跨域MPLS OptionA综合实验

第一步：

配置ISP 100和ISP 200的IGP/LDP/MPLS协议

ISP 100和ISP 200的IGP协议使用OSPF

配置ISP 100和ISP 200的MPLS和MPLS LDP协议

第二步：

在PE（R1、R3、R4、R6）上配置VPN实例

R1-PE1和R6-PE2的VPN实例配置命令

[R1-PE1] ip vpn-instance hcie1

[R1-PE1-vpn-instance-hcie1] route-distinguisher 100:1

[R1-PE1-vpn-instance-hcie1-af-ipv4] vpn-target 100:1

IVT Assignment result:

Info: VPN-Target assignment is successful.

EVT Assignment result:

Info: VPN-Target assignment is successful.

-------------------------------------------------------

[R1-PE1] ip vpn-instance hcie2

[R1-PE1-vpn-instance-hcie2] route-distinguisher 200:2

[R1-PE1-vpn-instance-hcie2-af-ipv4] vpn-target 200:2

IVT Assignment result:

Info: VPN-Target assignment is successful.

EVT Assignment result:

Info: VPN-Target assignment is successful.

-------------------------------------------------------

[R1-PE1]int gi 0/0/2

[R1-PE1-GigabitEthernet0/0/2]ip binding vpn-instance hcie2

[R1-PE1-GigabitEthernet0/0/2]int gi 0/0/1

[R1-PE1-GigabitEthernet0/0/1]ip binding vpn-instance hcie1

按照教材，ASBR设备需要承载管理所有公司的VPNv4路由，为每个VPN创建VPN实例，当前环境有两个VPN，所以需要两条物理链路（分别绑定不同的VPN）；

首先在R3-ASBR-PE1和R4-ASBR-PE2上配置VPN实例，和R1，R2相同，但是VPN实例不绑定接口；

R3-ASBR-PE1和R4-ASBR-PE2在这里使用子接口绑定不同的VPN实例

R3-ASBR-PE1配置命令

[R3-ASBR-PE1]int gi 0/0/1.1

[R3-ASBR-PE1-GigabitEthernet0/0/1.1]dot1q termination vid 10

[R3-ASBR-PE1-GigabitEthernet0/0/1.1]arp broadcast enable

[R3-ASBR-PE1-GigabitEthernet0/0/1.1]ip binding vpn-instance hcie1

[R3-ASBR-PE1]in gi 0/0/1.2

[R3-ASBR-PE1-GigabitEthernet0/0/1.2]ip binding vpn-instance hcie2

[R3-ASBR-PE1-GigabitEthernet0/0/1.2]dot1q termination vid 20

[R3-ASBR-PE1-GigabitEthernet0/0/1.2]arp broadcast enable

[R3-ASBR-PE1-GigabitEthernet0/0/1.2]ip add 10.1.43.3 24

R4-ASBR-PE2配置同理

配置完后ASBR VRF逻辑子接口直连网段测试是否连通

第三步：

PE之间的MP-BGP配置

第四步：

PE-CE之间的IGP配置

SiteA：R7-CE1的IGP配置

SiteC：R9-CE3的IGP配置

R1-PE1与R7-CE1的VPN实例IGP配置

R1-PE1与R9-CE3的VPN实例IGP配置

-------------------------------------------------------------------------------

SiteB：R8-CE2的IGP配置

SiteD：R10-CE4的IGP配置

R6-PE2与R8-CE2的VPN实例IGP配置

R6-PE2与R10-CE4的VPN实例IGP配置

第五步：

ASBR之间的子接口和IGP配置

配置R3和R4的子接口

在R3-ASBR-PE1的眼里，R4-ASBR-PE2是它的CE；而在R4-ASBR-PE2的，R3-ASBR-PE1是它的CE

在R3-ASBR-PE1和R4-ASBR-PE2之间要创建两个VPN实例的IGP OSPF，分别宣告对应逻辑子接口地址

第六步：路由引入（从左到右）

配置完左边PE-CE之间的OSPF后，在R1-PE1上将VRF的OSPF引入MP-BGP，使IPv4路由成为VPNv4路由传递给对端PE设备

配置完成后再R3-ASBR-PE1上查看状态

7.1.1.0/24和10.1.7.7/32对应的RD值为200:2，出向RT值也为200:2，R3根据RT值将出向RD值为200:2的7.1.1.0/24和10.1.7.7/32两条路由放入VPN实例hcie1内

但是在R4-ASBR-PE2上没有学习到关于R7和R9的IGP路由

R3-ASBR-PE1将MP-BGP学习到的路由引入R3和R4之间VPN实例的IGP中

注：ASBR-ASBR运行OSPF防环导致路由无法接收

在R4-ASBR-PE2查看OSPF LSDB数据库以及详细的LSA信息

查看学习到的5类LSA的详细信息，收到的OSPF路由都是Down bit置位

Domain Tag一共是4个字节，前两个字节固定为0XD000，后两个字节表示本端BGP AS号依旧为16bit格式，比如AS100就是0064。所以一个AS100得到的Tag值为0XD000 0064，十进制就是3489661028

在MPLS VPN中，5类LSA防环依靠Down bit和Domain Tag。由于两边AS不一致，导致Domain Tag防环失效。但是Down bit防住了，R3-ASBR-PE1从VRF OSPF收到的来自R4-ASBR-PE2的路由Down bit置位，所以只加入数据库，不进行计算

