Baixe o app para aproveitar ainda mais
Prévia do material em texto
Treinamento Huawei Instrutor: Guilherme Ramires Agenda • Basics Huawei • Routing com OSPF • Switch com MSTP • BGP basics • BGP advanced • MPLS • VPNs MPLS based • IS-IS e TE (conteúdo bônus a depender o tempo) 2 Agenda • Treinamento diário: 9:00h – 17:30h • Tolerância de 15min • 1 hora para almoço: Saida entre as 12:00h e 12:30h • Tolerância de 30min • Coffee Break as 16:00h 3 Informações gerais • Todo treinamento não pode ser filmado nem gravado. • Fotos são permitidas • Perguntas são sempre bem vindas. Peço somente que tente focar a pergunta no tópico vigente. • Caso você precise atender o telefone peço que deixe o mesmo em modo silencioso e atenda a ligação fora da sala. 4 Informações gerais • O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso inapropriado. • O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%. • O certificado de participação deverá ser solicitado pelo nosso site e será entregue em até 15 dias. http://www.alivesolutions.com.br/certificados 5 http://www.alivesolutions.com.br/certificados Apresente-se • Seu nome, sua empresa e de onde é • Seu conhecimento sobre redes • Seu conhecimento sobre Huawei (switch/router) • Seu conhecimento sobre outros vendors • O que você espera deste curso 6 Basics Huawei • Primeiro acesso: demonstração ao vivo; • Conectores, identificação de porta console e ativação root; • Criação do primeiro usuário; • Liberação de acesso via ssh; 7 aaa local-user usuario password cipher senha local-user usuario service-type ssh ssh user usuario ssh user usuario authentication-type password ssh user usuario service-type all Basics Huawei • VRP - Versatilie Routing Protocol • Configurações gravadas: • current-configuration (RAM) • saved-configuration (NVRAM) • Comandos básicos: • Display = mostra informações referente a uma sessão ditada • Quit = retorna um nível da sessão • Undo – desfaz uma configuração • Return = retorna ao modo user-view(somente leitura) - <Huawei> • System-view = ingressa em modo admistrador - [Huawei] • Save = salva configuração na NVRAM • Reset saved-configuration = limpa as configurações da NVRAM • Requer um reboot para efetivar a limpeza de configuração da RAM 8 Basics Huawei • Exemplos de comandos: • disp cu interface g0/0/1 = mostra configuração da interface g0/0/1 • disp router id = mostra o router id • disp ip int br | e una = mostra somente ips configurados no router • display this = mostra o que esta configurado dentro da sessão vigente • disp cu | b ospf = mostra configuração a partir da linha do ospf • disp cu | i vlan = mostra todas linhas de configuração relacionadas a vlan • disp cu conf bgp = mostra as configurações da sessãp BGP 9 OSPF • Protocolo compatível com OSPF dos demais vendors porém possui algumas particularidades: • A distância administrativa da rota(pref) não é 110 e sim 10; • O router id pode ser setado via loopback (herança), via router id do router ou da instância; 10 OSPF cenário 11 OSPF – Primeira etapa: informações básicas • Vamos configurar os Nomes, Router ID e os ips em todos equipamentos conforme o cenário anterior; • Também já vamos adicionar a rota no router internet para nossa rede R1 sys sysname R1 router id 1.1.1.1 int g0/0/0 ip addr 172.16.0.1 30 int g0/0/1 ip addr 172.16.0.10 30 int g0/0/2 ip addr 172.16.1.1 30 int loop0 ip addr 1.1.1.1 32 return save R2 sys sysname R2 router id 2.2.2.2 int g0/0/0 ip addr 172.16.0.6 30 int g0/0/1 ip addr 172.16.0.2 30 int g0/0/2 ip addr 172.16.2.1 30 int loop0 ip addr 2.2.2.2 32 return save R3 sys sysname R3 router id 3.3.3.3 int g0/0/0 ip addr 172.16.0.9 30 int g0/0/1 ip addr 172.16.0.5 30 int g0/0/2 ip addr 189.10.10.2 30 int loop0 ip addr 3.3.3.3 32 return save INTERNET sys sysname INTERNET ip route-static 172.16.0.0 12 189.10.10.2 int g0/0/2 ip addr 189.10.10.1 30 int loop0 ip addr 8.8.8.8 32 return save R11 sys sysname R11 router id 11.11.11.11 int g0/0/2 ip addr 172.16.1.2 30 int loop1 ip addr 172.16.1.5 30 int loop2 ip addr 172.16.1.9 30 int loop3 ip addr 172.16.1.13 30 return save R22 sys sysname R22 router id 22.22.22.22 int g0/0/2 ip addr 172.16.2.2 30 int loop1 ip addr 172.16.2.5 30 int loop2 ip addr 172.16.2.9 30 int loop3 ip addr 172.16.2.13 30 return save 12 OSPF – Segunda etapa: subir ospf no backbone • Agora vamos configurar a instancia do OSPF, áreas e networks. • Lembrando que o mesmo vinculo e dependências também são aplicadas aqui: • Networks > Area > Instancia R1 sys ospf 1 area 0 network 172.16.0.0 0.0.0.3 network 172.16.0.8 0.0.0.3 network 1.1.1.1 0.0.0.0 return save R2 sys ospf 1 area 0 network 172.16.0.0 0.0.0.3 network 172.16.0.4 0.0.0.3 network 2.2.2.2 0.0.0.0 return save R3 sys ospf 1 area 0 network 172.16.0.8 0.0.0.3 network 172.16.0.4 0.0.0.3 network 3.3.3.3 0.0.0.0 return save 13 Pausa poética #1 Wilcard Mask 200 = 11001000 201 = 11001001 202 = 11001010 203 = 11001011 20X = 00000011 = 3 bit 0 - verifica - "zerifica" bit 1 - ignora - "umgnora” 192.168.1.0/24 --> 255.255.255.0 --> 0.0.0.255 192 168 1 0 11000000.10101000.00000001.00000000 00000000.00000000.00000000.11111111 0 0 0 255 200.0.0.0/24 0.0.0.255 201.0.0.0/24 0.0.0.255 202.0.0.0/24 0.0.0.255 203.0.0.0/24 0.0.0.255 200.0.0.0 3.0.0.255 14 OSPF - troubleshooting • Comandos básicos para debugar OSPF: • display ospf peer brief = verifica estabelecimento de vizinhança • disp ip routing-table protocol ospf = rotas ospf instaladas • reset ospf process = “rebootar” a instância • display ospf error = visualizar possíveis erros gerados 15 OSPF – Terceira etapa: subir ospf nas áreas • Agora vamos configurar as conexões com as áreas 1 e 2 e já preparar o cenário para efetuar a sumarização. • Lembrando que toda sumarização é feita de área pra área e portanto deve ser configurada SEMPRE nos ABRs R1 sys ospf 1 area 1 network 172.16.1.0 0.0.0.3 return save R2 sys ospf 1 area 2 network 172.16.2.0 0.0.0.3 return save R11 sys ospf 1 area 1 network 172.16.1.0 0.0.0.15 return save R22 sys ospf 1 area 2 network 172.16.2.0 0.0.0.15 return save 16 OSPF: Checar resultados em R3 Verifique que em R3 já podemos ver todas as rotas distribuidas 17 OSPF – Terceira etapa: cont... • Agora vamos efetuar a sumarização nos ABRs R1 sys ospf 1 area 1 abr-summary 172.16.1.0 255.255.255.240 return save R2 sys ospf 1 area 2 abr-summary 172.16.2.0 255.255.255.240 return save 18 OSPF: Checar resultados em R3 Veja que agora a tabela está sumarizada contendo os /28 somente 19 OSPF – conectividade para internet • Vamos configurar a rota default em R3 para ter acesso a internet e vamos propagar essa rota default para a rede. R3 sys ip route-static 0.0.0.0 0 189.10.10.1 ospf 1 default-route-advertise return save 20 OSPF Ajustes adicionais (discussão de sala) 21 Switch – Basics • vlan vlan-id = cria uma vlan com o id informado em “vlan-id” • vlan batch x to y = cria vlans em lote desde “x” até “y” • display vlan – visualiza todas vlans criadas neste switch • undo portswitch* = torna a porta funcional para L3 • port link type* = informa que tipo de vlan deseja utilizar na porta • access = porta padrão de acesso • dot1q-tunnel = porta QinQ(transporte de múltiplas vlans) • hybrid = porta hibrida (suporta vlans tagged ou untagged) • trunk = porta trunk * comando especifico de porta 22 Switch Cenário 23 Objetivo do cenário • O objetivo é dar conectividade entre os dispositivos ligados a vlan 10 e da vlan 20 sob seus domínios independentes; • Em seguida vamos estabelecer comunicação entre os dispositivo da vlan 10 e da vlan 20 via Router 1 com roteamento; 24 MSTP • O MSTP trabalha em grupos chamados regiões, para cada região haverá uma bridge root regional e entre regiões haverá uma bridge root eleita(masterport). • O MSTP usará o Internal Spanning Tree (IST) para criar a topologia de rede dentro de uma região e o Common Spanning Tree (CST) para fora de uma região para criar a topologia de rede entre várias regiões. • O MSTP combina esses dois protocolos na Common and Internal Spanning Tree (CIST) , que contém informações sobre topologia dentro de uma região e entre regiões. • Do ponto de vista da CST, uma região será aparentemente uma única bridge virtual e por conta disso o MSTP é considerado muito escalável para redes grandes. 25 MSTP • Para que as bridges estejam na mesma região, sua configuração deve corresponder. • Se uma bridge receber um BPDU através de uma porta e a configuração não corresponder, o MSTP considerará essa porta como uma porta de fronteira e poderá ser usada para alcançar outras regiões. • Abaixo está uma lista de parâmetros que precisam corresponder para que o MSTP considere um BPDU da mesma região: • Region name • Region revision • VLAN mappings (via instancias) 26 Switch: Primeira etapa • Vamos setar os nomes dos switches; • Nomear de RG1 e determinar as regiões do MSTP; • Determinar as vlans de 2 a 10 como padrão da instancia 1 e as vlans de 11 a 20 da instancia 2; Todos Switches system-view sysname SwitchX stp region-configuration region-name RG1 instance 1 vlan 2 to 10 instance 2 vlan 11 to 20 check region-configuration active region-configuration quit Troubleshooting 27 Switch: Segunda etapa • Determinar as instancias primaria e secundaria nos switches A e B; • Instancia 1 como root primaria do Switch A; • Instancia 2 como root primaria do Switch B; Switch A stp instance 1 root primary stp instance 2 root secondary Switch B stp instance 2 root primary stp instance 1 root secondary 28 Switch: Terceira etapa • Habilitar MSTP em todos os Switches; • Criar as VLANs em todos os Switches; • Criar links de Trunk em todos os Switches; SwitchA stp enable vlan batch 2 to 20 port-group group-member g0/0/1 g0/0/2 g0/0/3 port link-type trunk port trunk allow-pass vlan 2 to 20 quit SwitchB stp enable vlan batch 2 to 20 port-group group-member g0/0/1 g0/0/2 g0/0/6 port link-type trunk port trunk allow-pass vlan 2 to 20 quit SwitchC stp enable vlan batch 2 to 20 port-group group-member g0/0/3 g0/0/4 g0/0/5 g0/0/6 port link-type trunk port trunk allow-pass vlan 2 to 20 quit SwitchD stp enable vlan batch 2 to 20 port-group group-member g0/0/1 g0/0/2 g0/0/4 port link-type trunk port trunk allow-pass vlan 2 to 20 quit SwitchE stp enable vlan batch 2 to 20 port-group group-member g0/0/1 g0/0/2 g0/0/5 port link-type trunk port trunk allow-pass vlan 2 to 20 quit 29 Switch: Quarta etapa: ajustes • Habilitar o BPDU protection; • Setar as vlans corretas para os clientes do Switches A-D e B-E; • Setar portas edge dos clientes diretamente ligados aos switches; Switch A stp bpdu-protection interface GigabitEthernet0/0/4 port link-type access port default vlan 10 stp edged-port enable return Switch D stp bpdu-protection interface GigabitEthernet0/0/3 port link-type access port default vlan 10 stp edged-port enable return Switch B stp bpdu-protection interface GigabitEthernet0/0/3 port link-type access port default vlan 20 stp edged-port enable return Switch E stp bpdu-protection interface GigabitEthernet0/0/3 port link-type access port default vlan 20 stp edged-port enable return 30 Switch: Quinta etapa: roteamento inter-Vlans • Criar a porta Trunk no Switch C; • Criar as duas interfaces dot1q no Router1; • Colocar os ips correspondentes de cada Vlan(10 e 20); Switch C Int g0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 20 quit Router 1 interface GigabitEthernet0/0/0.10 vlan-type dot1q 10 ip address 192.168.10.254 255.255.255.0 interface GigabitEthernet0/0/0.20 vlan-type dot1q 20 ip address 192.168.20.254 255.255.255.0 31 Vlans: Testes • Pingar do PC1 pro PC2; • Para testar a VLAN 10; • Pingar do PC3 pro PC4; • Para testar a VLAN 20; • Pingar do PC1/PC2 pro PC3/PC4 • Para confirmar o roteamento inter-vlans; 32 LAG – Link Aggregation • Este modo no huawei é conhecido como ether trunk(não confunda com vlan trunk); • Modos de operação: • LACP: Protocolo padrão para LAG. Permite agregar/balancear carga entre múltiplos links e adotar link backup; • Manual load balance: Todos membros enviam/recebem trafego. Configuração mais simples que deve ser usada caso o outro membro não suporte LACP; • Manual 1:1 active/standby mode: permite utilizar 2 interfaces porém uma como ativa e outra como backup. 