一、 MPLSL3VPN簡(jiǎn)介

MPLS L3VPN是服務(wù)提供商VPN解決方案中一種基于PE的L3VPN技術(shù)，它使用BGP在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由，使用MPLS在服務(wù)提供商骨干網(wǎng)上轉發(fā)VPN報文。

MPLS L3VPN組網(wǎng)方式靈活、可擴展性好，并能夠方便地支持MPLS QoS和MPLSTE，因此得到越來(lái)越多的應用。

MPLS L3VPN模型由三部分組成：CE、PE和P。

CE（Customer Edge）設備：用戶(hù)邊緣設備，有接口直接與SP（Service Provider，服務(wù)提供商）相連。CE可以是路由器或交換機，也可以是一臺主機。CE“感知”不到VPN的存在，也不需要必須支持MPLS。

PE（Provider Edge）設備：服務(wù)提供商網(wǎng)絡(luò )邊緣設備，是服務(wù)提供商網(wǎng)絡(luò )的邊緣設備，與用戶(hù)的CE直接相連。在MPLS網(wǎng)絡(luò )中，對VPN的所有處理都發(fā)生在PE上。

P（Provider）路由器：服務(wù)提供商網(wǎng)絡(luò )中的骨干路由器，不與CE直接相連。P設備只需要具備基本MPLS轉發(fā)能力。

圖1-1是一個(gè)MPLS L3VPN組網(wǎng)方案的示意圖。

圖1-1 MPLS L3VPN組網(wǎng)

二、 MCE和PE間使用OSPF引入VPN路由

1. 組網(wǎng)需求

MCE設備通過(guò)Vlan-interface10接口（IP地址10.214.10.3）連接到地址范圍為192.168.0.0/24的VPN 1，通過(guò)Vlan-interface20接口（IP地址10.214.20.3）連接到地址范圍為192.168.10.0/24的VPN 2，其中VPN 2內運行OSPF路由協(xié)議。

要求MCE設備能夠將VPN之間的路由隔離，并通過(guò)OSPF將各VPN的路由發(fā)布到PE 1。

2. 組網(wǎng)圖

圖1-4 MCE和PE間使用OSPF引入VPN路由組網(wǎng)示意圖

3. 配置步驟

為區分設備，假設MCE系統名為“MCE”，VPN 1和VPN 2的邊緣路由器分別名為“VR1”和“VR2”，PE 1系統名為“PE1”。

(1)在MCE和PE 1上配置VPN實(shí)例

#在MCE設備上配置VPN實(shí)例，名稱(chēng)分別為vpn1和vpn2，RD分別取值為10:1和20:1，VPN Target取值與RD取相同數值，Export和Import均取此值。

<MCE> system-view

[MCE] ip vpn-instance vpn1

[MCE-vpn-instance-vpn1] route-distinguisher 10:1

[MCE-vpn-instance-vpn1] vpn-target 10:1

[MCE-vpn-instance-vpn1] quit

[MCE] ip vpn-instance vpn2

[MCE-vpn-instance-vpn2]route-distinguisher 20:1

[MCE-vpn-instance-vpn2]vpn-target 20:1

[MCE-vpn-instance-vpn2] quit

# 創(chuàng )建VLAN10，將端口Ten-GigabitEthernet1/0/1加入VLAN10，并創(chuàng )建Vlan-interface10接口。

[MCE] vlan 10

[MCE-vlan10] portTen-GigabitEthernet 1/0/1

[MCE-vlan10] quit

[MCE] interfacevlan-interface 10

# 配置Vlan-interface10接口與VPN實(shí)例vpn1綁定，并配置接口的IP地址。

[MCE-Vlan-interface10]ip binding vpn-instance vpn1

[MCE-Vlan-interface10]ip address 10.214.10.3 24

# 使用類(lèi)似步驟配置VLAN20，將端口Ten-GigabitEthernet1/0/2加入VLAN20，配置接口與VPN實(shí)例vpn2綁定并配置IP地址。

[MCE-Vlan-interface10]quit

[MCE] vlan 20

[MCE-vlan20] portTen-GigabitEthernet 1/0/2

[MCE-vlan20] quit

[MCE] interfacevlan-interface 20

[MCE-Vlan-interface20]ip binding vpn-instance vpn2

[MCE-Vlan-interface20]ip address 10.214.20.3 24

[MCE-Vlan-interface20]quit

# 在PE 1上配置VPN實(shí)例，名稱(chēng)分別為VPN1和VPN2，RD分別取值為30:1和40:1，VPN Target取值分別為10:1和20:1，Export和Import均取此值。

<PE1>system-view

[PE1] ipvpn-instance vpn1

[PE1-vpn-instance-vpn1]route-distinguisher 30:1

[PE1-vpn-instance-vpn1]vpn-target 10:1

[PE1-vpn-instance-vpn1]quit

[PE1] ipvpn-instance vpn2

[PE1-vpn-instance-vpn2]route-distinguisher 40:1

[PE1-vpn-instance-vpn2]vpn-target 20:1

[PE1-vpn-instance-vpn2]quit

(2) MCE與Site間路由配置

MCE與VPN 1直接相連，且VPN 1內未使用路由協(xié)議，因此可以使用靜態(tài)路由進(jìn)行配置。

# 配置VR1與MCE連接的接口地址為10.214.10.2/24，連接VPN1接口的地址為192.168.0.1/24。向VLAN中增加端口和配置接口IP地址的過(guò)程省略。

# 在VR1上配置缺省路由，指定出方向報文的下一跳地址為10.214.10.3。

<VR1>system-view

[VR1] iproute-static 0.0.0.0 0.0.0.0 10.214.10.3

# 在MCE上指定靜態(tài)路由，去往192.168.0.0/24網(wǎng)段的報文，下一跳地址為10.214.10.2，并將此路由與VPN實(shí)例vpn1綁定。

[MCE] iproute-static vpn-instance vpn1 192.168.0.0 24 10.214.10.2

# 顯示MCE上為VPN實(shí)例vpn1維護的路由信息。

可以看到，已經(jīng)在MCE上為VPN 1指定了靜態(tài)路由。

# VPN 2內運行OSPF，在MCE上配置OSPF進(jìn)程2，并與VPN實(shí)例vpn2綁定，以便將VPN 2內的路由學(xué)習到VPN實(shí)例vpn2的路由表中。

[MCE] ospf 2vpn-instance vpn2

# 發(fā)布網(wǎng)段10.214.20.0/24的路由。

[MCE-ospf-2] area0

[MCE-ospf-2-area-0.0.0.0]network 10.214.20.0 0.0.0.255

[MCE-ospf-2-area-0.0.0.0]quit

[MCE-ospf-2] quit

# 在VR2上，配置與MCE連接的接口地址為10.214.20.2/24，連接VPN 2接口的地址為192.168.10.1/24。（配置過(guò)程略）

# 配置OSPF進(jìn)程2，發(fā)布網(wǎng)段192.168.10.0/24和10.214.20.0/24的路由。

<VR2>system-view

[VR2] ospf 2

[VR2-ospf-2] area0

[VR2-ospf-2-area-0.0.0.0]network 192.168.10.0 0.0.0.255

[VR2-ospf-2-area-0.0.0.0]network 10.214.20.0 0.0.0.255

[VR2-ospf-2-area-0.0.0.0]quit

[VR2-ospf-2] quit

# 在MCE上查看VPN實(shí)例vpn2的路由信息。

可以看到，MCE已經(jīng)通過(guò)OSPF學(xué)習到了VPN 2內的私網(wǎng)路由，并與VPN 1內的192.168.0.0路由信息分別維護在兩個(gè)路由表內，有效進(jìn)行了隔離。

(3) MCE與PE間路由配置

# MCE使用Ten-GigabitEthernet 1/0/3端口連接到PE1的Ten-GigabitEthernet 1/0/1端口，需要配置這兩個(gè)端口為T(mén)runk端口，并允許VLAN 30和VLAN40的報文攜帶Tag通過(guò)。

[MCE] interfaceTen-GigabitEthernet 1/0/3

[MCE-Ten-GigabitEthernet1/0/3] port link-type trunk

[MCE-Ten-GigabitEthernet1/0/3] port trunk permit vlan 30 40

[MCE-Ten-GigabitEthernet1/0/3] quit

# 配置PE 1的Ten-GigabitEthernet 1/0/1端口。

[PE1] interfaceTen-GigabitEthernet 1/0/1

[PE1-Ten-GigabitEthernet1/0/1] port link-type trunk

[PE1-Ten-GigabitEthernet1/0/1] port trunk permit vlan 30 40

[PE1-Ten-GigabitEthernet1/0/1] quit

# 在MCE上創(chuàng )建VLAN 30和接口Vlan-interface30，配置接口與VPN實(shí)例vpn1綁定，并配置接口的IP地址。

[MCE] vlan 30

[MCE-vlan30] quit

[MCE] interfacevlan-interface 30

[MCE-Vlan-interface30]ip binding vpn-instance vpn1

[MCE-Vlan-interface30]ip address 30.1.1.1 24

[MCE-Vlan-interface30]quit

# 在MCE上創(chuàng )建VLAN 40和接口Vlan-interface40，配置接口與VPN實(shí)例vpn2綁定，并配置接口的IP地址。

[MCE] vlan 40

[MCE-vlan40] quit

[MCE] interfacevlan-interface 40

[MCE-Vlan-interface40]ip binding vpn-instance vpn2

[MCE-Vlan-interface40]ip address 40.1.1.1 24

[MCE-Vlan-interface40]quit

# 在PE 1上創(chuàng )建VLAN 30和接口Vlan-interface30，配置接口與VPN實(shí)例vpn1綁定，并配置接口的IP地址。

[PE1] vlan 30

[PE1-vlan30] quit

[PE1] interfacevlan-interface 30

[PE1-Vlan-interface30]ip binding vpn-instance vpn1

[PE1-Vlan-interface30]ip address 30.1.1.2 24

[PE1-Vlan-interface30]quit

# 在PE 1上創(chuàng )建VLAN 40和接口Vlan-interface40，配置接口與VPN實(shí)例vpn2綁定，并配置接口的IP地址。

[PE1] vlan 40

[PE1-vlan40] quit

[PE1] interfacevlan-interface 40

[PE1-Vlan-interface40]ip binding vpn-instance vpn2

[PE1-Vlan-interface40]ip address 40.1.1.2 24

[PE1-Vlan-interface40]quit

# 配置MCE和PE 1的Loopback0接口，用于指定MCE和PE1的Router ID，地址分別為101.101.10.1和100.100.10.1。配置步驟這里省略。

# 配置MCE啟動(dòng)OSPF進(jìn)程10，該進(jìn)程綁定到VPN實(shí)例vpn1，關(guān)閉OSPF實(shí)例的路由環(huán)路檢測功能，并配置域ID為10。

[MCE] ospf 10router-id 101.101.10.1 vpn-instance vpn1

[MCE-ospf-10]vpn-instance-capability simple

[MCE-ospf-10]domain-id 10

# 在A(yíng)rea0區域發(fā)布30.1.1.0網(wǎng)段，并引入VPN 1的靜態(tài)路由。

[MCE-ospf-10] area0

[MCE-ospf-10-area-0.0.0.0]network 30.1.1.0 0.0.0.255

[MCE-ospf-10-area-0.0.0.0]quit

[MCE-ospf-10]import-route static

# 配置PE 1啟動(dòng)OSPF進(jìn)程10，綁定到VPN實(shí)例vpn1，域ID為10，在A(yíng)rea0區域發(fā)布30.1.1.0網(wǎng)段。

[PE1] ospf 10router-id 100.100.10.1 vpn-instance vpn1

[PE1-ospf-10]domain-id 10

[PE1-ospf-10] area0

[PE1-ospf-10-area-0.0.0.0]network 30.1.1.0 0.0.0.255

[PE1-ospf-10-area-0.0.0.0]quit

[PE1-ospf-10] quit

# 顯示PE 1上的VPN 1路由信息。

可以看到，VPN 1內的靜態(tài)路由已經(jīng)引入到MCE與PE 1間的OSPF路由表中。

MCE與PE 1間配置OSPF進(jìn)程20，導入VPN實(shí)例vpn2的路由信息的過(guò)程與上面介紹的配置基本一致，不同的是在MCE的OSPF中配置導入的是OSPF進(jìn)程20的路由，這里不再贅述，只以顯示信息為例表示導入成功后的結果。

至此，通過(guò)配置，已經(jīng)將兩個(gè)VPN實(shí)例內的路由信息完整地傳播到PE 1中，配置完成。