Cấu hình MPLS VPN cơ bản

[danghoangkhanh]

Cấu hình MPLS VPN cơ bản

+ Sơ đồ cấu hình như sau

Các bước cấu hình MPLS VPN được thể hiện bằng lược đồ sau:

Step 1: thực hiện như trong bài lab 3.2
Step 2: được thực hiên theo sơ đồ sau:

Step 3: được thực hiện theo sơ đồ sau

Step 1, Step 2 đđã được giới thiệu chi tiết trong phần 3.2. Có thể nói là phần cấu hình trong phần 3.2 là nền tảng để đi tiếp cấu hình trong bài lab này. Do đó trong bài lab này sẽ giới thiệu chi tiết cấu hình trong phần Step 3, còn Step 1, Step 2 không trình bày lại.

+ Cấu hình chi tiết
Tập trung vào cấu hình Step 3
- Cấu hình VRF (Virtual Routing Forwarding)
Phần này sẽ trình bày rõ ràng về cách cấu hình VRF CustomerA trên router PE1 và PE2-AS1. Kết quả sẽ tạo ra một bảng định tuyến VRF và bảng chuyển tiếp CEF (Cisco Express Forwarding) cho CustomerA.

PE1-AS1(config)#ip vrf CustomerA

Lưu ý rằng việc tạo hoặc xóa một vfr đồng nghĩa với việc xóa một địa chỉ ip trên interface tương ứng.

PE1-AS1(config-vrf)#no ip vrf CustomerA
% IP addresses from all interfaces in VRF CustomerA have been removed

- Cấu hình RD (Route Distinguisher)
RD được bổ sung vào tiền tố Ipv4 đến từ phía khách hàng
PE1-AS1(config-vrf)#rd 1:100
Định dạng RD như sau:
+ Số 16-bit cho AS: số 32-bit tự định nghĩa (ví dụ, 1:100)
+ Địa chỉ IP 32-bit: số 16-bit tự định nghĩa (ví dụ, 10.10.10.101:1)
Giá trị RD sẽ được xóa nếu VRF được xóa

PE1-AS1(config)#ip vrf CustomerA
PE1-AS1(config-vrf)#rd 1:100
% Do "no ip vrf " before redefining the VRF

RD là duy nhất trong mỗi VRF. Nếu cố gắng thiết lập RD giống nhau trong VRF trên cùng một router thì sẽ thông báo lỗi

PE1-AS1(config)#ip vrf CustomerA
PE1-AS1(config-vrf)#rd 1:100
% Cannot set RD, check if it's unique

- Cấu hình nhập/xuất chính sách

PE1-AS1(config-vrf)#route-target both 1:100

- Kết hợp VRF với interface
Địa chỉ ip trên interface sẽ bi xóa mỗi khi vrf được cấu hình hoặc xóa
Cấu hình vrf

PE1-AS1(config)#interface serial4/0
PE1-AS1(config-if)#ip add 172.16.1.1 255.255.255.252
PE1-AS1(config-if)# ip vrf forwarding CustomerA
% Interface Serial4/0 IP address 172.16.1.1 removed due to enabling VRF CustomerA
PE1-AS1(config-if)#ip add 172.16.1.1 255.255.255.252

Xóa vrf
PE1-AS1(config-if)#no ip vrf forwarding CustomerA
% Interface Serial4/0 IP address 172.16.1.1 removed due to disabling VRF CustomerA

Sau đây là toàn bộ cấu hình vrf trên router PE1-AS1

ip vrf CustomerA
rd 1:100
route-target export 1:100
route-target import 1:100
!
interface Serial1/0
description PE-CE link to CE1-A
ip vrf forwarding CustomerA
ip address 172.16.1.1 255.255.255.0
!
Interface Loopback1
ip vrf forwarding CustomerA
ip address 172.16.100.1 255.255.255.255
- Kiểm tra cấu hình VRF trên các router PE
Để kiểm tra xem vrf có được thiết lập trên interface bạn dùng 2 lệnh sau:
show ip vrf
show ip vrf interfaces

PE1-AS1#show ip vrf interfaces

Interface IP-Address VRF Protocol
Serial1/0 172.16.1.1 CustomerA up
Lo1 172.16.100.1 CustomerA

[November02]

Hi anh,

Em hỏi bước cấu hình BGP này có nghĩa gì? Mình bypass nó đc ko?

router bgp 100
address-family ipv4 vrf CustomerA
redistribute connected
exit-address-family

Thanks

[November02]

anh check dùm em cấu hình MPLS VPN xem sao nó ko chạy.

