IP新技术专题

IP 新技术专题
文档版本 draft 03
发布日期 2018-03-20
华为技术有限公司
版权所有 © 华为技术有限公司 2018。保留一切权利。
非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传
播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标，由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或
特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声
明或保证。
由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文
档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址：深圳市龙岗区坂田华为总部办公楼邮编：518129
网址： http://www.huawei.com
客户服务邮箱： support@huawei.com
客户服务电话： 4008302118
文档版本 draft 03 华为专有和保密信息 i

(2018-03-20) 版权所有 © 华为技术有限公司
IP 新技术专题目录
目录
1 VXLAN............................................................................................................................................ 1
1.1 VXLAN.......................................................................................................................................................................... 1
1.1.1 介绍............................................................................................................................................................................. 1
1.1.2 VXLAN 基础.............................................................................................................................................................. 3
1.1.2.1 基本概念.................................................................................................................................................................. 3
1.1.2.2 Underlay 网络和 Overlay 网络的组合................................................................................................................... 5
1.1.2.3 VXLAN 报文格式................................................................................................................................................... 6
1.1.2.4 VXLAN EVPN 基本原理........................................................................................................................................8
1.1.2.5 VXLAN 网关部署方式......................................................................................................................................... 12
1.1.3 VXLAN 功能场景.................................................................................................................................................... 14
1.1.3.1 静态方式部署集中式网关.................................................................................................................................... 14
1.1.3.2 BGP EVPN 方式部署集中式网关........................................................................................................................ 22
1.1.3.3 BGP EVPN 方式部署分布式网关........................................................................................................................ 32
1.1.4 VXLAN 功能增强.................................................................................................................................................... 45
1.1.4.1 通过三段式 VXLAN 实现数据中心三层互联.................................................................................................... 45
1.1.4.2 通过三段式 VXLAN 实现数据中心二层互联.................................................................................................... 48
1.1.4.3 VXLAN 双活可靠性............................................................................................................................................ 52
1.1.5 应用........................................................................................................................................................................... 56
1.1.5.1 VXLAN 网络内终端用户通信的应用................................................................................................................. 56
1.1.5.2 VXLAN 网络和传统网络互通的应用................................................................................................................. 58
1.1.5.3 VXLAN 在虚拟机迁移场景中的应用................................................................................................................. 59
1.1.5.4 通过 VXLAN 网络实现用户接入 BRAS 的应用................................................................................................60
1.1.6 术语与缩略语........................................................................................................................................................... 62
1.2 VXLAN 配置............................................................................................................................................................... 62
1.2.1 VXLAN 概述............................................................................................................................................................ 62
1.2.2 VXLAN 配置注意事项............................................................................................................................................ 67
1.2.3 激活 CM 单板的 VXLAN 端口 license................................................................................................................... 70
1.2.4 配置集中式网关部署方式的 VXLAN（静态建立隧道）.................................................................................... 71
1.2.4.1 配置 VXLAN 业务接入点.................................................................................................................................... 73
1.2.4.2 配置 VXLAN 隧道................................................................................................................................................ 75
1.2.4.3 配置 VXLAN 三层网关........................................................................................................................................ 76
1.2.4.4 （可选）配置静态 MAC 地址表项和 MAC 地址学习限制功能...................................................................... 76
1.2.4.5 检查配置结果........................................................................................................................................................ 77
文档版本 draft 03 华为专有和保密信息 ii

1.2.5 配置集中式网关部署方式的 VXLAN（BGP EVPN 方式）................................................................................ 77

1.2.5.1 配置 VXLAN 业务接入点.................................................................................................................................... 79
1.2.5.2 配置 VXLAN 隧道................................................................................................................................................ 81
1.2.5.3 配置 VXLAN 三层网关........................................................................................................................................ 84
1.2.5.5 检查配置结果........................................................................................................................................................ 86
1.2.6 配置分布式网关部署方式的 VXLAN（BGP EVPN 方式）................................................................................ 86
1.2.6.1 配置 VXLAN 业务接入点.................................................................................................................................... 88
1.2.6.2 配置 VXLAN 隧道................................................................................................................................................ 90
1.2.6.3 配置 VXLAN 三层网关........................................................................................................................................ 93
1.2.6.5 检查配置结果........................................................................................................................................................ 97
1.2.7 配置通过三段式 VXLAN 实现数据中心互联....................................................................................................... 97
1.2.7.1 配置三段式 VXLAN 实现三层互通.................................................................................................................... 98
1.2.7.2 配置三段式 VXLAN 实现二层互通.................................................................................................................... 99
1.2.7.3 检查配置结果...................................................................................................................................................... 101
1.2.8 配置静态 VXLAN 双活场景................................................................................................................................. 101
1.2.9 配置动态 VXLAN 双活场景................................................................................................................................. 105
1.2.10 配置用户通过 PW 拼接 VXLAN 隧道接入 BRAS............................................................................................108
1.2.11 维护 VXLAN.........................................................................................................................................................110
1.2.11.1 配置 VXLAN 告警上报功能.............................................................................................................................110
1.2.11.2 统计并查看 VXLAN 报文统计信息.................................................................................................................110
1.2.11.3 清除 VXLAN 报文统计信息.............................................................................................................................111
1.2.11.4 查看 BD 内 MAC 地址表项..............................................................................................................................112
1.2.11.5 清除 BD 内的动态 MAC 地址表项..................................................................................................................112
1.2.12 配置举例............................................................................................................................................................... 113
1.2.12.1 配置同网段用户通过 VXLAN 隧道互通示例................................................................................................ 113
1.2.12.2 配置不同网段用户通过 VXLAN 三层网关通信示例.................................................................................... 117
1.2.12.3 配置集中式网关部署方式的 VXLAN 示例（BGP EVPN 方式）................................................................ 122
1.2.12.4 配置分布式网关部署方式的 VXLAN 示例（BGP EVPN 方式）................................................................ 129
1.2.12.5 配置三段式 VXLAN 实现三层互通示例........................................................................................................ 136
1.2.12.6 配置三段式 VXLAN 实现二层互通示例........................................................................................................ 146
1.2.12.7 配置静态 VXLAN 双活场景示例（二层互通）............................................................................................ 154
1.2.12.8 配置静态 VXLAN 双活场景示例（三层互通）............................................................................................ 162
1.2.12.9 配置 VXLAN over IPSec 双活场景示例..........................................................................................................169
1.3 VXLAN 配置命令..................................................................................................................................................... 180
1.3.1 active port-vxlan...................................................................................................................................................... 181
1.3.2 advertise l2vpn evpn................................................................................................................................................ 182
1.3.3 bridge-domain（系统视图）..................................................................................................................................183
1.3.4 bridge-domain（二层子接口视图）......................................................................................................................184
1.3.5 bypass source........................................................................................................................................................... 185
1.3.6 description（BD 视图）......................................................................................................................................... 186
文档版本 draft 03 华为专有和保密信息 iii

1.3.7 display bridge-domain............................................................................................................................................. 187

1.3.8 display bridge-domain statistics.............................................................................................................................. 189
1.3.9 display license resource usage port-vxlan............................................................................................................... 191
1.3.10 display interface nve.............................................................................................................................................. 194
1.3.11 display interface vbdif........................................................................................................................................... 195
1.3.12 display mac-address bridge-domain...................................................................................................................... 198
1.3.13 display mac-limit bridge-domain...........................................................................................................................200
1.3.14 display vxlan peer.................................................................................................................................................. 201
1.3.15 display vxlan tunnel...............................................................................................................................................203
1.3.16 display vxlan vni....................................................................................................................................................205
1.3.17 display vxlan statistics........................................................................................................................................... 207
1.3.18 display vxlan statistics l3-mode.............................................................................................................................209
1.3.19 encapsulation（二层子接口视图）..................................................................................................................... 211
1.3.20 evpn binding vpn-instance.....................................................................................................................................213
1.3.21 evpn vpn-instance bd-mode...................................................................................................................................214
1.3.22 export route-policy（EVPN 实例视图）............................................................................................................. 215
1.3.23 export route-policy evpn........................................................................................................................................217
1.3.24 interface mode l2................................................................................................................................................... 218
1.3.25 interface nve.......................................................................................................................................................... 219
1.3.26 interface vbdif........................................................................................................................................................220
1.3.27 import route-policy（EVPN 实例视图）.............................................................................................................222
1.3.28 import route-policy evpn....................................................................................................................................... 223
1.3.29 mac-address（VBDIF 接口视图）...................................................................................................................... 224
1.3.30 mac-address（NVE 接口视图）.......................................................................................................................... 226
1.3.31 mac-address static vni............................................................................................................................................228
1.3.32 mtu（VBDIF 接口视图）.................................................................................................................................... 229
1.3.33 peer advertise encap-type vxlan.............................................................................................................................230
1.3.34 peer next-hop-invariable（BGP-EVPN 地址族视图）....................................................................................... 231
1.3.35 peer route-policy（BGP-EVPN 地址族视图）................................................................................................... 233
1.3.36 peer track admin-vrrp vrid..................................................................................................................................... 234
1.3.37 reset bridge-domain statistics................................................................................................................................ 236
1.3.38 reset mac-address bridge-domain.......................................................................................................................... 237
1.3.39 reset vxlan statistics............................................................................................................................................... 238
1.3.40 reset vxlan statistics l3-mode.................................................................................................................................240
1.3.41 route-distinguisher（EVPN）...............................................................................................................................241
1.3.42 source（NVE 接口视图）....................................................................................................................................243
1.3.43 statistics enable（BD 视图）............................................................................................................................... 244
1.3.44 statistic enable（VNI 视图）............................................................................................................................... 245
1.3.45 vni.......................................................................................................................................................................... 246
1.3.46 vni head-end peer-list............................................................................................................................................ 247
1.3.47 vni（NVE 接口视图）......................................................................................................................................... 249
1.3.48 vpn-target（EVPN）............................................................................................................................................ 250
文档版本 draft 03 华为专有和保密信息 iv

1.3.49 vxlan central-reassemble enable............................................................................................................................ 252

1.3.50 vxlan statistics enable............................................................................................................................................ 253
1.3.51 vxlan statistics l3-mode enable..............................................................................................................................254
1.3.52 vxlan vni................................................................................................................................................................ 255
1.3.53 vxlan vni（VPN 实例视图）............................................................................................................................... 257
1.3.54 vxlan vni split-horizon-mode.................................................................................................................................258
2 IPv4 Segment Routing.............................................................................................................. 260

