Bài 3: MPLS Layer 3 VPN - core

Giới thiệu:

Đang cập nhật ...

Sơ đồ Lab:

Yêu cầu:

1. Đặt IP theo quy hoạch hình vẽ
2. Chạy định tuyến OSPF trong vùng MPLS core (R2, R3, R4, R5)
3. Enable MPLS/Enable LDP trên các cổng đấu nối giữa các router PE và P
4. Cấu hình iBGP cho các router PE (R2, R5)
5. Bật tính năng VPNv4/VPN lable cho vùng iBGP giữa các router PE
6. Tạo VRF cho từng khách hàng

Các kiến thức sử dụng trong bài: OSPF, MPLS, BGP, VRF, VPNv4

Cấu hình:

1. Đặt IP theo quy hoạch hình vẽ

• Cấu hình

R1, R2:

interface Loopback0
 ip address 1.1.1.1 255.255.255.0
exit
interface Ethernet0/2
 ip address 192.168.12.1 255.255.255.0
no shutdown
end
write

R2:

interface Loopback0
 ip address 2.2.2.2 255.255.255.0
exit
interface Ethernet0/0
 ip address 192.168.23.2 255.255.255.0
no shutdown
end
write

R3:

interface Loopback0
 ip address 3.3.3.3 255.255.255.0
exit
interface Ethernet0/0
 ip address 192.168.23.3 255.255.255.0
no shutdown
exit
interface Ethernet0/1
 ip address 192.168.34.3 255.255.255.0
no shutdown
end
write

R4:

interface Loopback0
 ip address 4.4.4.4 255.255.255.0
exit
interface Ethernet0/1
 ip address 192.168.34.4 255.255.255.0
no shutdown
exit
interface Ethernet0/0
 ip address 192.168.45.4 255.255.255.0
no shutdown
end
write

R5:

interface Loopback0
 ip address 5.5.5.5 255.255.255.0
exit
interface Ethernet0/0
 ip address 192.168.45.5 255.255.255.0
no shutdown
end
write

R6A, R6B:

interface Loopback0
 ip address 6.6.6.6 255.255.255.0
exit
interface Ethernet0/2
 ip address 192.168.56.6 255.255.255.0
no shutdown
end
write

2. Chạy định tuyến OSPF trong vùng MPLS core (R2, R3, R4, R5)

• Cấu hình

R2:

router ospf 1
router-id 2.2.2.2
exit
interface range loopback 0, ethernet 0/0
ip ospf 1 area 0
end
write

R3:

router ospf 1
router-id 3.3.3.3
exit
interface range loopback 0, ethernet 0/0-1
ip ospf 1 area 0
end
write

R4:

router ospf 1
router-id 4.4.4.4
exit
interface range loopback 0, ethernet 0/0-1
ip ospf 1 area 0
end
write

R5:

router ospf 1
router-id 5.5.5.5
exit
interface range loopback 0, ethernet 0/0
ip ospf 1 area 0
end
write 

• Kiểm tra sau khi chạy định tuyến OSPF, chắc chắn các IP trong vùng MPLS core có thể giao tiếp được với nhau.

R2#show ip route ospf

(...)
      3.0.0.0/32 is subnetted, 1 subnets
O        3.3.3.3 [110/11] via 192.168.23.3, 00:04:19, Ethernet0/0
      4.0.0.0/32 is subnetted, 1 subnets
O        4.4.4.4 [110/21] via 192.168.23.3, 00:03:34, Ethernet0/0
      5.0.0.0/32 is subnetted, 1 subnets
O        5.5.5.5 [110/31] via 192.168.23.3, 00:00:55, Ethernet0/0
O     192.168.34.0/24 [110/20] via 192.168.23.3, 00:04:19, Ethernet0/0
O     192.168.45.0/24 [110/30] via 192.168.23.3, 00:03:34, Ethernet0/0

R3#show ip route ospf

(...)
      2.0.0.0/32 is subnetted, 1 subnets
O        2.2.2.2 [110/11] via 192.168.23.2, 00:04:34, Ethernet0/0
      4.0.0.0/32 is subnetted, 1 subnets
O        4.4.4.4 [110/11] via 192.168.34.4, 00:03:48, Ethernet0/1
      5.0.0.0/32 is subnetted, 1 subnets
O        5.5.5.5 [110/21] via 192.168.34.4, 00:01:08, Ethernet0/1
O     192.168.45.0/24 [110/20] via 192.168.34.4, 00:03:48, Ethernet0/1

