CHƯƠNG IV: ỨNG DỤNG MPLS-VPN TRÊN THIẾT BỊ CISCO
4.1 Giới thiệu router cisco 2800
Kiến trúc định tuyến tích hợp dịch vụ của dòng sản phẩm Cisco 2800 cung cấp hiệu năng, độ khả dụng và độ tin cậy cần thiết cho các ứng dụng kinh doanh quan trọng trong hệ thống thông tin hiện đại. Các tính năng của thiết bị định tuyến bao gồm
Bảo mật:
Voice:
4.2 Mô hình ứng dụng MPLS trên thiết bị cisco
4.3 Yêu cầu:
4.4 Thực hiện
4.4.1 TẠO MPLS CORE
Trên R2PE:
R2PE(config)#router ospf 1
R2PE(config-router)# network 2.2.2.2 0.0.0.0 area 0
R2PE(config-router)# network 192.168.23.0 0.0.0.255 area 0
Trên R3P:
R3P(config)#router ospf 1
R3P(config-router)# network 192.168.34.0 0.0.0.255 area 0
R3P(config-router)# network 192.168.23.0 0.0.0.255 area 0
Trên R4PE:
R3P(config)#router ospf 1
R3P(config-router)# network 4.4.4.4 0.0.0.0 area 0
R3P(config-router)# network 192.168.34.0 0.0.0.255 area 0
Ping kiểm tra.
R2PE#ping 4.4.4.4 source 2.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/87/120 ms
R2PE(config)# interface s1/3
R2PE(config-if)#mpls label protocol ldp
R2PE(config-if)#mpls ip
R3P(config)# interface s1/2
R3P(config-if)#mpls label protocol ldp
R3P(config-if)#mpls ip
R3P(config)# interface s1/0
R3P(config-if)#mpls label protocol ldp
R3P(config-if)#mpls ip
R4PE(config)# interface s1/3
R4PE(config-if)#mpls label protocol ldp
R4PE(config-if)#mpls ip
Kiểm tra việc MPLS đã thiết lập được láng giềng LDP. Thực hiện trên R3P.
Xem bảng forwarding-table trên R2-PE.
R2PE(config)#router bgp 24
R2PE(config-router)#neighbor 4.4.4.4 remote-as 24
R2PE(config-router)#neighbor 4.4.4.4 remote-as 24
R4PE(config)#router bgp 24
R4PE(config-router)#neighbor 2.2.2.2 remote-as 24
R4PE(config-router)#neighbor 2.2.2.2 remote-as 24
R2PE(config)#router bgp 24
R2PE(config-router)#address-family vpnv4
R2PE(config-router-af)#neighbor 4.4.4.4 activate
R4PE(config)#router bgp 24
R4PE(config-router)#address-family vpnv4
R4PE(config-router-af)#neighbor 2.2.2.2 activate
4.4.2 Tạo MPLS – VPN cho các khách hàng theo yêu cầu 1: khách hàng A chạy static route, khách hàng B chạy RIPv2.
+ Bước 1: Tạo VRF cho khách hàng A trên các router PE (ở đây là các router R2PE và R4PE)
R2PE(config)#ip vrf A
R2PE(config-vrf)# rd 15:15
R2PE(config-vrf)#route-target export 1:1
R2PE(config-vrf)#route-target import 5:5
R4PE(config)#ip vrf A
R4PE(config-vrf)#rd 15:15
R4PE(config-vrf)#route-target export 5:5
R4PE(config-vrf)#route-target import 1:1
+Bước 2: Gán các VRF này vào các cổng tương ứng và tiến hành đặt địa chỉ IP:
R2PE(config)#interface f1/0
R2PE(config-if)#ip vrf forwarding A
R2PE(config-if)#ip address 192.168.12.2 255.255.255.0
R4PE(config)#interface f2/0
R4PE(config-if)#ip vrf forwarding A
R4PE(config-if)#ip address 192.168.45.4 255.255.255.0
+Bước 3: Thực hiện đặt địa chỉ IP như đã chỉ ra trên sơ đồ cho khách hàng A. Ping kiểm tra giữa PE và CE:
R2#ping vrf A 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/69/156 ms
R4#ping vrf A 192.168.45.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.45.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/46/68 ms
+Bước 4: Chạy static route với khách hàng A:
R4PE(config)#ip route vrf A 5.5.5.0 255.255.255.0 192.168.45.5
R2PE(config)#ip route vrf A 1.1.1.0 255.255.255.0 192.168.12.1
R1A(config)#ip route 5.5.5.0 255.255.255.0 192.168.12.2
R5A(config)#ip route 1.1.1.0 255.255.255.0 192.168.45.4
+Bước 5: Trên các router PE, thực hiện redistribute các route static vào MP – BGP để các route này có thể đi được tới đầu kia của khách hàng:
+ Bước 6: Kiểm tra trên các router PE rằng đã nhận được các route static từ đầu kia, và ping kiểm tra