2.1 IPv4 Segment Routing................................................................................................................................................260
2.1.1 介绍......................................................................................................................................................................... 260
2.1.2 原理描述................................................................................................................................................................. 262
2.1.2.1 基本原理.............................................................................................................................................................. 262
2.1.2.2 SR LSP................................................................................................................................................................. 265
2.1.2.3 IS-IS for SR.......................................................................................................................................................... 268
2.1.2.4 OSPF for SR......................................................................................................................................................... 278
2.1.2.5 SR-TE................................................................................................................................................................... 286
2.1.2.5.1 拓扑收集与标签分配....................................................................................................................................... 287
2.1.2.5.2 隧道创建........................................................................................................................................................... 288
2.1.2.5.3 数据转发........................................................................................................................................................... 291
2.1.2.6 流量导入.............................................................................................................................................................. 293
2.1.2.6.1 公网 IP 迭代 SR LSP........................................................................................................................................ 294
2.1.2.6.2 L3VPN 迭代 SR LSP........................................................................................................................................ 295
2.1.2.6.3 L2VPN 迭代 SR LSP........................................................................................................................................ 298
2.1.2.7 SR 与 LDP 互通...................................................................................................................................................299
2.1.2.8 SBFD for SR LSP.................................................................................................................................................301
2.1.2.9 BFD for SR-TE.....................................................................................................................................................303
2.1.2.10 TI-LFA FRR....................................................................................................................................................... 304
2.1.2.11 SR OAM............................................................................................................................................................. 310
2.1.3 应用......................................................................................................................................................................... 313
2.1.3.1 单自治域 SR........................................................................................................................................................ 313
2.1.4 术语与缩略语......................................................................................................................................................... 315
2.2 IPv4 Segment Routing 配置.......................................................................................................................................315
2.2.1 Segment Routing 概述............................................................................................................................................ 315
2.2.2 SR-TE 配置注意事项............................................................................................................................................. 316
2.2.3 配置 IS-IS SR-BE 隧道.......................................................................................................................................... 317
2.2.3.1 配置 SR-BE 的基本功能..................................................................................................................................... 318
2.2.3.2 （可选）配置 SR-LSP 建立的触发策略........................................................................................................... 318
2.2.3.3 （可选）配置 SR-BE 隧道优先策略................................................................................................................. 319
2.2.3.4 检查配置结果...................................................................................................................................................... 319
2.2.4 配置 OSPF SR-BE 隧道......................................................................................................................................... 320
2.2.4.1 配置 SR-BE 的基本功能..................................................................................................................................... 321
2.2.4.2 （可选）配置 SR-LSP 建立的触发策略........................................................................................................... 322
2.2.4.3 （可选）配置 SR-BE 隧道优先策略................................................................................................................. 322
文档版本 draft 03 华为专有和保密信息 v

2.2.4.4 检查配置结果...................................................................................................................................................... 323

2.2.5 配置 IS-IS SR-TE 手工隧道...................................................................................................................................323
2.2.5.1 使能 MPLS TE..................................................................................................................................................... 324
2.2.5.2 使能全局 SR 能力............................................................................................................................................... 324
2.2.5.3 配置 IS-IS 的 SR-TE 能力和拓扑上报...............................................................................................................324
2.2.5.4 配置 SR-TE 隧道接口......................................................................................................................................... 326
2.2.5.5 （可选）配置 PCC SR 能力...............................................................................................................................326
2.2.5.6 （可选）配置模拟 SR-TE 中间节点的 Link 标签的转发行为能力................................................................327
2.2.5.7 （可选）配置 SR-TE 显式路径......................................................................................................................... 327
2.2.5.8 检查配置结果...................................................................................................................................................... 328
2.2.6 配置 OSPF SR-TE 手工隧道..................................................................................................................................330
2.2.6.1 使能 MPLS TE..................................................................................................................................................... 330
2.2.6.2 使能全局 SR 能力............................................................................................................................................... 331
2.2.6.3 配置标签分配和拓扑收集方式.......................................................................................................................... 331
2.2.6.4 配置 SR-TE 隧道接口......................................................................................................................................... 332
2.2.6.5 （可选）配置 PCC SR 能力...............................................................................................................................333
2.2.6.6 （可选）配置模拟 SR-TE 中间节点的 Link 标签的转发行为能力................................................................333
2.2.6.7 （可选）配置 SR-TE 显式路径......................................................................................................................... 334
2.2.6.8 检查配置结果...................................................................................................................................................... 335
2.2.7 配置 SR 与 LDP 互通.............................................................................................................................................335
2.2.8 配置 IS-IS TI-LFA FRR..........................................................................................................................................337
2.2.9 配置 OSPF TI-LFA FRR.........................................................................................................................................338
2.2.10 配置 SBFD for SR-BE 隧道................................................................................................................................. 340
2.2.11 配置静态 BFD for SR-TE 隧道............................................................................................................................341
2.2.12 配置静态 BFD For SR-TE LSP............................................................................................................................ 344
2.2.13 配置动态 BFD For SR-TE LSP............................................................................................................................ 348
2.2.14 SR-BE 配置举例................................................................................................................................................... 352
2.2.14.1 配置 L3VPN 迭代 SR-BE 隧道示例................................................................................................................ 352
2.2.14.2 配置非标签公网 BGP 路由迭代 SR-BE 隧道示例......................................................................................... 363
2.2.14.3 配置 SR 与 LDP 互通示例................................................................................................................................370
2.2.15 SR-TE 配置举例................................................................................................................................................... 375
2.2.15.1 配置 SR-TE 手动隧道示例............................................................................................................................... 376
2.2.15.2 配置控制器通过 Netconf 下发配置创建 SR-TE 隧道示例............................................................................ 380
2.2.15.3 配置静态 BFD 检测 SR-TE 手动隧道示例..................................................................................................... 386
2.2.15.4 配置动态 BFD for SR-TE LSP 示例.................................................................................................................391
2.3 IPv4 Segment Routing 配置命令...............................................................................................................................398
2.3.1 display isis segment-routing mapping-server.......................................................................................................... 398
2.3.2 display ospf segment-routing routing...................................................................................................................... 400
2.3.3 display segment-routing adjacency mpls forwarding.............................................................................................. 401
2.3.4 display segment-routing dynamic global-block...................................................................................................... 403
2.3.5 display segment-routing global-block..................................................................................................................... 404
2.3.6 display segment-routing prefix mpls forwarding.................................................................................................... 405
文档版本 draft 03 华为专有和保密信息 vi

2.3.7 display segment-routing seamless-bfd tunnel session............................................................................................. 407

2.3.8 display segment-routing state ip-prefix................................................................................................................... 409
2.3.9 ipv4 adjacency......................................................................................................................................................... 411
2.3.10 isis prefix-sid......................................................................................................................................................... 412
2.3.11 isis ti-lfa disable..................................................................................................................................................... 414
2.3.12 lsp-trigger segment-routing-interworking best-effort host.................................................................................... 415
2.3.13 mapping-server prefix-sid-mapping...................................................................................................................... 416
2.3.14 mpls sr ttl-mode..................................................................................................................................................... 418
2.3.15 ospf prefix-sid........................................................................................................................................................420
2.3.16 ospf ti-lfa disable................................................................................................................................................... 421
2.3.17 ospf ti-lfa disable multi-area..................................................................................................................................422
2.3.18 seamless-bfd（segment routing）........................................................................................................................ 424
2.3.19 seamless-bfd enable............................................................................................................................................... 425
2.3.20 segment-routing..................................................................................................................................................... 426
2.3.21 segment-routing mapping-server........................................................................................................................... 427
2.3.22 segment-routing mpls............................................................................................................................................ 429
2.3.23 segment-routing global-block................................................................................................................................430
2.3.24 segment-routing lsp-trigger................................................................................................................................... 431
2.3.25 sr-te-simulate static-cr-lsp transit...........................................................................................................................433
2.3.26 ti-lfa（IS-IS）....................................................................................................................................................... 434
2.3.27 ti-lfa enable（OSPF）.......................................................................................................................................... 436
2.3.28 tunnel-prefer segment-routing............................................................................................................................... 437
2.4 SR-TE 故障处理........................................................................................................................................................ 438
2.4.1 SR-TE Tunnel 状态为 Down 的定位思路............................................................................................................. 438
2.4.1.1 常见原因.............................................................................................................................................................. 438
2.4.1.2 故障诊断流程...................................................................................................................................................... 438
2.4.1.3 故障处理步骤...................................................................................................................................................... 439
2.4.1.4 相关告警与日志.................................................................................................................................................. 441
3 Telemetry.................................................................................................................................... 442
3.1 Telemetry.................................................................................................................................................................... 442
3.1.1 介绍......................................................................................................................................................................... 442
3.1.2 原理描述................................................................................................................................................................. 442
3.1.2.1 基本概念.............................................................................................................................................................. 443
3.1.2.2 工作原理.............................................................................................................................................................. 445
3.1.3 应用......................................................................................................................................................................... 446
3.1.3.1 Telemetry 在流量调优场景的应用..................................................................................................................... 446
3.1.4 术语与缩略语......................................................................................................................................................... 447
3.2 Telemetry 配置........................................................................................................................................................... 448
3.2.1 Telemetry 概述........................................................................................................................................................ 448
3.2.2 Telemetry 支持的采样路径.................................................................................................................................... 450
3.2.3 Telemetry 配置注意事项........................................................................................................................................ 453
3.2.4 静态配置 Telemetry................................................................................................................................................ 454
文档版本 draft 03 华为专有和保密信息 vii

3.2.4.1 配置采样数据...................................................................................................................................................... 455

3.2.4.2 配置目标采集器.................................................................................................................................................. 456
3.2.4.3 创建订阅并建立 GRPC 连接..............................................................................................................................456
3.2.4.4 （可选）配置采样数据上送报文的优先级...................................................................................................... 457
3.2.4.5 检查配置结果...................................................................................................................................................... 457
3.2.5 配置举例................................................................................................................................................................. 458
3.2.5.1 利用 Telemetry 技术采集 CPU 占用率示例...................................................................................................... 458
3.3 Telemetry 配置命令................................................................................................................................................... 461
3.3.1 destination-group（subscription 视图）................................................................................................................ 461
3.3.2 destination-group（Telemetry 视图）....................................................................................................................462
3.3.3 display telemetry destination................................................................................................................................... 464
3.3.4 display telemetry sensor.......................................................................................................................................... 465
3.3.5 display telemetry subscription................................................................................................................................. 467
3.3.6 dscp.......................................................................................................................................................................... 470
3.3.7 ipv4-address.............................................................................................................................................................471
3.3.8 sample enable.......................................................................................................................................................... 472
3.3.9 sensor-group（Telemetry 视图）........................................................................................................................... 473
3.3.10 sensor-group（subscription 视图）......................................................................................................................474
3.3.11 sensor-path............................................................................................................................................................. 476
3.3.12 subscription............................................................................................................................................................478
3.3.13 telemetry................................................................................................................................................................ 479
文档版本 draft 03 华为专有和保密信息 viii

IP 新技术专题 1 VXLAN
1 VXLAN
1.1 VXLAN
1.1.1 介绍
定义
VXLAN（Virtual eXtensible Local Area Network）采用MAC in UDP（User Datagram
Protocol）封装方式，是NVO3（Network Virtualizaiton over Layer 3）中的一种网络虚拟
化技术。
目的
作为云计算的核心技术之一，服务器虚拟化凭借其大幅降低IT成本、提高业务部署灵
活性、降低运维成本等优势已经得到越来越多的认可和部署。
文档版本 draft 03 华为专有和保密信息 1

图 1-1 服务器虚拟化示意图
VSwitch VSwitch VSwitch VSwitch
VM VM VM VM VM VM VM VM
VM VM VM VM VM VM VM VM
... ... ... ...

