vpnv4 all peer

   BGP local router ID : 4.4.4.4
   Local AS number : 24
   Total number of peers : 2 Peers in established state : 2

   Peer          V           AS     MsgRcvd     MsgSent     OutQ    Up/Down    State             PrefRcv

   2.2.2.2      4            24            2                  2              0         00:00:35     Established     0

Далее на устройствах сети провайдера настроим MPLS LDP для изоляции пользовательского трафика от остального:

AR2
mpls lsr-id 2.2.2.2 - определяем id маршрутизатора в процессе MPLS
mpls - включаем глобально процесс коммутации по меткам (MPLS)
mpls ldp - выбираем протокол, по которому будет происходить обмен метками
interface GigabitEthernet 0/0/0 - включаем mpls на интерфейсе
   mpls
   mpls ldp

AR3
mpls lsr-id 3.3.3.3
mpls
mpls ldp
interface GigabitEthernet 0/0/0
   mpls
   mpls ldp
interface GigabitEthernet 0/0/1
   mpls
   mpls ldp

AR4
mpls lsr-id 4.4.4.4
mpls
mpls ldp
interface GigabitEthernet 0/0/1
   mpls
   mpls ldp

Сразу проверим MPLS LDP соседство между устройствами:

[AR2] display mpls ldp peer

  LDP Peer Information in Public network
  A '*' before a peer means the peer is being deleted.
  ------------------------------------------------------------------------------
  PeerID                     TransportAddress         DiscoverySource
  ------------------------------------------------------------------------------
  3.3.3.3:0                  3.3.3.3                           GigabitEthernet0/0/0
  ------------------------------------------------------------------------------
  TOTAL: 1 Peer(s) Found.

[AR3] display mpls ldp peer

  LDP Peer Information in Public network
  A '*' before a peer means the peer is being deleted.
  ------------------------------------------------------------------------------
  PeerID                     TransportAddress         DiscoverySource
  ------------------------------------------------------------------------------
  2.2.2.2:0                   2.2.2.2                          GigabitEthernet0/0/0
  4.4.4.4:0                   4.4.4.4                          GigabitEthernet0/0/1
  ------------------------------------------------------------------------------
  TOTAL: 2 Peer(s) Found.

[AR4] display mpls ldp peer

  LDP Peer Information in Public network
  A '*' before a peer means the peer is being deleted.
  ------------------------------------------------------------------------------
  PeerID                     TransportAddress         DiscoverySource
  ------------------------------------------------------------------------------
  3.3.3.3:0                   3.3.3.3                          GigabitEthernet0/0/1
  ------------------------------------------------------------------------------
  TOTAL: 1 Peer(s) Found.

Проверим таблицы маршрутизации на AR1 и AR5:

[AR1] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
                 Destinations : 7                  Routes : 7

Destination/Mask    Proto      Pre    Cost     Flags    NextHop       Interface

          10.1.1.0/24    Direct      0        0          D        10.1.1.1         GigabitEthernet0/0/2
          10.1.1.1/32    Direct      0        0          D        127.0.0.1       GigabitEthernet0/0/2
          127.0.0.0/8    Direct      0        0          D        127.0.0.1       InLoopBack0
        127.0.0.1/32    Direct      0        0          D        127.0.0.1       InLoopBack0
    192.168.1.0/24    Direct      0        0          D        192.168.1.1   LoopBack0
    192.168.1.1/32    Direct      0        0          D        127.0.0.1       LoopBack0
    192.168.2.0/24    EBGP   255      0          D        10.1.1.2         GigabitEthernet0/0/2

[AR5] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
                 Destinations : 7                    Routes : 7

Destination/Mask    Proto      Pre    Cost     Flags    NextHop       Interface

          10.1.4.0/24    Direct      0         0         D        10.1.4.1         GigabitEthernet0/0/2
          10.1.4.1/32    Direct      0         0         D        127.0.0.1       GigabitEthernet0/0/2
          127.0.0.0/8    Direct      0         0         D        127.0.0.1       InLoopBack0
        127.0.0.1/32    Direct      0         0         D        127.0.0.1       InLoopBack0
    192.168.1.0/24    EBGP    255      0         D        10.1.4.2         GigabitEthernet0/0/2
    192.168.2.0/24    Direct      0         0         D        192.168.2.1   LoopBack0
    192.168.2.1/32    Direct      0         0         D        127.0.0.1       LoopBack0

Настройка завершена. Проверим доступность филиалов. Для симуляции сетей филиалов будем использовать loopbackинтерфейсы на AR1 и AR5:

[AR1] ping -a 192.168.1.1 192.168.2.1
    PING 192.168.2.1: 56 data bytes, press CTRL_C to break
        Reply from 192.168.2.1: bytes=56 Sequence=1 ttl=253 time=110 ms
        Reply from 192.168.2.1: bytes=56 Sequence=2 ttl=253 time=130 ms
        Reply from 192.168.2.1: bytes=56 Sequence=3 ttl=253 time=110 ms
        Reply from 192.168.2.1: bytes=56 Sequence=4 ttl=253 time=140 ms
        Reply from 192.168.2.1: bytes=56 Sequence=5 ttl=253 time=110 ms

    --- 192.168.2.1 ping statistics ---
        5 packet(s) transmitted
        5 packet(s) received
        0.00% packet loss
        round-trip min/avg/max = 110/120/140 ms

[AR5] ping -a 192.168.2.1 192.168.1.1
    PING 192.168.1.1: 56 data bytes, press CTRL_C to break
        Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=253 time=100 ms
        Reply from 192.168.1.1: bytes=56 Sequence=2 ttl=253 time=80 ms
        Reply from 192.168.1.1: bytes=56 Sequence=3 ttl=253 time=80 ms
        Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=253 time=110 ms
        Reply from 192.168.1.1: bytes=56 Sequence=5 ttl=253 time=110 ms

    --- 192.168.1.1 ping statistics ---
        5 packet(s) transmitted
        5 packet(s) received
        0.00% packet loss
        round-trip min/avg/max = 80/96/110 ms

Посмотрим на содержимое пакетов, которые получает маршрутизатор AR3:

MPLS_2

В заголовке Ethernet видим, что это MPLS пакет (8847). Далее маршрутизатор считывает метку, обращается к своей таблице меток и определяет куда должен быть направлен пакет. У нашего пакета есть две MPLS метки. Первая метка, так называемая транспортная, используется для коммутации пакета в сети MPLS. При входе в сеть (в нашем случае маршрутизатор AR2) вешается метка с одним номером и далее на всех промежуточных узлах она меняется с одной на другую. Вторая метка (сервисная) также вешается при входе в MPLS сеть и уже не меняется до попадания пакета на конечный маршрутизатор MPLS сети (в нашем случае – AR4), где удаляется.

MPLS_3

С AR3 пакет уходит уже с одной меткой. AR3 видит, что пакет адресован сети, которая находится сразу за AR4 и, чтобы упростить задачу следующему маршрутизатору, снимает метку предназначенную для коммутации (технология снятия метки на предпоследнем маршрутизаторе). При получении пакета, конечный маршрутизатор AR4 снимает метку с полученного пакета и, согласно своей внутренней таблице, отправляет его на нужный интерфейс.

  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход