河北农行mplsvpn设计方案v4.doc

河北农行MPLS VPN网络设计方案河北农行MPLS VPN网络设计方案目录1网络拓扑32IP地址规划42.1总体IP规划42.2穿越地址网段42.3LOOPBACK0地址网段73VPN规划93.1VPN说明93.2VPN定义113.3VRF中RT的规划113.4PE路由器上VRF的配置144IGP规划174.1Global IGP174.2VPN IGP204.3VPN IGP中引入BGP路由215MP-BGP规划225.1BGP总体规划225.2路由反射器235.3Peer Group235.4VPN路由的引入266MPLS规划287数据流向控制308QOS338.1QOS总体规划338.2配置举例339VOIP3510网管3611AAA认证361 网络拓扑河北农行MPLS VPN网络由省行、地市行、县支行三级网络构成，网络中划分了4个VPN，分别是业务、办公、VOIP和DMZ。省行核心节点由两台7609路由器构成（利用原有网络设备），连接省中心生产、OA、VOIP、DMZ四个VPN，同时还允许NMS、AAA服务器访问MPLS VPN网络中的Global区域。7609A通过11个2M分别连接各地市行7206A路由器，主要供业务数据传输；7609B通过11个2M分别连接各地市行7206B路由器，主要供办公数据传输。11个地市行节点由两台7206路由器构成（利用原有网络设备），连接本地市生产、OA、VOIP、DMZ四个VPN。7206A和7206B分别通过1个2M与省行7609A及7609B互联。7206A通过若干个2M分别连接下属县支行2811路由器，主要供业务数据传输；7206B通过若干个2M分别连接下属县支行2811路由器，主要供办公数据传输。县支行节点由1台2811构成，连接本支行生产、OA、VOIP三个VPN。2811通过2个2M链路分别与地市行7206A和7206B互联。县支行2811还配置CE1与下属网点互联。2 IP地址规划2.1 总体IP规划河北农行MPLS VPN网络采用全新规划的设备穿越地址、LOOPBACK地址，同时VPN地址采用原有的地址划分。河北农行MPLS VPN 网络采用私网IP地址10.0.0.0/8。其中穿越地址网段为10.0.0.0/1610.11.0.0/16，LOOPBACK0地址网段为10.255.0.0/16。2.2 穿越地址网段1、 穿越地址总体规划省中心、11个地市分别以10.x.0.0/16的B类地址为穿越地址，总体划分如下表，所分配的“穿越地址段”中x值分别对应各自的“地市编号”。地市编号区域穿越地址段0省中心10.0.0.0/161石家庄10.1.0.0/162廊坊10.2.0.0/163邢台10.3.0.0/164衡水10.4.0.0/165沧州10.5.0.0/166邯郸10.6.0.0/167秦皇岛10.7.0.0/168张家口10.8.0.0/169承德10.9.0.0/1610唐山10.10.0.0/1611保定10.11.0.0/162、 省行7609路由器地市行7206路由器穿越地址分配规则省行第一台路由器地市行第一台路由器的穿越地址从省中心地址段分配，网段为10.0.y.0/30，y为相应地市行编号；省行第二台路由器地市行第二台路由器的穿越地址从省中心地址段中分配，网段为10.0.y.4/30，y为相应地市行编号；省行第一台路由器与省行第二台路由器互联的穿越地址从省中心地址段分配，网段为10.0.0.0/30。编号对端设备省行第一台路由器FH01省行第二台路由器FH02本地地址对端地址本地地址对端地址0省行10.0.0.1/3010.0.0.2/3010.0.0.2/3010.0.0.1/301石家庄10.0.1.1/3010.0.1.2/3010.0.1.5/3010.0.1.6/302廊坊10.0.2.1/3010.0.2.2/3010.0.2.5/3010.0.2.6/303邢台10.0.3.1/3010.0.3.2/3010.0.3.5/3010.0.3.6/304衡水10.0.4.1/3010.0.4.2/3010.0.4.5/3010.0.4.6/305沧州10.0.5.1/3010.0.5.2/3010.0.5.5/3010.0.5.6/306邯郸10.0.6.1/3010.0.6.2/3010.0.6.5/3010.0.6.6/307秦皇岛10.0.7.1/3010.0.7.2/3010.0.7.5/3010.0.7.6/308张家口10.0.8.1/3010.0.8.2/3010.0.8.5/3010.0.8.6/309承德10.0.9.1/3010.0.9.2/3010.0.9.5/3010.0.9.6/3010唐山10.0.10.1/3010.0.10.2/3010.0.10.5/3010.0.10.6/3011保定10.0.11.1/3010.0.11.2/3010.0.11.5/3010.0.11.6/303、 地市行2台7206路由器VLAN500穿越地址分配规则为了确保IGP中AREA 0的穿越地址可汇总，同一地市行路由器之间互联的第一对穿越地址从省行互联地址段分配。编号对端设备地市第一台路由器地市第二台路由器1石家庄10.0.101.1/3010.0. 