Treinamento

Huawei
Instrutor: Guilherme Ramires
Agenda
• Basics Huawei

• Routing com OSPF

• Switch com MSTP
• BGP basics
• BGP advanced
• MPLS

• VPNs MPLS based

2
Agenda
• Treinamento diário: 9:00h – 17:30h
• Tolerância de 15min

• 1 hora para almoço: Saida entre as 12:00h e 12:30h

• Tolerância de 30min

• Coffee Break as 16:00h

3
Informações gerais
• Este treinamento será filmado e disponibilizado até 3 dias após o
término;
• Perguntas são sempre bem vindas. Peço somente que tente focar
a pergunta no tópico vigente.

• Caso você precise atender o telefone peço que deixe o mesmo

em modo silencioso e atenda a ligação fora da sala.

4
Informações gerais
• O certificado de participação somente será concedido a quem
obtiver presença igual ou superior a 75%.
• O certificado de participação deverá ser solicitado pelo nosso site
e será entregue em até 15 dias.
http://www.alivesolutions.com.br/certificados

5
Apresente-se
• Seu nome, sua empresa e de onde é
• Seu conhecimento sobre redes
• Seu conhecimento sobre Huawei (switch/router)
• Seu conhecimento sobre outros vendors
• O que você espera deste curso

6
Basics Huawei
• Primeiro acesso, criação de um usuário e liberação de acesso via ssh;

• Criação do primeiro usuário;

aaa
local-user usuario password cipher senha
local-user usuario service-type ssh

• Liberação de acesso via ssh;

ssh user usuario
ssh user usuario authentication-type password
ssh user usuario service-type stelnet

7
Basics Huawei
• VRP - Versatilie Routing Protocol
• Configurações gravadas:
• current-configuration (RAM)
• saved-configuration (NVRAM)
• Comandos básicos:
• Display = mostra informações referente a uma sessão ditada
• Quit = retorna um nível da sessão
• Undo – desfaz uma configuração
• Return = retorna ao modo user-view(somente leitura) - <Huawei>
• System-view = ingressa em modo admistrador - [Huawei]
• Save = salva configuração na NVRAM
• Reset saved-configuration = limpa as configurações da NVRAM
• Requer um reboot para efetivar a limpeza de configuração da RAM

8
Basics Huawei
• Exemplos de comandos:

• disp cu interface g0/0/1 = mostra configuração da interface g0/0/1

• disp router id = mostra o router id
• disp ip int br | e una = mostra somente ips configurados no router
• display this = mostra o que esta configurado dentro da sessão vigente
• disp cu | b ospf = mostra configuração a partir da linha do ospf
• disp cu | i vlan = mostra todas linhas de configuração relacionadas a vlan
• disp cu conf bgp = mostra as configurações da sessãp BGP

9
OSPF
• Protocolo compatível com OSPF dos demais vendors porém possui
algumas particularidades:
• A distância administrativa da rota(pref) não é 110 e sim 10;
• O router id pode ser setado via loopback (herança), via router id do router ou
da instância;

10
 OSPF
cenário

11
OSPF – Primeira etapa: informações básicas
• Vamos configurar os Nomes, Router ID e os ips em todos
equipamentos conforme o cenário anterior;
• Também já vamos adicionar a rota no router internet para nossa rede
R1 R2 R3 R11 R22 INTERNET

sys sys sys sys sys sys

sysname R1 sysname R2 sysname R3 sysname R11 sysname R22 sysname INTERNET
router id 1.1.1.1 router id 2.2.2.2 router id 3.3.3.3 router id 11.11.11.11 router id 22.22.22.22
ip route-static 172.16.0.0 12 189.10.10.2
int g0/0/0 int g0/0/0 int g0/0/0 int g0/0/2 int g0/0/2 int g0/0/2
ip addr 172.16.0.1 30 ip addr 172.16.0.6 30 ip addr 172.16.0.9 30 ip addr 172.16.1.2 30 ip addr 172.16.2.2 30 ip addr 189.10.10.1 30
int g0/0/1 int g0/0/1 int g0/0/1 int loop1 int loop1 int loop0
ip addr 172.16.0.10 30 ip addr 172.16.0.2 30 ip addr 172.16.0.5 30 ip addr 172.16.1.5 30 ip addr 172.16.2.5 30 ip addr 8.8.8.8 32
int g0/0/2 int g0/0/2 int g0/0/2 int loop2 int loop2 return
ip addr 172.16.1.1 30 ip addr 172.16.2.1 30 ip addr 189.10.10.2 30 ip addr 172.16.1.9 30 ip addr 172.16.2.9 30 save
int loop0 int loop0 int loop0 int loop3 int loop3
ip addr 1.1.1.1 32 ip addr 2.2.2.2 32 ip addr 3.3.3.3 32 ip addr 172.16.1.13 30 ip addr 172.16.2.13 30
return return return return return
save save save save save
12
OSPF – Segunda etapa: subir ospf no backbone
• Agora vamos configurar a instancia do OSPF, áreas e networks.
• Lembrando que o mesmo vinculo e dependências também são
aplicadas aqui:
• Networks > Area > Instancia

R1 R2 R3

sys sys sys

ospf 1 ospf 1 ospf 1
area 0 area 0 area 0
network 172.16.0.0 0.0.0.3 network 172.16.0.0 0.0.0.3 network 172.16.0.8 0.0.0.3
network 172.16.0.8 0.0.0.3 network 172.16.0.4 0.0.0.3 network 172.16.0.4 0.0.0.3
network 1.1.1.1 0.0.0.0 network 2.2.2.2 0.0.0.0 network 3.3.3.3 0.0.0.0
return return return
save save save

13
 Pausa poética #1
Wilcard Mask
bit 0 - verifica - "zerifica"
bit 1 - ignora - "umgnora” 200 = 11001000
201 = 11001001
192.168.1.0/24 --> 255.255.255.0 --> 0.0.0.255 202 = 11001010
203 = 11001011
192 168 1 0
11000000.10101000.00000001.00000000 20X = 00000011 = 3
00000000.00000000.00000000.11111111
0 0 0 255

200.0.0.0/24 0.0.0.255
201.0.0.0/24 0.0.0.255
202.0.0.0/24 0.0.0.255 200.0.0.0 3.0.0.255
203.0.0.0/24 0.0.0.255
14
OSPF - troubleshooting
• Comandos básicos para debugar OSPF:

• display ospf peer brief = verifica estabelecimento de vizinhança

• disp ip routing-table protocol ospf = rotas ospf instaladas

• reset ospf process = “rebootar” a instância

• display ospf error = visualizar possíveis erros gerados

15
OSPF – Terceira etapa: subir ospf nas áreas
• Agora vamos configurar as conexões com as áreas 1 e 2 e já preparar
o cenário para efetuar a sumarização.
• Lembrando que toda sumarização é feita de área pra área e portanto
deve ser configurada SEMPRE nos ABRs

R1 R2 R11 R22

sys sys sys sys

ospf 1 ospf 1 ospf 1 ospf 1
area 1 area 2 area 1 area 2
network 172.16.1.0 0.0.0.3 network 172.16.2.0 0.0.0.3 network 172.16.1.0 0.0.0.15 network 172.16.2.0 0.0.0.15
return return return return
save save save save

16
 OSPF:
Checar
resultados em
R3
Verifique que em R3 já podemos
ver todas as rotas distribuidas

17
OSPF – Terceira etapa: cont...
• Agora vamos efetuar a sumarização nos ABRs

R1 R2

sys sys
ospf 1 ospf 1
area 1 area 2
abr-summary 172.16.1.0 255.255.255.240 abr-summary 172.16.2.0 255.255.255.240
return return
save save

18
 OSPF:
Checar
resultados em
R3
Veja que agora a tabela está
sumarizada contendo os /28
somente

19
OSPF – conectividade para internet
• Vamos configurar a rota default em R3 para ter acesso a internet e
vamos propagar essa rota default para a rede.

