- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-MPLS混插配置
本章节下载: 06-MPLS混插配置 (278.9 KB)
下表列出了本章所包含的内容。
|
如果您需要…… |
请阅读…… |
|
了解MPLS混插的总体介绍 |
|
|
了解MPLS混插组网中的一系列限制 |
|
|
了解MPLS混插配置任务及配置过程 |
|
|
了解MPLS各类单板组网中的一系列限制说明 |
对S9500系列路由交换机而言,只有后缀为C、CA、CB的接口板和VPLS业务处理板支持MPLS功能,其他单板不支持MPLS功能。如果用户需要启用S9500系列交换机的MPLS VPN功能,需要配置支持MPLS的接口板或VPLS业务处理板。混插特性用来在不支持MPLS功能的单板上实现MPLS VPN业务部署。S9500系列路由交换机支持多种模式的MPLS VPN功能,提供多样化、差异化的MPLS VPN业务,满足不同用户在MPLS VPN业务性能、可靠性、端口利用率等方面的差异化需求。
& 说明:
l 以下如果没有特别说明,MPLS VPN都是由支持MPLS的接口板来处理,同时文中支持MPLS功能的接口板简称为MPLS板,不支持MPLS功能的接口板简称为非MPLS板;
l 混插的目的是为了让非MPLS板借助MPLS板来实现MPLS功能,通过VPLS业务板处理MPLS VPN请参考本手册的“VPN”部分。
l 混插不支持XP4B等此类在端口组下配置ACL重定向的接口板作为混插的非MPLS板。
混插的实现机制如下:
l MPLS板与非MPLS板共存于同一交换机设备;
l 非MPLS板的端口用于MPLS VPN业务私网侧的接入;
l 在非MPLS板端口上利用QACL实现端口重定向,将收到的报文重定向到指定的MPLS板端口处理;
l MPLS板的端口自动设为环回端口、端口类型为Trunk;
l 非MPLS板的接入端口和MPLS板的环回端口属于同一个VLAN。
MPLS板上的端口也可以用于MPLS VPN业务私网侧的接入,此时不需要配置混插,MPLS公网侧的连接必须使用MPLS板的端口。
& 说明:
由于混插目的端口需要环回,目的端口被自动锁定,用户不能进入此端口视图,因此用户不能再对混插目的端口进行其他配置。
l 私网侧的接入可以用非MPLS板,公网侧接入必须用MPLS板;
l 混插的目的端口,不能和普通端口一样参与其他功能的配置,即不能进入此端口视图,同时混插目的端口不允许以普通方式从VLAN中删除,且混插目的端口为内环口;
l 混插源端口的连接状态配置被保护,如端口类型不能由Trunk变为Access,Access变为Trunk等,同时混插源端口不允许以普通方式从VLAN中删除;
l 混插业务端口的配置不允许改变,只有删除混插配置后才能重新对该业务端口进行配置;
l 一个VLAN内允许多个非MPLS板端口重定向到MPLS板的一个端口上。MPLS板的目的端口被配置过重定向后即自动环回(成为环回端口),此后无法对此端口进行其他配置,因此在配置重定向之前请保证目的端口不处于手工Shutdown状态。目的端口所在的重定向VLAN内只能有一个环回端口,但是允许其他MPLS板端口加入;
l 可以在一个非MPLS板的Trunk端口上将多个VLAN的MPLS VPN重定向到一个目的端口,以满足接入CE为二层交换机的需求;
l 非混插的VLL应用要求在私网侧使用只包含一个端口的VLAN;在VLL混插方式下只支持包含两个端口的VLAN,一个是源端口(非MPLS板端口),另一是目的端口(MPLS板端口);
l 混插的源端口(Trunk端口)属于多个VLAN时,在配置完重定向之后必须在VLAN接口绑定VPN;
l MPLS VPN重定向源端口所在VLAN接口配置了VRRP,则插拔MPLS板会导致重定向源端口所在VLAN接口上的VRRP组状态切换。
l 不支持源端口聚合和目的端口的聚合;
l 不支持嵌套VPN;
l 不支持Super VLAN;
l 禁止改变重定向源端口属性;
l 禁止通过普通方式使重定向源端口或目的端口离开重定向VLAN;
l 禁止在重定向源端口或目的端口上配置协议VLAN;
l 禁止删除重定向VLAN或VLAN接口;
l 禁止在重定向VLAN内配置/添加Loopback端口;
l STP边缘端口禁止作为重定向目的端口;
l 禁止更改重定向目的端口允许通过的VLAN、缺省的VLAN ID;
l 对于一般端口,支持4094个VLL VPN,对于百兆以太网口的单板的Trunk端口,最多只能支持1024个VLL VPN;
l 对于VLL的配置,公网/私网侧必须使用后缀为CA的单板;
l 不支持在POS、RPR端口上进行MPLS VPN混插的重定向配置,也不支持POS端口作为MPLS VPN重定向的目的端口;
Trunk类型的百兆以太网端口只能使用1024个VLAN进行VPN接入或者MPLS转发,但用户可以指定百兆以太网Trunk端口Trunk的VLAN起始号。假设起始号为VLAN ID,则通过某一百兆以太网端口的VLAN的范围是VLAN ID到VLAN ID+1023
表1-1 混插配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置公网路由协议 |
必选 |
参考本手册“路由协议操作”相关章节 |
|
配置MPLS基本功能 |
必选 |
参考 “MPLS配置” |
|
配置MPLS VPN |
必选 |
参考 “MPLS-L3VPN” |
|
配置流模板和ACL规则 |
必选 |
参考“1.3.5 |
|
端口上应用流模板,并进行重定向配置 |
必选 |
参见“1.3.6 |
交换机需要做一些基本的路由配置,使之能够实现与其他P设备、PE设备进行公网路由信息的交换。目前可选择的路由协议有:静态路由、RIP、OSPF、BGP等。具体配置方法请参见《IP路由分册》相关模块。
配置MPLS的基本能力,在全局和公网接口上使能MPLS和LDP,用于创建公网的LSP隧道。具体配置方法请参见本手册的“MPLS 配置”。
配置BGP/MPLS VPN(L3VPN)或L2VPN,具体配置方法请参见《MPLS/VPN分册》的相关模块的配置。
通过配置流模板和ACL配置来识别要重定向的报文。
表1-2 配置L2VPN的流模板和ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入相应的访问控制列表视图 |
acl { number acl-number | name acl-name link ] } [ match-order { config | auto } ] |
必选 |
|
配置访问控制列表的子规则 |
rule [ rule-id ] permit ingress vlan-id |
必选,L2VPN可以使用默认流模板,也可以使用自定义流模板。推荐用户使用二层规则对特定VLAN内的报文进行匹配来作重定向,以保证指定的VLAN报文能通过 |
表1-3 配置L3VPN的流模板和ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置自定义的流模板 |
flow-template user-defined slot slotid dmac wildcard sip wildcard vlanid |
必选,指定自定义流模板时必需至少有IP+DMAC两项,用户使用IP+VLAN+DMAC的方式定义,保证各种报文具有不同的处理方式 |
|
进入相应的访问控制列表视图 |
acl { number acl-number | name acl-name [ advanced | basic ] } [ match-order { config | auto } ] |
必选 |
|
配置IP访问控制列表, |
rule [ rule-id ] permit source { source-addr wildcard | any } |
必选,可以使用参数permit any,也可以针对具体的IP地址进行限制 |
|
配置二层访问控制列表 |
rule [ rule-id ] permit ingress vlan-id egress dest-mac-addr dest-mac-wildcard |
必选,VLAN+DMAC使用二层规则进行配置,DMAC是指交换机的虚MAC,可以通过命令display interface vlan vlanid来获得 |
用户使用IP+VLAN+DMAC的方式定义,可以保证各种报文具有不同的处理方式:
l ARP报文不匹配重定向中的IP规则,则在非MPLS板上处理;
l 二层流量不匹配重定向中的DMAC,则在非MPLS板上二层转发;
l 三层报文(包括单播协议报文)匹配,则重定向到MPLS板处理
配置流模板和ACL规则部分,具体配置方法请参见《Qos/ACL分册》中“ACL”部分和后面的组网案例。
表1-4 端口模式下应用流模板和重定向
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入端口视图 |
interface interface-type interface-number |
- |
|
端口模式下应用流模板 |
flow-template user-defined |
必选 |
|
配置重定向命令 |
traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule] link-group [ rule rule ] interface interface-type interface-number destination-vlan { l2-vpn | l3-vpn } slot slotid vlanid [Join-vlan ] } |
必选 l3-vpn | l2-vpn表示适用于MPLS 的L2VPN或者L3VPN。 slot slotid vlanid 为VPLS报文被重定向到业务板板槽位号和需要加入的VLAN ID |
报文重定向命令用来启动ACL识别流,并使报文重定向(仅对访问列表中动作为permit的规则有效)。其中重定向命令有两种:
l 将报文重定向到端口:用户可以将非MPLS板上的源端口收到的报文重定向到MPLS板上指定的目的端口。
l 将报文重定向到业务板:用户可以将非MPLS或者MPLS板上源端口收到的报文重定向到VPLS板上。
重定向业务可以分为以下两类:
l 跟VPLS相关的重定向业务,必须指定关键字join-vlan,配置重定向后系统会自动将当前端口加入destination-vlan;在取消重定向时,如果删除的是VLAN中最后一个使能了join-vlan的重定向,系统也会将当前端口退出VLAN。
l 跟MPLS无关的重定向业务,包括NAT、URPF、自反ACL和BT限流等,不可以配置join-vlan。此时配置的重定向命令既不把端口加入到VLAN中,删除的时候也不把端口从VLAN中退出。
& 说明:
l 配置了混插重定向后源端口自动加入到相应的VLAN,在删除混插重定向配置后源端口会自动退出相应的VLAN。
l 配置VPLS混插重定向命令时,用户需要显式地配置join-vlan。
l 配置VLL VPN 混插重定向命令时,不允许在源端口、目的端口上配置QinQ功能。
