路由反射器优化VPN骨干层配置与管理

这是一项可选配置任务。当MPLS骨干网存在大量的PE之间需要建立MP-IBGP对等体以交互VPN私网路由时，可以通过配置路由反射器RR来减少PE之间的MP-IBGP连接的数量，因为此时各PE只需和RR（路由反射器）建立MP-IBGP对等体关系，无需在各PE间彼此建立IBGP对等体关系，这样既减轻了PE的负担，也给维护和管理带来方便。

以上解决方案就是本节将要介绍的“路由反射器优化VPN骨干层”方案，包括以下必选配置任务。其中，RR可以是P设备、PE设备、ASBR设备或者其他设备。

（1）配置客户机PE与RR建立MP-IBGP连接。

此处是PE与RR之间建立MP-IBGP对等体关系。

（2）配置RR与其所有客户机PE建立MP-IBGP连接。

（3）配置BGP-VPNv4路由反射功能。下面仅介绍后面两项配置任务的具体配置方法。在配置路由反射优化VPN骨干层之前，需完成以下任务：

 在MPLS骨干网上配置路由协议，实现骨干网设备的IP互通；

 在RR与所有作为客户机的PE之间建立隧道（LSP、GRE或者MPLS TE）。

1、配置RR与其所有客户机PE建立MP-IBGP连接

当要配置PE与RR建立IBGP对等体关系时，这些PE就成了RR的客户机。当有多个PE要与RR建立IBGP对等体关系时，可以有两种配置方式。

（1）配置与对等体组建立MP-IBGP连接

在RR上将所有担当客户机的PE都加入一个对等体组，然后配置RR与这个对等体组建立MP-IBGP关系，具体配置步骤见表1。

（2）配置与每个对等体建立MP-IBGP连接

此处是RR与各PE间的MP-IBGP对等体关系。

表1　配置与对等体组建立MP-IBGP连接的步骤

2、配置BGP-VPNv4路由反射功能

使能BGP-VPNv4路由反射功能后，RR则会向其客户机发布其他客户机发来的BGP-VPNv4路由，而无需各客户机间相互发布BGP路由，减少了客户机间建立IBGP对等体的数量，也减轻了网络和路由器CPU的负担。RR向IBGP邻居发布路由规则如下。

 从非客户机学到的路由，发布给所有客户机。

 从客户机学到的路由，发布给所有非客户机和客户机（发起此路由的客户机除外）。

 从EBGP对等体学到的路由，发布给所有的非客户机和客户机。

配置BGP-VPNv4路由反射功能的步骤见表2。

表2　BGP-VPNv4路由反射功能的配置步骤

3、路由反射器优化VPN骨干层的配置管理

已经完成路由反射器优化VPN骨干层功能的所有配置后，可用以下display命令查看相关配置，验证配置效果。

（1）display bgp vpnv4 all peer [[ipv4-address] verbose]：在RR上或客户机PE上查看BGP VPNv4对等体信息，可看到RR与所有客户机的MP-IBGP连接状态为“Established”。

（2）display bgp vpnv4 all routing-table peeripv4-address {advertised-routes|received-routes}或者display bgp vpnv4 all routing-tablestatistics：在RR上或客户机PE上查看从对等体接收的路由或发布给对等体的VPNv4路由信息，可看到RR和客户机之间能互相收发VPNv4路由信息。

（3）display bgp vpnv4 all group [group-name]：在RR上查看VPNv4对等体组信息，可查看对等体组的成员，且RR与对等体成员之间的BGP连接状态都为“Established”。

4、双反射器优化VPN骨干层配置示例

部署VPN时，为了提高可靠性，可配置带双反射器的VPN，即在骨干网相同AS内的P设备中选择两个作为路由反射器，互为备份，反射公网及VPNv4的路由。

如图1所示，PE1、PE2、RR1及RR2都在骨干网AS100内。CE1和CE2属于vpna，骨干网各设备的三层以太网接口IP地址见表3。要求选择RR1和RR2作为反射器，配置带双反射器的BGP/MPLS IP VPN。

【经验提示】带双反射器的VPN环境中，反射器到PE设备之间必须有至少两条不共用网段和节点的路径（如PE1既可以通过GE1/0/0接口连接的RR1到达，又可以通过GE3/0/0接口连接的RR2到达），否则双反射器之间起不到互为备份的作用，配置双反射器也就失去了意义。

1. 基本配置思路分析

本示例最基础的配置是要实现骨干网的三层互通，并在各节点设备间建立MPLS隧道，各PE要连接CE，把CE的私网路由引入到PE的BGP VPN路由表中，所以有关骨干网的IGP路由配置和MPLS、LDP的配置，以及PE与CE连接的配置与普通的基本BGP/MPLS IP VPN的配置是相同的，不同主要体现在以下几个方面：