Với khách hàng B (chạy RIPv2):
R2PE(config)#ip vrf B
R2PE(config-vrf)# rd 67:67
R2PE(config-vrf)#route-target export 6:6
R2PE(config-vrf)#route-target import 7:7
R4PE(config)#ip vrf B
R4PE(config-vrf)#rd 67:67
R4PE(config-vrf)#route-target export 7:7
R4PE(config-vrf)#route-target import 6:6
R2PE(config)#interface f1/1
R2PE(config-if)#ip vrf forwarding B
R2PE(config-if)#ip address 192.168.12.2 255.255.255.0
R4PE(config)#interface f2/1
R4PE(config-if)#ip vrf forwarding B
R4PE(config-if)#ip address 192.168.45.4 255.255.255.0
Ping kiểm tra
R2PE# ping vrf B 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/41/64 ms
R4PE#ping vrf B 192.168.45.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.45.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/44/76 ms
R2PE(config)# router rip
R2PE(config-router)# address-family ipv4 vrf B
R2PE(config-router-af)# version 2
R2PE(config-router-af)# network 192.168.12.0
R2PE(config-router-af)# no auto-summary
R4PE(config)# router rip
R4PE(config-router)# address-family ipv4 vrf B
R4PE(config-router-af)# version 2
R4PE(config-router-af)# network 192.168.45.0
R4PE(config-router-af)# no auto-summary
R1B(config)# router rip
R1B(config-router)# version 2
R1B(config-router)# network 1.0.0.0
R1B(config-router)# network 192.168.12.0
R1B(config-router)# no auto-summary
R5B(config)# router rip
R5B(config-router)# version 2
R5B(config-router)# network 5.0.0.0
R5B(config-router)# network 192.168.45.0
R5B(config-router)# no auto-summary
R2PE(config)#router bgp 24
R2PE(config-router)#address-family ipv4 vrf B
R2PE(config-router-af)#redistribute rip
R4PE(config)#router bgp 24
R4PE(config-router)#address-family ipv4 vrf B
R4PE(config-router-af)#redistribute rip
R2PE(config)# router rip
R2PE(config-router)# address-family ipv4 vrf B
R2PE(config-router-af)#redistribute bgp 24 metric 5
R4PE(config)# router rip
R4PE(config-router)# address-family ipv4 vrf B
R4PE(config-router-af)#redistribute bgp 24 metric 5
R1B#ping 5.5.5.5 source 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 128/181/224 ms
R5B#ping 1.1.1.1 source 5.5.5.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 5.5.5.5
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 156/191/236 ms
4.1 Giới thiệu router cisco 2800
Kiến trúc định tuyến tích hợp dịch vụ của dòng sản phẩm Cisco 2800 cung cấp hiệu năng, độ khả dụng và độ tin cậy cần thiết cho các ứng dụng kinh doanh quan trọng trong hệ thống thông tin hiện đại. Các tính năng của thiết bị định tuyến bao gồm
- Một thiết bị có cấu trúc module với một dải rất rộng các tùy chọn về giao diện, hỗ trợ WIC/VIC/VWIC, AIM.
- Có 2 cổng định tuyến tích hợp tốc độ 10/100/1000 Mbps.
- Với tùy chọn về cấp nguồn qua mạng Ethernet (PoE) cho cấu hình 64 ports 10/100 Mbps, để cấp nguồn DC đến các thiết bị mạng như là máy điện thoại IP.
- Hỗ trợ các tiêu chuẩn mạng LAN vô tuyến 802.11a/b/g.
- Triển khai và cài đặt các dịch vụ một cách dể dàng.
Bảo mật:
- An ninh mạng tích hợp (OS FW, NAC, IPS, Content Security).
- Hệ thống quản lý thiết bị an ninh và thiết bị định tuyến của Cisco (SDM) để đơn giản hóa công tác quản lý.
- Hỗ trợ 1500 đường VPN.
Voice:
- Thiết bị Cisco CallManager Express (CME) xử lý cuộc gọi lên đến 96 người dùng máy điện thoại IP của Cisco.
- Thoại tại địa điểm ở xa có khả năng hồi phục của Cisco (SRST) hỗ trợ tới 24 người dùng máy điện thoại IP của Cisco, cho phép thiết bị định tuyến cung cấp tính năng xử lý cuộc gọi để duy trì dịch vụ thoại hoạt động ngay cả trong tình huống mất kết nối với Cisco, ngoài ra còn hỗ trợ Voice Mail.