101.2/302廊坊10.0.102.1/3010.0. 102.2/303邢台10.0. 103.1/3010.0. 103.2/304衡水10.0. 104.1/3010.0. 104.2/305沧州10.0. 105.1/3010.0. 105.2/306邯郸10.0. 106.1/3010.0. 106.2/307秦皇岛10.0. 107.1/3010.0. 107.2/308张家口10.0. 108.1/3010.0. 108.2/309承德10.0. 109.1/3010.0. 109.2/3010唐山10.0.110.1/3010.0.110.2/3011保定10.0.111.1/3010.0.111.2/304、 地市行2台7206路由器VLAN501穿越地址分配规则为了确保IGP中AREA X的穿越地址可汇总，同一地市行路由器之间互联的第二对穿越地址从本地市互联地址段分配。编号对端设备地市第一台路由器地市第二台路由器1石家庄10.1.0.1/3010.1.0.2/302廊坊10.2.0.1/3010.2.0.2/303邢台10.3.0.1/3010.3.0.2/304衡水10.4.0.1/3010.4.0.2/305沧州10.5.0.1/3010.5.0.2/306邯郸10.6.0.1/3010.6.0.2/307秦皇岛10.7.0.1/3010.7.0.2/308张家口10.8.0.1/3010.8.0.2/309承德10.9.0.1/3010.9.0.2/3010唐山10.10.0.1/3010.10.0.2/3011保定10.11.0.1/3010.11.0.2/305、 地市行7206路由器县支行2811路由器穿越地址分配规则地市行第一台路由器县支行路由器的穿越地址从地市行地址段分配，网段为10.x.N.0/30，x为相应地市行编号，N为相应县支行编号；地市行第二台路由器县支行路由器的穿越地址从地市行地址段分配，网段为10.x.N.4/30，x为相应地市行编号，N为相应县支行编号。举例如下：编号对端设备地市行第一台路由器地市行第二台路由器本地地址对端地址本地地址对端地址1县支行110.x.1.1/3010.x.1.2/3010.x.1.5/3010.x.1.6/302县支行210.x.2.1/3010.x.2.2/3010.x.2.5/3010.x.2.6/303县支行310.x.3.1/3010.x.3.2/3010.x.3.5/3010.x.3.6/30N县支行N10.x.N.1/3010.x.N.2/3010.x.N.5/3010.x.N.6/302.3 LOOPBACK0地址网段1、 总体规划省中心、11个地市行路由器分别以10.255.x.0/24的C类地址为LOOPBACK地址，总体划分如下表，所分配的“LOOPBACK地址段”中X值分别对应各自的“地市编号”。地市编号区域LOOPBACK地址段0省中心10.255.0.0/241石家庄10.255.1.0/242廊坊10.255.2.0/243邢台10.255.3.0/244衡水10.255.4.0/245沧州10.255.5.0/246邯郸10.255.6.0/247秦皇岛10.255.7.0/248张家口10.255.8.0/249承德10.255.9.0/2410唐山10.255.10.0/2411保定10.255.11.0/242、 省行、地市行LOOPBACK0分配规则省中心、11个地市行第一台路由器采用10.255.x.1/32为LOOPBACK地址；第二台路由器采用10.255.x.2/32为LOOPBACK地址；其中x值分别对应各自的“地市编号”。地市编号区域第一台路由器第二台路由器0省中心10.255.0.1/3210.255.0.2/321石家庄10.255.1.1/3210.255.1.2/322廊坊10.255.2.1/3210.255.2.2/323邢台10.255.3.1/3210.255.3.2/324衡水10.255.4.1/3210.255.4.2/325沧州10.255.5.1/3210.255.5.2/326邯郸10.255.6.1/3210.255.6.2/327秦皇岛10.255.7.1/3210.255.7.2/328张家口10.255.8.1/3210.255.8.2/329承德10.255.9.1/3210.255.9.2/3210唐山10.255.10.1/3210.255.10.2/3211保定10.255.11.1/3210.255.11.2/323、 县支行LOOPBACK0分配规则各地市县支行路由器采用10.255.x.M/32为LOOPBACK地址，其中x为相应地市行编号，M为相应县支行编号N+10。举例如下：支行编号支行名称LOOPBACK地址1县支行110.255.x.11/322县支行210.255.x.12/323县支行310.255.x.13/32N县支行N10.255.x.M/323 VPN规划3.1 VPN说明3.1.1 生产ABIS 生产ABIS VPN包括省分行中心、地市行和县支行；提供Central-Service路由；路由规划的原则是县支行能够同本地市行和省分行通讯，但是不能够同其它县支行和地市行通讯；地市行能够同本市县支行和省分行通讯，但是不能够同其它地市行及其县支行通讯；省分行能够同所有的地市行和县支行通讯。