R3

sys
ip route-static 0.0.0.0 0 189.10.10.1
ospf 1
default-route-advertise
return
save

20
 OSPF
Ajustes adicionais
(discussão de sala)

21
Switch – Basics
• vlan vlan-id = cria uma vlan com o id informado em “vlan-id”
• vlan batch x to y = cria vlans em lote desde “x” até “y”
• display vlan – visualiza todas vlans criadas neste switch
• undo portswitch* = torna a porta funcional para L3
• port link type* = informa que tipo de vlan deseja utilizar na porta
• access = porta padrão de acesso
• dot1q-tunnel = porta QinQ(transporte de múltiplas vlans)
• hybrid = porta hibrida (suporta vlans tagged ou untagged)
• trunk = porta trunk
* comando especifico de porta

22
Switch
Cenário

23
Switch
Cenário
qinq

24
 Setup qinq - transportes
sys
sysname PTT
vlan batch 10 20 100 200
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 200
qinq protocol 9100
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
qinq protocol 9100
sys
sysname SwitchA
vlan batch 100 200
interface GigabitEthernet0/0/1
port link-type dot1q-tunnel
port default vlan 10
interface GigabitEthernet0/0/2
port link-type dot1q-tunnel
port default vlan 20
interface GigabitEthernet0/0/3
qinq protocol 9100
port link-type trunk
port trunk allow-pass vlan 100 200
sys
sysname SwitchB
vlan batch 100 200
interface GigabitEthernet0/0/1
port link-type dot1q-tunnel
port default vlan 10
interface GigabitEthernet0/0/2
port link-type dot1q-tunnel
port default vlan 20
interface GigabitEthernet0/0/3
qinq protocol 9100
port link-type trunk
port trunk allow-pass vlan 100 200
25
 Setup qinq - clientes
sys sys sys sys
sysname Cliente10A sysname Cliente20A sysname Cliente10B sysname Cliente20B

vlan batch 10 vlan batch 20 vlan batch 10 vlan batch 20

interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/2

port link-type trunk port link-type trunk port link-type trunk port link-type trunk
port trunk allow-pass vlan 10 port trunk allow-pass vlan 20 port trunk allow-pass vlan 10 port trunk allow-pass vlan 20

interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/3

port link-type access port link-type access port link-type access port link-type access
port default vlan 10 port default vlan 20 port default vlan 10 port default vlan 20

26
Objetivo do cenário
• O objetivo é dar conectividade entre os dispositivos ligados a vlan 10
e da vlan 20 sob seus domínios independentes;

• Em seguida vamos estabelecer comunicação entre os dispositivo da

vlan 10 e da vlan 20 via Router 1 com roteamento;

27
MSTP
• O MSTP trabalha em grupos chamados regiões, para cada região haverá uma bridge root
regional e entre regiões haverá uma bridge root eleita(master port).

• O MSTP usará o Internal Spanning Tree (IST) para criar a topologia de rede dentro de uma
região e o Common Spanning Tree (CST) para fora de uma região para criar a topologia
de rede entre várias regiões.

• O MSTP combina esses dois protocolos na Common and Internal Spanning Tree (CIST) ,
que contém informações sobre topologia dentro de uma região e entre regiões.

• Do ponto de vista da CST, uma região será aparentemente uma única bridge virtual e por
conta disso o MSTP é considerado muito escalável para redes grandes.

28
MSTP
• Para que as bridges estejam na mesma região, sua configuração deve corresponder.

• Se uma bridge receber um BPDU através de uma porta e a configuração não corresponder, o MSTP
considerará essa porta como uma porta de fronteira e poderá ser usada para alcançar outras regiões.

• Abaixo está uma lista de parâmetros que precisam corresponder para que o MSTP considere um BPDU da
mesma região:
• Region name
• Region revision
• VLAN mappings (via instancias)

29
Switch: Primeira etapa
• Vamos setar os nomes dos switches;
• Nomear de RG1 e determinar as regiões do MSTP;
• Determinar as vlans de 2 a 10 como padrão da instancia 1 e as vlans
de 11 a 20 da instancia 2;
Todos Switches

system-view
sysname SwitchX

stp region-configuration
region-name RG1
instance 1 vlan 2 to 10
Troubleshooting instance 2 vlan 11 to 20
check region-configuration
active region-configuration
quit

30
Switch: Segunda etapa
• Determinar as instancias primaria e secundaria nos switches A e B;
• Instancia 1 como root primaria do Switch A;
• Instancia 2 como root primaria do Switch B;

Switch A Switch B

stp instance 1 root primary stp instance 2 root primary

stp instance 2 root secondary stp instance 1 root secondary

31
Switch: Terceira etapa
• Habilitar MSTP em todos os Switches;
• Criar as VLANs em todos os Switches;
• Criar links de Trunk em todos os Switches;
SwitchA SwitchB SwitchC

stp enable stp enable stp enable

vlan batch 2 to 20 vlan batch 2 to 20 vlan batch 2 to 20
port-group group-member g0/0/1 g0/0/2 g0/0/3 port-group group-member g0/0/1 g0/0/2 g0/0/6 port-group group-member g0/0/3 g0/0/4 g0/0/5 g0/0/6
port link-type trunk port link-type trunk port link-type trunk
port trunk allow-pass vlan 2 to 20 port trunk allow-pass vlan 2 to 20 port trunk allow-pass vlan 2 to 20
quit quit quit

SwitchD SwitchE

stp enable stp enable

vlan batch 2 to 20 vlan batch 2 to 20
port-group group-member g0/0/1 g0/0/2 g0/0/4 port-group group-member g0/0/1 g0/0/2 g0/0/5
port link-type trunk port link-type trunk
port trunk allow-pass vlan 2 to 20 port trunk allow-pass vlan 2 to 20
quit quit 32
Switch: Quarta etapa: ajustes
• Habilitar o BPDU protection;
• Setar as vlans corretas para os clientes do Switches A-D e B-E;
• Setar portas edge dos clientes diretamente ligados aos switches;

Switch A Switch D Switch B Switch E

stp bpdu-protection stp bpdu-protection stp bpdu-protection stp bpdu-protection

interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
stp edged-port enable
return
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
stp edged-port enable
return
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
stp edged-port enable
return
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
stp edged-port enable
return

33
Switch: Quinta etapa: roteamento inter-Vlans
• Criar a porta Trunk no Switch C;
• Criar as duas interfaces dot1q no Router1;
• Colocar os ips correspondentes de cada Vlan(10 e 20);
Switch C
Int g0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 20
quit
Router 1
interface GigabitEthernet0/0/0.10
vlan-type dot1q 10
ip address 192.168.10.254 255.255.255.0
interface GigabitEthernet0/0/0.20
vlan-type dot1q 20
ip address 192.168.20.254 255.255.255.0
34
Vlans: Testes
• Pingar do PC1 pro PC2;
• Para testar a VLAN 10;
• Pingar do PC3 pro PC4;
• Para testar a VLAN 20;

• Pingar do PC1/PC2 pro PC3/PC4

• Para confirmar o roteamento inter-vlans;

35
LAG – Link Aggregation
• Este modo no huawei é conhecido como ether trunk(não confunda com
vlan trunk);

• Modos de operação:
• LACP: Protocolo padrão para LAG. Permite agregar/balancear carga entre múltiplos
links e adotar link backup;

• Manual load balance: Todos membros enviam/recebem trafego. Configuração mais

simples que deve ser usada caso o outro membro não suporte LACP;

• Manual 1:1 active/standby mode: permite utilizar 2 interfaces porém uma como
ativa e outra como backup.

