- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-DRNI+EVPN组网Border故障DC间切换配置指导
本章节下载: 15-DRNI+EVPN组网Border故障DC间切换配置指导 (740.34 KB)
本文介绍数据中心内采用EVPN+DRNI组网,且多数据中心互联场景中,如果Border连接外网的链路故障或者Border设备故障,外网互访流量切换到备份数据中心Border设备的配置方案。
本文针对如下故障场景:
· 一个数据中心网络中两台Border上某一DR口的所有成员口都down。这种情况要求只将故障DR口对应的外网交互流量切换到备份数据中心,其他外网交互流量不需要切走。
· 两台Border上所有连接Spine端口都down。本文描述的配置方案不适用Border和Spine合一的组网的此故障场景。
· 两台Border都故障。本文描述的配置方案不适用Border和Spine合一的组网的此故障场景。
本文仅针对Border出现上述故障时流量切换到备份数据中心的故障处理配置,对于单台Border设备的DR口/IPL/Keepalive/公网口故障、或单台Border设备故障的恢复,EVPN+DRNI的典型配置中已经涵盖恢复方式。
根据Border与外网连接方式的不同,本文内容分为:
如图2-1所示:两个DC(DataCenter,数据中心)都采用EVPN+DRNI组网,两个数据中心之间通过ED设备建立VXLAN-DCI隧道互联,DC 2作为DC 1的备份。Border配置缺省静态路由连接外网。DC 1中的Border上面有多个DR口,通过多个DR口分别上行到不同的出口设备,出口设备1和出口设备2连接不同的外网网段。
现要求:如果DC 1中出现如下情况时将流量切换到DC 2的Border设备上转发:
· DC 1中两台Border上某一DR口的所有成员口都down。这种情况要求只切走故障DR口对应的外网交互流量,其他外网交互流量不需要切走。
· 两台Border上所有连接Spine端口都down。
· 两台Border都故障。
图2-1 Border采用多个DR口作为外网出接口配置指导组网图
Border上面有多个DR口,每个DR口都与外网相连。当两台Border上同一个DR口故障的时候,要求只切走这个DR口对应的外网交互流量,其他的外网交互流量不需要切走,所以此时不能关闭Border连接Spine的接口,否则会导致所有外网交互流量全部被切走。
为满足上述需求,我们采用NQA、Track和缺省静态路由(IPv4+IPv6)联动的配置方式。
· 静态路由:Border配置缺省静态路由,指向Border的下一跳,即出口设备Vlan-interface 1001的IP地址。
· NQA:配置ICMP-echo类型NQA,探测Border和出口设备之间的连通状态。
· Track:通过Track实现NQA和静态路由的联动,当NQA探测到Border和出口设备之间的连接故障时,撤销缺省静态路由。
当Border 1的某一DR口的物理成员口down,Border 2对应DR口的物理成员口UP时,ICMP报文能够绕行IPL,NQA不会触发Track动作。当Border 1与Border 2的某一DR物理成员口都down时,两台Border上的NQA检测到与出口设备连接故障,通过Track联动静态路由撤销该DR口对应的缺省静态路由。路由变化同步到远端Leaf,远端Leaf与该外网交互的流量不会再发往这组Border。对于Border上的其他DR口,由于接口还是UP状态,不受影响。
请在适用软件版本的基础上安装当前最新补丁。
|
设备 |
软件版本 |
|
S6805/S6825/S6850/S9850 |
R6635版本 |
|
S6800/S6860/S6900 |
F2715及以上的27xx版本,不推荐使用28xx系列版本 |
|
S12500X-AF/S12500F-AF/S6890 |
R2820版本 |
|
S12500G-AF |
版本验证中,请联系技术支持获取最新版本信息 |
|
S9820-64H/S9820-8C |
不支持 |
|
S6812/S6813 |
不支持 |
各出口设备上需要创建与逃生链路相同的VLAN接口并配置不同的IP地址,使得IPP口过来的ARP应答报文所建立的表项能够同步到DR口上。否则:当DR接口发生故障之后,由于NQA探测报文能够通过IPL链路转发,使得NQA无法探测到DR口故障。
本文仅描述Border采用多个DR口作为外网出接口时故障切换的相关配置,包含逃生链路Vlan-interface 4094配置,NQA,Track,缺省静态路由关联配置等。EVPN/VXLAN和数据中心互联的基础配置等略。
表2-1 配置Border
|
Border 1 |
Border 2 |
命令说明 |
|
ip vpn-instance external_vpn_1001 |
ip vpn-instance external_vpn_1001 |
创建外网VPN实例external_vpn_1001,并进入VPN实例视图 |
|
quit |
quit |
退回系统视图 |
|
interface bridge-aggregation 1 |
Interface bridge-aggregation 1 |
创建二层聚合组1作为DR聚合组 |
|
port link-type trunk |
port link-type trunk |
配置聚合口1为Trunk端口 |
|
undo port trunk permit vlan 1 |
undo port trunk permit vlan 1 |
配置Trunk端口不允许VLAN 1通过 |
|
port trunk permit vlan 1001 4094 |
port trunk permit vlan 1001 4094 |
配置Trunk端口允许VLAN 1001和VLAN 4094通过 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
配置聚合口工作在动态聚合模式 |
|
port drni group 2 |
port drni group 2 |
配置聚合口1加入DR组2 |
|
interface vlan-interface 4094 |
interface vlan-interface 4094 |
创建VLAN接口4094作为逃生链路 |
|
ip address 100.2.1.2 255.255.255.0 |
ip address 100.2.1.3 255.255.255.0 |
配置逃生链路IPv4地址 |
|
ipv6 address 100::2/64 |
ipv6address 100::3/64 |
配置逃生链路IPv6地址 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
启动OSPF,建立两台DR设备之间的路由用于逃生 |
|
quit |
quit |
退回系统视图 |
|
interface Vlan-interface 1001 |
interface Vlan-interface 1001 |
进入出外网直连VLAN接口1001视图 |
|
ip address 197.32.224.17 255.255.255.252 |
ip address 197.32.224.16 255.255.255.252 |
配置出外网VLAN接口IPv4地址 |
|
ip binding vpn-instance external_vpn_1001 |
ip binding vpn-instance external_vpn_1001 |
配置绑定外网VPN实例 |
|
ipv6 address FD00:0:97B0:2::E/64 |
ipv6 address FD00:0:97B0:2::D/64 |
配置出外网VLAN接口IPv6地址 |
|
quit |
quit |
退回系统视图 |
|
nqa entry admin1 lable1 |
nqa entry admin1 lable1 |
创建NQA测试组admin1-lable1,并进入NQA测试组视图 |
|
type icmp-echo |
type icmp-echo |
配置NQA探测类型为icmp-echo,并进入探测类型视图 |
|
destination ip 100.2.1.1 |
destination ip 100.2.1.1 |
配置目的IPv4地址为出口设备上VLAN接口4094的地址 |
|
frequency 500 |
frequency 500 |
配置探测频率为500ms |
|
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
建立序号为1的联动项,连续探测失败1次,触发其他模块联动 |
|
source ip 100.2.1.2 |
source ip 100.2.1.3 |
配置NQA探测源IPv4地址为VLAN接口4094的地址 |
|
quit |
quit |
退回NQA测试组admin1-lable1视图 |
|
quit |
quit |
退回系统视图 |
|
nqa entry admin2 lable2 |
nqa entry admin2 lable2 |
创建NQA测试组admin2-lable2,并进入NQA测试组视图 |
|
type icmp-echo |
type icmp-echo |
配置类型为icmp-echo |
|
destination ipv6 100::1 |
destination ipv6 100::1 |
配置目的IPv6地址为出口设备上VLAN接口4094的地址 |
|
frequency 500 |
frequency 500 |
配置探测频率为500ms |
|
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
建立序号为1的联动项,连续探测失败1次,触发其他模块联动 |
|
source ipv6 100::2 |
source ipv6 100::3 |
配置源IPv6地址为VLAN接口4094的地址 |
|
quit |
quit |
退回NQA测试组admin2-lable2视图 |
|
quit |
quit |
退回系统视图 |
|
track11 nqa entry admin1 lable1 reaction 1 |
track11 nqa entry admin1 lable1 reaction 1 |
配置NQA测试组admin1-lable1和Track11关联,并进入Track视图 |
|
quit |
quit |
退回系统视图 |
|
track12 nqa entry admin2 lable2 reaction 1 |
track12 nqa entry admin2 lable2 reaction 1 |
配置NQA测试组admin2-lable2和Track12关联,并进入Track视图 |
|
quit |
quit |
退回系统视图 |
|
ip vpn-instance USERVRF |
ip vpn-instance USERVRF |
创建内网VPN实例USERVRF,并进入VPN实例视图 |
|
quit |
quit |
退回系统视图 |
|
ip route-static vpn-instance USERVRF 0.0.0.0 0 vpn-instance external_vpn_1001 197.32.224.18 track 11 preference 1 |
ip route-static vpn-instance USERVRF 0.0.0.0 0 vpn-instance external_vpn_1001 197.32.224.18 track 11 preference 1 |
配置缺省静态IPv4路由,指定197.32.224.18(出口设备VLAN 1001接口地址)为Border上出外网的下一跳IPv4地址,并关联Track 11 |
|
ipv6 route-static vpn-instance USERVRF ::0 vpn-instance external_vpn_1001 FD00:0:97B0:2::F track 12 preference 1 |
ipv6 route-static vpn-instance USERVRF ::0 vpn-instance external_vpn_1001 FD00:0:97B0:2::F track 12 preference 1 |
配置缺省静态IPv6路由,指定FD00:0:97B0:2::F(出口设备VLAN 1001接口地址)为Border上出外网的下一跳IPv6地址,并关联Track 12 |
|
nqa schedule admin1 lable1 start-time now lifetime forever |
nqa schedule admin1 lable1 start-time now lifetime forever |
配置NQA测试组admin1生效时间 |
|
nqa schedule admin2 lable2 start-time now lifetime forever |
