所选语种没有对应资源,请选择:
企业业务网站
选择区域/语言
Huawei Global - English
技术支持 文档中心
NetEngine 8000 X V800R012C00SPC300 配置指南 - VPN 04
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基本BGP/MPLS IPv6 VPN

配置基本BGP/MPLS IPv6 VPN

基本BGP/MPLS IPv6 VPN是指:只包括一个运营商、MPLS骨干网不跨域,PE、P、CE设备不兼任其它功能(没有一台设备既是PE,又是CE)。配置基本的BGP/MPLS IPv6 VPN之后,将可以实现IPv6 VPN的功能。

应用环境

本节介绍基本的BGP/MPLS IPv6 VPN组网配置,配置基本BGP/MPLS IPv6 VPN之后,将可以实现VPN的相关功能。VPN可以使多个用户私有网络通过运营商骨干网络进行通信,在路由的传输过程中,VPN私网路由与骨干网络的公网路由隔离。不同VPN实例的路由之间也是相互隔离的。

图8-2所示,在该组网中需要实现如下功能:

  • Site1只能与Site3相互通信。

  • Site2只能与Site4相互通信。

  • 各个Site内的私网路由不能被MPLS骨干网感知,保证私网信息的安全性。

此时可以配置基本BGP/MPLS IPv6 VPN功能,将Site1与Site3配置为VPN1,Site2与Site4配置为VPN2。在路由传播过程中,CE和Site内的设备只接收和发送私网路由,不会感知到公网的存在;公网中的P设备不会感知到私网路由;PE设备对私网路由和公网路由分别进行管理。在数据传输过程中,私网的数据报文通过隧道在属于同一VPN的不同Site间相互传输,使公网设备不会感知到私网的报文内容,确保了私网的信息安全性。
图8-2 BGP/MPLS IPv6 VPN模型

前置任务

在配置基本BGP/MPLS IPv6 VPN之前,需完成以下任务:

  • 如果需要控制VPN实例IPv6地址族出或入方向的路由,需配置路由策略

  • 在PE的需要配置IPv6的接口使能IPv6

  • 对MPLS骨干网(PE、P)配置IGP,实现骨干网的IP连通性

  • 对MPLS骨干网(PE、P)配置MPLS基本能力

  • 在PE之间建立隧道(LSP或者MPLS TE隧道)

  • 在CE上配置接入PE的接口的IPv6地址

配置VPN实例

配置IPv6地址族的VPN实例,用以管理IPv6 VPN路由。

背景信息

BGP/MPLS IPv6 VPN为每个VPN进行实例化,构建本VPN私有转发信息实例,即VPN实例(VPN-instance)。VPN实例也称为VPN路由转发表VRF(VPN Routing and Forwarding table)。在相关标准中,VPN实例被称为per-site forwarding table。

VPN实例用于将VPN私网路由与公网路由隔离。不同VPN实例的路由之间也是相互隔离的。在所有BGP/MPLS IPv6 VPN组网方案中,都需要配置VPN实例。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ip vpn-instance vpn-instance-name,创建VPN实例,并进入VPN实例视图。

    VPN实例的名字区分大小写。例如,“vpn1”和“VPN1”将被认为是不同的VPN实例。

  3. (可选)执行命令description description-information,配置VPN实例的描述信息。

    描述信息的作用类似于主机名和接口描述信息,可以方便用户记忆VPN实例的创建信息。

  4. (可选)执行命令vpn-id vpn-id,配置VPN ID。通过配置vpn-id命令可以为VPN实例创建一个全局唯一的标识。在CU(Control Plane and User Plane)分离场景中,为了能确保控制平面和转发平面上相同VPN实例的VPN ID一致,用户可以使用vpn-id命令手工设置VPN ID。
  5. 执行命令ipv6-family,使能VPN实例IPv6地址族,并进入VPN实例IPv6地址族视图。

    VPN实例下支持双栈,即IPv4地址族和IPv6地址族。根据通告路由和转发数据的类型使能相应的地址族后,才能进行VPN的相关配置。

  6. 执行命令route-distinguisher route-distinguisher,配置VPN实例IPv6地址族的RD。

    VPN实例IPv6地址族只有配置了RD后才生效。同一PE上的不同VPN实例IPv6地址族下的RD不能相同。

    RD配置后不能被修改,但是可以被删除。如果删除了RD,则该VPN实例IPv6地址族下的所有配置都会被删除。

  7. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ],为VPN实例IPv6地址族创建VPN-target扩展团体。

