VXLAN可以为分散的物理站点提供二层互联。如果要为VXLAN站点内的虚拟机提供三层业务，则需要在网络中部署VXLAN IP网关，以便站点内的虚拟机通过VXLAN IP网关与外界网络或其他VXLAN网络内的虚拟机进行三层通信。VXLAN IP网关既可以部署在独立的物理设备上，也可以部署在VTEP设备上。VXLAN IP网关部署在VTEP设备上时，又分为集中式VXLAN IP网关和分布式VXLAN IP网关两种方式。

如所示，VXLAN IP网关部署在独立的物理设备上时，VXLAN IP网关作为物理站点接入VTEP，VXLAN业务对于网关设备透明。虚拟机通过VXLAN IP网关与三层网络中的节点通信时，虚拟机将三层报文封装成二层数据帧发送给VXLAN IP网关。VTEP对该数据帧进行VXLAN封装，并在IP核心网络上将其转发给远端VTEP（连接VXLAN IP网关的VTEP）。远端VTEP对VXLAN报文进行解封装，并将原始的二层数据帧转发给VXLAN IP网关。VXLAN IP网关去掉链路层封装后，对报文进行三层转发。

如所示，集中式VXLAN IP网关进行二层VXLAN业务终结的同时，还对内层封装的IP报文进行三层转发处理。与独立的VXLAN IP网关相比，该方式除了能够节省设备资源外，VXLAN IP网关功能由VXLAN对应的三层虚接口（VSI虚接口）承担，三层业务的部署和控制也更加灵活和方便。

如所示，以地址为10.1.1.11的虚拟机为例，虚拟机与外界网络进行三层通信的过程为：

(7)     目的节点回复的报文到达网关后，网关根据已经学习到的ARP表项，为报文封装链路层头，并通过VXLAN网络将其发送给虚拟机。

属于不同VXLAN网络的虚拟机之间的通信过程与上述过程类似，不同之处在于一个VXLAN网络的集中式网关需要将报文转发给另一个VXLAN网络的集中式网关，再由该集中式网关将报文转发给本VXLAN内对应的虚拟机。

由单台设备承担站点内大量虚拟机的集中式VXLAN IP网关功能，对设备的处理资源占用较高，并且对于网关的单点故障没有保护措施。通过集中式VXLAN IP网关保护组，可以实现多台设备同时承担网关功能，在提供单点故障保护机制的同时，还可以实现上下行流量的负载分担。

如所示，两台集中式VXLAN IP网关形成保护组，两台设备上存在相同的VTEP IP，称为保护组的VTEP IP。接入层VTEP与保护组的VTEP IP建立VXLAN隧道，将虚拟机发送至其它网络的报文转发至保护组，保护组中的两台网关设备均可以接收并处理虚拟机发往其它网络的流量。

在接入层VTEP上，该VTEP会与保护组中每个成员VTEP的自身IP地址自动建立VXLAN隧道，泛洪流量（组播、广播和未知单播）通过该隧道转发给所有的成员VTEP，以确保成员VTEP上的表项信息一致。

采用集中式VXLAN IP网关方案时，不同VXLAN之间的流量以及VXLAN访问外界网络的流量全部由集中式VXLAN IP网关处理，网关压力较大，并加剧了网络带宽资源的消耗。如所示，在分布式VXLAN IP网关方案中，每台VTEP设备都可以作为VXLAN IP网关，对本地站点的流量进行三层转发，很好地缓解了网关的压力。

如所示，在分布式VXLAN IP网关组网中，所有的分布式VXLAN IP网关（GW）上都需要创建VSI虚接口，并为不同GW上的相同VSI虚接口配置相同的IP地址，作为VXLAN内虚拟机的网关地址。边界网关（Border）上也需要创建VSI虚接口，并配置IP地址。在分布式VXLAN IP网关上还需要开启以下功能中的一种：

·     本地代理ARP功能：开启本功能后，所有流量都通过查找ARP表项进行三层转发。下文均以此功能为例，介绍分布式VXLAN IP网关中的通信过程。

网关可以通过多种方式生成ARP表项，下文以根据ARP协议动态学习表项来介绍分布式VXLAN IP网关中的通信过程。

2. 相同VXLAN内不同站点的虚拟机通信过程

如所示，以VM 1访问VM 4为例，相同VXLAN内不同站点的虚拟机的通信过程为：

3. 不同VXLAN间不同站点的虚拟机通信过程

如所示，以VM 1访问VM 5为例，不同VXLAN的虚拟机的通信过程为：

20的本地站点内广播该ARP请求消息。

4. 虚拟机与外部网络的三层通信过程

虚拟机要想与外部网络进行三层通信，需要在接入虚拟机的本地分布式VXLAN IP网关上指定流量的下一跳为Border，可以通过如下方式来实现：

如所示，以VM 1访问外部网络内的主机50.1.1.1为例，虚拟机访问外部网络的三层通信过程为：

建议不要在同一台设备上同时配置集中式VXLAN IP网关和集中式VXLAN IP网关保护组功能。

VXLAN IP网关配置任务如下：

请根据实际组网，选择以下一项任务进行配置：

配置集中式VXLAN IP网关和分布式VXLAN IP网关设备前，需要完成以下配置任务：

上述配置的详细介绍，请参见“VXLAN配置指导”中的“配置VXLAN”。

缺省情况下，未配置VSI虚接口的IP地址。

缺省情况下，未指定VSI的网关接口。

为了节省分布式VXLAN IP网关设备上的三层接口资源，在网关设备上多个VXLAN可以共用一个VSI虚接口，为VSI虚接口配置一个主IPv4地址和多个从IPv4地址，分别作为不同VXLAN内虚拟机的网关地址。

多个VXLAN共用一个VSI虚接口时，网关设备无法判断从VSI虚接口接收到的报文属于哪个VXLAN。为了解决该问题，需要在VSI视图下通过本命令指定VSI所属的子网网段，通过子网网段判断报文所属的VSI，并在该VSI内转发报文，从而限制广播报文范围，有效地节省带宽资源。

缺省情况下，未指定VSI所属的子网网段。

保护组中所有网关上的VXLAN配置需要保证完全一致。

缺省情况下，未配置VSI虚接口的IP地址。

请在保护组中的每台网关上配置相同的VSI虚接口IP地址。

缺省情况下，VSI虚接口的MAC地址为设备的桥MAC地址。

保护组中所有网关上配置的MAC地址必须相同。

缺省情况下，未指定VSI的网关接口。

缺省情况下，未配置VXLAN IP网关保护组的成员地址列表。

执行本命令时，必须输入保护组中所有其它成员的成员地址。

执行本配置时，需要完成以下配置任务：

缺省情况下，未配置VXLAN IP网关保护组的成员地址列表。

执行本命令时，必须输入保护组中所有成员的成员地址。

如果虚拟机要想与外部网络进行三层通信，除本配置外，还需要在接入虚拟机的本地分布式VXLAN IP网关上配置静态路由或策略路由：

在分布式VXLAN IP网关设备上，如果开启了ARP泛洪抑制功能，并在VSI虚接口上开启了本地代理ARP功能，则只有本地代理ARP功能生效。建议不要在分布式VXLAN IP网关设备上同时开启这两个功能。有关ARP泛洪抑制功能的详细介绍请参见“VXLAN配置指导”中的“VXLAN概述”。

