BGP/MPLS IP VPF(N) 实验(ensp)

已于 2023-08-21 22:09:38 修改
阅读量2.3k 收藏 27
点赞数 7
分类专栏: ensp实验 文章标签: 网络 网络协议 信息与通信 tcp/ip 运维 计算机网络 网络安全
于 2023-04-04 21:56:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72910567/article/details/129954023
版权

实验拓扑图

         如图1所示,本次实验使用了6台路由器(R1-R6),其中R3、R4、R5作为运营商网络中的P或PE路由器,R1、R2作为VPN客户端(CE)路由器,R6作为VPN客户端要访问的目标路由器。运营商网络使用OSPF作为IGP协议,并开启MPLS LDP功能。PE路由器使用MP-BGP协议发布VPN路由信息,并创建两个VRF实例(1和2)对应两个VPN客户。CE路由器使用静态路由与PE路由器互通。

实验目的和需求

本次实验旨在通过以下几个方面达到以下目的:

了解MPLS VPN的基本原理和配置方法,包括MPLS LDP、MP-BGP、VRF、RD、RT等概念和功能.。 

掌握VRF、RD和RT的作用和配置方法,包括如何创建VRF实例、如何指定RD和RT值、如何将接口划分到VRF中等。
验证MPLS VPN的功能和效果,包括如何测试不同VPN之间的连通性和隔离性。

    

实验步骤

1. 配置IP地址和路由协议

- 在CE、PE和P路由器上配置IP地址和路由协议,使得各个路由器之间可以互相ping通
- 在PE路由器上配置loopback0接口,作为BGP的源地址
- 在P路由器上配置MPLS LDP,使得P路由器之间可以建立标签交换路径

2. 配置VRF和RD

- 在PE路由器上创建两个VRF实例,分别命名为1和2,分别对应两个VPN客户
- 在每个VRF实例下配置RD值,使得同一VPN内的IP地址可以区分开来
- 在PE路由器上将连接CE的接口划分到相应的VRF中,使得不同VPN之间可以隔离

3. 配置MP-BGP和RT

- 在PE路由器上配置MP-BGP,并激活VPNv4邻居会话,使得PE之间可以交换VPN路由信息
- 在每个VRF实例下配置RT值,使得不同VPN之间可以根据需要导入或导出路由信息
- 在PE和CE之间配置相应的动态或静态路由协议,并根据需要重新分发路由信息

1. 配置IP地址和路由协议

在CE、PE和P路由器上配置IP地址和路由协议,使得各个路由器之间可以互相ping通

在PE路由器上配置loopback0接口,作为BGP的源地址
在P路由器上配置MPLS LDP,使得P路由器之间可以建立标签交换路径

(首先要在系统界面下开启mpls ldp)

在R3、R4、R5上开启MPLS LDP功能,并配置OSPF协议,如下:

r3 r4 r5上操作

[r3][r4][r5]mpls
[r3][r4][r5]mpls ldp
[r3][r4][r5]qui
[r3]
ospf 1 router-id 3.3.3.3 
 area 0.0.0.0
#
interface GigabitEthernet0/0/2
 ip address 34.1.1.3 255.255.255.0 
 ospf enable 1 area 0.0.0.0 
 mpls
 mpls ldp
interface LoopBack0
 ip address  4.4.4.4 255.255.255.255 
 ospf enable 1 area 0.0.0.0
[r4]
ospf 1 router-id 4.4.4.4 
 area 0.0.0.0
#
interface GigabitEthernet0/0/2
 ip address 34.1.1.4 255.255.255.0 
 ospf enable 1 area 0.0.0.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 ip address 45.1.1.4 255.255.255.0 
 ospf enable 1 area 0.0.0.0
 mpls
 mpls ldp
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255 
 ospf enable 1 area 0.0.0.0
[r5]
ospf 1 router-id 5.5.5.5
 area 0.0.0.0 
interface GigabitEthernet0/0/1
 ip address 45.1.1.5 255.255.255.0 
 ospf enable 1 area 0.0.0.0  
 mpls
 mpls ldp
interface LoopBack0
 ip address 5.5.5.5 255.255.255.255 
 ospf enable 1 area 0.0.0.0