    VPN Target是BGP的扩展团体属性,用来控制VPN-IPv6路由信息的接收和发布。一条vpn-target命令最多可以配置8个VPN Target。如果希望在VPN实例IPv6地址族下配置更多的VPN Target,可以多次使用vpn-target命令进行配置。

  8. (可选)执行命令prefix limit number { alert-percent [ route-unchanged ] | simply-alert },配置VPN实例IPv6地址族的最大路由前缀数。

    为防止PE设备上VPN实例IPv6地址族下的路由前缀过多,可以配置一个VPN实例IPv6地址族能够支持的最大路由前缀数。

    当路由前缀超限时,直连路由和静态路由依然可以被添加到VPN实例IPv6地址族路由表中。

  9. (可选)执行命令import route-policy policy-name,配置VPN实例IPv6地址族入方向路由策略。

    在通过VPN Target属性控制VPN路由收发的同时,如果需要更精确地控制VPN路由,还可以配置入方向的路由策略。入方向路由策略可以过滤引入到VPN实例IPv6地址族的路由信息。

  10. (可选)执行命令export route-policy policy-name [ add-ert-first ],配置VPN实例IPv6地址族出方向路由策略。

    在通过VPN Target属性控制VPN路由收发的同时,如果需要更精确地控制VPN路由,还可以配置出方向路由策略。出方向路由策略则可以进一步过滤可发布给其他PE的路由。

    缺省情况下,私网路由在通过出方向路由策略后才会加上出方向RT,如果该出方向路由策略带有对RT值进行匹配的过滤条件,则该出方向路由策略无法对私网路由产生作用。如果希望这样的出方向路由策略对私网路由进行过滤,则可以配置add-ert-first参数使私网路由在通过出方向路由策略前会先加上出方向RT。

  11. (可选)执行命令import route-filter route-filter-name,配置VPN实例IPv6地址族入方向过滤策略。

    在通过VPN Target属性控制VPN路由收发的同时,如果需要更精确地控制VPN路由,还可以配置入方向的过滤策略。入方向路由策略可以过滤引入到VPN实例IPv6地址族的路由信息。

  12. (可选)执行命令export route-filter route-filter-name [ add-ert-first ],配置VPN实例IPv6地址族出方向过滤策略。

    在通过VPN Target属性控制VPN路由收发的同时,如果需要更精确地控制VPN路由,还可以配置出方向过滤策略。出方向路由策略则可以进一步过滤可发布给其他PE的路由。

    缺省情况下,私网路由在通过出方向过滤策略后才会加上出方向RT,如果该出方向过滤策略带有对RT值进行匹配的过滤条件,则该出方向过滤策略无法对私网路由产生作用。如果希望这样的出方向过滤策略对私网路由进行过滤,则可以配置add-ert-first参数使私网路由在通过出方向过滤策略前会先加上出方向RT。

  13. (可选)执行命令tnl-policy policy-name,对VPN实例IPv6地址族应用隧道策略。

    通过对VPN实例IPv6地址族应用隧道策略,可以指定IPv6 VPN流量转发时使用的隧道。

  14. (可选)配置VPN实例IPv6地址族下标签的分配方式。

    • 执行命令apply-label { per-nexthop | per-route } pop-go,配置当前VPN实例IPv6地址族下所有发往对端PE的每条路由或每下一跳使用单独的标签值,并且当收到封装这个标签的数据报文后,系统将弹出标签并从ILM(Incoming Label Map,入标签映射表)中查找对应的出接口将数据报文转发出去。
    • 执行命令apply-label { per-instance | per-nexthop | per-route },配置VPN实例IPv6地址族下标签的分配方式。

    apply-label { per-nexthop | per-route } pop-go命令和apply-label { per-instance | per-nexthop | per-route }命令互斥,后一次配置的命令将会覆盖前一次配置的命令。

  15. 执行命令commit,提交配置。

配置接口与VPN实例绑定

通过配置接口与VPN实例关联,使该接口成为私网接口,从该接口进入的报文使用VPN实例中的转发信息进行转发。

背景信息

配置VPN实例后,需要将本设备上属于该VPN的接口与该VPN实例绑定,否则该接口将属于公网接口,无法转发VPN数据。

请在每个接入CE的PE上进行如下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入需要绑定接口的接口视图。
  3. 执行命令ip binding vpn-instance vpn-instance-name,将当前接口与VPN实例绑定。

    执行ip binding vpn-instance命令将删除接口上已经配置的IP地址和IPv6地址、路由协议等三层特性,如果需要应重新配置。

  4. 执行命令ipv6 enable,使能接口的IPv6能力。
  5. 执行命令ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length },配置接口的IPv6地址。