l CE1、CE3构成VPNA,CE2、CE4构成VPNB。在PE1处共用一个后缀为CA的接口板端口,在PE2处共用一个2层交换机直接连接主机。
l PE(PE1、PE2)使用的设备为H3C S9500系列路由交换机,PE需要支持MPLS功能。CE1、CE2为一般的中低端路由器。CE3和CE4为2层交换机,直接连接用户。
l 两台PE的接口板配置一样,Slot 3是百兆以太网口的非MPLS板,Slot 2是千兆以太网口的MPLS板。
图1-1 BGP/MPLS VPN混插组网图
(1) 配置CE1
# CE1与PE1建立EBGP邻居,引入直连路由和静态路由,从而将CE1的VPN私网用户路由引入到BGP路由中,进而发布给PE1。
<CE1>system-view
[CE1] vlan 211
[CE1] interface vlan-interface 211
[CE1-vlan-interface211] ip address 10.10.10.10 255.255.255.0
[CE1-vlan-interface211] quit
[CE1] bgp 65410
[CE1-bgp] group vpna external
[CE1-bgp] peer 10.10.10.1 group vpna as-number 100
[CE1-bgp] import-route direct
[CE1-bgp] import-route static
& 说明:
CE2配置与CE1路由器配置类似,配置过程省略。
(2) 配置PE1
# 配置全局的MPLS。
[PE1] mpls lsr-id 1.1.1.1
[PE1] mpls
[PE1] mpls ldp
# 配置公网接口,并在接口上使能MPLS。
[PE1] interface loopback0
[PE1-LoopBack0] ip address 1.1.1.1 32
[PE1-LoopBack0] quit
[PE1] vlan 100
# 将端口GigabitEthernet 2/2/1加入到VLAN100。
[PE1-vlan100] port GigabitEthernet 2/2/1
[PE1-vlan100] interface vlan-interface 100
[PE1-vlan-interface100] ip address 196.168.1.1 255.255.255.0
[PE1-vlan-interface100] mpls
[PE1-vlan-interface100] mpls ldp enable
[PE1-vlan-interface100] quit
# 在PE1与P路由器相连的接口及环回接口上启用OSPF。
[PE1] ospf 1 route-id 1.1.1.1
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 196.168.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
# 配置VPN-instance,VPNB的配置与VPNA类似,这里只给出VPNA的配置。
<PE1> system-view
[PE1] ip vpn-instance vpna
[PE1-vpn-vpna] route-distinguisher 100:1
[PE1-vpn-vpna] vpn-target 100:1 both
[PE1-vpn-vpna] quit
# 配置ACL和重定向,配置基本的IP控制列表,允许CE上的所有IP报文重定向。
[PE1] flow-template user-defined slot 3 dmac 0000-0000-0000 sip 0.0.0.0 vlanid
[PE1] acl number 2000
[PE1-acl-basic-2000] rule 0 permit source any
[PE1-acl-basic-2000] quit
[PE1] acl number 4000
[PE1-acl-link-4000]rule 0 permit ingress 10 egress 00e0-fc99-6738 0000-0000-0000
[PE1-acl-link-4000] quit
注意:
MPLS VPN重定向源端口所在VLAN接口如果使能了VRRP协议,那么就必须再另外配置ACL规则,对以VRRP虚MAC为目的地址的报文作重定向,这样以VRRP虚MAC为目的地址的ICMP报文可以正常处理。
# 配置VLAN接口。
[PE1] vlan 10
# 将端口Ethernet 3/1/1加入到VLAN10。
[PE1-vlan10] port Ethernet 3/1/1
[PE1-vlan10] interface vlan-interface 10
[PE1-vlan-interface10] quit
# 端口上进行重定向配置。
[PE1] interface Ethernet 3/1/1
[PE1-Ethernet3/1/1] flow-template user-defined
[PE1-Ethernet3/1/1] traffic-redirect inbound ip-group 2000 rule 0 link-group 4000 rule 0 interface GigabitEthernet 2/1/1 10 l3-vpn
[PE1-Ethernet3/1/1] quit
# 在PE1与CE1相连的VLAN接口下绑定VPNA。
[PE1] interface vlan-interface 10