3.1.2 OA办公OA VPN包括省分行中心、地市行和县支行；提供Fully-Mesh路由；路由规划的原则是任意地市行、县支行和省分行都能够相互访问通讯。3.1.3 VOIP语音VOIP VPN包括省分行中心、地市行和县支行；提供Fully-Mesh路由；路由规划的原则是任意地市行、县支行和省分行都能够相互访问通讯。3.1.4 DMZ中间业务DMZ VPN包括省分行中心和地市行；提供Fully-Mesh路由；路由规划的原则是任意地市行和省分行都能够相互访问通讯。3.2 VPN定义VPN是由若干Site组成的集合。Site可以同时属于不同的VPN，但是必须遵循如下规则：属于一个VPN定义的Site集合，才具有IP连通性。根据河北农行的实际需要，我们在MPLS VPN网络中划分4个VPN，分别是生产、办公、VOIP、DMZ，其中除了DMZ VPN只需要部署在省行和地市行二级网络设备上外，其他3种VPN需要部署在省行、地市行、县支行三级网络设备上。在VPN交叠区域中，通过RT进行控制路由的流向。VPN具体划分情况见下表：VPN名称TypeVRF命名RD部署位置生产Centre_ServiceABIS65000:1省、地市、县办公FULLY_MESHOA65000:2省、地市、县VOIPFULLY_MESHVOIP65000:3省、地市、县DMZFULLY_MESHDMZ65000:4省、地市3.3 VRF中RT的规划VRF中的Route-Target Import是用来标识本VRF所能引入的路由属性，而Route-Target Import则是在PE向其他PE发送路由时，对本VRF的路由进行染色的属性，以便其他PE对路由进行归类。3.3.1 生产VPN生产VPN类型属于Central Service，部署在省行、地市行、县支行三级网络中，生产VPN中PE路由器上需要引入的路由如下：省行PE路由器上： 省行路由器Import全省各地市行的生产VPN路由； 省行路由器Import全省各县支行的生产VPN路由； 省行路由器Import另一台省行路由器的生产VPN路由；地市行PE路由器上： 地市行路由器Import下属全部县支行的生产VPN路由； 地市行路由器Import省行的生产VPN路由； 地市行路由器Import另一台地市行路由器的生产VPN路由； 其他路由不Import县支行PE路由器上： 县支行路由器Import省行生产VPN路由； 县支行路由器Import地市行生产VPN路由； 其他路由不Import生产VRF中RT的划分原则如下：省行PE路由器上生产VRF的Export RT为65000：100，Import RT为65000：100（省行）、65000：10165000：111（地市行）、65000：15165000：161（县支行）。地市行PE路由器上生产VRF的Export RT为65000：（x+100），Import RT为65000：100（省行）、65000：（x+100）（本地市行）、65000：（x+150）（所辖县支行）。本段x为相应地市行编号县支行PE路由器上生产VRF的Export RT为65000：（x+150），Import RT为65000：100（省行）、65000：（x+100）（本地市行）。本段x为相应地市行编号3.3.2 办公VPN办公VPN类型属于Full Mesh，部署在省行、地市行、县支行三级网络中。每台PE路由器都Import其他的PE路由器上办公VPN的路由。所有PE路由器上办公VRF的Import RT都是65000：200，所有PE路由器上办公VRF的Export RT都是65000：200。3.3.3 VOIP VPNVOIPVPN类型属于Full Mesh，部署在省行、地市行、县支行三级网络中。每台PE路由器都Import其他的PE路由器上VOIP VPN的路由。所有PE路由器上VOIP VRF的Import RT都是65000：300，所有PE路由器上VOIP VRF的Export RT都是65000：300。3.3.4 DMZ VPNDMZVPN类型属于Full Mesh，部署在省行、地市行二级网络中。每台PE路由器都Import其他的PE路由器上DMZ VPN的路由。所有PE路由器上DMZVRF的Import RT都是65000：400，所有PE路由器上DMZVRF的Export RT都是65000：400。编号ABISOAVOIPDMZEx RTIm RTEx RTIm RTEx RTIm RTEx RTIm