Ping từ CE1 tới CE2 ko đc, em show bgp trên PE1 thì đã thấy học được route rồi

Cấu hình trên PE1

conf t
hostname PE1
enable password cisco
line con 0
logg s
exit
line vty 0 4
password cisco
login
exit
int loopback 0
ip address 11.1.1.1 255.255.255.255
exit
int fa0/0
desc "Connect to CE1"
ip address 10.252.1.1 255.255.255.252
no shut
exit
int fa0/1
desc "Connect to P1"
ip address 150.1.1.2 255.255.255.252
mpls ip
no shut
exit
ip cef
mpls label protocol ldp
mpls ldp router-id loopback 0
!-- Cau hinh VRF tren PE1
ip vrf CustomerA
rd 1:100
route-target export 1:100
route-target import 1:100
!
interface fa0/0
ip vrf forwarding CustomerA
exit
!
interface loopback1
ip vrf forwarding CustomerA
ip address 172.16.100.1 255.255.255.255
no shut
exit
!
router ospf 100
network 150.1.1.0 0.0.0.3 area 0
network 11.1.1.1 0.0.0.0 area 0
exit
!
router bgp 100
neighbor 14.1.1.1 remote-as 100
neighbor 14.1.1.1 update-source loopback 0
address-family vpnv4
neighbor 14.1.1.1 activate
neighbor 14.1.1.1 send-community extended
exit
address-family ipv4 vrf CustomerA
redistribute connected
exit-address-family
exit
do wr
!

[Mr.LeVy]

anh check dùm em cấu hình MPLS VPN xem sao nó ko chạy.

Ping từ CE1 tới CE2 ko đc, em show bgp trên PE1 thì đã thấy học được route rồi

Cấu hình trên PE1

conf t
hostname PE1
enable password cisco
line con 0
logg s
exit
line vty 0 4
password cisco
login
exit
int loopback 0
ip address 11.1.1.1 255.255.255.255
exit
int fa0/0
desc "Connect to CE1"
ip address 10.252.1.1 255.255.255.252
no shut
exit
int fa0/1
desc "Connect to P1"
ip address 150.1.1.2 255.255.255.252
mpls ip
no shut
exit
ip cef
mpls label protocol ldp
mpls ldp router-id loopback 0
!-- Cau hinh VRF tren PE1
ip vrf CustomerA
rd 1:100
route-target export 1:100
route-target import 1:100
!
interface fa0/0
ip vrf forwarding CustomerA
exit
!
interface loopback1
ip vrf forwarding CustomerA
ip address 172.16.100.1 255.255.255.255
no shut
exit
!
router ospf 100
network 150.1.1.0 0.0.0.3 area 0
network 11.1.1.1 0.0.0.0 area 0
exit
!
router bgp 100
neighbor 14.1.1.1 remote-as 100
neighbor 14.1.1.1 update-source loopback 0
address-family vpnv4
neighbor 14.1.1.1 activate
neighbor 14.1.1.1 send-community extended
exit
address-family ipv4 vrf CustomerA
redistribute connected
exit-address-family
exit
do wr
!

Một số lưu ý khi cấu hình VPN
1. Trên PE, khi chuyển 1 interface vào vrf thì IP sẽ bị remove nên cần thiết phải cấu hình lại IP
2. Giữa CE & PE có thể chọn static, rip, ospf, eigrp, isis, bgp để cấu hình. Khi cấu hình xong thì nhớ redistribute trong vrf (ngoại trừ bgp)
3. Thuộc tính next-hop-self đóng vai trò không nhỏ trong việc học route hay không
4. Trong add-family ipv4 vrf CustomerA
redistribute connected hay không là do ý muốn chủ quan của bạn. Thông thường không ảnh hưởng đến kết nối giữa LAN CE1 & LAN CE2
5. Một số command hổ trợ
- sh ip bgp vpnv4 all sum
- sh ip bgp vpvn4 all label
- sh ip route vrf ABC
- sh ip bgp vpnv4 vrf ABC sum

Nếu cần gì thì cứ post lên

[nguyenduchoa]

Hi bạn,

Mình đang cấu hình thử MPLS/VPN. Khi show route trên CE thì đã thấy route của CE bên kia, nhưng ko thể nào ping được. Mình đã đọc lại các bài hướng dẫn trên mạng, nhưng vẫn chưa thể ping thành công được. Có nguyên nhân nào dẫn đến cấu hình MPL/VPN bị failed không hả bạn?

[holongkhtn]

Mình đang gặp sự cố như trên .CEB thì có được bảng định tuyến đầy đủ,còn CEA thì không thể cập nhật bảng dịnh tuyến(trừ kết nối trực tiếp).Mình đã tìm kĩ nhưng không rõ nguyên nhân.với lại CEA và CEB gần như đối xứng trong mô hình nên không hiểu có sai gì?xin mọi người chỉ giáo.Thanks!

[iht7761]

Anh ơi cho em hỏi sơ đồ của mình đâu ? sao em tim mãi chẳng thấy ?

[bikachu08]

Mọi người giúp em vơi, em đang tìm một bài hướng dẫn cách cấu hình L2VPN over MPLS. Mọi người ai có thì share cho mình với nha. Đây là mail của mình
thanh_danh_08@yahoo.com.vn
Cảm ơn mọi người!

[nbhduoc]

Của bạn đây. Trong file này có sẵn topology, file .net GNS3, và cấu hình.
Các bạn tham khảo.
http://www.mediafire.com/?k5elw9rfb64cfyn

[ndtuan2710]

Của bạn đây. Trong file này có sẵn topology, file .net GNS3, và cấu hình.
Các bạn tham khảo.
http://www.mediafire.com/?k5elw9rfb64cfyn

tại sao label dc POP TAB ở router core hè!mình ko rõ chỗ này lắm....có ai giúp mình với