Server1 Server2 Server3 Server4
如图1-1所示，一台服务器可虚拟多台虚拟机，而一台虚拟机相当于一台主机。主机的
数量发生了数量级的变化，这也为虚拟网络带来了如下问题：
l 虚拟机规模受网络规格限制
在传统二层网络环境下，数据报文是通过查询MAC地址表进行二层转发，而MAC
地址表的容量限制了虚拟机的数量。
l 网络隔离能力限制
当前主流的网络隔离技术是VLAN，在大规模的虚拟化网络中部署存在如下限
制：
– 由于IEEE 802.1Q中定义的VLAN Tag域只有12比特，仅能表示4096个VLAN，
无法满足大二层网络中标识大量租户或租户群的需求。
– 传统二层网络中的VLAN无法满足网络动态调整的需求。
l 虚拟机迁移范围受网络架构限制
虚拟机启动后，可能由于服务器资源等问题（如CPU过高，内存不够等），需要
将虚拟机迁移到新的服务器上。为了保证虚拟机迁移过程中业务不中断，则需要
保证虚拟机的IP地址、MAC地址等参数保持不变，这就要求业务网络是一个二层
网络，且要求网络本身具备多路径的冗余备份和可靠性。
针对大二层网络，VXLAN的提出很好地解决了上述问题：
l 针对虚拟机规模受网络规格限制

VXLAN将虚拟机发出的数据包封装在UDP中，并使用物理网络的IP、MAC地址作
为外层头进行封装，对网络只表现为封装后的参数。因此，极大降低了大二层网
络对MAC地址规格的需求。
l 针对网络隔离能力限制
VXLAN引入了类似VLAN ID的用户标识，称为VXLAN网络标识VNI（VXLAN
Network Identifier），由24比特组成，支持多达16M的VXLAN段，从而满足了大
量的用户标识。
l 针对虚拟机迁移范围受网络架构限制
VXLAN通过采用MAC in UDP封装来延伸二层网络，将以太报文封装在IP报文之
上，通过路由在网络中传输，无需关注虚拟机的MAC地址。且路由网络无网络结
构限制，具备大规模扩展能力、故障自愈能力、负载均衡能力。通过路由网络，
虚拟机迁移不受网络架构限制。
受益
随着数据中心在物理网络基础设施上实施服务器虚拟化的快速发展，作为NVO3技术之
一的VXLAN：
l 通过24比特的VNI可以支持多达16M的VXLAN段的网络隔离，对用户进行隔离和
标识不再受到限制，可满足海量租户。
l 除VXLAN网络边缘设备，网络中的其他设备不需要识别虚拟机的MAC地址，减
轻了设备的MAC地址学习压力，提升了设备性能。
l 通过采用MAC in UDP封装来延伸二层网络，实现了物理网络和虚拟网络解耦，租
户可以规划自己的虚拟网络，不需要考虑物理网络IP地址和广播域的限制，大大
降低了网络管理的难度。
1.1.2 VXLAN 基础
1.1.2.1 基本概念
VXLAN是NVO3中的一种网络虚拟化技术，通过将虚拟机发出的数据包封装在UDP
中，并使用物理网络的IP、MAC作为outer-header进行封装，然后在IP网络上传输，到
达目的地后由隧道终结点解封装并将数据发送给目标虚拟机。

图 1-2 VXLAN 结构示意图
VBDIF BD
NVE
VNI VTEP UDP 4789
IP2
IP Network VNI VNI
L3 5020 5030
Packet Device3 Gateway
NVE
VAP2 VAP3
VX
LA
VLAN 20 Untag
el
N
nn
Tu
n
Tu
ne
E
NV
l
N
L2
LA
Gateway
VX
nnel
Device1 LA N Tu Device2
VX
NVE VSwitch
VSwitch VM1 VM2 ... VMm
VM1 ... VMm Untag
192.168.10.2/24
VLAN 10 VLAN 20
192.168.10.1/24 192.168.20.1/24
Server1 Server2
通过VXLAN，虚拟网络可接入大量租户，且租户可以规划自己的虚拟网络，不需要考
虑物理网络IP地址和广播域的限制，降低了网络管理的难度。表1-1介绍VXLAN相关概
念。
表 1-1 VXLAN 基本概念
概念描述
Underlay网络和 VXLAN技术将已有的物理网络作为Underlay网络，在其上构建出
Overlay网络虚拟的二层或三层网络，即Overlay网络。Overlay网络通过封装技
术、利用Underlay网络提供的三层转发路径，实现租户报文在不同
站点间传递。对于租户来说，Underlay网络是透明的，只能感知到
Overlay网络。
NVE（Network 网络虚拟边缘节点NVE，实现网络虚拟化功能的网络实体。
Virtualization 说明
Edge）设备和服务器上的虚拟交换机VSwitch都可以作为NVE。

概念描述
VTEP VTEP是VXLAN隧道端点，封装在NVE中，用于VXLAN报文的封
（VXLAN 装和解封装。
Tunnel VTEP与物理网络相连，分配有物理网络的IP地址，该地址与虚拟
Endpoints）网络无关。
VXLAN报文中源IP地址为本节点的VTEP地址，VXLAN报文中目
的IP地址为对端节点的VTEP地址，一对VTEP地址就对应着一个
VXLAN隧道。
VNI（VXLAN VXLAN网络标识VNI类似VLAN ID，用于区分VXLAN段，不同

Network VXLAN段的虚拟机不能直接二层相互通信。
Identifier）一个VNI表示一个租户，即使多个终端用户属于同一个VNI，也表
示一个租户。VNI由24比特组成，支持多达16M的租户。
VNI分为二层VNI和三层VNI。
l 二层VNI是普通的VNI，映射到广播域BD，实现VXLAN报文同
子网的转发。
l 三层VNI和VPN实例进行关联，用于VXLAN报文跨子网的转
发。
BD（Bridge BD是VXLAN网络中转发数据报文的二层广播域。
Domain）在VXLAN网络中，将VNI映射到广播域BD，BD成为VXLAN网络
转发数据报文的实体。
VBDIF接口基于BD创建的三层逻辑接口。通过VBDIF接口配置IP地址可实现
不同网段的VXLAN间，及VXLAN和非VXLAN的通信，也可实现
二层网络接入三层网络。
VAP（Virtual 虚拟接入点VAP统一为二层子接口，用于接入数据报文。
Access Point）为二层子接口配置不同的流封装类型，可实现不同的数据报文接
入不同的二层子接口。
网关和VLAN类似，不同VNI之间的VXLAN，及VXLAN和非VXLAN
（Gateway）之间不能直接相互通信。为了使VXLAN之间，以及VXLAN和非
VXLAN之间能够进行通信，VXLAN引入了VXLAN网关。
VXLAN网关分为：
l 二层网关：用于解决租户接入VXLAN虚拟网络的问题，也可
用于同一VXLAN虚拟网络的子网通信。
l 三层网关：用于VXLAN虚拟网络的跨子网通信以及外部网络
的访问。
1.1.2.2 Underlay 网络和 Overlay 网络的组合

建立VXLAN隧道的基础网络称为Underlay网络，VXLAN隧道所承载的业务网络称为
Overlay网络，因此在VXLAN场景中存在以下几种Underlay网络和Overlay网络的组合：

类别解释示例
IPv4 over IPv4 Overlay网络和Underlay网络均为在图1-3中，Server IP和VTEP IP

IPv4网络。均为IPv4地址。
IPv6 over IPv4 Overlay网络为IPv6网络，在图1-3中，Server IP为IPv6地

Underlay网络为IPv4网络。址，VTEP IP地址为IPv4地址。
IPv4 over IPv6 Overlay网络为IPv4网络，在图1-3中，Server IP为IPv4地

Underlay网络为IPv6网络。址，VTEP IP地址为IPv6地址。
IPv6 over IPv6 Overlay网络和Underlay网络均为在图1-3中，Server IP和VTEP IP

IPv6网络。均为IPv6地址。
图 1-3 Underlay 网络和 Overlay 网络的组合示意图
non-VXLAN
networks
VXLAN L3 GW
Device3
VTEP IP
NVE
VX
el
nn
LA
Tu
N
N
Tu
LA
L3 Network
nn
VX
VTEP IP
el
VTEP IP
NVE NVE
Device1 VXLAN Tunnel Device2
VSwitch VSwitch VSwitch
VM1 ... VMm VM1 ... VMm VM1 ... VMm
Server IP Server IP Server IP

Server1 Server2 Server3
说明
目前，只支持IPv4 over IPv4网络。
1.1.2.3 VXLAN 报文格式

VXLAN是MAC in UDP的网络虚拟化技术，所以其报文封装是在原始以太报文之前添
加了一个UDP封装及VXLAN头封装。

对于VXLAN报文格式的具体解释如图1-4所示。
图 1-4 VXLAN 报文详细格式

MAC MAC 802.1Q Ethernet
DA SA Tag Type
…... Protocol …... IP SA IP DA
VXLAN封装原始报文
Outer Outer Outer Inner Inner

VXLAN
Ethernet IP UDP Ethernet IP Payload
header
header header header header header
VXLAN Flags
Reserved VNI Reserved
(00001000)
8 bits 24 bits 24 bits 8 bits
Source DestPort UDP UDP

Port (VXLAN Port) Length Checksum
16 bits 16 bits 16 bits 16 bits
表 1-2 VXLAN 报文格式说明

