一、配置PE上的IPv4 VPN实例

前提条件

在配置PE上的IPv4 VPN实例之前，需完成以下任务：

• 配置接口的链路层协议参数，确保接口状态正常。

背景信

VPN实例也称为VPN路由转发表VRF（VPN Routing and Forwarding table）。在相关标准中，VPN实例被称为per-site forwarding table。

VPN实例用于将VPN私网路由与公网路由隔离。不同VPN实例的路由之间也是相互隔离的。

操作步骤

（1）进入系统视图。

system-view

（2）创建VPN实例，并进入VPN实例视图。

ip vpn-instance vpn-instance-name

VPN实例的名字区分大小写。例如，“vpn1”和“VPN1”将被认为是不同的VPN实例。

（3）（可选）配置VPN实例的描述信息。

description description-information

（4）使能VPN实例IPv4地址族，并进入VPN实例IPv4地址族视图。

ipv4-family

根据通告路由和转发数据的类型使能相应的地址族后，才能进行VPN的相关配置。

（5）配置VPN实例IPv4地址族的RD。

route-distinguisher route-distinguisher

VPN实例IPv4地址族只有配置了RD后才生效。同一PE上的不同VPN实例IPv4地址族下的RD不能相同。

若创建VPN实例进入VPN实例视图后，直接配置VPN实例IPv4地址族的RD，配置完成后则会自动使能VPN实例IPv4地址族并跳至VPN实例IPv4地址族视图，可直接进行相应配置。

当用户需要创建大量VPN实例并规划大量的RD时，为避免RD冲突的问题，可以在系统视图下配置 route route-distinguisher auto rd-ip命令使能RD自动分配功能，通过指定rd-ip参数配置IPv4类型的地址，可以为所有未分配RD的VPN实例分配格式为X.X.X.X:index的RD，其中index为系统自动分配的2字节数，取值范围是1～65535。RD自动分配功能针对于未手动静态配置RD的VPN实例，如果某个VPN实例已经在IPv4、IPv6地址族下使用route-distinguisher route-distinguisher命令手动配置了RD，则不会再为该实例地址族动态分配RD。

（6）为VPN实例IPv4地址族配置VPN-target扩展团体属性。

vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ]

VPN Target是BGP的扩展团体属性，用来控制VPN路由信息的接收和发布。一条vpn-target命令最多可以配置8个VPN Target。如果希望在VPN实例IPv4地址族下配置更多的VPN Target，可以多次使用vpn-target命令进行配置。

（7）（可选）配置VPN实例IPv4地址族的最大路由前缀数。大路由前缀数。

prefix limit number { alert-percent [ route-unchanged ] | simply-alert }

为防止PE设备上VPN实例IPv4地址族下的路由前缀数量过多，可以配置一个VPN实例IPv4地址族能够支持的最大路由前缀数。

执行prefix limit命令增大VPN实例IPv4地址族下支持的最大路由数或者执行undo prefix limit命令取消路由表限制后，对于这些超限的路由前缀，系统将重新从各个协议路由表接收路由，构建私网IP路由表。

当路由前缀超限时，直连路由和静态路由依然可以被添加到VPN实例IPv4地址族路由表中。

（8）（可选）配置VPN实例IPv4地址族入方向路由策略。

import route-policy policy-name

在通过VPN Target属性控制VPN路由收发的同时，如果需要更精确地控制VPN路由，还可以配置入方向的路由策略。入方向路由策略可以对引入到VPN实例IPv4地址族的路由信息进行过滤或修改路由属性。

（9）（可选）配置VPN实例IPv4地址族出方向路由策略。

export route-policy policy-name [ add-ert-first ]

在通过VPN Target属性控制VPN路由收发的同时，如果需要更精确地控制VPN路由，还可以配置出方向路由策略。出方向路由策略可以对发布给其他PE的路由进行过滤或修改路由属性。

缺省情况下，私网路由在通过出方向路由策略后才会加上出方向RT，如果该出方向路由策略带有对RT值进行匹配的过滤条件，则该出方向路由策略无法对私网路由产生作用。如果希望这样的出方向路由策略对私网路由进行过滤，则可以配置add-ert-first参数使私网路由在通过出方向路由策略前会先加上出方向RT。

（10）（可选）关闭L3VPN业务场景下路由本地交叉的功能。

local-cross unicast disable

缺省情况下，L3VPN业务场景中默认开启路由本地交叉的功能。当用户不希望某一个VPN实例中的路由本地交叉到其他VPN实例中时，可以在这个VPN实例中使用命令，关闭路由本地交叉的功能。

（11）提交配置。

commit

二、配置接口与IPv4 VPN实例绑定

前提条件

已创建VPN实例，并且在VPN实例下使能了IPv4地址族。

背景信息

配置VPN实例后，需要将本设备上属于该VPN的接口与该VPN实例绑定，否则该接口将属于公网接口，无法转发VPN数据。

绑定VPN实例的接口将属于私网接口，需重新配置IP地址，以实现PE-CE间的路由交互。

接口与VPN实例绑定后，将删除接口上已经配置的IP地址、路由协议等三层特性。

去使能VPN下的某个地址族时，将清理接口下该类地址的配置；当VPN实例下没有地址族配置时，将解除接口与VPN实例的绑定关系。

VPN实例绑定Loopback接口一般用于测试私网间是否能互通，但前提是该VPN实例已绑定了某个VLANIF接口或物理接口。实际的业务应用中，VPN实例要绑定具体的VLANIF接口、物理接口或Tunnel接口。

操作步骤

1. 进入系统视图。

   system-view

2. 进入需要绑定VPN实例的接口视图。

   interface interface-type interface-number

3. 配置接口从二层模式切换到三层模式。

   undo portswitch

4. 配置将当前接口与VPN实例绑定。

   ip binding vpn-instance vpn-instance-name

   缺省情况下，接口不与任何VPN实例绑定，属于公网接口。

   执行ip binding vpn-instance命令将删除接口上已经配置的IP地址、路由协议等三层特性（包括IPv4和IPv6），如果需要应重新配置。

5. 配置接口的IP地址。

   ip address ip-address { mask | mask-length }

   为私网接口配置IP地址之后，PE-CE之间才能配置一些三层特性，例如PE-CE间的路由交互等。

6. 提交配置。

   commit

三、检查配置结果

操作步骤

执行命令display ip vpn-instance vpn-instance-name，查看指定VPN实例的简要信息。

执行命令display ip vpn-instance verbose vpn-instance-name，查看指定VPN实例的详细信息。

执行命令display ip vpn-instance import-vt ivt-value，查看所有具备指定入口vpn-target属性的VPN实例信息。

执行命令display ip vpn-instance [ vpn-instance-name ] interface，查看指定VPN实例所绑定的接口信息。

执行命令display ip routing-table vpn-instance vpn-instance-name在PE上查看指定VPN实例IPv4地址族的路由信息。

执行命令display ip routing-table在CE上查看路由信息。