所选语种没有对应资源,请选择:
企业业务网站
选择区域/语言
Huawei Global - English
技术支持 文档中心
NetEngine 8000 X V800R012C00SPC300 配置指南 - VPN 04
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Multi-VPN-Instance CE(IPv6)

配置Multi-VPN-Instance CE(IPv6)

通过在CE上配多实例路由协议实现局域网不同业务的隔离。

应用环境

随着用户业务的不断细化和安全需求的提高,需要在网络中部署业务隔离功能。如果采用传统的BGP/MPLS IPv6 VPN技术,需要为每个VPN部署一台CE设备与上层设备进行连接,这会导致较高的成本与部署工作的复杂度;而多个VPN共用一台CE设备与上层设备进行连接,则会由于使用同一个路由转发表,导致无法保证数据的安全性。为了解决多VPN网络带来的数据安全与网络成本之间的矛盾,此时可以在网络中配置MCE(Multi-VPN-Instance CE,多实例CE)功能。

图8-7所示,X公司在A市的研发部和销售部属于同一个局域网,且使用同一个CE设备接入VPN骨干网。为了让A市的销售部与B市的销售部互通,让A市的研发部与C市的研发部互通,同时保证研发部与销售部的完全隔离,可以在A市的CE及其接入的PE上都配置OSPF多实例。就像在PE上使用OSPF多实例一样,在A市的CE设备上为不同的业务建立各自的OSPF实例,相当于不同的业务使用不同的虚拟CE设备,使该CE设备成为MCE设备,即MCE设备。这样,可以用较低成本实现不同业务的隔离,保证各自的安全性。

图8-7 Multi-VPN-Instance CE组网示意图

前置任务

在配置Multi-VPN-Instance CE之前,需完成以下任务:

  • 在MCE及其接入的PE上配置VPN实例(每个业务配置一个VPN实例)

  • 配置局域网相关接口的链路层协议和网络层协议,将局域网接入到MCE上,每个业务使用一个接口接入MCE

  • 在MCE的每个接口及PE接入MCE的接口上都绑定相应的VPN实例,并配置IPv6地址,具体配置过程可以参见配置接口与VPN实例绑定

配置MCE上的路由协议

在MCE上需要配置各自实例的路由协议才能实现分别与PE和私网间的相互通信。

背景信息

MCE分别与PE和私网之间的路由协议可以是:BGP4+、静态路由、RIPng、OSPFv3、IS-ISv6。请根据实际情况,选择如下配置之一:

操作步骤

  • 在MCE上配置BGP4+
    1. 执行命令system-view,进入系统视图。
    2. 执行命令bgp as-number,进入BGP视图。
    3. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    4. 执行命令peer ipv6-address as-number as-number,将PE配置为VPN私网对等体。
    5. (可选)执行命令peer { ipv6-address | group-name } ebgp-max-hop [ hop-count ],配置EBGP连接的最大跳数。当MCE和PE之间不是直连的时候必须配置该步骤。

      通常情况下,EBGP对等体之间必须具有直连的物理链路,如果不满足这一要求,则必须使用peer ebgp-max-hop命令允许它们之间经过多跳建立TCP连接。

    6. 执行命令commit,提交配置。
  • 在MCE上配置静态路由
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ipv6 route-static vpn-instance vpn-source-name destination-ipv6-address prefix-length interface-type interface-number [ nexthop-ipv6-address ] [ preference preference | tag tag ] *,为指定VPN实例IPv6地址族配置静态路由。
    3. 执行命令commit,提交配置。
  • 在MCE上配置RIPng
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ripng process-id vpn-instance vpn-instance-name,创建MCE上的RIPng实例,并进入RIPng视图。

      一个RIPng进程只能属于一个VPN实例。如果在启动RIPng进程时不绑定到VPN实例,则该进程属于公网进程。属于公网的RIPng进程不能再绑定到VPN实例。

    3. 执行命令network network-address,在VPN实例绑定的接口所在网段运行RIPng。
    4. 执行命令commit,提交配置。

    删除VPN实例或者去使能VPN实例IPv6地址族后,所有相关的RIPng进程也全部被删除。

  • 在MCE上配置OSPFv3
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ospfv3 [ process-id ] vpn-instance vpnname,创建MCE上的OSPFv3多实例,并进入OSPFv3多实例视图。

      一个OSPFv3进程只能属于一个VPN实例,且该进程号必须与PE上的进程号一致。

    3. (可选)执行命令domain-id { domain-id-int | domain-id-ipaddr },配置域ID。

      域ID可以用整数表示,也可以用点分十进制表示。

      通常情况下,从PE引入的路由将会作为External-LSA发布出去。但对属于同一个OSPFv3域不同节点的目的地,这样的路由应该作为Type-3 LSA(区域内路由)发布,这就需要为同一个OSPFv3域使用相同的域标识符。

    4. (可选)执行命令route-tag tag-value,配置VPN route tag。

    5. 执行命令vpn-instance-capability simple,配置不进行路由环路检查。

      MCE上部署OSPFv3 VPN多实例时,从PE收到的OSPFv3路由中会设置DN Bit,而MCE由于配置了私网实例会开启环路检测功能,检测到带有DN位的LSA将无法参与路由计算。这种情况下,通过配置vpn-instance-capability simple命令可以取消OSPFv3路由环路检测,不检查DN Bit和Route-tag而直接计算出所有OSPFv3路由。