33 Switch: Sexta etapa: criar o link aggregation • Vamos criar a interface eth-trunk nos Switches A e B e adicionar as portas correspondentes; • Setar a vlan trunk em cima do link ether trunk; Switch A interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 20 interface GigabitEthernet0/0/1 eth-trunk 1 interface GigabitEthernet0/0/5 eth-trunk 1 Switch B interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 20 interface GigabitEthernet0/0/2 eth-trunk 1 interface GigabitEthernet0/0/5 eth-trunk 1 34 Observação... • Neste momento a interface LAG está funcionando porém no modo manual load balance. • Caso você queira efetuar ajustes e mudar o modo você deve fazer isso ANTES de adicionar as interfaces a LAG ou limpar as configurações das interfaces para poder manipular o eth-trunk novamente. 35 Switch: Sétima etapa: ajustes no link aggregation • Vamos setar o modo estático LACP; • Usar o fast timeout; • E o modo preemptivo; Switch A interface eth-trunk 1 mode lacp-static lacp timeout fast lacp preempt enable lacp preempt delay 10 Switch B interface eth-trunk 1 mode lacp-static lacp timeout fast lacp preempt enable lacp preempt delay 10 36 Switch: Sétima etapa: ajustes no link aggregation • Quantidade mínima de links ativos; • Quantidade máxima de links ativos; • Adicionar terceira porta e setar as prioridades pras portas G1 e G5 Switch A interface eth-trunk 1 least active-linknumber 2 max active-linknumber 3 interface gigabitethernet 0/0/1 lacp priority 100 interface gigabitethernet 0/0/5 lacp priority 100 Switch B interface eth-trunk 1 least active-linknumber 2 max active-linknumber 3 interface gigabitethernet 0/0/2 lacp priority 100 interface gigabitethernet 0/0/5 lacp priority 100 37 Switch: LACP troubleshooting • display eth-trunk trunk-id = comando para checar a configuração do Eth- Trunk. • display trunkmembership eth-trunk trunk-id = comando para checar informações sobre as interfaces do Eth-Trunk. • display eth-trunk trunk-id load-balance = comando para checar o modo de load balance utilizado no Eth-Trunk. • display interface eth-trunk trunk-id = mostra status das interfaces que participam do LAG 38 Switch Discussão de sala Ajustes adicionais 39 BGP - Basics • No geral o protocolo é compatível com qualquer vendor porém tem algumas particularidades como: • A distancia administrativa da rota que é 255 tanto pro iBGP quanto pro eBGP; • O flow de processamento das rotas: 40 BGP - Basics • E o algoritmo de seleção de rotas que é próprio; 41 BGP - Basics 42 BGP Cenário 43 BGP: Primeira etapa: estrutura base • Vamos subir os IPs em todos os routers e OSPF somente no AS 65000 Router 1 sys sys R1 router id 10.0.0.1 Int g0/0/0 Ip addr 10.0.12.1 30 Int g0/0/1 Ip addr 10.0.31.2 30 Int g0/0/2 Ip addr 181.0.0.2 30 Int loop0 Ip addr 10.0.0.1 32 quit ospf 1 area 0 network 10.0.0.1 0.0.0.0 network 10.0.12.0 0.0.0.3 network 10.0.31.0 0.0.0.3 Return Save Router 2 sys sys R2 Router id 10.0.0.2 Int g0/0/0 Ip addr 10.0.23.1 30 Int g0/0/1 Ip addr 10.0.12.2 30 Int g0/0/2 Ip addr 182.0.0.2 30 Int g0/0/3 ip addr 182.0.0.10 30 Int loop0 Ip addr 10.0.0.2 32 quit ospf 1 area 0 network 10.0.0.2 0.0.0.0 network 10.0.12.0 0.0.0.3 network 10.0.23.0 0.0.0.3 Return Save Router 3 sys sys R3 Router id 10.0.0.3 Int g0/0/0 Ip addr 10.0.31.1 30 Int g0/0/1 Ip addr 10.0.23.2 30 Int loop0 Ip addr 10.0.0.3 32 quit ospf 1area 0 network 10.0.0.3 0.0.0.0 network 10.0.23.0 0.0.0.3 network 10.0.31.0 0.0.0.3 Return Save 44 BGP: Primeira etapa: estrutura base – cont... • Agora vamos configurar a estrutura base de IPs dos ISP1, ISP2 e Google; • E lembrar de inserir as rotas estáticas no Google; ISP 1 sys sys ISP1 router id 11.11.11.11 Int loop0 Ip addr 11.11.11.11 32 Int g0/0/0 Ip addr 181.0.0.5 30 Int g0/0/1 Ip addr 181.0.0.13 30 Int g0/0/2 Ip addr 181.0.0.1 30 quit ISP 2 sys sys ISP2 router id 22.22.22.22 Int loop0 Ip addr 22.22.22.22 32 Int g0/0/0 Ip addr 181.0.0.14 30 Int g0/0/1 Ip addr 182.0.0.6 30 Int g0/0/2 Ip addr 182.0.0.1 30 Int g0/0/3 Ip addr 182.0.0.9 30 quit Google sys sys Google router id 8.8.8.8 Ip route-static 8.8.0.0 255.255.252.0 null0 Ip route-static 8.8.0.0 255.255.254.0 null0 Ip route-static 8.8.2.0 255.255.254.0 null0 Int g0/0/0 Ip addr 182.0.0.5 30 Int g0/0/1 Ip addr 181.0.0.6 30 quit 45 BGP: Segunda etapa: fechar as sessões iBGP • Vamos configurar os peers ibgp do AS 65000 e publicar os /24 Router 1 sys Ip route-static 200.0.1.0 255.255.255.0 null0 bgp 65000 peer 10.0.0.2 as-number 65000 peer 10.0.0.2 connect-interface loop0 peer 10.0.0.2 next-hop-local peer 10.0.0.3 as-number 65000 peer 10.0.0.3 connect-interface loop0 peer 10.0.0.3 next-hop-local network 200.0.1.0 24 return Save Router 2 sys Ip route-static 200.0.2.0 255.255.255.0 null0 bgp 65000 peer 10.0.0.1 as-number 65000 peer 10.0.0.1 connect-interface loop0 peer 10.0.0.1 next-hop-local peer 10.0.0.3 as-number 65000 peer 10.0.0.3 connect-interface loop0 peer 10.0.0.3 next-hop-local network 200.0.2.0 24 return save Router 3 sys Ip