nqa schedule admin2 lable2 start-time now lifetime forever |
配置NQA测试组admin2生效时间 |
出口设备位于internet、第三方外联区域中。出口设备的主要配置包括:与Border之间建立动态聚合配置、逃生链路配置、Border上出外网的下一跳接口配置。
表2-2 配置出口设备
|
出口设备 |
命令说明 |
|
interface bridge-aggregation 2 |
与Border 1、Border 2的DR口对接的聚合口 |
|
port link-type trunk |
配置聚合口1为Trunk端口 |
|
undo port trunk permit vlan 1 |
配置Trunk端口不允许VLAN 1通过 |
|
port trunk permit vlan 1001 4094 |
配置Trunk端口允许VLAN 1001、4094通过 |
|
link-aggregation mode dynamic |
配置聚合口工作在动态聚合模式 |
|
quit |
退回系统视图 |
|
interface vlan-interface 4094 |
逃生链路接口 |
|
ip address 100.2.1.1 255.255.255.0 |
逃生链路IPv4地址 |
|
ipv6 address 100::1/64 |
逃生链路IPv6地址 |
|
quit |
退回系统视图 |
|
interface vlan-interface 1001 |
Border上出外网的下一跳接口 |
|
ip address 197.32.224.18 255.255.255.252 |
VLAN接口1001 IPv4地址,即Border上出外网的IPv4下一跳地址 |
|
ipv6 address FD00:0:97B0:2::F/64 |
VLAN接口1001 IPv6地址,即做Border上出外网的IPv6下一跳地址 |
|
quit |
退回系统视图 |
仅关闭一台Border设备上的DR成员口(此处以关闭DC1 Border 1上的DR成员口为例),流量可绕行IPL,Track项处于positive状态,缺省静态路由仍然生效,出口设备的VLAN接口1001和4094的ARP、ND学在DR口,流量不丢包。
如图2-2所示,服务器访问外网的流量通过IPL口绕行到出口设备。
图2-2 仅Border 1上的DR成员口故障时的故障恢复
如图2-3所示,将DC1 Border 1和Border 2上BAGG1的成员口全部关闭,红色线流量对应的缺省路由会被撤销,即Border 1和Border 2以BAGG1为出接口,下一跳地址为出口设备1 VLAN接口1001地址的静态路由均被撤销并会同步给Leaf。Border 1和Border 2上通过BAGG1转发外网的流量切换到DC 2的Border设备转发(即绿色线路径)。
DC 1 Border 1和Border 2上BAGG2的接口状态和缺省静态路由没有发生变化,Border 1和Border 2上通过BAGG2转发外网的流量路径没有变化,仍然走蓝色线路径。
图2-3 Border 1和Border 2的DR成员口均故障时的故障恢复
如图3-1所示:两个DC(DataCenter,数据中心)都采用EVPN+DRNI组网,两个数据中心之间通过ED设备建立VXLAN-DCI隧道互联,DC 2作为DC 1的备份。Border上有多个三层以太网接口,通过不同的三层以太网接口分别上行到不同的出口设备,出口设备1和出口设备2连接不同的外网网段。
现要求:DC 1中Border设备出现如下情况时将流量切换到DC 2的Border设备上转发:
· DC 1中两台Border上的连接同一出口设备的两个三层以太网接口都down。
· 两台Border上所有连接Spine端口都down。
· 两台Border都故障。
图3-1 Border采用多个三层以太网接口出外网配置指导组网图
(1) 在出口设备上配置IPv4/IPv6缺省静态路由(ip route-static 0.0.0.0 0 NULL0)。配置OSPF/OSPFv3将缺省静态路由发布到Border上。对于匹配缺省静态路由的流量,Border会通过与出口设备相连的三层接口发送出去。
本配置方案没有采用缺省静态路由下发在Border上。如果下发Border上,则下一跳会配置为Border与出口设备的直连链路接口IP地址,那么当直连链路down时,由于下一跳不存在,缺省静态路由失效并撤销,撤销后,Leaf发过来的流量走DRNI group IP还是会进入该Border,如果配置私网逃生链路,那么流量可以从IPL绕行,但是收敛时间较大,不符合预期。
(2) Border收到出口设备的路由,配置路由策略将除缺省路由外其他路由全部过滤掉。
节省路由资源同时让Border避免收到出口设备其他的静态路由。
(3) Border将缺省路由引入到内网VPN,再引入BGP,最后发布给Leaf。
(4) Leaf上只收缺省路由,南向北流量将按此缺省路由走。
图3-2 南北向路由建立过程图
(1) 配置出口设备到DC 1/DC 2的静态路由关联Track,其中指向DC 1的静态路由优先级更高,使北向南的流量优先通过DC 1转发。当通过NQA检测到所有连接DC 1的链路均故障时,指向DC 2的优先级较低的静态路由生效,使北向南的流量也切换到DC 2转发。
(2) 在Border上将内网VPN的路由全部复制到外网VPN,把Leaf的路由通过Border传给出口设备,北向南流量从出口设备进来后通过Border转发给Leaf。
(1) 在Border上新增逃生链路VLAN 4093接口绑定外网VPN。
(2) Border出外网口也绑定外网VPN。
请在适用软件版本的基础上安装当前最新补丁。
|
设备 |
软件版本 |
|
S6805/S6825/S6850/S9850 |
R6635版本 |
|
S6800/S6860/S6900 |
F2715及以上的27xx版本,不推荐使用28xx系列版本 |
|
S12500X-AF/S12500F-AF/S6890 |
R2820版本 |
|
S12500G-AF |
版本验证中,请联系技术支持获取最新版本信息 |
|
S9820-64H/S9820-8C |
不支持 |
|
S6812/S6813 |
不支持 |
· 在内网VPN中复制外网VPN的OSPF的路由并且应用路由策略,只引入缺省路由。引入路由时不能用RT引入,且引入的路由不能再生成EVPN。
· 为了北向南的流量能够正常转发,需要把Leaf的路由传给Border再传给外网出口设备。
