BGP 和 VRF 间路由

网络工程 思科 bgp 虚拟现实 mpls-vpn vrf-lite
2021-07-15 17:38:45

我在使用 BGP 的 VRF 之间路由时遇到问题。在我的实验室里有一个带一个辐条的集线器路由器。我正在使用 MP-BGP 在两者之间扩展 VRF。我想通过每个 VRF 中的子接口将防火墙连接到集线器。我希望防火墙运行 BGP 到集线器,并成为 VRF 之间的交换点。

看起来很简单,但由于 BGP 循环预防功能,我无法让它工作。如果我使用 iBGP,路由器会丢弃通过 CLUSTER_LIST 检测到的防火墙声明循环中的路由(尽管为每个 VRF 分配了唯一的路由器 ID 和集群 ID)。如果我使用 eBGP,路由器会通过 AS_PATH 检测到环路。我已经通过重新分发到 IGP 并返回来使其工作,但这似乎很愚蠢。

我真的希望它与防火墙和路由器之间的 BGP 一起使用。有什么建议?如果没有,下一个最好的事情是什么?

ip vrf 红色
 1:1
 路由目标导出 1:1
 路由目标导入 1:1
出口

ip vrf 蓝色
 2:2
 路由目标导出 2:2
 路由目标导入 2:2
出口

接口千兆以太网1
 描述 广域网
 IP 地址 1.1.1.1 255.255.255.0

接口环回1
 ip vrf 转发红色
 IP 地址 10.1.1.1 255.255.255.0
出口

接口环回2
 ip vrf 转发蓝色
 IP 地址 20.1.1.1 255.255.255.0
出口

l3vpn封装ip MPLS-INT
 传输 ipv4 源 GigabitEthernet1

路线图区域许可证 10
 set ip next-hop 封装 l3vpn MPLS-INT

路由器 bgp 65001
 bgp 路由器 ID 1.1.1.1
 bgp 日志邻居变化
 邻居 1.1.1.2 远程-as 65001
 邻居 1.1.1.2 更新源 GigabitEthernet1
 地址族 ipv4
  邻居 1.1.1.2 激活
 出口地址系列
 地址族 vpnv4
  邻居 1.1.1.2 激活
  邻居 1.1.1.2 发送社区扩展
  邻居 1.1.1.2 路由映射区域
 出口地址系列
 地址族 ipv4 vrf 红色
   重新分配连接
 出口地址系列
 地址系列 ipv4 vrf 蓝色
  重新分配连接
 出口地址系列

中心

ip vrf 红色
 1:1
 路由目标导出 1:1
 路由目标导入 1:1
出口

ip vrf 蓝色
 2:2
 路由目标导出 2:2
 路由目标导入 2:2
出口

接口千兆以太网1
 描述 广域网
 IP 地址 1.1.1.2 255.255.255.0

接口千兆以太网2.1
 描述 FW VRF 红色
 封装 dot1Q 1
 ip vrf 转发红色
 IP 地址 10.2.2.1 255.255.255.252

接口千兆以太网2.2
 描述 FW VRF 蓝色
 封装 dot1Q 2
 ip vrf 转发蓝色
 IP 地址 20.2.2.1 255.255.255.252

l3vpn封装ip MPLS-INT
 传输 ipv4 源 GigabitEthernet1

路线图区域许可证 10
 set ip next-hop 封装 l3vpn MPLS-INT

路由器 bgp 65001
 bgp 路由器 ID 1.1.1.2
 bgp 日志邻居变化
 邻居 RR 对等组
 邻居 rr 远程-as 65001
 邻居 rr 更新源 GigabitEthernet1
 邻居 1.1.1.1 对等组 rr
 地址族 ipv4
  邻居 RR 路由反射器客户端
  邻居 1.1.1.1 激活
 出口地址系列
 地址族 vpnv4
  邻居 1.1.1.1 激活
  邻居 RR 发送社区扩展
  邻居 RR 路由反射器客户端
  邻居 rr 路由映射区域
 出口地址系列
 地址族 ipv4 vrf 红色
   重新分配连接
   邻居 10.2.2.2 远程作为 65001
   邻居 10.2.2.2 更新源 GigabitEthernet2.1
   邻居 10.2.2.2 路由反射器客户端
   邻居 10.2.2.2 集群 ID 10.2.2.1
   bgp 路由器 ID 10.2.2.1
 出口地址系列

 地址系列 ipv4 vrf 蓝色
   重新分配连接
   邻居 20.2.2.2 远程-as 65001
   邻居 20.2.2.2 更新源 GigabitEthernet2.2
   邻居 20.2.2.2 路由反射器客户端
   邻居 20.2.2.2 集群 ID 20.2.2.1
   bgp 路由器 ID 20.2.2.1
 出口地址系列

“防火墙”(实际上只是另一个路由器)



接口千兆以太网2.1
 描述 FW VRF 红色
 封装 dot1Q 1
 IP 地址 10.2.2.2 255.255.255.252

接口千兆以太网2.2
 描述 FW VRF 蓝色
 封装 dot1Q 2
 IP 地址 20.2.2.2 255.255.255.252

路由器 bgp 65001
 邻居 10.2.2.1 远程作为 65001
 邻居 10.2.2.1 路由反射器客户端
 邻居 20.2.2.1 远程-as 65001
 邻居 20.2.2.1 路由反射器客户端 
出口
1个回答

使用命令

neighbor x.x.x.x allowas in

这告诉路由器不要丢弃路径中带有它自己的 ASN 的前缀。

其它你可能感兴趣的问题
上一篇交换机带宽管理 下一篇对于 TCP 会话,何时第一次采样 RTT 测量?