MPLS--Hub-Spoke组网

已于 2023-03-24 18:00:39 修改
阅读量653 收藏 3
点赞数
文章标签: 网络 智能路由器 网络协议
于 2023-03-24 16:44:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41595525/article/details/129754044
版权

本次实验拓扑

image.png
备注:每个设备上各有一个Loopback0接口,IP为x.x.x.x/32,x为路由器的编号。

实验介绍

1、Site1、Site2、Site3上各有两种类型的业务,分别是视讯业务Video,语音业务Voip(用Loopback接口模拟)。
2、AR1、AR6、AR7分别是Site1、2、3的CE设备,AR2、AR3、AR4、AR5是ISP设备。
3、IP地址的规划如上图所示
4、Video业务和Voip业务需要相互隔离,PE和CE之间采用OSPF传递Video数据,PE和CE之间采用BGP传递Voip数据
5、要求实现 Video Site1和Site2、Site3之间都能相互通信,Site2和Site3之间的通信必须经过总部
6、要求实现 Voip 业务Site2可以和Site1、Site3通信,Site1和Site3的通信必须经过Site2

实验步骤

1、ISP基础的环境的搭建

PE和P设备之间使用ISIS协议完成基本的通信
PE和P设备之间建立BGP的VPNv4邻居
PE和P设备使用MPLS LDP建立LDP会话,LDP的LSR-ID为设备的Loopback0接口IP
现象展示:
使用ISIS保证Loopback接口之间相互可以通信
image.png
保证LDP会话的正常建立
image.png
设备之间建立起BGP的VPNv4邻居(因为IBGP水平分割的原因,这里要么做BGP的全互联要么做BGP的路由反射器)
image.png

2、MCE的配置

当一个私网需要根据业务或者网络划分VPN时,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置一台CE将增加用户的设备开支和维护成本。
具有MCE(Multi-VPN-Instance,CE多实例CE)功能的CE设备可以在MPLS VPN组网应用中承担多个VPN实例的CE功能,减少用户网络设备的投入。

1、首先配置Site2和Site3的Video业务
这里以AR6举例,在AR7的配置也是类似的
1、配置MCE

# 创建VRF
ip vpn-instance Video
ipv4-family
route-distinguisher 200:2   #其实不设置RD值也可以,这里设置RD值主要是考虑到如果PE和CE之间使用BGP协议,路由将无法发布

2、接口绑定VPN实例(要进入子接口配置,因为CE上可能有多个业务,但是CE和PE之间只有一条物理线路)

interface GigabitEthernet0/0/1.1
 dot1q termination vid 1
 ip binding vpn-instance Video
 ip address 10.0.14.6 255.255.255.0 
 arp broadcast enable

interface LoopBack1
 ip binding vpn-instance Video
 ip address 100.0.213.2 255.255.255.0

现象:(需要额外注意的是AR4和AR6互联的子接口Dot1q的ID应该一致)
image.png
image.png
3、Video业务里 PE和CE采用OSPF通信,并将路由引入进BGP,以AR4(Site2-PE)举例
image.png
image.png

3、Hub-Spoke的配置(OSPF)

所谓的Hub-Spoke组网其实很简单就是要求Spoke站点之间的数据互访必须经过Hub节点的中转,实现Hub-Spoke最重要的地方在于RT值的规划

需求1:RT规划(Spoke)
        让单个Spoke节点的Export-RT和Import RT不一致,例如Site2的Video业务的RT按如下规划<br /> Site2 Video Ex RT: 100:1<br />        Site2 Video Im RT:100:2<br />            两个Spoke节点的Export RT一致,Import RT也一致<br /> Site3 Video Ex RT: 100:1<br />        Site3 Video Im RT:100:2<br />配置举例(AR4为例)

ip vpn-instance Video
 ipv4-family
  route-distinguisher 200:1
  vpn-target 100:1 export-extcommunity
  vpn-target 100:2 import-extcommunity

效果:Site2和Site3之间不能直接相互访问

需求2:RT规划(Hub)

将Hub节点一分为2,例如下图,创建出一个V1-AR2和V2-AR2
让V1-AR2专门接收路由,V2-AR2专门转发路由
所以V1-AR2的Video 业务RT规划只需要规划Import-RT为100:1
V2-AR2的Video 业务RT规划只需要规划Export-RT为100:2

1、Hub-PE节点(AR2)配置VPN实例

ip vpn-instance Video-IN
 ipv4-family
  route-distinguisher 100:1
  vpn-target 100:1 import-extcommunity

interface GigabitEthernet0/0/1.1
 dot1q termination vid 1
 ip binding vpn-instance Video-IN
 ip address 10.0.121.2 255.255.255.0 
 arp broadcast enable

ip vpn-instance Video-OUT
 ipv4-family
  route-distinguisher 100:2
  vpn-target 100:2 export-extcommunity

interface GigabitEthernet0/0/1.2
 dot1q termination vid 2
 ip binding vpn-instance Video-OUT
 ip address 10.0.122.2 255.255.255.0 
 arp broadcast enable

HUB-CE配置

ip vpn-instance Video
 ipv4-family
  route-distinguisher 100:3

interface LoopBack1
 ip binding vpn-instance Video
 ip address 100.0.123.1 255.255.255.0 

interface GigabitEthernet0/0/1.1
 dot1q termination vid 1
 ip binding vpn-instance Video
 ip address 10.0.121.1 255.255.255.0 
 arp broadcast enable

interface GigabitEthernet0/0/1.2
 dot1q termination vid 2
 ip binding vpn-instance Video
 ip address 10.0.122.1 255.255.255.0 
 arp broadcast enable

2、Hub-PE和Hub-CE之间配置OSPF(配置略)
image.png
3、将CE路由引入进BGP进程当中,将来自Site2和Site3的路由引入进Site1内部

bgp 100
 ipv4-family vpn-instance Video-OUT 
  import-route ospf 2   #实际上不能这么直接引入,要写路由策略,但是这是实验,所以就不去纠结这个问题了

ospf 1 router-id 21.21.21.21 vpn-instance Video-IN
 import-route bgp   #实际上不能这么直接引入,要写路由策略,但是这是实验,所以就不去纠结这个问题了

需求3:查看结果

AR2的Video-IN的路由表里面收到了Site2和Site3的Video路由
image.png
AR2的Video-IN的会将对应的LSA传递给AR1
image.png
但是AR1的路由表里面没有路由
image.png
Q:为什么?
因为只要是从OSPF的VPN实例发出来的LSA3、LSA5、LSA7都会带上DN-bit标记位
image.png
image.png

需求4:解决OSPF防环规则带来的一些问题

解决方案1:关闭DN-bit置位或者忽略对DN-bit防环的检查

 dn-bit-check disable summary/ase/nssa  #关闭dn-bit检查
 dn-bit-set disable summary/ase/nssa    #关闭dn-bit置位功能

解决方案2:一键关闭OSPF防环规则的限制

vpn-instance-capability simple

实验效果
1、在HUB-CE1(AR1)的OSPF进程下配置
image.png
2、在HUB-PE1(AR2)的出方向VPN实例OSPF进程下配置
image.png
3、在Spoke-CE上配置(因为当Spoke-PE将路由从BGP引入进OSPF的时候也是会带上DN-bit的)
image.png
Q:为什么在Spoke-CE看到的OSPF路由的Pre字段为150,OSPF在MPLS VPN里面传递LSA的特性怎么在这里失效了?
4、数据互访过程:AR7-AR5-AR3-AR2-AR1-AR2-AR3-AR4-AR6
image.png

4、Hub-Spoke的配置(BGP)

这里使用 Voip 业务Site2可以和Site1、Site3通信,Site1和Site3的通信必须经过Site2来进行模拟(相同的配置不做重复介绍)

需求1:RT规划

Site2-Voip-IN Import RT :200:2
Site2-Voip-OUT Export RT:200:1
Site1-Voip Import RT:200:1 Export RT:200:2
Site2-Voip Import RT: 200:1 Export RT:200:2

需求2:PE和CE之间配置BGP(以HUB-CE(AR6)和HUB-PE(AR4)为例)
bgp 65002
 #
 ipv4-family unicast
  undo synchronization
 #
 ipv4-family vpn-instance Voip 
  network 101.0.213.0 255.255.255.0 
  peer 10.0.24.2 as-number 100 
  peer 10.0.34.2 as-number 100 

bgp 100
 ipv4-family vpn-instance Voip-IN 
  peer 10.0.24.6 as-number 65002 
 #
 ipv4-family vpn-instance Voip-OUT 
  peer 10.0.34.6 as-number 65002

需求3:查看结果

AR4(Hub-PE)的Voip-IN里面能看到VPN实例Voip-IN的路由
image.png
AR4(Hub-PE)Voip-IN会将路由传递给AR6(Hub-CE),再由AR6传递给AR4(Hub-PE)的Voip-OUT
image.png
AR4(Hub-PE)的Voip-OUT路由表里面没有路由
image.png
这是因为AS-Num重复的问题导致的,AR4将路由给AR6打上100的AS-Num,AR6再次将路由传递回来,AR4发现AS-Num重复,将不接收

