Cisco网络技术论坛

返回   Cisco网络技术论坛 > 网络产品区 > 其它网络产品 > 中兴

发表新主题 回复
 
主题工具
旧 2017-10-10, 16:19   #1
原子蛋
版主
级别:16 | 在线时长:331小时 | 升级还需:26小时级别:16 | 在线时长:331小时 | 升级还需:26小时级别:16 | 在线时长:331小时 | 升级还需:26小时级别:16 | 在线时长:331小时 | 升级还需:26小时
 
原子蛋 的头像
 
注册日期: Apr 2003
住址: 山东济南
帖子: 604
积分:1
精华:3
现金:1735金币
资产:1735金币
声望力: 15
声望: 10 原子蛋 向着好的方向发展
声望力: 15
原子蛋 向着好的方向发展
ZESR技术结合BGP/MPLS VPN开局介绍

ZXR10 89系列交换机
ZESR技术结合BGP/MPLS VPN开局介绍

关键字:ZESR 、BGP/MPLS VPN、OSPF、RIP、zesr linke-hello special

一、 网络组网情况介绍
1.1、网络组网图


1.2、组网描述
在环上每个县(市)、区检察院节点布署一台中兴通讯的万兆MPLS路由交换机ZXR10 8902,在市检察院节点布署一台中兴通讯的万兆MPLS路由交换机ZXR10 8908,通过和CWDM的GE业务端口互联组成3个以太环网,采用中兴的ZESR智能以太环网技术,实现以太网环路保护。所有环上节点组成MPLS域,每台核心交换机作为本地业务的PE设备,同时也作为别的点的P设备,进行存储各对应于各个site的VRF;并根据不同的业务、不同部门划分不同的VPN。
其中市检察院节点为3个环的相交节点,考虑到该节点设备需要负责完成3个环上业务的交换、转发以及其他业务功能的处理,对设备的性能、功能和可靠性上都有较高的要求,所以建议在此节点选择部署的是中兴通讯高端万兆MPLS路由交换机ZXR10 8908,进而提高整个网络的高处理能力和可靠性。监狱和看守所两个点各布署一台全千兆智能路由交换机ZXR10 5928,通过千兆链路与市检察院节点相连。

