HW-MPLS VPN-HoVPN技术实验

一、组网介绍

        HoVPN技术原理：在HoVPN网络中将单个PE设备根据网络的层次进行划分，划分为不同层次的多个PE（分别为SPE和UPE），多个UPE与SPE之间构成分层式PE，共同完成传统上一个PE的功能。通过此种分层VPN技术设法减轻网络层次化划分中UPE设备的性能压力，解决 BGP/MPLS VPN网络扁平化的问题。

        如图所示，在省市网络规划中，SPE 作为省级网的 PE 设备，需要接入市级的 MPLS VPN 网络。UPE 作为下层市级网络的 PE设备，最终接入VPN 客户。

        同时在省市网络进行层次化规划时，作为市级的UPE设备的路由能力和转发性能较低，而作为省级的SPE和PE设备性能较高。

        现需要采用 HoVPN分层VPN式的组网方式缓解市级UPE设备接入省级网络的压力，并实现 VPN内用户间的相互访问。

   二、 配置思路

        配置HoVPN之前，需要已完成基本BGP/MPLS IP VPN配置。其他方面主要是需要在SPE上指定UPE，并向UPE发布VPN实例的缺省路由。

        本次实现配置思路如下：

      （1）UPE、SPE 和 PE 均属骨干网设备。在骨干网上配置IGP路由协议（OSPF为例）实现骨干网的IP连通性。

      （2）骨干网络上配置 MPLS 和 MPLS LDP功能，建立公网LDP LSP隧道。

        由于UPE和SPE之间采用标签转发方式，所以它们之间只需要一个接口连接（通过私网路由标签就可以区分不同 VPN），SPE不需要使用大量接口来接入用户。UPE和SPE之间的接口可以是物理接口、子接口或隧道接口。采用隧道接口时，SPE和UPE之间可以相隔一个IP网络或 MPLS网络，UPE或SPE发出的标签报文经过隧道传递。本次实验UPE和SPE之间采用的是LDP LSP隧道（也可以采用其他隧道，如GRE隧道）。

       （3）在 UPE 与 SPE、PE 与 SPE 之间建立 MP-IBGP 对等体关系，交换 VPN 路由信息、分配私网标签。

        在HoVPN组网中，UPE和SPE之间运行的是MP-BGP路由，根据UPE和SPE是否属于同一个AS，可以是MP-IBGP，也可以是 MP-EBGP。采用MP-IBGP时，为了在IBGP对等体之间通告路由，SPE可以作为多个UPE的RR（路由反射器）。此处采用的是MP-IBGP路由，并未使用RR。

       （4）在UPE和PE上分别创建VPN实例，并与对应的接口进行绑定，配置与CE间的路由，接入 VPN 用户（与常规MPLS VPN配置一样）。

   （5）在 SPE 上创建 VPN 实例，指定 UPE 为自己的下层 PE（或称为用户层 PE），并向UPE发布VPN实例的缺省路由，缓解UPE的压力（ 在HoVPN组网中，UPE和SPE都要配置VPN实例，并与对应的接口或子接口进行绑定）。

        另外，一个UPE可以连接多个SPE，也称为UPE多归属。在UPE多归属中，多个SPE都向 UPE发布VRF缺省路由，UPE会选择其中一条作为优选路由，或者选择多条缺省路由进行负载分担。UPE向多个SPE发布全部的VPN路由，也可以发布部分VPN路由以形成负载分担，具体可通过路由策略来控制。本次实验仅仅使用单个SPE设备。

三、配置过程

 1、配置IP地址

         IP地址配置如图所示，此处不再赘余。

    2、骨干网络配置OSPF路由实现IGP路由互通

        OSPF的进程为“1”，路由域是“area 0”，路由器ID为各设备的loopback0接口IP地址。

        OSPF路由具体配置此处不再赘余。

      #查看UPE的路由表

       可以看到，此时UPE已经学习到了SPE和PE设备的loopback0的IP地址。通过测试可以发现可以实现互通（以UPE与远端PE通信为例），如图所示：

        由此，实现MPLS VPN骨干网络IGP路由互通。

   3、使能骨干网络的MPLS 和LDP功能，建立LDP LSP公网隧道

        注意：本次实验UPE和SPE之间使能MPLS/LDP功能，建立LDP LSP公网隧道（UPE与SPE建立LDP LSP隧道）。

 （1）UPE设备配置

  （2）SPE设备配置

  （3）PE设备配置

      （4）以上配置完成后，UPE与SPE、SPE与PE之间便建立了 LDP会话，执行display mpls Idp session 命令可以看到显示结果为"Operational”，LDP会话建立成功，如下所示：

         （5）进一步在SPE设备上查看 LDP LSP 的建立情况，可以看到此时骨干网络LDP LSP隧道已经建立成功。

4、骨干网络各设备使能MP-BGP路由功能

          注意：本次实验UPE与SPE、SPE与PE之间均建立MP-IBGP对等体关系。

  （1）UPE设备配置

 （2） #SPE设备配置

  （3）PE设备配置

 （4）在SPE设备检查MP-BGP对等体建立情况

        可以看到，此时SPE已经与UPE和PE设备建立了MP-IBGP对等体关系。

 5、UPE与PE设备创建VPN实例绑定接口，并与CE建立EBGP。

 （1）UPE设备配置

        UPE设备创建VPN实例vpna，与G0/0/1接口绑定；在BGP VPNv4视图下使能EBGP功能，并引入直连路由。

  （2）PE设备配置

         PE设备创建VPN实例vpna，与G0/0/1接口绑定；在BGP VPNv4视图下使能EBGP功能，并引入直连路由。

   （3）CE1设备配置

   （4）CE2设备配置

   （5）在PE和UPE设备执行查看BGP VPNv4对等体建立情况。

         可以看到，此时PE与CE2、UPE与CE1的BGP VPN对等体关系已经建立成功了。并且此时也可以通过VPN实例ping通对应的CE设备，如下所示：

 6、SPE上配置 VPN实例，指定 UPE，并向UPE发布VPN实例的缺省路由。

       配置HoVPN前期需要完成基本BGP/MPLS IP VPN配置。而其他方面主要是在SPE上创建VPN实例、指定UPE、并向UPE发布VPN实例的缺省路由。

  （1）SPE设备配置VPN实例

  （2）SPE指定UPE

  （3）向UPE发送VPN实例的缺省路由。

       缺省情况下，BGP不向VPNv4对等体发布缺省路由，可用peer default-originate vpn-instance命令配置向VPNv4对等体发布缺省路由。 执行本命令后，不论本地路由表中是否存在缺省路由，SPE都会向UPE发布一条下一跳地址为本地地址的缺省路由。使UPE上只需维护本地接入的 VPN 路由，所有远端路由都用这条缺省路由替代，减轻了UPE的负担。

        在UPE上还可通过import-route（BGP）或 network（BGP）方式引入缺省路由。如果通过本命令配置缺省路由，将抑制以上两命令引入产生的缺省路由。

       （5）配置完成后， CE1 上查看路由表。可以看到CE1上没有到CE2接口网段的路由，但有一条下一跳为UPE的缺省路由；而CE2上有到CE1接口网段的BGP路由。CE1和CE2可以相互Ping通。如下所示：

  （6）最后，在UPE上查看VPNv4路由表，可以看到有一条VPN实例vpna的缺省路由，下一跳为SPE的loopback0地址。

        自此，HoVPN实验完成。

（附：源实验来自华为官方配置实验文档：http://localhost:7890/pages/AZI0304Q/02/AZI0304Q/02/resources/dc/dc_cfg_l3vpn_0161.html?ft=0&fe=10&hib=7.4.10.9.9.11&id=dc_cfg_l3vpn_0161）