図 1 に示すように、
1. AR4 は本社の財務部門に接続され、AR6 は支社の財務部門に接続されます。AR4 と AR6 は vpna に属します。2. AR5 は本社の
オフィスに接続されます。 AR7 は本社に接続されており、AR7 は支社のオフィスに接続されており、AR5 と AR7 は vpnb に属しています。
同社は、本社と支店間の安全な相互通信を実現するために BGP/MPLS IP VPN の展開を必要としていますが、同時に財務エリアとオフィスエリア間のデータ分離も必要としています。
構成のアイデア (AR1 の場合は pe1、AR2 の場合は p、AR3 の場合は pe2) は、
BGP/MPLS IP VPN を構成するために次のアイデアを採用しています。
- P と PE の間で OSPF を構成し、バックボーン ネットワーク上で IP 接続を実装します。
- PE および P 上で基本的な MPLS 機能と MPLS LDP を設定し、MPLS LSP パブリック ネットワーク トンネルを確立し、VPN データを送信します。
- PE1 と PE2 に VPN インスタンスを構成します。vpna で使用される VPN-target 属性は 111:1、vpnb で使用される VPN-target 属性は 222:2 で、同じ VPN 間の相互通信と異なる VPN 間の分離を実現します。 。同時に、CE に接続されたインターフェイスは、VPN ユーザーにアクセスするために、対応する VPN インスタンスにバインドされます。
- PE1 と PE2 の間で MP-IBGP を設定し、VPN ルーティング情報を交換します。
- CE と PE の間で EBGP を設定し、VPN ルーティング情報を交換します。
AR1:
現在の構成
[V200R003C00]
システム名 pe1
snmp エージェント ローカル エンジン ID 800007DB03000000000000
snmp エージェント
時計のタイムゾーン 中国標準時マイナス 08:00:00
ポータル ローカル サーバー ロード flash:/portalpage.zip
違法な Mac アラームをドロップします
wlan ac-グローバル キャリア ID 他の AC ID 0
CPU 使用率のしきい値を設定 80 復元 75
ip vpn-instance vpna
ipv4-family
ルート識別子 100:1 //RD ラベル
vpn-target 111:1 export-extcommunity //RT ラベル
vpn-target 111:1 import-extcommunity //RT ラベル
ip vpn-instance vpnb
ipv4-family
ルート識別子 100:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
mpls lsr-id 1.1.1.9
mpls
mpls自民党
ファイアウォール ゾーン ローカル
優先度 15
インターフェイス GigabitEthernet0/0/0
ip バインディング vpn インスタンス vpna
IP アドレス 10.1.1.2 255.255.255.0
インターフェイス GigabitEthernet0/0/1
ip バインディング vpn インスタンス vpnb
IP アドレス 10.2.1.2 255.255.255.0
インターフェイス GigabitEthernet0/0/2
IP アドレス 172.1.1.1 255.255.255.0
mpls
mpls ldp
インターフェース NULL0
インターフェイス LoopBack1
IP アドレス 1.1.1.9 255.255.255.255
bgp 100 // PE 間の MP-IBGP ピア関係を確立
ピア 3.3.3.9 as-number 100
ピア 3.3.3.9 connect-interface LoopBack1
ipv4 ファミリ ユニキャスト
undo 同期
ピア 3.3.3.9 有効化
ipv4 ファミリ vpnv4
ポリシー VPN ターゲット
ピア 3.3.3.9 有効化
ipv4-family vpn-instance vpna
import-route ダイレクト
ピア 10.1.1.1 as-number 65410
ipv4-family vpn-instance vpnb
import-route ダイレクト
ピア 10.2.1.1 as-number 65420
ospf 1
エリア 0.0.0.0
ネットワーク 1.1.1.9 0.0.0.0
ネットワーク 172.1.1.0 0.0.0.255
ユーザー インターフェイス con 0
認証モード パスワード
ユーザー インターフェイス vty 0 4
ユーザー インターフェイス vty 16 20
ウールと
戻る
AR2:
dis current-configuration [V200R003C00] # sysname p # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # クロック タイムゾーン 中国標準時マイナス 08:00:00 # ポータル ローカル サーバー ロード flash:/portalpage.zip # 不正なドロップ-mac アラーム # wlan ac グローバル キャリア ID 他の ac id 0 # CPU 使用率のしきい値を設定 80 復元 75 # mpls lsr-id 2.2.2.9 mpls # mpls ldp # #
ファイアウォール ゾーン ローカル
優先度 15
インターフェイス GigabitEthernet0/0/0
IP アドレス 172.1.1.2 255.255.255.0
mpls
mpls ldp
インターフェイス GigabitEthernet0/0/1
IP アドレス 172.2.1.1 255.255.255.0
mpls
mpls ldp
インターフェイスギガビットイーサネット0/0/2
インターフェース NULL0
インターフェイス LoopBack1
IP アドレス 2.2.2.9 255.255.255.255
ospf 1
エリア 0.0.0.0
ネットワーク 2.2.2.9 0.0.0.0
ネットワーク 172.1.1.0 0.0.0.255
ネットワーク 172.2.1.0 0.0.0.255
ユーザー インターフェイス con 0
認証モード パスワード
ユーザー インターフェイス vty 0 4
ユーザー インターフェイス vty 16 20
ウールと
戻る
AR3:
現在の構成
[V200R003C00]
システム名 pe2
snmp エージェント ローカル エンジン ID 800007DB03000000000000
snmp エージェント
時計のタイムゾーン 中国標準時マイナス 08:00:00
ポータル ローカル サーバー ロード flash:/portalpage.zip
違法な Mac アラームをドロップします
wlan ac-グローバル キャリア ID 他の AC ID 0
CPU 使用率のしきい値を設定 80 復元 75
ip vpn-instance vpna
ipv4-family
ルート識別子 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
ip vpn-instance vpnb
ipv4-family
ルート識別子 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
mpls lsr-id 3.3.3.9
mpls
mpls自民党
aaa
認証方式のデフォルトの
認可方式 デフォルトの
アカウンティング方式 デフォルトの
ドメイン
デフォルトのドメイン default_admin
ローカルユーザーの管理者パスワード暗号 % %K8m.Nt84DZ}e#<0`8bmE3Uw}% %
ローカル ユーザー管理サービス タイプ http
ファイアウォール ゾーン ローカル
優先度 15
インターフェイス GigabitEthernet0/0/0
IP アドレス 172.2.1.2 255.255.255.0
mpls
mpls ldp
インターフェイス GigabitEthernet0/0/1
ip バインディング vpn インスタンス vpna
IP アドレス 10.3.1.2 255.255.255.0
インターフェイス GigabitEthernet0/0/2
ip バインディング vpn インスタンス vpnb
IP アドレス 10.4.1.2 255.255.255.0
インターフェース NULL0
インターフェイス LoopBack1
IP アドレス 3.3.3.9 255.255.255.255
bgp 100
ピア 1.1.1.9 as-number 100
ピア 1.1.1.9 接続インターフェイス LoopBack1
ipv4 ファミリ ユニキャスト
undo 同期
ピア 1.1.1.9 有効化
ipv4 ファミリ vpnv4
ポリシー VPN ターゲット
ピア 1.1.1.9 の有効化
ipv4 ファミリー VPN インスタンス vpna
インポート ルート ダイレクト
ピア 10.3.1.1 番号 65430
ipv4-family vpn-instance vpnb
import-route ダイレクト
ピア 10.4.1.1 as-number 65440
ospf 1
エリア 0.0.0.0
ネットワーク 3.3.3.9 0.0.0.0
ネットワーク 172.2.1.0 0.0.0.255
ユーザー インターフェイス con 0
認証モード パスワード
ユーザー インターフェイス vty 0 4
ユーザー インターフェイス vty 16 20
ウールと
戻る
AR4:
ディスク
現在の構成
[V200R003C00]
snmp エージェント ローカル エンジン ID 800007DB03000000000000
snmp エージェント
時計のタイムゾーン 中国標準時マイナス 08:00:00
ポータル ローカル サーバー ロード flash:/portalpage.zip
違法な Mac アラームをドロップします
wlan ac-グローバル キャリア ID 他の AC ID 0
CPU 使用率のしきい値を設定 80 復元 75
ファイアウォール ゾーン ローカル
優先度 15
インターフェイス GigabitEthernet0/0/0
IP アドレス 10.1.1.1 255.255.255.0
インターフェイスギガビットイーサネット0/0/1
インターフェイスギガビットイーサネット0/0/2
インターフェース NULL0
bgp 65410
ピア 10.1.1.2 番号 100
ipv4 ファミリ ユニキャスト
undo 同期
インポート ルート ダイレクト
ピア 10.1.1.2 有効化
ユーザー インターフェイス con 0
認証モード パスワード
ユーザー インターフェイス vty 0 4
ユーザー インターフェイス vty 16 20
ウールと
戻る
AR5:現在の構成を
ディスク[V200R003C00]
snmp エージェント ローカル エンジン ID 800007DB03000000000000
snmp エージェント
時計のタイムゾーン 中国標準時マイナス 08:00:00
ポータル ローカル サーバー ロード flash:/portalpage.zip
違法な Mac アラームをドロップします
wlan ac-グローバル キャリア ID 他の AC ID 0
CPU 使用率のしきい値を設定 80 復元 75
ファイアウォール ゾーン ローカル
優先度 15
インターフェイス GigabitEthernet0/0/0
IP アドレス 10.2.1.1 255.255.255.0
インターフェイスギガビットイーサネット0/0/1
インターフェイスギガビットイーサネット0/0/2
インターフェース NULL0
bgp 65420
ピア 10.2.1.2 番号 100
ipv4 ファミリ ユニキャスト
undo 同期
インポート ルート ダイレクト
ピア 10.2.1.2 有効化
ユーザー インターフェイス con 0
認証モード パスワード
ユーザー インターフェイス vty 0 4
ユーザー インターフェイス vty 16 20
ウールと
戻る
Ar6:
現在の構成
[V200R003C00]
snmp エージェント ローカル エンジン ID 800007DB03000000000000
snmp エージェント
時計のタイムゾーン 中国標準時マイナス 08:00:00
ポータル ローカル サーバー ロード flash:/portalpage.zip
違法な Mac アラームをドロップします
wlan ac-グローバル キャリア ID 他の AC ID 0
CPU 使用率のしきい値を設定 80 復元 75
ファイアウォール ゾーン ローカル
優先度 15
インターフェイス GigabitEthernet0/0/0
IP アドレス 10.3.1.1 255.255.255.0
インターフェイスギガビットイーサネット0/0/1
インターフェイスギガビットイーサネット0/0/2
インターフェース NULL0
bgp 65430
ピア 10.3.1.2 番号 100
ipv4 ファミリ ユニキャスト
undo 同期
インポート ルート ダイレクト
ピア 10.3.1.2 有効化
ユーザー インターフェイス con 0
認証モード パスワード
ユーザー インターフェイス vty 0 4
ユーザー インターフェイス vty 16 20
ウールと
戻る
Ar7:現在の構成を
ディスク[V200R003C00]
snmp エージェント ローカル エンジン ID 800007DB03000000000000
snmp エージェント
時計のタイムゾーン 中国標準時マイナス 08:00:00
ポータル ローカル サーバー ロード flash:/portalpage.zip
違法な Mac アラームをドロップします
wlan ac-グローバル キャリア ID 他の AC ID 0
CPU 使用率のしきい値を設定 80 復元 75
ファイアウォール ゾーン ローカル
優先度 15
インターフェイス GigabitEthernet0/0/0
IP アドレス 10.4.1.1 255.255.255.0
インターフェイスギガビットイーサネット0/0/1
インターフェイスギガビットイーサネット0/0/2
インターフェース NULL0
bgp 65440
ピア 10.4.1.2 番号 100
ipv4 ファミリ ユニキャスト
undo 同期
インポート ルート ダイレクト
ピア 10.4.1.2 有効化
ユーザー インターフェイス con 0
認証モード パスワード
ユーザー インターフェイス vty 0 4
ユーザー インターフェイス vty 16 20
ウールと
戻る
確認:
display mpls ldp sessionコマンドを実行すると、表示結果のStatus項目が「Operational」となっていることがわかります。
PE で display ip vpn-instance verbose コマンドを実行して、VPN インスタンスの設定を表示します。各 PE は、接続されている CE に ping を送信できます。
コマンド -asource-ip-address の ping -vpn-instance vpn-instance-name -a source-ip-address dest-ip-address パラメータを指定しないと、ping が失敗する可能性があります。
PE デバイスで display bgppeer または display bgp vpnv4 allpeer コマンドを実行すると、PE 間の BGP ピア関係が確立され、確立状態に達していることがわかります。
display bgp vpnv4 vpn-instancepeer コマンドを実行すると、PE と CE の間の BGP ピア関係が確立され、確立状態に達していることがわかります。
PE で display ip routing-table vpn-instance コマンドを実行すると、ピア CE へのルートを表示できます。