问题描述:
现网为一个传统三层网络,Underlay互联地址、Loopback(用作RID)均配置了vpn-instance,并运行了OSPF协议。
先希望将其中一对S125F交换机复用作EVPN VXLAN组网的spine角色,作为RR反射路由。
但华三的设备仅支持通过配置在全局下的BGP peer建立EVPN L2VPN地址族邻居,无法用VPN内peer配置,从安全性和与现网业务隔离角度出发,客户希望将互联通过VPN隔离,是否可以实现。
组网及组网描述:
举例配置
ip vpn-instance test
...
interface ten 1/0/1
ip binding vpn-instance test
ip add ...
ospf 1 ar 0
interface lo 1
ip binding vpn-instance test
ip add 1.1.1.1
ospf 1 ar 0
#
ospf 1 vpn-instance test
....
#
bgp 100
address-family l2vpn evpn
?
ip vpn-instance test
peer 1.1.1.2 as 100
- 2024-01-11提问
- 举报
-
(0)
最佳答案
3.4 配置BGP路由反射
3.4.1 配置BGP路由反射器
1. 功能简介
如果同一个AS内有多个BGP路由器,为了减少在同一AS内建立的IBGP连接数,可以把几个BGP路由器划分为一个集群,将其中的一台路由器配置为路由反射器,其它路由器作为客户机,通过路由反射器在客户机之间反射路由。
为了增加网络的可靠性和防止单点故障,可以在一个集群中配置一个以上的路由反射器,这时,网络管理员必须给位于相同集群中的每个路由反射器配置相同的集群ID,以避免路由环路。
2. 配置步骤(IPv4单播/IPv4组播)
(1) 进入系统视图。
system-view
(2) 进入BGP IPv4单播地址族视图、BGP-VPN IPv4单播地址族视图或BGP IPv4组播地址族视图。
¡ 请依次执行以下命令进入BGP IPv4单播地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 [ unicast ]
¡ 请依次执行以下命令进入BGP-VPN IPv4单播地址族视图。
bgp as-number [ instance instance-name ]
ip vpn-instance vpn-instance-name
address-family ipv4 [ unicast ]
¡ 请依次执行以下命令进入BGP IPv4组播地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv4 multicast
(3) 配置本机作为路由反射器,对等体/对等体组作为路由反射器的客户机。
peer { group-name | ipv4-address [ mask-length ] } reflect-client
缺省情况下,未配置路由反射器及其客户机。
(4) (可选)允许路由反射器在客户机之间反射路由。
reflect between-clients
缺省情况下,允许路由反射器在客户机之间反射路由。
(5) (可选)配置路由反射器的集群ID。
reflector cluster-id { cluster-id | ipv4-address }
缺省情况下,每个路由反射器都使用自己的Router ID作为集群ID。
3. 配置步骤(IPv6单播/IPv6组播)
(1) 进入系统视图。
system-view
(2) 进入BGP IPv6单播地址族视图或BGP IPv6组播地址族视图。
¡ 请依次执行以下命令进入BGP IPv6单播地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 [ unicast ]
¡ 请依次执行以下命令进入BGP IPv6组播地址族视图。
bgp as-number [ instance instance-name ]
address-family ipv6 multicast
(3) 配置本机作为路由反射器,对等体/对等体组作为路由反射器的客户机。
peer { group-name | ipv6-address [ prefix-length ] } reflect-client
缺省情况下,未配置路由反射器及其客户机。
(4) (可选)允许路由反射器在客户机之间反射路由。
reflect between-clients
缺省情况下,允许路由反射器在客户机之间反射路由。
(5) (可选)配置路由反射器的集群ID。
reflector cluster-id { cluster-id | ipv4-address }
缺省情况下,每个路由反射器都使用自己的Router ID作为集群ID。
- 2024-01-11回答
- 评论(0)
- 举报
-
(0)
好像不可以,模拟器测试了下,address-family l2vpn evpn协议族下配置使能的邻居必须在bgp default内配置了邻居,只在vpn-instance协议族下配置了邻居,l2vpn协议族下是无法使能该邻居的。
除非有什么命令可以将vpn-instance的邻居同步到bgp default里,或者l2vpn协议族下可以引入vpn-instance的邻居。但我好像没看到有该命令,所以underlay不能配置在vpn内。
你还可以说服客户不加入vpn-instance,那些东西本身都是underlay,和业务没啥关系,就不涉及什么安全问题了吧,如果是和别的共用,那可以单独新起一些地址,做新的互联和loo0。
- 2024-01-11回答
- 评论(2)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明