构建安全优化广域网CSOW之BGPMPLSVPN配置与故障排查.pptx
构建安全优化广域网CSOW之BGPMPLSVPN配置与故障排查.pptx
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 构建 安全 优化 广域网 CSOW BGPMPLSVPN 配置 故障 排查
- 资源描述:
-
,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,理解了,BGP MPLS VPN,的基本原理以后,掌握,BGP MPLS VPN,技术的配置将是一件非常容易的事,,BGP MPLS VPN,技术的配置思路与其实现原理完全吻合,甚至其故障排查的思路也完全来源于其实现原理。,引入,课程目标,学习完本课程,您应该能够:,了解,BGP MPLS VPN,主要配置,掌握,BGP MPLS VPN,配置思路与步骤,理解,BGP MPLS VPN,故障排查思路与步骤,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,BGP MPLS VPN,配置思路,BGP MPLS VPN,的配置思路与对,BGP MPLS VPN,技术原理的理解一致,分为以下三个步骤:,配置公网隧道,配置本地,VPN,配置,MP-BGP,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,配置公网隧道,配置本节点的,LSR ID,:,系统模式下使能,MPLS,和,MPLS LDP,接口模式使能,MPLS,和,MPLS LDP,mpls lsr-id,lsr-id,mpls,mpls ldp,interface,interface-type interface-number,mpls,mpls ldp,配置本地,VPN,创建,VPN,实例,进入,VPN,视图:,配置,RD,和,RT,配置接口与,VPN,实例绑定,配置,PE,与,CE,之间的路由实例与,VPN,绑定,以,OSPF,为例:,ip vpn-instance,vpn-instance-name,route-distinguisher,route-distinguisher,vpn-target,vpn-target,&,both,|,export-extcommunity,|,import-extcommunity,interface,interface-type interface-number,ip binding vpn-instance,vpn-instance-name,ospf,process-id,|,router-id,router-id,|,vpn-instance,vpn-instance-name,配置,MP-BGP,进入,BGP-VPNv4,子地址族视图,使能对等体交换,BGP-VPNv4,路由信息,ipv4-family vpnv4,peer,group-name,|,ip-address,enable,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,网络环境和需求,VPN1,CE3,VPN1,CE1,公网,PE2,P,VPN2,VPN2,CE2,CE4,Loopback0,:,1.1.1.3/32,Loopback0,:,1.1.1.1/32,100.0.0.1/30,.2,100.0.0.5/30,.6,192.168.1.1/30,.2,172.32.1.1/30,192.168.2.1/30,.2,172.32.2.1/30,.2,用户,1,:,192.168.254.1/24,E0/0,E1/1,E1/0,E0/0,PE1,Loopback0,:,1.1.1.2/32,组网需求:如上图所示,公网上承载了两个,VPN,用户,,VPN1,和,VPN2,,,VPN1,内部的用户,1,和用户,3,需要能够互通,,VPN2,内部的用户,2,和用户,4,可以互通,但,VPN1,和,VPN2,的用户之间不能互通,如用户,1,不能和用户,2,或者用户,4,互通。,用户,2,:,172.32.254.1/24,用户,3,:,192.168.255.1/24,用户,4,:,172.32.254.1/24,AS 100,E0/1,.2,E0/2,E0/1,E0/2,配置公网隧道的步骤,配置公网隧道分为两步:,配置公网,IGP,路由协议,配置使能,MPLS,及,MPLS LDP,配置公网隧道步骤一,配置公网,IGP,路由协议。,PE1,:,router id 1.1.1.1,ospf 1,area 0.0.0.0,network 1.1.1.1 0.0.0.0,network 100.0.0.1 0.0.0.3,P,:,router id 1.1.1.3,ospf 1,area 0.0.0.0,network 1.1.1.3 0.0.0.0,network 100.0.0.2 0.0.0.3,network 100.0.0.5 0.0.0.3,PE2,:,router id 1.1.1.2,ospf 1,area 0.0.0.0,network 1.1.1.2 0.0.0.0,network 100.0.0.6 0.0.0.3,目标:使所有,PE,和,P,设备可以互相学到,32,位,loopback,地址路由。