    为私网接口配置IPv6地址之后,PE-CE之间才能配置一些三层特性,例如PE-CE间的路由交互等。

  6. 执行命令commit,提交配置。

(可选)配置BGP VPN实例IPv6地址族Router ID

通过为BGP VPN实例IPv6地址族配置Router ID,使得同一台设备上不同BGP VPN实例IPv6地址族的Router ID不同。

背景信息

缺省情况下,BGP VPN实例IPv6地址族下没有配置Router ID,直接使用的是BGP Router ID,这样同一台设备的不同VPN实例的IPv6地址族Router ID是相同的。而有些情形下,需要为不同的VPN实例IPv6地址族配置不同的Router ID,比如:同一PE上的不同VPN实例IPv6地址族下需要建立BGP对等体。

为BGP VPN实例IPv6地址族配置Router ID有两种方式,根据需要选择其中的一种执行。

  • 为所有的BGP VPN实例IPv6地址族配置Router ID

  • 为指定的BGP VPN实例IPv6地址族配置Router ID

在BGP VPN实例IPv6地址族视图下配置Router ID命令的优先级高于BGP视图下配置Router ID命令的优先级。

修改或删除BGP VPN实例IPv6地址族配置的Router ID,若该BGP VPN实例IPv6地址族下有已经建立的BGP会话,BGP会话将重置。

操作步骤

  • 为所有的BGP VPN实例IPv6地址族配置Router ID
    1. 执行命令system-view,进入系统视图。
    2. 执行命令bgp as-number,进入BGP视图。
    3. 执行命令router-id vpn-instance auto-select,为所有的BGP VPN实例IPv6地址族配置Router ID。

      在BGP视图下,router-id vpn-instance auto-select命令的优先级高于router-id ipv4-address命令的优先级。

      为BGP VPN实例IPv6地址族自动选择Router ID的规则如下:

      • 如果使能IPv6地址族的VPN实例关联了配置IP地址的Loopback接口,则选择Loopback接口地址中最大的IP地址作为Router ID。

      • 如果使能IPv6地址族的VPN实例没有关联配置了IP地址的Loopback接口,则从VPN实例绑定的其他接口中选择最大的IP地址作为Router ID(不考虑接口的UP/DOWN状态)。

    4. 执行命令commit,提交配置。
  • 为指定的BGP VPN实例IPv6地址族配置Router ID
    1. 执行命令system-view,进入系统视图。
    2. 执行命令bgp as-number,进入BGP视图。
    3. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP VPN实例IPv6地址族视图。
    4. 执行命令router-id { ipv4-address | auto-select },为当前BGP VPN实例IPv6地址族配置Router ID或者自动选择Router ID。
    5. 执行命令commit,提交配置。

配置PE与PE间使用MP-IBGP

通过配置PE与PE间使用MP-IBGP,使其能够在PE设备之间传播VPNv6路由。

背景信息

在基本的BGP/MPLS IPv6 VPN组网中,PE之间需要通过MP-IBGP协议传递携带RD属性的VPNv6路由信息,实现VPN实例间的通信。由于所有的PE处于同一个AS,所以PE之间将建立MP-IBGP关系。在当前实现中,PE之间建立的是IPv4 BGP对等体。

请在每个PE上进行如下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令bgp as-number,进入BGP视图。
  3. 执行命令peer ipv4-address as-number as-number,将对端PE配置为对等体。
  4. 执行命令peer ipv4-address connect-interface loopback interface-number,指定建立TCP连接的接口。

    PE之间必须使用32位掩码的Loopback接口地址来建立MP-IBGP对等体关系,以便能够迭代到隧道。以Loopback接口地址为目的地址的路由通过MPLS骨干网上的IGP发布给对端PE。

  5. 执行命令ipv6-family vpnv6,进入BGP-VPNv6地址族视图。
  6. 执行命令peer ipv4-address enable,使能对等体交换VPN-IPv6路由信息的能力。
  7. 执行命令commit,提交配置。

配置PE和CE间路由交换

配置PE和CE间路由交换,是保证CE间互访的必要步骤。

背景信息

在BGP/MPLS IPv6 VPN里,为了实现CE和PE间的通信,以及本地CE能够获得其他CE站点的路由,需要在PE和CE之间配置路由协议。PE与CE之间的路由协议可以是:BGP4+、IPv6静态路由、RIPng、OSPFv3、IS-ISv6。根据实际情况,选择如下配置之一:
在CE和PE上配置路由协议时,会存在差异:
  • CE属于客户端设备,不能感知到VPN的存在,所以在CE上的配置路由协议时,不会带VPN的相关参数。
  • PE属于运营商网络的边缘设备,用来与CE设备连接,交换路由信息。PE可以与不同VPN的CE相连接,因此PE上需要维护不同的VRF,所以在PE上配置路由协议时,需要指定该路由协议属于的VPN实例名称,即携带VPN的相关参数。在PE上配置路由协议时,需要在MP-BGP和路由协议间引入对方的路由。

