知

H3C S9500交换机MPLS BGP VPN嵌套VPN的配置

S9500系列

2006-10-08 发表

0关注
0收藏 1134浏览

楼依帆

楼依帆段

粉丝：人关注：人

H3C S9500交换机MPLS BGP VPN嵌套VPN的配置

一、组网需求：

如下组网中，PPE1和PPE2为服务运行商PE，CPE1和CPE2为用户PE设备。

这里以VPN1为例子介绍，其他VPN类似。在PPE1、CPE1和CPE2三台设备上都有VPN1，其中PPE1和CPE1为嵌套组网。

二、组网图

三、配置步骤：

软件版本：S9500交换机1250以后软件版本

硬件版本：S9500交换机C/CA/CB类型业务板

1）在PPE1和PPE2设备之间启动的IGP协议（例如OSPF），使之间路由可达；

2）在PPE1和PPE2启动MPLS LDP基本能力；在PPE和CPE之间启动基本MPLS能力，但是不启动LDP；

3）在PPE和CPE路由器之间配置IBGP VPNv4邻居，需要配置路由下一跳为自己（next-hop-local）；

4）在PPE和CPE路由器上配置相应的VPN实例；

5）在PPE上使能嵌套VPN功能。

6）在PPE（customer VPN下）和CPE路由器上配置EBGP VPNv4邻居，并且取消IPv4邻居关系；

7）在PPE的customer VPN下配置BGP策略，使只接受来自CPE的嵌套VPN的VPNv4路由；

8）CE和P（如果有）设备和普通VPN配置完全相同。

详细配置介绍：

本示例中主要介绍VPN1的配置，其它VPN的配置与之类似。

1．配置环回口IP，配置MPLS LSR-ID，全局使能MPLS和LDP能力

1）配置PPE1设备

[PPE1] mpls lsr-id 5.5.5.5

[PPE1] mpls

[PPE1] mpls ldp

[PPE1] interface LoopBack0

[PPE1-LoopBack0] ip address 5.5.5.5 255.255.255.255

2）配置PPE2设备

[PPE2] mpls lsr-id 4.4.4.4

[PPE2] mpls

[PPE2] mpls ldp

[PPE2] interface LoopBack0

[PPE2-LoopBack0] ip address 4.4.4.4 255.255.255.255

2．配置PPE1和PPE2之间VLAN（即公网侧VLAN），并在接口使能MPLS和LDP

1）配置PPE1设备

[PPE1] vlan 110

[PPE1-vlan110] interface vlan 110

[PPE1-Vlan-interface110] ip address 10.1.1.1 255.0.0.0

[PPE1-Vlan-interface110] mpls

[PPE1-Vlan-interface110] mpls ldp enable

[PPE1-Vlan-interface110] mpls ldp transport-ip interface

2）配置PPE2设备

[PPE2] vlan 110

[PPE2-vlan110] interface vlan-interface 110

[PPE2-Vlan-interface110] ip address 10.1.1.2 255.0.0.0

[PPE2-Vlan-interface110] mpls

[PPE2-Vlan-interface110] mpls ldp enable

[PPE2-Vlan-interface110] mpls ldp transport-ip interface

3．在运营商骨干网上配置IGP，例如：OSPF（即配置PPE1和PPE2之间路由协议，使其之间环回口路由可达）

[PPE1] ospf

[PPE1-ospf] area 0

[PPE1-ospf-area-0.0.0.0] network 5.5.5.5 0.0.0.0

[PPE1-ospf-area-0.0.0.0] network 10.0.0.0 0.255.255.255

[PPE2] ospf

[PPE2-ospf] area 0

[PPE2-ospf-area-0.0.0.0] network 4.4.4.4 0.0.0.0

[PPE2-ospf-area-0.0.0.0] network 10.0.0.0 0.255.255.255

4．在PPE1和PPE2之间配置M-IBGP，传递VPNv4路由

1）配置PPE1设备

[PPE1] bgp 100

[PPE1-bgp] group ibgp internal

[PPE1-bgp] peer 4.4.4.4 group ibgp

关键步骤，使用环回口建立BGP邻居，必须指定源IP

[PPE1-bgp] peer 4.4.4.4 connect-interface LoopBack0

[PPE1-bgp] ipv4-family vpnv4

[PPE1-bgp-af-vpn] peer ibgp enable

关键步骤，配置IBGP邻居（即PPE2）之间的路由下一跳为自己

[PPE1-bgp-af-vpn] peer ibgp next-hop-local

[PPE1-bgp-af-vpn] peer 4.4.4.4 group ibgp

2）配置PPE2设备

[PPE2] bgp 100

[PPE2-bgp] group ibgp internal

[PPE2-bgp] peer 5.5.5.5 group ibgp

关键步骤，使用环回口建立BGP邻居，必须指定源IP

[PPE2-bgp] peer 5.5.5.5 connect-interface LoopBack0

[PPE2-bgp] ipv4-family vpnv4

[PPE2-bgp-af-vpn] peer ibgp enable

关键步骤，配置IBGP邻居（即PPE1）之间的路由下一跳为自己

[PPE2-bgp-af-vpn] peer ibgp next-hop-local

[PPE2-bgp-af-vpn] peer 5.5.5.5 group ibgp

