2024年10月15日发(作者:文紫云)
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
9
关于本章
MCE IPv6配置
在IPv6网络中,一台CE只能连接一个VPN,如果用户网络需要划分多个VPN,则需要
多台CE设备。MCE技术可以使一台CE同时连接多个VPN,既可实现不同VPN用户间的
业务完全隔离,又降低了网络设备的投入成本。
9.1 MCE IPv6简介
多VPN实例用户边缘设备MCE(Multi-VPN-Instance CE),通过在CE设备上使用路由
多实例,实现IPv6网络中不同业务或用户的隔离。
9.2 配置注意事项
介绍配置MCE IPv6的注意事项。
9.3 配置MCE IPv6
通过配置MCE,可以使一台CE同时连接多个VPN,既可实现不同VPN用户间的业务完
全隔离,又降低了网络设备的投入成本。
9.1 MCE IPv6简介
多VPN实例用户边缘设备MCE(Multi-VPN-Instance CE),通过在CE设备上使用路由
多实例,实现IPv6网络中不同业务或用户的隔离。
BGP/MPLS IP VPN以隧道的方式解决了在公网中传送私网数据的问题,但传统的BGP/
MPLS IP VPN架构要求每个VPN实例单独使用一个CE与PE相连,如图9-1所示。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司875
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
图9-1 部署MCE前的组网
CE
VPN1
Site
PE
MPLS
Backbone
CE
VPN2
Site
CE
VPN3
Site
随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络内的用户需要
划分成多个VPN,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置
一台CE将加大用户的设备开支和维护成本;而多个VPN共用一台CE,使用同一个路由
转发表,又无法保证数据的安全性。
使用MCE技术,可以有效解决多VPN网络带来的数据安全与网络成本之间的矛盾。如
图9-2所示。
图9-2 部署MCE后的组网
VPN1
Site
PE
MPLS
Backbone
MCE
VPN2
Site
VPN3
Site
MCE将PE的部分功能扩展到CE设备,通过将不同的接口与VPN绑定,并为每个VPN创
建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文
转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保
证VPN报文在公网内的传输。
9.2 配置注意事项
介绍配置MCE IPv6的注意事项。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司876
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
涉及网元
无
License支持
MCE IPv6特性是设备的基本特性,无需获得License许可即可应用此功能。
特性依赖和限制
AR510系列(除AR515GW-LM9-D和AR515CGW-L)不支持MCE IPv6。
9.3 配置MCE IPv6
通过配置MCE,可以使一台CE同时连接多个VPN,既可实现不同VPN用户间的业务完
全隔离,又降低了网络设备的投入成本。
前置任务
在配置MCE之前,需完成以下任务:
●配置局域网相关接口的链路层协议和网络层协议,将局域网接入到MCE上。每个
业务使用一个接口接入MCE。
配置流程
如下前三个任务均为必选配置。
9.3.1 配置VPN实例
背景信息
在MCE设备上进行以下配置。
在PE设备上也需要进行类似配置,但由于设备厂家、型号不同,配置命令和方法可能
不完全相同,具体的配置方法请参见对应产品的手册。
操作步骤
步骤1全局使能IPv6
1.
2.
1.
执行命令system-view,进入系统视图。
执行命令ipv6,全局使能IPv6功能。
执行命令ip vpn-instance
vpn-instance-name
,创建VPN实例,并进入VPN实例
视图。
说明
VPN实例的名字区分大小写。例如,“vpn1”和“VPN1”将被认为是不同的VPN实例。
步骤2创建VPN实例
MCE上没有缺省的VPN实例,一个MCE上可以创建多个VPN实例。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司877
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
2.(可选)执行命令description
description-information
,配置VPN实例的描述信
息。
描述信息的作用类似于主机名和接口描述信息,可以方便用户记忆VPN实例的创
建信息。
3.(可选)执行命令service-id
service-id
,配置VPN实例的业务标识值。
业务标识值用来区分不同的VPN服务,以方便网管查询,在同一台设备上具有唯
一性。
4.
5.
执行命令ipv6-family,使能VPN实例IPv6地址族,并进入VPN实例IPv6地址族视
图。
执行命令route-distinguisher
route-distinguisher
,配置VPN实例IPv6地址族的
RD。
VPN实例IPv6地址族只有配置了RD后才生效。同一PE上的不同VPN实例IPv6地址
族下的RD不能相同。
说明
RD配置后不能被修改或删除。如果要修改RD或删除RD,需要先删除对应的VPN实例或者
去使能VPN实例IPv6地址族。
步骤3配置VPN实例与接口绑定
1.
2.
3.
执行命令system-view,进入系统视图。
执行命令interface
interface-type
interface-number
,进入接口视图。
执行命令ip binding vpn-instance
vpn-instance-name
,配置VPN实例与接口绑
定。
缺省情况下,接口不绑定到任何VPN实例。
说明
执行ip binding vpn-instance命令将删除接口上已经配置的IP地址、路由协议等三层特
性,如果需要,应重新配置。
4.