    6. 执行命令quit,退回系统视图。
    7. 执行命令interface interface-type interface-number,进入绑定了VPN实例的接口视图。
    8. 执行命令ospfv3 process-id area area-id [ instance instance-id ],在接口上使能OSPFv3。
    9. 执行命令commit,提交配置。

    删除VPN实例或者去使能VPN实例IPv6地址族后,相关的所有OSPFv3进程也将全部被删除。

  • 在MCE上配置IS-ISv6
    1. 执行命令system-view,进入系统视图。
    2. 执行命令isis process-id vpn-instance vpn-instance-name,创建MCE上的IS-IS实例,并进入IS-IS视图。

      一个IS-IS进程只能属于一个VPN实例。如果在启动IS-IS进程时不绑定到VPN实例,则该进程属于公网进程。属于公网的IS-IS进程不能再绑定到VPN实例。

    3. 执行命令network-entity net-addr,设置网络实体名称。

      网络实体名称NET(Network Entity Title)同时定义了当前IS-IS的区域地址和路由器的系统ID。

    4. (可选)执行命令is-level { level-1 | level-1-2 | level-2 },设置路由器的Level级别。

    5. 执行命令ipv6 enable [ topology { compatible [ enable-mt-spf ] | ipv6 | standard } ],使能IS-IS进程的IPv6能力。

      必须先在系统视图下使能IPv6,才能使能IS-IS进程的IPv6能力。

    6. 执行命令quit,退回系统视图。
    7. 执行命令interface interface-type interface-number,进入绑定VPN实例的接口视图。
    8. 执行命令isis ipv6 enable [ process-id ],在指定接口上使能IS-ISv6。
    9. 执行命令quit,退回系统视图。
    10. 执行命令commit,提交配置。

    删除VPN实例或者去使能VPN实例IPv6地址族后,相关的所有IS-IS进程也将全部被删除。

配置MCE接入的PE上的路由协议

在PE上配置多实例的路由协议用于与MCE相互通信。

背景信息

MCE与PE之间的路由协议可以是:BGP4+、静态路由、RIPng、OSPFv3、ISISv6。请根据实际情况,选择如下配置之一:

操作步骤

  • 在PE上配置BGP4+
    1. 执行命令system-view,进入系统视图。
    2. 执行命令bgp as-number,进入BGP视图。
    3. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    4. 执行命令peer ipv6-address as-number as-number,将MCE配置为VPN私网对等体。
    5. (可选)执行命令peer { ipv6-address | group-name } ebgp-max-hop [ hop-count ],配置EBGP连接的最大跳数。当PE和MCE之间不是直连的时候必须配置该步骤
    6. (可选)当需要将到MCE的直连路由引入VPN路由表中,以发布给对端PE时,可选择如下配置之一:

      • 执行命令import-route direct [ med med | route-policy route-policy-name ] *,把到MCE的直连路由引入到IPv6 VPN实例路由表。

      • 执行命令network ipv6-address prefix-length [ route-policy route-policy-name ],把到MCE的直连路由引入到IPv6 VPN实例路由表。

        PE会自动学习到MCE的直连路由,该路由优于MCE通过EBGP发布过来的直连路由,因此如果不配置此步骤,PE不会将该直连路由通过MP-BGP发布给对端PE。

    7. 执行命令commit,提交配置。
  • 在PE上配置静态路由
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ipv6 route-static vpn-instance vpn-source-name destination-ipv6-address prefix-length interface-type interface-number [ nexthop-ipv6-address ] [ preference preference | tag tag ] *,为指定VPN实例IPv6地址族配置静态路由。
    3. 执行命令bgp as-number,进入BGP视图。
    4. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    5. 执行命令import-route static [ med med | route-policy route-policy-name ] *,将配置的静态路由引入BGP-VPN实例IPv6地址族路由表。
    6. 执行命令commit,提交配置。
  • 在PE上配置RIPng
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ripng process-id vpn-instance vpn-instance-name,创建PE上的RIPng实例,并进入RIPng视图。一个RIPng进程只能属于一个VPN实例。
    3. 执行命令import-route bgp [ permit-ibgp ] [ cost cost | inherit-cost | route-policy route-policy-name ] *,引入BGP路由。

      在RIPng视图下执行import-route bgp命令后,PE把从对端PE学到的VPNv6路由引入到RIPng中,进而发布给MCE。

    4. 执行命令quit,退回系统视图。
    5. 执行命令interface interface-type interface-number,进入连接MCE的接口视图。
    6. 执行命令ripng process-id enable,在该接口上使能RIPng。

      在接口视图下,如果没有使能IPv6,则此命令不可执行。

    7. 执行命令quit,退回系统视图。
    8. 执行命令bgp as-number,进入BGP视图。
    9. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    10. 执行命令import-route ripng process-id [ med med | route-policy route-policy-name ] *,将RIPng路由引入BGP-VPN实例IPv6地址族路由表。