操作步骤

  • 配置PE和CE间使用BGP4+

    在PE上执行如下配置:

    1. 执行命令system-view,进入系统视图。
    2. 执行命令bgp as-number,进入BGP视图。
    3. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    4. (可选)执行命令as-number { as-number-plain | as-number-dot },为VPN实例IPv6地址族配置单独的AS号。

      当进行网络迁移或业务标识时,如果需要将一台物理设备在逻辑上模拟为多台BGP设备,可通过as-number命令为每个VPN实例IPv6地址族配置不同的AS号。

      在VPN实例IPv6地址族中配置单独的AS号时,不可以与BGP视图下配置的AS号相同。

    5. 执行命令peer ipv6-address as-number as-number,将CE配置为IPv6 VPN私网对等体。
    6. (可选)执行命令peer { ipv6-address | group-name } ebgp-max-hop [ hop-count ],配置EBGP连接的最大跳数。

      通常情况下,EBGP对等体之间必须具有直连的物理链路,如果不满足这一要求,则必须使用peer ebgp-max-hop命令允许它们之间经过多跳建立TCP连接。

      如果指定的最大跳数为1,则不能同非直连网络上的对等体建立EBGP连接。

    7. (可选)执行命令peer { group-name | ipv6-address } soo site-of-origin,对于指定的CE对等体,配置Site-of-Origin(SoO)属性。

      VPN某站点有多个CE采用BGP协议接入不同的PE时,从CE发往PE的VPN路由可能经过骨干网又回到了该站点,这样很可能会引起VPN站点内路由环路。

      应用SoO特性后,当PE收到CE发来的路由后,会为该路由添加SoO属性并发布给其他的PE对等体。其他PE对等体向接入的CE发布路由时会检查VPN路由携带的SoO属性,如果与本地配置的SoO属性相同,PE则不会向CE发布该路由。

    8. (可选)执行命令peer { group-name | ipv6-address } allow-as-loop [ number ],允许路由环路。

      此步骤用于Hub and Spoke组网方案。

      通常情况下,BGP通过AS号检测路由环路。但在Hub and Spoke组网方式下,如果在Hub-PE和Hub-CE之间运行EBGP,当Hub-PE将路由信息通告给Hub-CE时带上本自治系统的AS号。再从Hub-CE接收路由更新时,路由更新消息中会带有本自治系统的AS号,这样,Hub-PE就不能接收这条路由更新信息。为保证Hub and Spoke组网方式中路由能够正确传递,从Hub-CE发布私网路由到Spoke-CE途中经过的相关BGP对等体需要配置允许AS重复1次的路由通过。

    9. (可选)执行命令peer { group-name | ipv6-address } substitute-as,使能BGP的AS号替换功能。

      此步骤用于物理分散的CE复用相同AS号的组网方案,在PE上配置。

      在CE多归属的情况下,使能BGP AS号替换功能可能引起路由环路。

    10. (可选)配置BGP私网路由表向BGP VPNv6路由表发送路由的范围,请选择其中一种进行配置:

      • 执行命令advertise best-route,配置BGP私网路由表仅向BGP VPNv6路由表上送最优路由。

        缺省情况下,本地设备收到一条远端交叉路由(路由A),且该路由与本地私网路由表中的一条路由(路由B)的路由前缀相同而RD不同,即使路由B的选路优先级低于路由A,路由B也会被上送到BGP VPNv6路由表,并且假如路由B满足BGP VPNv6路由发送条件,它还会被发送至其他BGP VPNv6对等体。对于这类场景,如果用户希望仅有最优的BGP私网路由在网络中的BGP VPNv6对等体间传播,则可以在本地设备上配置advertise best-route命令,使BGP私网路由表仅将最优私网路由上送至BGP VPNv6路由表。

      • 执行命令advertise valid-routes,配置BGP私网路由表仅向BGP VPNv6路由表上送有效路由。

        缺省情况下,系统会将BGP私网路由表中的所有路由发布给BGP VPNv6路由表。用户可以配置advertise valid-routes命令向BGP VPNv6路由表上送有效路由。

    11. 执行命令commit,提交配置。

    在CE上执行如下配置:

    1. 执行命令system-view,进入系统视图。
    2. 执行命令bgp as-number,进入BGP视图。
    3. (可选)执行命令router-id ipv4-address,配置本设备的ID。

      如果本CE设备上不存在配置了IPv4地址的接口,需要配置本设备的Router ID。

    4. 执行命令peer ipv6-address as-number as-number,将PE配置为对等体。
    5. (可选)执行命令peer { ipv6-address | group-name } ebgp-max-hop [ hop-count ],配置EBGP连接的最大跳数。

      通常情况下,EBGP对等体之间必须具有直连的物理链路,如果不满足这一要求,则必须使用peer ebgp-max-hop命令允许EBGP对等体之间经过多跳建立TCP连接。

      如果指定的最大跳数为1,则不能同非直连网络上的对等体建立EBGP连接。

    6. 执行命令ipv6-family unicast,进入BGP-IPv6单播地址族视图。
    7. 执行命令peer ipv6-address enable,使能BGP IPv6对等体交换BGP路由信息。
    8. 执行命令import-route { direct | static | ripng process-id | ospfv3 process-id | isis process-id } [ med med | route-policy route-policy-name ]*,引入本站点的路由。

      CE将自己的VPN网段地址发布给接入的PE,通过PE发布给对端CE。根据实际组网情况,该步骤中需要引入的路由类型可能有所不同。

    9. 执行命令commit,提交配置。
  • 配置PE和CE间使用静态路由

    在PE上进行如下配置。

    有关IPv6静态路由的详细配置,请参见《HUAWEI NetEngine 8000 X系列路由器配置指南 IP路由》的“IPv6静态路由配置”

    1. 执行命令system-view,进入系统视图。
    2. 执行命令ipv6 route-static vpn-instance vpn-instance-name dest-ipv6-address prefix-length { interface-type interface-number [ nexthop-ipv6-address ] | vpn-instance vpn-destination-name nexthop-ipv6-address | nexthop-ipv6-address [ public ] } [ preference preference | tag tag ]* [ description text ],为指定VPN实例IPv6地址族配置静态路由。
    3. 执行命令bgp as-number,进入BGP视图。
    4. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    5. 执行命令import-route static [ med med | route-policy route-policy-name ] *,将配置的静态路由引入BGP-VPN实例IPv6地址族路由表。
    6. (可选)配置BGP私网路由表向BGP VPNv6路由表发送路由的范围,请选择其中一种进行配置:

      • 执行命令advertise best-route,配置BGP私网路由表仅向BGP VPNv6路由表上送最优路由。

        缺省情况下,本地设备收到一条远端交叉路由(路由A),且该路由与本地私网路由表中的一条路由(路由B)的路由前缀相同而RD不同,即使路由B的选路优先级低于路由A,路由B也会被上送到BGP VPNv6路由表,并且假如路由B满足BGP VPNv6路由发送条件,它还会被发送至其他BGP VPNv6对等体。对于这类场景,如果用户希望仅有最优的BGP私网路由在网络中的BGP VPNv6对等体间传播,则可以在本地设备上配置advertise best-route命令,使BGP私网路由表仅将最优私网路由上送至BGP VPNv6路由表。

      • 执行命令advertise valid-routes,配置BGP私网路由表仅向BGP VPNv6路由表上送有效路由。

        缺省情况下,系统会将BGP私网路由表中的所有路由发布给BGP VPNv6路由表。用户可以配置advertise valid-routes命令向BGP VPNv6路由表上送有效路由。

    7. 执行命令commit,提交配置。

    CE上的配置方法与普通IPv6静态路由相同,此处不再赘述。

    如果一个VPN接收本VPN以外的、非PE发布的路由,并将这些路由发布给PE,这类VPN称为过渡VPN(transit VPN)。只接收本VPN路由以及PE发布的路由的VPN称为stub VPN。通常情况下,静态路由只用于stub VPN的CE与PE间交换路由。

  • 配置PE和CE间使用RIPng

    在PE上进行如下配置。CE上配置普通RIPng协议,CE上的配置细节,这里不再赘述。RIPng协议的详细配置,请参见《HUAWEI NetEngine 8000 X系列路由器配置指南 IP路由》的“RIPng配置”,此处不再详述。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令ripng [ process-id ] vpn-instance vpn-instance-name,创建PE和CE间的RIPng实例,并进入RIPng视图。

