MPLS 實驗-VRF表分離(Huawei設備)

原創 Eichi_ 2020-06-23 05:40

本篇文章將已實驗的基礎來詳細講解MPLS 中VRF表的分離技術與靜態穿越VRF表

如果你不理解以下四點,那就請繼續看下去吧

  1. 控制層面與數據層面的區別
  2. MPLS 中VRF表的作用
  3. 靜態路由如何穿越不同的VRF表
  4. 如何打破AS-Path的防環原則

實驗拓撲如下

需求:

  • 分部間的通信要繞行總部
  • 儘可能減少VRF表的數量(VRF表分離)
  • 去往互聯網採用靜態的VRF穿越
  • 主備結構,分流互備

分析:

如何將VRF表分離:

       在R3這個PE上做兩個VRF表,即spoke作爲接收其他分部路由的VRF表(入向添加的是分部的出向),hub作爲發出給其他分部的VRF表(分部的入向要添加這個hub的出向)

分離後的好處:

  • 適合分支不斷擴展,便於做策略
  • 可以把安全策略中心與總部結合起來
  • 壓縮成本
  • 便於管理,人員調配

實施:

由於此篇文章重點講述VRF表分離與靜態VRF的穿越,前三步將省略,如果想要了解的話,請看這篇文章,這是一個具體項目的配置方案

  1. 配置IP地址
  2. 配置路由(ISP底層用OSPF,配置BGP)
  3. 運營商內部鋪設MPLS weipi嗯隧道
  4. 配置VRF表
  5. 配置靜態穿越VRF表
  6. 策略

從第四步開始的詳細配置

  • 連接總部的邊界ISP R3 上的兩個VRF表,spoke作爲接收分部的路由,hub作爲發送給分部的路由

 

  • 連接分部的邊界ISP R8 R9的VRF表

新的問題:

由於AS號的昂貴,此實驗中模擬了真是環境的操作,即總部與分部的AS號相同,那麼此時就會出現一個新的問題,環路問題即分部的路由進入到總部後,就會因爲AS-Path的存在則不能進去

解決:

打破這種默認存在的防環原則

  1. 連接分部的邊界運營商上,在VPNV4的instance中允許給/扔給鄰居一個出環(存在分部的AS號)的路由
  2. 上面的操作在每個連接分部的邊界運營商上都要做
  3. 連接總部的運營商上,允許發出環的路由,且允許收到出環的路由

a.在spoke的VRF表中,對總部進行允許發出/扔給 出環的路由(substitute-as)

b.在hub的VRF表中,對總部進行允許接收/收到 出環的路由(allow-as-loop)

 

一定要分清楚數據層面與控制層面

  • Ping(流量走向):控制層面是spoke進,hub出,但是,數據層面的話,查看PE(連接總部的PE)的hub路由表,分部的私網路由是CE給的,所以數據層面的流量會從hub子接口進,spoke子接口出
  • 打破防環原則時:研究對象是站在PE的角度 對EBGP的CE鄰居而言 允許出去或進來的;說明:此時的選擇對應的是路由表,即控制層面,則spoke是import分部的VRF的,所以是PE將分部的流量導入給到CE的,那就是允許出去 ,即spoke就對鄰居就配置substitue-as;那麼在hub中就是允許CE的路由進來,即hub對鄰居配置allow-as-loop

圖解說明:

  • 紅色是控制層面,可見經過R6這個路由反射器反射路由並從spoke進入,hub出去
  • 黑色是數據層面,可見經過MPLS 隧道從hub進入,spoke出去

詳細配置:

R3上,注意允許出環的次數不要用默認的1 要改大些,要不就沒有打破原先的防環原則

R8 R9上 允許發出去可能出環的路由

測試:

PC1pingPC2 即分部間的通信,可以明顯的看出繞行了總部,且數據層面的流量從hub進,spoke出

 

接下來做互聯網的部分,兩種做法,此實驗環境採用的是第二種方案

  1. 連接互聯網的VRF表,在spoke中接收一下
  2. 手工配置靜態缺省,穿越VRF白哦

 

靜態穿越VRF表:

目的:爲了使VRF來到全局/全局來到VRF/VRF來到VRF(即打破隔離

實施:

  • 寫在全局路由表中 穿到VPN 即下一跳爲VPN  下一跳前面寫vpn-instance
  • 寫在VPN 中 穿到全局路由表,public爲全局下一跳的聲明   目的地前面寫vpn-instance  下一跳後面寫public
  • 寫在VPN中 穿到VPN中   目的地前面寫vpn-instance   下一跳前面寫vpn-instance

總結:

靜態可以在一個路由器的不同VRF相互穿越,BGP可以做到遠端兩個VRF相互穿(接收即可),但是其他動態路由協議是不能做到不同VRF相互穿越

配置:R3 R4配置相同,並對互聯網鄰居做bgp的靜態引入

檢查,R3的全局路由表有0.0.0.0的下一跳爲連接互聯網的接口;int這個VRF表中有10網段的路由

R3 R4要對R1 R2下發默認,這個下發的是spoke的鄰居,因爲此時研究對象是控制層面,即想要達到的是將路由導入

接下來就是製作策略,使R3成爲分部間通信的流量承載點,那麼將R1選擇R3進來(spoke接口)的LP增大,那麼流量就會從R3進入,還要控制出去時也走R3,則將R2出去的MED增大,影響R4對我自己的選路,這樣一來,R3就成爲承載所有分部流量的路由器,爲了使R4成爲互聯網路由器,在互聯網路由器上製作策略,即將R4鄰居傳遞來的路由的PV增大

 

 

 

以上就是所有的配置,下面是此實驗的技術總結(思維導圖的形式),算是給看到這裏的你一個彩蛋吧~

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

實驗詳解OSPF的幾類LSA、FA轉發規則(思科設備)

目錄 各類LSA 普通區域 五類LSA 四類LSA 特殊區域 stub區域 totally stub區域 NSSA區域 FA規則 totally nssa   本篇文章通過實驗來詳解OSPF的幾類LSA 實驗拓撲如下 各類LSA 首

Eichi_ 2020-06-23 05:40:11

企業網“日字型”架構配置細則

說明: 需求: 1.業務分流 2.互爲備份 前言: 關鍵在於核心層採用了“日字型”架構設計 爲了後期的擴展采用了VRF表分離 以下的思維導圖是配置的步驟與思路,其包含了分析、設計、優化、解決 有了思路與步驟,那就開整吧~ 實驗拓撲如

Eichi_ 2020-06-23 05:40:08

VLAN實驗(Huawei設備)

Eichi_ 2020-05-18 06:22:00

HUAWEI交換機的Hybrid接口(混雜模式)詳解與實驗配置演示

Eichi_ 2020-05-12 00:52:38

OSPF終極分流互備(華爲設備)

Eichi_ 2020-05-06 18:27:40

實驗詳解BGP的選路規則(華爲設備)

Eichi_ 2020-05-03 19:13:33

實驗詳解OSPF的幾類LSA、FA轉發規則(思科設備)

目錄 各類LSA 普通區域 五類LSA 四類LSA 特殊區域 stub區域 totally stub區域 NSSA區域 FA規則 totally nssa   本篇文章通過實驗來詳解OSPF的幾類LSA 實驗拓撲如下 各類LSA 首

Eichi_ 2020-06-23 05:40:11

企業網“日字型”架構配置細則

說明: 需求: 1.業務分流 2.互爲備份 前言: 關鍵在於核心層採用了“日字型”架構設計 爲了後期的擴展采用了VRF表分離 以下的思維導圖是配置的步驟與思路,其包含了分析、設計、優化、解決 有了思路與步驟,那就開整吧~ 實驗拓撲如

Eichi_ 2020-06-23 05:40:08

VLAN實驗(Huawei設備)

Eichi_ 2020-05-18 06:22:00

HUAWEI交換機的Hybrid接口(混雜模式)詳解與實驗配置演示

Eichi_ 2020-05-12 00:52:38

OSPF終極分流互備(華爲設備)

Eichi_ 2020-05-06 18:27:40

實驗詳解BGP的選路規則(華爲設備)

Eichi_ 2020-05-03 19:13:33