分布式VXLAN IP网关连接IPv4站点网络时，所有网关上都需要为相同VSI虚接口配置相同的MAC地址。如果网关同时连接IPv4站点网络和IPv6站点网络，则不同分布式VXLAN IP网关上需要为相同VSI虚接口配置不同的链路本地地址。

IPv6地址的配置方法，请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

缺省情况下，未配置VSI虚接口的IP地址。

缺省情况下，VSI虚接口不是分布式本地网关接口。

缺省情况下，本地代理ARP功能处于关闭状态。

本命令的详细介绍，请参见“三层技术-IP业务命令参考”中的“代理ARP”。

缺省情况下，本地ND代理功能处于关闭状态。

本命令的详细介绍，请参见“三层技术-IP业务命令参考”中的“IPv6邻居发现”。

缺省情况下，VSI虚接口处于开启状态。

缺省情况下，未指定VSI的网关接口。

分布式VXLAN IP网关上开启本地代理ARP功能时，本地网关不会将目标IP地址为分布式网关VSI虚接口的ARP报文转发给其他网关，只有本地网关能够学习到ARP报文发送者的ARP表项。如果希望所有网关都能学习到该ARP表项，需要开启分布式网关的动态ARP表项同步功能。分布式VXLAN IP网关之间也可以通过控制器或EVPN等在彼此之间同步ARP表项，此时无需开启该功能。

2. 开启分布式网关的动态ARP表项同步功能

缺省情况下，分布式网关的动态ARP表项同步功能处于关闭状态。

3. 开启分布式网关的动态ND表项同步功能

缺省情况下，分布式网关的动态ND表项同步功能处于关闭状态。

为了节省分布式VXLAN IP网关设备上的三层接口资源，在网关设备上多个VXLAN可以共用一个VSI虚接口，为VSI虚接口配置一个主IPv4地址和多个从IPv4地址、或多个IPv6地址，分别作为不同VXLAN内虚拟机的网关地址。

多个VXLAN共用一个VSI虚接口时，网关设备无法判断从VSI虚接口接收到的报文属于哪个VXLAN。为了解决该问题，需要在VSI视图下通过本命令指定VSI所属的子网网段，通过子网网段判断报文所属的VSI，并在该VSI内转发报文，从而限制广播报文范围，有效地节省带宽资源。

缺省情况下，未指定VSI所属的子网网段。

VXLAN IP网关既可以动态学习ARP表项，也可以通过本配置静态创建ARP表项。

本命令的详细介绍，请参见“三层技术-IP业务命令参考”中的“ARP”。

本命令的详细介绍，请参见“三层技术-IP业务命令参考”中的“ARP”。

远端ARP自动学习功能

缺省情况下，设备从VXLAN隧道接收到报文后可以自动学习远端虚拟机的ARP/ND信息，即远端ARP/ND信息。在SDN控制器组网下，当控制器和设备间进行表项同步时，可以通过本配置暂时关闭远端ARP/ND自动学习功能，以节省占用的设备资源。同步完成后，再开启远端ARP/ND自动学习功能。

建议用户只在控制器和设备间同步表项的情况下执行本配置。

缺省情况下，远端ARP自动学习功能处于开启状态。

有关bandwidth和description命令的详细介绍，请参见“接口管理命令参考”中的“接口公共命令”。

缺省情况下，VSI虚接口的MAC地址为设备的桥MAC地址。

缺省情况下，接口的期望带宽＝接口的波特率÷1000（kbps）。

期望带宽供业务模块使用，不会对接口实际带宽造成影响。

接口下的某些配置恢复到缺省情况后，会对设备上当前运行的业务产生影响。建议您在执行本配置前，完全了解其对网络产生的影响。

您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置，建议您查阅相关功能的命令手册，手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功，您可以通过设备的提示信息定位原因。有关default命令的详细介绍，请参见“接口管理命令参考”中的“接口公共命令”。

只有VSI虚接口仅与一个VSI关联时，才能开启该VSI虚接口的报文统计功能。

缺省情况下，VSI的报文统计功能处于关闭状态。

可在任意视图下执行以下命令，显示VSI虚接口信息。

请在用户视图下执行以下命令，清除VSI虚接口的统计信息。

本命令的详细介绍，请参见“接口管理命令参考”中的“接口公共命令”。

Router A、Router C为与服务器连接的VTEP设备，Router B为与广域网连接的集中式VXLAN IP网关设备，Router E为广域网内的三层设备。虚拟机VM 1、VM 2同属于VXLAN 10，通过VXLAN实现不同站点间的二层互联，并通过VXLAN IP网关与广域网三层互联。

# 在VM 1和VM 2上指定网关地址为10.1.1.1。（具体配置过程略）

# 配置各接口的IP地址和子网掩码；在IP核心网络内配置OSPF协议，确保路由器之间路由可达；配置Router B和Router E发布10.1.1.0/24和20.1.1.0/24网段的路由。（具体配置过程略）

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 查看Router B上的VSI虚接口信息，可以看到VSI虚接口处于up状态。

# 查看Router B上VSI的ARP表项信息，可以看到已学习到了虚拟机的ARP信息。

# 查看Router B上FIB表项信息，可以看到已学习到了虚拟机的转发表项信息。

网关连接IPv4网络配置举例

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 创建VSI虚接口VSI-interface1，并为其配置IP地址和MAC地址，该IP地址作为VXLAN 10内虚拟机的网关地址，指定该VSI虚接口为分布式本地网关接口，并开启本地代理ARP功能。

# 创建VSI虚接口VSI-interface2，并为其配置IP地址和MAC地址，该IP地址作为VXLAN 20内虚拟机的网关地址，指定该VSI虚接口为分布式本地网关接口，并开启本地代理ARP功能。

# 开启分布式网关的动态ARP表项同步功能。

# 配置策略路由，指定IPv4报文如果未找到匹配的路由表项，则设置报文的下一跳为Router B上接口VSI-interface1的IP地址10.1.1.2。

# 配置策略路由，指定IPv4报文如果未找到匹配的路由表项，则设置报文的下一跳为Router B上接口VSI-interface2的IP地址10.1.2.2。

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 创建VSI虚接口VSI-interface1，并为其配置IP地址和MAC地址，该IP地址作为VXLAN 10内虚拟机的网关地址，指定该VSI虚接口为分布式本地网关接口，并开启本地代理ARP功能。

# 创建VSI虚接口VSI-interface2，并为其配置IP地址和MAC地址，该IP地址作为VXLAN 20内虚拟机的网关地址，指定该VSI虚接口为分布式本地网关接口，并开启本地代理ARP功能。

# 开启分布式网关的动态ARP表项同步功能。

# 配置策略路由，指定IPv4报文如果未找到匹配的路由表项，则设置报文的下一跳为Router B上接口VSI-interface1的IP地址20.1.1.2。

# 查看Router A上的VSI虚接口信息，可以看到VSI虚接口处于up状态。

# 查看Router A上VSI的ARP表项信息，可以看到已学习到了虚拟机的ARP信息。

# 查看Router B上的VSI虚接口信息，可以看到VSI虚接口处于up状态。

# 查看Router B上VSI的ARP表项信息，可以看到已学习到了虚拟机的ARP信息。

# 查看Router B上FIB表项信息，可以看到已学习到了虚拟机的转发表项信息。

网关连接IPv6网络配置举例

Router A、Router C为分布式VXLAN IP网关设备，Router B为与广域网连接的边界网关设备，Router E为广域网内的三层设备。虚拟机VM 1属于VXLAN 10，VM 2属于VXLAN 20。通过分布式VXLAN IP网关实现不同VXLAN网络的三层互联，并通过边界网关实现与广域网的三层互联。

# 在VM 1和VM 2上分别指定网关地址为1::1、4::1。（具体配置过程略）

# 配置各接口的地址；在IP核心网络内配置OSPF协议，确保路由器之间路由可达；配置Router B和Router E发布1::/64、4::/64和3::/64网段的路由。（具体配置过程略）

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 创建VSI虚接口VSI-interface1，并为其配置IPv6任播地址，其中1::1/64地址作为VXLAN 10内虚拟机的网关地址、4::1/64作为VXLAN 20内虚拟机的网关地址，指定该VSI虚接口为分布式本地网关接口，并开启本地ND代理功能。

# 开启分布式网关的动态IPv6 ND表项同步功能。

# 配置静态路由，指定到达网络3::/64网络的路由下一跳为Router B的IPv6地址1::2。

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 配置接口Loopback0的IP地址，作为隧道的源端地址。

# 创建VSI虚接口VSI-interface1，并为其配置IPv6地址，其中1::1/64地址作为VXLAN 10内虚拟机的网关地址，4::1/64地址作为VXLAN 20内虚拟机的网关地址，指定该VSI虚接口为分布式本地网关接口，并开启本地ND代理功能。

# 开启分布式网关的动态IPv6 ND表项同步功能。

# 配置静态路由，指定到达网络3::/64网络的路由下一跳为Router B的IPv6地址4::2。

# 查看Router A上的VSI虚接口信息，可以看到VSI虚接口处于up状态。

# 查看Router A上FIB表项信息，可以看到已学习到了虚拟机的转发表项信息。

# 查看Router B上的VSI虚接口信息，可以看到VSI虚接口处于up状态。

# 查看Router B上FIB表项信息，可以看到已学习到了虚拟机的转发表项信息。

MPLS（Multiprotocol Label Switching，多协议标签交换）是一种新兴的IP骨干网技术。MPLS在无连接的IP网络上引入面向连接的标签交换概念，将第三层路由技术和第二层交换技术相结合，充分发挥了IP路由的灵活性和二层交换的简捷性。

MPLS广泛应用于大规模网络中，它具有以下优点：

MPLS位于链路层和网络层之间，它可以建立在各种链路层协议（如PPP、ATM、帧中继、以太网等）之上，为各种网络层（IPv4、IPv6、IPX等）提供面向连接的服务，兼容现有各种主流网络技术。

FEC（Forwarding Equivalence Class，转发等价类）是MPLS中的一个重要概念。MPLS是一种分类转发技术，它将具有相同特征（目的地相同或具有相同服务等级等）的报文归为一类，称为FEC。属于相同FEC的报文在MPLS网络中将获得完全相同的处理。目前设备只支持根据报文的网络层目的地址划分FEC。

标签是一个长度固定、只具有本地意义的标识符，用于唯一标识一个报文所属的FEC。一个标签只能代表一个FEC。

如所示，标签封装在链路层报头和网络层报头之间的一个垫层中。标签长度为4个字节，由以下四个字段组成：

Exp称为MPLS报文服务等级，可影响报文的优先调度。有关报文调度的详细信息，请参见“ACL和QoS配置指导”中的“QoS”。

LSR（Label Switching Router，标签交换路由器）是具有标签分发能力和标签交换能力的设备，是MPLS网络中的基本元素。

LSP是从MPLS网络的入口到出口的一条单向路径。在一条LSP上，沿数据传送的方向，相邻的LSR分别称为上游LSR和下游LSR。如所示，LSR B为LSR A的下游LSR，相应的，LSR A为LSR B的上游LSR。

与IP网络中的FIB（Forwarding Information Base，转发信息库）类似，在MPLS网络中，报文通过查找标签转发表确定转发路径。

7. 控制平面和转发平面

MPLS节点由两部分组成：

如所示，MPLS网络的基本构成单元是LSR，由LSR构成的网络称为MPLS域。MPLS网络包括以下几个组成部分：

LSP的建立过程实际就是将FEC和标签进行绑定，并将这种绑定通告相邻LSR，以便在LSR上建立标签转发表的过程。LSP既可以通过手工配置的方式静态建立，也可以利用标签分发协议动态建立。

建立静态LSP需要用户在报文转发路径中的各个LSR上手工配置为FEC分配的标签。建立静态LSP消耗的资源比较少，但静态建立的LSP不能根据网络拓扑变化动态调整。因此，静态LSP适用于拓扑结构简单并且稳定的小型网络。

标签发布协议是MPLS的信令协议，负责划分FEC、发布标签、建立维护LSP等。标签发布协议的种类较多，有专为标签发布而制定的协议，如LDP（Label Distribution Protocol，标签分发协议），也有扩展后支持标签发布的协议，如BGP、RSVP-TE。本文只介绍LDP协议。

为了区分，本文中“标签发布协议”表示广义上所有用于标签发布的协议的总称；“LDP”表示RFC 5036规定的标签发布协议。LDP的详细介绍请参见“ ”。

利用标签发布协议动态建立LSP的过程如所示。下游LSR根据目的地址划分FEC，为特定FEC分配标签，并将标签和FEC的绑定关系通告给上游LSR；上游LSR根据该绑定关系建立标签转发表项。报文传输路径上的所有LSR都为该FEC建立对应的标签转发表项后，就成功地建立了用于转发属于该FEC报文的LSP。

如果在LSR上存在等价路由，则MPLS会根据等价路由建立等价LSP，MPLS报文在这些等价LSP之间进行负载分担。

2. 标签的发布和管理

标签发布就是将为FEC分配的标签通告给其他LSR。根据标签发布条件、标签发布顺序的不同，LSR通告标签的方式分为DU（Downstream Unsolicited，下游自主方式）和DoD（Downstream On Demand，下游按需方式）、独立标签控制方式（Independent）和有序标签控制方式（Ordered）几种。

标签管理，即标签保持方式，是指LSR对收到的、但目前暂时用不到的FEC和标签绑定的处理方式，分为自由标签保持方式（Liberal）和保守标签保持方式（Conservative）两种。

如所示，标签发布方式分为：

标签分配控制方式分为：

独立标签控制方式：LSR可以在任意时间向与它连接的LSR通告标签映射。使用这种方式时，LSR可能会在收到下游LSR的标签之前就向上游通告了标签。如所示，如果标签发布方式是DU，则即使没有获得下游的标签，也会直接为上游分配标签；如果标签发布方式是DoD，则接收到标签请求的LSR直接为它的上游LSR分配标签，不必等待来自它的下游的标签。

有序标签控制方式：LSR只有收到它的下游LSR为某个FEC分配的标签，或该LSR是此FEC的出口节点时，才会向它的上游LSR通告此FEC的标签映射。中的标签发布过程采用了有序标签控制方式：如果标签发布模式为DU，则LSR只有收到下游LSR分配的标签后，才会向自己的上游LSR分配标签；如果标签发布模式为DoD，则下游LSR（Transit）收到上游LSR（Ingress）的标签请求后，继续向它的下游LSR（Egress）发送标签请求，Transit收到Egress分配的标签后，才会为Ingress分配标签。