R4#show ip route ospf

(...)
      2.0.0.0/32 is subnetted, 1 subnets
O        2.2.2.2 [110/21] via 192.168.34.3, 00:03:55, Ethernet0/1
      3.0.0.0/32 is subnetted, 1 subnets
O        3.3.3.3 [110/11] via 192.168.34.3, 00:03:55, Ethernet0/1
      5.0.0.0/32 is subnetted, 1 subnets
O        5.5.5.5 [110/11] via 192.168.45.5, 00:01:14, Ethernet0/0
O     192.168.23.0/24 [110/20] via 192.168.34.3, 00:03:55, Ethernet0/1

R5#show ip route ospf

(...)
      2.0.0.0/32 is subnetted, 1 subnets
O        2.2.2.2 [110/31] via 192.168.45.4, 00:00:45, Ethernet0/0
      3.0.0.0/32 is subnetted, 1 subnets
O        3.3.3.3 [110/21] via 192.168.45.4, 00:00:45, Ethernet0/0
      4.0.0.0/32 is subnetted, 1 subnets
O        4.4.4.4 [110/11] via 192.168.45.4, 00:00:45, Ethernet0/0
O     192.168.23.0/24 [110/30] via 192.168.45.4, 00:00:45, Ethernet0/0
O     192.168.34.0/24 [110/20] via 192.168.45.4, 00:00:45, Ethernet0/0

3. Enable MPLS/Enable LDP trên các cổng đấu nối giữa các router PE và P

• Cấu hình

R2, R5:

interface ethernet 0/0
mpls ip
end
write

R3, R4:

interface range ethernet 0/0-1
mpls ip
end
write

Tìm hiểu về MPLS LDP tại đây

• Kiểm tra MPLS đã được enable trên các router

R2#show mpls interfaces 

Interface                IP              Tunnel   BGP Static Operational
Ethernet0/0            Yes (ldp)     No       No  No     Yes    

R3#show  mpls interfaces 

Interface                IP              Tunnel   BGP Static Operational
Ethernet0/0            Yes (ldp)     No       No  No     Yes     
Ethernet0/1            Yes (ldp)     No       No  No     Yes        

R4#show mpls interfaces 

Interface                IP              Tunnel   BGP Static Operational
Ethernet0/0            Yes (ldp)     No       No  No     Yes     
Ethernet0/1            Yes (ldp)     No       No  No     Yes       

R5#show  mpls interfaces

Interface                IP              Tunnel   BGP Static Operational
Ethernet0/0            Yes (ldp)     No       No  No     Yes 

• Kiểm tra quan hệ láng giềng LDP

R2#show mpls ldp neighbor 

    Peer LDP Ident: 3.3.3.3:0; Local LDP Ident 2.2.2.2:0
        TCP connection: 3.3.3.3.57415 - 2.2.2.2.646
        State: Oper; Msgs sent/rcvd: 22/23; Downstream
        Up time: 00:11:04
        LDP discovery sources:
          Ethernet0/0, Src IP addr: 192.168.23.3
        Addresses bound to peer LDP Ident:
          192.168.23.3    192.168.34.3    3.3.3.3 

R3#show  mpls ldp neighbor

    Peer LDP Ident: 2.2.2.2:0; Local LDP Ident 3.3.3.3:0
        TCP connection: 2.2.2.2.646 - 3.3.3.3.57415
        State: Oper; Msgs sent/rcvd: 23/23; Downstream
        Up time: 00:11:15
        LDP discovery sources:
          Ethernet0/0, Src IP addr: 192.168.23.2
        Addresses bound to peer LDP Ident:
          192.168.23.2    2.2.2.2       
    Peer LDP Ident: 4.4.4.4:0; Local LDP Ident 3.3.3.3:0
        TCP connection: 4.4.4.4.16247 - 3.3.3.3.646
        State: Oper; Msgs sent/rcvd: 22/22; Downstream
        Up time: 00:10:38
        LDP discovery sources:
          Ethernet0/1, Src IP addr: 192.168.34.4
        Addresses bound to peer LDP Ident:
          192.168.45.4    192.168.34.4    4.4.4.4 

