需求

CE1–r5连接公司总部研发区、CE3–r6连接分支机构研发区，CE1和CE3属于vpna；
CE2–r4连接公司总部非研发区、CE4–r7连接分支机构非研发区，CE2和CE4属于vpnb。
公司要求通过部署BGP/MPLS IP VPN，实现总部和分支机构的安全互通，同时要求研发区和非研发区间数据隔离。

拓扑设计

在这里插入图片描述

配置思路步骤

配置基本ip地址–pe之间除外，需要配置vpn–ip地址
r1-r3配置ospf全网互通，
r1-r3配置mpls 实现标签标识
配置r1与r5的vpn-ip地址，其他同理，四个部分相似
配置r1与r3之间bgp为ibgp，建立邻居，as号为100
配置r1与r5之间的bgp，为ebgp，建立vpn邻居，四个部分相似。需要把直连链路引入bgp中，其他路由做法类似
最后就是实验结果：相同站点能够互通，不同站点不同，能够有效的实现网络安全隔离。保障业务的稳定可靠。

配置命令

r1：
ip vpn-instance vpna – 建立vpna站点
ipv4-family
route-distinguisher 100:1–为vpna站点的标识，可以随意，不一样就行
vpn-target 111:1 export-extcommunity–打标签出标签为111：1要与相同站点一样
vpn-target 111:1 import-extcommunity–打标签入标签为111：1

ip vpn-instance vpnb**-- 建立vpnb站点
ipv4-family
route-distinguisher 100:2**–为vpnb站点的标识，可以随意，不一样就行
vpn-target 222:2 export-extcommunity**–打标签出标签为222：2要与相同站点一样
vpn-target 222:2 import-extcommunity**–打标签入标签为222：2要与相同站点一样

mpls lsr-id 1.1.1.9**–为mpls的id号1.1.1.9
mpls**–mpls的建立，就是使能

mpls ldp**–mpls的类型
interface GigabitEthernet0/0/0
ip binding vpn-instance vpna**–把vpna的ip地址绑定
ip address 10.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1
ip binding vpn-instance vpnb**–vpnb的ip地址绑定
ip address 10.2.1.2 255.255.255.0

interface GigabitEthernet0/0/2
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp

interface LoopBack1
ip address 1.1.1.9 255.255.255.255

bgp 100
peer 3.3.3.9 as-number 100
peer 3.3.3.9 connect-interface LoopBack1

ipv4-family unicast
undo synchronization
peer 3.3.3.9 enable

ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable

ipv4-family vpn-instance vpna
import-route direct
peer 10.1.1.1 as-number 5000

ipv4-family vpn-instance vpnb
peer 10.2.1.1 as-number 4000

ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 172.1.1.0 0.0.0.255**

r3配置：

ip vpn-instance vpna
ipv4-family
route-distinguisher 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity

ip vpn-instance vpnb
ipv4-family
route-distinguisher 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity

mpls lsr-id 3.3.3.9
mpls

mpls ldp

interface GigabitEthernet0/0/0
ip address 172.2.1.2 255.255.255.0
mpls
mpls ldp

interface GigabitEthernet0/0/1
ip binding vpn-instance vpna
ip address 10.3.1.2 255.255.255.0

interface GigabitEthernet0/0/2
ip binding vpn-instance vpnb
ip address 10.4.1.2 255.255.255.0
interface LoopBack1
ip address 3.3.3.9 255.255.255.255

bgp 100
peer 1.1.1.9 as-number 100
peer 1.1.1.9 connect-interface LoopBack1

ipv4-family unicast
undo synchronization
peer 1.1.1.9 enable

ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable

ipv4-family vpn-instance vpna
peer 10.3.1.1 as-number 6000

ipv4-family vpn-instance vpnb
peer 10.4.1.1 as-number 7000

ospf 1
area 0.0.0.0
network 3.3.3.9 0.0.0.0
network 172.2.1.0 0.0.0.255**

r5配置

**interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0

bgp 5000
peer 10.1.1.2 as-number 100

ipv4-family unicast
undo synchronization
import-route direct
peer 10.1.1.2 enable
#**

r6配置

**interface GigabitEthernet0/0/0
ip address 10.3.1.1 255.255.255.0
bgp 6000
peer 10.3.1.2 as-number 100

ipv4-family unicast
undo synchronization
import-route direct
peer 10.3.1.2 enable

。。。其他两个站点类似套路**

实验验证

在这里插入图片描述

相同站点能够互相访问，不同站点不能互相访问，实现网络的安全隔离。

joker_菜玩

发布了4 篇原创文章 · 获赞 4 · 访问量 81

私信关注

华为ensp模拟器--mpls与bgp的综合实验--实现不同站点的安全隔离这是华为认证必看实验，不是翻墙ok？

需求