LSR接收到标签映射后，保留标签的方式分为：

自由标签保持方式：对于从邻居LSR收到的标签映射，无论邻居LSR是不是指定FEC的下一跳都保留。这种方式的优点是LSR能够迅速适应网络拓扑变化，但是浪费标签，所有不能生成LSP的标签都需要保留。

目前只支持自由标签保持方式。

标签转发表由以下三部分构成：

map，FEC到NHLFE表项的映射）：用于在Ingress节点将FEC映射到NHLFE表项。LSR接收到不带标签的报文后，查找对应的FIB表项。如果FIB表项的Token值不是Invalid，则该报文需要进行MPLS转发。LSR根据Token值找到对应的NHLFE表项，以便确定需要执行的标签操作。

Map，入标签映射）：用于将入标签映射到NHLFE表项。LSR接收到带有标签的报文后，查找对应的ILM表项。如果ILM表项的Token值非空，则找到Token值对应的NHLFE表项，以便确定需要执行的标签操作。

如所示，MPLS网络中报文的转发过程为：

B）接收到不带标签的报文，根据目的地址判断该报文所属的FEC，查找FIB表，获取Token值。Token值不是Invalid，则找到Token值对应的NHLFE表项。根据NHLFE表项为报文添加标签（40），并从相应的出接口（Ethernet1/2）将带有标签的报文转发给下一跳LSR（Router C）。

(3)      Egress（Router D）接收到带有标签的报文，根据报文上的标签（50）查找ILM表项，获取Token值。Token值为空，则删除报文中的标签。如果ILM表项中记录了出接口，则通过该出接口转发报文；否则，根据IP报头转发报文。

MPLS网络中，Egress节点接收到带有标签的报文后，查找标签转发表，弹出报文中的标签后，再进行下一层的标签转发或IP转发。Egress节点转发报文之前要查找两次转发表：两次标签转发表，或一次标签转发表一次路由转发表。

为了减轻Egress节点的负担，提高MPLS网络对报文的处理能力，可以利用PHP（Penultimate Hop Popping，倒数第二跳弹出）功能，在倒数第二跳节点处将标签弹出，Egress节点只需查找一次转发表。

PHP在Egress节点上配置。支持PHP的Egress节点分配给倒数第二跳节点的标签有以下两种：

标签值3表示隐式空标签（Implicit-null），这个值不会出现在标签栈中。当一个LSR发现下游LSR通告的标签为隐式空标签时，它并不用这个值替代栈顶原来的标签，而是直接弹出标签，并将报文转发给下游LSR（即Egress）。Egress接收到报文后，直接进行下一层的转发处理。

LDP是标签发布协议的一种，用来动态建立LSP。通过LDP，LSR可以把网络层的路由信息映射到数据链路层的交换路径上。

LDP会话建立在TCP连接之上，用于在LSR之间交换标签映射、标签释放、差错通知等消息。

LDP对等体是指相互之间存在LDP会话，并通过LDP会话交换标签－FEC映射关系的两个LSR。

LDP协议主要使用四类消息：

为保证LDP消息的可靠发送，除了发现消息使用UDP传输外，LDP的会话消息、通告消息和通知消息都使用TCP传输。

LDP主要包括以下四个阶段：

所有希望建立LDP会话的LSR都周期性地发送Hello消息，通告自己的存在。通过Hello消息，LSR可以自动发现它的LDP对等体。

LDP对等体发现机制分为两种：

hello邻接关系。这种方式下，LSR周期性地向“子网内所有路由器”的组播地址224.0.0.2发送LDP链路Hello消息，以便链路层直接相连的LSR发现此LDP对等体。

hello邻接关系。这种方式下，LSR周期性地向指定的IP地址发送LDP目标Hello消息，以便指定IP地址对应的LSR发现此LDP对等体。

两个LSR为基本发现机制和扩展发现机制配置的传输地址（用来建立TCP连接的源IP地址）相同时，这两个LSR之间可以同时建立Link hello邻接关系和Targeted hello邻接关系，并且Link hello邻接关系和Targeted hello邻接关系关联到同一个会话。在LDP对等体之间存在直连（只有一跳）和非直连（多于一跳）多条路径的组网环境中，同时建立Link hello邻接关系和Targeted hello邻接关系可以实现利用扩展发现机制来保护与对等体的会话。当直连链路出现故障时，Link hello邻接关系将被删除。如果此时非直连链路正常工作，则Targeted hello邻接关系依然存在，因此，LDP会话不会被删除，基于该会话的FEC—标签绑定等信息也不会删除。直连链路恢复后，不需要重新建立LDP会话、重新学习FEC—标签绑定等信息，从而加快了LDP收敛速度。

两个LSR为基本发现机制和扩展发现机制配置的传输地址不同时，如果在这两个LSR之间已经建立了一种邻接关系，则无法再建立另一种邻接关系。

发现LDP对等体后，LSR开始建立会话。这一过程又可分为两步：

会话建立后，LDP对等体之间通过不断地发送Hello消息和Keepalive消息来维护这个会话。

LDP通过发送标签请求和标签映射消息，在LDP对等体之间通告FEC和标签的绑定关系，从而建立LSP。

LSP的建立过程，请参见“ ”。

在以下情况下，LSR将撤销LDP会话：

LSR通过周期性发送Hello消息表明自己希望与邻居LSR继续维持这种邻接关系。如果Hello保持定时器超时仍没有收到新的Hello消息，则删除Hello邻接关系。一个LDP会话上可能存在多个Hello邻接关系。当LDP会话上的最后一个Hello邻接关系被删除后，LSR将发送通知消息，结束该LDP会话。

PDU中携带一个或多个LDP消息）来判断LDP会话的连通性。如果在会话保持定时器（Keepalive定时器）超时前，LDP对等体之间没有需要交互的信息，LSR将发送Keepalive消息给LDP对等体，以便维持LDP会话。如果会话保持定时器超时，没有收到任何LDP PDU，LSR将关闭TCP连接，结束LDP会话。

LSR还可以发送Shutdown消息，通知它的LDP对等体结束LDP会话。因此，LSR收到LDP对等体发送的Shutdown消息后，将结束与该LDP对等体的会话。

与MPLS相关的协议规范有：

目前支持MPLS能力的接口类型为三层以太网接口、三层聚合接口和VLAN接口（Vlan-interface）。

MPLS域中参与MPLS转发的路由器上，必须先使能MPLS功能，才能进行MPLS其它特性的配置。

在使能MPLS功能之前，需要完成以下任务：

建立静态LSP需要遵循的原则是：上游LSR出标签的值就是下游LSR入标签的值。

在配置静态LSP之前，需完成以下任务：

本地LDP对等体之间建立的LDP会话，称为本地会话。建立LDP本地会话前：

选择指定IP地址作为LDP传输地址时，配置的IP地址应为设备接口的IP地址，否则LDP会话将无法建立。

建立远端LDP会话前：

在LSR上通过配置LSP触发策略，可以限制只有通过策略过滤的路由信息才能触发LSP的建立，从而控制LSP的数量，避免LSP数量过多导致设备运行不稳定。

LSP触发策略包括以下两种：

利用IP地址前缀列表对路由项进行过滤，被IP地址前缀列表拒绝的静态路由和IGP路由项不能触发建立LSP。采用这种LSP触发策略时，需要创建IP地址前缀列表，创建方法请参见“三层技术-IP路由配置指导”中的“路由策略”。