· 南向北的流量转发需要将外网VPN的路由复制到内网VPN,复制的时候需要将RT引入的配置删除,这是由于RT引入路由会导致路由震荡。
· 在私网OSPF/OSPFv3中配置了spf-schedule-interval 1 10 10。本配置可以解决如下场景的丢包问题:DC 1的Border 2外网出口down,接着Border 1的外网出口也down,然后Border 1的外网出口UP,流量从DC 2的Border回切到DC 1的Border 1和Border 2。在此过程中,当Border 1的外网出口UP后,会先与出口设备建立OSPF/OSPFv3邻居,然后收到从出口设备发送过来的缺省静态路由,由于Border 1与Border 2 的私网横穿逃生链路一直是UP的,所以该缺省静态路由会立刻发送给Border 2。如果此过程中存在Border 1外网出口down/up震荡,Border 1的私网OSPF/OSPFv3的SPF计算会由于默认的惩罚增量200ms而增加,最大达到5秒,但Border 2 如果没有OSPF/OSPFv3的邻居震荡,会立刻将计算出来的路由发送给远端Leaf。远端Leaf立刻切换流量到DC 1的Border,此时Border 1的SPF计算还没结束,没有该缺省路由的表项,因此会丢包。
· 由于本配置方案中Border上没有DR口,因此Border的DRNI的MAD down机制在重启时不生效,当前版本也不支持通过配置空的DR口规避。Border 1重启或者Border 1、 Border 2都重启时,需要留出足够的时间去同步路由。配置方法为Border的上、下行口都配置延迟UP。其中,Border与Spine互连的接口延迟UP 150秒,Border与出口设备互连的接口延迟UP 300秒,这样可以让Border与Spine之间的链接接口先UP,并建立BGP邻居,从而同步路由。
· Border的上、下行口都需要加到DRNI MAD down接口中。
表3-1 配置Border
|
Border 1 |
Border 2 |
命令说明 |
|
ip vpn-instance external_vpn_1001 |
ip vpn-instance external_vpn_1001 |
创建外网VPN实例external_vpn_1001,并进入VPN实例视图 |
|
quit |
quit |
退回系统视图 |
|
ip vpn-instance external_vpn_1002 |
ip vpn-instance external_vpn_1002 |
创建外网VPN实例external_vpn_1002,并进入VPN实例视图 |
|
quit |
quit |
退回系统视图 |
|
ospf 1 router-id 100.3.1.2 vpn-instance external_vpn_1001 |
ospf 1 router-id 100.3.1.3 vpn-instance external_vpn_1001 |
开启外网VPN的OSPF |
|
spf-schedule-interval 1 10 10 |
spf-schedule-interval 1 10 10 |
配置计算SPF的时间和惩罚增量 |
|
area 0.0.0.0 |
area 0.0.0.0 |
创建OSPF区域 |
|
ospfv3 1 vpn-instance external_vpn_1001 |
ospfv3 1 vpn-instance external_vpn_1001 |
开启外网VPN的OSPFv3 |
|
router-id 4.2.1.1 |
router-id 4.1.1.1 |
配置router-id |
|
spf-schedule-interval 1 10 10 |
spf-schedule-interval 1 10 10 |
配置计算SPF的时间和惩罚增量 |
|
quit |
quit |
退回系统视图 |
|
interface vlan-interface 4093 |
interface vlan-interface 4093 |
配置逃生VLAN |
|
ip binding vpn-instance external_vpn_1001 |
ip binding vpn-instance external_vpn_1001 |
配置绑定外网VPN实例 |
|
ip address 100.3.1.2 255.255.255.0 |
ip address 100.3.1.3 255.255.255.0 |
配置IPv4地址 |
|
ospf 1 area 0.0.0.0 |
ospf 1 area 0.0.0.0 |
接口上使能OSPF |
|
ospf peer hold-max-cost duration 300000 |
ospf peer hold-max-cost duration 300000 |
配置OSPF通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
ospfv3 1 area 0.0.0.0 |
ospfv3 1 area 0.0.0.0 |
接口上使能OSPFv3 |
|
ospfv3 peer hold-max-cost duration 300000 |
ospfv3 peer hold-max-cost duration 300000 |
配置OSPFv3通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
ipv6 address 100:1::2/64 |
ipv6 address 100:1::3/64 |
配置IPv6地址 |
|
quit |
quit |
- |
|
ip prefix-list ipv4-def permit 0.0.0.0 0 |
ip prefix-list ipv4-def permit 0.0.0.0 0 |
配置IPv4前缀列表 允许全0通过 |
|
ipv6 prefix-list ipv6-def permit 0::0 0 |
ipv6 prefix-list ipv6-def permit 0::0 0 |
配置IPv6前缀列表 允许全0通过 |
|
ip prefix-list SDNCIDR_DENY_IPv4 deny 0.0.0.0 0 less-equal 32 |
ip prefix-list SDNCIDR_DENY_IPv4 deny 0.0.0.0 0 less-equal 32 |
配置IPv4前缀列表 Deny非全0 |
|
