需求
CE1–r5連接公司總部研發區、CE3–r6連接分支機構研發區,CE1和CE3屬於vpna;
CE2–r4連接公司總部非研發區、CE4–r7連接分支機構非研發區,CE2和CE4屬於vpnb。
公司要求通過部署BGP/MPLS IP VPN,實現總部和分支機構的安全互通,同時要求研發區和非研發區間數據隔離。
拓撲設計
配置思路步驟
- 配置基本ip地址–pe之間除外,需要配置vpn–ip地址
- r1-r3配置ospf全網互通,
- r1-r3配置mpls 實現標籤標識
- 配置r1與r5的vpn-ip地址,其他同理,四個部分相似
- 配置r1與r3之間bgp爲ibgp,建立鄰居,as號爲100
- 配置r1與r5之間的bgp,爲ebgp,建立vpn鄰居,四個部分相似。需要把直連鏈路引入bgp中,其他路由做法類似
- 最後就是實驗結果:相同站點能夠互通,不同站點不同,能夠有效的實現網絡安全隔離。保障業務的穩定可靠。
配置命令
r1:
ip vpn-instance vpna – 建立vpna站點
ipv4-family
route-distinguisher 100:1–爲vpna站點的標識,可以隨意,不一樣就行
vpn-target 111:1 export-extcommunity–打標籤出標籤爲111:1要與相同站點一樣
vpn-target 111:1 import-extcommunity–打標籤入標籤爲111:1
ip vpn-instance vpnb**-- 建立vpnb站點
ipv4-family
route-distinguisher 100:2**–爲vpnb站點的標識,可以隨意,不一樣就行
vpn-target 222:2 export-extcommunity**–打標籤出標籤爲222:2要與相同站點一樣
vpn-target 222:2 import-extcommunity**–打標籤入標籤爲222:2要與相同站點一樣
mpls lsr-id 1.1.1.9**–爲mpls的id號1.1.1.9
mpls**–mpls的建立,就是使能
mpls ldp**–mpls的類型
interface GigabitEthernet0/0/0
ip binding vpn-instance vpna**–把vpna的ip地址綁定
ip address 10.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip binding vpn-instance vpnb**–vpnb的ip地址綁定
ip address 10.2.1.2 255.255.255.0
interface GigabitEthernet0/0/2
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
bgp 100
peer 3.3.3.9 as-number 100
peer 3.3.3.9 connect-interface LoopBack1
ipv4-family unicast
undo synchronization
peer 3.3.3.9 enable
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable
ipv4-family vpn-instance vpna
import-route direct
peer 10.1.1.1 as-number 5000
ipv4-family vpn-instance vpnb
peer 10.2.1.1 as-number 4000
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 172.1.1.0 0.0.0.255**
r3配置:
ip vpn-instance vpna
ipv4-family
route-distinguisher 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
ip vpn-instance vpnb
ipv4-family
route-distinguisher 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
mpls lsr-id 3.3.3.9
mpls
mpls ldp
interface GigabitEthernet0/0/0
ip address 172.2.1.2 255.255.255.0
mpls
mpls ldp
interface GigabitEthernet0/0/1
ip binding vpn-instance vpna
ip address 10.3.1.2 255.255.255.0
interface GigabitEthernet0/0/2
ip binding vpn-instance vpnb
ip address 10.4.1.2 255.255.255.0
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
bgp 100
peer 1.1.1.9 as-number 100
peer 1.1.1.9 connect-interface LoopBack1
ipv4-family unicast
undo synchronization
peer 1.1.1.9 enable
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
ipv4-family vpn-instance vpna
peer 10.3.1.1 as-number 6000
ipv4-family vpn-instance vpnb
peer 10.4.1.1 as-number 7000
ospf 1
area 0.0.0.0
network 3.3.3.9 0.0.0.0
network 172.2.1.0 0.0.0.255**
r5配置
**interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
bgp 5000
peer 10.1.1.2 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.1.1.2 enable
#**
r6配置
**interface GigabitEthernet0/0/0
ip address 10.3.1.1 255.255.255.0
bgp 6000
peer 10.3.1.2 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.3.1.2 enable
。。。其他兩個站點類似套路**
實驗驗證
相同站點能夠互相訪問,不同站點不能互相訪問,實現網絡的安全隔離。