字段描述
VXLAN header l VXLAN Flags：8比特，取值为00001000。

l VNI：VXLAN网络标识，24比特，用于区分VXLAN
段。
l Reserved：24比特和8比特，必须设置为0。
Outer UDP header l DestPort：目的UDP端口号是4789。

l Source Port：源端口号是内层以太报文头通过哈希算法
计算后的值。
Outer IP header l IP SA：源IP地址是VXLAN隧道本端VTEP的IP地址。

l IP DA：目的IP地址是VXLAN隧道远端VTEP的IP地
址。

字段描述
Outer Ethernet header l MAC DA：在发送报文的虚拟机所属VTEP上根据目的

VTEP地址查找路由表，路由表中下一跳IP地址对应的
MAC地址。
l MAC SA：发送报文的虚拟机所属VTEP的MAC地址。
l 802.1Q Tag：可选字段，该字段为报文中携带的VLAN
Tag。
l Ethernet Type：以太报文类型。
1.1.2.4 VXLAN EVPN 基本原理
介绍
EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术。EVPN
技术采用类似于BGP/MPLS IP VPN的机制，在BGP协议的基础上定义了一种新的NLRI
（Network Layer Reachability Information，网络层可达信息）即EVPN NLRI，EVPN
NLRI定义了几种新的BGP EVPN路由类型，用于处在二层网络的不同站点之间的MAC
地址学习和发布。
原有的VXLAN实现方案没有控制平面，是通过数据平面的流量泛洪进行VTEP发现和
MAC地址学习的，这种方式导致数据中心网络存在很多泛洪流量。为了解决这一问
题，VXLAN引入了EVPN作为控制平面，通过在VTEP之间交换BGP EVPN路由实现
VTEP的自动发现、主机信息相互通告等特性，从而避免了不必要的数据流量泛洪。
综上所述，EVPN通过扩展BGP协议新定义了几种BGP EVPN路由，这些BGP EVPN路

由可以用于传递VTEP地址和主机信息，因此EVPN应用于VXLAN网络中，可以使
VTEP发现和主机信息学习从数据平面转移到控制平面。
BGP EVPN 路由
在EVPN NLRI中定义了如下几种应用于VXLAN控制平面的BGP EVPN路由类型：
Type2路由—MAC/IP路由
该类型路由的报文格式如图1-5所示：
图 1-5 MAC/IP 路由的报文格式

Route Distinguisher（8 字节）
Ethernet Segment Identifier （10 字节）
Ethernet Tag ID（4 字节）
MAC Address Length（1 字节）
MAC Address（6 字节）
IP Address Length（1 字节）
IP Address（0或4或16 字节）
MPLS Label1（3 字节）
MPLS Label2（0或3 字节）

各字段的解释如表1-3所示：
表 1-3 MAC/IP 路由的报文格式解释

字段说明
Route Distinguisher 该字段为EVPN实例下设置的RD

（Route Distinguisher）值。
Ethernet Segment Identifier 该字段为当前设备与对端连接定

义的唯一标识。
Ethernet Tag ID 该字段为当前设备上实际配置的

VLAN ID。
MAC Address Length 该字段为此路由携带的主机

MAC地址的长度。
MAC Address 该字段为此路由携带的主机

MAC地址。
IP Address Length 该字段为此路由携带的主机IP地

址的掩码长度。
IP Address 该字段为此路由携带的主机IP地
址。
MPLS Label1 该字段为此路由携带的二层

VNI。
MPLS Label2 该字段为此路由携带的三层

VNI。
该类型路由在VXLAN控制平面中的作用包括：
l 主机MAC地址通告
要实现同子网主机的二层互访，两端VTEP需要相互学习主机MAC。作为BGP
EVPN对等体的VTEP之间通过交换MAC/IP路由，可以相互通告已经获取到的主机
MAC。其中，MAC Address Length和MAC Address字段为主机MAC地址。
l 主机ARP通告
MAC/IP路由可以同时携带主机MAC地址+主机IP地址，因此该路由可以用来在
VTEP之间传递主机ARP表项，实现主机ARP通告。其中，MAC Address和MAC
Address Length字段为主机MAC地址，IP Address和IP Address Length字段为主机IP
地址。此时的MAC/IP路由也称为ARP类型路由。
l 主机IP路由通告
在分布式网关场景中，要实现跨子网主机的三层互访，两端VTEP（作为三层网
关）需要互相学习主机IP路由。作为BGP EVPN对等体的VTEP之间通过交换
MAC/IP路由，可以相互通告已经获取到的主机IP路由。其中，IP Address Length
和IP Address字段为主机IP路由的目的地址，同时MPLS Label2字段必须携带三层
VNI。此时的MAC/IP路由也称为IRB（Intergrate Routing and Bridge）类型路由。

说明
ARP类型路由携带的有效信息有：主机MAC地址+主机IP地址+二层VNI；IRB类型路由携
带的有效信息有：主机MAC地址+主机IP地址+二层VNI+三层VNI。因此，IRB类型路由包
含着ARP类型路由，不仅可以用于主机IP路由通告，也能用于主机ARP通告。
Type3路由—Inclusive Multicast路由
该类型路由是由前缀和PMSI属性组成，报文格式如图1-6所示：
图 1-6 Inclusive Multicast 路由的报文格式

前缀
Originating Router's IP Address （4或16 字节）
PMSI属性
Flags（1 字节）
Tunnel Type（1 字节）
MPLS Label（3 字节）
Tunnel Identifier（variable）
表 1-4 Inclusive Multicast 路由的报文格式解释

字段说明

Ethernet Tag ID 该字段为当前设备上的VLAN

ID。在此路由中为全0。
IP Address Length 该字段为此路由携带的本端

VTEP IP地址的掩码长度。
Originating Router's IP Address 该字段为此路由携带的本端

VTEP IP地址。
Flags 该字段为标志位，标识当前隧道
是否需要叶子节点信息。
在VXLAN场景中，该字段没有
实际意义。

字段说明
Tunnel Type 该字段为此路由携带的隧道类

型。目前，在VXLAN场景中，
支持的类型只有“6：Ingress
Replication”，即头端复制，用
于BUM报文转发。
MPLS Label 该字段为此路由携带的二层

VNI。
Tunnel Identifier 该字段为此路由携带的隧道信

息。目前，在VXLAN场景中，
该字段也是本端VTEP IP地址。
该类型路由在VXLAN控制平面中主要用于VTEP的自动发现和VXLAN隧道的动态建
立。作为BGP EVPN对等体的VTEP，通过Inclusive Multicast路由互相传递二层VNI和
VTEP IP地址信息。其中，Originating Router's IP Address字段为本端VTEP IP地址，
MPLS Label字段为二层VNI。如果对端VTEP IP地址是三层路由可达的，则建立一条到
对端的VXLAN隧道。同时，如果对端VNI与本端相同，则创建一个头端复制表，用于
后续BUM报文转发。
Type5路由—IP前缀路由
该类型路由的报文格式如图1-7所示：
图 1-7 IP 前缀路由的报文格式
IP Prefix Length（1 字节）
IP Prefix（4或16 字节）
GW IP Address（4或16 字节）
表 1-5 IP 前缀路由的报文格式解释
字段说明

Ethernet Segment Identifier 该字段为当前设备与对端连接定

义的唯一标识。
Ethernet Tag ID 该字段为当前设备上实际配置的

VLAN ID。

字段说明
IP Prefix Length 该字段为此路由携带的IP前缀掩

码长度。
IP Prefix 该字段为此路由携带的IP前缀地
址。
GW IP Address 该字段为默认网关地址。该字段
在VXLAN场景中没有实际意
义。
MPLS Label 该字段为此路由携带的三层

VNI。
该类型路由的IP Prefix Length和IP Prefix字段既可以携带主机IP地址，也可以携带网段

地址：
l 当携带主机IP地址时，该类型路由在VXLAN控制平面中的作用与IRB类型路由是
一样的，主要用于分布式网关场景中的主机IP路由通告。
l 当携带网段地址时，通过传递该类型路由，可以实现VXLAN网络中的主机访问外
部网络。
1.1.2.5 VXLAN 网关部署方式

当需要进行三层互通时，VXLAN网络需要部署三层网关。根据部署方式的不同，
VXLAN三层网关可以分为集中式网关和分布式网关。
集中式网关部署
集中式网关是指将三层网关集中部署在一台设备上，如图1-8所示，所有跨子网的流量
都经过三层网关进行转发，实现流量的集中管理。

图 1-8 VXLAN 集中式网关组网图
L3 Spine1 Spine2
Gateway
L2
Gateway
Leaf1 Leaf2

10.1.1.1/24 10.10.1.1/24 10.20.1.1/24
跨子网流量
部署集中式网关的优势和缺点如下：
l 优势：对跨子网流量进行集中管理，网关的部署和管理比较简单。
l 缺点：
– 转发路径不是最优：同一二层网关下跨子网的数据中心三层流量都需要经过
集中三层网关转发。
– ARP表项规格瓶颈：由于采用集中三层网关，通过三层网关转发的终端租户
的ARP表项都需要在三层网关上生成，而三层网关上的ARP表项规格有限，
这不利于数据中心网络的扩展。
分布式网关部署
通过部署分布式网关可以解决集中式网关部署的缺点。VXLAN分布式网关是指在典型
的“Spine-Leaf”组网结构下，将Leaf节点作为VXLAN隧道端点VTEP，每个Leaf节点
都可作为VXLAN三层网关，Spine节点不感知VXLAN隧道，只作为VXLAN报文的转发
节点。如图1-9所示，Server1和Server2不在同一个网段，但是都连接到一个Leaf节点。
Server1和Server2通信时，流量只需要在Leaf1节点进行转发，不再需要经过Spine节
点。

图 1-9 VXLAN 分布式网关示意图

Spine1 Spine2
L3
Gateway
Leaf1 Leaf2
L2
Gateway

10.1.1.1/24 10.10.1.1/24 10.20.1.1/24 10.10.1.2/24
跨子网流量
Spine节点：关注于高速IP转发，强调的是设备的高速转发能力。
Leaf节点：
l 作为VXLAN网络中的二层网关设备，与物理服务器或VM对接，用于解决终端租
户接入VXLAN虚拟网络的问题。
l 作为VXLAN网络中的三层网关设备，进行VXLAN报文封装/解封装，实现跨子网
的终端租户通信，以及外部网络的访问。
VXLAN分布式网关具有如下特点：
l 同一个Leaf节点既可以做VXLAN二层网关，也可以做VXLAN三层网关，部署灵
活。
l Leaf节点只需要学习自身连接服务器的ARP表项，而不必像集中三层网关一样，
需要学习所有服务器的ARP表项，解决了集中式三层网关带来的ARP表项瓶颈问
题，网络规模扩展能力强。
1.1.3 VXLAN 功能场景
1.1.3.1 静态方式部署集中式网关
在静态方式部署集中式网关的场景中，控制平面的流程包括VXLAN隧道建立、MAC地
址动态学习；转发平面的流程包括同子网已知单播报文转发、同子网BUM报文转发、
跨子网报文转发。
静态方式部署集中式网关，手工配置工作量大，灵活性较差，不适合大规模的组网场
景，如果在VXLAN网络中采用集中式网关，推荐使用BGP EVPN方式部署集中式网
关。

VXLAN 隧道建立
VXLAN隧道由一对VTEP IP地址确定，静态VXLAN隧道的创建完全通过手工配置本端
和远端的VNI、VTEP IP地址和头端复制列表来完成，只要VXLAN隧道的两端VTEP IP
是三层路由可达的，VXLAN隧道就可以建立成功。
如图1-10所示，Leaf1上部署了Host1和Host3，Leaf2上部署了Host2，Spine上部署三层
网关。
l 为了实现Host3和Host2之间的通信，需要分别在Leaf1和Leaf2上手动配置二层
VNI，并在配置头端复制列表时指定对端VTEP IP地址。只要Leaf1和Leaf2上存在
到对端VTEP IP地址的三层路由，就可以建立到对端的VXLAN隧道。
l 为了实现Host1和Host2之间的通信，需要分别在Leaf1和Spine、Spine和Leaf2上手
动配置二层VNI，并在配置头端复制列表时指定对端VTEP IP地址。只要Leaf1和
Spine上存在到对端VTEP IP地址的三层路由，就可以建立到对端的VXLAN隧道；
同样的，只要Spine和Leaf2上存在到对端VTEP IP地址的三层路由，就可以建立到
对端的VXLAN隧道。
说明
对于Host1和Host3之间的通信，虽然都属于Leaf1，但由于属于不同子网，需要经过三层网
关Spine，因此也需要在Leaf1和Spine之间创建VXLAN隧道。
图 1-10 VXLAN 隧道示意图

VNI: 10
VNI: 20
VTEP: 3.3.3.3/32
Spine
VX
LA
l
ne
N
n
Tu
Tu
N
nn
LA
el
VX
Leaf1 Leaf2
VNI: 10
VNI: 20
VNI: 20
VXLAN Tunnel VTEP
VTEP
2.2.2.2/32
1.1.1.1/32
Host1 Host3 Host2

192.168.10.1/32 192.168.20.2/32 192.168.20.1/32
NVE

MAC 地址动态学习
在VXLAN网络中，为了实现终端租户的互通，支持MAC地址动态学习，不需要网络管
理员手工维护，大大减少了维护工作量。下面结合图1-11，详细介绍一下同子网主机互
通时，MAC地址动态学习的过程：
图 1-11 MAC 地址动态学习

Spine
MAC地址 BDID 出接口 MAC地址 BDID 出接口

MAC3 20 Port1 MAC3 20 VXLAN
N
V
E2
E1
V
N
2 VXLAN Tunnel 4
Leaf2
Leaf1 Port1
VNI:20
3
VNI:20 VTEP:2.2.2.2/32
VTEP:1.1.1.1/32 1
5
Host3 Host2
MAC3 MAC2
IP3:192.168.20.2/32 IP2:192.168.20.1/32
1. Host3发送源MAC为MAC3、目的MAC为全F、源IP为IP3、目的IP为IP2的ARP请
求报文，请求Host2的MAC地址。
2. Leaf1收到该ARP请求后，根据二层子接口上的配置判断该请求报文需进入
VXLAN隧道，并确定报文所对应的VNI（20）。同时Leaf1学习到了Host3的MAC
地址、BDID（二层广播域标识）和报文入接口（即二层子接口对应的物理接口
Port1）的对应关系，并在本地MAC表中生成Host3的MAC表项，其出接口为
Port1。
3. Leaf1对该ARP请求报文进行VXLAN封装，如图1-12所示，封装的VNI是绑定当前
BD的VNI，封装的外层源IP地址为Leaf1的VTEP IP地址，外层目的IP地址为Leaf2
的VTEP IP地址，外层源MAC地址为Leaf1的NVE1接口MAC地址，外层目的MAC
地址为去往目的IP的网络下一跳的MAC地址。封装后的报文根据外层MAC和IP信
息在IP网络中传输，送达Leaf2。

图 1-12 VXLAN 报文
外层目的MAC：下一跳MAC
外层源MAC：NVE1 MAC
外层源IP：1.1.1.1/32
外层目的IP：2.2.2.2/32
UDP
VNI：20
ARP请求
以太网目的MAC：全F
以太网源MAC：MAC3
源MAC：MAC3
源IP：IP3
目的MAC：全0
目的IP：IP2
4. Leaf2收到报文后进行解封装，得到Host3发送的原始ARP请求报文，同时Leaf2学
习到Host3的MAC地址、BDID和Leaf1上VTEP IP地址的对应关系，并在本地的
MAC表中生成Host3的MAC表项，其出接口需根据下一跳（即Leaf1的VTEP IP地
址）进行迭代，最终迭代结果是指向Leaf1的VXLAN隧道。
5. Leaf2在对应的二层域内广播ARP请求。Host2收到ARP请求后，比较报文中的目的
IP是否为本机的IP地址，如果是，则将Host3的MAC地址保存到本地的MAC表中，
并进行ARP应答。
由于此时Host2已经学习到了Host3的MAC地址，所以ARP应答报文为单播报文，后续
的ARP应答报文发送过程与上述过程类似，这里不再赘述。Host3和Host2互相学习到对
方的MAC地址之后，双方将采用单播通信。
说明
在跨子网主机互通时，只需在主机和三层网关之间进行MAC地址动态学习，与上述过程相同。
同子网已知单播报文转发
同子网已知单播报文转发只在VXLAN二层网关之间进行，三层网关无需感知。报文转
发流程如图1-13所示。

图 1-13 同子网已知单播报文转发示意图
Spine
N
V
E2
E1
V
N
VXLAN Tunnel
Leaf1 Leaf2
VNI:20 VNI:20
VTEP:1.1.1.1/32 VTEP:2.2.2.2/32
Host3 Host2
MAC3 MAC2
IP3:192.168.20.2/32 IP2:192.168.20.1/32
VLAN3 VLAN2
Host3发出的 Leaf2解封装VXLAN报文并
二层报文 Leaf1封装VXLAN报文重新封装二层报文
DMAC MAC2 DMAC Net MAC DMAC MAC2
SMAC MAC3 SMAC NVE1 MAC SMAC MAC3
VLAN SIP 1.1.1.1 VLAN
3 2
Tag DIP 2.2.2.2 Tag
UDP S_P HASH
UDP D_P 4789
VNI 20
DMAC MAC2
SMAC MAC3
流量转发路径
1. Leaf1收到来自Host3的报文，根据报文中接入的端口和VLAN信息获取对应的二层
广播域，并在该二层广播域内查找出接口和封装信息。
2. Leaf1上VTEP根据查找到的封装信息对数据报文进行VXLAN封装，然后根据查找
到的出接口进行报文转发。
3. Leaf2上VTEP收到VXLAN报文后，根据UDP目的端口号、源/目的IP地址、VNI判
断VXLAN报文的合法有效性。然后依据VNI获取对应的二层广播域，进行
VXLAN解封装，获取内层的二层报文。
4. Leaf2根据内层二层报文的目的MAC，从本地MAC表找到对应的出接口和封装信
息，为报文添加VLAN Tag，转发给对应的主机Host2。
Host2向Host3发送报文的过程类似，这里不再赘述。
同子网 BUM 报文转发

同子网BUM报文转发只在VXLAN二层网关之间进行，三层网关无需感知。同子网
BUM报文转发可以采用头端复制方式。头端复制是指，当BUM报文进入VXLAN隧
道，接入端VTEP采用头端复制方式进行报文的VXLAN封装，并将报文发送给头端复

制列表中的所有出端口VTEP。BUM报文出VXLAN隧道，出口端VTEP对报文解封装。
BUM报文的转发流程如图1-14所示。
图 1-14 BUM 报文采用头端复制方式转发示意图

终端C：
IP 3
MAC 3
VLAN 4
VXLAN
L2 Leaf3
Gateway VNI:20
VXLAN NV VTEP:3.3.3.3
E3
L2
Gateway NVE1
Network
终端A： Leaf1
E2
IP 1 VNI:20 NV VXLAN
MAC 1 VTEP:1.1.1.1 L2
VLAN 2 Leaf2 Gateway
VNI:20
VTEP:2.2.2.2
终端B：
IP 2
MAC 2
VLAN 3
流量转发路径
终端A发出的 Leaf2/Leaf3解封装
Leaf1封装VXLAN报文
二层报文 VXLAN报文并重新封装
Leaf1—>Leaf2 Leaf1—>Leaf3 二层报文
DMAC Net MAC DMAC Net MAC DMAC All F
DMAC All F
SMAC NVE1 MAC SMAC NVE1 MAC SMAC MAC1
SMAC MAC1 SIP 1.1.1.1 SIP 1.1.1.1 VLAN
VLAN 3
2 DIP 2.2.2.2 DIP 3.3.3.3 Tag
Tag
UDP S_P HASH UDP S_P HASH DMAC All F
UDP D_P 4789 UDP D_P 4789 SMAC MAC1
VNI 20 VNI 20 VLAN
4
DMAC All F DMAC All F Tag
SMAC MAC1 SMAC MAC1
1. Leaf1收到来自终端A的报文，根据报文中接入的端口和VLAN信息获取对应的二
层广播域。
2. Leaf1上VTEP根据对应的二层广播域获取对应VNI的头端复制隧道列表，依据获取
的隧道列表进行报文复制，并进行VXLAN封装。然后将封装后的报文从出接口转
发出去。

3. Leaf2/Leaf3上VTEP收到VXLAN报文后，根据UDP目的端口号、源/目的IP地址、
VNI判断VXLAN报文的合法有效性。然后依据VNI获取对应的二层广播域，进行
VXLAN解封装，获取内层二层报文。
4. Leaf2/Leaf3检查内层二层报文的目的MAC，发现是BUM MAC，在对应的二层广
播域内的非VXLAN隧道侧进行广播处理，即：Leaf2/Leaf3分别从本地MAC表中找
到非VXLAN隧道侧的所有出接口和封装信息，为报文添加VLAN Tag，转发给对
应的终端B/C。
说明
终端B/C向终端A回应报文，参考同子网已知单播报文转发。
跨子网报文转发
跨子网报文转发需要通过三层网关实现。在集中式网关场景中，跨子网报文转发的流
程如图1-15所示。