ipv6 prefix-list SDNCIDR_DENY_IPv6 deny 0::0 0 less-equal 128 |
ipv6 prefix-list SDNCIDR_DENY_IPv6 deny 0::0 0 less-equal 128 |
配置IPv6前缀列表 Deny非全0 |
|
route-policy ipv4-def permit node 10 |
route-policy ipv4-def permit node 10 |
配置路由策略 |
|
if-match ip address prefix-list ipv4-def |
if-match ip address prefix-list ipv4-def |
匹配IPv4前缀列表 |
|
route-policy ipv4-def deny node 20 |
route-policy ipv4-def deny node 20 |
配置路由策略 |
|
if-match ip address prefix-list SDNCIDR_DENY_IPv4 |
if-match ip address prefix-list SDNCIDR_DENY_IPv4 |
匹配IPv4前缀列表 |
|
route-policy ipv6-def permit node 10 |
route-policy ipv6-def permit node 10 |
配置路由策略 |
|
if-match ipv6 address prefix-list ipv6-def |
if-match ipv6 address prefix-list ipv6-def |
匹配IPv6前缀列表 |
|
route-policy ipv6-def deny node 20 |
route-policy ipv6-def deny node 20 |
配置路由策略 |
|
if-match ipv6 address prefix-list SDNCIDR_DENY_IPv6 |
if-match ipv6 address prefix-list SDNCIDR_DENY_IPv6 |
匹配IPv6前缀列表 |
|
ip vpn-instance USERVRF |
ip vpn-instance USERVRF |
创建BGP-VPN实例,并进入BGP-VPN实例视图 |
|
address-family ipv4 |
address-family ipv4 |
进入VPN实例IPv4地址族视图 |
|
route-replicate from vpn-instance external_vpn_1001 protocol ospf 1 advertise route-policy ipv4-def |
route-replicate from vpn-instance external_vpn_1001 protocol ospf 1 advertise route-policy ipv4-def |
配置内网VPN中复制外网IPv4的OSPF的路由 |
|
route-replicate from vpn-instance external_vpn_1002 protocol ospf 1 advertise route-policy ipv4-def |
route-replicate from vpn-instance external_vpn_1002 protocol ospf 1 advertise route-policy ipv4-def |
配置内网VPN中复制外网IPv4的OSPF的路由 |
|
address-family ipv6 |
address-family ipv6 |
进入VPN实例IPv6地址族视图 |
|
route-replicate from vpn-instance external_vpn_1001 protocol ospfv3 1 advertise route-policy ipv6-def |
route-replicate from vpn-instance external_vpn_1001 protocol ospfv3 1 advertise route-policy ipv6-def |
配置内网VPN中复制外网VPN的IPv6的OSPF的路由 |
|
route-replicate from vpn-instance external_vpn_1002 protocol ospfv3 1 advertise route-policy ipv6-def |
route-replicate from vpn-instance external_vpn_1002 protocol ospfv3 1 advertise route-policy ipv6-def |
配置内网VPN中复制外网VPN的IPv6的OSPF的路由 |
|
bgp 65530 |
bgp 65530 |
进入BGP视图 |
|
ip vpn-instance USERVRF |
ip vpn-instance USERVRF |
创建BGP-VPN实例,并进入BGP-VPN实例视图 |
|
address-family ipv4 |
address-family ipv4 |
进入VPN实例IPv4地址族视图 |
|
import-route ospf 1 allow-direct |
import-route ospf 1 allow-direct |
在BGP的内网VPN中引入OSPF路由 |
|
address-family ipv6 |
address-family ipv6 |
进入VPN实例IPv6地址族视图 |
|
import-route ospfv3 1 allow-direct |
import-route ospfv3 1 allow-direct |
在BGP的内网VPN中引入OSPFv3路由 |
|
ip vpn-instance external_vpn_1001 |
ip vpn-instance external_vpn_1001 |
创建BGP-VPN实例,并进入BGP-VPN实例视图 |
|
address-family ipv4 |
address-family ipv4 |
进入VPN实例IPv4地址族视图 |
|
route-replicate from vpn-instance USERVRF protocol bgp 65530 advertise |
route-replicate from vpn-instance USERVRF protocol bgp 65530 advertise |
将内网IPv4的路由复制到BGP并发布 |