4.2 Mô hình ứng dụng MPLS trên thiết bị cisco
4.3 Yêu cầu:
- Tạo MPLS core
- Thực hiện cấu hình MPLS-VPN cho khách hàng A và B : customer A chạy static route. Customer B chạy RIPv2 với nhà cung cấp
4.4 Thực hiện
4.4.1 TẠO MPLS CORE
- Bước 1: Định tuyến IP trong mạng lõi của nhà cung cấp dịch vụ bằng cách dùng giao thức định tuyến OSPF.
Trên R2PE:
R2PE(config)#router ospf 1
R2PE(config-router)# network 2.2.2.2 0.0.0.0 area 0
R2PE(config-router)# network 192.168.23.0 0.0.0.255 area 0
Trên R3P:
R3P(config)#router ospf 1
R3P(config-router)# network 192.168.34.0 0.0.0.255 area 0
R3P(config-router)# network 192.168.23.0 0.0.0.255 area 0
Trên R4PE:
R3P(config)#router ospf 1
R3P(config-router)# network 4.4.4.4 0.0.0.0 area 0
R3P(config-router)# network 192.168.34.0 0.0.0.255 area 0
Ping kiểm tra.
R2PE#ping 4.4.4.4 source 2.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/87/120 ms
- Bước 2: Cấu hình MPLS trong mạng lõi nhà cung cấp dịch vụ
R2PE(config)# interface s1/3
R2PE(config-if)#mpls label protocol ldp
R2PE(config-if)#mpls ip
R3P(config)# interface s1/2
R3P(config-if)#mpls label protocol ldp
R3P(config-if)#mpls ip
R3P(config)# interface s1/0
R3P(config-if)#mpls label protocol ldp
R3P(config-if)#mpls ip
R4PE(config)# interface s1/3
R4PE(config-if)#mpls label protocol ldp
R4PE(config-if)#mpls ip
Kiểm tra việc MPLS đã thiết lập được láng giềng LDP. Thực hiện trên R3P.
Xem bảng forwarding-table trên R2-PE.
- Bước 3: Bật BGP trên các PE router
R2PE(config)#router bgp 24
R2PE(config-router)#neighbor 4.4.4.4 remote-as 24
R2PE(config-router)#neighbor 4.4.4.4 remote-as 24
R4PE(config)#router bgp 24
R4PE(config-router)#neighbor 2.2.2.2 remote-as 24
R4PE(config-router)#neighbor 2.2.2.2 remote-as 24
- Bước 4: Bật tính năng VPNv4 cho BGP.
R2PE(config)#router bgp 24
R2PE(config-router)#address-family vpnv4
R2PE(config-router-af)#neighbor 4.4.4.4 activate
R4PE(config)#router bgp 24
R4PE(config-router)#address-family vpnv4
R4PE(config-router-af)#neighbor 2.2.2.2 activate
4.4.2 Tạo MPLS – VPN cho các khách hàng theo yêu cầu 1: khách hàng A chạy static route, khách hàng B chạy RIPv2.
- Với khách hàng A (chạy static route).