使能标签重发布功能后，LSR会周期性地查找尚未分配标签的FEC，为其分配标签，并将标签和FEC绑定通告给其他的LSR。同时，用户可以根据需要控制重发布标签的时间间隔。

在MPLS域中建立LSP也要防止产生环路，LDP环路检测机制可以检测LSP环路的出现，并避免发生环路。

LDP环路检测有两种方式：

在传递标签映射（或者标签请求）的消息中包含跳数信息，每经过一跳该值就加一。当该值达到规定的最大值时即认为出现环路，终止LSP的建立过程。

在传递标签映射（或者标签请求）的消息中记录路径信息，每经过一跳，相应的设备就检查自己的LSR ID是否在此记录中。如果记录中没有自身的LSR ID，就会将自身的LSR ID添加到该记录中；如果记录中已有本LSR的记录，则认为出现环路，终止LSP的建立过程。

采用路径向量方式进行环路检测时，也需要规定LSP路径的最大跳数，当路径的跳数达到配置的最大值时，也会认为出现环路，终止LSP的建立过程。

LDP会话建立在TCP连接之上。为了提高LDP会话的安全性，可以配置在建立LDP会话使用的TCP连接时进行MD5认证，保证只有对端与本端配置了相同的认证密码时，才会与其建立TCP连接。

要想在LDP对等体之间成功建立LDP会话，必须保证LDP对等体上的LDP MD5认证配置一致。

LDP标签过滤提供了标签接受控制和标签通告控制两种机制，用来实现对接收标签和通告标签的过滤。在复杂的MPLS网络环境中，通过LDP标签过滤可以规划动态建立的LSP，并避免设备接收和通告大量的标签映射。

标签接受控制用来实现对接收的标签映射进行过滤，即上游LSR对指定的下游LSR通告的标签映射进行过滤，只接受指定地址前缀的标签映射。如，上游设备LSR A对下游设备LSR B通告的标签进行过滤，只有FEC的目的地址通过指定地址前缀列表过滤后，才会接受该FEC对应的标签映射；对下游设备LSR C通告的标签不进行过滤。

标签通告控制用来实现对通告的标签映射进行过滤，即下游LSR只将指定地址前缀的标签映射通告给指定的上游设备。如，下游设备LSR A将FEC目的地址通过地址前缀列表B过滤的标签映射通告给上游设备LSR B；将FEC目的地址通过地址前缀列表C过滤的标签映射通告给上游设备LSR C。

在配置LDP标签过滤之前，需要先创建IP地址前缀列表，创建方法请参见“三层技术-IP路由配置指导”中的“路由策略”。

在下游LSR上配置标签通告控制策略与在上游LSR上配置标签接受控制策略具有相同的效果，推荐使用前者，以减轻网络负担。

在IPv4报文头中，包含一个8bit的ToS字段，用于标识IP报文的服务类型。RFC 2474对这8个bit进行了定义，将前6个bit定义为DSCP优先级，最后2个bit作为保留位。在报文传输的过程中，DSCP优先级可以被网络设备识别，并作为报文传输优先程度的参考。

用户可以对本设备发送的LDP报文的DSCP优先级进行配置。

MPLS本身无法快速检测到邻居（或链路）的故障。LDP远端对等体之间的通信发生故障时，将导致LDP会话down，MPLS报文转发失败。MPLS LDP与BFD联动功能能够快速检测到LDP远端对等体之间的通信故障，提升现有MPLS网络的性能。

MPLS LDP与BFD联动只能用来检测远端LDP对等体之间的通信是否存在故障，相关配置举例请参见“MPLS配置指导”中的“VPLS”。

LDP会话状态为up后，修改LDP会话的任何参数，都会引起LDP会话不能正常进行。此时，需要重启LDP会话，重新协商各种参数，建立LDP会话。

LSR对TTL域的处理方式分为以下两种：

TTL值或原标签报文栈顶标签的TTL值）复制到新增加的标签的TTL域；LSR弹出报文的栈顶标签时，将栈顶标签的TTL值复制回原报文的TTL域。使用这种方式时，报文沿着LSP传输的过程中，TTL逐跳递减，Tracert的结果将反映报文实际经过的路径。

图1-10 使能TTL复制功能时的处理过程

未使能TTL复制功能：LSR为报文压入标签时，不会将原报文中的TTL值复制到新增加的标签的TTL域，新增标签的TTL取值为255；LSR弹出报文的栈顶标签时，也不会将栈顶标签的TTL值复制回原报文的TTL域。如果弹出标签的LSR是Egress节点，则该LSR会将原报文的TTL值减一；否则，该LSR不会改变原报文的TTL值。使用这种方式时，Tracert的结果不包括MPLS骨干网络中的每一跳，就好像Ingress路由器与Egress路由器是直连的，从而隐藏MPLS骨干网络的结构。

图1-11 未使能TTL复制功能时的处理过程

的TTL超时消息发送功能

使能MPLS的TTL超时消息发送功能后，当LSR收到TTL为1的含有标签的MPLS报文时，LSR会生成ICMP的TTL超时消息。

LSR将TTL超时消息回应给报文发送者的方式有两种：

通常情况下，收到的MPLS报文只带一层标签时，LSR采用第一种方式回应TTL超时消息；收到的MPLS报文包含多层标签时，LSR采用第二种方式回应TTL超时消息。

PE，上层PE或运营商侧PE）和嵌套VPN应用中的运营商骨干网PE，接收到的承载VPN报文的MPLS报文可能只有一层标签，此时，这些设备上并不存在到达报文发送者的路由，无法采用第一种方法回应TTL超时消息。通过配置undo ttl expiration pop命令，可以保证只带一层标签的MPLS报文TTL超时时，使用LSP路径转发TTL超时消息，由Egress节点将该消息返回给发送者。

有关HoVPN和嵌套VPN的详细介绍请参见“MPLS配置指导”中的“MPLS L3VPN”。

LDP GR特性与LDP NSR特性互斥，不能同时配置。

LDP GR（Graceful Restart，平滑重启）利用MPLS转发平面与控制平面分离的特点，在信令协议或控制平面出现异常时，保留标签转发表项，LSR依然根据该表项转发报文，从而保证数据传输不会中断。

参与LDP GR过程的设备分为以下两种：

如所示，LDP对等体在建立LDP会话时协商GR能力，只有双方都支持LDP GR时，建立的LDP会话才支持LDP GR。

LDP GR的工作过程如下：

restarter通告的重连时间和本地配置的LDP邻居存活定时器中的较小者。

在配置LDP GR之前，需完成以下任务：

设备既可以作为GR restarter，又可以作为GR helper，设备的角色由该设备在LDP GR过程中的作用决定。

通过平滑重启MPLS LDP功能，可以测试LDP GR功能是否生效，即测试在LDP协议重启过程中报文转发路径是否改变，是否可以不间断地转发数据。

LDP NSR特性与LDP GR特性互斥，不能同时配置。

NSR（Nonstop Routing，不间断路由）是一种在设备发生主备倒换时，保证数据传输不会中断的技术。LDP协议的NSR功能将LDP会话信息和LSP信息从主用主控板备份到备用主控板。在设备发生主备倒换时，备用主控板可以无缝地接管主用主控板的工作，保证LDP会话保持up状态，并保证转发不中断。

