【思科】MPLS VPN 实验配置
实验需求
一、如图所示,环境中存在一共四个站点,分为A公司与B公司,其中A与B各有两个办公点,需要通过MPLS VPN进行站点间通讯。
解决思路
先做运营商内部
① 运营商的内部IP地址都配上
② 运营商内部都启用OSPF来实现内部全网互通
③ 运营商内部开启MPLS 功能,解决BGP的路由黑洞问题
④ PE1 和 PE4 之间开启MP-BGP,来传递A、B站点的路由信息,实现MPLS VPN 访问站点内部
二、A公司采用OSPF协议与PE设备进行路由条目交互,
B公司采用BGP协议与PE设备进行路由条目交互,其中B公司的两个办公点都采用AS 200。
解决思路
① 先把A、B公司基础IP地址配上
② A公司与PE之间,启用OPSF来传递内部路由信息(loobpack)
③ B公司与PE之间,启用BGP 来传递内部路由信息(loobpack)
④ PE上需要创建两个VRF A、B,并且里面需要设定RD、RT值,来区分不同公司的路由,保证互不影响
⑤ 为了让A1、A2两个站点能学习到对方路由,需要在PE中,双向路由引入,BGP引入OSPF、OPSF引入BGP
⑥ 因为存在EBGP的as-path,防环措施,导致B1和B2两家公司不能相互学习到对方路由,这个时候需要在B1、B2中对EBGP邻居允许AS重复一次机制(双方公司站点均属于同一区域并且传递路由时触发EBGP环路避免机制,为打破该机制)
三、两个公司在满足VPN业务的基础上保证互联网数据通讯。
思路:
NAT(子接口、Tunnel隧道、VRF路由)
拓扑
第一题
如图所示,环境中存在一共四个站点,分为A公司与B公司,其中A与B各有两个办公点,需要通过MPLS VPN进行站点间通讯。
思路
先做运营商内部
① 运营商的内部IP地址都配上
② 运营商内部都启用OSPF来实现内部全网互通
③ 运营商内部开启MPLS 功能,解决BGP的路由黑洞问题
④ PE1 和 PE4 之间开启MP-BGP,来传递A、B站点的路由信息,实现MPLS VPN 访问站点内部
PE1
Router>en
Router#conf t
Router(config)#host PE1
PE1(config)#int loopback 0
PE1(config-if)#ip address 1.1.1.1 255.255.255.255
PE1(config-if)#exit
PE1(config)#int e0/0
PE1(config-if)#no shutdown
PE1(config-if)#ip address 202.101.12.1 255.255.255.0
PE1(config-if)#exit
## 用OPSF实现运营商内部全网互通
PE1(config)#router ospf 110
PE1(config-router)#router-id 1.1.1.1
PE1(config-router)#network 1.1.1.1 0.0.0.0 area 0
PE1(config-router)#network 202.101.12.0 0.0.0.255 area 0
PE1(config-router)#exit
## 进入接口,启用MPLS功能
PE1(config)#int range e0/0-2
PE1(config-if-range)#mpls ip
PE1(config-if-range)#exit
## 与PE4建立MP-BGP的邻居关系,可以传输VPNv4的路由(VRF)
PE1(config)#router bgp 100
PE1(config-router)#neighbor 4.4.4.4 remote-as 100
PE1(config-router)#neighbor 4.4.4.4 update-source loopback 0
## 再建立BGP IPv4的邻居
PE1(config-router)#address-family ipv4
PE1(config-router-af)#neighbor 4.4.4.4 activate
PE1(config-router-af)#exit
## 再建立BGP VPNv4的邻居
PE1(config-router)#address-family vpnv4
PE1(config-router-af)#neighbor 4.4.4.4 activate
PE1(config-router-af)#exit
PE1(config-router)#exit
============================================================================================
## 查看BGP 邻居
# PE1(config)#do show ip bgp summary
BGP router identifier 1.1.1.1, local AS number 100
BGP table version is 1, main routing table version 1
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
4.4.4.4 4 100 9 10 1 0 0 00:04:32 0
============================================================================================
# 查看MPLS 转发表
# PE1#show mpls forwarding-table
Local Outgoing Prefix Bytes Label Outgoing Next Hop
Label Label or Tunnel Id Switched interface
17 Pop Label 202.101.23.0/24 0 Et0/0 202.101.12.2
18 18 8.8.8.8/32 0 Et0/0 202.101.12.2
19 19 202.101.34.0/24 0 Et0/0 202.101.12.2
============================================================================================
# 查看Cef 转发路径
# PE1#show ip cef 4.4.4.4
4.4.4.4/32
nexthop 202.101.12.2 Ethernet0/0 label 16-(local:26)
P2
Router>en
Router#conf t
Router(config)#host P2
P2(config)#int e0/0
P2(config-if)#no shutdown
P2(config-if)#ip address 202.101.12.2 255.255.255.0
P2(config-if)#exit
P2(config)#int e0/1
P2(config-if)#no shutdown
P2(config-if)#ip address 202.101.23.2 255.255.255.0
P2(config-if)#exit