R4#show mpls ldp neighbor

    Peer LDP Ident: 3.3.3.3:0; Local LDP Ident 4.4.4.4:0
        TCP connection: 3.3.3.3.646 - 4.4.4.4.16247
        State: Oper; Msgs sent/rcvd: 22/22; Downstream
        Up time: 00:10:48
        LDP discovery sources:
          Ethernet0/1, Src IP addr: 192.168.34.3
        Addresses bound to peer LDP Ident:
          192.168.23.3    192.168.34.3    3.3.3.3       
    Peer LDP Ident: 5.5.5.5:0; Local LDP Ident 4.4.4.4:0
        TCP connection: 5.5.5.5.53437 - 4.4.4.4.646
        State: Oper; Msgs sent/rcvd: 21/22; Downstream
        Up time: 00:10:32
        LDP discovery sources:
          Ethernet0/0, Src IP addr: 192.168.45.5
        Addresses bound to peer LDP Ident:
          192.168.45.5    5.5.5.5      

R5#show mpls ldp neighbor 

    Peer LDP Ident: 4.4.4.4:0; Local LDP Ident 5.5.5.5:0
        TCP connection: 4.4.4.4.646 - 5.5.5.5.53437
        State: Oper; Msgs sent/rcvd: 22/21; Downstream
        Up time: 00:10:39
        LDP discovery sources:
          Ethernet0/0, Src IP addr: 192.168.45.4
        Addresses bound to peer LDP Ident:
          192.168.45.4    192.168.34.4    4.4.4.4  

• Kiểm tra kết nối giữa các router PE (R2, R5)

R2#ping 5.5.5.5 source 2.2.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms

R2#traceroute 5.5.5.5 source 2.2.2.2 numeric

Type escape sequence to abort.
Tracing the route to 5.5.5.5
VRF info: (vrf in name/id, vrf out name/id)
  1 192.168.23.3 [MPLS: Label 17 Exp 0] 1 msec 1 msec 1 msec
  2 192.168.34.4 [MPLS: Label 16 Exp 0] 1 msec 1 msec 0 msec
  3 192.168.45.5 1 msec *  2 msec

R5#ping 2.2.2.2 source 5.5.5.5

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 5.5.5.5
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

R5#traceroute 2.2.2.2 source 5.5.5.5 numeric 

Type escape sequence to abort.
Tracing the route to 2.2.2.2
VRF info: (vrf in name/id, vrf out name/id)
  1 192.168.45.4 [MPLS: Label 18 Exp 0] 1 msec 1 msec 1 msec
  2 192.168.34.3 [MPLS: Label 16 Exp 0] 1 msec 2 msec 0 msec
  3 192.168.23.2 1 msec *  1 msec

Noted: Để đảm bảo hệ thống chuyển mạch label của MPLS đúng nhất chúng ta nên đặt địa chỉ của các loopback0 với prefix-length /32, nhưng ở bài lab này đặt /24 nên bắt buộc phải chuyển network-type trong OSPF là POINT-TO-POINT cho các loopback 0 trong vùng core.

• Cấu hình

R2, R3, R4, R5:

interface loopback 0
ip ospf network point-to-point
end
write

4. Cấu hình iBGP cho các router PE (R2, R5)

• Cấu hình

R2:

router bgp 2345
 neighbor 5.5.5.5 remote-as 2345
 neighbor 5.5.5.5 update-source Loopback0

R5:

router bgp 2345
 neighbor 2.2.2.2 remote-as 2345
 neighbor 2.2.2.2 update-source Loopback0

5. Bật tính năng VPNv4/VPN lable cho vùng iBGP giữa các router PE

Khi thiết lập iBGP cho các router PE thì mặt định các router PE sẽ dùng IPv4 unicast để trao đổi thông tin, chúng cần phải enable vpnv4 route để trao đổi định tuyến. Tại sao enable vpnv4 sẽ được thảo luận ở chủ đề VPNv4/VPN Lable.

