配置PE上的VPN实例

操作步骤

1. 执行命令system-view，进入系统视图。
2. 执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN实例视图。

   VPN实例的名字区分大小写。例如，“vpn1”和“VPN1”将被认为是不同的VPN实例。

3. （可选）执行命令description description-information，配置VPN实例的描述信息。
4. （可选）执行命令service-id service-id，配置VPN实例的业务标识值。

   业务标识值用来区别网络上不同的VPN服务，方便网管查询该服务。业务标识值在同一台设备上具有唯一性。

5. 执行命令ipv4-family，使能VPN实例IPv4地址族，并进入VPN实例IPv4地址族视图。

   VPN实例下支持双栈，即IPv4地址族和IPv6地址族。根据通告路由和转发数据的类型使能相应的地址族后，才能进行VPN的相关配置。

6. 执行命令route-distinguisher route-distinguisher，配置VPN实例IPv4地址族的RD。

   VPN实例IPv4地址族只有配置了RD后才生效。同一PE上的不同VPN实例IPv4地址族下的RD不能相同。

   • RD配置后不能被修改或删除。如果要修改RD或删除RD，需要先删除对应的VPN实例或者去使能VPN实例IPv4地址族。

   • 若创建VPN实例进入VPN实例视图后，直接配置VPN实例IPv4地址族的RD，配置完成后则会自动使能VPN实例IPv4地址族并跳至VPN实例IPv4地址族视图，可直接进行相应配置。

7. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ]，为VPN实例IPv4地址族配置VPN-target扩展团体属性。

   VPN Target是BGP的扩展团体属性，用来控制VPN路由信息的接收和发布。一条vpn-target命令最多可以配置8个VPN Target。

   设备仅作为MCE时，不需要配置该步骤。

8. （可选）限制VPN路由转发表规模。

   为防止PE设备从CE和对端PE引入的路由数量过多，可以配置一个VPN实例能够支持的最大路由数或最大路由前缀数。建议二者只选其中之一配置。

   缺省情况下无限制，路由数不超过设备支持的单播路由总数即可。

   • 执行命令routing-table limit number { alert-percent | simply-alert }，配置VPN实例IPv4地址族的最大路由数。

     配置了routing-table limit命令，当注入到VPN实例IPv4地址族路由表的路由超限时，系统会给出提示信息。执行routing-table limit命令增大VPN实例IPv4地址族下支持的最大路由数或者执行undo routing-table limit命令取消路由表限制后，对于这些超限的路由，系统将重新从各个协议路由表接收路由，构建私网IP路由表。

   • 执行命令prefix limit number { alert-percent [ route-unchanged ] | simply-alert }，配置VPN实例IPv4地址族的最大路由前缀数。

     配置了prefix limit命令，当注入到VPN实例IPv4地址族路由表的路由前缀超限时，系统会给出提示信息。执行prefix limit命令增大VPN实例IPv4地址族下支持的最大路由数或者执行undo prefix limit命令取消路由表限制后，对于这些超限的路由前缀，系统将重新从各个协议路由表接收路由，构建私网IP路由表。

     当路由前缀超限时，直连路由和静态路由依然可以被添加到VPN实例IPv4地址族路由表中。

9. （可选）执行命令limit-log-interval interval，配置VPN实例IPv4地址族的路由超出限制后输出日志的频率。

   VPN实例相应地址族下的路由或者前缀数超出了该地址族所能容纳的最大值后，系统每间隔一段时间（默认值为5秒）就会打出一条路由超限的日志。当不希望日志频繁输出时，执行该步骤调整日志输出的频率。

10. （可选）配置VPN实例的路由策略。
    在通过VPN Target属性控制VPN路由收发的同时，如果需要更精确地控制VPN路由，还可以配置VPN实例的路由策略。

    • 入方向路由策略可以过滤引入到VPN实例IPv4地址族的路由信息。
    • 出方向路由策略则可以进一步过滤可发布给其他PE的路由。

    为VPN实例配置路由策略之前必须已经创建了路由策略。有关路由策略的详细配置，请参见《S12700 V200R010C00 配置指南-IP单播路由》 路由策略配置。

    请根据需求，选择如下配置。

    • 执行命令import route-policy policy-name，配置VPN实例IPv4地址族入方向路由策略。
    • 执行命令export route-policy policy-name，配置VPN实例IPv4地址族出方向路由策略。

11. （可选）配置VPN实例IPv4地址族下的标签分发方式，选择如下配置之一：

    • 执行命令apply-label per-instance，配置基于VPN实例IPv4地址族分配MPLS标签，使同一个VPN实例中的所有路由都使用同一个标签。

      当PE上的VPN路由数量很多导致MPLS标签资源不足时，每实例每标签的标签分配方式可以节省PE上的标签资源，降低对PE设备容量的要求。

    • 执行命令apply-label per-route，配置当前VPN实例地址族下的所有发往对端PE的每条路由使用单独的标签值。

      当PE上的VPN路由数量不多且MPLS标签资源足够时，每路由每标签的标签分配方式可以提高设备安全性，并且便于下游设备基于报文的内层标签负载分担VPN流量。

    缺省情况下，系统采用每实例每标签的标签分配方式。