2. 配置VRF和RD

在PE路由器上创建两个VRF实例,分别命名为1和2,分别对应两个VPN客户,在另外一个PE路由器上创建一个VRF实例,命名为1,对应两个VPN用户都要访问的目的地。并且在每个VRF实例下配置RD值,使得同一VPN内的IP地址可以区分开来。

在R3上创建两个VRF实例,并指定RD值,如下:

[r3]
ip vpn-instance 1
  route-distinguisher 1:1
#
ip vpn-instance 2                             
  route-distinguisher 2:2

在R5上创建一个VRF实例,并指定RD值,如下: 

[r5]
ip vpn-instance 1
  route-distinguisher 3:3

 在PE路由器上将连接CE的接口划分到相应的VRF中,使得不同VPN之间可以隔离

在R3上将连接R1和R2的接口划分到相应的VRF中,如下:

[r3]
interface GigabitEthernet0/0/0
 ip binding vpn-instance 1                
 ip address 192.168.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip binding vpn-instance 2
 ip address 192.168.3.254 255.255.255.0

在R5上将连接R6的接口划分到VRF中,如下:

[r5]
interface GigabitEthernet0/0/0
 ip binding vpn-instance 1
 ip address 56.1.1.5 255.255.255.0

3. 配置MP-BGP和RT

 在PE路由器上配置MP-BGP,并激活VPNv4邻居会话,使得PE之间可以交换VPN路由信息

在R3和R5上配置MP-BGP,并激活VPNv4邻居会话,如下:

[r3]
bgp 35
 router-id 3.3.3.3
 undo default ipv4-unicast
 peer 5.5.5.5 as-number 35 
 peer 5.5.5.5 connect-interface LoopBack0
 ipv4-family vpnv4
  policy vpn-target
  peer 5.5.5.5 enable
[r5]
bgp 35
 router-id 5.5.5.5
 undo default ipv4-unicast
 peer 3.3.3.3 as-number 35 
 peer 3.3.3.3 connect-interface LoopBack0                                       
 ipv4-family vpnv4
  policy vpn-target
  peer 3.3.3.3 enable

 在每个VRF实例下配置RT值,使得不同VPN之间可以根据需要导入或导出路由信息

在R3上为每个VRF实例配置RT值,如下:

[r3]
ip vpn-instance 1
  vpn-target 1:1 export-extcommunity
  vpn-target 1:1 import-extcommunity
#
ip vpn-instance 2                             
  vpn-target 2:2 export-extcommunity
  vpn-target 2:2 import-extcommunity

在R5上为VRF实例配置RT值,如下: 

[r5]
ip vpn-instance 1
  route-distinguisher 3:3
  vpn-target 1:1 2:2 export-extcommunity
  vpn-target 3:3 1:1 2:2 import-extcommunity


在PE和CE之间配置相应的动态或静态路由协议(这里用BGP协议举例),并根据需要重新分发路由信息

R1和R2,与R3配置BGP邻居关系,并宣告自己的路由信息

[r1]
bgp 1
 peer 192.168.1.254 as-number 35 
  network 1.1.1.1 255.255.255.255         
  network 192.168.1.0 

[r2]
bgp 2
 peer 192.168.3.254 as-number 35 
  network 2.2.2.2 255.255.255.255         
  network 192.168.3.0 
[r3]
bgp 35
 ipv4-family vpn-instance 1 
  peer 192.168.1.1 as-number 1 
 #
 ipv4-family vpn-instance 2 
  peer 192.168.3.1 as-number 2

R5和R6建立BGP邻居关系,并宣告自己的路由信息

[r6]
bgp 6
 peer 192.168.2.254 as-number 35 
  network 6.6.6.6 255.255.255.255 
  network 192.168.2.0                     
[r5]
bgp 35        
 ipv4-family vpn-instance 1 
  peer 192.168.2.1 as-number 6

实验结果

1. 验证MPLS VPN的连通性

在CE上使用ping或tracer命令测试不同VPN之间的连通性,观察结果是否符合预期

<r1>ping 192.168.2.1
  PING 192.168.2.1: 56  data bytes, press CTRL_C to break
    Reply from 192.168.2.1: bytes=56 Sequence=1 ttl=252 time=50 ms
    Reply from 192.168.2.1: bytes=56 Sequence=2 ttl=252 time=40 ms