route-static 200.0.3.0 255.255.255.0 null0 bgp 65000 peer 10.0.0.2 as-number 65000 peer 10.0.0.2 connect-interface loop0 peer 10.0.0.2 next-hop-local peer 10.0.0.1 as-number 65000 peer 10.0.0.1 connect-interface loop0 peer 10.0.0.1 next-hop-local network 200.0.3.0 24 return save 46 BGP: Terceira etapa: fechar as sessões eBGP • Vamos configurar os peers ebgp de R1, R2, ISP1, ISP2 e Google ISP 1 sys bgp 65001 peer 181.0.0.6 as-number 65008 peer 181.0.0.14 as-number 65002 peer 181.0.0.2 as-number 65000 return save ISP 2 sys bgp 65002 peer 182.0.0.5 as-number 65008 peer 181.0.0.13 as-number 65001 peer 182.0.0.2 as-number 65000 peer 182.0.0.10 as-number 65000 return save Google sys bgp 65008 peer 182.0.0.6 as-number 65002 peer 181.0.0.5 as-number 65001 network 8.8.0.0 22 network 8.8.0.0 23 network 8.8.2.0 23 return save R2 sys bgp 65000 peer 182.0.0.1 as-number 65002 peer 182.0.0.9 as-number 65002 return save R1 sys bgp 65000 peer 181.0.0.1 as-number 65001 return save 47 BGP: Terceira etapa: rápido troubleshooting • display bgp peer = mostra informações resumida dos peers • display bgp peer x.x.x.x verbose = informações detalhadas do peer • display ip routing-table protocol bgp = rotas BGP instaladas • display bgp routing-table = todas as rotas BGP • display bgp error = mostra possíveis mensagens de erro • display bgp routing-table peer x.x.x.x ? • accepted-routes = Routes accepted by routing policy • advertised-routes = Routes advertised to the remote peer • received-routes = Routes received from the remote peer 48 Pausa poética #2 • Agora que todos os peers estão estabelecidos vamos falar de como controlar e manipular prefixos/anúncios. • Route-policy = filtros sequenciais(nodes) de permit/deny onde são aplicadas aos peers no processo de IN ou OUT; • Existem 2 recursos para gerenciar isso: • Prefix-list = onde iremos agrupar os prefixos por NOMES; • ACL = similar a prefix-list porem é baseada em L3 e L4; • As route-policy funcionam baseadas nas informações das prefix-list/ACL ou ações próprias. • Observação: por padrão, uma vez que a sessão é estabelecida os peers aceitam receber e propagar tudo. Entretanto se você atribui uma route-policy ao peer ele passa a negar tudo imediatamente mesmo sem nenhuma regra inserida. 49 BGP: Quarta etapa: liberação de anúncios • Vamos configurar todas prefix-list e setar as route-policys nos peers do AS 6500 para permitirem full e anunciarem seus respectivos blocos /24 R3 sys ip ip-prefix PL-MEUS-BLOCOS index 20 permit 200.0.3.0 24 ip ip-prefix REDE200 index 10 permit 200.0.0.0 8 greater-equal 20 less-equal 24 quit R2 sys ip ip-prefix PL-MEUS-BLOCOS index 20 permit 200.0.2.0 24 ip ip-prefix REDE200 index 10 permit 200.0.0.0 8 greater-equal 20 less-equal 24 ip ip-prefix DEFAULT index 10 permit 0.0.0.0 0 ip ip-prefix ANY-NETWORK index 10 permit 0.0.0.0 0 less-equal 24 ip ip-prefix PL-GOOGLE permit 8.8.0.0 22 greater-equal 22 less-equal 24 bgp 65000 peer 182.0.0.1 route-policy RP-SAIDA1-ISP2 export peer 182.0.0.1 route-policy RP-ENTRADA1-ISP2 import peer 182.0.0.9 route-policy RP-SAIDA2-ISP2 export peer 182.0.0.9 route-policy RP-ENTRADA2-ISP2 import quit R1 sys ip ip-prefix PL-MEUS-BLOCOS index 10 permit 200.0.1.0 24 ip ip-prefix REDE200 index 10 permit 200.0.0.0 8 greater-equal 20 less-equal 24 ip ip-prefix DEFAULT index 10 permit 0.0.0.0 0 ip ip-prefix ANY-NETWORK index 10 permit 0.0.0.0 0 less-equal 24 ip ip-prefix PL-GOOGLE permit 8.8.8.0 22 greater-equal 22 less-equal 24 bgp 65000 peer 181.0.0.1 route-policy RP-SAIDA-ISP1 export peer 181.0.0.1 route-policy RP-ENTRADA-ISP1 import 50 BGP: Quarta etapa: Cont... • Nesta etapa vamos aplicar as liberações e uma negação explicita ao final • Apesar da negação explicita ser opcional neste ponto, eu acho importante pra logar/contabilizar os descartes feitos; R2 - LINK1 route-policy RP-SAIDA1-ISP2 permit node 10 if-match ip-prefix PL-MEUS-BLOCOS route-policy RP-SAIDA1-ISP2 permit node 20 If-match ip-prefix REDE200 route-policy RP-SAIDA1-ISP2 deny node 200 route-policy RP-ENTRADA1-ISP2 permit node 10 If-match ip-prefix DEFAULT route-policy RP-ENTRADA1-ISP2 permit node 20 If-match ip-prefix ANY-NETWORK route-policy RP-ENTRADA1-ISP2 deny node 200 return refresh bgp all export save R1 route-policy RP-SAIDA-ISP1 permit node 10 if-match ip-prefix PL-MEUS-BLOCOS route-policy RP-SAIDA-ISP1 permit node 20 If-match ip-prefix REDE200 route-policy RP-SAIDA-ISP1 deny node 200 route-policy RP-ENTRADA-ISP1 permit node 10 If-match ip-prefix DEFAULT route-policy RP-ENTRADA-ISP1 permit node 20 If-match ip-prefix ANY-NETWORK route-policy RP-ENTRADA-ISP1 deny node 200 return refresh bgp all export save R2 – LINK2 route-policy RP-SAIDA2-ISP2 permit node 10 if-match ip-prefix PL-MEUS-BLOCOS route-policy RP-SAIDA2-ISP2 permit node 20 If-match ip-prefix REDE200 route-policy RP-SAIDA2-ISP2 deny node 200 route-policy RP-ENTRADA2-ISP2 permit node 10 If-match ip-prefix DEFAULT route-policy RP-ENTRADA2-ISP2 permit node 20 If-match ip-prefix ANY-NETWORK route-policy RP-ENTRADA2-ISP2 deny node 200 Return refresh bgp all export save 51 BGP: Quarta etapa: Cont... • Toda vez que você fizer alterações nas route-policys é importante confirmar as mudanças com o seguinte comando: • refresh bgp all import | export • Verifiquem as tabelas de rotas nos peers eBGP agora; 52 Analise da routing table do Google • Veja que todos os /24 anunciados já chegaram aos peers eBGP e consequentemente ao Google. 53 Pausa poética #3 • Agora que já aprendemos como permitir receber e enviar prefixos, vamos aprender como manipular/influenciar as decisões de roteamento. • Para isso temos os 3 principais atributos usados: • Local Preference = normalmente usado para influenciar sua SAIDA iBGP; • Prepend = normalmente usado para influenciar peers eBGP de forma a mudar o fluxo de ENTRADA do seu ASN; • MED(metric/cost) = usado quando você tem mais de 1 link com a mesma operadora. Esse atributo influencia exclusivamente seu peer eBGP imediato permitindo a mudança do SEU fluxo de ENTRADA exclusivamente para o peer eBGP com menor métrica. 54 BGP: Quinta etapa: manipulação de anúncios • Neste exercício vamos utilizar o prepend para influenciar a mudança de fluxo do ISP1 para R1 e do ISP2 para o R2; • Em seguida vamos utilizar o MED em R2 para forçar o download do seu /24 via link 2; •E também em R2 vamos forçar o upload para os blocos do Google via link 2 usando o local preference; R2 – MED para link 2 sys route-policy RP-SAIDA1-ISP2 permit node 10 if-match ip-prefix PL-MEUS-BLOCOS apply cost 10 quit R1 sys route-policy RP-SAIDA-ISP1 permit node 10 if-match ip-prefix PL-MEUS-BLOCOS apply as-path 65000 65000 65000 additive quit R2 – Local Preference link 2 sys route-policy RP-ENTRADA2-ISP2 permit node 10 if-match ip-prefix PL-GOOGLE apply local-preference 200 quit 55 Analise dos resultados Prepend aplicado para ISP1 MED aplicado para o link2 do ISP2 Local Preferenceaplicado em R2 para o link2 56 BGP - Communities • Escrita no formato: “xxxxx:yyyyy”; • Permite ao administrador maiores políticas de controle; • Simplifica a configuração de upstream; • Pode ser usado pelo ISP para: • Opções de as_prepend; • Restrições geográficas; • Blackholing, etc… • Usado também para checar o Internet Routing Registry (IRR). 57 BGP - Communities • O processo de utilização das communities consiste em 2 etapas: • Criação da community. Exemplos: • ip community-filter 1 permit 65000:666 (blackhole) • ip community-filter 2 permit 65000:3 (3 prepends) • Informar qual route-policy/node irá aplicar a community e qual ação a tomar: route-policy RP-ENTRADA-ISP1 permit node 20 if-match ip-prefix PL-BLACKHOLE if-match community-filter 1 apply ip-address next-hop 192.0.2.1 route-policy RP-ENTRADA-ISP1 permit node 25 if-match community-filter 2 apply as-path 65000 65000 65000 additive 58 BGP - Communities • O processo de aplicação da communities é também baseado nas RPs; • Setar uma community e remover qualquer outra existente: • Setar outra community de forma adicional: • Para exportar communities para os vizinhos é necessário uma configuração adicional a ser feita no peer: • peer x.x.x.x advertise-community route-policy RP-SAIDA-ISP1 permit node 10 if-match ip-prefix PL-MEUS-BLOCOS apply community 65001:200 route-policy RP-SAIDA-ISP1 permit node 10 if-match ip-prefix PL-MEUS-BLOCOS apply community 65001:200 additive 59 BGP: Community LAB • Gerar as communities de blackhole em ISP1; • Gerar as communities de prepend em ISP2; • Enviar a partir de R1 e/ou R2; ISP2 ip community-filter 1 permit 65002:3 route-policy RP-ENTRADA-LINK1-R2 permit node30 if-match community-filter 1 apply as-path 65000 65000 65000 additive route-policy RP-ENTRADA-LINK2-R2 permit node 30 if-match community-filter 1 apply as-path 65000 65000 65000 additive route-policy RP-ENTRADA-ISP1 permit node 30 if-match community-filter 1 apply as-path 65000 65000 65000 additive route-policy RP-ENTRADA-GOOGLE permit node 30 if-match community-filter 1 apply as-path 65000 65000 65000 additive ISP1 ip community-filter 1 permit 65001:666 route-policy RP-ENTRADA-R1 permit node 30 if-match ip-prefix PL-BLACKHOLE if-match community-filter 1 apply ip-address next-hop 192.0.2.1 route-policy RP-ENTRADA-ISP2 permit node 30 if-match ip-prefix PL-BLACKHOLE if-match community-filter 1 apply ip-address next-hop 192.0.2.1 route-policy RP-ENTRADA-GOOGLE permit node 30 if-match ip-prefix PL-BLACKHOLE if-match community-filter 1 apply ip-address next-hop 192.0.2.1 R1 peer 181.0.0.1 advertise-community route-policy RP-SAIDA-ISP?? permit node 30 if-match ip-prefix ??? apply community 6500?:??? R2 peer 182.0.0.1 advertise-community peer 182.0.0.9 advertise-community route-policy RP-SAIDA?-ISP?? permit node 30 if-match ip-prefix ??? apply community 6500?:??? 60 Para visualizar as communitys: display bgp routing-table community BGP – Confederation • Confederation é um recurso do protocolo BGP que permite agrupar ASNs; • Facilita a incorporação de novos ASN; • Para o mundo externo fica visível somente o AS da confederação; • Cada AS deve estar rodando full mesh ou RR; • Troca de rotas entre confederados eBGP são entendidas como rotas de iBGP; • O as-path dentro da confederation aparecerá entre parênteses: as- path=(65000,65001); 61 BGP – Router Reflect • Re-adverte rotas iBGP para evitar o full mesh; • Reduz a contagem de mensagens de comunicação; • Reduz também a quantidade de dados por mensagem; • Neste caso somente o melhor caminho é “refletido”. 62 Cenário Confederation e Router Reflect 63 Conf Base - Confederation e Router Reflect AS2000 Sys router id 200.0.0.2 Sys AS2000 Int g0/0/0 Ip addr 200.0.0.2 30 Bgp 2000 Peer 200.0.0.1 as-number 1000 quit R6 Sys router id 6.6.6.6 Sys R6 ip route-static 6.0.0.0 24 null0 int g0/0/1 ip addr 10.36.0.1 30 int g0/0/2 ip addr 10.26.0.2 30 quit R3 Sys router id 3.3.3.3 Sys R3 int g0/0/1 ip addr 10.35.0.1 30 int g0/0/2 ip addr 10.36.0.2 30 Int g0/0/3 Ip addr 10.32.0.2 30 quit R2 Sys router id 2.2.2.2 Sys R2 int g0/0/0 ip addr 10.25.0.1 30 int g0/0/1 ip addr 10.26.0.1 30 Int g0/0/3 Ip addr 10.32.0.1 30 quit R1 Sys router id 1.1.1.1 Sys R1 Int g0/0/0 Ip addr 200.0.0.1 30 Int g0/0/1 Ip addr 10.17.0.2 30 quit R7 Sys router id 7.7.7.7 Sys R7 Int g0/0/1 Ip addr 10.17.0.1 30 Int g0/0/2 Ip addr 10.47.0.1 30 Int g0/0/3 Ip addr 10.57.0.1 30 quit R5 Sys router id 5.5.5.5 Sys R5 int g0/0/0 ip addr 10.25.0.2 30 int g0/0/1 ip addr 10.35.0.2 30 Int g0/0/3 Ip addr 10.57.0.2 30 quit R4 Sys router id 4.4.4.4 Sys R4 Int g0/0/2 Ip addr 10.47.0.2 30 quit Todos os routers do as 1000 Ospf 1 Area 0 Netw 10.0.0.0 0.255.255.255 quit 64 Confed e RR – Estabelecimento das sessões R6 Bgp 65001 confederation id 1000 confederation peer-as 65000 Peer 10.26.0.1 as-number 65001 Peer 10.36.0.2 as-number 65001 network 6.0.0.0 24 Return Save R3 Bgp 65001 confederation id 1000 confederation peer-as 65000 Peer 10.35.0.2 as-number 65000 Peer 10.36.0.1 as-number 65001 Peer 10.32.0.1 as-number 65001 Return Save R2 Bgp 65001 confederation id 1000 confederation peer-as 65000 Peer 10.25.0.2 as-number 65000 Peer 10.26.0.2 as-number 65001 Peer 10.32.0.2 as-number 65001 Return Save R1 bgp 65000 confederation id 1000 confederation peer-as 65001 peer 200.0.0.2 as-number 2000 peer 10.17.0.1 as-number 65000 Return Save R7 Bgp 65000 confederation id 1000 confederation peer-as 65001 Peer 10.17.0.2 as-number 65000 Peer 10.47.0.2 as-number 65000 Peer 10.57.0.2 as-number 65000 Peer 10.17.0.2 reflect-client Peer 10.47.0.2 reflect-client Peer 10.57.0.2 reflect-client return save R5 Bgp 65000 confederation id 1000 confederation peer-as 65001 Peer 10.57.0.1 as-number 65000 Peer 10.25.0.1 as-number 65001 Peer 10.35.0.1 as-number 65001 Return Save R4 Bgp 65000 confederation id 1000 confederation peer-as 65001 Peer 10.47.0.1 as-number 65000 Return Save 65 Verificando os resultados Uma rota eBGP com AS 1000 Uma rota eBGP confederada proveniente do AS 65001 Uma rota iBGP padrão 66 BGP Duvidas? 67 MPLS – Basics • Tecnologia de encaminhamento de pacotes baseada em pequenos rótulos; • Objetivo inicial: um encaminhamento de pacotes mais eficiente do que o roteamento IP comum; • Serve também como base para alguns “serviços avançados” como: • VPNs L3; • AToM(Any transport over mpls) – VPNs L2; • MPLS TE(Traffic Engeneerin); • Serviços com garantia de banda. 68 MPLS – Basics • Por ter sido criado após a concepção do OSI o MPLS é considerado um protocolo de camada 2.5; • O cabeçalho extra(32 bits) é inserido no modelo OSI entre a L2 e a L3 da seguinte forma: • Label (20 bits); • EXP (3 bits) – CoS; • End of stak flag(1 bit) – caso o rótulo atual seja o último da pilha; • TTL (8 bits). 69 MPLS - Basics • É permitido o uso de mais de 1 label; • Os labels são agrupados em pilhas; • Os LSRs sempre usam o label que estiver no topo da pilha; • Existem vários métodos de distribuição de labels: • Static Label Mapping; • LDP – mapeia o destino unicast dentro do label; • BGP – labels externos (VPN); • RSVP, CR-LDP – usados em traffic engeneering e reserva de recursos. 70 MPLS Cenário 71 MPLS – Configuração Base PE1 Sys Sysname PE1 Router id 1.1.1.1 interface LoopBack0 ip address 1.1.1.1 255.255.255.255 interface GigabitEthernet0/0/0 ip address 100.64.0.1 255.255.255.252ospf network-type p2p interface GigabitEthernet0/0/1 ip address 100.64.0.14 255.255.255.252 ospf network-type p2p quit ospf 1 area 0.0.0.0 network 100.64.0.0 0.0.0.3 network 100.64.0.12 0.0.0.3 network 1.1.1.1 0.0.0.0 Return Save PE2 Sys Sysname PE2 Router id 4.4.4.4 interface LoopBack0 ip address 4.4.4.4 255.255.255.255 interface GigabitEthernet0/0/0 ip address 100.64.0.9 255.255.255.252 ospf network-type p2p interface GigabitEthernet0/0/1 ip address 100.64.0.6 255.255.255.252 ospf network-type p2p quit ospf 1 area 0.0.0.0 network 100.64.0.4 0.0.0.3 network 100.64.0.8 0.0.0.3 network 4.4.4.4 0.0.0.0 Return Save P2 Sys Sysname P2 Router id 3.3.3.3 interface LoopBack0 ip address 3.3.3.3 255.255.255.255 interface GigabitEthernet0/0/0 ip address 100.64.0.13 255.255.255.252 ospf network-type p2p interface GigabitEthernet0/0/1 ip address 100.64.0.10 255.255.255.252 ospf network-type p2p interface GigabitEthernet0/0/2 ip address 100.64.0.18 255.255.255.252 ospf network-type p2p quit ospf 1 area 0.0.0.0 network 100.64.0.8 0.0.0.3 network 100.64.0.16 0.0.0.3 network 100.64.0.12 0.0.0.3 network 3.3.3.3 0.0.0.0 Return Save P1 Sys Sysname P1 Router id 2.2.2.2 interface LoopBack0 ip address 2.2.2.2 255.255.255.255 interface GigabitEthernet0/0/0 ip address 100.64.0.5 255.255.255.252 ospf network-type p2p interface GigabitEthernet0/0/1 ip address 100.64.0.2 255.255.255.252 ospf network-type p2p interface GigabitEthernet0/0/2 ip address 100.64.0.17 255.255.255.252 ospf network-type p2p quit ospf 1 area 0.0.0.0 network 100.64.0.0 0.0.0.3 network 100.64.0.4 0.0.0.3 network 100.64.0.16 0.0.0.3 network 2.2.2.2 0.0.0.0 return save 72 MPLS – Ativando o MPLS • Para ativar o MPLS precisamos efetuar 3 passos no router: • Setar o LSR ID da instância MPLS: [huawei] mpls lsr-id x.x.x.x • Ativar o MPLS no router: [huawei] mpls • Ativar o LDP: [huawei] mpls ldp • E mais 2 passos nas interfaces. Ex.: interface g0/0/0 mpls mpls ldp • A vizinhança se da via troca de mensagens em broadcast 73 MPLS – Configuração Base PE1 Sys mpls lsr-id 1.1.1.1 mpls mpls ldp interface GigabitEthernet0/0/0 mpls mpls ldp interface GigabitEthernet0/0/1 mpls mpls ldp PE2 Sys mpls lsr-id 4.4.4.4 mpls mpls ldp interface GigabitEthernet0/0/0 mpls mpls ldp interface GigabitEthernet0/0/1 mpls mpls ldp P2 Sys mpls lsr-id 3.3.3.3 mpls mpls ldp interface GigabitEthernet0/0/0 mpls mpls ldp interface GigabitEthernet0/0/1 mpls mpls ldp interface GigabitEthernet0/0/2 mpls mpls ldp P1 Sys mpls lsr-id 2.2.2.2 mpls mpls ldp interface GigabitEthernet0/0/0 mpls mpls ldp interface GigabitEthernet0/0/1 mpls mpls ldp interface GigabitEthernet0/0/2 mpls mpls ldp 74 MPLS Troubleshooting • display mpls route-state • display mpls lsp • display mpls ldp lsp • display mpls forwarding-table (não funciona no emulador) • display mpls entry summary • display mpls ldp session – informa se você estabeleceu vizinhança 75 MPLS – L2VPN/L2VC = Pseudowire • O túnel L2VC permite interligar 2 pontos remotos através do seu backbone MPLS; • Ele funciona exatamente como se fosse um cabo de rede físico. Porém é totalmente virtual como o próprio nome sugere; • Sua configuração é extremamente simples. Você precisa somente:: • No router: mpls l2vpn (para informar que vai usar l2vpns) • Fechar a sessão target: mpls ldp remote-peer NOMEDOPEER • Informar o ip do peer remoto: remote-ip 3.3.3.3 • Na interface cliente: mpls l2vc x.x.x.x yyy • x.x.x.x = ip de loopback do router vizinho • yyy = id da sessão que deve ser igual nos endpoints • Obs.: Você só precisa fechar 1 sessão target entre os endpoints porém pode criar um l2vc pra cada interface cliente caso deseje. 76 Mini Lab – L2VPN/L2VC • Comunicar em mesma LAN os PC1 e PC2 usando L2VC • Debug: disp mpls l2vc brief P2 Sys mpls l2vpn quit mpls ldp remote-peer P1 remote-ip 2.2.2.2 quit interface GigabitEthernet0/0/3 mpls l2vc 2.2.2.2 102 return save P1 Sys mpls l2vpn quit mpls ldp remote-peer P2 remote-ip 3.3.3.3 quit interface GigabitEthernet0/0/3 mpls l2vc 3.3.3.3 102 return save 77 Verificando os resultados Link estabelecido Conectividade L2 confirmada 78 MPLS – VPLS/VSI = Virtual Switch • Funcionalidade similar a L2VC porém designada para atender 2 ou mais pontos; • Necessita o mesmo suporte no router: mpls l2vpn. • Também são baseadas em sessões target do LDP; • Cada VSI é identificada por um nome e um ID; • Os nomes são uma identificação puramente local não vinculada a nenhuma propagação de informação; • Por outro lado o ID é um parâmetro importante para agrupar clientes ao mesmo Virtual Switch. 79 MPLS – VPLS/VSI = Virtual Switch • Se você já possui seu backbone MPLS e já ativou o suporte l2vpn, basta criar as VSIs conforme o exemplo abaixo: vsi NOMEDAVSI static pwsignal ldp vsi-id X peer Y.Y.Y.Y interface GigabitEthernet0/0/0 l2 binding vsi NOMEDAVSI 80 Mini Lab – L2VPN/VSI • Comunicar os clientes do PE1 e do PE2 ao mesmo Virtual Switch PE2 Sys mpls l2vpn quit mpls ldp remote-peer PE1 remote-ip 1.1.1.1 quit vsi VSWITCH1 static pwsignal ldp vsi-id 1 peer 1.1.1.1 interface GigabitEthernet0/0/2 l2 binding vsi VSWITCH1 interface GigabitEthernet0/0/3 l2 binding vsi VSWITCH1 PE1 Sys mpls l2vpn quit mpls ldp remote-peer PE2 remote-ip 4.4.4.4 quit vsi VSWITCH1 static pwsignal ldp vsi-id 1 peer 4.4.4.4 interface GigabitEthernet0/0/2 l2 binding vsi VSWITCH1 interface GigabitEthernet0/0/3 l2 binding vsi VSWITCH1 81 Analisando os resultados Se não estiver up analise os dados da vsi Se não estiver up analise os dados da sessão ldp interfaces participantes da VSI no PE interface cliente da VSI oposta display vsi verbose 82 MPLS – L3VPN - Basics • Ao contrário da VPLS funciona em L3; • Também conhecida como L3VPN; • O suporte a multiprotocolos do BGP permite distribuir rotas entre VRFs ou até para o próprio router; • Entretanto a rede informada deve ter suporte ao MPLS também. • Dentro da família Huawei é conhecida como VPN-INSTANCE 83 MPLS – L3VPN - Basics • O RD(route distinguisher) é usado para tornar os prefixos IPv4 únicos; • RD+(Prefixo IPv4) = Prefixo VPNv4; • Formato do prefixo: • IP:numérico; • ASN:numérico; 84 MPLS – L3VPN - Basics • Já os RT(Route target)s foram introduzidos para prover interconexão entre sites de diferentes empresas, conhecidos também como VPNs extranet; • Os RTs são “extensões” de communitys BGP usados para especificar quais prefixos VPNv4 serão importados pra tabela VRF; • Exportar um RT: o prefixo VPNv4 recebe uma “extensão” community BGP extra; • Importar um RT: a rota VPNv4 recebida é verificada para uma determinada RT. 85 MPLS – L3VPN - Exemplo 86 L3VPN Cenário 87 MPLS – L3VPN – Configuração Base • Se você já tem seu backbone MPLS basta subir o BGP e ativar o suporte a vpn4 entre os PE do iBGP conforme o exemplo abaixo: bgp 65000 peer 4.4.4.4 as-number 65000 peer 4.4.4.4 connect-interface LoopBack0 ipv4-family vpnv4 peer 4.4.4.4 enable 88 MPLS – L3VPN – Configuração Base • Em seguida criar a vpn-instance determinando os valores de RD a ser gerado e RTs a serem exportados/importados conforme o exemplo abaixo: ip vpn-instance CLIENTE-A ipv4-family route-distinguisher 65000:1 vpn-target 65000:1 export-extcommunity vpn-target 65000:4 import-extcommunity 89 MPLS – L3VPN – Configuração Base • Em seguida você deve atribuir a vpn-instance a uma determinada interface conforme o exemplo abaixo: interface GigabitEthernet0/0/2 ip binding vpn-instance CLIENTE-A ip address 10.0.0.1 255.255.255.252 90 MPLS – L3VPN – Configuração Base • Em seguida você deve definir o modo de comunicação CE-PE. Pra isso você pode usar BGP ou OSPF; • Em ambos os casos devemos vincular a VPNv4 a esta instancia especifica de comunicação CE-PE; ipv4-family vpn-instance CLIENTE-A peer 10.0.0.2 as-number 65001 peer 10.0.0.2 substitute-as peer 10.0.0.2 route-policy SET-GERENCIA export ospf 10 vpn-instance CLIENTE-A import-route ???? area 0.0.0.0network 10.0.0.0 0.0.0.3 91 LAB – VRF – Primeiro passo • O objetivo é criar comunicação entre PC1 e PC4 e entre o PC2 e PC3; • Caso você tenha resetado os routers, repita os passos dos slides 59 e 61 e em seguida vamos estabelecer as sessões iBGP; PE1 bgp 65000 peer 2.2.2.2 as-number 65000 peer 2.2.2.2 connect-interface LoopBack0 peer 4.4.4.4 as-number 65000 peer 4.4.4.4 connect-interface LoopBack0 ipv4-family unicast peer 2.2.2.2 enable PE2 bgp 65000 peer 2.2.2.2 as-number 65000 peer 2.2.2.2 connect-interface LoopBack0 peer 1.1.1.1 as-number 65000 peer 1.1.1.1 connect-interface LoopBack0 ipv4-family unicast peer 2.2.2.2 enable P1 bgp 65000 peer 1.1.1.1 as-number 65000 peer 1.1.1.1 connect-interface LoopBack0 peer 3.3.3.3 as-number 65000 peer 3.3.3.3 connect-interface LoopBack0 peer 4.4.4.4 as-number 