|
address-family ipv6 |
address-family ipv6 |
进入VPN实例IPv6地址族视图 |
|
route-replicate from vpn-instance USERVRF protocol bgp4+ 65530 advertise |
route-replicate from vpn-instance USERVRF protocol bgp4+ 65530 advertise |
将内网IPv6的路由复制到BGP并发布 |
|
quit |
quit |
退回BGP-VPN实例视图 |
|
quit |
quit |
退回BGP视图 |
|
quit |
quit |
退回系统视图 |
|
ospf 1 router-id 100.3.1.2 vpn-instance external_vpn_1001 |
ospf 1 router-id 100.3.1.3 vpn-instance external_vpn_1001 |
创建外网VPN的OSPF |
|
filter-policy route-policy ipv4-def import |
filter-policy route-policy ipv4-def import |
配置过滤路由,只允许全0下到路由表 |
|
quit |
quit |
退回系统视图 |
|
ospfv3 1 vpn-instance external_vpn_1001 |
ospfv3 1 vpn-instance external_vpn_1001 |
创建外网VPN的OSPFv3 |
|
router-id 4.2.1.1 |
router-id 4.1.1.1 |
配置router-id |
|
filter-policy route-policy ipv6-def import |
filter-policy route-policy ipv6-def import |
配置过滤路由,只允许全0下到路由表 |
|
area 0.0.0.0 |
area 0.0.0.0 |
进入OSPF v3区域视图 |
|
quit |
quit |
退回OSPFv3视图 |
|
quit |
quit |
退回系统视图 |
|
interface Twenty-FiveGigE1/0/33 |
interface Twenty-FiveGigE1/0/33 |
进入连接出口设备的物理接口视图 |
|
port link-mode route |
port link-mode route |
配置接口工作在三层以太网接口模式 |
|
speed 10000 |
speed 10000 |
配置速率与对端接口相同 |
|
ip binding vpn-instance external_vpn_1001 |
ip binding vpn-instance external_vpn_1001 |
配置绑定外网VPN实例 |
|
ip address 4.2.1.1 255.255.255.0 |
ip address 4.1.1.1 255.255.255.0 |
配置IPv4地址 |
|
ospf 1 area 0.0.0.0 |
ospf 1 area 0.0.0.0 |
接口上使能OSPF |
|
ospf peer hold-max-cost duration 300000 |
ospf peer hold-max-cost duration 300000 |
配置OSPF通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
ospfv3 1 area 0.0.0.0 |
ospfv3 1 area 0.0.0.0 |
接口上使能OSPFv3 |
|
ospfv3 peer hold-max-cost duration 300000 |
ospfv3 peer hold-max-cost duration 300000 |
配置OSPFv3通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
配置LLDP兼容CDP功能的工作模式为txrx |
|
ipv6 address 4:1::1/64 |
ipv6 address 4:1::2/64 |
配置IPv6地址 |
|
quit |
quit |
退回系统视图 |
|
interface HundredGigE1/0/25 |
interface HundredGigE1/0/25 |
进入连接Spine的物理接口视图 |
|
port link-mode route |
port link-mode route |
配置接口工作在三层以太网接口模式 |
|
link-delay down 0 |
link-delay down 0 |
配置接口延迟DOWN 0秒 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
配置接口借用指定接口LoopBack0的IP地址 |
|
ospf network-type p2p |
ospf network-type p2p |
配置OSPF接口的网络类型为p2p |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
接口上使能OSPF |
|
ospf peer hold-max-cost duration 300000 |
ospf peer hold-max-cost duration 300000 |
配置OSPF通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
配置LLDP兼容CDP功能的工作模式为txrx |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
配置LLDP报文中发布的管理地址为LoopBack0接口的IP地址 |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
关闭报文入接口与静态MAC地址表项匹配检查功能 |
表3-2 配置出口设备
|
出口设备 1 |
命令说明 |
|
ip route-static 0.0.0.0 0 NULL0 |
配置IPv4的缺省静态路由 |
|
ipv6 route-static ::0 NULL0 |
配置IPv6的缺省静态路由 |
|
ospf 1 router-id 17.1.1.1 |
启动OSPF,并进入OSPF视图 |
|
default-route-advertise |
发布缺省路由 |