<r1>ping 6.6.6.6
  PING 6.6.6.6: 56  data bytes, press CTRL_C to break
    Reply from 6.6.6.6: bytes=56 Sequence=1 ttl=252 time=40 ms
    Reply from 6.6.6.6: bytes=56 Sequence=2 ttl=252 time=40 ms

<r1>tracert 192.168.2.1
 traceroute to  192.168.2.1(192.168.2.1), max hops: 30 ,packet length: 40,press CTRL_C to break 
 1 192.168.1.254 20 ms  20 ms  30 ms 
 2 34.1.1.4 40 ms  30 ms  30 ms 
 3 192.168.2.254 < AS=6 > 40 ms  30 ms  40 ms 
 4 192.168.2.1 < AS=6 > 40 ms  40 ms  30 ms
<r2>ping 192.168.2.1
  PING 192.168.2.1: 56  data bytes, press CTRL_C to break
    Reply from 192.168.2.1: bytes=56 Sequence=1 ttl=252 time=30 ms
    Reply from 192.168.2.1: bytes=56 Sequence=2 ttl=252 time=50 ms


<r2>ping 6.6.6.6    
  PING 6.6.6.6: 56  data bytes, press CTRL_C to break
    Reply from 6.6.6.6: bytes=56 Sequence=1 ttl=252 time=30 ms
    Reply from 6.6.6.6: bytes=56 Sequence=2 ttl=252 time=30 ms

<r2>tracert 6.6.6.6
 traceroute to  6.6.6.6(6.6.6.6), max hops: 30 ,packet length: 40,press CTRL_C to break 
 1 192.168.3.254 20 ms  20 ms  20 ms 
 2 34.1.1.4 30 ms  20 ms  30 ms 
 3 192.168.2.254 < AS=6 > 40 ms  30 ms  30 ms 
 4 192.168.2.1 < AS=6 > 40 ms  30 ms  50 ms 



<r6>ping 1.1.1.1
  PING 1.1.1.1: 56  data bytes, press CTRL_C to break
    Reply from 1.1.1.1: bytes=56 Sequence=1 ttl=252 time=40 ms
    Reply from 1.1.1.1: bytes=56 Sequence=2 ttl=252 time=50 ms

<r6>ping 2.2.2.2
  PING 2.2.2.2: 56  data bytes, press CTRL_C to break
    Reply from 2.2.2.2: bytes=56 Sequence=1 ttl=252 time=40 ms
    Reply from 2.2.2.2: bytes=56 Sequence=2 ttl=252 time=40 ms

<r6>ping 192.168.1.1
  PING 192.168.1.1: 56  data bytes, press CTRL_C to break
    Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=252 time=40 ms
    Reply from 192.168.1.1: bytes=56 Sequence=2 ttl=252 time=40 ms

<r6>ping 192.168.3.1
  PING 192.168.3.1: 56  data bytes, press CTRL_C to break
    Reply from 192.168.3.1: bytes=56 Sequence=1 ttl=252 time=30 ms
    Reply from 192.168.3.1: bytes=56 Sequence=2 ttl=252 time=30 ms

2. 验证MPLS VPN的隔离性

- 在CE上使用ping或traceroute命令测试不同VPN之间的隔离性,观察结果是否符合预期
 

<r1>ping 192.168.3.1
  PING 192.168.3.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out

<r1>ping  3.3.3.3
  PING 3.3.3.3: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
<r2>ping 1.1.1.1
  PING 1.1.1.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out

<r2>ping 192.168.1.1   
  PING 192.168.1.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out

 BGP/MPLS IP VPN的优点有:

  • 提高网络性能,利用MPLS的快速转发机制,减少报文的路由查找次数,降低网络延迟和抖动。
  • 节省地址空间,利用路由区分符(RD)和路由标记(RT)实现不同VPN之间的地址空间隔离,允许VPN使用重叠的私有地址,避免了公网地址的浪费。
  • 增强网络安全,利用MPLS的标签交换机制,在公网上建立隧道,实现VPN报文的封装和解封装,保护VPN报文不被窃听或篡改。
  • 简化网络管理,利用BGP的多协议扩展(MP-BGP)实现VPN路由的发布和维护,避免了复杂的隧道配置和维护,提高了网络可扩展性和灵活性。

BGP/MPLS IP VPN的缺点有:

  • 增加网络复杂度,需要在PE和P路由器上配置IP CEF、IGP、MPLS、MP-BGP等多种协议,并在PE路由器上创建和管理多个VPN实例(VRF),增加了网络设备的负载和配置难度。
  • 需要额外的设备支持,需要在PE和P路由器上支持MPLS和MP-BGP等功能,并在CE路由器上支持与PE之间的动态或静态路由协议,增加了网络设备的成本和兼容性问题。
  • 存在标签栈溢出等风险,如果骨干网中存在多层MPLS隧道或者跨域VPN场景,可能导致报文中携带过多的标签,超过设备的处理能力或MTU限制,造成报文丢失或分片。

时光里的雨
关注
  • 7
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为----eNSPBGP路由协议的实验配置
weixin_47152389的博客
06-09 9143
文章目录一、BGP简介1.1:BGP概念1.2:BGP特征1.3:BGP工作原理1.3.1:BGP报文1.3.2:BGP数据库1.3.3:BGP类型1.4:BGP配置思路二、实验练习2.1:实验目的2.2:实验环境2.3:实验步骤2.3.1:命令步骤2.3.2:图示步骤2.4:测试2.5:实验总结 一、BGP简介 1.1:BGP概念 BGP是一种运行在AS与AS之间的动态路由协议,主要作用是在AS之间自动交换无环路由信息以此来构建AS的拓扑图,从而消除路由环路并实施用户配置的路由策略。目前公网网络条目众多
ENSPMPLS VPN实验(Option A)
wjy077485的博客
08-24 573
4、PE1与ASBR1创建VPNA实例,接口绑定绑定VPNA实例,PE2与ASBR2创建VPNB实例,接口绑定绑定VPNB实例。2、配置MPLS LSR-ID,全局开启MPLSMPLS LDP,物理接口开启MPLSMPLS LDP。3、PE1与ASBR1建立MP-IBGP关系,PE2与ASBR2建立MP-IBGP关系。PE2与两个CE建立IGP关系,互相进行引入。5、ASBR1与ASBR2在VPN实例里建立EBGP对等体(也可以使用IGP)不同VPN实例都可通信,相同VPN实例无法通信实验至此完成。
eNSP——MPLS VPN 、BGP、IS-IS
m0_64218141的博客
03-17 2386
实验集合了MPLS VPN、IS-IS、BGP、OSPF技术,此实验也需要懂得一些原理~
防火墙技术基础篇:基于eNSP配置GRE VPN
最新发布
qq_39241682的博客
05-31 1344
GRE VPN是一种基于GRE协议的VPN技术。GRE协议是一种通用的网络封装协议,它允许将一种网络协议的数据包封装到另一种网络协议的数据包中进行传输。通过使用GRE协议,可以实现不同网络协议之间的互通,从而满足企业在不同网络环境下的通信需求。
eNSPmplsvpn综合实验
V_vevive的博客
08-15 594
r2]mpls[r2]bgp 1[r2]bgp 1[r2]bgp 1[r3]mpls[r4]mpls[r4]bgp 1[r4]bgp 1[r4]bgp 1[r6]rip 1。
eNSP中的VPN配置
2301_79605318的博客
09-26 3369
1、在路由器之间配置静态或者动态路由以及缺省路由使公网之间能够互相通信,但私网不能与公网通信,以此来模拟现实中的情况。目的:使不同私网之间PC1与PC2能够互相通信,PC3不能够与PC2通信但能够访问公网。以上图所示网络拓扑为例,蓝色区域代表私网,红色区域代表公网。以上图所示网络拓扑为例,蓝色区域代表私网,红色区域代表公网。目的:使PC1与PC2之间通过VPN能够相互通信。2、配置nat使私网与公网能够互通。4、创建安全提议,此处使用的是AH。1、对设备进行基础的网络配置。3、进行VPN相关设置。
企业网 SSL VPN 史诗级配置-华为ensp毕设实验
白话聊网络的博客
10-31 6055
最初实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通)重启成功后,打开ensp的云彩,就会发现有你刚才创建的VM2,添加网卡这步,应该都会吧,再不百度一大堆。点击刚才设置好的vm2,把dhcp分配地址取消掉,子网处设置题目需求的地址段,确定,在配置前,在虚拟机ping下防火墙接口,不通-白玩-通了之后再往下玩。
玩转华为ENSP模拟器系列 | 跨VdPdNd实例场景下配置IPSec VdPdNd(通过Tunnel接口实现跨VdPdNd转发)
COCO_gsta的博客
10-13 1121