需求4:解决BGP防环规则导致的问题
bgp 100
 ipv4-family vpn-instance Voip-OUT 
  peer 10.0.34.6 allow-as-loop

image.png
image.png
结果:AR7访问AR1经过了这样的路径:AR7-AR5-AR3-AR4-AR6-AR4-AR3-AR2-AR1
image.png
链接:MPLS VPN实验
提取码:4312

Frank Underwood_P
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置mpls vpn基本组网-hub and spoke
lwljh134的博客
04-13 851
hub PE的vpn_in用于接收spoke路由给hub节点,hub PE的vpn_out用于接收hub节点的路由,然后再发布给spoke PE。当执行到④时,20.20.20.20/32的路由的as-path属性为400 200,再次发送给PE1,由于PE1为AS400,基于BGP的防环规则,收到as-path属性包括本地的as号的路由时,将不接收路由。结果表明,再vpn_in的路由中,可以看到学习到了各个CE节点的路由信息,但是vpn_out的路由中,并没有学习到spoke CE的路由信息。
Hub-Spoke
热门推荐
lra2003的博客
10-28 1万+
1.Hub-Spoke Hub-Spoke VPN的核心思想是在VPN中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行。上图是一个典型的Hub-Spoke网络,其中的元素分别为Hub-PE、Hub-CE、Spoke-PE和Spoke-CE,一般情况下Spoke-PE均与Hub-PE互联,Spoke-PE之间无需互联。在这里Hub-PE看上去有点类似于路由反射器RR的功能,其实并不是这样的,可以通过后面的配置中我们可以看到,在Hub-PE上并没有配置任何RR的功能,这里是通过Hub-PE和S
Hub-spoke组网典型案例
m0_72427090的博客
04-26 873
spoke可以通过 hub访问spoke。3、PE和RR建立MP-IBGP邻居关系。通过部署hub站点和多个spoke站点。要求:hub可以访问任意一个spoke。站点路由协议(绑定VPN实例)1、公网的IGP和LDP配置。2、连接站点的VPN实例规划。spoke可以访问hubHUB-Spoke组网
MPLS Hub-Spoke 模拟实验(ENSP)
zero_number的博客
06-25 1409
在AR1上创建两个VRF的原因是因为分支如果想要互访的话需要到达H总部绕行,所以需要使用到两个VPN实例来绑定两个接口,实现一进一出,如果只使用一个VPN实例和一个接口,那么分支互访的时候就不会通过总部绕行,而是直接通过AR1进行转发了。在图中我们可以看到,这三台CE设备除了自己的路由信息,并没有学到对方的路由,这是因为bgp防环水平分割导致无法收到对方的路由,接下来我们通过命令来使BGP能够接收对方传递过来的路由,一共有两种方法,我们分别在AR5和AR6上配置。此外,可以在中心枢纽上实施访问。
综合实验 HUB-SPOKEN结构
qq_64395221的博客
01-11 309
一、实验要求二、拓扑图三、配置IP地址及环回地址四、isp区域运行ospf协议五、r2、r5、r6建立bgp邻居关系六、ISP区域运行mpls七、r2、r5、r6启用mpls vpn并绑定接口八、r1、r2建立bgp邻居关系九、在r1上启用ospf协议、r7上启用rip协议、r8上启用ospf协议十、破环十一、测试。
Cisco Hub-Spoke三层×××配置指导
weixin_34112208的博客
06-04 625
Cisco Hub-Spoke三层×××配置指导 引言 在BGP/MPLS三层×××网络中,通过×××的Route Target属性来控制×××路由信息在各Site 之间的发布和接收。××× Export Route Target和Import Route Target的设置相互独立,并且可以通过设置多个值,可以实现灵活的×××间的互访控制,这里我首...
一例通过运营商的hub-spoke配置案例
05-11
在这个“一例通过运营商的hub-spoke配置案例”中,我们将深入探讨VRF(Virtual Routing and Forwarding)、单臂路由、MPLS(Multiprotocol Label Switching)以及EBGP(External Border Gateway Protocol)等关键...
MPLS-TP的业务适配与标签转发机制
10-24
传送网承载的业务从以时分复用(TDM)为主向以IP为主转变,需要一种能够有效传送分组业务的新技术。传送多 ...
What is MPLS-TP?
09-02
MPLS-TP】全称为Multi-Protocol Label Switching - Transport Profile,是互联网工程任务组(IETF)和国际电信联盟(ITU-T)共同努力的结果,结合了它们各自在Provider Backbone Bridging(PBB)和Transport MPLS...
hcie-datacom MPLS知识点笔记
03-09
hcie-datacom MPLS知识点笔记
Hub and Spoke
weixin_34303897的博客
02-10 921