36
Switch: Sexta etapa: criar o link aggregation
• Vamos criar a interface eth-trunk nos Switches A e B e adicionar as
portas correspondentes;
• Setar a vlan trunk em cima do link ether trunk;

Switch A Switch B

interface Eth-Trunk1 interface Eth-Trunk1

port link-type trunk port link-type trunk
port trunk allow-pass vlan 2 to 20 port trunk allow-pass vlan 2 to 20

interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/2

eth-trunk 1 eth-trunk 1
interface GigabitEthernet0/0/5 interface GigabitEthernet0/0/5
eth-trunk 1 eth-trunk 1

37
Observação...
• Neste momento a interface LAG está funcionando porém no modo
manual load balance.
• Caso você queira efetuar ajustes e mudar o modo você deve fazer isso
ANTES de adicionar as interfaces a LAG ou limpar as configurações
das interfaces para poder manipular o eth-trunk novamente.

38
Switch: Sétima etapa: ajustes no link aggregation
• Vamos setar o modo estático LACP;
• Usar o fast timeout;
• E o modo preemptivo;

Switch A Switch B

interface eth-trunk 1 interface eth-trunk 1

mode lacp-static mode lacp-static
lacp timeout fast lacp timeout fast
lacp preempt enable lacp preempt enable
lacp preempt delay 10 lacp preempt delay 10

39
Switch: Sétima etapa: ajustes no link aggregation
• Quantidade mínima de links ativos;
• Quantidade máxima de links ativos;
• Adicionar terceira porta e setar as prioridades pras portas G1 e G5

Switch A Switch B

interface eth-trunk 1 interface eth-trunk 1

least active-linknumber 2 least active-linknumber 2
max active-linknumber 3 max active-linknumber 3

interface gigabitethernet 0/0/1 interface gigabitethernet 0/0/2

lacp priority 100 lacp priority 100

interface gigabitethernet 0/0/5 interface gigabitethernet 0/0/5

lacp priority 100 lacp priority 100
40
Switch: LACP troubleshooting
• display eth-trunk trunk-id = comando para checar a configuração do Eth-
Trunk.

• display trunkmembership eth-trunk trunk-id = comando para checar

informações sobre as interfaces do Eth-Trunk.

• display eth-trunk trunk-id load-balance = comando para checar o modo de

load balance utilizado no Eth-Trunk.

• display interface eth-trunk trunk-id = mostra status das interfaces que

participam do LAG

41
Switch
Discussão de sala
Ajustes adicionais

42
BGP - Basics
• No geral o protocolo é compatível com qualquer vendor porém tem
algumas particularidades como:
• A distancia administrativa da rota que é 255 tanto pro iBGP quanto pro eBGP;
• O flow de processamento das rotas:

43
BGP - Basics
• E o algoritmo de seleção de
rotas que é próprio;

44
BGP - Basics

45
 BGP
Cenário

46
BGP: Primeira etapa: estrutura base
• Vamos subir os IPs em todos os routers e OSPF somente no AS 65000
Router 1 Router 2 Router 3

sys sys sys

sys R1 sys R2 sys R3
router id 10.0.0.1 Router id 10.0.0.2 Router id 10.0.0.3
Int g0/0/0 Int g0/0/0 Int g0/0/0
Ip addr 10.0.12.1 30 Ip addr 10.0.23.1 30 Ip addr 10.0.31.1 30
Int g0/0/1 Int g0/0/1 Int g0/0/1
Ip addr 10.0.31.2 30 Ip addr 10.0.12.2 30 Ip addr 10.0.23.2 30
Int g0/0/2 Int g0/0/2 Int loop0
Ip addr 181.0.0.2 30 Ip addr 182.0.0.2 30 Ip addr 10.0.0.3 32
Int loop0 Int g0/0/3 quit
Ip addr 10.0.0.1 32 ip addr 182.0.0.10 30 ospf 1
quit Int loop0 area 0
ospf 1 Ip addr 10.0.0.2 32 network 10.0.0.3 0.0.0.0
area 0 quit network 10.0.23.0 0.0.0.3
network 10.0.0.1 0.0.0.0 ospf 1 network 10.0.31.0 0.0.0.3
network 10.0.12.0 0.0.0.3 area 0 Return
network 10.0.31.0 0.0.0.3 network 10.0.0.2 0.0.0.0 Save
Return network 10.0.12.0 0.0.0.3
Save network 10.0.23.0 0.0.0.3
Return 47
Save
BGP: Primeira etapa: estrutura base – cont...
• Agora vamos configurar a estrutura base de IPs dos ISP1, ISP2 e Google;
• E lembrar de inserir as rotas estáticas no Google;

ISP 1 ISP 2 Google

sys sys sys

sys ISP1 sys ISP2 sys Google
router id 11.11.11.11 router id 22.22.22.22 router id 8.8.8.8
Int loop0 Int loop0 Ip route-static 8.8.0.0 255.255.252.0 null0
Ip addr 11.11.11.11 32 Ip addr 22.22.22.22 32 Ip route-static 8.8.0.0 255.255.254.0 null0
Int g0/0/0 Int g0/0/0 Ip route-static 8.8.2.0 255.255.254.0 null0
Ip addr 181.0.0.5 30 Ip addr 181.0.0.14 30 Int g0/0/0
Int g0/0/1 Int g0/0/1 Ip addr 182.0.0.5 30
Ip addr 181.0.0.13 30 Ip addr 182.0.0.6 30 Int g0/0/1
Int g0/0/2 Int g0/0/2 Ip addr 181.0.0.6 30
Ip addr 181.0.0.1 30 Ip addr 182.0.0.1 30 quit
quit Int g0/0/3
Ip addr 182.0.0.9 30
quit

48
BGP: Segunda etapa: fechar as sessões iBGP
• Vamos configurar os peers ibgp do AS 65000 e publicar os /24
Router 1
sys
Ip route-static 200.0.1.0 255.255.255.0 null0
bgp 65000
peer 10.0.0.2 as-number 65000
peer 10.0.0.2 connect-interface loop0
peer 10.0.0.2 next-hop-local
peer 10.0.0.3 as-number 65000
peer 10.0.0.3 connect-interface loop0
peer 10.0.0.3 next-hop-local
network 200.0.1.0 24
return
Save
Router 2
sys
Ip route-static 200.0.2.0 255.255.255.0 null0
bgp 65000
peer 10.0.0.1 as-number 65000
peer 10.0.0.1 connect-interface loop0
peer 10.0.0.1 next-hop-local
peer 10.0.0.3 as-number 65000
peer 10.0.0.3 connect-interface loop0
peer 10.0.0.3 next-hop-local
network 200.0.2.0 24
return
save
Router 3
sys
Ip route-static 200.0.3.0 255.255.255.0 null0
bgp 65000
peer 10.0.0.2 as-number 65000
peer 10.0.0.2 connect-interface loop0
peer 10.0.0.2 next-hop-local
peer 10.0.0.1 as-number 65000
peer 10.0.0.1 connect-interface loop0
peer 10.0.0.1 next-hop-local
network 200.0.3.0 24
return
save
49
BGP: Terceira etapa: fechar as sessões eBGP
• Vamos configurar os peers ebgp de R1, R2, ISP1, ISP2 e Google