,IGP,路由协议可以选择,OSPF,、,ISIS,、甚至静态路由等等。,以,OSPF,为例:,PE1,、,P,和,PE2,设备之间建立,OSPF,邻居。,配置公网隧道步骤二,配置使能,MPLS,及,MPLS LDP,。,PE1,:,目标:所有,PE,和,P,设备之间建立,LDPsession,,建立起到达对端,PE,的,LSP,隧道,需要在设备全局模式及公网接口上均使能,MPLS,及,MPLS LDP,系统模式:,mpls lsr-id 1.1.1.1,mpls,mpls ldp,接口模式:,interface Ethernet0/1,mpls,mpls ldp,P,:,系统模式:,mpls lsr-id 1.1.1.3,mpls,mpls ldp,接口模式:,interface Ethernet1/1,mpls,mpls ldp,PE2,:,系统模式:,mpls lsr-id 1.1.1.2,mpls,mpls ldp,接口模式:,interface Ethernet0/0,mpls,mpls ldp,接口模式:,interface Ethernet1/0,mpls,mpls ldp,配置本地,VPN,的步骤,配置本地,VPN,分为三步:,配置,VPN,,按照用户互访需求配置,VPN,的,RD,和,RT,配置私网接口与,VPN,的绑定,配置,PE,和,CE,之间的路由协议,配置本地,VPN,步骤一,配置,VPN,,按照用户互访需求配置,VPN,的,RD,和,RT,此步配置需要仔细分析用户互访需求,设计各,PE,上每个,VPN,的,RD,和,RT,属性;,根据本案例的组网需求设计做如下配置:,PE1,:,ip vpn-instance vpn1,route-distinguisher 100:1,vpn-target 100:1 export-extcommunity,vpn-target 100:1 import-extcommunity,#,ip vpn-instance vpn2,route-distinguisher 100:2,vpn-target 100:2 export-extcommunity,vpn-target 100:2 import-extcommunity,PE2,:,ip vpn-instance vpn1,route-distinguisher 100:1,vpn-target 100:1 export-extcommunity,vpn-target 100:1 import-extcommunity,#,ip vpn-instance vpn2,route-distinguisher 100:2,vpn-target 100:2 export-extcommunity,vpn-target 100:2 import-extcommunity,配置本地,VPN,步骤二,配置私网接口与,VPN,的绑定:,将与对应用户相连的接口与对应的,VPN,进行绑定;,对端,CE,设备无需感知,VPN,的存在,仅需做普通的接口地址等配置。,PE1,:,interface Ethernet0/1,ip binding vpn-instance vpn1,ip address 192.168.1.1 255.255.255.252,#,interface Ethernet0/2,ip binding vpn-instance vpn2,ip address 172.32.1.1 255.255.255.252,PE2,:,interface Ethernet0/1,ip binding vpn-instance vpn1,ip address 192.168.2.1 255.255.255.252,#,interface Ethernet0/2,ip binding vpn-instance vpn2,ip address 172.32.2.1 255.255.255.252,配置本地,VPN,步骤三,配置,PE,和,CE,之间的路由协议,目标:,PE,设备能学习到本端相连的用户路由,如,PE1,学习到用户,1,的路由,并能与用户,1,互通;,PE,和相连的,CE,设备之间运行路由协议,其中,PE,设备上的路由协议需要与对应的,VPN,进行绑定,也就是运行路由协议多实例;,路由协议可以选择,OSPF,、,ISIS,、,EBGP,、,RIP,、静态等;,本例中以,OSPF,为例,且以,PE1,和,CE1,及,CE2,之间的配置为例:,PE1,:,ospf 11 vpn-instance vpn1,area 0.0.0.0,network 192.168.1.0 0.0.0.3,#,ospf 12 vpn-instance vpn2,area 0.0.0.0,network 172.32.1.0 0.0.0.3,CE1,:,ospf 11,area 