PE之间不需要建立MP-IBGP对等体连接；

图1　双反射器优化VPN骨干层配置示例的拓扑结构

表3　骨干网各设备以太网接口IP地址

 PE要与各RR建立MP-IBGP对等体连接；

 在RR1、RR2上配置路由反射器功能；

 在RR1、RR2上配置不进行VPN-Target过滤，以接收所有VPN路由信息。

下面是本示例的基本配置思路。

（1）在MPLS骨干网上配置各接口（包括Loopback接口）IP地址及IGP，实现骨干网设备间的IP连通性。

（2）在MPLS骨干网上配置MPLS基本能力和MPLS LDP，建立MPLS LSP公网隧道。

（3）在PE1和PE2上配置VPN实例，接入CE。VPN实例配置相同的VPN-target属性，以实现VPN的互通。

（4）在PE与CE之间建立EBGP连接，引入VPN路由。

（5）在PE与RR之间建立MP-IBGP连接，PE之间不再建立MP-IBGP连接。

（6）在RR1、RR2上配置相同的反射器ID，实现相互备份。

（7）在RR1、RR2上配置不进行VPN-Target过滤，因为他们需要接收并保存所有VPNv4路由信息，以通告给PE。

2. 具体配置步骤

（1）在MPLS骨干网上配置各接口IP地址和OSPF路由。

# PE1上的配置。

# RR1上的配置。

# RR2上的配置。

# PE2上的配置。

以上配置完成后，通过执行display ip routing-table命令可查看到骨干网设备应能相互学到对方的Loopback接口地址。以下是在PE1上执行该命令的输出示例（参见输出信息中的粗体字部分）。

（2）在MPLS骨干网上配置MPLS基本能力和MPLS LDP，建立LDP LSP。

# PE1上的配置。

# RR1上的配置。

# RR2上的配置。

# PE2上的配置。

以上配置完成后，在各PE和RR设备上执行display mpls ldp session命令可以看到显示结果中State项为“Operational”。以下是在PE1和RR1上执行该命令的输出示例，PE1没有与PE2建立MP-IBGP对等体关系（参见输出信息中的粗体字部分）。

（3）在PE1、PE2上配置VPN实例，并配置绑定VPN实例接口的IP地址。每个VPN实例分配不同的RD，同一VPN实例的VPN-Target属性要能匹配。

# PE1上的配置。

# PE2上的配置。

（4）在PE与CE之间建立EBGP对等体关系，引入Site的私网VPN路由。

# CE1上的配置。

# CE2上的配置。

# PE1上的配置，引入直连路由。

# PE2上的配置，引入直连路由。

（5）建立PE1、PE2与两反射器间的MP-IBGP对等体关系。

在路由反射器上配置与客户机之间建立MP-IBGP对等体时，本示例采用对等体组方式配置，把担当RR客户机的PE加入到RR上创建的对等体组中。需要特别注意，要在RR1、RR2上分别创建对等体组，并且分别加入对方的对等体组中作为对方的客户机，以实现两反射器之间的热备份。

# PE1上的配置。

# RR1上的配置。

# RR2上的配置。

# PE2上的配置。

以上配置完成后，在PE设备上执行display bgp vpnv4 all peer命令可以看到，PE与反射器之间的IBGP对等体关系已建立，并达到“Established”状态；PE与CE之间的EBGP对等体关系也已建立。以下是在PE1上执行该命令的输出示例（参见输出信息中的粗体字部分）。

（6）在RR1和RR2上配置反射功能。RR1和RR2同时加入到群ID为100的集群中，禁止VPN-target属性过滤功能，因为RR上不配置VPN实例，不能进行VPN-target属性匹配。

# RR1上的配置。

# RR2上的配置。

以上配置完成后，在PE上执行display ip routing-table vpn-instance命令查看VPN路由表，可发现有到远端CE的路由，证明通过路由反射器反射了Site用户的私网路由到了PE上。以下是在PE1上执行该命令的输出示例（参见输出信息中的粗体字部分）。

3. 配置结果验证

以上配置全部完成后，CE1与CE2可以相互ping通，说明反射器配置成功。在PE1上的GigabitEthernet3/0/0和PE2的GigabitEthernet3/0/0接口视图下执行shutdown命令后，CE1与CE2仍然可以相互ping通，说明双反射器配置成功。

以上就是路由反射器优化VPN骨干层配置与管理的介绍。如果你还有其他问题，欢迎进行咨询探讨，希望VeCloud的专业的解决方案，可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、MPLS专线接入、SD-WAN组网等方面的专业服务，资源覆盖全球。欢迎咨询。