ISP 1 ISP 2 Google

sys sys sys

bgp 65001 bgp 65002 bgp 65008
peer 181.0.0.6 as-number 65008 peer 182.0.0.5 as-number 65008 peer 182.0.0.6 as-number 65002
peer 181.0.0.14 as-number 65002 peer 181.0.0.13 as-number 65001 peer 181.0.0.5 as-number 65001
peer 181.0.0.2 as-number 65000 peer 182.0.0.2 as-number 65000 network 8.8.0.0 22
return peer 182.0.0.10 as-number 65000 network 8.8.0.0 23
save return network 8.8.2.0 23
save return
save
R1 R2

sys sys
bgp 65000 bgp 65000
peer 181.0.0.1 as-number 65001 peer 182.0.0.1 as-number 65002
return peer 182.0.0.9 as-number 65002
save return
save
50
BGP: Terceira etapa: rápido troubleshooting
• display bgp peer = mostra informações resumida dos peers
• display bgp peer x.x.x.x verbose = informações detalhadas do peer
• display ip routing-table protocol bgp = rotas BGP instaladas
• display bgp routing-table = todas as rotas BGP
• display bgp error = mostra possíveis mensagens de erro
• display bgp routing-table peer x.x.x.x ?
• accepted-routes = Routes accepted by routing policy
• advertised-routes = Routes advertised to the remote peer
• received-routes = Routes received from the remote peer

51
Pausa poética #2
• Agora que todos os peers estão estabelecidos vamos falar de como controlar e manipular
prefixos/anúncios.
• Route-policy = filtros sequenciais(nodes) de permit/deny onde são aplicadas aos peers
no processo de IN ou OUT;

• Existem 2 recursos para gerenciar isso:

• Prefix-list = onde iremos agrupar os prefixos por NOMES;
• ACL = similar a prefix-list porem é baseada em L3 e L4;
• As route-policy funcionam baseadas nas informações das prefix-list/ACL ou ações
próprias.

• Observação: por padrão, uma vez que a sessão é estabelecida os peers aceitam receber e
propagar tudo. Entretanto se você atribui uma route-policy ao peer ele passa a negar
tudo imediatamente mesmo sem nenhuma regra inserida.

52
 BGP: Quarta etapa: liberação de anúncios
• Vamos configurar todas prefix-list e setar as route-policys nos peers do
AS 6500 para permitirem full e anunciarem seus respectivos blocos /24
R1
sys
ip ip-prefix PL-MEUS-BLOCOS index 10 permit 200.0.1.0 24
ip ip-prefix REDE200 index 10 permit 200.0.0.0 8 greater-equal 20 less-equal 24
ip ip-prefix DEFAULT index 10 permit 0.0.0.0 0
ip ip-prefix ANY-NETWORK index 10 permit 0.0.0.0 0 less-equal 24
ip ip-prefix PL-GOOGLE permit 8.8.8.0 22 greater-equal 22 less-equal 24
bgp 65000
peer 181.0.0.1 route-policy RP-SAIDA-ISP1 export
peer 181.0.0.1 route-policy RP-ENTRADA-ISP1 import
R3
sys
ip ip-prefix PL-MEUS-BLOCOS index 20 permit 200.0.3.0 24
ip ip-prefix REDE200 index 10 permit 200.0.0.0 8 greater-equal 20 less-equal 24
quit
R2
sys
ip ip-prefix PL-MEUS-BLOCOS index 20 permit 200.0.2.0 24
ip ip-prefix REDE200 index 10 permit 200.0.0.0 8 greater-equal 20 less-equal 24
ip ip-prefix DEFAULT index 10 permit 0.0.0.0 0
ip ip-prefix ANY-NETWORK index 10 permit 0.0.0.0 0 less-equal 24
ip ip-prefix PL-GOOGLE permit 8.8.0.0 22 greater-equal 22 less-equal 24
bgp 65000
peer 182.0.0.1 route-policy RP-SAIDA1-ISP2 export
peer 182.0.0.1 route-policy RP-ENTRADA1-ISP2 import
peer 182.0.0.9 route-policy RP-SAIDA2-ISP2 export
peer 182.0.0.9 route-policy RP-ENTRADA2-ISP2 import
quit
53
BGP: Quarta etapa: Cont...
• Nesta etapa vamos aplicar as liberações e uma negação explicita ao final
• Apesar da negação explicita ser opcional neste ponto, eu acho
importante pra logar/contabilizar os descartes feitos;
R1 R2 - LINK1 R2 – LINK2

route-policy RP-SAIDA-ISP1 permit node 10
if-match ip-prefix PL-MEUS-BLOCOS
route-policy RP-SAIDA-ISP1 permit node 20
If-match ip-prefix REDE200
route-policy RP-SAIDA-ISP1 deny node 200
route-policy RP-SAIDA1-ISP2 permit node 10
if-match ip-prefix PL-MEUS-BLOCOS
route-policy RP-SAIDA1-ISP2 permit node 20
If-match ip-prefix REDE200
route-policy RP-SAIDA1-ISP2 deny node 200
route-policy RP-SAIDA2-ISP2 permit node 10
if-match ip-prefix PL-MEUS-BLOCOS
route-policy RP-SAIDA2-ISP2 permit node 20
If-match ip-prefix REDE200
route-policy RP-SAIDA2-ISP2 deny node 200

route-policy RP-ENTRADA-ISP1 permit node 10
If-match ip-prefix DEFAULT
route-policy RP-ENTRADA-ISP1 permit node 20
If-match ip-prefix ANY-NETWORK
route-policy RP-ENTRADA-ISP1 deny node 200
return
refresh bgp all export
save
route-policy RP-ENTRADA1-ISP2 permit node 10
If-match ip-prefix DEFAULT
route-policy RP-ENTRADA1-ISP2 permit node 20
If-match ip-prefix ANY-NETWORK
route-policy RP-ENTRADA1-ISP2 deny node 200
return
refresh bgp all export
save
route-policy RP-ENTRADA2-ISP2 permit node 10
If-match ip-prefix DEFAULT
route-policy RP-ENTRADA2-ISP2 permit node 20
If-match ip-prefix ANY-NETWORK
route-policy RP-ENTRADA2-ISP2 deny node 200
Return
refresh bgp all export
save
54
BGP: Quarta etapa: Cont...
• Toda vez que você fizer alterações nas route-policys é importante
confirmar as mudanças com o seguinte comando:
• refresh bgp all import | export

• Verifiquem as tabelas de rotas nos peers eBGP agora;

55
 Analise da routing
table do Google

• Veja que todos os /24

anunciados já chegaram aos
peers eBGP e
consequentemente ao
Google.

56
Pausa poética #3
• Agora que já aprendemos como permitir receber e enviar prefixos,
vamos aprender como manipular/influenciar as decisões de
roteamento.
• Para isso temos os 3 principais atributos usados:
• Local Preference = normalmente usado para influenciar sua SAIDA iBGP;
• Prepend = normalmente usado para influenciar peers eBGP de forma a mudar
o fluxo de ENTRADA do seu ASN;
• MED(metric/cost) = usado quando você tem mais de 1 link com a mesma
operadora. Esse atributo influencia exclusivamente seu peer eBGP imediato
permitindo a mudança do SEU fluxo de ENTRADA exclusivamente para o peer
eBGP com menor métrica.

57
BGP: Quinta etapa: manipulação de anúncios
• Neste exercício vamos utilizar o prepend para influenciar a mudança de fluxo do
ISP1 para R1 e do ISP2 para o R2;

• Em seguida vamos utilizar o MED em R2 para forçar o download do seu /24 via
link 2;

• E também em R2 vamos forçar o upload para os blocos do Google via link 2

usando o local preference;

R1 R2 – MED para link 2 R2 – Local Preference link 2

sys sys sys

route-policy RP-SAIDA-ISP1 permit node 10
if-match ip-prefix PL-MEUS-BLOCOS
apply as-path 65000 65000 65000 additive
quit
route-policy RP-SAIDA1-ISP2 permit node 10
if-match ip-prefix PL-MEUS-BLOCOS
apply cost 10
quit
route-policy RP-ENTRADA2-ISP2 permit node 10
if-match ip-prefix PL-GOOGLE
apply local-preference 200
quit
58
 Local Preference
Prepend aplicado para ISP1 MED aplicado para o link2 do ISP2
aplicado em R2 para o link2

Analise dos resultados

59
BGP - Communities
• Escrita no formato: “xxxxx:yyyyy”;

• Permite ao administrador maiores políticas de controle;

• Simplifica a configuração de upstream;

• Pode ser usado pelo ISP para:

• Opções de as_prepend;
• Restrições geográficas;
• Blackholing, etc…

• Usado também para checar o Internet Routing Registry (IRR).

60
BGP - Communities
• O processo de utilização das communities consiste em 2 etapas:
• Criação da community. Exemplos:
• ip community-filter 1 permit 65000:666 (blackhole)
• ip community-filter 2 permit 65000:3 (3 prepends)

• Informar qual route-policy/node irá aplicar a community e qual ação a tomar:

route-policy RP-ENTRADA-ISP1 permit node 20 route-policy RP-ENTRADA-ISP1 permit node 25

if-match ip-prefix PL-BLACKHOLE if-match community-filter 2
if-match community-filter 1 apply as-path 65000 65000 65000 additive
apply ip-address next-hop 192.0.2.1

61
BGP - Communities
• O processo de aplicação da communities é também baseado nas RPs;
• Setar uma community e remover qualquer outra existente:
route-policy RP-SAIDA-ISP1 permit node 10
if-match ip-prefix PL-MEUS-BLOCOS
apply community 65001:200

• Setar outra community de forma adicional:

route-policy RP-SAIDA-ISP1 permit node 10
if-match ip-prefix PL-MEUS-BLOCOS
apply community 65001:200 additive

• Para exportar communities para os vizinhos é necessário uma

configuração adicional a ser feita no peer:
• peer x.x.x.x advertise-community
62
BGP: Community LAB
• Gerar as communities de blackhole em ISP1;
• Gerar as communities de prepend em ISP2;
• Enviar a partir de R1 e/ou R2;
ISP1
ip community-filter 1 permit 65001:666
route-policy RP-ENTRADA-R1 permit node 30
if-match ip-prefix PL-BLACKHOLE
if-match community-filter 1
apply ip-address next-hop 192.0.2.1
route-policy RP-ENTRADA-ISP2 permit node 30
if-match ip-prefix PL-BLACKHOLE
if-match community-filter 1
apply ip-address next-hop 192.0.2.1
route-policy RP-ENTRADA-GOOGLE permit node 30
if-match ip-prefix PL-BLACKHOLE
if-match community-filter 1
apply ip-address next-hop 192.0.2.1
Para visualizar as communitys:
display bgp routing-table community
ISP2 R1
ip community-filter 1 permit 65002:3 peer 181.0.0.1 advertise-community
route-policy RP-ENTRADA-LINK1-R2 permit node30 route-policy RP-SAIDA-ISP?? permit node 30
if-match community-filter 1 if-match ip-prefix ???
apply as-path 65000 65000 65000 additive apply community 6500?:???
route-policy RP-ENTRADA-LINK2-R2 permit node 30
if-match community-filter 1
apply as-path 65000 65000 65000 additive
R2
route-policy RP-ENTRADA-ISP1 permit node 30
if-match community-filter 1 peer 182.0.0.1 advertise-community
apply as-path 65000 65000 65000 additive peer 182.0.0.9 advertise-community
route-policy RP-ENTRADA-GOOGLE permit node 30 route-policy RP-SAIDA?-ISP?? permit node 30
if-match community-filter 1 if-match ip-prefix ???
apply as-path 65000 65000 65000 additive apply community 6500?:??? 63
BGP – Confederation
• Confederation é um recurso do protocolo BGP que permite agrupar
ASNs;
• Facilita a incorporação de novos ASN;
• Para o mundo externo fica visível somente o AS da confederação;
• Cada AS deve estar rodando full mesh ou RR;
• Troca de rotas entre confederados eBGP são entendidas como rotas
de iBGP;
• O as-path dentro da confederation aparecerá entre parênteses: as-
path=(65000,65001);

64
BGP – Router Reflect
• Re-adverte rotas iBGP para evitar o full mesh;
• Reduz a contagem de mensagens de comunicação;
• Reduz também a quantidade de dados por mensagem;
• Neste caso somente o melhor caminho é “refletido”.

65
 Cenário
Confederation
e Router
Reflect

66
Conf Base - Confederation e Router Reflect
AS2000 R1 R7 R4 R5
Sys Sys Sys Sys Sys
router id 200.0.0.2 router id 1.1.1.1 router id 7.7.7.7 router id 4.4.4.4 router id 5.5.5.5
Sys AS2000 Sys R1 Sys R7 Sys R4 Sys R5
Int g0/0/0 Int g0/0/0 Int g0/0/1 Int g0/0/2 int g0/0/0
Ip addr 200.0.0.2 30 Ip addr 200.0.0.1 30 Ip addr 10.17.0.1 30 Ip addr 10.47.0.2 30 ip addr 10.25.0.2 30
Bgp 2000 Int g0/0/1 Int g0/0/2 quit int g0/0/1
Peer 200.0.0.1 as-number 1000 Ip addr 10.17.0.2 30 Ip addr 10.47.0.1 30 ip addr 10.35.0.2 30
quit quit Int g0/0/3 Int g0/0/3
Ip addr 10.57.0.1 30 Ip addr 10.57.0.2 30
quit quit

R2 R3 R6 Todos os routers do as 1000

Sys Sys Sys
router id 2.2.2.2 router id 3.3.3.3 router id 6.6.6.6
Sys R2 Sys R3 Sys R6 Ospf 1
int g0/0/0 int g0/0/1 ip route-static 6.0.0.0 24 null0 Area 0
ip addr 10.25.0.1 30 ip addr 10.35.0.1 30 int g0/0/1
int g0/0/1 int g0/0/2 ip addr 10.36.0.1 30
Netw 10.0.0.0 0.255.255.255
ip addr 10.26.0.1 30 ip addr 10.36.0.2 30 int g0/0/2 quit
Int g0/0/3 Int g0/0/3 ip addr 10.26.0.2 30
Ip addr 10.32.0.1 30 Ip addr 10.32.0.2 30 quit
quit quit
67
Confed e RR – Estabelecimento das sessões
R1 R7 R4 R5
bgp 65000 Bgp 65000 Bgp 65000 Bgp 65000
confederation id 1000 confederation id 1000 confederation id 1000 confederation id 1000
confederation peer-as 65001 confederation peer-as 65001 confederation peer-as 65001 confederation peer-as 65001
peer 200.0.0.2 as-number 2000 Peer 10.17.0.2 as-number 65000 Peer 10.47.0.1 as-number 65000 Peer 10.57.0.1 as-number 65000
peer 10.17.0.1 as-number 65000 Peer 10.47.0.2 as-number 65000 Return Peer 10.25.0.1 as-number 65001
Return Peer 10.57.0.2 as-number 65000 Save Peer 10.35.0.1 as-number 65001
Save Peer 10.17.0.2 reflect-client Return
Peer 10.47.0.2 reflect-client Save
Peer 10.57.0.2 reflect-client
return
save

R2 R3 R6
Bgp 65001 Bgp 65001 Bgp 65001
confederation id 1000 confederation id 1000 confederation id 1000
confederation peer-as 65000 confederation peer-as 65000 confederation peer-as 65000
Peer 10.25.0.2 as-number 65000 Peer 10.35.0.2 as-number 65000 Peer 10.26.0.1 as-number 65001
Peer 10.26.0.2 as-number 65001 Peer 10.36.0.1 as-number 65001 Peer 10.36.0.2 as-number 65001
Peer 10.32.0.2 as-number 65001 Peer 10.32.0.1 as-number 65001 network 6.0.0.0 24
Return Return Return
Save Save Save
68
 Uma rota eBGP confederada
Uma rota eBGP com AS 1000 Uma rota iBGP padrão
proveniente do AS 65001

Verificando os resultados
69
BGP
Duvidas?

70
MPLS – Basics
• Tecnologia de encaminhamento de pacotes baseada em pequenos
rótulos;

• Objetivo inicial: um encaminhamento de pacotes mais eficiente do

que o roteamento IP comum;

• Serve também como base para alguns “serviços avançados” como:

• VPNs L3;
• AToM(Any transport over mpls) – VPNs L2;
• MPLS TE(Traffic Engeneerin);
• Serviços com garantia de banda.

71
MPLS – Basics
• Por ter sido criado após a concepção do OSI o MPLS é considerado
um protocolo de camada 2.5;

• O cabeçalho extra(32 bits) é inserido no modelo OSI entre a L2 e a L3

da seguinte forma:
• Label (20 bits);
• EXP (3 bits) – CoS;
• End of stak flag(1 bit) – caso o rótulo atual seja o último da pilha;
• TTL (8 bits).

72
MPLS - Basics
• É permitido o uso de mais de 1 label;

• Os labels são agrupados em pilhas;

• Os LSRs sempre usam o label que estiver no topo da pilha;

• Existem vários métodos de distribuição de labels:

• Static Label Mapping;
• LDP – mapeia o destino unicast dentro do label;
• BGP – labels externos (VPN);
• RSVP, CR-LDP – usados em traffic engeneering e reserva de recursos.

73
 MPLS
Cenário

74
 MPLS – Configuração Base
PE1
Sys
Sysname PE1
Router id 1.1.1.1
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
interface GigabitEthernet0/0/0
ip address 100.64.0.1 255.255.255.252
ospf network-type p2p
interface GigabitEthernet0/0/1
ip address 100.64.0.14 255.255.255.252
ospf network-type p2p
quit
ospf 1
area 0.0.0.0
network 100.64.0.0 0.0.0.3
network 100.64.0.12 0.0.0.3
network 1.1.1.1 0.0.0.0
Return
Save
P1
Sys
PE2 Sysname P1
Sys Router id 2.2.2.2
Sysname PE2 interface LoopBack0
Router id 4.4.4.4 ip address 2.2.2.2 255.255.255.255
interface LoopBack0 interface GigabitEthernet0/0/0
ip address 4.4.4.4 255.255.255.255 ip address 100.64.0.5 255.255.255.252
ospf network-type p2p
interface GigabitEthernet0/0/0
ip address 100.64.0.9 255.255.255.252 interface GigabitEthernet0/0/1
ospf network-type p2p ip address 100.64.0.2 255.255.255.252
ospf network-type p2p
interface GigabitEthernet0/0/1
ip address 100.64.0.6 255.255.255.252 interface GigabitEthernet0/0/2
ospf network-type p2p ip address 100.64.0.17 255.255.255.252
quit ospf network-type p2p
quit
ospf 1
area 0.0.0.0 ospf 1
network 100.64.0.4 0.0.0.3 area 0.0.0.0
network 100.64.0.8 0.0.0.3 network 100.64.0.0 0.0.0.3
network 4.4.4.4 0.0.0.0 network 100.64.0.4 0.0.0.3
network 100.64.0.16 0.0.0.3
Return network 2.2.2.2 0.0.0.0
Save return
save
P2
Sys
Sysname P2
Router id 3.3.3.3
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
interface GigabitEthernet0/0/0
ip address 100.64.0.13 255.255.255.252
ospf network-type p2p
interface GigabitEthernet0/0/1
ip address 100.64.0.10 255.255.255.252
ospf network-type p2p
interface GigabitEthernet0/0/2
ip address 100.64.0.18 255.255.255.252
ospf network-type p2p
quit
ospf 1
area 0.0.0.0
network 100.64.0.8 0.0.0.3
network 100.64.0.16 0.0.0.3
network 100.64.0.12 0.0.0.3
network 3.3.3.3 0.0.0.0
Return
Save 75
MPLS – Ativando o MPLS
• Para ativar o MPLS precisamos efetuar 3 passos no router:
• Setar o LSR ID da instância MPLS: [huawei] mpls lsr-id x.x.x.x
• Ativar o MPLS no router: [huawei] mpls
• Ativar o LDP: [huawei] mpls ldp

• E mais 2 passos nas interfaces. Ex.:

interface g0/0/0
mpls
mpls ldp

• A vizinhança se da via troca de mensagens em broadcast

76
MPLS – Configuração Base
PE1 PE2 P1 P2

Sys Sys Sys Sys

mpls lsr-id 1.1.1.1 mpls lsr-id 4.4.4.4 mpls lsr-id 2.2.2.2 mpls lsr-id 3.3.3.3
mpls mpls mpls mpls
mpls ldp mpls ldp mpls ldp mpls ldp

interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0

mpls mpls mpls mpls
mpls ldp mpls ldp mpls ldp mpls ldp

interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/1

mpls mpls mpls mpls
mpls ldp mpls ldp mpls ldp mpls ldp

interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/2

mpls mpls
mpls ldp mpls ldp

77
 • display mpls route-state
• display mpls lsp
• display mpls ldp lsp
• display mpls forwarding-table (não funciona no emulador)
• display mpls entry summary

• display mpls ldp session – informa se você estabeleceu vizinhança

MPLS
Troubleshooting

78
MPLS – L2VPN/L2VC = Pseudowire
• O túnel L2VC permite interligar 2 pontos remotos através do seu backbone MPLS;
• Ele funciona exatamente como se fosse um cabo de rede físico. Porém é totalmente
virtual como o próprio nome sugere;

• Sua configuração é extremamente simples. Você precisa somente::

• No router: mpls l2vpn (para informar que vai usar l2vpns)
• Fechar a sessão target: mpls ldp remote-peer NOMEDOPEER
• Informar o ip do peer remoto: remote-ip 3.3.3.3
• Na interface cliente: mpls l2vc x.x.x.x yyy

• x.x.x.x = ip de loopback do router vizinho

• yyy = id da sessão que deve ser igual nos endpoints

• Obs.: Você só precisa fechar 1 sessão target entre os endpoints porém pode criar um l2vc
pra cada interface cliente caso deseje.