• Cấu hình

R2:

router bgp 2345
address-family vpnv4
neighbor 5.5.5.5 activate
end
write

R2#show run | section bgp

router bgp 2345
 bgp log-neighbor-changes
 neighbor 5.5.5.5 remote-as 2345
 neighbor 5.5.5.5 update-source Loopback0
 !
 address-family vpnv4
  neighbor 5.5.5.5 activate
  neighbor 5.5.5.5 send-community extended
 exit-address-family

Khi enable VNPv4 router sẽ tự động thêm vào dòng lệnh neighbor 5.5.5.5 send-community extended, dòng này là bắt buộc và không thể xóa vì vpnv4 dùng để giao tiếp và quảng bá source-target giữa các router PE khi đã enable vnpv4.

R5:

router bgp 2345
address-family vpnv4
neighbor 2.2.2.2 activate
end
write

• Kiểm tra sau khi thiết lập iBGP

R2#show bgp vpnv4 unicast all summary 

BGP router identifier 2.2.2.2, local AS number 2345
BGP table version is 1, main routing table version 1
Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
5.5.5.5            4         2345        93      92            1     0       0        0    1:19:59        0

R5#show bgp vpnv4 unicast all summary 

BGP router identifier 5.5.5.5, local AS number 2345
BGP table version is 1, main routing table version 1
Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
2.2.2.2            4         2345      93            93        1    0        0       0     1:20:31        0

Đến đây đã xong phần MPLS Layer 3 VPN core.

Để chuẩn bị cho các bài route giữa các khách hàng thông qua MPLS Layer 3 VPN, ta phải tạo VRF, hãy chuyển sang yêu cầu 6

6. Tạo VRF cho từng khách hàng

Để mỗi khách hàng có một bảng route riêng biệt (tham khảo bài VRF lite) ta phải tạo VRF trên con router PE (R2, R5), đặt IP và gán các cổng tương ứng vào VRF như sơ đồ bài lab.

• Cấu hình

Customer A
R2:

ip vrf Customer_A
 rd 16:16
 route-target export 1:6
 route-target import 6:1
exit
interface ethernet 0/2
ip vrf forwarding Customer_A
ip address 192.168.12.2 255.255.255.0
no shutdown
end
write

R5:

ip vrf Customer_A
 rd 16:16
 route-target export 6:1
 route-target import 1:6
exit
interface ethernet 0/2
ip vrf forwarding Customer_A
ip address 192.168.56.5 255.255.255.0
no shutdown
end
write

Noted: ASN:nn route-target import của PE bên này là ASN:nn route-target export của PE bên kia và ngược lại (sẽ có bài nói về vấn đề này)

Customer B

R2:

ip vrf Customer_B
route-target both 11:66
exit
interface ethernet 0/1
ip vrf forwarding Customer_B
ip address 192.168.12.2 255.255.255.0
no shutdown
end
write

Khi cấu hình route-target both 11:66 trên router sẽ tự động thay bằng 2 dòng:
- route-target export 11:66 và 
- route-target import 11:66

R2#show run | begin ip vrf Customer_B

ip vrf Customer_B
rd 11:66
 route-target export 11:66
 route-target import 11:66

R5:

ip vrf Customer_B
route-target both 11:66
exit
interface ethernet 0/1
ip vrf forwarding Customer_B
ip address 192.168.56.5 255.255.255.0
no shutdown
end
write

• Kiểm tra sau khi tạo vrf

R2#ping vrf Customer_A 192.168.12.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms

R2#ping vrf Customer_B 192.168.12.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms

R5#ping vrf Customer_A 192.168.56.6

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.56.6, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms

R5#ping vrf Customer_B 192.168.56.6

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.56.6, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms

Tóm tắt: Để tạo ra vùng MPLS Layer3 VPN - core cần:

1. Chạy giao thức định tuyến IGP (ospf, is-is,...) cho vùng core
2. Thiết lập iBGP giữa các router PE
3. Enable LDP / MPLS IP trên các cổng đấu nối giữa các router P và PE (nếu không sẽ bị lỗi backhole)
4. Enable VPN lable / VPNv4 để thêm nhãn RT để tạo định tuyển duy nhất để quảng bá giữa các PE
5. Tạo VRF trên các router PE và gán các cổng tương ứng vào VRF thích hợp

Các lệnh troubleshooting:

1. show mpls interfaces
2. show mpls ldp neighbor
3. show ip bgp summary
4. show bgp vpnv4 unicast all summary
5. show run | begin ip vrf TênVRF
6. ping vrf TênVRF IP_cần_ping

Xong!