使用LDP GR功能时，要求GR restarter的邻居设备也必须支持LDP GR功能，帮助GR restarter恢复MPLS转发信息。LDP NSR克服了LDP GR功能的上述缺陷，对使用场景没有限制。使用LDP NSR功能时，不需要周边设备帮助恢复MPLS转发信息，周边设备不会感知本设备发生了主备倒换。

只有配置获取LSP统计数据的时间间隔后，用户才能通过显示命令查看MPLS的统计信息。

在MPLS中，LSP转发数据失败时，负责建立LSP的MPLS控制平面无法检测或不能及时发现这种错误，这会给网络维护带来困难。为了及时发现LSP错误，并定位失效节点，设备上提供了如下几种机制：

Reply报文，则说明该LSP可以用于数据转发；如果Ingress节点接收到带有错误码的MPLS Echo Reply报文，则说明该LSP存在故障。

Tracert还可用于收集整条LSP上每个节点的重要信息，如分配的标签等。

BFD检测LSP功能通过在LSP的Ingress节点和Egress节点之间建立BFD会话，利用BFD快速检测LSP的连通性。在Ingress节点为BFD控制报文压入FEC对应的标签，沿着LSP转发BFD控制报文，并根据收到的Egress节点的BFD控制报文来判断LSP的状态。当BFD检测到LSP故障后，还可以触发LSP进行流量切换。

可以通过两种方式建立检测LSP的BFD会话：

enable命令时通过discriminator参数指定了本地和远端的鉴别值，则根据指定的鉴别值建立BFD会话。该方式用来检测两台设备间从本地到远端和从远端到本地的一对LSP隧道。

enable命令时没有通过discriminator参数指定本地和远端的鉴别值，则自动运行MPLS LSP Ping来协商鉴别值，并根据协商好的鉴别值建立BFD会话。该方式用来检测两台设备间从本地到远端的一条单向LSP隧道。

LSR-ID。因此，配置BFD检测LSP功能前，需要在Loopback接口下配置IP地址，并将LSR-ID配置为Loopback接口的IP地址，还可以根据需要在Loopback接口下配置BFD会话参数。BFD的详细介绍，请参见“可靠性配置指导”中的“BFD”。

周期性LSP Tracert功能，即周期性地对LSP进行Tracert检测，该功能用来对LSP的错误进行定位，对转发平面和控制平面一致性进行检测，并通过日志记录检测结果。管理员可以通过查看日志信息，了解LSP是否出现故障。

如果同时配置了BFD检测LSP功能和周期性LSP Tracert功能，则周期性LSP Tracert检测到转发平面故障或转发平面与控制平面不一致时，会触发删除原有BFD会话，并基于控制平面重新建立BFD会话。

开启MPLS模块的Trap功能后，该模块会生成级别为notifications的Trap报文，用于报告该模块的重要事件。生成的Trap报文将被发送到设备的信息中心，通过设置信息中心的参数，最终决定Trap报文的输出规则（即是否允许输出以及输出方向）。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。

在完成上述配置后，在任意视图下执行display命令可以显示配置后MPLS的运行情况，用户可以通过查看显示信息验证配置的效果。

在完成上述配置后，在任意视图下执行display命令可以显示配置后MPLS LDP的运行情况，用户可以通过查看显示信息验证配置的效果。

在完成上述配置后，在用户视图下执行reset命令可以清除MPLS的相关信息。

LSP的标签时，需要遵循以下原则：一条LSP上，上游LSR出标签的值与下游LSR入标签的值相同。

配置静态LSP时，只要求在Ingress节点上存在到达FEC目的地址的路由，Transit节点和Egress节点上不需要存在到达FEC目的地址的路由。因此，无需配置路由协议保证交换机之间路由可达，只需在Ingress节点上配置到达FEC目的地址的静态路由即可。

按照配置各接口的IP地址和掩码，包括Loopback接口，具体配置过程略。

按照配置各接口IP地址和掩码，包括VLAN接口和Loopback接口，具体配置过程略。

# 配置完成后，在各交换机上执行display ip routing-table命令，可以看到相互之间都学到了到对方的主机路由。以Switch A为例：

通过以上显示信息可以查看BFD会话的详细信息。

静态路由是一种特殊的路由，它由管理员手工配置而成。通过静态路由的配置可建立一个互通的网络，但这种配置问题在于：当一个网络故障发生后，静态路由不会自动发生改变，必须有管理员的介入。

在组网结构比较简单的网络中，只需配置静态路由就可以使路由器正常工作，仔细设置和使用静态路由可以改进网络的性能，并可为重要的应用保证带宽。

另外，需要注意的是，配置静态路由要保证配置的完整性，保证回来的路由可达。

图1-1 静态路由典型应用组网图

某小型公司办公网络结构简单、稳定，用户现在拥有的设备不支持动态路由协议。用户希望最大限度利用现有设备实现任意两节点之间网络层互通。

根据用户需求及用户网络环境，选择静态路由实现用户网络之间互通。

1. 交换机上的配置步骤：

2. 主机上的配置步骤：

# 在主机A上配缺省网关为1.1.5.1，具体配置略。

# 在主机B上配缺省网关为1.1.4.1，具体配置略。

# 在主机C上配缺省网关为1.1.1.1，具体配置略。

配置静态路由的注意事项：

RIP是一种基于距离矢量（Distance-Vector）算法的协议，它通过UDP报文进行路由信息的交换。

RIP使用跳数（Hop Count）来衡量到达信宿机的距离，称为路由权（Routing Cost）。在RIP中，路由器到与它直接相连网络的跳数为0，通过一个路由器可达的网络的跳数为1，其余依此类推。为限制收敛时间，RIP规定cost取值0～15之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。为提高性能，防止产生路由环路，RIP支持水平分割（Split Horizon）。RIP还可引入其它路由协议所得到的路由。

根据用户需求及用户网络环境，选择RIP-2路由协议实现用户网络之间互通。

output命令控制交换机接收/发送RIP报文。

开放最短路径优先协议（Open Shortest Path First，OSPF）是IETF组织开发的一个基于链路状态的内部网关协议，目前使用的是版本2（RFC2328）。具有适应范围广泛，收敛速度快，无自环、以组播方式发送报文等特点。支持区域划分、路由分级、验证等特性。

如上图所示，Switch A、Switch B、Switch C和Switch D之间通过OSPF协议进行数据报文的转发。其中Switch C和Switch D下挂直连网络，不需要发送OSPF协议报文，为了提供网络的安全，禁止其发送协议报文。

表1-3 配置适用的交换机产品与软硬件版本关系

# 创建VLAN，配置接口IP地址，配置过程略

# 创建VLAN，配置接口IP地址，配置过程略

# 禁止接口发送OSPF报文

# 配置在指定区域运行OSPF的接口

优先级的DR选择典型配置指导

在广播网和NBMA网络中，任意两台路由器之间都要传递路由信息。如果网络中有n台路由器，则需要建立n×(n-1)/2个邻接关系。这使得任何一台路由器的路由变化都会导致多次传递，浪费了带宽资源。为解决这一问题，OSPF协议定义了指定路由器DR（Designated Router），所有路由器都只将信息发送给DR，由DR将网络链路状态发送出去。