P2(config)#router ospf 110
P2(config-router)#router-id 2.2.2.2
P2(config-router)#network 202.101.12.0 0.0.0.255 area 0
P2(config-router)#network 202.101.23.0 0.0.0.255 area 0
P2(config-router)#exit
P2(config)#int range e0/0-1
P2(config-if-range)#mpls ip
P2(config-if-range)#exit
============================================================================================
## 查看MPLS 转发表
P2#show mpls forwarding-table
Local Outgoing Prefix Bytes Label Outgoing Next Hop
Label Label or Tunnel Id Switched interface
16 16 4.4.4.4/32 5681 Et0/1 202.101.23.3
18 No Label 8.8.8.8/32 0 Et0/1 202.101.23.3
19 Pop Label 202.101.34.0/24 0 Et0/1 202.101.23.3
20 Pop Label 1.1.1.1/32 6045 Et0/0 202.101.12.1
P3
Router>en
Router#conf t
Router(config)#host P3
P3(config)#int e0/0
P3(config-if)#no shutdown
P3(config-if)#ip address 202.101.23.3 255.255.255.0
P3(config-if)#exit
P3(config)#int e0/1
P3(config-if)#no shutdown
P3(config-if)#ip address 202.101.34.3 255.255.255.0
P3(config-if)#exit
P3(config)#int loopback 0
P3(config-if)#ip address 8.8.8.8 255.255.255.0
P3(config-if)#exit
P3(config)#router ospf 110
P3(config-router)#router-id 3.3.3.3
P3(config-router)#network 8.8.8.8 0.0.0.0 area 0
P3(config-router)#network 202.101.23.0 0.0.0.255 area 0
P3(config-router)#network 202.101.34.0 0.0.0.255 area 0
P3(config-router)#exit
P3(config)#int range e0/0-1
P3(config-if-range)#mpls ip
P3(config-if-range)#exit
============================================================================================
## 查看MPLS 转发表
P3#show mpls forwarding-table
Local Outgoing Prefix Bytes Label Outgoing Next Hop
Label Label or Tunnel Id Switched interface
16 Pop Label 4.4.4.4/32 4888 Et0/1 202.101.34.4
18 20 1.1.1.1/32 4281 Et0/0 202.101.23.2
19 Pop Label 202.101.12.0/24 0 Et0/0 202.101.23.2
P3#
PE4
Router>en
Router#conf t
Router(config)#host PE4
PE4(config)#int e0/0
PE4(config-if)#no shutdown
PE4(config-if)#ip address 202.101.34.4 255.255.255.0
PE4(config-if)#exit
PE4(config)#int loopback 0
PE4(config-if)#ip address 4.4.4.4 255.255.255.255
PE4(config-if)#exit
PE4(config)#router ospf 110
PE4(config-router)#router-id 4.4.4.4
PE4(config-router)#network 4.4.4.4 0.0.0.0 area 0
PE4(config-router)#network 202.101.34.0 0.0.0.255 area 0
PE4(config-router)#exit
PE4(config)#int range e0/0-2
PE4(config-if-range)#mpls ip
PE4(config-if-range)#exit
## 与PE1建立MP-BGP的邻居关系,可以传输VPNv4的路由(VRF)
PE4(config)#router bgp 100
PE4(config-router)#neighbor 1.1.1.1 remote-as 100
PE4(config-router)#neighbor 1.1.1.1 update-source loopback 0
## 先建立BGP IPv4的邻居
PE4(config-router)#address-family ipv4
PE4(config-router-af)#neighbor 1.1.1.1 activate
PE4(config-router-af)#exit
## 再建立BGP VPNv4的邻居
PE4(config-router)#address-family vpnv4
PE4(config-router-af)#neighbor 1.1.1.1 activate
PE4(config-router-af)#exit
PE4(config-router)#exit
============================================================================================
## 查看BGP邻居建立情况
PE4(config)#do show ip bgp summary
BGP router identifier 4.4.4.4, local AS number 100
BGP table version is 1, main routing table version 1
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
1.1.1.1 4 100 5 5 1 0 0 00:00:21 0
============================================================================================
## 查看Cef 转发路径
PE4#show ip cef 1.1.1.1
1.1.1.1/32
nexthop 202.101.34.3 Ethernet0/0 label 18-(local:28)
第二题
A公司采用OSPF协议与PE设备进行路由条目交互,
B公司采用BGP协议与PE设备进行路由条目交互,其中B公司的两个办公点都采用AS 200。
解决思路
① 先把A、B公司基础IP地址配上
② A公司与PE之间,启用OPSF来传递内部路由信息(loobpack)
③ B公司与PE之间,启用BGP 来传递内部路由信息(loobpack)
④ PE上需要创建两个VRF A、B,并且里面需要设定RD、RT值,来区分不同公司的路由,保证互不影响
⑤ 为了让A1、A2两个站点能学习到对方路由,需要在PE中,双向路由引入,BGP引入OSPF、OPSF引入BGP
⑥ 因为存在EBGP的as-path,防环措施,导致B1和B2两家公司不能相互学习到对方路由,这个时候需要在B1、B2中对EBGP邻居允许AS重复一次机制(双方公司站点均属于同一区域并且传递路由时触发EBGP环路避免机制,为打破该机制)
PE1
## 创建两个VRF
PE1(config)#vrf definition A
PE1(config-vrf)#address-family ipv4
PE1(config-vrf-af)#exit
PE1(config-vrf)#exit
PE1(config)#vrf definition B
PE1(config-vrf)#address-family ipv4
PE1(config-vrf-af)#exit
PE1(config-vrf)#exit
## 将端口划分进VRF
PE1(config)#int e0/1
PE1(config-if)#no shutdown
PE1(config-if)#vrf forwarding A
PE1(config-if)#ip address 11.11.11.1 255.255.255.0
PE1(config-if)#exit
PE1(config)#int e0/2
PE1(config-if)#no shutdown
PE1(config-if)#vrf forwarding B
PE1(config-if)#ip address 12.12.12.1 255.255.255.0
PE1(config-if)#exit
## 在VRF中添加RD、RT
## RD - 区分不同客户的私有路由条目 -- 标记
## RT - 控制路由条目的收发 -- 过滤
PE1(config)#vrf definition A
PE1(config-vrf)#rd 1:1 ## VRF A RD 值为1:1 则PE4的RD值也为 1:1
PE1(config-vrf)#route-target export 100:1 ## VRF A RT的出方向 100:1 则PE4入方向为 100:1
PE1(config-vrf)#route-target import 200:1 ## VRF A RT的入方向 200:1 则PE4出方向为 200:1
PE1(config-vrf)#exit
PE1(config)#vrf definition B
PE1(config-vrf)#rd 1:2 ## VRF B RD 值为1:2 则PE4的RD值也为 1:2
PE1(config-vrf)#route-target export 100:2 ## VRF B RT的出方向 100:2 则PE4入方向为 100:2
PE1(config-vrf)#route-target import 200:2 ## VRF B RT的入方向 200:2 则PE4出方向为 200:2
PE1(config-vrf)#exit
## 和CE-A1建立ospf邻居,传递路由信息
PE1(config)#router ospf 89 vrf A
PE1(config-router)#network 11.11.11.0 0.0.0.255 area 0
PE1(config-router)#exit
## 和CE-B1 建立EBGP邻居,传递路由信息
PE1(config)#router bgp 100
PE1(config-router)#address-family ipv4 vrf B
PE1(config-router-af)#neighbor 12.12.12.2 remote-as 200
PE1(config-router-af)#neighbor 12.12.12.2 activate
PE1(config-router-af)#network 12.12.12.0 mask 255.255.255.0
PE1(config-router-af)#exit
PE1(config-router)#exit
## 双向重分发
PE1(config)#router ospf 89 vrf A
PE1(config-router)#redistribute bgp 100
PE1(config-router)#exit
PE1(config)#router bgp 100
PE1(config-router)#address-family ipv4 vrf A
PE1(config-router-af)#redistribute ospf 89
PE1(config-router-af)#exit
PE1(config-router)#exit
CE-A1
Router>en
Router#conf t
Router(config)#host CE-A1
CE-A1(config)#int Loopback 1
CE-A1(config-if)#ip address 192.10.1.1 255.255.255.0
CE-A1(config-if)#ex
CE-A1(config)#int Loopback 2
CE-A1(config-if)#ip address 192.10.2.1 255.255.255.0
CE-A1(config-if)#ex
CE-A1(config)#int Loopback 3
CE-A1(config-if)#ip address 192.10.3.1 255.255.255.0
CE-A1(config-if)#exit
CE-A1(config)#int e0/0
CE-A1(config-if)#no shutdown
CE-A1(config-if)#ip address 11.11.11.2 255.255.255.0
CE-A1(config-if)#ex
CE-A1(config)#router ospf 89
CE-A1(config-router)#network 192.10.0.0 0.0.255.255 area 0
CE-A1(config-router)#network 11.11.11.0 0.0.0.255 area 0
