VPN между AS c помощью eBGP

VPN между AS c помощью eBGP

В этом примере eBGP сконфигурирован между CE и PE-маршрутизаторами. PE-маршрутизаторы по iBGP соединены с пограничными маршрутизаторами автономной системы (Autonomous System Border Router, ASBR). ASBR разных AS соединены между собой по eBGP, VRF к VRFу. Такой способ организации VPN между автономными системами называется BGP Inter-AS Option A (VRF-to-VRF).

Постройте схему в соответствии с рисунком ниже:

Рисунок

Полные конфигурации всех узлов доступны по ссылке https://docs.ecorouter.ru/Руководство/901-Примеры-конфигураций/MPLS-L3-VPN-Inter-AS-Option-A.

Схема во многом повторяет схему из пункта “Конфигурирование MPLS Layer-3 VPN” в её втором варианте с eBGP между CE и PE. Конфигурации R1, R2, R3, R4 полностью идентичны. Конфигурации PE1 и PE2 практически идентичны ECO1 и ECO3, за исключением настроек BGP. Их роль не меняется, они по-прежнему являются PE маршрутизаторами и связывают каждый CE со своим VRF, но теперь PE1 вместе с ASBR1 принадлежать одной автономной системе (AS 1000), а PE2 и ASBR другой (AS 2000).

Конфигурация BGP на PE1

# Автономная система BGP 1000
router bgp 1000
 # Установить iBGP соседство с ASBR1
 neighbor 2.2.2.2 remote-as 1000
 neighbor 2.2.2.2 update-source 1.1.1.1
 address-family vpnv4 unicast
  neighbor 2.2.2.2 activate
  exit-address-family
 # Далее конфигурация без изменений
 address-family ipv4 vrf GOLD
  neighbor 192.168.0.2 remote-as 100
  neighbor 192.168.0.2 activate
  exit-address-family
 address-family ipv4 vrf SILVER
  neighbor 100.0.0.2 remote-as 300
  neighbor 100.0.0.2 activate
  exit-address-family

Адреса интерфейсов на PE1 не меняются. А вот на PE адрес интерфейса 2ge2 поменялся, так как появился новый маршрутизатор ASBR2 и новая подсеть 10.0.34.0/24.

Конфигурация BGP и интерфейса 2ge2 на PE2:

router bgp 2000
 # Установить iBGP соседство с ASBR2
 neighbor 3.3.3.3 remote-as 2000
 neighbor 3.3.3.3 update-source 4.4.4.4
 address-family vpnv4 unicast
  neighbor 3.3.3.3 activate
  exit-address-family
 # Далее конфигурация без изменений
 address-family ipv4 vrf GOLD
  neighbor 192.168.1.2 remote-as 200
  neighbor 192.168.1.2 activate
  exit-address-family
 address-family ipv4 vrf SILVER
  neighbor 100.0.1.2 remote-as 400
  neighbor 100.0.1.2 activate
  exit-address-family 
. . . 
# Интерфейс связывающий PE2 с ASBR2
nterface 2ge2
 connect port ge2 service-instance 4ge2
 # Адрес в новой подсети 10.0.34.0/24 между PE2 и ASBR2
 ip address 10.0.34.4/24
 ip router isis 1
 label-switching
 ldp enable ipv4

Маршрутизаторов между PE1 и PE2 теперь два и они несут гораздо больше функций чем ECO3 из предыдущей схемы. Помимо транспорта MPLS они должны направлять трафик каждого VRF в соответствующе интерфейсы связанные eBGP соседством.

Полная конфигурация ASBR1:

enable
configure
 
hostname ASBR1
 
# Настройки VRF идентичны PE1 (для ASBR2 идентичны PE2)
ip vrf SILVER
 rd 2000:11
 route-target both 2000:200
 
ip vrf GOLD
 rd 2000:1
 route-target both 2000:100 
 
router ldp
 # В качестве транспортного адреса LDP указывается loopback.0 маршрутизатора
 transport-address ipv4 2.2.2.2
 advertisement-mode downstream-unsolicited
 
router isis 1
 # NSAP присваивается соответственно loopback.0: 0001, 0002, 0003, 0004
 net 10.0000.0000.0002.00
 
router bgp 1000
 # Соседство с PE1 (для ASBR2 c PE2 по адресу 4.4.4.4) 
 neighbor 1.1.1.1 remote-as 1000
 address-family vpnv4 unicast
  neighbor 1.1.1.1 activate
  exit-address-family
 # Соседство с интерфейсом связанным с VRF GOLD (для ASBR2 адрес 10.2.23.2)
 address-family ipv4 vrf GOLD
  neighbor 10.2.23.3 remote-as 2000
  neighbor 10.2.23.3 activate
  exit-address-family
 # Соседство с интерфейсом связанным с VRF SILVER (для ASBR2 адрес 10.3.23.2)
 address-family ipv4 vrf SILVER
  neighbor 10.3.23.3 remote-as 2000
  neighbor 10.3.23.3 activate
  exit-address-family
 
# Порт в сторону PE1
port ge0
 service-instance 4ge0
  encapsulation untagged
 
# Порт в сторону ASBR2
port ge1
 # Сервисный интерфейс для VRF GOLD (на ASBR2 4ge02)
 service-instance 4ge12
  # Настройка VLAN-тега (на ASBR2 идентичная)
  encapsulation dot1q 231
  rewrite pop 1
 # Сервисный интерфейс для VRF SILVER (на ASBR2 4ge03)
 service-instance 4ge13
 # Настройка VLAN-тега (на ASBR2 идентичная)
  encapsulation dot1q 232
  rewrite pop 1
  
interface loopback.0
 ip address 2.2.2.2/32
 ip router isis 1
 
# Интерфейс к PE1 (на ASBR2 2ge1 к PE2)
interface 2ge0
 label-switching
 connect port ge0 service-instance 4ge0
 # На ASBR2 10.0.34.3/24
 ip address 10.0.12.2/24
 ip router isis 1
 ldp enable ipv4
 
# Интерфейс к VRF GOLD (на ASBR2 2ge02)
interface 2ge12
 # Привязка интерфейса к VRF
 ip vrf forwarding GOLD
 # На ASBR2 4ge02
 connect port ge1 service-instance 4ge12
 # На ASBR2 10.2.23.3/24
 ip address 10.2.23.2/24
 
# Интерфейс к VRF SILVER (на ASBR2 2ge03)
interface 2ge13
 # Привязка интерфейса к VRF
 ip vrf forwarding SILVER
 # На ASBR2 4ge03
 connect port ge1 service-instance 4ge13
 # На ASBR2 10.3.23.3/24
 ip address 10.3.23.2/24

Для проверки конфигурации выполните команды:

• R1: ping 22.22.22.22 source 11.11.11.11;
• R3: ping 44.44.44.44 source 33.33.33.33.

При необходимости отладки воспользуйтесь командами:

• show ldp session на ECO1-3 для проверки LDP соседства;
• show bgp summary для проверки соседства между PE;
• show ip bgp vpnv4 all для проверки установления BGP-сессий VPNv4.
• show ip bgp vpnv4 vrf <NAME> labels для проверки какие сервисные метки присвоены маршрутам;
• show mpls vrf-table для проверки сервисных меток, присланных удалённым PE;
• show mpls ilm-table - для проверки сервисных меток, которые были выделены локально;
• show mpls forwarding-table для проверки наличия транспортных меток до next-hop.