5.
执行命令ipv6 enable,使能接口的IPv6功能。
执行命令ipv6 address {
ipv6-address prefix-length
|
ipv6-address/prefix-
length
} ,配置接口的IPv6地址。
----结束
9.3.2 配置MCE与Site间的路由交换
背景信息
MCE与Site之间的路由协议可以是:IPv6静态路由、RIPng、OSPFv3、IS-IS IPv6和
BGP4+。请根据实际情况,选择如下配置之一:
●
●
●
●
●
配置MCE和Site间使用IPv6静态路由
配置MCE和Site间使用RIPng
配置MCE和Site间使用OSPFv3
配置MCE和Site间使用IS-IS IPv6
配置MCE和Site间使用BGP4+
版权所有 © 华为技术有限公司878文档版本 08 (2020-08-31)
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
在MCE设备上进行以下配置。 在Site设备上只需要正常配置路由协议即可,无须特殊
配置。
配置MCE和Site间使用IPv6静态路由
在MCE上执行如下配置。Site上的配置方法与普通IPv6静态路由相同,此处不再详述。
说明
有关静态路由的详细配置,请参见《Huawei AR系列物联网关 配置指南-IP路由》中的“配置
IPv6静态路由”。
表9-1 MCE上的配置
操作
进入系统视图
配置去往Site的IPv6静态
路由
命令
system-view
ipv6 route-static vpn-
instance
vpn-instance-
name
dest-ipv6-address
说明
-
在本设备上必须指定下一
跳地址。
prefix-length
{ [
interface-type
interface-number
]
nexthop-ipv6-address
|
nexthop-ipv6-address
[ public ] | vpn-instance
vpn-destination-name
nexthop-ipv6-address
}
[ preference
preference
|
tag
tag
]
*
[ description
text
]
配置MCE和Site间使用RIPng
在MCE上进行如下配置。
说明
有关RIPng的详细配置,请参见《Huawei AR系列物联网关 配置指南-IP路由》中的“配置RIPng
路由”。
表9-2 MCE上的配置
操作
进入系统视图
命令
system-view
说明
-
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司879
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
创建MCE与Site间的RIPng
实例,并进入RIPng视图
命令
ripng
process-id
vpn-
instance
vpn-instance-
说明
一个RIPng进程只能属于一
个VPN实例。如果在启动
RIPng进程时不绑定到VPN
实例,则该进程属于公网
进程。属于公网的RIPng进
程不能再绑定到VPN实
例。
在本VPN中,如果MCE和
PE之间使用的是其它路由
协议,则需要执行本步
骤。
name
(可选)引入由PE发布的
远端Site的路由
import-route { { ripng |
isis | ospfv3 } [
process-
id
] | bgp | unr | direct |
static } [ cost
cost
|
route-policy
route-
policy-name
]
*
quit退回系统视图
进入和Site相连的接口视
图
在接口上运行RIPng路由
协议
-
-
-
interface-number
interface
interface-type
ripng
process-id
enable
配置MCE和Site间使用OSPFv3
在MCE上进行如下配置,Site上配置普通OSPFv3即可,此处不再详述。
说明
有关OSPFv3的详细配置,请参见《Huawei AR系列物联网关 配置指南 IP路由》中的“配置
OSPFv3路由”。
表9-3 MCE上的配置
操作
进入系统视图
创建MCE与Site间的
OSPFv3实例,并进入
OSPFv3视图
(可选)引入由PE发布的
远端Site的路由
命令
system-view
ospfv3 [
process-id
]
[ vpn-instance
vpn-
instance-name
]
import-route { bgp
[ permit-ibgp ] | unr |
direct | ripng
help-
process-id
| static | isis
help-process-id
| ospfv3
help-process-id
} [ cost
cost
| type
type
| tag
tag
| route-policy
route-
policy-name
]
*
说明
-
-
在本VPN中,如果MCE和
PE之间使用的是其它路由
协议,则需要执行本步
骤。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司880
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
退回系统视图
进入和Site相连的接口视
图
在接口上运行OSPFv3路由
协议
命令
quit
interface
interface-type
说明
-
-
-
interface-number
ospfv3
process-id
area
area-id
[ instance
instance-id
]
配置MCE和Site间使用IS-IS IPv6
在MCE上进行如下配置,Site上配置普通IS-IS IPv6即可,此处不再详述。
说明
有关IS-IS IPv6的详细配置,请参见《Huawei AR系列物联网关 配置指南 IP路由》中的“配置IS-
IS IPv6路由”。
表9-4 MCE上的配置
操作
进入系统视图
创建MCE与Site
间的IS-IS实例,
并进入IS-IS视图
命令
system-view
isis
process-id
vpn-instance
vpn-
说明
-
一个IS-IS进程只能属于一
个VPN实例。如果在启动
IS-IS进程时不绑定到VPN
实例,则该进程属于公网
进程。属于公网的IS-IS进
程不能再绑定到VPN实
例。
网络实体名称NET
(Network Entity Title)
同时定义了当前IS-IS的区
域地址和工业路由交换一
体机的系统ID。在一台工
业路由交换一体机的一个
进程中最多可以配置3个
NET。
-
instance-name
设置网络实体名
称
network-entity
net
使能IS-IS进程的
IPv6能力
ipv6 enable [ topology
{ compatible [ enable-mt-spf ] |
ipv6 | standard } ]
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司881
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
(可选)引入由
PE发布的远端
Site的路由
命令
可选择如下配置之一:
●ipv6 import-route { direct |
unr | { ospfv3 | ripng | isis }
[
process-id
] | bgp } inherit-
cost [ tag
tag
| route-policy
route-policy-name
| { level-1 |
level-2 | level-1-2 } ]
*
●ipv6 import-route { static |
direct | unr | { ospfv3 | ripng |
isis } [
process-id
] | bgp }
[ cost
cost
| tag
tag
| route-
policy
route-policy-name
|
{ level-1 | level-2 | level-1-2 } ]
*
说明
在本VPN中,如果MCE和
PE之间使用的是其它路由
协议,则需要执行本步
骤。
退回系统视图
进入绑定VPN实
例的接口视图
在接口上运行IS-
IS IPv6
quit-
-
-
number
interface
interface-type
interface-
isis ipv6 enable [
process-id
]
配置MCE和Site间使用BGP4+
在MCE上执行如下配置:
表9-5 MCE上的配置
操作
进入系统
视图
进入BGP
视图
进入BGP-
VPN实例
IPv6地址
族视图
将Site中和
MCE相连
的设备配
置为VPN
私网对等
体
命令
system-view
bgp {
as-number-plain
|
as-
number-dot
}
ipv6-family vpn-instance
vpn-
说明
-
-
-
instance-name
peer
ipv6-address
as-number
as-number
-
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司882
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
引入由PE
发布的远
端Site的路
由
命令
import-route
protocol
[
process-id
] [ med
med
|
route-policy
route-policy-
name
]
*
说明
在本VPN中,如果MCE和PE之间
使用的是其它路由协议,则需要
执行本步骤。
在Site上执行如下配置:
表9-6 Site上的配置
操作
进入系统
视图
进入BGP
视图
将MCE配
置为EBGP
对等体
进入BGP
IPv6地址
族视图
使能与对
等体交换
路由
配置引入
VPN内的
IGP路由
命令
system-view
bgp {
as-number-plain
|
as-
number-dot
}
peer
ipv6-address
as-number
说明
-
-
-
as-number
ipv6-family unicast-
peer {
group-name
|
ipv6-
address
} enable
import-route
protocol
[
process-id
] [ med
med
|
route-policy
route-policy-
name
]
*
-
Site需要将自己所能到达的VPN网
段地址发布给接入的MCE。
9.3.3 配置MCE与PE间的路由交换
背景信息
MCE与PE之间的路由协议可以是:IPv6静态路由、RIPng、OSPFv3、IS-IS IPv6和
BGP4+。请根据实际情况,选择如下配置之一:
●
●
●
●
●
配置MCE和PE间使用IPv6静态路由
配置MCE和PE间使用RIPng
配置MCE和PE间使用OSPFv3
配置MCE和PE间使用IS-IS IPv6
配置MCE和PE间使用BGP4+
版权所有 © 华为技术有限公司883文档版本 08 (2020-08-31)
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
配置MCE和PE间使用IPv6静态路由
在MCE上执行如下配置。
表9-7 MCE上的配置
操作
进入系统视图
配置去往PE的静态路由
命令
system-view
ipv6 route-static vpn-
instance
vpn-instance-
name
dest-ipv6-address
说明
-
在本设备上必须指定下一
跳地址。
prefix-length
{ [
interface-type
interface-number
]
nexthop-ipv6-address
|
nexthop-ipv6-address
[ public ] | vpn-instance
vpn-destination-name
nexthop-ipv6-address
}
[ preference
preference
|
tag
tag
]
*
[ description
text
]
配置MCE和PE间使用RIPng
在MCE上进行如下配置。
表9-8 MCE上的配置
操作
进入系统视图
创建MCE与PE间的RIPng
实例,并进入RIPng视图
命令
system-view
ripng
process-id
vpn-
instance
vpn-instance-
说明
-
一个RIP进程只能属于一个
VPN实例。如果在启动RIP
进程时不绑定到VPN实
例,则该进程属于公网进
程。属于公网的RIP进程不
能再绑定到VPN实例。
在本VPN中,如果MCE和
Site之间使用的是其它路
由协议,则需要执行本步
骤。
name
(可选)引入Site内的
VPN路由
import-route { { ripng |
isis | ospfv3 } [
process-
id
] | bgp | unr | direct |
static } [ cost
cost
|
route-policy
route-
policy-name
]
*
quit退回系统视图
进入和Site相连的接口视
图
文档版本 08 (2020-08-31)
-
-
interface-number
interface
interface-type
版权所有 © 华为技术有限公司884
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
在接口上运行RIPng路由
协议
命令
ripng
process-id
enable
说明
-
配置MCE和PE间使用OSPFv3
在MCE上进行如下配置。
表9-9 MCE上的配置
操作
进入系统视图
创建MCE与PE间的
OSPFv3实例,并进入
OSPFv3视图
(可选)引入Site内的
VPN路由
命令
system-view
ospfv3 [
process-id
]
vpn-instance
vpn-
说明
-
-
instance-name
import-route { bgp
[ permit-ibgp ] | unr |
direct | ripng
help-
process-id
| static | isis
help-process-id
| ospfv3
help-process-id
} [ cost
cost
| type
type
| tag
tag
| route-policy
route-
policy-name
]
*
quit
在本VPN中,如果MCE和
Site之间使用的是其它路
由协议,则需要执行本步
骤。
退回系统视图
进入和Site相连的接口视
图
在接口上运行OSPFv3路由
协议
-
-
-
interface-number
interface
interface-type
ospfv3
process-id
area
area-id
[ instance
instance-id
]
配置MCE和PE间使用IS-IS IPv6
在MCE上进行如下配置。
表9-10 MCE上的配置
操作
进入系统视图
命令
system-view
说明
-
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司885
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
创建MCE与PE间
的IS-IS实例,并
进入IS-IS视图
命令
isis
process-id
vpn-instance
vpn-
说明
一个IS-IS进程只能属于一
个VPN实例。如果在启动
IS-IS进程时不绑定到VPN
实例,则该进程属于公网
进程。属于公网的IS-IS进
程不能再绑定到VPN实
例。
网络实体名称NET
(Network Entity Title)
同时定义了当前IS-IS的区
域地址和工业路由交换一
体机的系统ID。在一台工
业路由交换一体机的一个
进程中最多可以配置3个
NET。
-
instance-name
设置网络实体名
称
network-entity
net
使能IS-IS进程的
IPv6能力
(可选)引入
Site内的VPN路
由
ipv6 enable [ topology
{ compatible [ enable-mt-spf ] |
ipv6 | standard } ]
可选择如下配置之一:
●ipv6 import-route { direct |
unr | { ospfv3 | ripng | isis }
[
process-id
] | bgp } inherit-
cost [ tag
tag
| route-policy
route-policy-name
| { level-1 |
level-2 | level-1-2 } ]
*
●ipv6 import-route { static |
direct | unr | { ospfv3 | ripng |
isis } [
process-id
] | bgp }
[ cost
cost
| tag
tag
| route-
policy
route-policy-name
|
{ level-1 | level-2 | level-1-2 } ]
*
在本VPN中,如果MCE和
Site之间使用的是其它路
由协议,则需要执行本步
骤。
退回系统视图
进入绑定VPN实
例的接口视图
在接口上运行IS-
IS IPv6
quit-
-
-
number
interface
interface-type
interface-
isis ipv6 enable [
process-id
]
配置MCE和PE间使用BGP4+
在MCE上执行如下配置。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司886
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
表9-11 MCE上的配置
操作
进入系统
视图
进入BGP
视图
进入BGP-
VPN实例
IPv6地址
族视图
将Site中和
MCE相连
的设备配
置为VPN
私网对等
体
引入由PE
发布的远
端站点的
路由
命令
system-view
bgp {
as-number-plain
|
as-
number-dot
}
ipv6-family vpn-instance
vpn-
说明
-
-
-
instance-name
peer
ipv6-address
as-number
as-number
-
import-route
protocol
[
process-id
] [ med
med
|
route-policy
route-policy-
name
]
*
在本VPN中,如果MCE和Site之间
使用的是其它路由协议,则需要
执行本步骤。
9.3.4 检查MCE IPv6配置结果
前提条件
已经完成MCE功能的所有配置。
操作步骤
●
●
●
●
使用display ip vpn-instance
vpn-instance-name
命令查看指定VPN实例的简要
信息。
使用display ip vpn-instance verbose
vpn-instance-name
命令查看指定VPN实
例的详细信息。
使用display ip vpn-instance [
vpn-instance-name
] interface命令查看指定
VPN实例所绑定的接口信息。
使用display ipv6 routing-table vpn-instance
vpn-instance-name
[ verbose ]
命令在MCE上查看IPv6的VPN路由表,可看到对于每一种业务,MCE上都有到局
域网的路由及到远端站点的路由。
----结束
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司887
2024年10月15日发(作者:文紫云)
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
9
关于本章
MCE IPv6配置
在IPv6网络中,一台CE只能连接一个VPN,如果用户网络需要划分多个VPN,则需要
多台CE设备。MCE技术可以使一台CE同时连接多个VPN,既可实现不同VPN用户间的
业务完全隔离,又降低了网络设备的投入成本。
9.1 MCE IPv6简介
多VPN实例用户边缘设备MCE(Multi-VPN-Instance CE),通过在CE设备上使用路由
多实例,实现IPv6网络中不同业务或用户的隔离。
9.2 配置注意事项
介绍配置MCE IPv6的注意事项。
9.3 配置MCE IPv6
通过配置MCE,可以使一台CE同时连接多个VPN,既可实现不同VPN用户间的业务完
全隔离,又降低了网络设备的投入成本。
9.1 MCE IPv6简介
多VPN实例用户边缘设备MCE(Multi-VPN-Instance CE),通过在CE设备上使用路由
多实例,实现IPv6网络中不同业务或用户的隔离。
BGP/MPLS IP VPN以隧道的方式解决了在公网中传送私网数据的问题,但传统的BGP/
MPLS IP VPN架构要求每个VPN实例单独使用一个CE与PE相连,如图9-1所示。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司875
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
图9-1 部署MCE前的组网
CE
VPN1
Site
PE
MPLS
Backbone
CE
VPN2
Site
CE
VPN3
Site
随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络内的用户需要
划分成多个VPN,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置
一台CE将加大用户的设备开支和维护成本;而多个VPN共用一台CE,使用同一个路由
转发表,又无法保证数据的安全性。
使用MCE技术,可以有效解决多VPN网络带来的数据安全与网络成本之间的矛盾。如
图9-2所示。
图9-2 部署MCE后的组网
VPN1
Site
PE
MPLS
Backbone
MCE
VPN2
Site
VPN3
Site
MCE将PE的部分功能扩展到CE设备,通过将不同的接口与VPN绑定,并为每个VPN创
建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文
转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保
证VPN报文在公网内的传输。
9.2 配置注意事项
介绍配置MCE IPv6的注意事项。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司876
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
涉及网元
无
License支持
MCE IPv6特性是设备的基本特性,无需获得License许可即可应用此功能。
特性依赖和限制
AR510系列(除AR515GW-LM9-D和AR515CGW-L)不支持MCE IPv6。
9.3 配置MCE IPv6
通过配置MCE,可以使一台CE同时连接多个VPN,既可实现不同VPN用户间的业务完
全隔离,又降低了网络设备的投入成本。
前置任务
在配置MCE之前,需完成以下任务:
●配置局域网相关接口的链路层协议和网络层协议,将局域网接入到MCE上。每个
业务使用一个接口接入MCE。
配置流程
如下前三个任务均为必选配置。
9.3.1 配置VPN实例
背景信息
在MCE设备上进行以下配置。
在PE设备上也需要进行类似配置,但由于设备厂家、型号不同,配置命令和方法可能
不完全相同,具体的配置方法请参见对应产品的手册。
操作步骤
步骤1全局使能IPv6
1.
2.
1.
执行命令system-view,进入系统视图。
执行命令ipv6,全局使能IPv6功能。
执行命令ip vpn-instance
vpn-instance-name
,创建VPN实例,并进入VPN实例
视图。
说明
VPN实例的名字区分大小写。例如,“vpn1”和“VPN1”将被认为是不同的VPN实例。
步骤2创建VPN实例
MCE上没有缺省的VPN实例,一个MCE上可以创建多个VPN实例。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司877
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
2.(可选)执行命令description
description-information
,配置VPN实例的描述信
息。
描述信息的作用类似于主机名和接口描述信息,可以方便用户记忆VPN实例的创
建信息。
3.(可选)执行命令service-id
service-id
,配置VPN实例的业务标识值。
业务标识值用来区分不同的VPN服务,以方便网管查询,在同一台设备上具有唯
一性。
4.
5.
执行命令ipv6-family,使能VPN实例IPv6地址族,并进入VPN实例IPv6地址族视
图。
执行命令route-distinguisher
route-distinguisher
,配置VPN实例IPv6地址族的
RD。
VPN实例IPv6地址族只有配置了RD后才生效。同一PE上的不同VPN实例IPv6地址
族下的RD不能相同。
说明
RD配置后不能被修改或删除。如果要修改RD或删除RD,需要先删除对应的VPN实例或者
去使能VPN实例IPv6地址族。
步骤3配置VPN实例与接口绑定
1.
2.
3.
执行命令system-view,进入系统视图。
执行命令interface
interface-type
interface-number
,进入接口视图。
执行命令ip binding vpn-instance
vpn-instance-name
,配置VPN实例与接口绑
定。
缺省情况下,接口不绑定到任何VPN实例。
说明
执行ip binding vpn-instance命令将删除接口上已经配置的IP地址、路由协议等三层特
性,如果需要,应重新配置。
4.
5.
执行命令ipv6 enable,使能接口的IPv6功能。
执行命令ipv6 address {
ipv6-address prefix-length
|
ipv6-address/prefix-
length
} ,配置接口的IPv6地址。
----结束
9.3.2 配置MCE与Site间的路由交换
背景信息
MCE与Site之间的路由协议可以是:IPv6静态路由、RIPng、OSPFv3、IS-IS IPv6和
BGP4+。请根据实际情况,选择如下配置之一:
●
●
●
●
●
配置MCE和Site间使用IPv6静态路由
配置MCE和Site间使用RIPng
配置MCE和Site间使用OSPFv3
配置MCE和Site间使用IS-IS IPv6
配置MCE和Site间使用BGP4+
版权所有 © 华为技术有限公司878文档版本 08 (2020-08-31)
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
在MCE设备上进行以下配置。 在Site设备上只需要正常配置路由协议即可,无须特殊
配置。
配置MCE和Site间使用IPv6静态路由
在MCE上执行如下配置。Site上的配置方法与普通IPv6静态路由相同,此处不再详述。
说明
有关静态路由的详细配置,请参见《Huawei AR系列物联网关 配置指南-IP路由》中的“配置
IPv6静态路由”。
表9-1 MCE上的配置
操作
进入系统视图
配置去往Site的IPv6静态
路由
命令
system-view
ipv6 route-static vpn-
instance
vpn-instance-
name
dest-ipv6-address
说明
-
在本设备上必须指定下一
跳地址。
prefix-length
{ [
interface-type
interface-number
]
nexthop-ipv6-address
|
nexthop-ipv6-address
[ public ] | vpn-instance
vpn-destination-name
nexthop-ipv6-address
}
[ preference
preference
|
tag
tag
]
*
[ description
text
]
配置MCE和Site间使用RIPng
在MCE上进行如下配置。
说明
有关RIPng的详细配置,请参见《Huawei AR系列物联网关 配置指南-IP路由》中的“配置RIPng
路由”。
表9-2 MCE上的配置
操作
进入系统视图
命令
system-view
说明
-
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司879
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
创建MCE与Site间的RIPng
实例,并进入RIPng视图
命令
ripng
process-id
vpn-
instance
vpn-instance-
说明
一个RIPng进程只能属于一
个VPN实例。如果在启动
RIPng进程时不绑定到VPN
实例,则该进程属于公网
进程。属于公网的RIPng进
程不能再绑定到VPN实
例。
在本VPN中,如果MCE和
PE之间使用的是其它路由
协议,则需要执行本步
骤。
name
(可选)引入由PE发布的
远端Site的路由
import-route { { ripng |
isis | ospfv3 } [
process-
id
] | bgp | unr | direct |
static } [ cost
cost
|
route-policy
route-
policy-name
]
*
quit退回系统视图
进入和Site相连的接口视
图
在接口上运行RIPng路由
协议
-
-
-
interface-number
interface
interface-type
ripng
process-id
enable
配置MCE和Site间使用OSPFv3
在MCE上进行如下配置,Site上配置普通OSPFv3即可,此处不再详述。
说明
有关OSPFv3的详细配置,请参见《Huawei AR系列物联网关 配置指南 IP路由》中的“配置
OSPFv3路由”。
表9-3 MCE上的配置
操作
进入系统视图
创建MCE与Site间的
OSPFv3实例,并进入
OSPFv3视图
(可选)引入由PE发布的
远端Site的路由
命令
system-view
ospfv3 [
process-id
]
[ vpn-instance
vpn-
instance-name
]
import-route { bgp
[ permit-ibgp ] | unr |
direct | ripng
help-
process-id
| static | isis
help-process-id
| ospfv3
help-process-id
} [ cost
cost
| type
type
| tag
tag
| route-policy
route-
policy-name
]
*
说明
-
-
在本VPN中,如果MCE和
PE之间使用的是其它路由
协议,则需要执行本步
骤。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司880
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
退回系统视图
进入和Site相连的接口视
图
在接口上运行OSPFv3路由
协议
命令
quit
interface
interface-type
说明
-
-
-
interface-number
ospfv3
process-id
area
area-id
[ instance
instance-id
]
配置MCE和Site间使用IS-IS IPv6
在MCE上进行如下配置,Site上配置普通IS-IS IPv6即可,此处不再详述。
说明
有关IS-IS IPv6的详细配置,请参见《Huawei AR系列物联网关 配置指南 IP路由》中的“配置IS-
IS IPv6路由”。
表9-4 MCE上的配置
操作
进入系统视图
创建MCE与Site
间的IS-IS实例,
并进入IS-IS视图
命令
system-view
isis
process-id
vpn-instance
vpn-
说明
-
一个IS-IS进程只能属于一
个VPN实例。如果在启动
IS-IS进程时不绑定到VPN
实例,则该进程属于公网
进程。属于公网的IS-IS进
程不能再绑定到VPN实
例。
网络实体名称NET
(Network Entity Title)
同时定义了当前IS-IS的区
域地址和工业路由交换一
体机的系统ID。在一台工
业路由交换一体机的一个
进程中最多可以配置3个
NET。
-
instance-name
设置网络实体名
称
network-entity
net
使能IS-IS进程的
IPv6能力
ipv6 enable [ topology
{ compatible [ enable-mt-spf ] |
ipv6 | standard } ]
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司881
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
(可选)引入由
PE发布的远端
Site的路由
命令
可选择如下配置之一:
●ipv6 import-route { direct |
unr | { ospfv3 | ripng | isis }
[
process-id
] | bgp } inherit-
cost [ tag
tag
| route-policy
route-policy-name
| { level-1 |
level-2 | level-1-2 } ]
*
●ipv6 import-route { static |
direct | unr | { ospfv3 | ripng |
isis } [
process-id
] | bgp }
[ cost
cost
| tag
tag
| route-
policy
route-policy-name
|
{ level-1 | level-2 | level-1-2 } ]
*
说明
在本VPN中,如果MCE和
PE之间使用的是其它路由
协议,则需要执行本步
骤。
退回系统视图
进入绑定VPN实
例的接口视图
在接口上运行IS-
IS IPv6
quit-
-
-
number
interface
interface-type
interface-
isis ipv6 enable [
process-id
]
配置MCE和Site间使用BGP4+
在MCE上执行如下配置:
表9-5 MCE上的配置
操作
进入系统
视图
进入BGP
视图
进入BGP-
VPN实例
IPv6地址
族视图
将Site中和
MCE相连
的设备配
置为VPN
私网对等
体
命令
system-view
bgp {
as-number-plain
|
as-
number-dot
}
ipv6-family vpn-instance
vpn-
说明
-
-
-
instance-name
peer
ipv6-address
as-number
as-number
-
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司882
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
引入由PE
发布的远
端Site的路
由
命令
import-route
protocol
[
process-id
] [ med
med
|
route-policy
route-policy-
name
]
*
说明
在本VPN中,如果MCE和PE之间
使用的是其它路由协议,则需要
执行本步骤。
在Site上执行如下配置:
表9-6 Site上的配置
操作
进入系统
视图
进入BGP
视图
将MCE配
置为EBGP
对等体
进入BGP
IPv6地址
族视图
使能与对
等体交换
路由
配置引入
VPN内的
IGP路由
命令
system-view
bgp {
as-number-plain
|
as-
number-dot
}
peer
ipv6-address
as-number
说明
-
-
-
as-number
ipv6-family unicast-
peer {
group-name
|
ipv6-
address
} enable
import-route
protocol
[
process-id
] [ med
med
|
route-policy
route-policy-
name
]
*
-
Site需要将自己所能到达的VPN网
段地址发布给接入的MCE。
9.3.3 配置MCE与PE间的路由交换
背景信息
MCE与PE之间的路由协议可以是:IPv6静态路由、RIPng、OSPFv3、IS-IS IPv6和
BGP4+。请根据实际情况,选择如下配置之一:
●
●
●
●
●
配置MCE和PE间使用IPv6静态路由
配置MCE和PE间使用RIPng
配置MCE和PE间使用OSPFv3
配置MCE和PE间使用IS-IS IPv6
配置MCE和PE间使用BGP4+
版权所有 © 华为技术有限公司883文档版本 08 (2020-08-31)
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
配置MCE和PE间使用IPv6静态路由
在MCE上执行如下配置。
表9-7 MCE上的配置
操作
进入系统视图
配置去往PE的静态路由
命令
system-view
ipv6 route-static vpn-
instance
vpn-instance-
name
dest-ipv6-address
说明
-
在本设备上必须指定下一
跳地址。
prefix-length
{ [
interface-type
interface-number
]
nexthop-ipv6-address
|
nexthop-ipv6-address
[ public ] | vpn-instance
vpn-destination-name
nexthop-ipv6-address
}
[ preference
preference
|
tag
tag
]
*
[ description
text
]
配置MCE和PE间使用RIPng
在MCE上进行如下配置。
表9-8 MCE上的配置
操作
进入系统视图
创建MCE与PE间的RIPng
实例,并进入RIPng视图
命令
system-view
ripng
process-id
vpn-
instance
vpn-instance-
说明
-
一个RIP进程只能属于一个
VPN实例。如果在启动RIP
进程时不绑定到VPN实
例,则该进程属于公网进
程。属于公网的RIP进程不
能再绑定到VPN实例。
在本VPN中,如果MCE和
Site之间使用的是其它路
由协议,则需要执行本步
骤。
name
(可选)引入Site内的
VPN路由
import-route { { ripng |
isis | ospfv3 } [
process-
id
] | bgp | unr | direct |
static } [ cost
cost
|
route-policy
route-
policy-name
]
*
quit退回系统视图