      一个RIPng多实例进程只能属于一个VPN实例。如果在启动RIPng进程时不绑定到VPN实例,则该进程属于公网进程。

      如果该路由器上只运行一个RIPng进程(包括公网进程和多实例进程),则在命令中可以不指定参数process-id,即默认process-id为1。

    3. 执行命令import-route bgp [ permit-ibgp ] [ cost cost | inherit-cost | route-policy route-policy-name ] *,引入BGP路由。

      在RIPng视图下执行import-route bgp命令后,PE把从对端PE学到的VPN-IPv6路由引入到RIPng中,进而发布给自己的CE。

    4. 执行命令quit,退回系统视图。
    5. 执行命令interface interface-type interface-number,进入连接CE的接口视图。
    6. 执行命令ripng process-id enable,在该接口上使能RIPng。

      在接口视图下,如果没有使能IPv6,则此命令不可执行。

    7. 执行命令quit,退回系统视图。
    8. 执行命令bgp as-number,进入BGP视图。
    9. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    10. 执行命令import-route ripng process-id [ med med | route-policy route-policy-name ] *,将RIPng路由引入BGP-VPN实例IPv6地址族路由表。

      在BGP-IPv6 VPN实例IPv6地址族视图下执行import-route ripng命令后,PE把从本地CE学到的IPv6路由引入BGP中,形成VPN-IPv6路由发布给对端PE。

      如果RIPng多实例进程被删除,则运行该进程的全部接口也会被去使能RIPng。

      删除VPN实例或者去使能VPN实例IPv6地址族后,相关的所有RIPng进程也全部被删除。

    11. (可选)配置BGP私网路由表向BGP VPNv6路由表发送路由的范围,请选择其中一种进行配置:

      • 执行命令advertise best-route,配置BGP私网路由表仅向BGP VPNv6路由表上送最优路由。

        缺省情况下,本地设备收到一条远端交叉路由(路由A),且该路由与本地私网路由表中的一条路由(路由B)的路由前缀相同而RD不同,即使路由B的选路优先级低于路由A,路由B也会被上送到BGP VPNv6路由表,并且假如路由B满足BGP VPNv6路由发送条件,它还会被发送至其他BGP VPNv6对等体。对于这类场景,如果用户希望仅有最优的BGP私网路由在网络中的BGP VPNv6对等体间传播,则可以在本地设备上配置advertise best-route命令,使BGP私网路由表仅将最优私网路由上送至BGP VPNv6路由表。

      • 执行命令advertise valid-routes,配置BGP私网路由表仅向BGP VPNv6路由表上送有效路由。

        缺省情况下,系统会将BGP私网路由表中的所有路由发布给BGP VPNv6路由表。用户可以配置advertise valid-routes命令向BGP VPNv6路由表上送有效路由。

    12. 执行命令commit,提交配置。
  • 配置PE和CE间使用OSPFv3

    在CE上配置普通OSPFv3即可。有关OSPFv3的详细配置,请参见《HUAWEI NetEngine 8000 X系列路由器配置指南 IP路由》的“OSPFv3配置”。

    在PE上配置OSPFv3多实例,并配置OSPFv3和BGP路由的交互,

    1. 执行命令system-view,进入系统视图。
    2. 执行命令ospfv3 [ process-id ] [ vpn-instance vpnname ],启动OSPFv3多实例,进入OSPFv3多实例视图。

      一个OSPFv3进程只能属于一个VPN实例。如果在启动OSPFv3进程时不绑定到VPN实例,则该进程属于公网进程。属于公网的OSPFv3进程不能再绑定到VPN实例。

      删除VPN实例或者去使能VPN实例IPv6地址族后,相关的所有OSPFv3进程也将全部被删除。

    3. 执行命令router-id router-id,配置Router ID。

      Router ID是一台OSPFv3进程在自治系统中的唯一标识。如果用户没有指定Router ID号,则OSPFv3进程无法运行。

    4. (可选)执行命令domain-id { domain-id-int | domain-id-ipaddr },配置域ID。

      域ID可以用整数表示,也可以用点分十进制表示。

      通常情况下,从PE引入的路由将会作为External-LSA发布出去。但对属于同一个OSPFv3域不同节点的目的地,这样的路由应该作为Type-3 LSA(区域内路由)发布,这就需要为同一个OSPFv3域使用相同的域标识符。