图 1-15 跨子网报文转发示意图
VBDIF
路由表
Destination NextHop Interface
192.168.10.1/32 192.168.10.10/24 VBDIF10
Spine
BD
VNI:10 192.168.20.1/32 192.168.20.10/24 VBDIF20
VNI:20
VTEP:3.3.3.3
VNI L3 Gateway:
VBDIF10:192.168.10.10/24 MAC3
NVE3 VBDIF20:192.168.20.10/24 MAC4
Packet VX
el
L
nn
Tu AN
Tu
N
nn
LA
el
VX
N
VE
2
VE
Leaf1 1 Leaf2
N
VNI:10 VNI:20
L2 Gateway L2 Gateway VTEP:2.2.2.2
VTEP:1.1.1.1
Host1 Host2
IP1：192.168.10.1/32 IP2：192.168.20.1/32
MAC1 MAC2
VLAN10 VLAN20
Packet flow
Host1发出跨 Leaf2解封装
Leaf1封装VXLAN报文 Spine封装VXLAN报文
子网IP报文 VXLAN报文
DMAC MAC3 DMAC NET MAC DMAC NET MAC DMAC MAC2
SMAC MAC1 SMAC NVE1 MAC SMAC NVE3 MAC SMAC MAC4
SIP IP1 SIP 1.1.1.1 SIP 3.3.3.3 SIP IP1
DIP IP2 DIP 3.3.3.3 DIP 2.2.2.2 DIP IP2
Pay-load UDP S_P HASH UDP S_P HASH Pay-load
UDP D_P 4789 UDP D_P 4789
VNI 10 VNI 20
DMAC MAC3 DMAC MAC2
SMAC MAC1 SMAC MAC4
SIP IP1 SIP IP1
DIP IP2 DIP IP2
Pay-load Pay-load
广播域，在对应的二层广播域内查找出接口和封装信息。

2. Leaf1上VTEP根据查找到的出接口和封装信息进行VXLAN封装，向Spine转发报
文。
3. Spine收到VXLAN报文后进行解封装，发现内层报文中的目的MAC是三层网关接
口VBDIF10的MAC地址MAC3，判断需要进行三层转发。
4. Spine剥除内层报文的以太封装，解析目的IP。根据目的IP查找路由表，找到目的
IP的下一跳地址，再根据下一跳地址查找ARP表项，获取目的MAC、VXLAN隧道
出接口及VNI等信息。
5. Spine重新封装VXLAN报文，向Leaf2转发。其中内层报文以太头中的源MAC是三
层网关接口VBDIF20的MAC地址MAC4。
断VXLAN报文的合法有效性。依据VNI获取对应的二层广播域，然后进行
VXLAN解封装，获取内层二层报文，并在对应的二层广播域内查找出接口和封装
信息。
7. Leaf2根据查找到的出接口和封装信息，为报文添加VLAN Tag，转发给对应的
Host2。
1.1.3.2 BGP EVPN 方式部署集中式网关

在BGP EVPN方式部署集中式网关的场景中，控制平面的流程包括：
l VXLAN隧道建立
l MAC地址动态学习
转发平面的流程包括：
l 同子网已知单播报文转发
l 同子网BUM报文转发
l 跨子网报文转发
该方式通过部署EVPN协议实现VTEP自动发现和VXLAN隧道的动态创建，灵活性高，
适合大规模的VXLAN组网场景，如果在VXLAN网络中采用集中式网关，推荐使用该
方式。
VXLAN 隧道建立
VXLAN隧道由一对VTEP IP地址确定，创建VXLAN隧道实际上是两端VTEP获取对端
VTEP IP地址的过程，只要对端VTEP IP地址是三层路由可达的，VXLAN隧道就可以建
立成功。通过BGP EVPN方式动态建立VXLAN隧道，就是在两端VTEP之间建立BGP
EVPN对等体，然后对等体之间利用BGP EVPN路由来互相传递VNI和VTEP IP地址信
息，从而实现动态建立VXLAN隧道。
如图1-16所示，Leaf1上部署了两个Host，Leaf2上部署了一个Host，Spine上部署三层网
关。为了实现Host3和Host2之间的通信，需要在Leaf1和Leaf2之间创建VXLAN隧道；
为了实现Host1和Host2之间的通信，需要在Leaf1和Spine之间以及Spine和Leaf2之间创
建VXLAN隧道。对于Host1和Host3之间的通信，虽然都属于Leaf1，但由于属于不同子
网，需要经过三层网关Spine，因此也需要在Leaf1和Spine之间创建VXLAN隧道。
说明
VXLAN隧道由一对VTEP IP地址确定，当本端VTEP重复收到对端VTEP IP地址时，只创建一条

VXLAN隧道，但是在报文转发时封装各自的VNI。


VNI: 10
VNI: 20
VTEP: 3.3.3.3/32
Spine
VX
LA
l
ne
N
n
Tu
Tu
N
nn
LA
VX el
Leaf1 Leaf2
VNI: 10
VNI: 20
VNI: 20
VXLAN Tunnel VTEP
VTEP
2.2.2.2/32
1.1.1.1/32
Host1 Host3 Host2

192.168.10.1/32 192.168.20.2/32 192.168.20.1/32
NVE
下面结合图1-17，以Leaf1和Leaf2为例，介绍一下通过BGP EVPN方式动态建立
VXLAN隧道的过程：

图 1-17 动态建立 VXLAN 隧道示意图

Spine
VNI: 10
VNI: 20
VTEP: 3.3.3.3
EVPN2 EVPN1
RD : 3:1 RD : 4:1
ERT: 10:1 ERT: 20:1
IRT : 10:1 IRT : 20:1
EVPN2
RD : 2:1
ERT: 10:1
Leaf2
Leaf1 IRT : 10:1 Type3路由 VNI: 20
VNI: 10 2 ERT(20:1) 1
VTEP: 2.2.2.2
VNI: 20
VTEP: 1.1.1.1
1 Type3路由 2 EVPN1
EVPN1 ERT(20:1) RD : 5:1
RD : 1:1
ERT: 20:1
ERT: 20:1
IRT : 20:1
IRT : 20:1
NVE
1. 首先在Leaf1和Leaf2之间建立BGP EVPN对等体。然后，在Leaf1和Leaf2上分别创
建二层广播域，并在二层广播域下配置关联的VNI。接下来在二层广播域下创建
EVPN实例，配置本端EVPN实例的RD、出方向VPN-Target（ERT）、入方向VPN-
Target（IRT）。在配置完本端VTEP IP地址后，Leaf1和Leaf2会生成BGP EVPN路
由并发送给对端，该路由携带本端EVPN实例的出方向VPN-Target和BGP EVPN协
议新定义的Type3路由即Inclusive Multicast路由。其中，Inclusive Multicast路由如
图1-18所示，由前缀和PMSI属性组成，VTEP IP地址存放在前缀的Originating
Router's IP Address字段中，VNI存放在PMSI属性的MPLS Label字段中。

图 1-18 Inclusive Multicast 路由

前缀
PMSI属性
Flags（1 字节）
MPLS Label（3字节）
2. Leaf1和Leaf2在收到对端发来的BGP EVPN路由后，首先检查该路由携带的EVPN
实例的出方向VPN-Target，如果与本端EVPN实例的入方向VPN-Target相等，则接
收该路由，否则丢弃该路由。在接收该路由后，Leaf1和Leaf2将获取其中携带的对
端VTEP IP地址和VNI，如果对端VTEP IP地址是三层路由可达的，则建立一条到
对端的VXLAN隧道；同时，如果对端VNI与本端相同，则创建一个头端复制表，
用于后续BUM报文转发。
Leaf1和Spine之间、Leaf2和Spine之间通过BGP EVPN方式动态建立VXLAN隧道的过程
与上述相同，这里不再赘述。
说明
VPN-Target是一种BGP扩展团体属性，一个EVPN实例可以配置出方向和入方向两类VPN-
Target，两端EVPN实例的VPN-Target要相互匹配（即本端EVPN实例配置的出方向VPN-target值
需要与对端EVPN实例配置的入方向VPN-target值相等），才能相互交换EVPN路由，否则
VXLAN隧道无法建立成功。如果仅有一端匹配成功可以接收路由，则此端设备上可以建立通往
另一端设备的隧道，但是无法传输数据报文，因为另一端设备在收到报文后，将会检查本端是否
有通往对端的VXLAN隧道，如果没有的话，将会丢弃报文。
关于VPN-Target更详细的描述，请参考基本BGP/MPLS IP VPN中的描述。
理员手工维护，大大减少了维护工作量。下面结合图1-19，详细介绍一下同子网主机
互通时，MAC地址动态学习的过程：


Spine

N
V
E2
E1
V
N
VXLAN Tunnel
Leaf1 Port1 Leaf2
2
VNI:20 1 Type2路由 VNI:20
VTEP:1.1.1.1/32 下一跳 VTEP:2.2.2.2/32
ERT
Host3 Host2
MAC3 MAC2
IP3:192.168.20.2/32 IP2:192.168.20.1/32
1. Host3首次与Leaf1通信时，通过动态ARP报文，Leaf1学习到Host3的MAC地址、
BDID（二层广播域标识）和报文入接口（即二层子接口对应的物理接口Port1）的
对应关系，并在本地MAC表中生成Host3的MAC表项，其出接口为Port1。同时，
Leaf1根据Host3的ARP表项生成BGP EVPN路由并发送给对等体Leaf2，该路由携
带本端EVPN实例的出方向VPN-Target、路由下一跳属性以及BGP EVPN协议新定
义的Type2路由即MAC/IP路由。其中，路由下一跳属性携带的是本端VTEP IP地
址；MAC/IP路由如图1-20所示，Host3的MAC地址存放在MAC Address Length和
MAC Address字段中，二层VNI存放在MPLS Label1字段中。
图 1-20 MAC/IP 路由
2. Leaf2收到Leaf1发来的BGP EVPN路由后，首先检查该路由携带的EVPN实例的出
方向VPN-Target，如果与本端EVPN实例的入方向VPN-Target相等，则接收该路
由，否则丢弃该路由。在接收该路由后，Leaf2获得Host3的MAC地址、BDID和
Leaf1上VTEP IP地址（下一跳属性）的对应关系，并在本地的MAC表中生成Host3
的MAC表项，其出接口需根据下一跳进行迭代，最终迭代结果是指向Leaf1的
VXLAN隧道。
Leaf1学习Host2的主机MAC的过程与上述过程相同，这里不再赘述。

说明
l 在跨子网主机互通时，只需在主机和三层网关之间进行MAC地址动态学习，与上述过程相
同。
l Leaf节点也可以通过数据转发过程学习主机MAC地址，但是依赖于设备从数据报文中学习
MAC地址的能力。在BGP EVPN方式建立VXLAN隧道的场景中，Leaf节点之间可以通过BGP
EVPN路由动态学习主机MAC地址，不再依赖数据转发过程。
Spine
N
V
E2
E1
V
N
VXLAN Tunnel
Leaf1 Leaf2
VNI:20 VNI:20
VTEP:1.1.1.1/32 VTEP:2.2.2.2/32
Host3 Host2
MAC3 MAC2
IP3:192.168.20.2/32 IP2:192.168.20.1/32
VLAN3 VLAN2
3 2
Tag DIP 2.2.2.2 Tag
UDP S_P HASH
UDP D_P 4789
VNI 20
DMAC MAC2
SMAC MAC3
流量转发路径




终端C：
IP 3
MAC 3
VLAN 4
VXLAN
L2 Leaf3
Gateway VNI:20
E3
L2
Gateway
NVE1
Network
终端A： Leaf1
E2
IP 1 VNI:20
NV
VXLAN
MAC 1 VTEP:1.1.1.1 L2
VNI:20
VTEP:2.2.2.2
终端B：
IP 2
MAC 2
VLAN 3
流量转发路径
DMAC All F
VLAN 3
2 DIP 2.2.2.2 DIP 3.3.3.3 Tag
Tag
VNI 20 VNI 20 VLAN
4
SMAC MAC1 SMAC MAC1
层广播域。
发出去。

应的终端B/C。
说明
跨子网报文转发需要通过三层网关实现。在集中式网关场景中，跨子网报文转发的流

VBDIF
路由表
Destination NextHop Interface
192.168.10.1/32 192.168.10.10/24 VBDIF10
Spine
BD
VNI:10 192.168.20.1/32 192.168.20.10/24 VBDIF20
VNI:20
VTEP:3.3.3.3
VNI L3 Gateway:
VBDIF10:192.168.10.10/24 MAC3
NVE3 VBDIF20:192.168.20.10/24 MAC4
Packet VX
el
L
nn
Tu AN
Tu
N
nn
LA
el
VX
N
VE
2
VE
Leaf1 1 Leaf2
N
VNI:10 VNI:20
L2 Gateway L2 Gateway VTEP:2.2.2.2
VTEP:1.1.1.1
Host1 Host2
IP1：192.168.10.1/32 IP2：192.168.20.1/32
MAC1 MAC2
VLAN10 VLAN20
Packet flow
Host1发出跨 Leaf2解封装
Leaf1封装VXLAN报文 Spine封装VXLAN报文
子网IP报文 VXLAN报文
DMAC MAC3 DMAC NET MAC DMAC NET MAC DMAC MAC2
SMAC MAC1 SMAC NVE1 MAC SMAC NVE3 MAC SMAC MAC4
SIP IP1 SIP 1.1.1.1 SIP 3.3.3.3 SIP IP1
DIP IP2 DIP 3.3.3.3 DIP 2.2.2.2 DIP IP2
Pay-load UDP S_P HASH UDP S_P HASH Pay-load
UDP D_P 4789 UDP D_P 4789
VNI 10 VNI 20
DMAC MAC3 DMAC MAC2
SMAC MAC1 SMAC MAC4
SIP IP1 SIP IP1
DIP IP2 DIP IP2
Pay-load Pay-load
广播域，在对应的二层广播域内查找出接口和封装信息。

2. Leaf1上VTEP根据查找到的出接口和封装信息进行VXLAN封装，向Spine转发报
文。
3. Spine收到VXLAN报文后进行解封装，发现内层报文中的目的MAC是三层网关接
口VBDIF10的MAC地址MAC3，判断需要进行三层转发。
4. Spine剥除内层报文的以太封装，解析目的IP。根据目的IP查找路由表，找到目的
IP的下一跳地址，再根据下一跳地址查找ARP表项，获取目的MAC、VXLAN隧道
出接口及VNI等信息。
5. Spine重新封装VXLAN报文，向Leaf2转发。其中内层报文以太头中的源MAC是三
层网关接口VBDIF20的MAC地址MAC4。
断VXLAN报文的合法有效性。依据VNI获取对应的二层广播域，然后进行
VXLAN解封装，获取内层二层报文，并在对应的二层广播域内查找出接口和封装
信息。
7. Leaf2根据查找到的出接口和封装信息，为报文添加VLAN Tag，转发给对应的
Host2。
1.1.3.3 BGP EVPN 方式部署分布式网关

在BGP EVPN方式部署分布式网关的场景中，控制平面的流程包括：
l VXLAN隧道建立
l MAC地址动态学习
转发平面的流程包括：
l 同子网已知单播报文转发
l 同子网BUM报文转发
l 跨子网报文转发
该方式实现的功能全面，支持主机IP路由通告、主机MAC地址通告、主机ARP通告
（详情参见1.1.2.4 VXLAN EVPN基本原理）。如果在VXLAN网络中采用分布式网
关，推荐使用此方式。
VXLAN 隧道建立
VXLAN隧道由一对VTEP IP地址确定，创建VXLAN隧道实际上是两端VTEP获取对端
VTEP IP地址的过程，只要对端VTEP IP地址是三层路由可达的，VXLAN隧道就可以建
立成功。通过BGP EVPN方式动态建立VXLAN隧道，就是在两端VTEP之间建立BGP
EVPN对等体，然后对等体之间利用BGP EVPN路由来互相传递VNI和VTEP IP地址信
息，从而实现动态建立VXLAN隧道。
在分布式网关的场景中，Leaf同时作为二层网关和三层网关，Spine节点不感知VXLAN
隧道，只作为VXLAN报文的转发节点。控制平面只需在Leaf之间建立VXLAN隧道，
如图1-24所示，Leaf1与Leaf2之间建立VXLAN隧道用于Host1和Host2、Host3和Host2之
间的通信。对于Host1和Host3之间的通信，由于都属于Leaf1，所以互访的流量只需在
Leaf1上处理，无需通过VXLAN隧道转发。
说明
VXLAN隧道由一对VTEP IP地址确定，当本端VTEP重复收到对端VTEP IP地址时，只创建一条

VXLAN隧道，但是在报文转发时封装各自的VNI。


Spine
VNI: 10
VNI: 20 VNI: 20
VTEP VTEP
1.1.1.1/32 2.2.2.2/32
Leaf1 Leaf2
L3 Gatevay
VXLAN Tunnel
L2 Gatevay
Host1 Host3 Host2

192.168.10.1/32 192.168.20.2/32 192.168.20.1/32
NVE
在分布式网关场景中，通过BGP EVPN方式动态建立VXLAN隧道有以下两种情况：
同子网互通
如图1-25所示，当处于同一子网的Host3与Host2互通时，只需要进行二层转发。通过
BGP EVPN方式建立VXLAN隧道的过程如下：

图 1-25 动态建立 VXLAN 隧道示意图-1

Spine
Leaf1 Leaf2
VNI: 20 VNI: 20
VTEP: 1.1.1.1 VTEP: 2.2.2.2
Type3路由
EVPN1 1 ERT(20:1) 2 EVPN1
RD : 2:1 RD : 1:1
ERT: 20:1 ERT: 20:1
2 1
IRT : 20:1 Type3路由 IRT : 20:1
ERT(20:1)
NVE
1. 首先在Leaf1和Leaf2之间建立BGP EVPN对等体。然后，在Leaf1和Leaf2上分别创
建二层广播域，并在二层广播域下配置关联的二层VNI。接下来在二层广播域下
创建EVPN实例，配置本端EVPN实例的RD、出方向VPN-Target（ERT）、入方向
VPN-Target（IRT）。在配置完本端VTEP IP地址后，Leaf1和Leaf2会生成BGP
EVPN路由并发送给对端，该路由携带本端EVPN实例的出方向VPN-Target和BGP
EVPN协议新定义的Type3路由即Inclusive Multicast路由。其中，Inclusive Multicast
路由如图1-26所示，由前缀和PMSI属性组成，VTEP IP地址存放在前缀的
Originating Router's IP Address字段中，二层VNI存放在PMSI属性的MPLS Label字
段中。
图 1-26 Inclusive Multicast 路由

前缀
PMSI属性
Flags（1 字节）
MPLS Label（3字节）

2. Leaf1和Leaf2在收到对端发来的BGP EVPN路由后，首先检查该路由携带的EVPN
实例的出方向VPN-Target，如果与本端EVPN实例的入方向VPN-Target相等，则接
收该路由，否则丢弃该路由。在接收该路由后，Leaf1和Leaf2将获取其中携带的对
端VTEP IP地址和二层VNI，如果对端VTEP IP地址是三层路由可达的，则建立一
条到对端的VXLAN隧道；同时，如果对端二层VNI与本端相同，则创建一个头端
复制表，用于后续BUM（Broadcast&Unknown-unicast&Multicast）报文转发。
说明
VPN-Target是一种BGP扩展团体属性，一个EVPN实例可以配置出方向和入方向两类VPN-
Target，两端EVPN实例的VPN-Target要相互匹配（即本端EVPN实例配置的出方向VPN-target值
需要与对端EVPN实例配置的入方向VPN-target值相等），才能相互交换EVPN路由，否则
VXLAN隧道无法建立成功。如果仅有一端匹配成功可以接收路由，则此端设备上可以建立通往
另一端设备的隧道，但是无法传输数据报文，因为另一端设备在收到报文后，将会检查本端是否
有通往对端的VXLAN隧道，如果没有的话，将会丢弃报文。
关于VPN-Target更详细的描述，请参考基本BGP/MPLS IP VPN中的描述。
跨子网互通
当处于不同子网的Host1与Host2互通时，需要进行三层转发，因此在通过BGP EVPN方
式建立VXLAN隧道的过程中，网关Leaf1和Leaf2需要发布下属主机的IP路由。一般情
况下，这里发布的是32位主机IP路由，因为在VXLAN网络中，不同的Leaf节点可能连
接着相同的网段，所以如果Leaf节点发布的是下属主机IP所在的网段路由，则可能与其
他Leaf节点发布的网段路由冲突，进而导致某些Leaf节点的下属主机不可达。只有在如
下两种场景中，Leaf节点可发布网段路由：
l Leaf节点连接的网段在整个VXLAN网络中是唯一的，而且有效的主机明细路由数
量较大，此时可发布主机IP所在的网段路由，从而减轻Leaf节点上路由存储的压
力。
l VXLAN网络中的主机需要访问外部网络，此时Leaf节点可在VXLAN网络中发布
其连接的外部网段路由，从而使其他Leaf节点学习到去往外部网络的路由。
建立VXLAN隧道之前，需要在Leaf1和Leaf2上进行如下配置准备：
关键步骤作用
创建二层广播域（BD），并在二层广播创建VXLAN网络转发数据报文的实体。
域下配置关联的二层VNI。
在Leaf1和Leaf2之间建立BGP EVPN对等用于交换BGP EVPN路由。

