Хорошо

BGP: multi-VPN-instance CE (MCE) Популярное

Последний ответ май 01, 2022 02:23:14 1735 103 25 0 2

Всем доброго дня и хорошего настроения!

           Развивая BGP-направления на нашем форуме, и плавно подходя к темам из «тяжелой» артиллерии, в текущем посте я хотел бы озвучить свой опыт обкатки полезной функции, нацеленной на экономию сил и средств при подключении/образовании в единое целое территориально-распределенной сети Заказчика через MPLS-VPN сеть -  multi-VPN-instance CE (MCE)

__

Постановка проблемы-задачи нам понятна из теоретических статей, я кратко (помните, О. Бэндера = "Я не стану говорить вам о цели нашего собрания — она вам известна") :


1)      Имеем «классическую» схему подключения офисов через MPLS-ядро + BGP-VPNv4:
multi-VPN-instance CE (MCE)


Из схемы, понимаем, что клиентские L3-устройства (CE) необходимы (так исторически сложилось) по кол-ву площадок (VPN-A, B, C...).

Проблем никаких, кроме одной – опять хочется экономить :), причем всем – провайдеру и клиенту.

2)      Предлагается чуть изменить схему подключения клиентов – изъять «лишние» CE-маршрутизаторы, НО, конечно, сохранить метки-принадлежности к VPN-ам (клиентам). Причем, велосипед не изобретали, а «изъяли» идею с 802.1Q (VLAN, на рисунке ниже - цветные линии) и прикрутили к тому, что уже использовалось - BGP VPNv4 (можно и ОSPF). 


В результате, наблюдаем следующий подход к решению задачи:
multi-VPN-instance CE (MCE)


Этот подход И реализация = отдельная методика для BGP-VPN – multi-VPN-instance CE (MCE).

Вот ее и пробуем (я не любитель теории, если честно), особенно на фоне того, что суть (я надеюсь) понятна из 2х картинок выше, а вот примеры настроек - страшно смотреть - страницы за страницами... Проверим.

Результат настроек будет приложен в виде eNSP-архива.

(Кстати, если НЕ видно схему при запуске топологии (в eNSP) – проверяйте, что на пути к файлу нет «кирилицы)

              Изначально, я считаю, что мы с Вами можем включить базово - OSPF, BGP, MPLS И BGP-VPNv4 на своей сети.(т. е. «раздувать» пост «базой» я не буду).

              Так же, для наглядности (сравнения и сопоставления на одном экране-лабе): я в одной схеме реализую как «классический» метод, так и тему поста:


Итак, собрал схемку-лабу: СЛЕВА = Классика, Справа - "MCE":
multi-VPN-instance CE (MCE)



Т. е. тема поста отражена в настройках устройств MCE + PE = это «экономия» на клиентских устройствах. Результат настроек (ожидаемый) – связанность ОФИС1 + ОФИС11 отдельно от ОФИС2 + ОФИС22.


Чтобы не уснуть (как я читая большие примеры настроек), BGP-связки, ОSPF (можно и без него, но вроде, так «логичнее») зарисую отдельно - что сделано в лабе? =
multi-VPN-instance CE (MCE)


     MPLS Ядро включено = PE2+PE

     Логика настроек-пересылок маршрутов и меток (методы перерасчетов маршрутов - как хотите - я сделал по разному на разных маршрутизаторах для интереса):
multi-VPN-instance CE (MCE)


Относительо немного усилий (по времени) и имеем настройки функции, которые можно свести (выделяю то, что относится к теме поста) к следующим шагам:

1) НА MCE.
VPN-ы в сторну "ОФИСов" =

interface GigabitEthernet0/0/1
 ip binding vpn-instance VPN_A
 ip address 10.11.11.1 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip binding vpn-instance VPN_B
 ip address 10.22.22.1 255.255.255.0

2) НА MCE. Транк с PE =

interface GigabitEthernet0/0/0.11
 dot1q termination vid 11
 ip binding vpn-instance VPN_A
 ip address 172.16.11.2 255.255.255.0
 arp broadcast enable
#
interface GigabitEthernet0/0/0.22
 dot1q termination vid 22
 ip binding vpn-instance VPN_B
 ip address 172.16.22.2 255.255.255.0
 arp broadcast enable

3) НА MCE. Распространение меток MCE-PE  через OSPF (часть настройки, без описания меток) =

ospf 111 vpn-instance VPN_A
 import-route direct
 vpn-instance-capability simple (!отключается обнаружение петель в OSPF - теория этого требует)
 area 0.0.0.0
  network 172.16.11.0 0.0.0.255
#
ospf 222 vpn-instance VPN_B
 import-route direct
 vpn-instance-capability simple
 area 0.0.0.0
  network 172.16.22.0 0.0.0.255

Со стороны PE - так же "словили" VLAN + Метки на OSPF-VPN-ы.