    5. (可选)执行命令route-tag tag-value,配置VPN route tag。

    6. 执行命令import-route bgp [ cost cost | route-policy route-policy-name | tag tag | type type ] * ,将BGP路由引入OSPFv3中,以便PE通过OSPFv3协议将这些路由发送给CE。
    7. 执行命令quit,退回系统视图。
    8. 执行命令interface interface-type interface-number,进入绑定了VPN实例的接口视图。
    9. 执行命令ospfv3 process-id area area-id [ instance instance-id ],在接口上使能OSPFv3。
    10. 执行命令quit,退回系统视图。
    11. 执行命令bgp as-number,进入BGP视图。
    12. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    13. 执行命令import-route ospfv3 process-id [ med med | route-policy route-policy-name ] *,将OSPFv3路由引入BGP-VPN实例IPv6地址族路由表中。
    14. (可选)配置BGP私网路由表向BGP VPNv6路由表发送路由的范围,请选择其中一种进行配置:

      • 执行命令advertise best-route,配置BGP私网路由表仅向BGP VPNv6路由表上送最优路由。

        缺省情况下,本地设备收到一条远端交叉路由(路由A),且该路由与本地私网路由表中的一条路由(路由B)的路由前缀相同而RD不同,即使路由B的选路优先级低于路由A,路由B也会被上送到BGP VPNv6路由表,并且假如路由B满足BGP VPNv6路由发送条件,它还会被发送至其他BGP VPNv6对等体。对于这类场景,如果用户希望仅有最优的BGP私网路由在网络中的BGP VPNv6对等体间传播,则可以在本地设备上配置advertise best-route命令,使BGP私网路由表仅将最优私网路由上送至BGP VPNv6路由表。

      • 执行命令advertise valid-routes,配置BGP私网路由表仅向BGP VPNv6路由表上送有效路由。

        缺省情况下,系统会将BGP私网路由表中的所有路由发布给BGP VPNv6路由表。用户可以配置advertise valid-routes命令向BGP VPNv6路由表上送有效路由。

    15. 执行命令commit,提交配置。
  • 配置PE和CE间使用IS-ISv6

    在PE上进行如下配置,CE上配置普通IS-ISv6即可。IS-ISv6的详细配置,请参见《HUAWEI NetEngine 8000 X系列路由器配置指南 IP路由》的“IS-IS配置”,此处不再详述。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令isis process-id vpn-instance vpn-instance-name,创建PE和CE间的IS-IS实例,并进入IS-IS视图。

      一个IS-IS多实例进程只能属于一个VPN实例。如果在启动IS-IS进程时不绑定到VPN实例,则该进程属于公网进程。

      如果该路由器上只运行一个IS-IS进程(包括公网进程和多实例进程),则在命令中可以不指定参数process-id,即默认process-id为1。

      如果IS-IS多实例进程被删除,则运行该进程的全部接口也会被去使能IS-IS。

      删除VPN实例或者去使能VPN实例IPv6地址族,所有相关的IS-IS进程也全部被删除。

    3. 执行命令network-entity net-addr,设置网络实体名称。

      网络实体名称NET(Network Entity Title)同时定义了当前IS-IS的区域地址和设备的系统ID。

    4. (可选)执行命令is-level { level-1 | level-1-2 | level-2 },设置路由器的Level级别。

    5. 执行命令ipv6 enable [ topology { compatible [ enable-mt-spf ] | ipv6 | standard } ],使能IS-IS进程的IPv6能力。

      必须先在系统视图下使能IPv6,才能使能IS-IS进程的IPv6能力。

    6. 执行命令ipv6 import-route bgp inherit-cost [ tag tag | route-policy route-policy-name | [ level-1 | level-2 | level-1-2 ] ] *,引入BGP路由。
    7. 执行命令quit,退回系统视图。
    8. 执行命令interface interface-type interface-number,进入接口视图。
    9. 执行命令isis ipv6 enable [ process-id ],在指定接口上使能IS-ISv6。
    10. 执行命令quit,退回系统视图。
    11. 执行命令bgp as-number,进入BGP视图。
    12. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    13. 执行命令import-route isis process-id [ med med | route-policy route-policy-name ] *,将IS-IS路由引入BGP-VPN实例IPv6地址族路由表中路由表。
    14. (可选)配置BGP私网路由表向BGP VPNv6路由表发送路由的范围,请选择其中一种进行配置:

      • 执行命令advertise best-route,配置BGP私网路由表仅向BGP VPNv6路由表上送最优路由。

        缺省情况下,本地设备收到一条远端交叉路由(路由A),且该路由与本地私网路由表中的一条路由(路由B)的路由前缀相同而RD不同,即使路由B的选路优先级低于路由A,路由B也会被上送到BGP VPNv6路由表,并且假如路由B满足BGP VPNv6路由发送条件,它还会被发送至其他BGP VPNv6对等体。对于这类场景,如果用户希望仅有最优的BGP私网路由在网络中的BGP VPNv6对等体间传播,则可以在本地设备上配置advertise best-route命令,使BGP私网路由表仅将最优私网路由上送至BGP VPNv6路由表。