二、 开局实施步骤
2.1、ZESR二层环路保护配置
本网络采用中兴ZESR环网保护技术保护倒换时间为≤50MS,带宽利用率高,同时ZESR能与VRRP、OSPF、BGP等多种三层协议共存,也可与STP、RSTP等二层协议共存。ZESR可通过任何支持802.1Q的设备隧道传送协议帧数据。ZESR也可以通过第二层多协议标记交换(MPLS)隧道传送协议帧数据,从而实现与MPLS的共存。
本网络共有三个zesr环网,在每个环设一个zesr master节点设备,每个环中设备均启用一个control vlan和protect vlan。市局ZXR10 8908设备为三个zesr环的交汇点,其主要配置如下:
保护实例配置:
spanning-tree enable
spanning-tree mst configuration ////增加实例为三个环的protect vlan
instance 1 vlan 101
instance 2 vlan 201
instance 3 vlan 301
环上端口的添加:
zesr ctrl-vlan 100 protect-instance 1
zesr ctrl-vlan 100 major-level role master gei_3/1 gei_3/2
zesr ctrl-vlan 200 protect-instance 2
zesr ctrl-vlan 200 major-level role transit gei_4/1 gei_4/2
zesr ctrl-vlan 300 protect-instance 3
zesr ctrl-vlan 300 major-level role transit gei_5/1 gei_5/2
zesr port-detect fast
端口配置:
interface gei_3/1
switchport mode hybrid
switchport hybrid native vlan 100
switchport hybrid vlan 100-101 tag
spanning-tree disable
!
interface gei_3/2
switchport mode hybrid
switchport hybrid native vlan 100
switchport hybrid vlan 100-101 tag
spanning-tree disable
需要注意的是,ZESR环网保护link-hello包是根据互联端口的up/down来判断环路的状态的,在默认情况zesr link-hello模式为normal。本网络中ZXR10 89系列设备通过光传输设备进行连接,设备之间通ZESR进行环网保护,由于之间有启用link-hello功能,导致环网中任一 transit节点重启或是链路断开,其它设备都不能检测到,master节点不会进行zesr切换,由些会使环网中某些设备路由丢失不能恢复。从而会影响环网中的节点设备互联互通,甚至连设备之间直连接口地址无法互通,更严重的会导致整个环路的节点设备全部瘫局。所以在zesr环网开局时就必须要把zesr link-hello模式改为special。万一开局时没有把zesr link-hello模式改为special,且不可直接在环网中节点设备上做link-hello模式更改,除非每个环路节点都有配合人员一起更改方可执行,独自执行该命令操作会造成环网节点瘫局。
为了解决上述问题,通过在设备之间启用link-hello来检测端口状态,使设备在断链或是重启过程中,其它设备都能检测到激活zesr切换。在配置link-hello过程中会使设备之间进行连接的受保护的vlan被block,导致各设备之间业务vlan断开,不能够通过远程telnet到设备上,为了避免出现些现象,在进行配置link-hello时,首先在设备之间配置一个管理vlan,配置方案如下:
8908与8902之间创建vlan 4001
8908 vlan4001 : ip address172.16.0.97/30
8902 vlan4001 : ip address 172.16.0.98/30
各接口配置调试直连接口可以ping通地,加入ospf路由中,使环中各设备都能查看到路由,并能ping通所配置的地址。配置并调试完成后,通过远程telnet 其中一台在启用link-hello时远程连接不受影响的设备,并通过show zesr port-mode查看更换后的link-hello模式。后看到zesr状态up起来。该环的lihk-hello启用完成。
在zesr环路收敛过程中ping包会丢失一个数据包,主要是由于在环路切换时互联端口之间forward与block状态更换,重新学习相邻节点的arp导致,可以通过绑定环内节点设备的arp来解决ping包会丢包的现象。注意绑定方式为permanent,具体操作如下:
interface vlan 101
ip address 172.16.0.1 255.255.255.224
out_index 51
set arp permanent 172.16.0.4 001e.7395.30f1
set arp permanent 172.16.0.3 001e.7395.31b1
set arp permanent 172.16.0.2 001e.7395.3171

2.2、公网路由建立
通过ZESR建立二层环路的保护,在公网路由设计时采用OSPF动态路由协议,网络中的每个环路我们可以视为一个ospf广播域,所有环网设备均在ospf骨干域内,网络统一划分为0域中。公网ospf协议结合环路保护技术ZESR形成ospf广播域网络宣告公网路由,各业务局点采用mpls vpn方式,业务路由宣告采用bgp方式宣告,在bgp协议中重分发节点业务地址。同时做到所有业务地址均不再公网路由表中存在。
上相关配置及接口相关参数总结如下:
OSPF相关数据 配置
区域号 0
router-id loopback接口地址
ospf路由优先级 采用缺省,不做修改
cost 默认
hello间隔 默认
是否认证 否
设备中ospf协议主要配置方式如下:(市8908设备)
router ospf 100
router-id 172.16.0.254
network 172.16.0.0 0.0.0.31 area 0.0.0.0
network 172.16.0.32 0.0.0.31 area 0.0.0.0
network 172.16.0.64 0.0.0.31 area 0.0.0.0
network 172.16.0.254 0.0.0.0 area 0.0.0.0
ospf诊断方式推荐:show ip ospf neighbor、show ip ospf database、show ip route等。通过对邻居状态、database表项及路由表查看来获知公网三层路由建立是否正确。
2.3、私网路由建立
为实现系统内部不用业务间的有效隔离和传输,本次数据网建设推荐使用MPLS VPN技术,MPLS的VPN技术是当前唯一能大规模提供全互联模式高速通信服务的技术,本次IP城域网GE环网配置的所有中兴通讯核心骨干89系列交换机均支持MPLS技术,组成MPLS域,各节点设备启用OSPF路由协议,同时运行BGP协议,交换VPN的路由信息,运行LDP标签分发协议,形成标签转发表,根据标签进行tag switching;每台核心交换机作为本地业务的PE设备,同时也作为别的点的P设备,进行存储各对应于各个site的VRF;并根据不同的业务、不同部门划分不同的VPN,实现一个安全、先进、灵活,高带宽、高可靠性的多业务网络平台。
MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(多协议标记交换)技术,简化核心设备的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
传统BGP/MPLS VPN网络中对于网络中设备的CE、PE、P设备有明确的划分,但是本次组网中的CE、PE、P设备均由环路中的89设备来完成,即每台89设备既是本局点的CE、PE设备,又是对端局点的P设备。
具体配置PE,PE上的配置按六步走:
1. 定义并且配置VRF
2. 定义并且配置RD
3. 定义RT,并且配置导入导出策略
4. 配置MP-BGP协议
5. 配置PE到CE的路由协议
6. 配置连接CE的接口,将该接口和前面定义的VRF联系起来。
本次南通市人民检察院共有10个局点,每个局点有5个VRF,分别为办公、侦察指挥、视频会议、应用服务器、安全服务器等5个VRF,市局做为市检察院与省检察院的出口,所以在市局89设备多增加一个省网VRF。其中要求办公VRF访问省网VRF;办公VRF和侦察指挥VRF与应用服务器VRF和安全服务器VRF之间实现互访;视频会议VRF做为独立的VRF,不与任何业务之间有互通关系。
根据上述业务VRF的划分,市区89与省网路由器之间走RIPv2协议,每个PE设备之间走BGP协议,整个公网路由走OSPF协议。
其中市局89PE设备主要配置如下:
ip vrf bangong ////定义一个VRF,名字定义为bangong
rd 100:1 ////定义RD值,确保全局唯一
route-target import 100:1 ////定义导入策略
route-target import 400:1 ////定义其他VRF的导入策略
route-target import 500:1
route-target import 600:1
route-target export 100:1 ////定义导出策略
!
ip vrf zhencha
rd 200:1
route-target import 200:1
route-target import 400:1
route-target import 500:1
route-target export 200:1
!
ip vrf shipin
rd 300:1
route-target import 300:1
route-target export 300:1
!
ip vrf anquansvr
rd 500:1
route-target import 500:1
route-target import 100:1
route-target import 200:1
route-target import 400:1
route-target export 500:1
!
ip vrf yingyongsvr
rd 400:1
route-target import 400:1
route-target import 100:1
route-target import 200:1
route-target import 600:1
route-target import 500:1
route-target export 400:1
!
ip vrf shengwang
rd 600:1
route-target import 100:1
route-target import 600:1
route-target import 400:1
route-target export 600:1
(注意:私网各个VRF之间的互联互通,主要是通过在本地VRF中对其他VRF的route-target import的导入和导出实现访问控制,从而做到对私网VPN业务的安全接入的控制。)
router rip ////配置市局至省网的路由协议RIP
version 2
address-family ipv4 vrf shengwang ////确保向省网学习路由表只存在于省网VRF中
no auto-summary ////由于该局所有整个检察院网络的业务地址均在10.0.0.0/8大网段中划分子网,必须配置不做路由汇总的命令,否则会出现路由回执错误,导致与省网路由不通。
version 2
network 10.101.41.32 0.0.0.7
redistribute connected ////重分布本地直连业务
redistribute static ////为了保证与省网路由的通讯,减少网络设备的路由表,配置了一条静态路由指向省网
redistribute bgp-ext ////该命令此处应该属于多余,可以不配置。
redistribute bgp-int ////重分布BGP学习到的路由
$
!
router bgp 100 ////配置BGP协议
no synchronization
redistribute static
neighbor 172.16.0.253 remote-as 100 ////和其他9个站点PE建立邻居关系
neighbor 172.16.0.253 update-source loopback1
neighbor 172.16.0.252 remote-as 100
neighbor 172.16.0.252 update-source loopback1
neighbor 172.16.0.251 remote-as 100
neighbor 172.16.0.251 update-source loopback1
neighbor 172.16.0.250 remote-as 100
neighbor 172.16.0.250 update-source loopback1
neighbor 172.16.0.249 remote-as 100
neighbor 172.16.0.249 update-source loopback1
neighbor 172.16.0.248 remote-as 100
neighbor 172.16.0.248 update-source loopback1
neighbor 172.16.0.247 remote-as 100
neighbor 172.16.0.247 update-source loopback1
neighbor 172.16.0.246 remote-as 100
neighbor 172.16.0.246 update-source loopback1
neighbor 172.16.0.245 remote-as 100
neighbor 172.16.0.245 update-source loopback1