CE-A1(config-router)#exit
CE-B1
Router>en
Router#conf t
Router(config)#host CE-B1
CE-B1(config)#int Loopback 1
CE-B1(config-if)#ip address 172.10.1.1 255.255.255.0
CE-B1(config-if)#ex
CE-B1(config)#int Loopback 2
CE-B1(config-if)#ip address 172.10.2.1 255.255.255.0
CE-B1(config-if)#ex
CE-B1(config)#int Loopback 3
CE-B1(config-if)#ip address 172.10.3.1 255.255.255.0
CE-B1(config-if)#exit
CE-B1(config)#int e0/0
CE-B1(config-if)#no shutdown
CE-B1(config-if)#ip address 12.12.12.2 255.255.255.0
CE-B1(config-if)#ex
CE-B1(config)#router bgp 200
CE-B1(config-router)#neighbor 12.12.12.1 remote-as 100
CE-B1(config-router)#address-family ipv4
CE-B1(config-router-af)#network 12.12.12.0 mask 255.255.255.0
CE-B1(config-router-af)#network 172.10.1.0 mask 255.255.255.0
CE-B1(config-router-af)#network 172.10.2.0 mask 255.255.255.0
CE-B1(config-router-af)#network 172.10.3.0 mask 255.255.255.0
CE-B1(config-router-af)#neighbor 12.12.12.1 activate
CE-B1(config-router-af)#exit
CE-B1(config-router)#exit
!!!
## 与CE-B1处于同一个AS中,需要破除EBGP的防环机制(AS-Path)
## 允许接受同一个AS下的路由
CE-B1(config)#router bgp 200
CE-B1(config-router)#address-family ipv4
## Ipv4 地址族中要是没有allowas,那就试试在config-router下
CE-B1(config-router-af)#neighbor 12.12.12.1 allowas-in 1
CE-B1(config-router-af)#exit
CE-B1(config-router)#exit
PE4
## 创建VRF
PE4(config)#vrf definition A
PE4(config-vrf)#address-family ipv4
PE4(config-vrf-af)#exit
PE4(config-vrf)#exit
PE4(config)#vrf definition B
PE4(config-vrf)#address-family ipv4
PE4(config-vrf-af)#exit
PE4(config-vrf)#exit
## 将端口划分进VRF中
PE4(config)#int e0/1
PE4(config-if)#no shutdown
PE4(config-if)#vrf forwarding A
PE4(config-if)#ip address 21.21.21.1 255.255.255.0
PE4(config-if)#exit
PE4(config)#int e0/2
PE4(config-if)#no shutdown
PE4(config-if)#vrf forwarding B
PE4(config-if)#ip address 22.22.22.1 255.255.255.0
PE4(config-if)#exit
## 在VRF中添加RD、RT
## RD - 区分不同客户的私有路由条目 -- 标记
## RT - 控制路由条目的收发 -- 过滤
PE4(config)#vrf definition A
PE4(config-vrf)#rd 1:1
PE4(config-vrf)#route-target import 100:1
PE4(config-vrf)#route-target export 200:1
PE4(config-vrf)#exit
PE4(config)#vrf definition B
PE4(config-vrf)#rd 1:2
PE4(config-vrf)#route-target import 100:2
PE4(config-vrf)#route-target export 200:2
PE4(config-vrf)#exit
## 与CE-A2 建立OSPF邻居,并学习A2的内部路由信息
PE4(config)#router ospf 89 vrf A
PE4(config-router)#network 21.21.21.0 0.0.0.255 area 0
PE4(config-router)#exit
## 与CE-B2 建立EBGP邻居,并学习B2的内部路由信息
PE4(config)#router bgp 100
PE4(config-router)#address-family ipv4 vrf B
PE4(config-router-af)#neighbor 22.22.22.2 remote-as 200
PE4(config-router-af)#neighbor 22.22.22.2 activate
PE4(config-router-af)#network 22.22.22.0 mask 255.255.255.0
PE4(config-router-af)#exit
PE4(config-router)#exit
## 将A公司内部路由重分布进MP-BGP的VRF A中,让对方站点也学到该路由
PE4(config)#router ospf 89 vrf A
PE4(config-router)#redistribute bgp 100
PE4(config-router)#exit
PE4(config)#router bgp 100
PE4(config-router)#address-family ipv4 vrf A
PE4(config-router-af)#redistribute ospf 89
PE4(config-router-af)#exit
PE4(config-router)#exit
CE-A2
Router>en
Router#conf t
Router(config)#host CE-A2
## 基本配置
CE-A2(config)#int e0/0
CE-A2(config-if)#no shutdown