|
import-route static |
引入静态路由 |
|
area 0.0.0.0 |
创建OSPF区域,并进入OSPF区域视图 |
|
quit |
退回OSPF视图 |
|
quit |
退回系统视图 |
|
ospfv3 1 |
启动OSPFv3 |
|
router-id 4.1.1.2 |
配置router-id |
|
default-route-advertise |
发布缺省路由 |
|
import-route static |
引入静态路由 |
|
area 0.0.0.0 |
创建OSPFv3区域,并进入OSPFv3区域视图 |
|
quit |
退回OSPF视图 |
|
quit |
退回系统视图 |
|
interface Ten-GigabitEthernet1/0/5 |
进入连接Border1的接口视图 |
|
port link-mode route |
配置接口工作在三层以太网接口模式 |
|
ip address 4.2.1.2 255.255.255.0 |
配置IPv4地址 |
|
ospf 1 area 0.0.0.0 |
接口上使能OSPF |
|
ospf peer hold-max-cost duration 300000 |
配置OSPF通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
ospfv3 1 area 0.0.0.0 |
接口上使能OSPFv3 |
|
ospfv3 peer hold-max-costduration 300000 |
配置OSPFv3通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
ipv6 address 4:2::2/64 |
配置IPv6地址 |
|
quit |
退回系统视图 |
|
interface Ten-GigabitEthernet1/0/6 |
进入连接Border2的接口视图 |
|
port link-mode route |
配置接口工作在三层以太网接口模式 |
|
ip address 4.1.1.2 255.255.255.0 |
配置IPv4地址 |
|
ospf 1 area 0.0.0.0 |
接口上使能OSPF |
|
ospf peer hold-max-cost duration 300000 |
配置OSPF通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
ospfv3 1 area 0.0.0.0 |
接口上使能OSPFv3 |
|
ospfv3 peer hold-max-costduration 300000 |
配置OSPFv3通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
ipv6 address 4:1::2/64 |
配置IPv6地址 |
|
quit |
退回系统视图 |
|
nqa entry admin1 lable1 |
创建NQA测试组admin1-lable1,并进入NQA测试组视图 |
|
type icmp-echo |
配置类型为icmp-echo |
|
destination ip 4.1.1.1 |
配置目的IPv4地址 |
|
frequency 500 |
配置探测频率为500ms |
|
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
建立序号为1的联动项,连续探测失败1次,触发其他模块联动 |
|
source ip 4.1.1.2 |
配置源IPv4地址 |
|
nqa entry admin2 lable2 |
创建NQA测试组admin2-lable2,并进入NQA测试组视图 |
|
type icmp-echo |
配置类型为icmp-echo |
|
destination ip 4.2.1.1 |
配置目的IPv4地址 |
|
frequency 500 |
配置探测频率为500ms |
|
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
建立序号为1的联动项,连续探测失败1次,触发其他模块联动 |
|
source ip 4.2.1.2 |
配置源IPv4地址 |
|
nqa entry admin3 lable3 |
创建NQA测试组admin3-lable3,并进入NQA测试组视图 |
|
type icmp-echo |
配置类型为icmp-echo |
|
destination ipv6 4:1::1 |
配置目的IPv6地址 |
|
frequency 500 |
配置探测频率为500ms |
|
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
建立序号为1的联动项,连续探测失败1次,触发其他模块联动 |
|
source ipv6 4:1::2 |
配置源IPv6地址 |
|
nqa entry admin4 lable4 |
创建NQA测试组admin4-lable4,并进入NQA测试组视图 |
|
type icmp-echo |
配置类型为icmp-echo |
|
destination ipv6 4:2::1 |
配置目的IPv6地址 |
|
frequency 500 |
配置探测频率为500ms |
|
reaction 1 checked-element probe-fail threshold-type consecutive 1 action-type trigger-only |
建立序号为1的联动项,连续探测失败1次,触发其他模块联动 |
|
source ipv6 4:2::2 |
配置源IPv6地址 |
|
track 41 nqa entry admin1 lable1 reaction 1 |
配置NQA测试组admin1-lable1和Track41关联 |
|
delay positive 60 |
配置Track项状态变为Positive时,延迟通知应用模块的时间为60秒 |
|
track 42 nqa entry admin2 lable2 reaction 1 |
配置NQA测试组admin2-lable2和Track42关联 |
|
delay positive 60 |
配置Track项状态变为Positive时,延迟通知应用模块的时间为60秒 |
|
track 61 nqa entry admin3 lable3 reaction 1 |