此举例以FW为A公司提供IPSec服务为例,说明如何配置IPSec多实例以及实现跨VPN转发。所示,PC1位于A公司分公司网络,分公司通过一个安全网关与Internet相连,本例中安全网关以FW_B为例进行说明。通过FW_A为A公司创建VPN1,实现PC1可以安全地访问VPN1。在FW_A上配置IPSec策略,并在Tunnel接口上应用此IPSec策略。在FW_A上配置VPN1实例、接口、安全区域和域间安全策略。在FW_B上配置IPSec策略,并在接口上应用此安全策略。配置FW_B的基础配置。
使用华为ensp搭建MPLS实验
weixin_75192377的博客
08-23 460
【代码】使用华为ensp搭建MPLS实验
MPLS BGP反射器实例拓扑ENSP可用
01-19
在这个实例中,"MPLS BGP反射器实例拓扑ENSP可用"表明我们可以使用ENSP来创建和测试一个包含BGP反射器的MPLS网络拓扑。 **vrpcfg.cfg** 文件通常是网络设备配置文件的名称,特别是在模拟环境中。这个文件包含了...
eNSP实验BGP 实验
03-24
eNSP实验BGP实验 eNSP实验BGP实验是基于华为路由器的实验,主要涉及到BGP(Border Gateway Protocol,边界网关协议)的配置和验证。本实验旨在帮助读者熟悉BGP协议的基本概念和配置方法,掌握BGP在实际网络中的...
MPLS/BGP Interview Question
09-02
Good MPLS, BGP interview Questions
华为ensp sr-mpls be配置
03-29
**标题解析:** "华为ensp sr-mpls be配置" 指的是使用华为网络模拟器(ENSP)进行SR-MPLS(Segment Routing over MPLS,基于段路由的多协议标签交换)的基本路径(BE,Basic Engine)配置。SR-MPLS是一种现代的网络...
ensp经典13个实验案例
05-07
实验1 mstp 实验2 vrrp配置 实验3 ospf高级配置 实验4 MSTP+VRRP+OSPF配置 实验5isis配置 实验6路由过滤配置 实验7路由引入 路由策略配置 实验8 BGP基本配置 实验9 BGP选路配置 ...实验14BGP MPLS VPN的配置
华为ensp VPN配置
lt19951003的博客
09-26 279
R1不能拼通192.168.2.254;R3不能拼通过192.168.1.254。在R1和R3上配置缺省路由,到达12.1.1.2: 和23.1.1.2的路由。2、在R1/R2/R3上配置OSPF。1、R1/R2/R3的IP地址配置。4、NAT配置:接口NAT。
eNSP基础常用命令
热门推荐
weixin_51115390的博客
06-04 1万+
本文主要收集了基础的常用ensp命令及其简写方式。
ensp上配置IPSec VPN传输不同流量
weixin_55683012的博客
09-10 1515
注意,若进行IPSec VPN配置后,经过试验后已经配通,但是抓包后发现流量并没有经过IPSec加密,表面仍没有配置成功,需要找出是否有错漏的地方。在AR1的GE0/0/1接口上进行抓包,以ftp为例,在未进行加密时,抓包结果如下,数据包中有多种协议的流量数据。IPSec VPN通道建立在AR1路由器的GE0/0/1接口与AR2路由器的GE0/0/1接口上。要注意,一端路由器的入/出方向密钥要与另一端路由器的出/入方向密钥要一致。
enspipsec实验(ike自动协商)
qq_44933518的博客
04-02 6837
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
bgp协议的实验配置过程与原理分析理解小白都秒懂(详细的实验配置过程)(华为ensp模拟器)
wulimingde的博客
07-19 1万+
BGP协议原理与实验一、自治域AS(Autonomous System)二、三、 一、自治域AS(Autonomous System) 自治系统是在单一技术管理体系下的多个路由器的集合,在自治系统内部使用内部网关协议(例如RIP、OSPF)和通用参数来决定如何路由数据包,在自治系统间则使用AS间路由协议来路由数据包(例如BGP)。 自治系统号(ASN)由16个比特组成,一共具有65536个可能取值。 号码0被保留了,可能会用来标识非路由网络,最大号码65536也被保留了, 在64512到65534之间的号码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时光里的雨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值