HW-MPLS VPN-HoVPN技术实验

一、组网介绍

        HoVPN技术原理:在HoVPN网络中将单个PE设备根据网络的层次进行划分,划分为不同层次的多个PE(分别为SPE和UPE),多个UPE与SPE之间构成分层式PE,共同完成传统上一个PE的功能。通过此种分层VPN技术设法减轻网络层次化划分中UPE设备的性能压力,解决 BGP/MPLS VPN网络扁平化的问题。

        如图所示,在省市网络规划中,SPE 作为省级网的 PE 设备,需要接入市级的 MPLS VPN 网络。UPE 作为下层市级网络的 PE设备,最终接入VPN 客户。

        同时在省市网络进行层次化规划时,作为市级的UPE设备的路由能力和转发性能较低,而作为省级的SPE和PE设备性能较高。

        现需要采用 HoVPN分层VPN式的组网方式缓解市级UPE设备接入省级网络的压力,并实现 VPN内用户间的相互访问。

   二、 配置思路

        配置HoVPN之前,需要已完成基本BGP/MPLS IP VPN配置。其他方面主要是需要在SPE上指定UPE,并向UPE发布VPN实例的缺省路由。

        本次实现配置思路如下:

      (1)UPE、SPE 和 PE 均属骨干网设备。在骨干网上配置IGP路由协议(OSPF为例)实现骨干网的IP连通性。

      (2)骨干网络上配置 MPLS 和 MPLS LDP功能,建立公网LDP LSP隧道。

        由于UPE和SPE之间采用标签转发方式,所以它们之间只需要一个接口连接(通过私网路由标签就可以区分不同 VPN),SPE不需要使用大量接口来接入用户。UPE和SPE之间的接口可以是物理接口、子接口或隧道接口。采用隧道接口时,SPE和UPE之间可以相隔一个IP网络或 MPLS网络,UPE或SPE发出的标签报文经过隧道传递。本次实验UPE和SPE之间采用的是LDP LSP隧道(也可以采用其他隧道,如GRE隧道)。

       (3)在 UPE 与 SPE、PE 与 SPE 之间建立 MP-IBGP 对等体关系,交换 VPN 路由信息、分配私网标签。

        在HoVPN组网中,UPE和SPE之间运行的是MP-BGP路由,根据UPE和SPE是否属于同一个AS,可以是MP-IBGP,也可以是 MP-EBGP。采用MP-IBGP时,为了在IBGP对等体之间通告路由,SPE可以作为多个UPE的RR(路由反射器)。此处采用的是MP-IBGP路由,并未使用RR。

       (4)在UPE和PE上分别创建VPN实例,并与对应的接口进行绑定,配置与CE间的路由,接入 VPN 用户(与常规MPLS VPN配置一样)。

   (5)在 SPE 上创建 VPN 实例,指定 UPE 为自己的下层 PE(或称为用户层 PE),并向UPE发布VPN实例的缺省路由,缓解UPE的压力( 在HoVPN组网中,UPE和SPE都要配置VPN实例,并与对应的接口或子接口进行绑定)。

        另外,一个UPE可以连接多个SPE,也称为UPE多归属。在UPE多归属中,多个SPE都向 UPE发布VRF缺省路由,UPE会选择其中一条作为优选路由,或者选择多条缺省路由进行负载分担。UPE向多个SPE发布全部的VPN路由,也可以发布部分VPN路由以形成负载分担,具体可通过路由策略来控制。本次实验仅仅使用单个SPE设备。

三、配置过程

 1、配置IP地址

         IP地址配置如图所示,此处不再赘余。

    2、骨干网络配置OSPF路由实现IGP路由互通

        OSPF的进程为“1”,路由域是“area 0”,路由器ID为各设备的loopback0接口IP地址。

        OSPF路由具体配置此处不再赘余。

      #查看UPE的路由表

       可以看到,此时UPE已经学习到了SPE和PE设备的loopback0的IP地址。通过测试可以发现可以实现互通(以UPE与远端PE通信为例),如图所示:

        由此,实现MPLS VPN骨干网络IGP路由互通。

   3、使能骨干网络的MPLS 和LDP功能,建立LDP LSP公网隧道

        注意:本次实验UPE和SPE之间使能MPLS/LDP功能,建立LDP LSP公网隧道(UPE与SPE建立LDP LSP隧道)。

 (1)UPE设备配置

  (2)SPE设备配置

  (3)PE设备配置

      (4)以上配置完成后,UPE与SPE、SPE与PE之间便建立了 LDP会话,执行display mpls Idp session 命令可以看到显示结果为"Operational”,LDP会话建立成功,如下所示:

         (5)进一步在SPE设备上查看 LDP LSP 的建立情况,可以看到此时骨干网络LDP LSP隧道已经建立成功。

4、骨干网络各设备使能MP-BGP路由功能

          注意:本次实验UPE与SPE、SPE与PE之间均建立MP-IBGP对等体关系。

  (1)UPE设备配置

 (2) #SPE设备配置

  (3)PE设备配置

 (4)在SPE设备检查MP-BGP对等体建立情况

        可以看到,此时SPE已经与UPE和PE设备建立了MP-IBGP对等体关系。

 5、UPE与PE设备创建VPN实例绑定接口,并与CE建立EBGP。

 (1)UPE设备配置

        UPE设备创建VPN实例vpna,与G0/0/1接口绑定;在BGP VPNv4视图下使能EBGP功能,并引入直连路由。

  (2)PE设备配置

         PE设备创建VPN实例vpna,与G0/0/1接口绑定;在BGP VPNv4视图下使能EBGP功能,并引入直连路由。

   (3)CE1设备配置

   (4)CE2设备配置

   (5)在PE和UPE设备执行查看BGP VPNv4对等体建立情况。

         可以看到,此时PE与CE2、UPE与CE1的BGP VPN对等体关系已经建立成功了。并且此时也可以通过VPN实例ping通对应的CE设备,如下所示:

 6、SPE上配置 VPN实例,指定 UPE,并向UPE发布VPN实例的缺省路由。

       配置HoVPN前期需要完成基本BGP/MPLS IP VPN配置。而其他方面主要是在SPE上创建VPN实例、指定UPE、并向UPE发布VPN实例的缺省路由。

  (1)SPE设备配置VPN实例

  (2)SPE指定UPE

  (3)向UPE发送VPN实例的缺省路由。

       缺省情况下,BGP不向VPNv4对等体发布缺省路由,可用peer default-originate vpn-instance命令配置向VPNv4对等体发布缺省路由。 执行本命令后,不论本地路由表中是否存在缺省路由,SPE都会向UPE发布一条下一跳地址为本地地址的缺省路由。使UPE上只需维护本地接入的 VPN 路由,所有远端路由都用这条缺省路由替代,减轻了UPE的负担。

        在UPE上还可通过import-route(BGP)或 network(BGP)方式引入缺省路由。如果通过本命令配置缺省路由,将抑制以上两命令引入产生的缺省路由。

       (5)配置完成后, CE1 上查看路由表。可以看到CE1上没有到CE2接口网段的路由,但有一条下一跳为UPE的缺省路由;而CE2上有到CE1接口网段的BGP路由。CE1和CE2可以相互Ping通。如下所示:

  (6)最后,在UPE上查看VPNv4路由表,可以看到有一条VPN实例vpna的缺省路由,下一跳为SPE的loopback0地址。

        自此,HoVPN实验完成。

(附:源实验来自华为官方配置实验文档:http://localhost:7890/pages/AZI0304Q/02/AZI0304Q/02/resources/dc/dc_cfg_l3vpn_0161.html?ft=0&fe=10&hib=7.4.10.9.9.11&id=dc_cfg_l3vpn_0161)