Редистрибьюция настроена, согласно схеме сети.

Анализируем результат:

1) На PE_2 принмаем сети из ОФИСА_1 =

<PE_2>display bgp vpnv4 vpn-instance VPN_A routing-table
 BGP Local router ID is 172.16.21.2
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 VPN-Instance VPN_A, Router ID 172.16.21.2:
 Total Number of Routes: 5
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   10.1.1.0/24        0.0.0.0         0                     0      ? (эту сеть "Зацепим" глазом  - она с ОФИСА_1)
                         10.1.1.10       101                   0      65101?
 *>   10.1.1.1/32        0.0.0.0         0                     0      ?
 *>i  10.11.11.0/24      1.1.1.2         2          100        0      ?
 *>i  172.16.11.0/24     1.1.1.2         0          100        0      ?
<PE_2>

1-1) Еще деталей (сетка "локальная" + best - можем отдавать) =

<PE_2>display bgp vpnv4 vpn-instance VPN_A routing-table 10.1.1.1
 BGP local router ID : 172.16.21.2
 Local AS number : 101
 VPN-Instance VPN_A, Router ID 172.16.21.2:
 Paths:   1 available, 1 best, 1 select
...
 AS-path Nil, origin incomplete, MED 0, pref-val 0, valid, local, best, select,
pre 0
 Not advertised to any peer yet
<PE_2>

2) Принимаем сетку на PE (цепочка рассуждений от ОФИСА1 к ОФИСУ11 продолжается):

<PE>display bgp vpnv4 vpn-instance VPN_A routing-table
 BGP Local router ID is 172.16.21.1
 ...
 VPN-Instance VPN_A, Router ID 172.16.21.1:
 Total Number of Routes: 3
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>i  10.1.1.0/24        1.1.1.1         0          100        0      ?
 *>   10.11.11.0/24      0.0.0.0         2                     0      ?
 *>   172.16.11.0/24     0.0.0.0         0                     0      ?
<PE>

2-1) Еще деталька =

<PE>display bgp vpnv4 vpn-instance VPN_A routing-table 10.1.1.1
 BGP local router ID : 172.16.21.1
 Local AS number : 101
 VPN-Instance VPN_A, Router ID 172.16.21.1:
 Paths:   1 available, 1 best, 1 select
 BGP routing table entry information of 10.1.1.0/24:
 Label information (Received/Applied): 1025/NULL (это к тому, что MPLS настроен с "автоматом" (LDP))
 From: 1.1.1.1 (172.16.21.2) (это про то, что пиринг (PE_2 -- PE )по loopback)
 Route Duration: 00h29m43s  
 Relay Tunnel Out-Interface: GigabitEthernet0/0/0
 Relay token: 0x1
 Original nexthop: 1.1.1.1
 Qos information : 0x0
 Ext-Community:RT <101 : 1> (метка для BGP-VPNv4)
 AS-path Nil, origin incomplete, MED 0, localpref 100, pref-val 0, valid, intern
al, best, select, active, pre 255, IGP cost 1 (это про то, что сетку из BGP можно пользовать - далее по схеме - она помещается в OSPF)
 Not advertised to any peer yet
<PE>

----- !! Замечание = До тех пор, пока я от Директ-сетей (хотел побыстрее) не перенастроил BGP-пиринг (PE-2 -- PE) через LoopBACKи, у меня в таблице BGP сетка от соседа (10.1.1.0 - выше) была НЕ best, а следом и перемещать далее в OSPF - НИХТ! Сравнивал строчки-числа - все один в один - но, не признавал BGP-спикер сетку...