RTRD65000:165000:265000:365000:40省行100100101-111151-1612002003003004004001石家庄101100,101,151200200300300400400石家庄县支行151100,1012002003003002廊坊102100,102,152200200300300400400廊坊县支行152100,1022002003003003邢台103100,103,153200200300300400400邢台县支行153100,1032002003003004衡水104100,104,154200200300300400400衡水县支行154100,1042002003003005沧州105100,105,155200200300300400400沧州县支行155100,1052002003003006邯郸106100,106,156200200300300400400邯郸县支行156100,1062002003003007秦皇岛107100,107,157200200300300400400秦皇岛县支行157100,1072002003003008张家口108100,108,158200200300300400400张家口县支行158100,1082002003003009承德109100,109,159200200300300400400承德县支行159100,10920020030030010唐山110100,110,160200200300300400400唐山县支行160100,11020020030030011保定111100,111,161200.200300300400400保定县支行161100,1112002003003003.4 PE路由器上VRF的配置在配置VRF时，需要配置VRF的名称、RD、RT。以省行、石家庄市行、县支行为例，具体配置如下：省行VRF配置：!ip vrf ABIS rd 65000:1 route-target export 65000:100 route-target import 65000:101 route-target import 65000:102 route-target import 65000:100 route-target import 65000:151 route-target import 65000:152!ip vrf DMZ rd 65000:4 route-target export 65000:400 route-target import 65000:400!ip vrf OA rd 65000:2 route-target export 65000:200 route-target import 65000:200!ip vrf VOIP rd 65000:3 route-target export 65000:300 route-target import 65000:300石家庄行VRF配置：ip vrf ABIS rd 65000:1 route-target export 65000:101 route-target import 65000:101 route-target import 65000:100 route-target import 65000:151!ip vrf DMZ rd 65000:4 route-target export 65000:400 route-target import 65000:400!ip vrf OA rd 65000:2 route-target export 65000:200 route-target import 65000:200!ip vrf VOIP rd 65000:3 route-target export 65000:300 route-target import 65000:300石家庄县支行VRF配置：ip vrf ABIS rd 65000:1 route-target export 65000:151 route-target import 65000:101 route-target import 65000:100!ip vrf OA rd 65000:2 route-target export 65000:200 route-target import 65000:200!ip vrf VOIP rd 65000:3 route-target export 65000:300 route-target import 65000:3004 IGP规划4.1 Global IGP河北农行MPLS VPN网络中采用OSPF作为IGP路由协议，确保整个MPLS VPN网络中的PE之间能够建立IBGP邻居，AS号定为10。所有的PE路由器需要在OSPF中发布以下路由：1. 设备LOOPBACK0的网段10.255.0.0/16；2. 设备穿越地址网段。以省行、石家庄市行、县支行为例，具体OSPF配置如下：省行7609：router ospf 10 router-id 10.255.0.1 log-adjacency-changes network 10.255.0.0 0.0.255.255 area 0 network 10.0.0.0 0.0.255.255 area 0石家庄市行7206：router ospf 10router-id 10.255.1.1 log-adjacency-changesnetwork 10.0.0.0 0.0.255.255 area 0 network 10.1.0.0 0.0.255.255 area 1 network 10.255.0.0 0.0.255.255 area 0石家庄市县支行2811：router ospf 10router-id 10.255.1.11 log-adjacency-changes network 10.1.0.0 0.0.255.255 area 1 network 10.255.0.0 0.0.255.255 area 14.1.1 Global IGP的总体规划4.1.2 Global IGP中Area的划分以省行骨干网络和各地市网络为分布原则划分成12个区域，其中省行骨干网络为AREA 0。