可以看到在VPN hcie1中并没有来自对端Site B的路由，所以此时需要把Down bit防环解除

解除Down bit的方式

第一种是R3将OSPF路由传出去的时候Down bit不要置位

第二种是R4在收到OSPF路由时不进行Down bit的检查

第三种是在OSPF视图下使用vpn-instance-capability simple命令

在MCE（Multi-VPN-Instance CE）设备上部署OSPF VPN多实例时，如果有Type3、Type5或Type7 LSA中设置DN Bit，就会导致这些路由无法计算，因为OSPF进行路由计算会进行防环路检测。这种情况下，通过配置vpn-instance-capability simple命令可以取消OSPF路由环路检测，不检查DN Bit和Route-tag而直接计算出所有OSPF路由，Route-tag恢复为缺省值1

此时使用第一种方法，R3将OSPF路由传出去的路由不设置Down-bit

重新在R4上查看五类LSA和VRF路由表，此时R4上收到来自R3的OSPF路由，Down-bit已经被关闭了，该路由也能正常接收到了

但是此时在AS200的MP-BGP环境内还没有学习到R7和R9的IGP路由，所以需要在R4的BGP对应VPN实例下引入R3-ASBR-PE1和R4-ASBR-PE2之间的IGP路由

在R6上就可以看到通过MP-BGP都学习到了由R1引入的OSPF路由

最后一步，在R6的VRF实例所对应的的IGP中引入MP-BGP的路由。到这里，在R8上就可以学习到关于R7的路由的路由

路由引入（从右到左）原理相同

第七步：实验测试

跨域MPLS VPN OptionA数据转发解释

AS 100和AS 200内部运行IGP、MPLS、LDP用于传递各自环回口路由的标签

R1、R3、R4、R6上又要配置相应的VPN实例，R3和R4配置VPN实例是用于接收相应VPN实例的VPNv4路由。因为ASBR设备需要承载管理所有公司的VPNv4路由，为每个VPN创建VPN实例

R1-PE1和R3-ASBR-PE2、R4-ASBR-PE3和R6-PE4建立MP-IBGP，和域内的MPLS VPN道理一致

R3-ASBR-PE2和R4-ASBR-PE3之间要建立VPN实例对应的IGP，并且在R3-ASBR-PE2和R4-ASBR-PE3之间要创建多个VPN实例的IGP OSPF（由于ASBR间是普通的IP转发，要求为每个跨域的VPN使用不同的接口或同一个接口的不同逻辑子接口），并分别宣告对应逻辑子接口地址

注：在R3-ASBR-PE2的眼里，R4-ASBR-PE3是它的CE；而在R4-ASBR-PE3的，R3-ASBR-PE2是它的CE

CE2发送一个目的地为1.1.1.1的IP报文给R6-PE4（普通IP转发）

R6-PE4收到IP报文，首先查找该VPN实例对应的FIB表，发现目的IP的Tunnel ID为非0，于是进行MPLS标签的封装，先打上对应的私网内层标签1028（由R4-ASBR-PE3通过MP-IBGP将该VPNv4路由传递给R6-PE4时分配的）

接着再迭代查询LFIB表去往该VPNv4路由下一跳R4-ASBR-PE3（10.1.4.4）的LSP标签作为外层公网标签1024（去往VPNv4路由下一跳10.1.4.4的LSP，由R5-P2通过LDP协议为其分配标签传递给R6-PE4），然后将此报文发送给R5-P2

R5-P2收到带标签报文后对照LFIB表进行标签交换，私网内层标签不变，把外层标签1024换成3（去往VPNv4路由下一跳10.1.4.4的LSP，由R4-ASBR-PE3通过LDP协议为其分配标签传给R5-P2），由于R5-P2为倒数第二跳，执行Pop弹出外层标签，然后将此报文发送给R4-ASBR-PE3

R4-ASBR-PE3收到后根据内层标签1028判断出该报文属于哪个VPN实例以及下一跳，并去掉私网内层标签1028，将报文(普通IP报文)转发给R3-ASBR-PE2

R3-ASBR-PE2收到IP报文。首先查找该VPN实例对应的FIB表，发现目的IP的Tunnel ID为非0，于是进行MPLS标签的封装，先封装私网内层标签1026（R1-PE1通过MP-BGP将该VPNv4路由传递给R3-ASBR-PE2时随机分配的）

接着再封装公网外层标签1024（去往VPNv4路由下一跳10.1.1.1的LSP，由R2-P1通过LDP协议为其分配标签传递给R3-ASBR-PE2），然后将此报文发送给R2-P1

R2-P1收到带标签报文后对照LFIB表进行标签交换，私网内层标签不变，把外层标签1024换成3（去往VPNv4路由下一跳10.1.1.1的LSP，由R1-PE1通过LDP协议为其分配标签传给R2-P1），由于R2-P1为倒数第二跳，执行Pop弹出外层标签，然后将此报文发送给R1-PE1

R1-PE1收到报文只有内层标签，查找LFIB表，由于内层标签就是R1-PE1设备为该VPNv4路由分配的，所以知道对应的VPN实例与下一跳，于是去掉内层标签，将报文(普通IP报文)转发给CE1

以上就是跨域MPLS VPN OptionA综合实验的介绍。

微云网络作为国内知名的云服务综合解决方案提供商，拥有包括MPLS专线、IPLC专线、云专线以及SD-WAN在内的多种产品，可为您提供专业、灵活、多样性的专线及SD-WAN组网解决方案。详询微云网络客服电话 400-028-9798。