需求
CE1–r5连接公司总部研发区、CE3–r6连接分支机构研发区,CE1和CE3属于vpna;
CE2–r4连接公司总部非研发区、CE4–r7连接分支机构非研发区,CE2和CE4属于vpnb。
公司要求通过部署BGP/MPLS IP VPN,实现总部和分支机构的安全互通,同时要求研发区和非研发区间数据隔离。
拓扑设计
配置思路步骤
- 配置基本ip地址–pe之间除外,需要配置vpn–ip地址
- r1-r3配置ospf全网互通,
- r1-r3配置mpls 实现标签标识
- 配置r1与r5的vpn-ip地址,其他同理,四个部分相似
- 配置r1与r3之间bgp为ibgp,建立邻居,as号为100
- 配置r1与r5之间的bgp,为ebgp,建立vpn邻居,四个部分相似。需要把直连链路引入bgp中,其他路由做法类似
- 最后就是实验结果:相同站点能够互通,不同站点不同,能够有效的实现网络安全隔离。保障业务的稳定可靠。
配置命令
r1:
ip vpn-instance vpna – 建立vpna站点
ipv4-family
route-distinguisher 100:1–为vpna站点的标识,可以随意,不一样就行
vpn-target 111:1 export-extcommunity–打标签出标签为111:1要与相同站点一样
vpn-target 111:1 import-extcommunity–打标签入标签为111:1
ip vpn-instance vpnb**-- 建立vpnb站点
ipv4-family
route-distinguisher 100:2**–为vpnb站点的标识,可以随意,不一样就行
vpn-target 222:2 export-extcommunity**–打标签出标签为222:2要与相同站点一样
vpn-target 222:2 import-extcommunity**–打标签入标签为222:2要与相同站点一样
mpls lsr-id 1.1.1.9**–为mpls的id号1.1.1.9
mpls**–mpls的建立,就是使能
mpls ldp**–mpls的类型
interface GigabitEthernet0/0/0
ip binding vpn-instance vpna**–把vpna的ip地址绑定
ip address 10.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip binding vpn-instance vpnb**–vpnb的ip地址绑定
ip address 10.2.1.2 255.255.255.0
interface GigabitEthernet0/0/2
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
bgp 100
peer 3.3.3.9 as-number 100
peer 3.3.3.9 connect-interface LoopBack1
ipv4-family unicast
undo synchronization
peer 3.3.3.9 enable
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable
ipv4-family vpn-instance vpna
import-route direct
peer 10.1.1.1 as-number 5000
ipv4-family vpn-instance vpnb
peer 10.2.1.1 as-number 4000
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 172.1.1.0 0.0.0.255**
r3配置:
ip vpn-instance vpna
ipv4-family
route-distinguisher 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
ip vpn-instance vpnb
ipv4-family
route-distinguisher 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
mpls lsr-id 3.3.3.9
mpls
mpls ldp
interface GigabitEthernet0/0/0
ip address 172.2.1.2 255.255.255.0
mpls
mpls ldp
interface GigabitEthernet0/0/1
ip binding vpn-instance vpna
ip address 10.3.1.2 255.255.255.0
interface GigabitEthernet0/0/2
ip binding vpn-instance vpnb
ip address 10.4.1.2 255.255.255.0
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
bgp 100
peer 1.1.1.9 as-number 100
peer 1.1.1.9 connect-interface LoopBack1
ipv4-family unicast
undo synchronization
peer 1.1.1.9 enable
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
ipv4-family vpn-instance vpna
peer 10.3.1.1 as-number 6000
ipv4-family vpn-instance vpnb
peer 10.4.1.1 as-number 7000
ospf 1
area 0.0.0.0
network 3.3.3.9 0.0.0.0
network 172.2.1.0 0.0.0.255**
r5配置
**interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
bgp 5000
peer 10.1.1.2 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.1.1.2 enable
#**
r6配置
**interface GigabitEthernet0/0/0
ip address 10.3.1.1 255.255.255.0
bgp 6000
peer 10.3.1.2 as-number 100
ipv4-family unicast
undo synchronization
import-route direct
peer 10.3.1.2 enable
。。。其他两个站点类似套路**
实验验证
相同站点能够互相访问,不同站点不能互相访问,实现网络的安全隔离。