      在BGP-IPv6 VPN实例IPv6地址族视图下执行import-route ripng命令后,PE把从MCE学到的IPv6路由引入BGP中,形成VPN-IPv6路由发布给对端PE。

      如果RIPng多实例进程被删除,则运行该进程的全部接口也会被去使能RIPng。

      删除VPN实例或者去使能VPN实例IPv6地址族后,相关的所有RIPng进程也全部被删除。

    11. 执行命令commit,提交配置。

    删除VPN实例或者去使能VPN实例IPv6地址族后,所有相关的RIPng进程也全部被删除。

  • 在PE上配置OSPFv3
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ospfv3 [ process-id ] vpn-instance vpnname,启动OSPFv3多实例,进入OSPFv3多实例视图。
    3. 执行命令router-id router-id,配置Router ID。

      Router ID是一台OSPFv3进程在自治系统中的唯一标识。如果用户没有指定Router ID号,则OSPFv3进程无法运行。

    4. (可选)执行命令domain-id { domain-id-int | domain-id-ipaddr },配置域ID。

      域ID可以用整数表示,也可以用点分十进制表示。

      通常情况下,从PE引入的路由将会作为External-LSA发布出去。但对属于同一个OSPFv3域不同节点的目的地,这样的路由应该作为Type-3 LSA(区域内路由)发布,这就需要为同一个OSPFv3域使用相同的域标识符。

    5. (可选)执行命令route-tag tag-value,配置VPN route tag。

    6. 执行命令import-route bgp [ cost cost | route-policy route-policy-name | tag tag | type type ] *,将BGP路由引入OSPFv3中,以便PE通过OSPFv3协议将这些路由发送给MCE。
    7. 执行命令quit,退回系统视图。
    8. 执行命令interface interface-type interface-number,进入绑定了VPN实例的接口视图。
    9. 执行命令ospfv3 process-id area area-id [ instance instance-id ],在接口上使能OSPFv3。
    10. 执行命令quit,退回系统视图。
    11. 执行命令bgp as-number,进入BGP视图。
    12. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    13. 执行命令import-route ospfv3 process-id [ med med | route-policy route-policy-name ] *,将OSPFv3路由引入BGP-VPN实例IPv6地址族路由表中。
    14. 执行命令commit,提交配置。

    删除VPN实例或者去使能VPN实例IPv6地址族后,相关的所有OSPFv3进程也将全部被删除。

  • 在PE上配置IS-ISv6
    1. 执行命令system-view,进入系统视图。
    2. 执行命令isis process-id vpn-instance vpn-instance-name,创建PE和MCE间的IS-IS实例,并进入IS-IS视图。

      一个IS-IS多实例进程只能属于一个VPN实例。如果在启动IS-IS进程时不绑定到VPN实例,则该进程属于公网进程。

      如果该路由器上只运行一个IS-IS进程(包括公网进程和多实例进程),则在命令中可以不指定参数process-id,即默认process-id为1。

      如果IS-IS多实例进程被删除,则运行该进程的全部接口也会被去使能IS-IS。

    3. 执行命令network-entity net-addr,设置网络实体名称。

      网络实体名称NET(Network Entity Title)同时定义了当前IS-IS的区域地址和设备的系统ID。

    4. (可选)执行命令is-level { level-1 | level-1-2 | level-2 },设置路由器的Level级别。

    5. 执行命令ipv6 enable [ topology { compatible [ enable-mt-spf ] | ipv6 | standard } ],使能IS-IS进程的IPv6能力。

      必须先在系统视图下使能IPv6,才能使能IS-IS进程的IPv6能力。

    6. 执行命令ipv6 import-route bgp inherit-cost [ tag tag | route-policy route-policy-name | [ level-1 | level-2 | level-1-2 ] ] *,引入BGP路由。
    7. 执行命令quit,退回系统视图。
    8. 执行命令interface interface-type interface-number,进入接口视图。
    9. 执行命令isis ipv6 enable [ process-id ],在指定接口上使能IS-ISv6。
    10. 执行命令quit,退回系统视图。
    11. 执行命令bgp as-number,进入BGP视图。
    12. 执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
    13. 执行命令import-route isis process-id [ med med | route-policy route-policy-name ] *,将IS-IS路由引入BGP-VPN实例IPv6地址族路由表中路由表。
    14. 执行命令commit,提交配置。

    删除VPN实例或者去使能VPN实例IPv6地址族后,相关的所有IS-IS进程也将全部被删除。

检查配置结果

配置了Multi-VPN-Instance CE后,可以查看MCE上的VPN路由表中对于每一种业务,CE上都有到局域网的路由及到远端站点的路由。

前提条件

已经完成Multi-VPN-Instance CE功能的所有配置。

操作步骤

  • 使用display ipv6 routing-table vpn-instance vpn-instance-name [ verbose ]命令在MCE上查看VPN路由表。
翻译
English
下载文档
更新时间:2020-06-20

文档编号:EDOC1100143312

浏览量:60913

下载量:128

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为亿家APP下载 华为亿家APP下载

版权所有 © 华为技术有限公司 1998-2022。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: