MPLS virtual private network Spoken-Hub网络实验（华为设备）

实验拓扑：

保证PC1和PC2能够通过site1做中转站，互相正常通信。

配置思路：

一、骨干网上配置IGP协议，实现骨干网Hub-PE和Spoke-PE的互通。以PE1为例子：
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.12.1 0.0.0.0
network 10.1.13.1 0.0.0.0
注意只需要通过与公网相连的地址，不能将与CE相连的地址通告进去。并且需要将回环口通告进入OSPF中（32位），为第二步的MPLS做准备。

二、骨干网上配置MPLS基本能力和MPLS LDP，建立LDP LSP公网隧道。这里列举注意点：
mpls
label advertise non-null //不为上游设备分配特殊标签，因为在这个环境下，隧道只有两台设备，如果分配的标签为3，那么发送的时候是不会在报文中打上外层标签的，就失去了MPLS VPN的意义（使用标签传输），所以这里最好设置为不分配特殊标签。

三、Hub-PE与Spoke-PE间建立MP-IBGP对等体关系；Spoke-PE之间不建立MP-IBGP对等体关系，不交换VPN路由信息。
注意点：需要PE上全局关闭ipv4-unicast功能，因为我们不需要使用这个地址簇建立邻居关系，使用的是vpnv4地址簇：
[PE1-bgp]undo default ipv4-unicast
PE1上的其他配置：
bgp 100
undo default ipv4-unicast
peer 2.2.2.2 as-number 100
peer 2.2.2.2 connect-interface LoopBack0
peer 3.3.3.3 as-number 100
peer 3.3.3.3 connect-interface LoopBack0

ipv4-family vpnv4 //在VPNv4环境中激活邻居
policy vpn-target
peer 2.2.2.2 enable
peer 3.3.3.3 enable
配置完成后检查外网邻居关系是否建立完成：

四、Hub-PE上创建两个VPN实例，一个用于接收Spoke-PE发来的路由，其Import Target为100:1；另一个用于向Spoke-PE发布路由，其VPN实例的Export Target为200:1。

ip vpn-instance vpn_in //作为Spoke路由的接收端
ipv4-family
route-distinguisher 100:21
vpn-target 100:1 import-extcommunity

ip vpn-instance vpn_out //作为Hub路由的发送端
ipv4-family
route-distinguisher 100:22
vpn-target 200:1 export-extcommunity

绑定对应的接口：
interface GigabitEthernet0/0/2
ip binding vpn-instance vpn_out

interface GigabitEthernet4/0/0
ip binding vpn-instance vpn_in

五、Spoke-PE上创建一个VPN实例，其Export Target为100:1，Import Target为200:1。PE2和PE3：实例配置需要一样的，可以保证PE2和PE3不能够直接通信，需要经过PE1中转。

ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
vpn-target 100:1 export-extcommunity //对应PE1的接收端，指定PE1接收
vpn-target 200:1 import-extcommunity //对应PE1的发送端，只接收PE1的发送的路由

六、CE和PE之间使用EBGP交换VPN路由信息。Hub-PE上配置允许接收AS重复1次的路由，以接收Hub-CE发布的路由。

以PE1和CE1为例子：
bgp 100
ipv4-family vpn-instance vpn_in
peer 10.1.112.1 as-number 400

ipv4-family vpn-instance vpn_out
peer 10.1.111.1 as-number 400
peer 10.1.111.1 allow-as-loop //在out端口指邻居的时候需要配置允许AS号重复1次，因为从CE1接收的条目是PE1实例in发送来的，已经打上了AS100的标记，然后再新发送给PE的实例out，又因为实例in和实例out都是AS100的，所以如果不配置这条命令，PE1的out实例接收到条目后就因为AS号重复立马丢弃了。当PE1out实例接收到以后，自动重分发进入VPNv4实例中，在发送给PE3和PE2。

CE1配置：
bgp 400
peer 10.1.111.254 as-number 100
peer 10.1.112.254 as-number 100

七、检测PE2和PE3是否能够直接通信（正常）。

分析路由传递过程：（以CE2的路由传递到CE3为例子）

首先在CE2上将PC2网段的路由条目通告进BGP传递给PE2，PE2自动从实例中重分发进入VPNv4地址簇中，然后通过MPLS VPN发送给PE1，PE1接收后：

按照私网交叉重分发进入实例in。

然后再发送给自己的EBGP邻居CE1，CE1接收后会将从EBGP邻居发送的条目发送给自己EBGP邻居，也就是实例out，对于实例out来说，其上允许接收AS重复的条目，于是接收以后自动重分发进去VPNv4实例中，再打上vpn-target 200:1发给自己的IBGP邻居PE3，PE3接收后通过私网交叉引入实例vpna，再通过EBGP发送给CE3，完成单向的路由传递。

分析通信过程：（站点2的PC和站点1的PC互相通信）

PC2将报文发送给CE2，CE2通过路由信息将报文传递给PE2，PE2查看FIB表：
[PE2]dis fib vpn-instance vpna //注意查看的是vpna的FIB表，因为是这个实例接收的

在这里我们继续查看详细的信息FIB表：还可以查看到对应的内层标签为1031，所以我们先打上内层标签
[PE2]dis fib vpn-instance vpna verbose

注意：MPLS VPN中的内层标签不仅是需要看网段地址进行分配，还需要根据RD值进行分配。

然后因为目的地址10.1.101.0的隧道ID不为0（0x1），表示要进入对应的隧道，进行MPLS VPN转发，所以我们继续查看LFIB表：

简易的LFIB表中其实也是分为了两个表项，BGP LSP表示的是接收的报文需要打上私网标签，LDP LSP表示的是在MPLS VPN中传输过程时需要打上的公网标签，公网抓包报文显示：

查看详细信息中可以看到对应的隧道编号，在这里打上的外网标签为1025（和报文中的符号），隧道的目的地址为1.1.1.1，那么为什么是1.1.1.1呢？因为其借助了BGP条目的下一跳作为目的地址。

报文到达了PE1以后，出标签为Null，首先剥离外层标签：

然后查看对应的内层标签表：1031。

这时PE1知道了对应转发的条目是通过10.1.101.0/24这个路由条目进行转发，通过的实例是vpn_out，并且将标签进行剥离，查看对应实例的路由条目进行转发即可：

注意：LFIB表上的内层标签的分配是接着外层标签分配的，例如外层标签分配到了1030，内网标签从1031进行分配。