进入和Site相连的接口视
图
文档版本 08 (2020-08-31)
-
-
interface-number
interface
interface-type
版权所有 © 华为技术有限公司884
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
在接口上运行RIPng路由
协议
命令
ripng
process-id
enable
说明
-
配置MCE和PE间使用OSPFv3
在MCE上进行如下配置。
表9-9 MCE上的配置
操作
进入系统视图
创建MCE与PE间的
OSPFv3实例,并进入
OSPFv3视图
(可选)引入Site内的
VPN路由
命令
system-view
ospfv3 [
process-id
]
vpn-instance
vpn-
说明
-
-
instance-name
import-route { bgp
[ permit-ibgp ] | unr |
direct | ripng
help-
process-id
| static | isis
help-process-id
| ospfv3
help-process-id
} [ cost
cost
| type
type
| tag
tag
| route-policy
route-
policy-name
]
*
quit
在本VPN中,如果MCE和
Site之间使用的是其它路
由协议,则需要执行本步
骤。
退回系统视图
进入和Site相连的接口视
图
在接口上运行OSPFv3路由
协议
-
-
-
interface-number
interface
interface-type
ospfv3
process-id
area
area-id
[ instance
instance-id
]
配置MCE和PE间使用IS-IS IPv6
在MCE上进行如下配置。
表9-10 MCE上的配置
操作
进入系统视图
命令
system-view
说明
-
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司885
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
操作
创建MCE与PE间
的IS-IS实例,并
进入IS-IS视图
命令
isis
process-id
vpn-instance
vpn-
说明
一个IS-IS进程只能属于一
个VPN实例。如果在启动
IS-IS进程时不绑定到VPN
实例,则该进程属于公网
进程。属于公网的IS-IS进
程不能再绑定到VPN实
例。
网络实体名称NET
(Network Entity Title)
同时定义了当前IS-IS的区
域地址和工业路由交换一
体机的系统ID。在一台工
业路由交换一体机的一个
进程中最多可以配置3个
NET。
-
instance-name
设置网络实体名
称
network-entity
net
使能IS-IS进程的
IPv6能力
(可选)引入
Site内的VPN路
由
ipv6 enable [ topology
{ compatible [ enable-mt-spf ] |
ipv6 | standard } ]
可选择如下配置之一:
●ipv6 import-route { direct |
unr | { ospfv3 | ripng | isis }
[
process-id
] | bgp } inherit-
cost [ tag
tag
| route-policy
route-policy-name
| { level-1 |
level-2 | level-1-2 } ]
*
●ipv6 import-route { static |
direct | unr | { ospfv3 | ripng |
isis } [
process-id
] | bgp }
[ cost
cost
| tag
tag
| route-
policy
route-policy-name
|
{ level-1 | level-2 | level-1-2 } ]
*
在本VPN中,如果MCE和
Site之间使用的是其它路
由协议,则需要执行本步
骤。
退回系统视图
进入绑定VPN实
例的接口视图
在接口上运行IS-
IS IPv6
quit-
-
-
number
interface
interface-type
interface-
isis ipv6 enable [
process-id
]
配置MCE和PE间使用BGP4+
在MCE上执行如下配置。
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司886
Huawei AR 系列物联网关
配置指南-VPN(命令行)9 MCE IPv6配置
表9-11 MCE上的配置
操作
进入系统
视图
进入BGP
视图
进入BGP-
VPN实例
IPv6地址
族视图
将Site中和
MCE相连
的设备配
置为VPN
私网对等
体
引入由PE
发布的远
端站点的
路由
命令
system-view
bgp {
as-number-plain
|
as-
number-dot
}
ipv6-family vpn-instance
vpn-
说明
-
-
-
instance-name
peer
ipv6-address
as-number
as-number
-
import-route
protocol
[
process-id
] [ med
med
|
route-policy
route-policy-
name
]
*
在本VPN中,如果MCE和Site之间
使用的是其它路由协议,则需要
执行本步骤。
9.3.4 检查MCE IPv6配置结果
前提条件
已经完成MCE功能的所有配置。
操作步骤
●
●
●
●
使用display ip vpn-instance
vpn-instance-name
命令查看指定VPN实例的简要
信息。
使用display ip vpn-instance verbose
vpn-instance-name
命令查看指定VPN实
例的详细信息。
使用display ip vpn-instance [
vpn-instance-name
] interface命令查看指定
VPN实例所绑定的接口信息。
使用display ipv6 routing-table vpn-instance
vpn-instance-name
[ verbose ]
命令在MCE上查看IPv6的VPN路由表,可看到对于每一种业务,MCE上都有到局
域网的路由及到远端站点的路由。
----结束
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司887