配置NQA测试组admin3-lable3和Track61关联 |
|
delay positive 60 |
配置Track项状态变为Positive时,延迟通知应用模块的时间为60秒 |
|
track 62 nqa entry admin4 lable4 reaction 1 |
配置NQA测试组admin4-lable4和Track62关联 |
|
delay positive 60 |
配置Track项状态变为Positive时,延迟通知应用模块的时间为60秒 |
|
quit |
退回系统视图 |
|
ip route-static 197.32.0.0 16 4.1.1.1 track 41 preference 80 |
配置到DC 1的Border的IPv4静态路由关联Track41 |
|
ip route-static 197.32.0.0 16 4.2.1.1 track 42 preference 80 |
配置到DC 1的Border的IPv4静态路由关联Track42 |
|
ip route-static 197.32.0.0 16 5.1.1.1 preference 120 |
配置指向DC 2的Border的IPv4静态路由,优先级较低 |
|
ipv6 route-static FD00:: 16 4:1::1 track 61 preference 80 |
配置到DC 1的Border的IPv6静态路由关联Track61 |
|
ipv6 route-static FD00:: 16 4:2::1 track 62 preference 80 |
配置到DC 1的Border的IPv6静态路由关联Track62 |
|
ipv6 route-static FD00:: 16 5:1::1 preference 120 |
配置指向DC 2的Border的IPv6静态路由,优先级较低 |
|
nqa schedule admin1 lable1 start-time now lifetime forever |
使能NQA测试组admin1-lable1的生效时间 |
|
nqa schedule admin2 lable2 start-time now lifetime forever |
使能NQA测试组admin2-lable2的生效时间 |
|
nqa schedule admin3 lable3 start-time now lifetime forever |
使能NQA测试组admin3-lable3的生效时间 |
|
nqa schedule admin4 lable4 start-time now lifetime forever |
使能NQA测试组admin4-lable4的生效时间 |
表3-3 配置Spine设备
|
Spine 1 |
命令说明 |
|
interface HundredGigE1/4/0/8 |
进入连接Border 1的接口视图 |
|
port link-mode route |
配置接口工作在三层以太网接口模式 |
|
ip address unnumbered interface LoopBack0 |
配置接口借用指定接口LoopBack0的IP地址 |
|
ospf network-type p2p |
配置OSPF接口的网络类型为p2p |
|
ospf 65530 area 0.0.0.0 |
接口上使能OSPF |
|
ospf peer hold-max-cost duration 300000 |
配置OSPF通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
lldp management-address arp-learning |
配置接口收到携带IPv4格式Management Address TLV的LLDP报文后,会生成该报文携带的管理地址与报文源MAC地址组成的ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
配置LLDP报文中发布的管理地址为LoopBack0接口的IP地址 |
|
interface HundredGigE1/4/0/7 |
进入连接Border 2的接口视图 |
|
port link-mode route |
配置接口工作在三层以太网接口模式 |
|
ip address unnumbered interface LoopBack0 |
配置接口借用指定接口LoopBack0的IP地址 |
|
ospf network-type p2p |
配置OSPF接口的网络类型为p2p |
|
ospf 65530 area 0.0.0.0 |
接口上使能OSPF |
|
ospf peer hold-max-cost duration 300000 |
配置OSPF通告给邻居的链路开销值保持最大值的持续时间300000毫秒 |
|
lldp management-address arp-learning |
配置接口收到携带IPv4格式Management Address TLV的LLDP报文后,会生成该报文携带的管理地址与报文源MAC地址组成的ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
配置LLDP报文中发布的管理地址为LoopBack0接口的IP地址 |
测试Border单点故障和双故障场景。
如图3-3所示,分别单独shutdown Border 1、Border 2的外网出口,流量可绕行IPL,查看路由表信息,缺省路由下一跳指向逃生链路VLAN 4093接口。
[Border] display ip routing-table vpn external_vpn_1001 0.0.0.0
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 O_ASE2 150 1 100.3.1.2 Vlan4093
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
图3-3 Border 1的三层以太网接口单点故障
如图3-4所示,同时shutdown两台Border的外网出口,该组流量全部切走(绿色流量),Border 1和Border 2不再收到该组流量(红色流量),在远端Leaf上查看,该组缺省静态路由已撤销。不影响其他组的外网流量(蓝色流量)和缺省静态路由。
图3-4 两台Border连接外网的三层以太网接口同时故障
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
