​华为路由器：配置BGP/MPLS IP VPN示例

华为路由器：配置BGP/MPLS IP VPN示例

CE1.txt

CE2.txt

CE3.txt

CE4.txt

P.txt

PE1.txt

PE2.txt

组网需求
如图所示：
    CE1连接公司总部研发区、CE3连接分支机构研发区，CE1和CE3属于vpna；
    CE2连接公司总部非研发区、CE4连接分支机构非研发区，CE2和CE4属于vpnb。
公司要求通过部署BGP/MPLS IP VPN，实现总部和分支机构的安全互通，同时要求研发区和非研发区间数据隔离。
配置思路
采用如下的思路配置BGP/MPLS IP VPN：
1、P、PE之间配置OSPF，实现骨干网的IP连通性。
2、PE、P上配置MPLS基本能力和MPLS LDP，建立MPLS LSP公网隧道，传输VPN数据。
3、PE1和PE2上配置VPN实例，其中，vpna使用的VPN-target属性为111:1，vpnb使用的VPN-target属性为222:2，以实现相同VPN间互通，不同VPN间隔离。同时，与CE相连的接口和相应的VPN实例绑定，以接入VPN用户。
4、PE1和PE2之间配置MP-IBGP，交换VPN路由信息。
5、CE与PE之间配置EBGP，交换VPN路由信息。

（1）拓扑

（2）基本信息配置，包括接口的ip地址

PE1:
interface GigabitEthernet0/0/0
 ip address 10.10.10.254 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 172.16.2.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 172.16.0.254 255.255.255.0
#
interface NULL0
#
interface LoopBack1
 ip address 192.168.10.1 255.255.255.255
P:
interface GigabitEthernet0/0/1
 ip address 10.11.11.1 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 10.10.10.2 255.255.255.0
#
interface LoopBack1
 ip address 192.168.10.2 255.255.255.255
PE2:
#
interface GigabitEthernet0/0/0
 ip address 10.11.11.254 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 172.16.3.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 172.16.1.254 255.255.255.0
#
interface LoopBack1
 ip address 192.168.10.3 255.255.255.255
CE1:
interface GigabitEthernet0/0/2
 ip address 172.16.0.1 255.255.255.0
CE3:
interface GigabitEthernet0/0/1
 ip address 172.16.1.1 255.255.255.0
CE2:
interface GigabitEthernet0/0/2
 ip address 172.16.2.1 255.255.255.0
CE4:
interface GigabitEthernet0/0/0
 ip address 172.16.3.1 255.255.255.0
（3）P、PE之间配置OSPF，实现骨干网的IP连通性

PE1:
ospf 1
 area 0.0.0.0
  network 10.10.10.0 0.0.0.255
  network 192.168.10.1 0.0.0.0
P:
ospf 1
 area 0.0.0.0
  network 10.10.10.0 0.0.0.255
  network 10.11.11.0 0.0.0.255
  network 192.168.10.2 0.0.0.0
PE2:
#
ospf 1
 area 0.0.0.0
  network 10.11.11.0 0.0.0.255
  network 192.168.10.3 0.0.0.0

（4）在MPLS骨干网上配置MPLS基本能力和MPLS LDP，建立LDP LSP

PE1:
mpls lsr-id 192.168.10.1
mpls
#
mpls ldp
interface GigabitEthernet0/0/0
    mpls
    mpls ldp
P:
 mpls lsr-id 192.168.10.2
mpls
#
mpls ldp
interface GigabitEthernet0/0/1
    mpls
    mpls ldp
interface GigabitEthernet0/0/2
    mpls
    mpls ldp
PE2:
mpls lsr-id 192.168.10.3
mpls
#
mpls ldp
interface GigabitEthernet0/0/0
    mpls
    mpls ldp

（5）配在PE设备上配置VPN实例，将CE接入PE

PE1:
ip vpn-instance vpna
 ipv4-family
  route-distinguisher 100:1
  vpn-target 111:1 export-extcommunity
  vpn-target 111:1 import-extcommunity
#
ip vpn-instance vpnb
 ipv4-family                              
  route-distinguisher 100:2
  vpn-target 222:2 export-extcommunity
  vpn-target 222:2 import-extcommunity
 
#接口配置 ip binding vpn-instance x后会删除接口的ip地址，需要重新配置ip地址
interface GigabitEthernet0/0/1
 ip binding vpn-instance vpnb
 ip address 172.16.2.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip binding vpn-instance vpna
 ip address 172.16.0.254 255.255.255.0
 
PE2:
ip vpn-instance vpna
 ipv4-family
  route-distinguisher 200:1
  vpn-target 111:1 export-extcommunity
  vpn-target 111:1 import-extcommunity
#
ip vpn-instance vpnb
 ipv4-family                              
  route-distinguisher 200:2
  vpn-target 222:2 export-extcommunity
  vpn-target 222:2 import-extcommunity
#接口配置 ip binding vpn-instance x后会删除接口的ip地址，需要重新配置ip地址
interface GigabitEthernet0/0/1
 ip binding vpn-instance vpnb
 ip address 172.16.3.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip binding vpn-instance vpna
 ip address 172.16.1.254 255.255.255.0

（6）在PE之间建立MP-IBGP对等体关系

PE1:
  bgp 100
       peer 192.168.10.3 as-number 100
       peer 192.168.10.3 connect-interface LoopBack1
 #
       ipv4-family vpnv4
                peer 192.168.10.3 enable
 
  PE2:
  bgp 100
       peer 192.168.10.1 as-number 100
       peer 192.168.10.1 connect-interface LoopBack1
 #
       ipv4-family vpnv4
                peer 192.168.10.1 enable

配置完成后，在PE设备上执行display bgp peer或display bgp vpnv4 all peer命令，可以看到PE之间的BGP对等体关系已建立，并达到Established状态。

（7）在PE与CE之间建立EBGP对等体关系，引入VPN路由

PE1:
bgp 100
 ipv4-family vpn-instance vpna
  import-route direct
  peer 172.16.0.1 as-number 64512
 #
 ipv4-family vpn-instance vpnb
  import-route direct
  peer 172.16.2.1 as-number 64514
#
CE1:
bgp 64512
 peer 172.16.0.254 as-number 100
 ipv4-family unicast
  import-route direct
  peer 172.16.0.254 enable
CE2:
bgp 64514
 peer 172.16.2.254 as-number 100
 ipv4-family unicast
  import-route direct
  peer 172.16.2.254 enable

配置完成后，在PE设备上执行display bgp vpnv4 vpn-instance peer命令，可以看到PE与CE之间的BGP对等体关系已建立，并达到Established状态。

以PE1与CE1的对等体关系为例：

PE2:
bgp 100
 ipv4-family vpn-instance vpna
  import-route direct
  peer 172.16.1.1 as-number 64513
 #
 ipv4-family vpn-instance vpnb
  import-route direct
  peer 172.16.3.1 as-number 64516
#
CE3:
bgp 64513
 peer 172.16.1.254 as-number 100
 ipv4-family unicast
  import-route direct
  peer 172.16.1.254 enable
CE4:
bgp 64516
 peer 172.16.2.254 as-number 100
 ipv4-family unicast
  import-route direct
  peer 172.16.3.254 enable

（8）验证配置结果
# 在PE设备上执行display ip routing-table vpn-instance命令，可以看到去往对端CE的路由。

# 同一VPN的CE能够相互Ping通，不同VPN的CE不能相互Ping通。
# 例如：CE1能够Ping通CE3（172.16.1.1），但不能Ping通CE4（172.16.3.1）。