11个地市行网络为AREA X，其中X为相应的“地市编号”OSPF的AREA具体划分如下表所示：编号主要区域AREA号所含设备及端口0农行骨干AREA0省行FH01，FH02完全属于本域；各地市行路由器上连端口属于本域；各地市行路由器LOOPBACK端口属于本域。各地市行路由器互联的VLAN500。1石家庄AREA1石家庄分行路由器除在AREA 0外的其他端口属于本域；石家庄所属县支行路由器完全属于本域。2廊坊AREA2廊坊分行路由器除在AREA 0外的其他端口属于本域；廊坊所属县支行路由器完全属于本域。3邢台AREA3邢台分行路由器除在AREA 0外的其他端口属于本域；邢台所属县支行路由器完全属于本域。4衡水AREA4衡水分行路由器除在AREA 0外的其他端口属于本域；衡水所属县支行路由器完全属于本域。5沧州AREA5沧州分行路由器除在AREA 0外的其他端口属于本域；沧州所属县支行路由器完全属于本域。6邯郸AREA6邯郸分行路由器除在AREA 0外的其他端口属于本域；邯郸所属县支行路由器完全属于本域。7秦皇岛AREA7秦皇岛分行路由器除在AREA 0外的其他端口属于本域；秦皇岛所属县支行路由器完全属于本域。8张家口AREA8张家口分行路由器除在AREA 0外的其他端口属于本域；张家口所属县支行路由器完全属于本域。9承德AREA9承德分行路由器除在AREA 0外的其他端口属于本域；承德所属县支行路由器完全属于本域。10唐山AREA10唐山分行路由器除在AREA 0外的其他端口属于本域；唐山所属县支行路由器完全属于本域。11保定AREA11保定分行路由器除在AREA 0外的其他端口属于本域；保定所属县支行路由器完全属于本域。4.1.3 Global IGP路由汇总由于穿越地址数量众多，为了减小网络中设备的路由表，并降低网络变化导致的跨域影响，需要对穿越地址进行汇总。尽管LOOPBACK地址也比较多，但由于MPLS网络中要求LSP所针对的路由必须全网都有，因此LOOPBACK地址不做汇总，汇总规则如下：1、 各地市行路由器作为ABR将本地市区域内的穿越地址路由作汇总，并向AREA0发布；同时将AREA0路由作汇总，分发到本地市其它路由器。2、 LOOPBACK0地址网段不能做汇总以石家庄市行7206路由器为例，其Global IGP的汇总配置如下：router ospf 10 log-adjacency-changes area 0 range 10.0.0.0 255.255.0.0 area 1 range 10.1.0.0 255.255.0.04.2 VPN IGP在各VPN网络中可采用各种IGP路由协议，以保持各VPN网络的连通性。目前可被用于VPN网络中的IGP协议有EIGRP、OSPF、RIP2、STATIC，针对这些协议，在实施全网实施MPLS VPN之后我们将原有的路由协议VRF化，将其路由放入相应的VPN中。4.2.1 OSPF在VRF中开启OSPF，只需要在原有的OSPF命令后加上VRF即可，从而使该OSPF进程只在这个VPN中生效，VRF中的OSPF其他命令和以前的OSPF一样。具体配置如下例：router ospf 130 vrf ABISnetwork 130.0.0.0 0.255.255.255 area 0!4.2.2 Static静态路由协议也支持完全的VRF化，在配置静态路由时，可以直接指定相应的VRF名称，指定后该静态路由只在VPN中生效。具体配置如下例：ip route vrf ABIS 0.0.0.0 0.0.0.0 1.1.1.14.3 VPN IGP中引入BGP路由PE对等体上VPN中的路由是通过MPBGP协议向本端PE发布的，因此VPN IGP必须先将MP-BGP中的路由引入。以生产VPN为例，列举PE路由器上将ABIS路由引入到VPN IGP中的配置。router ospf 130 vrf ABISredistribute bgp 650005 MP-BGP规划5.1 BGP总体规划河北农行MPLS VPN网络中所有设备采用IBGP互联，AS号为65000。省行2台PE路由器分别与22台地市行PE路由器建立IBGP PEER关系，同时省行的两台PE路由器之间建立PEER关系；与MPLS VPN中其他PE设备不建立PEER关系。地市行2台PE路由器分别与省行2台PE路由器建立IBGP PEER关系，与本地区的县支行PE路由器建立PEER关系，同一地市的两台PE路由器之间建立PEER关系；与MPLS VPN中其他PE设备不建立PEER关系。县支行PE路由器只与地市行2台PE路由器建立IBGP关系；与MPLS VPN中其他PE设备不建立PEER关系。5.2 路由反射器为保证IBGP对等体之间的连通性，IBGP对等体之间需要建立全闭合网。在农行MPLS VPN网络中，IBGP对等体数目很多，内部BGP网络变得非常大，建立全闭合网开销很大。因此采用两级反射器RR实现网络的全连接Full Mesh。1、 第一级：省行骨干网络设备为一个群，省行路由器做反射器，22台地市行设备作为Client； 2、 第二级：各地市行范围内网络设备分别组成一个群，地市行路由器分别做反射器，本地市县支行设备作为Client； 以省行、石家庄市行为例，具体RR配置如下：注意：在配置BGP协议时， Address-family VPNV4中需要配置RR。 Address-family VPNV4中不启动RR，VPNV4的路由将不能反射到其他PE。省行7609上RR的配置：router bgp 65000! address-family vpnv4neighbor dishi route-reflector-client地市行7206 RR的配置：router bgp 65000! address-family vpnv4neighbor zhihang route-reflector-client5.3 Peer Group为提高BGP路由分发的效率，使用Peer-Group来建立Peer，以省行、石家庄市行、县支行为例，具体配置如下：注意：在配置BGP协议时， BGP Global与Address-family VPNV4中都需要配置Peer Group。 只启动BGP Global中的Peer Group，VPNV4的路由将不能发送到其他PE。 使用no bgp default ipv4-unicast命令关闭BGP PEER之间的ipv4通信，减小网络中的流量省行7609上Peer-Group配置：router bgp 65000 no synchronization bgp log-neighbor-changesno bgp default ipv4-unicast neighbor dishi peer-group neighbor dishi remote-as 65000 neighbor dishi update-source Loopback0 neighbor 10.255.0.2 remote-as 65000 neighbor 10.255.0.2 update-source Loopback0 neighbor 10.255.1.1 peer-group dishi neighbor 10.255.1.2 peer-group dishi neighbor 10.255.2.1 peer-group dishi neighbor 10.255.2.2 peer-group dishi no auto-summary ! address-family vpnv4 neighbor dishi activate neighbor dishi send-community extended neighbor 10.255.0.2 activate neighbor 10.255.0.2 send-community extended neighbor 10.255.1.1 peer-group dishi neighbor 10.255.1.2 peer-group dishi neighbor 10.255.2.1 peer-group dishi neighbor 10.255.2.2 peer-group dishi exit-address-family地市行7206 的Peer-Group配置：router bgp 65000 no synchronization bgp log-neighbor-changesno bgp default ipv4-unicast neighbor zhihang peer-group neighbor zhihang remote-as 65000 neighbor zhihang update-source Loopback0neighbor fenhang peer-group neighbor fenhang remote-as 65000 neighbor fenhang update-source Loopback0 neighbor 10.255.0.1 peer-group fenhang neighbor 10.255.0.2 peer-group fenhang neighbor 10.255.1.2 remote-as 65000 neighbor 10.255.1.2 update-source Loopback0 neighbor 10.255.1.3 peer-group zhihang neighbor 10.255.1.4 peer-group zhihang no auto-summary ! address-family vpnv4 neighbor zhihang activateneighbor zhihang send-community extended neighbor fenhang activate neighbor fenhang send-community extended neighbor 10.255.0.1 peer-group fenhang neighbor 10.255.0.2 peer-group fenhang neighbor 10.255.1.2 activate neighbor 10.255.1.2 send-community