BDR是对DR的一个备份，在选举DR的同时也选举出BDR，BDR也和本网段内的所有路由器建立邻接关系并交换路由信息。当DR失效后，BDR会立即成为DR。由于不需要重新选举，并且邻接关系事先已建立，所以这个过程是非常短暂的。当然这时还需要再重新选举出一个新的BDR，虽然一样需要较长的时间，但并不会影响路由的计算。

仅与DR和BDR之间建立邻接关系，DR Other之间不交换任何路由信息。这样就减少了广播网和NBMA网络上各路由器之间邻接关系的数量，同时减少网络流量，节约了带宽资源。

DR和BDR是由同一网段中所有的路由器根据路由器优先级、Router ID通过HELLO报文选举出来的，只有优先级大于0的路由器才具有选取资格。

图1-4 配置OSPF优先级选择DR典型组网图

某用户网络链路类型为广播型网络，通过OSPF实现网络之间互通。由于网络中设备性能有差异，希望DR/BDR由性能较高的设备承担，优化网络处理速度。对于网络中性能较低的设备，禁止其参加DR/BDR选举。

根据用户需求及其网络环境，通过修改接口优先级实现用户需求。

# 配置接口的DR优先级

# 配置AREA 0相关VLAN接口地址，且配置接口的DR优先级为0，使Switch B不参加DR/BDR的选举。启用OSPF协议，指定VLAN接口所属的区域

# 配置接口的DR优先级

# 配置VLAN及接口地址

路由器接口的DR优先级可以影响DR/BDR的选举，但是当DR/BDR选举过程已经结束，路由器接口的DR优先级将不再影响DR/BDR的选举。只有下次再进行DR/BDR选举时，路由器接口的DR优先级才会生效。

随着网络规模日益扩大，当一个大型网络中的路由器都运行OSPF路由协议时，路由器数量的增多会导致LSDB非常庞大，占用大量的存储空间，并使得运行SPF算法的复杂度增加，导致CPU负担很重。

在网络规模增大之后，拓扑结构发生变化的概率也增大，网络会经常处于“动荡”之中，造成网络中会有大量的OSPF协议报文在传递，降低了网络的带宽利用率。更为严重的是，每一次变化都会导致网络中所有的路由器重新进行路由计算。

OSPF协议通过将自治系统划分成不同的区域（Area）来解决上述问题。

骨干区域的区域号（Area ID）是0。骨干区域负责区域之间的路由，非骨干区域之间的路由信息必须通过骨干区域来转发。

Stub区域是一些特定的区域，Stub区域的ABR不允许注入Type-5 LSA，在这些区域中路由器的路由表规模以及路由信息传递的数量都会大大减少。

为了进一步减少Stub区域中路由器的路由表规模以及路由信息传递的数量，可以将该区域配置为Totally Stub（完全Stub）区域，该区域的ABR不会将区域间的路由信息和外部路由信息传递到本区域。

网络设备运行OSPF协议，进行数据报文的转发。根据具体情况，设备需要控制路由表的规模或者削减路由信息的传递数量，可以选择配置Stub区域实现。

表1-5 配置适用的交换机产品与软硬件版本关系

# 创建VLAN，配置接口IP地址，配置过程略

# 在普通区域配置OSPF

# 在骨干区域配置OSPF

# 创建VLAN，配置接口IP地址，配置过程略

# 在普通区域配置OSPF

# 创建VLAN，配置接口IP地址，配置过程略

# 配置到目的网络1.0.0.0/8的静态路由

# 在普通区域配置OSPF

在基础上进行如下配置：

在基础上进行如下配置：

1. Area 1的区域为普通区域时的配置信息

配置与Area 1的区域为普通区域时Switch B配置信息相同，配置略。

配置与Area 1的区域为普通区域时Switch D配置信息相同，配置略。

配置与Area 1的区域为普通区域时Switch B配置信息相同，配置略。

配置与Area 1的区域为Stub区域时Switch C配置信息相同，配置略。

配置与Area 1的区域为普通区域时Switch D配置信息相同，配置略。

详细内容请参见部分介绍。

网络设备运行OSPF协议，进行数据报文的转发。根据具体情况，设备需要控制路由表的规模或者削减路由信息的传递数量，可以选择配置NSSA区域实现。

表1-6 配置适用的交换机产品与软硬件版本关系

# 创建VLAN，配置接口IP地址，配置过程略

# 在普通区域配置OSPF

# 在骨干区域配置OSPF

# 创建VLAN，配置接口IP地址，配置过程略

# 配置到目的网络2.0.0.0/8的静态路由

# 在普通区域配置OSPF

# 创建VLAN，配置接口IP地址，配置过程略

# 配置到目的网络1.0.0.0/8的静态路由

# 在普通区域配置OSPF

该配置适用情况：在NSSA区域中，到达自治系统外部的报文，对于ASBR已经通告的目的地址的报文，通过该区域的ASBR转发；对于ASBR没有通告的目的地址的报文，则丢弃该报文。

在基础上进行如下配置：

该配置适用情况：在NSSA区域中，到达自治系统外部的报文，通过该区域的ASBR转发。

在基础上进行如下配置：

# 将区域Area1配置为NSSA区域，Switch C将转发NSSA区域的所有到自治系统外部的报文

该配置适用情况：在NSSA区域中，到达自治系统外部的报文，对于ASBR已经通告的目的地址的报文，通过该区域的ASBR转发；对于ASBR没有通告的目的地址的报文，通过该区域的ABR转发到其他区域，由其他区域的ASBR进行转发。

在基础上进行如下配置：

在基础上进行如下配置：

下面以NSSA区域中，ASBR将转发所有到达自治系统外部的报文情况为例，其它情况的配置请参见 中的相关介绍。

路由聚合是指ABR或ASBR将具有相同前缀的路由信息聚合，只发布一条路由到其它区域。

AS被划分成不同的区域，每一个区域通过OSPF边界路由器（ABR）相连，区域间可以通过路由聚合来减少路由信息，减小路由表的规模，提高路由器的运算速度。

ABR在计算出一个区域的区域内路由之后，根据聚合相关设置，将其中多条OSPF路由聚合成一条发送到区域之外。

A就只生成一条聚合后的LSA，并发布给Area0中的其他路由器。

ABR向其它区域发送路由信息时，以网段为单位生成Type-3 LSA。如果该区域中存在一些连续的网段，则可以将这些连续的网段聚合成一个网段。这样ABR只发送一条聚合后的LSA，所有属于聚合网段范围的LSA将不再会被单独发送出去，这样可减少其它区域中LSDB的规模。

配置引入路由聚合后，如果本地路由器是自治系统边界路由器ASBR，将对引入的聚合地址范围内的Type-5 LSA进行聚合。当配置了NSSA区域时，还要对引入的聚合地址范围内的Type-7 LSA进行聚合。

网络设备运行OSPF协议，进行数据报文的转发。设备需要控制路由表的规模或者削减路由信息的传递数量，可以选择OSPF路由聚合技术实现：ABR聚合和ASBR聚合。在使用路由聚合技术时，可以根据需要，实现对指定路由信息的过滤。