79
Mini Lab – L2VPN/L2VC
• Comunicar em mesma LAN os PC1 e PC2 usando L2VC
P1 P2

Sys Sys

mpls l2vpn mpls l2vpn

quit quit

mpls ldp remote-peer P2 mpls ldp remote-peer P1

remote-ip 3.3.3.3 remote-ip 2.2.2.2
quit quit

interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/3

mpls l2vc 3.3.3.3 102 mpls l2vc 2.2.2.2 102

return return
save save

• Debug: disp mpls l2vc brief

80
Link estabelecido Conectividade L2 confirmada

Verificando os resultados
81
MPLS – VPLS/VSI = Virtual Switch
• Funcionalidade similar a L2VC porém designada para atender 2 ou
mais pontos;
• Necessita o mesmo suporte no router: mpls l2vpn.
• Também são baseadas em sessões target do LDP;
• Cada VSI é identificada por um nome e um ID;
• Os nomes são uma identificação puramente local não vinculada a
nenhuma propagação de informação;
• Por outro lado o ID é um parâmetro importante para agrupar clientes
ao mesmo Virtual Switch.

82
MPLS – VPLS/VSI = Virtual Switch
• Se você já possui seu backbone MPLS e já ativou o suporte l2vpn,
basta criar as VSIs conforme o exemplo abaixo:

vsi NOMEDAVSI static

pwsignal ldp
vsi-id X
peer Y.Y.Y.Y
interface GigabitEthernet0/0/0
l2 binding vsi NOMEDAVSI

83
Mini Lab – L2VPN/VSI
• Comunicar os clientes do PE1 e do PE2 ao mesmo Virtual Switch
PE1 PE2

Sys Sys

mpls l2vpn mpls l2vpn

quit quit

mpls ldp remote-peer PE2 mpls ldp remote-peer PE1

remote-ip 4.4.4.4 remote-ip 1.1.1.1
quit quit

vsi VSWITCH1 static vsi VSWITCH1 static

pwsignal ldp pwsignal ldp
vsi-id 1 vsi-id 1
peer 4.4.4.4 peer 1.1.1.1

interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/2

l2 binding vsi VSWITCH1 l2 binding vsi VSWITCH1

interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/3

l2 binding vsi VSWITCH1 l2 binding vsi VSWITCH1
84
 display vsi verbose

Se não estiver up Se não estiver up interface

analise os dados analise os dados cliente da
da vsi da sessão ldp VSI oposta

interfaces
participantes da
VSI no PE

Analisando os resultados
85
MPLS – L3VPN - Basics
• Ao contrário da VPLS funciona em L3;

• Também conhecida como L3VPN;

• O suporte a multiprotocolos do BGP permite distribuir rotas entre

VRFs ou até para o próprio router;

• Entretanto a rede informada deve ter suporte ao MPLS também.

• Dentro da família Huawei é conhecida como VPN-INSTANCE

86
MPLS – L3VPN - Basics
• O RD(route distinguisher) é usado para tornar os prefixos IPv4 únicos;

• RD+(Prefixo IPv4/IPv6) = Prefixo VPNv4/v6;

• Formato do prefixo:
• IP:numérico;
• ASN:numérico;

87
MPLS – L3VPN - Basics
• Já os RT(Route target)s foram introduzidos para prover interconexão entre
sites de diferentes empresas, conhecidos também como VPNs extranet;

• Os RTs são “extensões” de communitys BGP usados para especificar quais

prefixos VPNv4/v6 serão importados pra tabela VRF;

• Exportar um RT: o prefixo VPNv4 recebe uma “extensão” community BGP

extra;

• Importar um RT: a rota VPNv4 recebida é verificada para uma determinada

RT.
88
MPLS – L3VPN - Exemplo

89
L3VPN
Cenário

90
MPLS – L3VPN – Configuração Base
• Se você já tem seu backbone MPLS basta subir o BGP e ativar o suporte a vpn4
entre os PE do iBGP conforme o exemplo abaixo:

bgp 65000
peer 4.4.4.4 as-number 65000
peer 4.4.4.4 connect-interface LoopBack0

ipv4-family vpnv4
peer 4.4.4.4 enable

91
MPLS – L3VPN – Configuração Base
• Em seguida criar a vpn-instance determinando os valores de RD a ser
gerado e RTs a serem exportados/importados conforme o exemplo abaixo:

ip vpn-instance CLIENTE-A
ipv4-family
route-distinguisher 65000:1
vpn-target 65000:1 export-extcommunity
vpn-target 65000:4 import-extcommunity

92
MPLS – L3VPN – Configuração Base
• Em seguida você deve atribuir a vpn-instance a uma determinada
interface conforme o exemplo abaixo:

interface GigabitEthernet0/0/2
ip binding vpn-instance CLIENTE-A
ip address 10.0.0.1 255.255.255.252

93
MPLS – L3VPN – Configuração Base
• Em seguida você deve definir o modo de comunicação CE-PE. Pra isso
você pode usar BGP ou OSPF;
• Em ambos os casos devemos vincular a VPNv4 a esta instancia
especifica de comunicação CE-PE;

ipv4-family vpn-instance CLIENTE-A ospf 10 vpn-instance CLIENTE-A

peer 10.0.0.2 as-number 65001 import-route ????
peer 10.0.0.2 substitute-as area 0.0.0.0
peer 10.0.0.2 route-policy SET-GERENCIA export network 10.0.0.0 0.0.0.3

94
 LAB – VRF – Primeiro passo
• O objetivo é criar comunicação entre PC1 e PC4 e entre o PC2 e PC3;
• Caso você tenha resetado os routers, repita os passos dos slides 59 e
61 e em seguida vamos estabelecer as sessões iBGP;
P1 P2 PE1 PE2

bgp 65000 bgp 65000 bgp 65000 bgp 65000

peer 1.1.1.1 as-number 65000 peer 2.2.2.2 as-number 65000 peer 2.2.2.2 as-number 65000 peer 2.2.2.2 as-number 65000
peer 1.1.1.1 connect-interface LoopBack0 peer 2.2.2.2 connect-interface LoopBack0 peer 2.2.2.2 connect-interface LoopBack0 peer 2.2.2.2 connect-interface LoopBack0
peer 3.3.3.3 as-number 65000
peer 3.3.3.3 connect-interface LoopBack0 ipv4-family unicast peer 4.4.4.4 as-number 65000 peer 1.1.1.1 as-number 65000
peer 4.4.4.4 as-number 65000 peer 2.2.2.2 enable peer 4.4.4.4 connect-interface LoopBack0 peer 1.1.1.1 connect-interface LoopBack0
peer 4.4.4.4 connect-interface LoopBack0
ipv4-family unicast
ipv4-family unicast ipv4-family unicast peer 2.2.2.2 enable
peer 1.1.1.1 enable peer 2.2.2.2 enable
peer 1.1.1.1 reflect-client
peer 3.3.3.3 enable
peer 3.3.3.3 reflect-client
peer 4.4.4.4 enable
peer 4.4.4.4 reflect-client
95
LAB – VRF – Segundo passo
• Ativar o suporte a VPNv4 nos routers PE1 e PE2;