address-family ipv4 vrf bangong ////为VPN用户配置IPv4地址家族,使VRF bangong 所管辖的路由表中的路由 从新发布到BGP协议中
redistribute connected ////重分布直连路由
redistribute static ////将省院的静态路由重分布至BGP协议中,减少设备的私网路由表
$

address-family ipv4 vrf zhencha
redistribute connected
redistribute static
$

address-family ipv4 vrf shipin
redistribute connected
redistribute static
$

address-family ipv4 vrf yingyongsvr
redistribute connected
redistribute static
$

address-family ipv4 vrf anquansvr
redistribute connected
redistribute static
$

address-family ipv4 vrf shengwang
redistribute connected
redistribute static
$

address-family vpnv4 ////具体市局PE和其他PE之间的关系,使得市局PE和其他PE之间能够交换VPNv4的路由。
neighbor 172.16.0.253 activate
neighbor 172.16.0.252 activate
neighbor 172.16.0.251 activate
neighbor 172.16.0.250 activate
neighbor 172.16.0.249 activate
neighbor 172.16.0.248 activate
neighbor 172.16.0.247 activate
neighbor 172.16.0.246 activate
neighbor 172.16.0.245 activate
$
!
mpls ip ////启用MPLS IP的转发功能
mpls ldp router-id loopback1 force
!
ip route vrf shengwang 10.0.0.0 255.0.0.0 10.101.41.33 ////为了保证至省网路由的稳定性,配置一条静态路由作保障,同时可以通过该路由减少私网路由表的条目。
!
interface vlan 101
ip address 172.16.0.1 255.255.255.224
out_index 51
mpls ip ////在与所有其他相邻PE互联的接口启用标签交换机
!
interface vlan 201
ip address 172.16.0.33 255.255.255.224
out_index 52
mpls ip
!
interface vlan 301
ip address 172.16.0.65 255.255.255.224
out_index 53
mpls ip

interface vlan 1000 ////配置连接CE设备的接口
ip vrf forwarding bangong ////使该接口与前面配置的bangong VRF联系起来
ip address 10.132.195.1 255.255.255.0
out_index 57
!
interface vlan 1100
ip vrf forwarding zhencha
ip address 10.132.91.97 255.255.255.224
out_index 58
(注意:在做本地VRF业务创建时需要注意ip vrf forwarding bangong,此处的办公VRF名称要与你创建的VRF名称必须一致,且需先配置该命令再配置业务的网关地址。倘若先配置了业务网关地址,再配置ip vrf forwarding 命令,之前配置的IP地址无效,需要重新做配置,这点需要注意。)
其他局点的PE设备配置基本与市局PE设备一致,这里只列举一个局点PE设备的配置:
ip vrf bangong ////定义一个VRF,名字定义为bangong
rd 100:1 ////定义RD值,确保全局唯一
route-target import 100:1 ////定义导入策略
route-target import 400:1 ////定义其他VRF的导入策略
route-target import 500:1
route-target import 600:1
route-target export 100:1 ////定义导出策略

!
ip vrf zhencha
rd 200:1
route-target import 200:1
route-target import 400:1
route-target import 500:1
route-target export 200:1
!
ip vrf shipin
rd 300:1
route-target import 300:1
route-target export 300:1
!
ip vrf anquansvr
rd 500:1
route-target import 500:1
route-target import 100:1
route-target import 200:1
route-target import 400:1
route-target export 500:1
!
ip vrf yingyongsvr
rd 400:1
route-target import 400:1
route-target import 100:1
route-target import 200:1
route-target import 500:1
route-target import 600:1
route-target export 400:1
!
router bgp 100 ////配置BGP协议
neighbor 172.16.0.254 remote-as 100 ////和其他9个站点PE建立邻居关系
neighbor 172.16.0.254 update-source loopback1
neighbor 172.16.0.252 remote-as 100
neighbor 172.16.0.252 update-source loopback1
neighbor 172.16.0.251 remote-as 100
neighbor 172.16.0.251 update-source loopback1
neighbor 172.16.0.250 remote-as 100
neighbor 172.16.0.250 update-source loopback1
neighbor 172.16.0.249 remote-as 100
neighbor 172.16.0.249 update-source loopback1
neighbor 172.16.0.248 remote-as 100
neighbor 172.16.0.248 update-source loopback1
neighbor 172.16.0.247 remote-as 100
neighbor 172.16.0.247 update-source loopback1
neighbor 172.16.0.246 remote-as 100
neighbor 172.16.0.246 update-source loopback1
neighbor 172.16.0.245 remote-as 100
neighbor 172.16.0.245 update-source loopback1