CE-A2(config-if)#ip address 21.21.21.2 255.255.255.0
CE-A2(config-if)#ex
CE-A2(config)#int loopback 1
CE-A2(config-if)#ip address 192.20.1.1 255.255.255.0
CE-A2(config-if)#exit
CE-A2(config)#int loopback 2
CE-A2(config-if)#ip address 192.20.2.1 255.255.255.0
CE-A2(config-if)#exit
CE-A2(config)#int loopback 3
CE-A2(config-if)#ip address 192.20.3.1 255.255.255.0
CE-A2(config-if)#exit
## OSPF
CE-A2(config)#router ospf 110
CE-A2(config-router)# network 21.21.21.0 0.0.0.255 area 0
CE-A2(config-router)# network 192.20.0.0 0.0.255.255 area 0
CE-A2(config-router)#exit
============================================================================================
## 查看路由表
## 可以看到我A2站点已经学习到A1 站点的路由信息
# CE-A2#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
Gateway of last resort is not set
11.0.0.0/24 is subnetted, 1 subnets
O IA 11.11.11.0 [110/11] via 21.21.21.1, 00:06:09, Ethernet0/0
21.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 21.21.21.0/24 is directly connected, Ethernet0/0
L 21.21.21.2/32 is directly connected, Ethernet0/0
192.10.1.0/32 is subnetted, 1 subnets
O IA 192.10.1.1 [110/21] via 21.21.21.1, 00:06:09, Ethernet0/0
192.10.2.0/32 is subnetted, 1 subnets
O IA 192.10.2.1 [110/21] via 21.21.21.1, 00:06:09, Ethernet0/0
192.10.3.0/32 is subnetted, 1 subnets
O IA 192.10.3.1 [110/21] via 21.21.21.1, 00:06:09, Ethernet0/0
192.20.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.20.1.0/24 is directly connected, Loopback1
L 192.20.1.1/32 is directly connected, Loopback1
192.20.2.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.20.2.0/24 is directly connected, Loopback2
L 192.20.2.1/32 is directly connected, Loopback2
192.20.3.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.20.3.0/24 is directly connected, Loopback3
L 192.20.3.1/32 is directly connected, Loopback3
============================================================================================
## 此时也能通过MPLS VPN 达到对方A1站点内部路由
# CE-A2#ping 192.10.1.1 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.10.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.20.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
CE-B2
Router>en
Router#conf t
Router(config)#host CE-B2
## 基本配置
CE-B2(config)#int e0/0
CE-B2(config-if)#no shutdown
CE-B2(config-if)#ip address 22.22.22.2 255.255.255.0
CE-B2(config-if)#exit
CE-B2(config)#int loopback 1
CE-B2(config-if)#ip address 172.20.1.1 255.255.255.0
CE-B2(config-if)#exit
CE-B2(config)#int loopback 2
CE-B2(config-if)#ip address 172.20.2.1 255.255.255.0
CE-B2(config-if)#exit
CE-B2(config)#int loopback 3
CE-B2(config-if)#ip address 172.20.3.1 255.255.255.0
CE-B2(config-if)#exit
## 与PE4建立BGP邻居,传递路由信息
CE-B2(config)#router bgp 200
CE-B2(config-router)#neighbor 22.22.22.1 remote-as 1
CE-B2(config-router)#address-family ipv4
CE-B2(config-router-af)#network 22.22.22.0 mask 255.255.255.0
CE-B2(config-router-af)#network 172.20.1.0 mask 255.255.255.0
CE-B2(config-router-af)#network 172.20.2.0 mask 255.255.255.0
CE-B2(config-router-af)#network 172.20.3.0 mask 255.255.255.0
CE-B2(config-router-af)#neighbor 22.22.22.1 activate
CE-B2(config-router-af)#exit
CE-B2(config-router)#exit
!!!
## 与CE-B1处于同一个AS中,需要破除EBGP的防环机制(AS-Path)
## 允许接受同一个AS下的路由
CE-B2(config)#router bgp 200
CE-B2(config-router)#address-family ipv4
CE-B2(config-router-af)#neighbor 22.22.22.1 allowas-in 1
CE-B2(config-router-af)#exit
CE-B2(config-router)#exit
============================================================================================
## 查看路由表
## 可以看到我 B2 站点已经学习到B1 站点的内部路由信息
CE-B2#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
Gateway of last resort is not set
12.0.0.0/24 is subnetted, 1 subnets
B 12.12.12.0 [20/0] via 22.22.22.1, 00:11:28
22.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 22.22.22.0/24 is directly connected, Ethernet0/0
L 22.22.22.2/32 is directly connected, Ethernet0/0
172.10.0.0/24 is subnetted, 3 subnets
B 172.10.1.0 [20/0] via 22.22.22.1, 00:11:28
B 172.10.2.0 [20/0] via 22.22.22.1, 00:11:28
B 172.10.3.0 [20/0] via 22.22.22.1, 00:11:28
172.20.0.0/16 is variably subnetted, 6 subnets, 2 masks
C 172.20.1.0/24 is directly connected, Loopback1
L 172.20.1.1/32 is directly connected, Loopback1
C 172.20.2.0/24 is directly connected, Loopback2
L 172.20.2.1/32 is directly connected, Loopback2
C 172.20.3.0/24 is directly connected, Loopback3
L 172.20.3.1/32 is directly connected, Loopback3
============================================================================================
## 此时也能通过MPLS VPN 访问到对方B1站点内部路由
CE-B2#ping 172.10.1.1 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.10.1.1, timeout is 2 seconds:
Packet sent with a source address of 172.20.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
第三题
两个公司在满足VPN业务的基础上保证互联网数据通讯。
这个时候,不单单做NAT就能够上网了
我们有使用VRF来划分,这个就是PE1的路由表就是变成了 VRF路由表+全局路由表
因为我们是要上网的,是要去访问P3的8.8.8.8路由条目,而8.8.8.8条目只存在全局路由表,如图所示
而我的VRF 中是不存在8.8.8.8 这条路由条目
解决办法:
① 用VRF指定路由
就是写一条默认路由,放进VRF路由表
然后全局那边再写一条,这样子就相互有联系就可以上网
② tunnel隧道接口
直接再创建一个接口,用这个接口来上网
思路
① CE-A1与CE-A2均采用VRF指定路由
PE1
## VRF A 去往全局路由表中
PE1(config)#ip route vrf A 0.0.0.0 0.0.0.0 202.101.12.2 global
## 全局路由表 回到VRF A路由表中
PE1(config)#ip route 11.11.11.0 255.255.255.0 e0/1
## 将VRF A 的目的网段下发给运营商内部其它路由器
PE1(config)#router ospf 110
PE1(config-router)#redistribute static
PE1(config-router)#exit
CE - A1
CE-A1(config)#int range loopback 1-3
CE-A1(config-if-range)#ip nat inside
CE-A1(config-if-range)#exit
CE-A1(config)#int e0/0
CE-A1(config-if)#ip nat outside
CE-A1(config-if)#exit
CE-A1(config)#access-list 1 permit 192.10.0.0 0.0.255.255
CE-A1(config)#ip nat inside source list 1 interface e0/0 overload
CE-A1(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1
============================================================================================
## 上网的流量
CE-A1(config)#do ping 8.8.8.8 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 192.10.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/7 ms
============================================================================================
## MPLS VPN 的流量
CE-A1(config)#do ping 192.20.1.1 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.20.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.10.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms
PE4
## VRF A 去往全局路由表中
PE4(config)#ip route vrf A 0.0.0.0 0.0.0.0 202.101.34.3 global
## 全局路由表 回到VRF A路由表中
PE4(config)#ip route 21.21.21.0 255.255.255.0 e0/1
## 将VRF A 的目的网段下发给运营商内部其它路由器
PE4(config)#router ospf 110
PE4(config-router)#redistribute static
PE4(config-router)#exit
CE - A2
CE-A2(config)#int range loopback 1-3
CE-A2(config-if-range)#ip nat inside
CE-A2(config-if-range)#exit
CE-A2(config)#int e0/0
CE-A2(config-if)#ip nat outside
CE-A2(config-if)#exit
CE-A2(config)#access-list 1 permit 192.20.0.0 0.0.255.255