      • 执行命令advertise valid-routes,配置BGP私网路由表仅向BGP VPNv6路由表上送有效路由。

        缺省情况下,系统会将BGP私网路由表中的所有路由发布给BGP VPNv6路由表。用户可以配置advertise valid-routes命令向BGP VPNv6路由表上送有效路由。

    15. 执行命令commit,提交配置。
  • 配置PE和CE间使用直连路由

    PE和CE间使用直连路由只适用于CE是主机,且是通过VLANIF逻辑接口与PE相连的场景。在配置时,只需在与该CE相连的PE上配置即可。

    请在PE上进行如下配置。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip vpn-instance vpn-instance-name,进入VPN实例视图。
    3. 执行命令ipv6-family,进入VPN实例IPv4地址族视图。
    4. 执行命令nd vlink-direct-route advertise [ route-policy route-policy-name ]使能发布NDP Vlink直连路由。

      使用route-policy可以对发布的路由进行过滤,只有通过路由策略过滤的路由才允许被发布。

    5. 执行命令quit,退回VPN实例视图。
    6. 执行命令quit,退回系统视图。
    7. 执行命令bgp { as-number-plain | as-number-dot },进入BGP视图。
    8. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    9. 执行命令import-route direct [ med med | route-policy route-policy-name ]*,引入到本地CE的直连路由。

      将到本地CE的直连路由引入VPN路由表之后,本端PE通过MP-BGP将该直连路由发布到远端PE,远端CE将可以访问本地CE。

    10. (可选)配置BGP私网路由表向BGP VPNv6路由表发送路由的范围,请选择其中一种进行配置:

      • 执行命令advertise best-route,配置BGP私网路由表仅向BGP VPNv6路由表上送最优路由。

        缺省情况下,本地设备收到一条远端交叉路由(路由A),且该路由与本地私网路由表中的一条路由(路由B)的路由前缀相同而RD不同,即使路由B的选路优先级低于路由A,路由B也会被上送到BGP VPNv6路由表,并且假如路由B满足BGP VPNv6路由发送条件,它还会被发送至其他BGP VPNv6对等体。对于这类场景,如果用户希望仅有最优的BGP私网路由在网络中的BGP VPNv6对等体间传播,则可以在本地设备上配置advertise best-route命令,使BGP私网路由表仅将最优私网路由上送至BGP VPNv6路由表。

      • 执行命令advertise valid-routes,配置BGP私网路由表仅向BGP VPNv6路由表上送有效路由。

        缺省情况下,系统会将BGP私网路由表中的所有路由发布给BGP VPNv6路由表。用户可以配置advertise valid-routes命令向BGP VPNv6路由表上送有效路由。

    11. 执行命令commit,提交配置。

检查配置结果

配置了基本BGP/MPLS IPv6 VPN后,可以看到PE设备上创建的VPN实例IPv6地址族的信息,包括RD值及其相关属性,还可以在PE设备和CE设备上查看到本端站点和远端站点的IPv6 VPN路由信息。

前提条件

已经完成基本BGP/MPLS IPv6 VPN功能的所有配置。

操作步骤

  • 在PE设备上执行以下命令可以看到创建的VPN实例IPv6地址族的信息,包括RD值及其相关属性。

    • 使用display ip vpn-instance vpn-instance-name命令查看指定VPN实例的简要信息。

    • 使用display ip vpn-instance verbose vpn-instance-name命令查看指定VPN实例的详细信息,包括VPN实例IPv4地址族和IPv6地址族下的信息。

    • 使用display ip vpn-instance import-vt ivt-value命令查看所有具备指定入口vpn-target属性的VPN实例信息。

    • 使用display ip vpn-instance [ vpn-instance-name ] interface命令查看指定VPN实例所绑定的接口信息。
    • 使用display bgp vpnv6 all peer命令查看所有BGP VPNv6对等体信息。

  • 在PE设备和CE设备上执行以下命令可以查看到本端站点和远端站点的IPv6 VPN路由信息。

    • 使用display ipv6 routing-table vpn-instance vpn-instance-name命令在PE上查看VPN实例IPv6地址族的路由信息。
    • 使用display ipv6 routing-table命令在CE上查看路由信息。

翻译
English
下载文档
更新时间:2020-06-20

文档编号:EDOC1100143312

浏览量:60646

下载量:128

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为亿家APP下载 华为亿家APP下载

版权所有 © 华为技术有限公司 1998-2022。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: