跨域VPN A类

跨域VPN-OptionA是基本BGP/MPLS IP VPN在跨域环境下的应用，ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置

背景：

总公司A1和分公司A2要实现VPN通信

公司A1的路由器CE1与PE1（R1）采用ospf2通信

公司A2的路由器CE2与PE2（R3）采用BGP通信

配置过程：

CE1

[Huawei]sysname CE1
虚拟接口
[CE1]interface LoopBack 0
[CE1-LoopBack0]ip address 4.4.4.4 32
物理接口G 0/0/0
[CE1]interface GigabitEthernet 0/0/0
[CE1-GigabitEthernet0/0/0]ip add 10.0.41.4 24
OSPF区域
[CE1]ospf 2
[CE1-ospf-2]area 0
[CE1-ospf-2-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[CE1-ospf-2-area-0.0.0.0]network 10.1.41.0 0.0.0.255

PE1

[Huawei]sysname PE1
[PE1]interface LoopBack 0
[PE1-LoopBack0]ip address 1.1.1.1 32

#必须先定义mpls的router-id，要为本地设备的真实ip地址，且邻居可达，因为该地址将用于建立tcp会话，建议使用环回地址
[PE1]mpls lsr-id 1.1.1.1
[PE1]mpls
[PE1-mpls]mpls ldp


[PE1]bgp 100
[PE1-bgp]router-id 1.1.1.1
[PE1-bgp]peer 3.3.3.3 as-number 100
[PE1-bgp]peer 3.3.3.3 connect-interface LoopBack 0


[PE1-bgp] ipv4-family vpnv4
[PE1-bgp-af-vpnv4]peer 3.3.3.3 enable


[PE1]ip vpn-instance VPNA
[PE1-vpn-instance-VPNA] ipv4-family
[PE1-vpn-instance-VPNA-af-ipv4]route-distinguisher  20:10
[PE1-vpn-instance-VPNA-af-ipv4]vpn-target 100:2 export-extcommunity 
[PE1-vpn-instance-VPNA-af-ipv4]vpn-target 200:2 import-extcommunity


[PE1]ospf 2 vpn-instance VPNA
[PE1-ospf-2]import-route bgp 	
[PE1-ospf-2-area-0.0.0.0]network 10.1.41.0 0.0.0.255


[PE1]ospf 1 
[PE1-ospf-1]
[PE1-ospf-1] area 0.0.0.0 
[PE1-ospf-1-area-0.0.0.0]  network 1.1.1.1 0.0.0.0 
[PE1-ospf-1-area-0.0.0.0]  network 10.1.12.0 0.0.0.255

[PE1]bgp 100
[PE1-bgp]ipv4-family vpnv-in	
[PE1-bgp]ipv4-family vpn-instance VPNA
[PE1-bgp-VPNA]import-route ospf 2

[PE1]interface GigabitEthernet 0/0/0
[PE1-GigabitEthernet0/0/0]ip binding vpn-instance VPNA
[PE1-GigabitEthernet0/0/0]ip address 10.1.41.1 24

[PE1]interface GigabitEthernet 0/0/2
[PE1-GigabitEthernet0/0/2]mpls
[PE1-GigabitEthernet0/0/2]mpls ldp
[PE1-GigabitEthernet0/0/2]ip address 10.1.12.1 24

P

[Huawei]sysname P
[P]mpls lsr-id 2.2.2.2
[P]mpls
[P-mpls]mpls ldp

[P]interface LoopBack 0
[P-LoopBack0]ip address 2.2.2.2 32


[P]interface GigabitEthernet 0/0/0
[P-GigabitEthernet0/0/0]ip address 10.1.12.2 24
[P-GigabitEthernet0/0/0]mpls
[P-GigabitEthernet0/0/0]mpls ldp


[P]interface GigabitEthernet 0/0/1
[P-GigabitEthernet0/0/1]ip address 10.1.23.2 24
[P-GigabitEthernet0/0/1]mpls
[P-GigabitEthernet0/0/1]mpls ldp

[P]ospf 1
[P-ospf-1]area 0
[P-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 
[P-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255 
[P-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255 

PE2

[Huawei]sysname PE2
[PE2]interface LoopBack 0
[PE2-LoopBack0]ip address 3.3.3.3 32


[PE2]mpls lsr-id 3.3.3.3
[PE2]mpls
[PE2-mpls]mpls ldp


[PE2]bgp 100
[PE2-bgp]router-id 3.3.3.3
[PE2-bgp]peer 1.1.1.1 as-number 100
[PE2-bgp]peer 1.1.1.1 connect-interface LoopBack 0
[PE2-bgp] ipv4-family vpnv4
[PE2-bgp-af-vpnv4]peer 1.1.1.1 enable



[PE2]ip vpn-instance VPNA
[PE2-vpn-instance-VPNA-af-ipv4]route-distinguisher 20:11
[PE2-vpn-instance-VPNA-af-ipv4]vpn-target 100:2 export-extcommunity 
[PE2-vpn-instance-VPNA-af-ipv4]vpn-target 200:2 import-extcommunity


[PE2]ospf 1
[PE2-ospf-1]area 0
[PE2-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[PE2-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255

[PE2]bgp 100
[PE2-bgp]ipv4-family vpn-instance VPNA
[PE2-bgp-VPNA]peer 10.1.36.6 as-number 110


[PE2]interface GigabitEthernet 0/0/0
[PE2-GigabitEthernet0/0/0]mpls
[PE2-GigabitEthernet0/0/0]mpls ldp
[PE2-GigabitEthernet0/0/0]ip address 10.1.23.3 24


[PE2]interface GigabitEthernet 0/0/1
[PE2-GigabitEthernet0/0/1]ip binding vpn-instance VPNA
[PE2-GigabitEthernet0/0/1]ip address 10.1.36.5 24

CE2

[Huawei]sysname CE2
[CE2]interface LoopBack 0
[CE2-LoopBack0]ip address 5.5.5.5 32

[CE2]interface GigabitEthernet 0/0/0
[CE2-GigabitEthernet0/0/0]ip address 10.1.36.6 24


[CE2]bgp 110
[CE2-bgp]peer 10.1.36.5 as-number 100
[CE2-bgp] ipv4-family unicast
[CE2-bgp-af-ipv4]network 5.5.5.5 255.255.255.255
[CE2-bgp-af-ipv4]network 10.1.36.0 255.255.255.0
[CE2-bgp-af-ipv4]peer 10.1.36.5 enable

验证：

注意点：

多利用display bgp peer查询邻居状态

创建实例:不要弄错，im/ex顺序，RD名称不重复

设备mpls标签不要遗漏

结尾：

跨域VPN-OptionA

• 当网络中存在少量VPN的情况下，跨域VPN-OptionA有一定的适用性。

• ASBR将对端AS的ASBR视为一台CE设备，并使用VRF接口与其对接。两个AS的ASBR之间交互IPv4形态的VPN路由。

• 从数据层面看，VPN用户的数据在两个AS的ASBR之间交互时，是IP报文的形态，也就是不携带任何标签头部。

• 跨域VPN-OptionA的可扩展性较差，由于ASBR需要管理所有VPN路由，为每个VPN创建VPN实例，这将导致ASBR上的VPNv4路由数量过大。并且，由于ASBR间是普通的IP转发，要求为每个跨域的VPN使用不同的接口（可以是子接口、物理接口、捆绑的逻辑接口），因此对ASBR设备有较高的要求。如果跨越多个自治域，中间域必须支持VPN业务，不仅配置量大，而且对中间域有较大影响。在需要跨域的VPN数量比较少的情况，可以优先考虑使用。