本文出自Simmy的个人blog:西米在线http://simmyonline.com/archives/542.html The Enhanced Interior Gateway Routing Protocol (EIGRP) Stub Routing feature improves network stability, reduces...
L2L ×××实现 hub-spoken 互联方式
weixin_33795743的博客
01-18 404
L2L ×××实现 hub-spoken 互联方式 作者:Cedric CCIE#25467 网络拓扑结构如上 今天我们讲述如何实现HUB-SPOKEN结构的L2L访问 R1为HUB端 R2,R3为SPOKEN端。 R1#sh run Building configuration... Current configura...
MPLS virtual private network Spoken-Hub网络实验(华为设备)
tushanpeipei的博客
01-24 1237
实验拓扑: 保证PC1和PC2能够通过site1做中转站,互相正常通信。 配置思路: 一、骨干网上配置IGP协议,实现骨干网Hub-PE和Spoke-PE的互通。以PE1为例子: ospf 1 area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.1.12.1 0.0.0.0 network 10.1.13.1 0.0.0.0 注意只需要通过与公网相连的地址,不能将与CE相连的地址通告进去。并且需要将回环口通告进入OSPF中(32位),为第二步的MPLS做准备。
HUB&SPOKE场景
qq_44751470的博客
08-10 1706
一、实验拓扑图 1.实验拓扑图 二、实验目的 1.配置HUB&SPOKE场景 三、HUB&SPOKE场景 1.site之间的通信要经过,总部。 四、简单配置 AR1 sysname AR1 # interface GigabitEthernet0/0/0 ip address 10.0.13.1 255.255.255.0 # interface LoopBack1 ip address 1.1.1.1 255.255.255.255 # ospf 1 area 0.0.0.
VPN部署场景——拨号VPN—hub spoke模式
君逍遥o
09-22 1626
如图所示,某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。
Hub&Spoke 实验
agonilw的博客
07-07 953
Hub&Spoke 实验 AR7和AR1,AR2,AR3建立VPNv4 AR1,AR2,AR3 创建VRF 接下来解决子接口 运行BGP 做完之后在AR7上检查vpnv4邻居是否起来 配置CE AR5和AR6上display邻居 保证spoke端通过hub端访问Internet......
MPLS hub and spoke 实验问题
blakegao的专栏
11-29 3657
R1     no ip domain lookup ip cef     no ipv6 cef !                interface Loopback0  ip address 1.1.1.1 255.255.255.255 !          interface Ethernet0/0  ip address 12.1.1.1 255.255.255.0
华为--FR帧中继及hub-spoke网络,手工指定邻居状态现象
冷鞘-的博客
11-18 1273
一:搭建拓扑 2) 为R1,R2,R3的s4/0/0接口分别配置123.0.0.1/24,123.0.0.2/24,123.0.0.3/24,接口封装类型改为fr 此时ping 123.0.0.2 时是不通的,通过
MPLS HUB-SPOKE
最新发布
06-28
MPLS (Multiprotocol Label Switching) 是一种网络技术,它扩展了传统的IP转发方式,引入了标签交换的概念,使得数据包能够更快速、更高效地在网络中传输。在 MPLS 中,Hub-Spoke模型是一种常见的网络架构设计,主要用于大型企业网络或服务提供商网络。 **Hub-Spoke模型:** - **Hub**: 在这种模型中,通常指的是中心节点或核心路由器,负责连接到多个子网(Spokes)。它是所有流量的主要入口和出口点。 - **Spoke**: 指的是从中心Hub辐射出去的分支网络,每个Spoke代表一个单独的区域或部门,如分公司、数据中心等。Spokes与Hub之间建立专用的MPLS隧道,数据通过这些隧道定向传输到Hub。 - **优点**: - 带宽效率:由于流量被集中处理,Hub可以为每个Spoke提供专用带宽,避免了全网广播或广播风暴。 - 网络扩展:当需要添加新的Spoke时,只需要在Hub和新Spoke之间配置连接,而无需修改整个网络的其他部分。 - 安全性:Hub可以实施防火墙策略,保护内部Spoke之间的通信不受外部干扰。 **如何工作:** 1. 数据包进入Hub时,会被打上标签,标识出它的目的地。 2. Hub根据标签转发数据包,不关心底层的IP路由信息。 3. Spoke之间的通信通过Hub进行,数据包在Hub内进行标签交换,然后沿预定路径到达目的地Spoke。 4. 当数据包到达目标Spoke时,标签被移除,执行最后的IP转发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值