5．在PPE上创建VPN实例（接入Customer PE和直接接入的用户CE的VPN实例），并创建相应VLAN，在VLAN接口绑定VPN实例

1）配置PPE1设备相关VPN实例

[PPE1] ip vpn-instance customer_vpn

[PPE1-vpn-instance] route-distinguisher 3:3

[PPE1-vpn-instance] vpn-target 3:3

[PPE1] ip vpn-instance vpn1

[PPE1-vpn-instance] route-distinguisher 1:1

[PPE1-vpn-instance] vpn-target 1:1

关键步骤，在直接连接CE的VPN下需要配置到customer_vpn的vpn-target（即RT）导出属性

[PPE1-vpn-instance] vpn-target 3:3 export-extcommunity

2）配置PPE1设备customer_vpn侧VLAN，并绑定VPN实例，启动MPLS，但是不启动LDP

[PPE1] vlan 310

[PPE1] interface vlan 310

[PPE1-Vlan-interface310] ip binding vpn-instance customer_vpn

[PPE1-Vlan-interface310] ip address 1.1.1.2 255.0.0.0

关键步骤，启动MPLS，但是不启动LDP

[PPE1- Vlan-interface310] mpls

3）配置PPE1设备直接连CE的VPN侧VLAN，并绑定VPN实例

[PPE1] vlan 210

[PPE1] interface vlan 210

[PPE1-Vlan-interface210] ip binding vpn-instance vpn1

[PPE1- Vlan-interface210] ip address 18.1.1.1 255.0.0.0

4）配置PPE2设备相关VPN实例

[PPE2] ip vpn-instance customer_vpn

[PPE2-vpn-instance] route-distinguisher 3:3

[PPE2-vpn-instance] vpn-target 3:3

5）配置PPE2设备customer_vpn侧VLAN，并绑定VPN实例，启动MPLS，但是不启动LDP

[PPE2] vlan 410

[PPE2] interface vlan 410

[PPE2-Vlan-interface410] ip binding vpn-instance customer_vpn

[PPE2- Vlan-interface410] ip address 2.1.1.2 255.0.0.0

关键步骤，启动MPLS，但是不启动LDP

[PPE2- Vlan-interface410] mpls

6．在CPE上配置环回口，以及和PPE相连的VLAN，并在VLAN接口启动MPLS，但是不启动LDP

1）配置CPE1 环回口和VPN实例

[CPE1] mpls lsr-id 6.6.6.6

[CPE1] interface LoopBack0

[CPE1-LoopBack0] ip address 6.6.6.6 255.255.255.255

[CPE1] vlan 310

[CPE1] interface vlan 310

[CPE1-Vlan-interface310] ip address 1.1.1.1 255.0.0.0

关键步骤，启动MPLS，但是不启动LDP

[CPE1- Vlan-interface310] mpls

2）配置CPE2 环回口和VPN实例

[CPE2] mpls lsr-id 7.7.7.7

[CPE2] interface LoopBack0

[CPE2-LoopBack0] ip address 7.7.7.7 255.255.255.255

[CPE2] vlan 410

[CPE2] interface vlan 410

[CPE2-Vlan-interface410] ip address 2.1.1.1 255.0.0.0

关键步骤，启动MPLS，但是不启动LDP

[CPE2-Vlan-interface410] mpls

7．在PPE和CPE之间配置MEBGP邻居

1）配置PPE1接入CPE的VPN的MBGP邻居

[PPE1] route-policy comm permit node 10

[PPE1-route-policy-comm-10] if-match vpn-target 1:1

[PPE1-route-policy-comm-10] quit

[PPE1] bgp 100

[PPE1-bgp] ipv4-family vpn-instance customer_vpn

[PPE1-bgp-af-vpn-instance] group ebgp external

2）去使能PPE1的BGP传送IPv4路由能力，目的是只传送VPNv4路由

[PPE1-bgp-af-vpn-instance] undo peer ebgp enable

[PPE1-bgp-af-vpn-instance] peer 1.1.1.1 group ebgp as-number 600

[PPE1-bgp] ipv4-family vpnv4

关键步骤，启动嵌套VPN属性

[PPE1-bgp-af-vpn] nesting-vpn

关键步骤，配置Custormer VPNv4邻居

[PPE1-bgp-af-vpn] peer ebgp vpn-instance customer_vpn enable

[PPE1-bgp-af-vpn] peer 1.1.1.1 vpn-instance customer_vpn group ebgp

关键步骤，配置BGP策略，使此VPNv4邻居只接受来自Customer VPN的嵌套VPN的路由

[PPE1-bgp-af-vpn] peer 1.1.1.1 vpn-instance customer_vpn route-policy comm import

