| 华为 | 您所在的位置:网站首页 › 思科vrf配置实例 › 华为 |
华为
|
目录 一、VRF 特性 二、案例讲解: (1)网络拓扑+需求描述 (2) 相关配置: 实现需求 ①:生产网和办公网的隔离 实现需求②:各个网段实现上网需求 —— 路由泄露技术: 实现需求③: PC1和PC3之间相互通信 一、VRF 特性 VRF和VRF之间在同一台路由器上面无法通信;VRF和全局路由表(show ip route)在同一台设备也无法通信。在VRF里面定义RD和RT值,其中RT值分为两个方向,这边入方向的RT值和对方的出方向的RT值必须匹配才能接受路由—————————————————————————————————————————————————— 二、案例讲解: (1)网络拓扑+需求描述
———————————————————————————————————————————————————— (2) 相关配置: 实现需求 ①:生产网和办公网的隔离 CE系列交换机配置: system-view //进入全局模式 ------------------------------------------创建vlan [~HUAWEI]vlan 10 [*HUAWEI-vlan10]vlan 20 [*HUAWEI-vlan20]quit [*HUAWEI]commit //(commit)CE系列交换机,需要打commit配置才会生效 [~HUAWEI]display vlan //查看vlan ----------------------------------------接口划vlan [~HUAWEI]int g1/0/0 [~HUAWEI-GE1/0/0]port link-type access [~HUAWEI-GE1/0/0]port default vlan 10 [*HUAWEI-GE1/0/0]undo shut [*HUAWEI-GE1/0/0]quit -------------------------------------接口封装trunk [*HUAWEI]int g1/0/2 [~HUAWEI-GE1/0/2]undo shutdown [*HUAWEI-GE1/0/2]port link-type trunk [*HUAWEI-GE1/0/2]port trunk allow-pass vlan all //思科trunk允许所有vlan穿越,华为的默认不允许所有vlan穿越,修改一下 [*HUAWEI-GE1/0/2]quit [*HUAWEI]commit //写入所配置的命令(如果没有打这个命令,默认不会生效) [*HUAWEI]display current-configuration //相当于sh run [~HUAWEI]display interface brief //查看接口up情况 -------------------------①接口下关闭:核心交换机关闭接口二层功能(二层变三层) [~HUAWEI]int g1/0/1 [~HUAWEI-GE1/0/1]undo portswitch [*HUAWEI-GE1/0/1]q [*HUAWEI]commit ------------------------------------配置vlan ip save //保存配置,相当于write [*HUAWEI]int vlan 40 [*HUAWEI-Vlanif40]ip add 192.168.40.254 255.255.255.0 [*HUAWEI-Vlanif40]un sh [*HUAWEI-Vlanif40]q [*HUAWEI]commit -------------------------------vpn实列配置(VRF配置) ①创建 [~HUAWEI]ip vpn-instance A [*HUAWEI-vpn-instance-A]ipv4-family unicast //开启ipv4地址族,要不然绑定VPN实列后,无法配置ip地址 [*HUAWEI-vpn-instance-A-af-ipv4]q [*HUAWEI-vpn-instance-A]q [*HUAWEI]commit [~HUAWEI] ②绑定VPN实列 [~HUAWEI]int vlan 10 [~HUAWEI-Vlanif10]ip binding vpn-instance A [*HUAWEI-Vlanif10]ip add 192.168.10.254 255.255.255.0 [*HUAWEI-Vlanif10]q [*HUAWEI] [~HUAWEI]display ip routing-table //查看全局路由表 [~HUAWEI]display ip routing-table vpn-instance A //查看VPN实列最终各个PC之间相互ping验证,VPN实列(VRF)成功隔离!!!! —————————————————————————————————————————————————— 实现需求②:各个实现上网需求 —— 路由泄露技术: -------R1: [Huawei]ip route-static 0.0.0.0 0.0.0.0 13.1.1.3 //静态路由写入 -------CE3 [~HUAWEI]ip route-static vpn-instance A 13.1.1.0 255.255.255.0 13.1.1.1 public //因为CE3的VPN-instance A里面的路由没有13.1.1.0的直连路由, 数据包从VPN-instance A里面到达CE3后不知道去往什么地方,所以需要把直连路由宣告进VPN-instance A [~HUAWEI]ip route-static vpn-instance B 13.1.1.0 255.255.255.0 13.1.1.1 public [*HUAWEI]commit ---此时PC1的流量(ping 13.1.1.1)从 在VRF A里面经过CE3到达了R1(——》去方向)---到达R1之后查询全局路由表转发数据包给CE3,而因为CE3和R1之间接口属于全局路由表,所以R1来的路由实际上是在CE3的全局路由表上进行的。但是此时,CE3的全局路由表里面并没有去往PC的路由,所以需要写一条路由到PC1全局路由表里.(——》回方向) 解决: [~HUAWEI]ip route-static 192.168.10.0 255.255.255.0 vpn-instance A 192.168.10.1 //去往192.168.10.0 下一跳扔给的192.168.10.1,对应出接口为(VRF A或者是叫vlan 10) [*HUAWEI]commit [~HUAWEI]display ip routing-table //查看路由是否配置成功(全局路由表)此时PC1 ping 13.1.1.1,可以通,成功实现需求② ! ! ! 同理.其他网段也一样. —————————————————————————————————————————————————— 实现需求③:PC1和PC3之间相互通信 因为(PC1去往PC3)去的时候 , 由于VRF隔离CE3上的VRF A里面并没有去往192.168.30.0的路由,所以,路由会在CE3上丢弃.即需要配置一条去往PC3的路由,之后到达了R1,由于上面配置之中,CE3的全局路由表里面,有了去往PC3的路由(实现上网需求).即数据包能够到达PC3(------>去)同理,回的时候也相同(------回) CE3: [~HUAWEI]ip route-static vpn-instance B 192.168.10.0 255.255.255.0 13.1.1.1 public [~HUAWEI]ip route-static vpn-instance A 192.168.30.0 255.255.255.0 13.1.1.1 public [*HUAWEI]commit [~HUAWEI]PC1ping PC3,最终实现需求 ! ! ! ! |
【本文地址】
公司简介
联系我们