配置MPLS VPN回注

MPLS VPN回注是指清洗设备和回注路由器之间建立MPLS L3VPN，将清洗后的流量通过MPLS L3VPN回注到原链路，最后送到防护对象。

实现机制

本功能在AntiDDoS上配置。

如图1所示，Router1为引流路由器。Router1的GE1/0/1接口与清洗设备的GE2/0/1接口之间的通道，为引流通道。引流流量通过Router1的GE1/0/1接口引导至清洗设备的GE2/0/1接口进行清洗。

在清洗设备和Router2上建立MPLS L3VPN。清洗设备作为Ingress PE（Provider Edge）设备，Router1作为P设备，Router2作为Egress PE设备，将清洗后的流量通过动态建立的LSP（Label Switched Path）由GE2/0/2回注到Router2的GE1/0/1接口。流量在清洗设备上被打上两层标签，经过Router1后剥离外层标签，Router2根据内层的私网标签查找相应的私网路由表，对流量进行转发，最后送到防护对象。

实际应用中，回注路由器可以是Router2，也可以是其他下行路由器。

图1 MPLS VPN回注

对于引流方式为BGP引流的场景，MPLS VPN回注可以直接避开引流路由，将回注流量直接送到下行学习不到引流路由的路由器，避免了路由环路的问题。

MPLS VPN回注是典型的动态回注，应用灵活，可扩展性好，但是对路由器的路由特性要求较高，要求相关路由器都支持MPLS功能。

说明：

不同VPN下的防护对象地址不能重叠。

配置清洗设备

配置清洗设备接口的IP地址及作为LSR ID的Loopback地址，并用OSPF协议通告各接口所连网段和LSR ID主机路由。
配置MPLS基本功能。
1. 在用户视图下执行命令system-view，进入系统视图。
2. 执行命令mpls lsr-id lsr-id，配置本节点的LSR ID。
  lsr-id表示设备的LSR ID，点分十进制格式，用于标识一个LSR。
  
  配置LSR ID是配置其它MPLS命令的前提。
  
  LSR没有缺省的LSR ID，必须手工配置，推荐使用LSR某个Loopback 接口的地址做为LSR ID。
  
  如果要修改已经配置的LSR ID，必须在系统视图下执行undo mpls命令删除所有MPLS配置。
3. 执行命令mpls，开启全局的MPLS功能，并进入MPLS视图。
4. 执行命令quit，退回至系统视图。
5. 执行命令mpls ldp，开启全局的LDP功能，并进入MPLS-LDP视图。
6. 执行命令quit，退回至系统视图。
7. 执行命令interface interface-type { interface-number | interface-number.subinterface-number }，进入接口视图。
  接口类型可以为10GE、GigabitEthernet、POS、Eth-Trunk、IP-Trunk以及10GE、GigabitEthernet和Eth-Trunk的子接口。不能为主控板上的接口GigabitEthernet0/0/0。
  
  此处的接口为清洗设备的GE2/0/2接口。
8. 执行命令mpls，开启接口的MPLS功能。
9. 执行命令mpls ldp，开启接口的LDP功能。
10. 执行命令quit，退回至系统视图。
配置VPN实例。
1. 执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN实例视图。
2. 执行命令route-distinguisher route-distinguisher，配置VPN实例的RD。
  VPN实例只有配置了RD后才能生效。在配置RD之前，除了描述信息外，不能配置其他任何参数。
3. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ]，为VPN实例创建VPN-target扩展团体。
  VPN Target是BGP的扩展团体属性，用来控制VPN路由信息的接收和发布。一条vpn-target命令最多可以配置8个VPN Target；一个VPN实例最多可以配置16个VPN Target。
4. 执行命令interface interface-type { interface-number | interface-number.subinterface-number }，进入接口视图。
  接口类型可以为10GE、GigabitEthernet、POS、Eth-Trunk、IP-Trunk以及10GE、GigabitEthernet和Eth-Trunk的子接口。不能为主控板上的接口GigabitEthernet0/0/0。
  
  此处的接口为清洗设备的GE2/0/1接口。
5. 执行命令ip binding vpn-instance vpn-instance-name，配置接口绑定VPN实例。
  注意：
  执行ip binding vpn-instance命令后，将删除接口上已经配置的IP地址、路由协议等三层特性，如果需要应重新配置。
6. 执行命令ip address ip-address { mask | mask-length }，配置接口的IP地址。
7. 执行命令quit，退回至系统视图。
配置PE和PE间使用MP-IBGP。
1. 执行命令interface loopback number，创建Loopback接口。
  number取值范围是0～1023。
2. 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置Loopback接口的IP地址。
3. 执行命令quit，退回至系统视图。
4. 执行bgp as-number，进入BGP视图。
  as-number为自治系统号，取值范围是1～65535。
5. 执行peer peer-address as-number as-number，将对端PE配置为对等体。
  peer-address为对等体的IP地址。
6. 执行peer peer-address connect-interface loopback interface-number，指定建立TCP连接的接口。
  PE之间必须使用32位掩码的Loopback接口地址来建立MP-IBGP对等体关系，以避免由于路由聚合导致报文不能找到正确的路由。到Loopback接口的路由通过MPLS骨干网上的IGP发布给对端PE。
7. 执行ipv4-family vpnv4 [ unicast ]，进入BGP-VPNv4子地址族视图。
8. 执行peer peer-address enable，开启对等体交换VPN-IPv4路由信息。
配置PE和CE（Customer Edge）间使用的路由。
根据实际情况，选择配置PE和CE之间使用EBGP、静态路由、RIP或OSPF。

配置路由器Router1

以华为NE80E路由器为例，介绍配置MPLS VPN回注时，路由器上的相关配置。不同版本的路由器配置不同，请根据实际路由器版本进行配置，以下配置仅供参考。

配置Router1接口的IP地址及作为LSR ID的Loopback地址，并用OSPF协议通告各接口所连网段和LSR ID主机路由。
配置MPLS基本功能。
1. 在用户视图下执行命令system-view，进入系统视图。
2. 执行命令mpls lsr-id lsr-id，配置本节点的LSR ID。
  lsr-id表示设备的LSR ID，点分十进制格式，用于标识一个LSR。
  
  配置LSR ID是配置其它MPLS命令的前提。
  
  LSR没有缺省的LSR ID，必须手工配置，推荐使用LSR某个Loopback接口的地址作为LSR ID。
  
  如果要修改已经配置的LSR ID，必须在系统视图下执行undo mpls命令删除所有MPLS配置。
3. 执行命令mpls，开启全局的MPLS功能，并进入MPLS视图。
4. 执行命令quit，退回至系统视图。
5. 执行命令mpls ldp，开启全局的LDP功能，并进入MPLS-LDP视图。
6. 执行命令quit，退回至系统视图。
7. 执行命令interface interface-type { interface-number | interface-number.subinterface-number }，进入接口视图。
  此处的接口为回注流量的入接口GE1/0/2和出接口GE1/0/3。
8. 执行命令mpls，开启接口的MPLS功能。
9. 执行命令mpls ldp，开启接口的LDP功能。
10. 执行命令quit，退回至系统视图。

配置路由器Router2

配置Router2接口的IP地址及作为LSR ID的Loopback地址，并用OSPF协议通告各接口所连网段和LSR ID主机路由。
配置MPLS基本功能。
1. 在用户视图下执行命令system-view，进入系统视图。
2. 执行命令mpls lsr-id lsr-id，配置本节点的LSR ID。
  lsr-id表示设备的LSR ID，点分十进制格式，用于标识一个LSR。
  
  配置LSR ID是配置其它MPLS命令的前提。
  
  LSR没有缺省的LSR ID，必须手工配置，推荐使用LSR某个Loopback接口的地址做为LSR ID。
  
  如果要修改已经配置的LSR ID，必须在系统视图下执行undo mpls命令删除所有MPLS配置。
3. 执行命令mpls，开启全局的MPLS功能，并进入MPLS视图。
4. 执行命令quit，退回至系统视图。
5. 执行命令mpls ldp，开启全局的LDP功能，并进入MPLS-LDP视图。
6. 执行命令quit，退回至系统视图。
7. 执行命令interface interface-type { interface-number | interface-number.subinterface-number }，进入接口视图。
  此处的接口为回注流量的入接口GE1/0/1。
8. 执行命令mpls，开启接口的MPLS功能。
9. 执行命令mpls ldp，开启接口的LDP功能。
10. 执行命令quit，退回至系统视图。
配置VPN实例。
1. 执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN实例视图。
2. 执行命令route-distinguisher route-distinguisher，配置VPN实例的RD。
  VPN实例只有配置了RD后才能生效。在配置RD之前，除了描述信息外，不能配置其他任何参数。
3. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ]，为VPN实例创建VPN-target扩展团体。
  VPN Target是BGP的扩展团体属性，用来控制VPN路由信息的接收和发布。一条vpn-target命令最多可以配置8个VPN Target；一个VPN实例最多可以配置16个VPN Target。
4. 执行命令interface interface-type { interface-number | interface-number.subinterface-number }，进入接口视图。
  此处的接口为Router2与防护对象网络连接的接口，即图1中Router2的接口GE1/0/2。
5. 执行命令ip binding vpn-instance vpn-instance-name，配置接口绑定VPN实例。
  注意：
  执行ip binding vpn-instance命令后，将删除接口上已经配置的IP地址、路由协议等三层特性，如果需要应重新配置。
6. 执行命令quit，退回至系统视图。
配置PE和PE间使用MP-IBGP。
1. 执行命令interface loopback number，创建Loopback接口。
  number取值范围是0～1023。
2. 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置Loopback接口的IP地址。
3. 执行命令quit，退回至系统视图。
4. 执行bgp as-number，进入BGP视图。
5. 执行peer peer-address as-number as-number，将对端PE配置为对等体。
6. 执行peer peer-address connect-interface loopback interface-number，指定建立TCP连接的接口。
  PE之间必须使用32位掩码的Loopback接口地址来建立MP-IBGP对等体关系，以避免由于路由聚合导致报文不能找到正确的路由。到Loopback接口的路由通过MPLS骨干网上的IGP发布给对端PE。
7. 执行ipv4-family vpnv4 [ unicast ]，进入BGP-VPNv4子地址族视图。
8. 执行peer peer-address enable，开启对等体交换VPN-IPv4路由信息。
配置PE和CE（Customer Edge）间使用的路由。
根据实际情况，选择配置PE和CE之间使用EBGP、静态路由、RIP或OSPF。