3）配置PPE1接入直接CE（CE5）的VPN的BGP邻居

[PPE1-bgp] ipv4-family vpn-instance vpn1

[PPE1-bgp-af-vpn-instance] group ebgp external

[PPE1-bgp-af-vpn-instance] peer 18.1.1.2 group ebgp as-number 50003

4）配置PPE2接入CPE的VPN的MBGP邻居

[PPE2] route-policy com2 permit node 10

[PPE2-route-policy-com2-10] if-match vpn-target 1:1

[PPE2-route-policy-com2-10] quit

[PPE2] bgp 100

[PPE2-bgp] ipv4-family vpn-instance customer_vpn

[PPE2-bgp-af-vpn-instance] group ebgp external

5）去使能PPE2的BGP传送IPv4路由能力，目的是只传送VPNv4路由

[PPE2-bgp-af-vpn-instance] undo peer ebgp enable

[PPE2-bgp-af-vpn-instance] peer 2.1.1.1 group ebgp as-number 500

[PPE2-bgp] ipv4-family vpnv4

关键步骤，启动嵌套VPN属性

[PPE2-bgp-af-vpn] nesting-vpn

关键步骤，配置Custormer VPNv4邻居

[PPE2-bgp-af-vpn] peer ebgp vpn-instance customer_vpn enable

[PPE2-bgp-af-vpn] peer 2.1.1.1 vpn-instance customer_vpn group ebgp

关键步骤，配置BGP策略，使此VPNv4邻居只接受来自Customer VPN的嵌套VPN的路由。

[PPE2-bgp-af-vpn] peer 2.1.1.1 vpn-instance customer_vpn route-policy com2 import

8．配置CPE和UPE之间的MEBGP邻居

1）配置CPE1设备

[CPE1] bgp 600

[CPE1-bgp] group ebgp external

2）去使能CPE1的BGP传送IPv4路由，目的是只传送VPNv4路由

[CPE1-bgp] undo peer ebgp enable

[CPE1-bgp] peer 1.1.1.2 group ebgp as-number 100

[CPE1-bgp] ipv4-family vpnv4

[CPE1-bgp-af-vpn] peer ebgp enable

[CPE1-bgp-af-vpn] peer 1.1.1.2 group ebgp

3）配置CPE2设备

[CPE2] bgp 500

[CPE2-bgp] group ebgp external

4）去使能CPE2的BGP传送IPv4路由，目的是只传送VPNv4路由

[CPE2-bgp] undo peer ebgp enable

[CPE2-bgp] peer 2.1.1.2 group ebgp as-number 100

[CPE2-bgp] ipv4-family vpnv4

[CPE2-bgp-af-vpn] peer ebgp enable

[CPE2-bgp-af-vpn] peer 2.1.1.2 group ebgp

9．在CPE上配置接入自己的内部VPN

1）配置CPE1的VPN实例

[CPE1] ip vpn-instance vpn1

[CPE1-vpn-instance] route-distinguisher 1:1

[CPE1-vpn-instance] vpn-target 1:1

[CPE1] vlan 510

[CPE1] interface vlan 510

[CPE1-Vlan-interface510] ip binding vpn-instance vpn1

[CPE1-Vlan-interface510] ip address 15.1.1.2 255.0.0.0

2）配置CPE1和CE的BGP邻居

[CPE1] bgp 600

[CPE1-bgp] ipv4-family vpn-instance vpn1

[CPE1-bgp-af-vpn-instance] group cegroup external

[CPE1-bgp-af-vpn-instance] peer 15.1.1.1 group cegroup as-number 50001

3）配置CPE2的VPN实例

[CPE2] ip vpn-instance vpn1

[CPE2-vpn-instance] route-distinguisher 1:1

[CPE2-vpn-instance] vpn-target 1:1

[CPE2] vlan 610

[CPE2] interface vlan 610

[CPE2-Vlan-interface610] ip binding vpn-instance vpn1

[CPE2-Vlan-interface610] ip address 16.1.1.2 255.0.0.0

4）配置CPE2和CE的BGP邻居

[CPE2] bgp 500

[CPE2-bgp] undo peer ebgp enable

[CPE2-bgp] ipv4-family vpn-instance vpn1

[CPE2-bgp-af-vpn-instance] group cegroup external

[CPE2-bgp-af-vpn-instance] peer 16.1.1.1 group cegroup as-number 50002

四、配置关键点：

1）PE公网侧端口的单板需要支持MPLS VPN功能的业务板；

2）配置BGP邻居时，指定源IP；

3）用户自己的内部子VPN之间不能发生地址空间重叠；

4）为保证VPN路由信息在骨干网上的正确传播，用户VPN和内部子VPN的VPN-Target不能重叠，并由运营商指定；

5）Provider PE和Customer PE之间必须是直连的，不能使用Multihop-EBGP方式交换VPNv4路由。

若您有关于案例的建议，请反馈：

作者在2006-10-12对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

H3C S9500交换机MPLS BGP VPN嵌套VPN的配置

编辑评论

提出建议