четверг, 28 июля 2016 г.

Лаба MPLS VPN. Базовая настройка

Буквально только что закончил базовую настройку лабы. Под базовой я понимаю полную IP связность, включая OSPF. Уже сейчас пришлось столкнуться с некоторыми особенностями "межвендорного" взаимодействия. Кое-что пришлось поменять. Итак, первые грабли или делаем из фаервола Juniper vSRX обычный роутер.

Все посты про MPLS VPN можно посмотреть по тегу MPLS или в обобщающем посте.

Топология претерпела некоторые изменения, которые я отразил ниже. Обо всем по порядку.



  1. IP. Базовая настройка IP адресов на интерфейсах не вызвала никаких проблем. Связность на линках довольно быстро была достигнута. Конфиги, команды и комментарии приведу чуть ниже.
  2. OSPF MTU. Первое с чем мне пришлось столкнуться. После настройки всех роутеров, я включил на каждом из них OSPF. Соседство поднялось только между двумя IOS-XR маршрутизаторами, остальные сессии застряли в INIT. Я, как матерый инженер, сразу понял, дело в несовпадении таймеров или ещё каких-либо параметров. Включив debug на Juniper, я понял, что проблема кроется в MTU. Обожаю MTU. 
    • Cisco - 1514 Bytes
    • Juniper vMX - 2000 Bytes
    • Alcetel vSR - 8936 Bytes
    Немного поразмыслив, я решил задрать MTU на всей сети до уровня 8936, так как пропуская сервисы через неё, мы явно хотим чтобы пролезало как можно больше.
  3. vMX MTU. На IOS-XRv MTU сменилось без проблем и соседство с PE маршрутизаторами поднялось, а вот на vMX MTU сменить не удалось. Просто не удалось и все. Правишь конфигурацию, а изменения не происходят. Обидно...
  4. vMX to vSRX. Пришлось убирать vMX из топологии и ставить на его место другой образ Juniper vSRX. Изначально я не хотел его использовать, потому что это все же файервол, а не роутер. Вроде как MPLS на нем есть, но вот его развитая система правил мне не нужна. Она очень мешала мне, когда в прошлый раз я с ним работал. Настраиваешь BGP, а оно не поднимается... Извольте прописать соответствующие правила в конфигурации... Так что я постарался сделать из vSRX обычный роутер типа vMX.
Теперь пройдемся по настройке. Выводы команд я буду постить картинками, боюсь что форматирование всё равно слетит.

VMware

Тут все стандартно. На каждый линк я создал по отдельному коммутатору vSwitch, в который добавил по паре портов. Главное тут не ошибиться и быть внимательным.

Alcatel-Lucent vSR (ALU)

1.Настраиваем имя в соответствии со схемой
config system name "PE1"


2.Вставляем карту и сабкарту в роутер
config card 1 card-type iom3-xp
config card 1 mda 1 mda-type m5-1gb-sfp-b


3.Включаем физические порты
config port 1/1/1 no shutdown
config port 1/1/2 no shutdown
config port 1/1/3 no shutdown
config port 1/1/4 no shutdown

Обратите внимание на значение MTU и на километраж SFPишек )
4.Настраиваем логические интерфейсы с нужными IP и закрепляем их за физическими портами, так же настраиваем loopback
config router interface "PE1-P1" address 10.0.0.18/30
config router interface "PE1-P1" port 1/1/2
config router interface "PE1-P1" no shutdown
config router interface "PE1-P3" address 10.0.0.14/30
config router interface "PE1-P3" port 1/1/1
config router interface "PE1-P3" no shutdown
config router interface "lo" address 10.10.10.4/32
config router interface "lo" loopback
config router interface "lo" no shutdown



6.Включаем OSPF и добавляем в него интерфейсы, заблаговременно настраиваем router-id
config router router-id 10.10.10.4
config router ospf
config router ospf area 0.0.0.0
config router ospf area 0.0.0.0 interface "PE1-P1"
config router ospf area 0.0.0.0 interface "PE1-P3"
config router ospf area 0.0.0.0 interface "lo"

Выборы уже прошли, поэтому есть информация по DR/BDR...
Смотрим соседей и наслаждаемся надписью Full. Однако пришлось попотеть...
7. Сохраняемся
admin save

Juniper vSRX

1. Указываем имя роутера и пароль для root. Без него нельзя будет сделать commit.
set system host-name P3
set system root-authentication plain-text-password



2. Делаем из SRX роутер
delete security
set security forwarding-options family inet6 mode packet-based
set security forwarding-options family mpls mode packet-based
set security forwarding-options family iso mode packet-based


3. Настраиваем интерфейсы, сразу меняем MTU.
set interfaces ge-0/0/0 mtu 8936
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.13/30
set interfaces ge-0/0/1 mtu 8936
set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.5/30
set interfaces ge-0/0/1 mtu 8936
set interfaces ge-0/0/1 unit 0 family inet address 10.0.0.10/30
set interfaces ge-0/0/3 mtu 8936
set interfaces ge-0/0/3 unit 0 family inet address 10.0.0.21/30
set interfaces lo0 unit 0 family inet address 10.10.10.3/32


4. Включаем OSPF. Loopback интерфейс нужно добавить с опцией passive, иначе он не будет анонсирован.
set routing-options router-id 10.10.10.3
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
set protocols ospf area 0.0.0.0 interface ge-0/0/3.0



5. Сохраняемся
commit

Cisco IOS-XRv 

1. Настраиваем имя
hostname P1

2. Настраиваем интерфейсы, указываем MTU.
interface Loopback0
 ipv4 address 10.10.10.1 255.255.255.255
interface GigabitEthernet0/0/0/0
 description P1-P3
 mtu 8936
 ipv4 address 10.0.0.6 255.255.255.252
interface GigabitEthernet0/0/0/1
 description P1-P2
 mtu 8936
 ipv4 address 10.0.0.1 255.255.255.252
interface GigabitEthernet0/0/0/2
 mtu 8936
 ipv4 address 10.0.0.17 255.255.255.252
interface GigabitEthernet0/0/0/3
 mtu 8936
 ipv4 address 10.0.0.29 255.255.255.252


3. Запускаем OSPF и добавляем в него интерфейсы
router ospf 110
 area 0.0.0.0
  interface Loopback0
  interface GigabitEthernet0/0/0/0
  interface GigabitEthernet0/0/0/1
  interface GigabitEthernet0/0/0/2
  interface GigabitEthernet0/0/0/3



4. Сохраняемся
commit

Ну вот и все. А я почти день ковырялся. В следующий раз приступим к MPLS. Уже словил пару проблем с LDP...

Комментариев нет:

Отправить комментарий