[PE1-vlan-interface10] ip binding vpn-instance vpna
[PE1-vlan-interface10] ip address 10.10.10.1 255.255.255.0
[PE1-vlan-interface10] quit
# PE1与CE1间建立EBGP邻居,并引入VPN-instance的接口路由。
[PE1] bgp 100
[PE1-bgp] ipv4-family vpn-instance vpna
[PE1-bgp-af-vpn-instance] group vpna external
[PE1-bgp-af-vpn-instance] peer 10.10.10.10 group vpna as-number 65410
[PE1-bgp-af-vpn-instance] import-route direct
[PE1-bgp-af-vpn-instance] quit
[PE1-bgp] quit
# 在PE与PE之间建立MBGP邻居,进行PE内部的VPN路由信息交换,并在VPNv4地址族视图下激活IBGP对等体。
[PE1] bgp 100
[PE1-bgp] group 100
[PE1-bgp] peer 2.2.2.2 group 100
[PE1-bgp] peer 2.2.2.2 connect-interface loopback0
[PE1-bgp] ipv4-family vpnv4
[PE1-bgp-af-vpn] peer 100 enable
[PE1-bgp-af-vpn] peer 2.2.2.2 group 100
(3) 配置P
# 配置全局的MPLS。
[P] mpls lsr-id 3.3.3.3
[P] mpls
[P] mpls ldp
# 配置接口,并在接口上使能MPLS。
[P] interface loopback0
[P-LoopBack0] ip address 3.3.3.3 32
[P-LoopBack0] quit
[P] vlan 100
# 将端口GigabitEthernet 2/1/1加入到VLAN100。
[P-vlan100] port GigabitEthernet 2/1/1
[P-vlan100] interface vlan-interface 100
[P-vlan-interface100] ip address 196.168.1.2 255.255.255.0
[P-vlan-interface100] mpls
[P-vlan-interface100] mpls ldp enable
[P-vlan-interface100] quit
[P] vlan 200
# 将端口GigabitEthernet 2/1/2加入到VLAN200。
[P-vlan200] port GigabitEthernet 2/1/2
[P-vlan200] interface vlan-interface 200
[P-vlan-interface200] ip address 196.168.2.2 255.255.255.0
[P-vlan-interface200] mpls
[P-vlan-interface200] mpls ldp enable
[P-vlan-interface200] quit
# 配置OSPF。
[P] ospf 1 route-id 3.3.3.3
[P-ospf-1] area 0
[P-ospf-1-area-0.0.0.0] network 196.168.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 196.168.2.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0
(4) 配置PE2
# 配置全局的MPLS。
[PE2] mpls lsr-id 2.2.2.2
[PE2] mpls
[PE2] mpls ldp
# 配置公网接口,并在接口上使能MPLS。
[PE2] interface loopback0
[PE2-LoopBack0] ip address 2.2.2.2 32
[PE2-LoopBack0] quit
[PE2] vlan 200
# 将端口GigabitEthernet 2/2/1加入到VLAN200。
[PE2-vlan200] port GigabitEthernet 2/2/1
[PE2-vlan200] interface vlan-interface 200
[PE2-vlan-interface200] ip address 196.168.2.1 255.255.255.0
[PE2-vlan-interface200] mpls
[PE2-vlan-interface200] mpls ldp enable
[PE2-vlan-interface200] quit
# 在PE2与P路由器相连的接口及环回接口上启用OSPF。
[PE2] ospf 1 route-id 2.2.2.2
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 196.168.1.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
# VPN-instance配置,VPNB的配置与VPNA类似,这里只给出VPNA的配置。
[PE2] ip vpn-instance vpna