+ Bước 1: Tạo VRF cho khách hàng A trên các router PE (ở đây là các router R2PE và R4PE)
R2PE(config)#ip vrf A
R2PE(config-vrf)# rd 15:15
R2PE(config-vrf)#route-target export 1:1
R2PE(config-vrf)#route-target import 5:5
R4PE(config)#ip vrf A
R4PE(config-vrf)#rd 15:15
R4PE(config-vrf)#route-target export 5:5
R4PE(config-vrf)#route-target import 1:1
+Bước 2: Gán các VRF này vào các cổng tương ứng và tiến hành đặt địa chỉ IP:
R2PE(config)#interface f1/0
R2PE(config-if)#ip vrf forwarding A
R2PE(config-if)#ip address 192.168.12.2 255.255.255.0
R4PE(config)#interface f2/0
R4PE(config-if)#ip vrf forwarding A
R4PE(config-if)#ip address 192.168.45.4 255.255.255.0
+Bước 3: Thực hiện đặt địa chỉ IP như đã chỉ ra trên sơ đồ cho khách hàng A. Ping kiểm tra giữa PE và CE:
R2#ping vrf A 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/69/156 ms
R4#ping vrf A 192.168.45.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.45.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/46/68 ms
+Bước 4: Chạy static route với khách hàng A:
R4PE(config)#ip route vrf A 5.5.5.0 255.255.255.0 192.168.45.5
R2PE(config)#ip route vrf A 1.1.1.0 255.255.255.0 192.168.12.1
R1A(config)#ip route 5.5.5.0 255.255.255.0 192.168.12.2
R5A(config)#ip route 1.1.1.0 255.255.255.0 192.168.45.4
+Bước 5: Trên các router PE, thực hiện redistribute các route static vào MP – BGP để các route này có thể đi được tới đầu kia của khách hàng:
R2PE(config)#router bgp 24
R2PE(config-router)#address-family ipv4 vrf A
R2PE(config-router-af)#redistribute static
R4PE(config)#router bgp 24
R4PE(config-router)#address-family ipv4 vrf A
R4PE(config-router-af)#redistribute static
R2PE(config-router)#address-family ipv4 vrf A
R2PE(config-router-af)#redistribute static
R4PE(config)#router bgp 24
R4PE(config-router)#address-family ipv4 vrf A
R4PE(config-router-af)#redistribute static
+ Bước 6: Kiểm tra trên các router PE rằng đã nhận được các route static từ đầu kia, và ping kiểm tra
Với khách hàng B (chạy RIPv2):
- Bước 1: Tạo VRF cho khách hàng B trên các router PE (ở đây là các router R2PE và R4PE):
R2PE(config)#ip vrf B
R2PE(config-vrf)# rd 67:67
R2PE(config-vrf)#route-target export 6:6
R2PE(config-vrf)#route-target import 7:7
R4PE(config)#ip vrf B
R4PE(config-vrf)#rd 67:67
R4PE(config-vrf)#route-target export 7:7
R4PE(config-vrf)#route-target import 6:6
- Bước 2: Gán các VRF này vào các cổng tương ứng và tiến hành đặt địa chỉ IP:
R2PE(config)#interface f1/1
R2PE(config-if)#ip vrf forwarding B
R2PE(config-if)#ip address 192.168.12.2 255.255.255.0
R4PE(config)#interface f2/1
R4PE(config-if)#ip vrf forwarding B
R4PE(config-if)#ip address 192.168.45.4 255.255.255.0
Ping kiểm tra
R2PE# ping vrf B 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/41/64 ms
R4PE#ping vrf B 192.168.45.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.45.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/44/76 ms
- Bước 3: Chạy định tuyến RIPv2 với khách hàng B.
R2PE(config)# router rip
R2PE(config-router)# address-family ipv4 vrf B
R2PE(config-router-af)# version 2
R2PE(config-router-af)# network 192.168.12.0
R2PE(config-router-af)# no auto-summary
R4PE(config)# router rip
R4PE(config-router)# address-family ipv4 vrf B
R4PE(config-router-af)# version 2
R4PE(config-router-af)# network 192.168.45.0
R4PE(config-router-af)# no auto-summary
- Bước 5: Trên các router của khách hàng B cũng thực hiện chạy RIPv2
R1B(config)# router rip
R1B(config-router)# version 2
R1B(config-router)# network 1.0.0.0
R1B(config-router)# network 192.168.12.0
R1B(config-router)# no auto-summary
R5B(config)# router rip
R5B(config-router)# version 2
R5B(config-router)# network 5.0.0.0
R5B(config-router)# network 192.168.45.0
R5B(config-router)# no auto-summary
- Bước 6: Trên các router PE, thực hiện redistribute các route RIP vào MP – BGP để các route này có thể đi được tới đầu kia của khách hàng:
R2PE(config)#router bgp 24
R2PE(config-router)#address-family ipv4 vrf B
R2PE(config-router-af)#redistribute rip
R4PE(config)#router bgp 24
R4PE(config-router)#address-family ipv4 vrf B
R4PE(config-router-af)#redistribute rip
- Bước 8: Kiểm tra trên các router PE rằng đã nhận được các route RIP từ đầu kia:
- Bước 9: Trên các router PE phải thực hiện redistribute các route BGP nhận được vào RIP:
R2PE(config)# router rip
R2PE(config-router)# address-family ipv4 vrf B
R2PE(config-router-af)#redistribute bgp 24 metric 5
R4PE(config)# router rip
R4PE(config-router)# address-family ipv4 vrf B
R4PE(config-router-af)#redistribute bgp 24 metric 5
- Bước 10: Lúc này hai đầu khách hàng đã thấy được nhau. Ta thực hiện một số thao tác kiểm tra trên các router khách hàng:
R1B#ping 5.5.5.5 source 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 128/181/224 ms
R5B#ping 1.1.1.1 source 5.5.5.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 5.5.5.5
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 156/191/236 ms