0.0.0.0,network 192.168.1.0 0.0.0.3,network 192.168.254.1 0.0.0.0,CE2,:,ospf 12,area 0.0.0.0,network 172.32.1.0 0.0.0.3,network 172.32.254.1 0.0.0.0,配置,MP-BGP,的步骤,配置,MP-BGP,分为三步:,配置,PE,之间普通,BGP,邻居,配置,PE,之间,MP-BGP,邻居,配置本地,VPN,路由与,MP-BGP,之间的路由引入引出,配置,MP-BGP,步骤一,配置,PE,之间普通,BGP,邻居,目标:,PE,之间建立起普通的,BGP,邻居关系;,注意配置,BGP,建立邻居的地址为,PE,的,loopback,地址,此举的目的在于发布的私网路由的下一跳是,PE,的,loopback,地址,;,bgp 100,peer 1.1.1.2 as-number 100,peer 1.1.1.2 connect-interface LoopBack0,PE1,:,bgp 100,peer 1.1.1.1 as-number 100,peer 1.1.1.1 connect-interface LoopBack0,PE2,:,配置,MP-BGP,步骤二,配置,PE,之间,MP-BGP,邻居,BGP,邻居只能传递普通的,IPv4,路由,建立起,MP-BGP,才能传递,BGP MPLS VPN,的私网路由,也就是,VPNv4,路由,但建立,MP-BGP,邻居的前提是,PE,之间已经建立普通的,BGP,邻居,建立,MP-BGP,邻居的方法是,进入,BGP VPNv4,族,使能对应的,BGP,邻居,bgp 100,ipv4-family vpnv4,peer 1.1.1.2 enable,PE1,:,bgp 100,ipv4-family vpnv4,peer 1.1.1.1 enable,PE2,:,配置,MP-BGP,步骤三,配置本地,VPN,路由与,MP-BGP,之间的路由相互引入,本地的私网路由需要引入,BGP,,才能通过,BGP,传给远端,CE,;通过,BGP,学习到的远端私网路由需要引入本地,PE,与,CE,之间的路由协议,才能传递给本地的,CE,。,以,PE1,为例,,PE2,与之对称不做重复:,bgp 100,ipv4-family vpn-instance vpn1,import-route direct,import-route ospf 11,#,ipv4-family vpn-instance vpn2,import-route direct,import-route ospf 12,ospf 11 vpn-instance vpn1,import-route bgp,#,ospf 12 vpn-instance vpn2,import-route bgp,PE1,:,BGP MPLS VPN,配置思路,BGP MPLS VPN,配置命令,BGP MPLS VPN,配置示例,BGP MPLS VPN,故障排查,目录,BGP MPLS VPN,故障排查思路,BGP MPLS VPN,的故障排查的思路与,BGP MPLS VPN,的原理也是统一的,当,BGP MPLS VPN,的网络出现两个私网用户之间无法互通,可以按照下面的思路进行排查:,排查公网隧道是否存在,排查本地,VPN,建立是否符合要求,排查,MP-BGP,私网路由传递是否正确,公网隧道故障排查步骤,排查公网隧道故障分为以下三步,检查公网路由学习是否正确,检查公网设备之间的,MPLS LDP,邻居关系是否正常,检查到达对端,PE,的,loopback,地址的公网隧道是否存在,公网隧道故障排查步骤一,检查公网路由学习是否正确,根据所选择的公网,IGP,路由协议,检查公网设备之间的,IGP,路由邻居关系是否正确;,在,PE,上检查是否存在到达对端,PE,的,loopback,地址的,32,位掩码的明细路由,以,PE1,为例:,bgp 100,dis ip routing-table,Routing Tables:Public,Destinations:11 Routes:11,Destination/Mask Proto Pre Cost NextHop Interface,1.1.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0,1.1.1.2/32 OSPF 10 3 100.0.0.2 Ethernet0/0,1.1.1.3/32 OSPF 10 2 100.0.0.2 Ethernet0/0,100.0.0.0/30 Direct 0 0 100.0.0.1 Ethernet0/0,100.