3) Далее сетку передаем на MCE по OSPF с меткой (VPNа = 101:1), видим на MCE эту "внешнюю" сетку =

<MCE>display ip routing-table vpn-instance VPN_A protocol ospf verbose
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: VPN_A
         Destinations : 1        Routes : 1        
Destination: 10.1.1.0/24
     Protocol: O_ASE            Process ID: 111
   Preference: 150                    Cost: 1
      NextHop: 172.16.11.1       Neighbour: 0.0.0.0
        State: Active Adv              Age: 00h37m08s
          Tag: 3489661029         Priority: low
        Label: NULL                QoSInfo: 0x0
   IndirectID: 0x0              
 RelayNextHop: 0.0.0.0           Interface: GigabitEthernet0/0/0.11
     TunnelID: 0x0                   Flags:  D
<MCE>

4) Ну и дело техники предоставить эту сетку на интерфейс в VPN_A (в случае с ОФИС11 - просто доступна связь с края на край) =

<OF_11>ping -i vlan1 10.1.1.10
  PING 10.1.1.10: 56  data bytes, press CTRL_C to break
    Reply from 10.1.1.10: bytes=56 Sequence=1 ttl=252 time=40 ms

...

5) В другом VPN-направлении (из ОФИСА_22 к 2) - та же цепочка рассуждений и результат (например из ОФИСА_2) =

<OF_2>display ip routing-table 10.22.22.0
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

     10.22.22.0/24  EBGP    255  0           D   10.2.2.1        GigabitEthernet
0/0/0

<OF_2>

Т. е. результат достигнут. В случае с техниками сервис-провайдера = вся морока = инженеру, пользователю = радость!


Рассуждения о применимости - спорные.

Если в ядре все настроено и унифицированно, то "не верю!".
А вот если не хватает железа и есть возможность немного нового попробовать с прицелом на экономию - то, очень даже норм! Да тут еще и с BGP можно "слезть" на OSPF - что "подкупит" простотой, новичков :)
(понимаем, что как в моем случае - построение ВСЕЙ схемы, в реальности не будет - а будет задачка просто на каком-то участке...)

___
Вся схема - во вложении.

___
Литература =

1) 2) 3) P. S.
Странно, что на eNSP такое удалось настроить, а вот "плевое" QPPB - поддержки нет :)
 

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта? Register

x
  • x

Misha_Balakirev
Опубликовано 2021-6-27 15:20:43
Я с MPLS на основе ospf работал, а вот на BGP нет, хотя принцип, похоже, один будет...
Развернуть
  • x

Victorovski
Victorovski Опубликовано 2021-11-29 13:28 (0) (0)
+  
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:22 (0) (0)
 
TinaSehm
TinaSehm Ответить 2559godji  Опубликовано 2021-12-1 13:02 (0) (0)
 
mkabanov
HCIE MVE Author Опубликовано 2021-6-27 15:47:30
Принцип - идентичен, просто объем сети разный (а значит и потенциальные задачи --> возможности)
Развернуть
  • x

Victorovski
Victorovski Опубликовано 2021-11-29 13:28 (0) (0)
+  
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:22 (0) (0)
 
TinaSehm
TinaSehm Ответить 2559godji  Опубликовано 2021-12-1 13:03 (0) (0)
 
mrppa
MVE Author Опубликовано 2021-6-27 18:42:14
Это мощь!
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-6-27 21:26 (0) (0)
 
Victorovski
Victorovski Опубликовано 2021-11-29 13:28 (0) (0)
+  
NikitamatveeV
NikitamatveeV Ответить mkabanov  Опубликовано 2021-11-29 13:37 (0) (0)
 
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:23 (0) (0)
 
TinaSehm
TinaSehm Ответить 2559godji  Опубликовано 2021-12-1 13:03 (0) (0)
 
2559godji
Опубликовано 2021-6-27 22:43:32

vpn-instace это ведь привычный vrf, по сути?

Про Бэндера вы хорошо вспомнили!)


2


Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-6-28 00:02 (0) (0)
Да - это он (VRF)
:)  
Vasyo
Vasyo Опубликовано 2021-6-28 09:50 (0) (0)
Пример того, как разные бренды одну и ту же березу разными словами называют)  
Victorovski
Victorovski Опубликовано 2021-11-29 13:29 (0) (0)
+  
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:23 (0) (0)
 
NikitamatveeV
NikitamatveeV Ответить Vasyo  Опубликовано 2021-11-30 13:41 (0) (0)
 
TinaSehm
TinaSehm Ответить 2559godji  Опубликовано 2021-12-1 13:03 (0) (0)
 
dai_splav
HCIE MVE Опубликовано 2021-6-28 08:02:07
Отличный материал!
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-6-28 09:50 (0) (0)
 
Victorovski
Victorovski Опубликовано 2021-11-29 13:29 (0) (0)
+  
NikitamatveeV
NikitamatveeV Ответить mkabanov  Опубликовано 2021-11-29 13:38 (0) (0)
 
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:23 (0) (0)
 
TinaSehm
TinaSehm Ответить 2559godji  Опубликовано 2021-12-1 13:03 (0) (0)
 
Vasyo
Админ Опубликовано 2021-6-28 09:48:57
Как я понял, MCE в роли роутера провайдера выступает, а в офисах 11 и 22 ставим коммутаторы вместо роутеров и для клиента это будет услуга L3-VPN c подсетью, которую провайдер даст ему по его выбору
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-6-28 09:53 (0) (0)
Теория - именно такая. (в офисах 11, 22 - что-то небольшое, на чем просто достат. IP + GW Прописать, иначе смысл такой экономии - не очень (если роутеры "нормальные" в офисах))
Думаю, для Б-Центров - самое то.  
Vasyo
Vasyo Ответить mkabanov  Опубликовано 2021-6-28 10:36 (0) (0)
Я у провайдера работал в юности. У него было две услуги для связи офисов: L2 и L3. При этом весь уровень доступа был L2. Он отдавал VLAN клиенту и давал ему шлюз из его клиента VRF  
Vasyo
Vasyo Ответить mkabanov  Опубликовано 2021-6-28 10:38 (0) (0)
И отличная схема с точки зрения траблшутинга. Другое дело L2. Когда клиент заказывал L2, то часто его приходилось собирать через ядро - в этом случае собирали x-connect.  
Vasyo
Vasyo Ответить mkabanov  Опубликовано 2021-6-28 10:39 (0) (0)
У Huawei x-connect называется l2-binding  
mkabanov
mkabanov Ответить Vasyo  Опубликовано 2021-6-28 10:43 (0) (0)
"...опыт, сын ошибок трудных"
Вот интересную тему "Подняли" - для посвященных - табличку-сопоставление названий техник осилить
(СВЕРХ того, что есть у Huawei на курсе по PreSale)  
Victorovski
Victorovski Опубликовано 2021-11-29 13:29 (0) (0)
+  
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:23 (0) (0)
 
A_Litvin
Author Опубликовано 2021-6-28 11:12:57
Спасибо за длинную и подробную статью!
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-6-28 11:17 (0) (0)
 
Victorovski
Victorovski Опубликовано 2021-11-29 13:29 (0) (0)
+  
NikitamatveeV
NikitamatveeV Ответить mkabanov  Опубликовано 2021-11-29 13:38 (0) (0)
 
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:23 (0) (0)
 
A_Litvin
Author Опубликовано 2021-6-28 11:17:25
Это действительно неэкономично ставить каждому офису маршрутизатор, когда можно все силами вышестоящего L3 сегмента решить.
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-6-28 13:04 (0) (0)
согласен (такие техники с нами с "рождения" = VLAN, например, просто желания и территории усложняются...)  
Victorovski
Victorovski Опубликовано 2021-11-29 13:29 (0) (0)
+  
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:23 (0) (0)
 
NikitamatveeV
NikitamatveeV Ответить mkabanov  Опубликовано 2021-11-30 13:42 (0) (0)
 
new_old
Опубликовано 2021-6-28 13:15:13
Опубликовано пользователем Misha_Balakirev в 2021-06-27 15:20 Я с MPLS на основе ospf работал, а вот на BGP нет, хотя принцип ...
Здесь таки есть MPLS или нет? Если VPN сделали, то MPLS не нужен. Для MPLS и коммутаторы дорогие, не экономично получается). Мы решает создаём здесь впн Второго уровня и тогда это MPLS На дорогих коммутаторах или экономично решение за счёт канала третьего уровня, что и видно из статьи)
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-6-28 14:52 (0) (0)
Mpls настроен, но по теме и докладу, Вы все верно сказали - он 'сбоку
P.s. помню курс по базовому mpls из 5 дней: первый день = mpls закончен ;). А остальные дни - накручиваем на роутере то одно, то другое...  
Vasyo
Vasyo Ответить mkabanov  Опубликовано 2021-6-28 15:51 (0) (0)
 
Victorovski
Victorovski Опубликовано 2021-11-29 13:29 (0) (0)
+  
2559godji
2559godji Ответить Victorovski  Опубликовано 2021-11-30 13:24 (0) (0)
 
NikitamatveeV
NikitamatveeV Ответить mkabanov  Опубликовано 2021-11-30 13:42 (0) (0)
 
123
К списку

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.