extended neighbor 10.255.1.3 peer-group zhihang neighbor 10.255.1.4 peer-group zhihang exit-address-family县支行的Peer-Group配置：router bgp 65000 no synchronization bgp log-neighbor-changesno bgp default ipv4-unicast neighbor dishi peer-group neighbor dishi remote-as 65000 neighbor dishi update-source Loopback0 neighbor 10.255.1.1 peer-group dishi neighbor 10.255.1.2 peer-group dishi no auto-summary ! address-family vpnv4 neighbor dishi activate neighbor dishi send-community extended neighbor 10.255.1.1 peer-group dishi neighbor 10.255.1.2 peer-group dishi exit-address-family5.4 VPN路由的引入PE路由器上VPN中的路由是通过MPBGP协议向PE对等体发布的，因此MP-BGP必须先将VPN IGP中的路由引入。以生产VPN为例，列举PE路由器上将ABIS路由引入MP-BGP的配置。5.4.1 OSPF：注意：在引入OSPF时，只引入OSPF中的内部路由（internal）。address-family ipv4 vrf ABIS redistribute ospf 130 match internal no auto-summary no synchronization exit-address-family5.4.2 Static&Connect：address-family ipv4 vrf ABIS redistribute static metric 10redistribute connect metric 10 no auto-summary no synchronization exit-address-family6 MPLS规划河北农行MPLS VPN网络中所有的网络设备均作为PE，采用的标签分发协议标签分发协议（LDP）交换标签分配信息并建立相应的标签交换路径（LSP）。需要注意的是在所有的LSR设备上都需要开启IP CEF。设备VRF生效端口MPLS生效端口省行路由器与省行业务、OA、VOIP、DMZ区域互联的相关端口（各VLAN的Interface接口）。与地市行路由器互联的所有接口。VLAN500地市行路由器与地市行网络互联的局域网接口。与下属支行互联的广域网接口。与下属网点互联的广域网接口。与省行路由器互联的所有接口。与县支行路由器互联的所有接口。VLAN500VLAN501县支行路由器与支行网络互联的局域网接口。与下属网点互联的广域网接口。与地市行路由器互联的所有接口。以省行、石家庄市行、县支行为例，具体配置如下：省行7609ip cef distributempls label protocol ldpinterface Serial0/1/0mpls label protocol ldp tag-switching ip石家庄市行7206ip cef mpls label protocol ldpinterface Serial0/1/0mpls label protocol ldp tag-switching ip石家庄县支行2811ip cef mpls label protocol ldpinterface Serial0/1/0mpls label protocol ldp tag-switching ip7 数据流向控制河北农行MPLS VPN网络中，地市行7206A采用1个2M上联7609A，地市行7206B采用1个2M上联7609B；县支行2811采用2个2M分别上联地市行7206A和7206B。默认情况下ABIS和OA数据从县支行到地市行在两条2M链路上负载均衡传输（Per-destination方式），从地市行到省分行也在两条2M链路上负载均衡传输（Per-destination方式）；此外OA数据从县支行到其他县支行也在两条2M链路上负载均衡传输（Per-destination方式）。对网络进行调整，使ABIS数据只走第一个2M传输，OA数据只走第二个2M链路，实现数据分流。具体调整的手段： 调整省行、地市行PE路由器上生产和业务VPN路由重分布进MP-BGP时的Metric值，使省行到地市行数据分流。n 省行7609A和地市行7206A作为业务主网关，将业务VPN的路由重分布进MP-BGP时，Metric值设为5；省行7609B和地市行7206B作为业务备份网关，将业务VPN的路由重分布进MP-BGP时，Metric值设为10。因此，其它路由器在学到省行、地市行业务VPN路由时，从7609A和7206A的学到的ABIS路由优先，7609A和7206A的LOOPBACK0是其业务数据流的下一跳。n 省