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0,100.0.0.4/30 OSPF 10 2 100.0.0.2 Ethernet0/0,127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0,127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0,PE1,:,公网隧道故障排查步骤二,检查公网设备之间的,MPLS LDP,邻居关系是否正常,LDP,邻居建立完成后,正确的状态应该处于,Operational,;,如果不能到达,Operational,状态,则应进一步确认,LDP,配置,或深入排查,LDP,邻居建立过程的故障所在。,R8(PE1)dis mpls ldp session,LDP Session(s)in Public Network,-,Peer-ID Status LAM SsnRole SsnAge KA-Sent/Rcv,-,59.0.0.3:0 Operational DU Passive 000:00:00 2/2,-,LAM:Label Advertisement Mode SsnAge Unit:DDD:HH:MM,PE1,:,公网隧道故障排查步骤三,检查公网隧道是否存在,如果公网,IGP,和,LDP,均正常,,PE,之间的应建立起到达对方,loopback,地址的,MPLS,隧道;,隧道是单向的,需要在每台,PE,上分别查询:,PE1dis mpls ldp lsp,LDP LSP Information,-,SN DestAddress/Mask In/OutLabel Next-Hop In/Out-Interface,-,1 1.1.1.1/32 3/NULL 127.0.0.1 Eth0/0/InLoop0,2 1.1.1.2/32 NULL/1024 100.0.0.2 -/Eth0/0,3 1.1.1.3/32 NULL/3 100.0.0.2 -/Eth0/0,PE1,:,PE2dis mpls ldp lsp,LDP LSP Information,-,SN DestAddress/Mask In/OutLabel Next-Hop In/Out-Interface,-,1 1.1.1.1/32 NULL/1025 100.0.0.5 -/Eth0/0,2 1.1.1.2/32 3/NULL 127.0.0.1 Eth0/0/InLoop0,3 1.1.1.3/32 NULL/3 100.0.0.5 -/Eth0/0,PE2,:,排查本地,VPN,故障,排查本地,VPN,故障分为两步,检查确认对应,VPN,的私网路由邻居建立是否正常;,检查,PE,与本地,CE,之间的路由学习是否正确;,排查本地,VPN,故障(续),检查确认对应,VPN,的私网路由邻居建立是否正常;,首先在,PE,上查看与对应用户相连的接口状态应该处于,UP,并与对应的,VPN,实例绑定;,按照本例如果,PE,与,CE,之间采用,OSPF,路由协议,可查看对应的,OSPF,实例路由邻居是否建立成功:,dis ospf 11 peer,OSPF Process 11 with Router ID 192.168.1.1,Neighbors,Area 0.0.0.0 interface 192.168.1.1(Ethernet1/0/0)s,neighbors,Router ID:192.168.254.1 Address:192.168.1.2,GR State:Normal,State:Full Mode:Nbr is Master Priority:1,DR:192.168.1.1 BDR:192.168.1.2 MTU:0,Dead timer due in 28 sec,Neighbor is up for 00:04:49,Authentication Sequence:0,PE1,:,排查本地,VPN,故障(续),检查,PE,与本地,CE,之间的路由学习是否正确;,在,PE,上检查是否学习到本地,CE,及用户的路由信息;,无论,PE,与,CE,之间采用何种路由协议,重点在于,PE,能学习到本地用户的路由信息,以,PE1,的,VPN1,为例,,PE1,可以学习到用户,1,的路由,如下:,dis ip routing-table vpn-instance vpn1,Routing Tables:vpn1,Destinations:5 Routes:5,Destination/Mask Proto Pre Cost NextHop Interface,192.168.1.0/30 Direct 0 0 192.168.1.1 Ethernet1/0/0,192.168.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.1.3/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.254.1/32 OSPF 10 2 192.168.1.2 Ethernet1/0/0,255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopBack0,PE1,:,排查,MP-BGP,私网路由传递故障,排查,MP-BGP,私网路由传递故障分为以下三步:,检查,PE,之间,MP-BGP,邻居是否建立成功;,检查,PE,是否学习到远端用户的私网路由;,检查,CE,是否学习到远端用户的私网路由;,排查,MP-BGP,私网路由传递故障(续),检查,PE,之间,MP-BGP,邻居是否建立成功;,建立,MP-BGP,邻居的前提是,PE,之间首先建立普通的,BGP,邻居;,如果,MP-BGP,邻居未能正常建立,检查对应的,MP-BGP,配置是否正确。