65000 peer 4.4.4.4 connect-interface LoopBack0 ipv4-family unicast peer 1.1.1.1 enable peer 1.1.1.1 reflect-client peer 3.3.3.3 enable peer 3.3.3.3 reflect-client peer 4.4.4.4 enable peer 4.4.4.4 reflect-client P2 bgp 65000 peer 2.2.2.2 as-number 65000 peer 2.2.2.2 connect-interface LoopBack0 ipv4-family unicast peer 2.2.2.2 enable 92 LAB – VRF – Segundo passo • Ativar o suporte a VPNv4 nos routers PE1 e PE2; • Obs.: Caso você queira utilizar o vpn-target você será obrigado a utilizar filtros para efetuar as marcações PE1 bgp 65000 ipv4-family vpnv4 undo policy vpn-target peer 4.4.4.4 enable PE2 bgp 65000 ipv4-family vpnv4 undo policy vpn-target peer 1.1.1.1 enable route-policy RP-ClienteA-in permit node 10 if-match ip-prefix PL-CLIENTE-X apply extcommunity rt 65000:X 93 LAB – VRF – Terceiro passo • Criar as VPN-INSTANCEs e atribui-las as interfaces em PE1 e PE2 PE1 ip vpn-instance CLIENTE-A ipv4-family route-distinguisher 65000:1 vpn-target 65000:1 export-extcommunity vpn-target 65000:4 import-extcommunity ip vpn-instance CLIENTE-B ipv4-family route-distinguisher 65000:2 vpn-target 65000:2 export-extcommunity vpn-target 65000:3 import-extcommunity PE2 ip vpn-instance CLIENTE-B ipv4-family route-distinguisher 65000:3 vpn-target 65000:3 export-extcommunity vpn-target 65000:2 import-extcommunity ip vpn-instance CLIENTE-A ipv4-family route-distinguisher 65000:4 vpn-target 65000:4 export-extcommunity vpn-target 65000:1 import-extcommunity PE1 interface GigabitEthernet0/0/2 ip binding vpn-instance CLIENTE-A ip address 10.0.0.1 255.255.255.252 interface GigabitEthernet0/0/3 ip binding vpn-instance CLIENTE-B ip address 10.0.16.1 255.255.255.252 PE2 interface GigabitEthernet0/0/2 ip binding vpn-instance CLIENTE-B ip address 10.0.0.1 255.255.255.252 interface GigabitEthernet0/0/3 ip binding vpn-instance CLIENTE-A ip address 10.0.16.1 255.255.255.252 94 LAB – VRF – Quarto passo • Estabelecer a comunicação PE-CE utilizando BGP PE1 bgp 65000 ipv4-family vpn-instance CLIENTE-A peer 10.0.0.2 as-number 65001 peer 10.0.0.2 substitute-as peer 10.0.0.2 route-policy RP-ClienteA-in import peer 10.0.0.2 route-policy RP-ClienteA-out export ipv4-family vpn-instance CLIENTE-B peer 10.0.16.2 as-number 65002 peer 10.0.16.2 substitute-as peer 10.0.16.2 route-policy RP-ClienteB-in import peer 10.0.16.2 route-policy RP-ClienteB-out export PE2 bgp 65000 ipv4-family vpn-instance CLIENTE-A peer 10.0.16.2 as-number 65002 peer 10.0.16.2 substitute-as peer 10.0.16.2 route-policy RP-ClienteA-in import peer 10.0.16.2 route-policy RP-ClienteA-out export ipv4-family vpn-instance CLIENTE-B peer 10.0.0.2 as-number 65001 peer 10.0.0.2 substitute-as peer 10.0.0.2 route-policy RP-ClienteB-in import peer 10.0.0.2 route-policy RP-ClienteB-out export 95 LAB – VRF – Quarto passo – continuação... • Estabelecer a comunicação PE-CE utilizando BGP CA-Site1 Sys Sysname CA-Site1 interface GigabitEthernet0/0/2 ip address 10.0.0.2 30 interface GigabitEthernet0/0/0 ip address 192.168.1.1 24 interface LoopBack0 ip address 11.11.11.1 32 bgp 65001 peer 10.0.0.1 as-number 65000 network 11.11.11.1 255.255.255.255 network 192.168.1.0 255.255.255.0 CB-Site1 Sys Sysname CB-Site1 interface GigabitEthernet0/0/2 ip address 10.0.0.2 30 interface GigabitEthernet0/0/0 ip address 192.168.3.1 24 interface LoopBack0 ip address 22.22.22.1 32 bgp 65001 peer 10.0.0.1 as-number 65000 network 22.22.22.1 255.255.255.255 network 192.168.3.0 255.255.255.0 CA-Site2 Sys Sysname CA-Site2 interface GigabitEthernet0/0/3 ip address 10.0.16.2 30 interface GigabitEthernet0/0/0 ip address 192.168.4.1 24 interface LoopBack0 ip address 11.11.11.2 32 bgp 65002 peer 10.0.16.1 as-number 65000 network 11.11.11.2 255.255.255.255 network 192.168.4.0 255.255.255.0 CB-Site2 Sys Sysname CB-Site2 interface GigabitEthernet0/0/3 ip address 10.0.16.2 30 interface GigabitEthernet0/0/0 ip address 192.168.2.1 24 interface LoopBack0 ip address 22.22.22.2 32 bgp 65002 peer 10.0.16.1 as-number 65000 network 22.22.22.2 255.255.255.255 network 192.168.2.0 255.255.255.0 PE1 PE2 96 LAB – VRF – Analisando os resultados Verificar sessões estabelecidas: disp bgp vpnv4 all peer 97 LAB – VRF – Analisando os resultados Verificar em PE1 ou PE2 o recebimento correto das rotas conforme os RDs gerados disp bgp vpnv4 all routing-table Obs.: Perceba que mesmo chegando todos RDs em PE1 ou PE2, os clientes A e B só instalam as rotas que você permitiu na vpn-instance de cada 98 LAB – VRF – Analisando os resultados Verificar as tabelas de rotas dos CA e CB disp bgp all routing-table 99 LAB – VRF – Analisando os resultados Analisando as conectividades. (Lembrem-se de configurar as LANs dos PCs) Veja que para testar a conectividade de CE para CE você precisa informar a Loopback para garantir alcance. Veja também que mesmo o PE sendo o mesmo para ambos os sites, só vai existir comunicação entre os CE que você permitiu. 100 VRF - Troubleshooting • disp bgp vpnv4 vpn-instance CLIENTE-A routing-table • disp bgp vpnv4 vpn-instance CLIENTE-B routing-table • disp bgp vpnv4 vpn-instance CLIENTE-A peer • disp bgp vpnv4 vpn-instance CLIENTE-B peer • ping -vpn-instance CLIENTE-A 10.0.0.2 • ping -vpn-instance CLIENTE-B 10.0.0.2 • disp ip routing-table vpn-instance CLIENTE-A • disp ip routing-table vpn-instance CLIENTE-B • tracert -vpn-instance CLIENTE-A 10.0.0.2 • tracert -vpn-instance CLIENTE-B 10.0.0.2 101 Obrigado a todos! • Meus contatos: • Email: ramires@alivesolutions.com.br • Fanpage: www.facebook.com/AliveSolutions • Website: www.alivesolutions.com.br • Grupo de discussão 102 https://chat.whatsapp.com/BEwLDw2G1XEJJKkyaqFQNk http://alivesolutions.com.br http://www.facebook.com/AliveSolutions http://www.alivesolutions.com.br/
Compartilhar