[PE2-vpn-vpna] route-distinguisher 100:1
[PE2-vpn-vpna] vpn-target 100:1 both
[PE2-vpn-vpna] quit
# ACL和重定向配置,配置二层访问控制列表,在此之前需要配置自定义流模板。
[PE2] acl number 2000
[PE2-acl-basic-2000] rule 0 permit source any
[PE2-acl-basic-2000] quit
[PE2] flow-template user-defined slot 3 dmac 0000-0000-0000 sip 0.0.0.0 vlanid
[PE2] acl number 4000
[PE2-acl-link-4000] rule 0 permit ingress 10 egress 00e0-fc99-6738 0000-0000-0000
[PE2-acl-link-4000] quit
# 配置VLAN接口。
[PE2] vlan 10
# 将端口Ethernet 3/1/1加入到VLAN10。
[PE2-vlan10] port Ethernet 3/1/1
[PE2-vlan10] interface vlan-interface 10
[PE2-vlan-interface10] quit
# 在端口进行重定向配置。
[PE2] interface Ethernet 3/1/1
[PE2-Ethernet3/1/1] port link-type trunk
[PE2-Ethernet3/1/1] flow-template user-defined
[PE2-Ethernet3/1/1] traffic-redirect inbound ip-group 2000 rule 0 link-group 4000 rule 0 interface GigabitEthernet 2/1/1 10 l3-vpn
# 在PE2与CE3相连的VLAN接口下绑定VPNA。
[PE2] interface vlan-interface 10
[PE2-vlan-interface10] ip binding vpn-instance vpna
[PE2-vlan-interface10] ip address 20.2.1.2 255.255.255.0
[PE2-vlan-interface10] quit
# 为VPNA引入了PE2与CE3之间的私网接口路由。
[PE2] bgp 100
[PE2-bgp] ipv4-family vpn-instance vpna
[PE2-bgp-af-vpn-instance] import-route direct
[PE2-bgp-af-vpn-instance] quit
[PE2-bgp] quit
# 在PE与PE之间建立MBGP邻居,进行PE内部的VPN路由信息交换,并在VPNv4地址族视图下激活IBGP对等体。
[PE2] bgp 100
[PE2-bgp] group 100
[PE2-bgp] peer 1.1.1.1 group 100
[PE2-bgp] peer 1.1.1.1 connect-interface loopback0
[PE2-bgp] ipv4-family vpnv4
[PE2-bgp-af-vpn] peer 100 enable
[PE2-bgp-af-vpn] peer 1.1.1.1 group 100
& 说明:
L2 VPN VLL混插与L3 VPN混插配置类似,配置过程省略,也是通过traffic-redirect命令来实现混插的配置,VLL重定向所用的流模板不需要自定义,可以用默认的流模板;而且只需要匹配4000系列的二层ACL,ACL规则中也只需要指定VLAN ID。
& 说明:
后缀为CA的MPLS板支持VLL和BGP/MPLS VPN,普通MPLS板(后缀为C0的MPLS板)不支持VLL。
非MPLS板不支持MPLS相关功能。
如果配置了MPLS相关业务,则业务不能正常工作。
MPLS板支持MPLS VPN(VLL、BGP/MPLS VPN),可以同时配置VLL和BGP/MPLS VPN。
l 不支持VPLS;
l 一个VLAN接口上不可同时配置VLL和BGP/MPLS VPN。
此方式不存在,必须使用其他业务板来转发数据。
无。
可以通过配置混插来实现非MPLS板上的MPLS VPN(VLL、BGP/MPLS VPN)部署。
l VLL和BGP/MPLS VPN互斥,不允许在一个VLAN接口上同时配置这两种业务;
l 混插只支持非MPLS板作为私网侧接入,公网侧接入必须使用MPLS板;
l 交换机转发性能会受MPLS板的影响。
多块MPLS板与多块非MPLS板与1.4.4 单块MPLS板与多块非MPLS板组合基本一致,但也可以直接使用MPLS板来处理MPLS VPN,而不需要配置混插。
不允许VLL和BGP/MPLS VPN绑定在同一个VLAN下。
VPLS业务处理板现在支持VPLS。VPLS板没有出接口,只有借助其他接口板才能实现数据转发。
VPLS板可以借助任何类型的接口板来实现VPLS功能。
用户原来只有非MPLS板,后来增加MPLS板,使用混插来支持MPLS VPN业务(VLL、BGP/MPLS VPN),后来又增加VPLS板来处理VPLS业务。
使用MPLS板来处理MPLS VPN业务,推荐使用非MPLS板作为MPLS业务的私网侧接入。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