address-family ipv4 vrf bangong ////为VPN用户配置IPv4地址家族,使VRF bangong 所管辖的路由表中的路由 从新发布到BGP协议中
redistribute connected ////重分布直连路由
$

address-family ipv4 vrf zhencha
redistribute connected
$

address-family ipv4 vrf shipin
redistribute connected
$

address-family ipv4 vrf yingyongsvr
redistribute connected
$

address-family ipv4 vrf anquansvr
redistribute connected
$

address-family vpnv4 ////具体市局PE和其他PE之间的关系,使得市局PE和其他PE之间能够交换VPNv4的路由。
neighbor 172.16.0.254 activate
neighbor 172.16.0.252 activate
neighbor 172.16.0.251 activate
neighbor 172.16.0.250 activate
neighbor 172.16.0.249 activate
neighbor 172.16.0.248 activate
neighbor 172.16.0.247 activate
neighbor 172.16.0.246 activate
neighbor 172.16.0.245 activate
$
!
mpls ip ////启用MPLS IP的转发功能
mpls ldp router-id loopback1 force
!
interface vlan 101
ip address 172.16.0.2 255.255.255.224
out_index 16
mpls ip ////在与所有其他相邻PE互联的接口启用标签交换机
!
interface vlan 1000 ////配置连接CE设备的接口
ip vrf forwarding bangong ////使该接口与前面配置的bangong VRF联系起来
ip address 10.132.92.129 255.255.255.128
out_index 17
!
interface vlan 1100
ip vrf forwarding zhencha
ip address 10.132.92.49 255.255.255.240
out_index 18
!
interface vlan 1200
ip vrf forwarding shipin
ip address 10.132.92.41 255.255.255.248
out_index 19

2.4、版本问题说明
在ZXR10 89系列交换机上面开启MPLS 三层VPN业务,现场开局需要注意以下几个版本版本带来的问题:
1、V2.8.02.B.24.P06版本,启用RIP协议,会引起内存溢出故障,导致RIP路由协议宣告的路由逐渐丢失。
2、V2.8.02.B.24.P09版本,会导致不通局点之间VRF互访不通现象。
3、V2.8.02.B.24.P10版本,会导致本地VRF之间互访速度慢的现象。
4、V2.8.02.B.24.P11版本及以后版本解决上述所有问题。

2.5、设备主要配置

此帖于 2017-10-10 16:23 被 原子蛋 编辑。

你每购买100元倭货,就会:
1.为倭国厂家增加40元毛利收入;
2.为倭国企业增加20元扩张资本;
3.送倭国政府5元的税收收入;
4.给倭国自慰队增加10颗子弹;
5.多印8页反华教科书
http://down.cn366.com/images/DOWNTOP.gif
原子蛋 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转

相似的主题
主题 主题作者 版面 回复 最后发表
问一个比较菜的问题:MPLS VPN的内层标签是BGP分的还是MPLS分的? MuChina Cisco技术 16 2012-04-18 14:04
mpls 技术架构 里custer-one 和custer-two vpn要通信,他们的ip地址能重合吗?还是要统一? syolon Cisco技术 14 2009-04-19 19:05
论坛发展建议:可否开一个MPLS/VPN NGN之类的新技术之类的板块 wangzhaohua 论坛管理 1 2009-01-05 03:59
请教高手MPLS BGP VPN的规划问题 t57631 华为、H3C 2 2008-12-23 17:09
MPLS VPN 与IPSec VPN技术比较 浩海孤帆 网络应用 2 2004-09-07 00:23


所有时间均为北京时间。现在的时间是 13:32


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2017,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号