,dis bgp peer,BGP local router ID:1.1.1.1,Local AS number:100,Total number of peers:1 Peers in established state:1,Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv,1.1.1.2 4 100 3 2 0 00:00:10 Established 0,dis bgp vpnv4 all peer,BGP local router ID:1.1.1.1,Local AS number:37937,Total number of peers:1 Peers in established state:1,Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv,1.1.1.2 4 100 3 2 0 00:00:18 Established 0,PE1,:,排查,MP-BGP,私网路由传递故障(续),检查,PE,是否学习到远端用户的私网路由;,在,PE,上检查是否学习到本地,CE,及用户的路由信息;,PE,之间建立起,MP-BGP,邻居后具备了互相传递私网路由的能力;,但此时需要将本地的私网路由引入,BGP,,,BGP,才能将这些引入的路由传递给对端,结果可以在,PE,上检查到对端用户的私网路由。,dis ip routing-table vpn-instance vpn1,Routing Tables:vpn1,Destinations:7 Routes:7,Destination/Mask Proto Pre Cost NextHop Interface,192.168.1.0/30 Direct 0 0 192.168.1.1 Ethernet1/0/0,192.168.1.1/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.1.3/32 Direct 0 0 127.0.0.1 InLoopBack0,192.168.2.0/30 BGP 255 0 59.0.0.2 Ethernet1/0/2,192.168.254.1/32 OSPF 10 2 192.168.1.2 Ethernet1/0/0,192.168.255.1/32 BGP 255 3 59.0.0.2 Ethernet1/0/2,255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopBack0,PE1,:,排查,MP-BGP,私网路由传递故障(续),检查,CE,是否学习到远端用户的私网路由;,PE,通过,BGP,学习到远端用户的私网路由后,需要将该,BGP,路由引入到,PE,与,CE,之间的路由协议,,CE,才能学习到远端用户的私网路由;,以,CE1,为例,可以查看到用户,3,的路由信息:,dis ip routing-table,Routing Table:public net,Destination/Mask Protocol Pre Cost Nexthop Interface,127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0,127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0,192.168.1.0/30 DIRECT 0 0 192.168.1.2 Ethernet0/0,192.168.1.2/32 DIRECT 0 0 127.0.0.1 InLoopBack0,192.168.2.0/30 O_ASE 150 1 192.168.1.1 Ethernet0/0,192.168.254.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0,192.168.255.1/32 OSPF 10 4 192.168.1.1 Ethernet0/0,CE1,:,掌握,BGP MPLS VPN,的配置和故障排查思路,熟悉,BGP MPLS VPN,的配置步骤,了解,BGP MPLS VPN,的故障排查步骤,本章总结,展开阅读全文
咨信网温馨提示:1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。
实名认证
平台协调中心【客服】
自信AI助手
微信客服
客服QQ
发送邮件
意见反馈
链接地址:https://www.zixin.com.cn/doc/11422761.html