PE1 PE2

bgp 65000 bgp 65000

ipv4-family vpnv4 ipv4-family vpnv4

undo policy vpn-target undo policy vpn-target
peer 4.4.4.4 enable peer 1.1.1.1 enable

• Obs.: Caso você queira utilizar o vpn-target você será obrigado a

utilizar filtros para efetuar as marcações
route-policy RP-ClienteA-in permit node 10
if-match ip-prefix PL-CLIENTE-X
apply extcommunity rt 65000:X 96
LAB – VRF – Terceiro passo
• Criar as VPN-INSTANCEs e atribui-las as interfaces em PE1 e PE2
PE1
ip vpn-instance CLIENTE-A
ipv4-family
route-distinguisher 65000:1
vpn-target 65000:1 export-extcommunity
vpn-target 65000:4 import-extcommunity
ip vpn-instance CLIENTE-B
ipv4-family
route-distinguisher 65000:2
vpn-target 65000:2 export-extcommunity
vpn-target 65000:3 import-extcommunity
PE2
ip vpn-instance CLIENTE-B
ipv4-family
route-distinguisher 65000:3
vpn-target 65000:3 export-extcommunity
vpn-target 65000:2 import-extcommunity
ip vpn-instance CLIENTE-A
ipv4-family
route-distinguisher 65000:4
vpn-target 65000:4 export-extcommunity
vpn-target 65000:1 import-extcommunity
PE1
interface GigabitEthernet0/0/2
ip binding vpn-instance CLIENTE-A
ip address 10.0.0.1 255.255.255.252
interface GigabitEthernet0/0/3
ip binding vpn-instance CLIENTE-B
ip address 10.0.16.1 255.255.255.252
PE2
interface GigabitEthernet0/0/2
ip binding vpn-instance CLIENTE-B
ip address 10.0.0.1 255.255.255.252
interface GigabitEthernet0/0/3
ip binding vpn-instance CLIENTE-A
ip address 10.0.16.1 255.255.255.252
97
 LAB – VRF – Quarto passo
• Estabelecer a comunicação PE-CE utilizando BGP
PE1 PE2

bgp 65000 bgp 65000

ipv4-family vpn-instance CLIENTE-A ipv4-family vpn-instance CLIENTE-A

peer 10.0.0.2 as-number 65001 peer 10.0.16.2 as-number 65002
peer 10.0.0.2 substitute-as peer 10.0.16.2 substitute-as
peer 10.0.0.2 route-policy RP-ClienteA-in import peer 10.0.16.2 route-policy RP-ClienteA-in import
peer 10.0.0.2 route-policy RP-ClienteA-out export peer 10.0.16.2 route-policy RP-ClienteA-out export

ipv4-family vpn-instance CLIENTE-B ipv4-family vpn-instance CLIENTE-B

peer 10.0.16.2 as-number 65002 peer 10.0.0.2 as-number 65001
peer 10.0.16.2 substitute-as peer 10.0.0.2 substitute-as
peer 10.0.16.2 route-policy RP-ClienteB-in import peer 10.0.0.2 route-policy RP-ClienteB-in import
peer 10.0.16.2 route-policy RP-ClienteB-out export peer 10.0.0.2 route-policy RP-ClienteB-out export

98
LAB – VRF – Quarto passo – continuação...
• Estabelecer a comunicação PE-CE utilizando BGP
PE1 PE2

CA-Site1 CB-Site2 CB-Site1 CA-Site2

Sys Sys Sys Sys

Sysname CA-Site1 Sysname CB-Site2 Sysname CB-Site1 Sysname CA-Site2
interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/3
ip address 10.0.0.2 30 ip address 10.0.16.2 30 ip address 10.0.0.2 30 ip address 10.0.16.2 30

interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0 interface GigabitEthernet0/0/0

ip address 192.168.1.1 24 ip address 192.168.2.1 24 ip address 192.168.3.1 24 ip address 192.168.4.1 24

interface LoopBack0 interface LoopBack0 interface LoopBack0 interface LoopBack0

ip address 11.11.11.1 32 ip address 22.22.22.2 32 ip address 22.22.22.1 32 ip address 11.11.11.2 32

bgp 65001 bgp 65002 bgp 65001 bgp 65002

peer 10.0.0.1 as-number 65000 peer 10.0.16.1 as-number 65000 peer 10.0.0.1 as-number 65000 peer 10.0.16.1 as-number 65000
network 11.11.11.1 255.255.255.255 network 22.22.22.2 255.255.255.255 network 22.22.22.1 255.255.255.255 network 11.11.11.2 255.255.255.255
network 192.168.1.0 255.255.255.0 network 192.168.2.0 255.255.255.0 network 192.168.3.0 255.255.255.0 network 192.168.4.0 255.255.255.0

99
LAB – VRF – Analisando os resultados
Verificar sessões estabelecidas:

disp bgp vpnv4 all peer

100
LAB – VRF – Analisando os resultados
Verificar em PE1 ou PE2 o recebimento correto
das rotas conforme os RDs gerados

disp bgp vpnv4 all routing-table

Obs.: Perceba que mesmo chegando todos

RDs em PE1 ou PE2, os clientes A e B só instalam
as rotas que você permitiu na vpn-instance de cada

101
LAB – VRF – Analisando os resultados
Verificar as tabelas de rotas dos CA e CB

disp bgp routing-table

102
LAB – VRF – Analisando os resultados
Analisando as conectividades. (Lembrem-se de configurar as LANs dos PCs)
Veja que para testar a conectividade de CE para CE você precisa informar a Loopback para
garantir alcance.

Veja também que mesmo o PE sendo o mesmo para ambos os sites, só vai existir comunicação
entre os CE que você permitiu.

103
VRF - Troubleshooting
• disp bgp vpnv4 vpn-instance CLIENTE-A routing-table
• disp bgp vpnv4 vpn-instance CLIENTE-B routing-table

• disp bgp vpnv4 vpn-instance CLIENTE-A peer

• disp bgp vpnv4 vpn-instance CLIENTE-B peer

• ping -vpn-instance CLIENTE-A 10.0.0.2

• ping -vpn-instance CLIENTE-B 10.0.0.2

• disp ip routing-table vpn-instance CLIENTE-A

• disp ip routing-table vpn-instance CLIENTE-B

• tracert -vpn-instance CLIENTE-A 10.0.0.2

• tracert -vpn-instance CLIENTE-B 10.0.0.2

104
 Obrigado a todos!
• Meus contatos:
• Email: ramires@alivesolutions.com.br
• Fanpage: www.facebook.com/AliveSolutions
• Website: www.alivesolutions.com.br

• Grupo de discussão

https://chat.whatsapp.com/BEwLDw2G1XEJJKkyaqFQNk
105