表1-7 配置适用的交换机产品与软硬件版本关系

# 创建VLAN，配置接口IP地址，配置过程略

# OSPF基本配置，配置过程略

# 创建VLAN，配置接口IP地址，配置过程略

# OSPF基本配置，配置过程略

# 创建VLAN，配置接口IP地址，配置过程略

# OSPF基本配置，配置过程略

# 创建VLAN，配置接口IP地址，配置过程略

# OSPF基本配置，配置过程略

该配置适用情况：ABR需要将某个区域的Type-3 LSA进行聚合。下面以Switch B为例，介绍实现ABR聚合的配置步骤。

在基础上进行如下配置：

该配置适用情况：ASBR需要将某个区域的Type-5 LSA/Type-7 LSA进行聚合。下面以Switch D为例，介绍实现ASBR聚合的配置步骤。

在基础上进行如下配置：

在基础上进行如下配置：

abr-summary命令只适用于区域边界路由器（ABR），用来对某一个区域内指定网段的路由信息进行聚合。配置路由聚合时，可以选择参数not-advertise禁止发布聚合网段的Type-3 LSA，实现对路由信息的过滤。

LSA进行聚合处理，对于不是NSSA区域转换路由器的则不进行聚合处理。

OSPF划分区域之后，并非所有的区域都是平等的关系。其中有一个区域是与众不同的，它的区域号（Area ID）是0，通常被称为骨干区域。骨干区域负责区域之间的路由，非骨干区域之间的路由信息必须通过骨干区域来转发。对此，OSPF有两个规定：

但在实际应用中，可能会因为各方面条件的限制，无法满足这个要求。这时可以通过配置OSPF虚连接（Virtual Link）予以解决。

虚连接是指在两台ABR之间通过一个非骨干区域而建立的一条逻辑上的连接通道。它的两端必须是ABR，而且必须在两端同时配置方可生效。为虚连接两端提供一条非骨干区域内部路由的区域称为传输区（Transit Area）。

用户网络运行OSPF实现网络互通。网络分为三个区域，一个骨干区域，两个普通区域（Area 1、Area 2）。其中某普通区域（Area 2）无法与骨干区域直接相连，只能通过另外一个普通区域（Area 1）接入。用户希望无法与骨干区域直接连接的普通区域（Area 2）能够与另外两个区域互通。

根据用户需求及用户网络环境，选择虚连接来实现普通区域（Area 2）与骨干区域之间的连接。

表1-8 配置适用的交换机产品与软硬件版本关系

BGP（Border Gateway Protocol）是一种用于自治系统AS（Autonomous System）之间的动态路由协议。AS是拥有同一选路策略，在同一技术管理部门下运行的一组路由器。

联盟（Confederation）是处理AS内部的IBGP网络连接激增的另一种方法，它将一个自治系统划分为若干个子自治系统，每个子自治系统内部的IBGP对等体建立全连接关系，子自治系统之间建立EBGP连接关系。

某用户拥有一个大型AS，AS中运行BGP协议。随着AS规模的增长，IBGP对等体数量激增，用于BGP通信的网络资源亦随之增加。用户希望不影响设备工作性能条件下，削减IBGP对等体数量，降低BGP对设备CPU和网络资源的消耗。

根据用户需求，选择应用BGP自治系统联盟属性实现用户需求，具体配置策略如下：

表1-9 配置适用的产品与软硬件版本关系

使用联盟时，需要确定联盟ID和子AS编号。

路由反射器典型配置指导

为保证IBGP对等体之间的连通性，需要在IBGP对等体之间建立全连接关系。假设在一个AS内部有n台路由器，那么应该建立的IBGP连接数就为n(n-1)/2。当IBGP对等体数目很多时，对网络资源和CPU资源的消耗都很大。

利用路由反射可以解决这一问题。在一个AS内，其中一台路由器作为路由反射器RR（Router Reflector），其它路由器做为客户机（Client）与路由反射器之间建立IBGP连接。路由反射器在客户机之间传递（反射）路由信息，而客户机之间不需要建立IBGP连接。

某用户拥有一个大型AS，AS中运行BGP协议。随着AS规模的增长，IBGP对等体数量激增，用于BGP通信的网络资源亦随之增加。用户希望不影响设备工作性能条件下，削减IBGP对等体数量，降低BGP对设备CPU和网络资源的消耗。另外，该AS中，IBGP对等体之间连接采用部分互联。

根据用户需求和用户网络环境，选择BGP路由反射器方案满足用户需求。具体配置策略如下：

表1-10 配置适用的产品与软硬件版本关系

# 配置BGP对等体。

# 配置BGP对等体及路由反射器。

# 配置BGP对等体。

既不是反射器也不是客户机的BGP路由器被称为非客户机（Non-Client）。非客户机与路由反射器之间，以及所有的非客户机之间仍然必须建立全连接关系

禁止客户机之间的路由反射后，客户机到非客户机之间的路由仍然可以被反射。

通常情况下，路由反射器的客户之间不要求是全连接的，路由缺省通过反射器从一个客户反射到其它客户；如果客户之间是全连接的，可以禁止客户间的反射，以便减少开销。

通常，一个集群里只有一个路由反射器。此时是由反射器的路由器ID来识别该集群的。配置多个路由反射器可提高网络的稳定性。如果一个集群中配有多个路由反射器，请使用相关命令为所有的路由反射器配置同样的集群ID，以避免路由环路。

某用户网络由两个AS组成，两个AS通过BGP实现网络互通，其中一个AS运行OSPF。

用户需求：控制从AS 200到AS 100的数据转发路径。

根据用户需求，可在如下方案中任选其一：

# 创建路由策略apply_med_50，匹配模式为允许，如果路由信息通过ACL 2000的过滤，则设置其MED值为50。

# 创建路由策略apply_med_100，匹配模式为允许，如果路由信息通过ACL 2000的过滤，则设置其MED值为100。

# 启动BGP，创建对等体组，并向对等体组添加对等体。

# 启动BGP，创建对等体组，并向对等体组添加对等体。

# 启动BGP，创建对等体组，并向对等体组添加对等体。

# 创建路由策略localpref，节点序号为10，匹配模式为允许，如果路由信息通过ACL 2000的过滤，则设置其本地优先级为200。

# 创建路由策略localpref，节点序号为20，匹配模式为允许，设置路由信息本地优先级值为100。

路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，比如只接收或发布一部分满足给定条件的路由信息；一种路由协议（如RIP）可能需要引入（import）其它的路由协议（如OSPF）发现的路由信息，从而丰富自己的路由信息；路由器在引入其它路由协议的路由信息时，可能只需要引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。

配置路由策略，在引入静态路由时应用该路由策略，使三条静态路由部分引入、部分被屏蔽掉——20.0.0.0和40.0.0.0网段的路由被引入，30.0.0.0网段的路由则被屏蔽。

表1-12 配置适用的交换机产品与软硬件版本关系

技术，实现对路由信息的过滤（方法一）

# 配置接口的IP地址

# 启动OSPF协议，指定该接口所属区域号

# 引入静态路由时应用路由策略

# 配置接口的IP地址

# 启动OSPF协议，指定该接口所属区域号

# 配置接口的IP地址

# 启动OSPF协议，指定该接口所属区域号

# 引用ACL 2000，对发布的路由信息进行过滤

Switch B的配置过程与方法一相同，具体配置请参见 中“配置Switch B”部分。

# 配置接口的IP地址

# 启动OSPF协议，指定该接口所属区域号

# 配置路由聚合，禁止在自治系统内发布30.0.0.0/8网段的路由信息

Switch B的配置过程与方法一相同，具体配置请参见 中“配置Switch B”部分。

下面的完整配置以为例，其它情况的完整配置请参考中的相关介绍。