CE-A2(config)#ip nat inside source list 1 interface e0/0 overload
CE-A2(config)#ip route 0.0.0.0 0.0.0.0 21.21.21.1
============================================================================================
## 上网的流量
CE-A2(config)#do ping 8.8.8.8 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 192.20.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
============================================================================================
## MPLS VPN 的流量
CE-A2(config)#do ping 192.10.1.1 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.10.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.20.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms
② CE-B1与CE-B2均采用tunnel接口访问互联网
PE1
PE1(config)#int tunnel 12
PE1(config-if)#ip address 202.12.12.1 255.255.255.0
PE1(config-if)#tunnel source e0/2
PE1(config-if)#tunnel destination 12.12.12.2
## 让隧道去查看VRF B的路由表项
PE1(config-if)#tunnel vrf B
## 接口UP后,才能通告进OSPF中,这个也是为了让运营商内部学到该路由,实现公网可达
PE1(config-if)#ip ospf 110 area 0
CE-B1
CE-B1(config)#int tunnel 12
CE-B1(config-if)#ip address 202.12.12.2 255.255.255.0
CE-B1(config-if)#tunnel source e0/0
CE-B1(config-if)#tunnel destination 12.12.12.1
CE-B1(config-if)#exit
CE-B1(config)#int range lo1-3
CE-B1(config-if-range)#ip nat inside
CE-B1(config-if-range)#exit
CE-B1(config)#int e0/0
CE-B1(config-if)#ip nat outside
CE-B1(config-if)#exit
CE-B1(config)#access-list 1 permit 172.10.0.0 0.0.255.255
CE-B1(config)#ip nat inside source list 1 interface tunnel 12 overload
CE-B1(config)#ip route 0.0.0.0 0.0.0.0 tunnel 12
============================================================================================
## 上网的流量
CE-B1(config)#do ping 8.8.8.8 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 172.10.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
============================================================================================
## MPLS VPN 的流量
CE-B1(config)#do ping 172.20.1.1 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.20.1.1, timeout is 2 seconds:
Packet sent with a source address of 172.10.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/4 ms
CE-B1(config)#
PE4
PE4(config)#int tunnel 22
PE4(config-if)#ip address 202.22.22.1 255.255.255.0
PE4(config-if)#tunnel source e0/2
PE4(config-if)#tunnel destination 22.22.22.2
PE4(config-if)#tunnel vrf B
PE4(config-if)#ip ospf 110 area 0
CE - B2
CE-B2(config)#int tunnel 22
CE-B2(config-if)#ip address 202.22.22.2 255.255.255.0
CE-B2(config-if)#tunnel source e0/0
CE-B2(config-if)#tunnel destination 22.22.22.1
CE-B2(config-if)#exit
CE-B2(config)#int range lo1-3
CE-B2(config-if-range)#ip nat inside
CE-B2(config-if-range)#exit
CE-B2(config)#int tunnel 22
CE-B2(config-if)#ip nat outside
CE-B2(config-if)#exit
CE-B2(config)#access-list 1 permit 172.20.0.0 0.0.255.255
CE-B2(config)#ip nat inside source list 1 interface tunnel 22 overload
CE-B2(config)#ip route 0.0.0.0 0.0.0.0 tunnel 22
CE-B2(config)#int e0/0
CE-B2(config-if)#no ip nat outside
CE-B2(config-if)#exit
============================================================================================
## 上网的流量
CE-B2(config)#do ping 8.8.8.8 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 172.20.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
============================================================================================
## MPLS VPN 的流量
CE-B2(config)#do ping 172.10.1.1 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.10.1.1, timeout is 2 seconds:
Packet sent with a source address of 172.20.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
CE-B2(config)#
本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » 【思科】MPLS VPN 实验配置
发表评论 取消回复