体。
在二层广播域下创建EVPN实例，配置用于生成BGP EVPN路由。

EVPN实例的RD、出方向VPN-Target
（ERT）、入方向VPN-Target（IRT）。
为不同租户创建L3VPN实例，将L3VPN 用于区分和隔离不同租户的IP路由表。
实例绑定到指定二层广播域的VBDIF接
口上。
为L3VPN实例指定关联的三层VNI。用于Leaf节点在收到数据报文时判断使用
哪个L3VPN实例的路由表指导转发。
配置L3VPN实例到EVPN实例的出方向用于控制本端L3VPN实例与对端EVPN实
VPN-Target（eERT），以及从EVPN实例例之间BGP EVPN路由的发布和接收。
到L3VPN实例的入方向VPN-Target
（eIRT）。

关键步骤作用
配置Leaf1和Leaf2之间发布的路由类型。用于发布Host1和Host2的主机IP路由。这
里有IRB（Intergrate Routing and Bridge）
和IP前缀两种路由类型，可根据如下原
则进行选择：
l IRB类型路由只能发布32位主机IP路
由。由于IRB类型路由包含着ARP类
型路由，因此如果只需发布32位主机
IP路由，建议选择发布IRB类型路
由。
l IP前缀类型路由既能发布32位主机IP
路由又能发布网段路由。但是，在发
布32位主机IP路由时，需先将主机IP
地址生成直连路由，这会影响虚拟机
的迁移。因此，如果只需发布32位主
机IP路由，不建议选择IP前缀类型路
由。只有需要发布网段路由时（场景
见上文），才需选择IP前缀类型路
由。
根据主机IP路由发布方式的不同，动态建立VXLAN隧道的过程有以下两种：
l 通过IRB类型路由发布主机IP路由（如图1-27所示）

Spine
IRB类型路由
Leaf1 Leaf2
下一跳(1.1.1.1)
VNI: 10 VNI: 20
VTEP: 1.1.1.1 扩展团体属性 VTEP: 2.2.2.2
3 ERT(20:1)
1 EVPN1 EVPN1
RD : 2:1 RD : 1:1 4
ERT: 20:1 ERT: 20:1
IRT : 20:1 IRT : 20:1
2
Host1 L3VPN1 L3VPN1 Host2
192.168.10.1/32 L3VNI: 100 L3VNI: 100 192.168.20.1/32
RD : 3:1 RD : 4:1
eERT: 30:1 eERT: 30:1
eIRT : 30:1 eIRT : 30:1
NVE

a. Host1首次与Leaf1通信时，通过动态ARP报文，Leaf1学习到Host1的ARP表
项。同时，Leaf1根据Host1所在的二层广播域找到绑定VBDIF接口的L3VPN
实例，获取关联的三层VNI。然后Leaf1上的EVPN实例根据上述信息生成IRB
类型路由，如图1-28所示。其中，主机IP地址存放在IP Address Length和IP
Address字段中，三层VNI存放在MPLS Label2字段中。
图 1-28 IRB 类型路由

b. Leaf1上的EVPN实例从IRB类型路由中获取Host1的主机IP地址、三层VNI，发
给本端L3VPN实例，L3VPN实例在其路由表中保存Host1的主机IP路由，如图
1-29所示。
图 1-29 本端主机 IP 路由
目的地址三层VNI 下一跳出接口
192.168.10.1/32 100 网关接口地址 VBDIF
c. Leaf1向Leaf2发送BGP EVPN路由，该路由携带本端EVPN实例的ERT、扩展
团体属性、路由下一跳属性以及IRB类型路由。其中，扩展团体属性携带的是
隧道类型（取值是VXLAN隧道）、本端VTEP的MAC地址；路由下一跳属性
携带的是本端的VTEP IP地址。
d. Leaf2收到Leaf1发来的BGP EVPN路由后，同时进行如下处理：
n 检查该路由携带的ERT，如果与本端EVPN实例的IRT相同，则接收该路
由。EVPN实例获取到IRB类型路由后，还能提取到其中包含的ARP类型
路由，用于实现主机ARP通告。
n 检查该路由携带的ERT，如果与本端L3VPN实例的eIRT相同，则接收该
路由。然后，L3VPN实例获取到该路由携带的IRB类型路由，从中提取
Host1的主机IP地址、三层VNI，在其路由表中保存Host1的主机IP路由，
并根据路由的下一跳迭代出接口，最终迭代结果是指向Leaf1的VXLAN
隧道，如图1-30所示。
说明
只有当BGP EVPN路由携带的ERT与本端EVPN实例的IRT、本端L3VPN实例的
eIRT都不同时，才会丢弃该路由。
图 1-30 远端主机 IP 路由
192.168.10.1/32 100 1.1.1.1 VXLAN隧道
n 在通过EVPN实例或L3VPN实例接收该路由后，Leaf2通过下一跳属性获
取Leaf1的VTEP IP地址，如果该VTEP IP地址是三层路由可达的，则建立
一条到Leaf1的VXLAN隧道。

Leaf1建立到Leaf2的VXLAN隧道的过程与上述相同，这里不再赘述。
l 通过IP前缀类型路由发布主机IP路由（如图1-31所示）

Spine
IP前缀类型路由
Leaf1 Leaf2
下一跳(1.1.1.1)
VNI: 10 VNI: 20
VTEP: 1.1.1.1 扩展团体属性 VTEP: 2.2.2.2
3 eERT(30:1)
1 EVPN1 EVPN1
RD : 1:1 4
RD : 2:1
ERT: 20:1 ERT: 20:1
IRT : 20:1 IRT : 20:1
2
Host1 L3VPN1 L3VPN1 Host2
192.168.10.1/32 L3VNI: 100 L3VNI: 100 192.168.20.1/32
RD : 3:1 RD : 4:1
eERT: 30:1 eERT: 30:1
eIRT : 30:1 eIRT : 30:1
NVE
a. 首先在Leaf1上将Host1的主机IP地址生成直连路由，然后在Leaf1上配置
L3VPN实例引入直连路由，这样Host1的主机IP路由就保存到L3VPN实例的路
由表中，并添加L3VPN实例关联的三层VNI，如图1-32所示。
图 1-32 本端主机 IP 路由
192.168.10.1/32 100 网关接口地址 VBDIF
说明
如果要发布网段路由，这里需要先利用动态路由协议（如OSPF等）发布该网段路
由，再配置L3VPN实例引入对应的动态协议路由。
b. 在Leaf1上配置L3VPN实例向EVPN实例发布IP路由后，L3VPN实例下Host1的
主机IP路由将发布给EVPN实例。然后由EVPN实例生成IP前缀类型路由，如
图1-33所示。其中，主机IP地址存放在IP Prefix Length和IP Prefix字段中，三
层VNI存放在MPLS Label字段中。

图 1-33 IP 前缀类型路由
IP Prefix Length（1 字节）
IP Prefix（4或16 字节）
GW IP Address（4或16 字节）
c. Leaf1向Leaf2发送BGP EVPN路由，该路由携带本端L3VPN实例的eERT、扩
展团体属性、路由下一跳属性以及IP前缀类型路由。其中，扩展团体属性携
带的是隧道类型（取值是VXLAN隧道）、本端VTEP的MAC地址；路由下一
跳属性携带的是本端的VTEP IP地址。
d. Leaf2收到Leaf1发来的BGP EVPN路由后，同时进行如下处理：
n 检查该路由携带的eERT，如果与本端L3VPN实例的eIRT相同，则接收该
路由，否则丢弃该路由。然后，L3VPN实例获取到该路由携带的IP前缀
类型路由，从中提取Host1的主机IP地址、三层VNI，在其路由表中保存
Host1的主机IP路由，并根据路由的下一跳迭代出接口，最终迭代结果是
指向Leaf1的VXLAN隧道，如图1-34所示。
图 1-34 远端主机 IP 路由
192.168.10.1/32 100 1.1.1.1 VXLAN隧道
n 在通过EVPN实例或L3VPN实例接收该路由后，Leaf2通过下一跳属性获
取Leaf1的VTEP IP地址，如果该VTEP IP地址是三层路由可达的，则建立
一条到Leaf1的VXLAN隧道。
Leaf1建立到Leaf2的VXLAN隧道的过程与上述相同，这里不再赘述。
理员手工维护，大大减少了维护工作量。在分布式网关场景中，跨子网互通需要进行
三层转发，MAC地址学习只在本端主机和网关之间通过动态ARP报文实现，这里不再
详述。下面结合图1-35，详细介绍一下同子网主机互通时，MAC地址动态学习的过
程：


Spine

N
V
E2
E1
V
N
VXLAN Tunnel
Leaf1 Port1 Leaf2
2
VNI:20 1 Type2路由 VNI:20
VTEP:1.1.1.1/32 下一跳 VTEP:2.2.2.2/32
ERT
Host3 Host2
MAC3 MAC2
IP3:192.168.20.2/32 IP2:192.168.20.1/32
1. Host3首次与Leaf1通信时，通过动态ARP报文，Leaf1学习到Host3的MAC地址、
BDID（二层广播域标识）和报文入接口（即二层子接口对应的物理接口Port1）的
对应关系，并在本地MAC表中生成Host3的MAC表项，其出接口为Port1。同时，
Leaf1根据Host3的ARP表项生成BGP EVPN路由并发送给对等体Leaf2，该路由携
带本端EVPN实例的出方向VPN-Target、路由下一跳属性以及BGP EVPN协议新定
义的Type2路由即MAC/IP路由。其中，路由下一跳属性携带的是本端VTEP IP地
址；MAC/IP路由如图1-36所示，Host3的MAC地址存放在MAC Address Length和
MAC Address字段中，二层VNI存放在MPLS Label1字段中。
图 1-36 MAC/IP 路由
2. Leaf2收到Leaf1发来的BGP EVPN路由后，首先检查该路由携带的EVPN实例的出
方向VPN-Target，如果与本端EVPN实例的入方向VPN-Target相等，则接收该路
由，否则丢弃该路由。在接收该路由后，Leaf2获得Host3的MAC地址、BDID和
Leaf1上VTEP IP地址（下一跳属性）的对应关系，并在本地的MAC表中生成Host3
的MAC表项，其出接口需根据下一跳进行迭代，最终迭代结果是指向Leaf1的
VXLAN隧道。
Leaf1学习Host2的主机MAC的过程与上述过程相同，这里不再赘述。

说明
Leaf节点也可以通过数据转发过程学习主机MAC地址，但是依赖于设备从数据报文中学习MAC
地址的能力。在BGP EVPN方式建立VXLAN隧道的场景中，Leaf节点之间可以通过BGP EVPN路
由动态学习主机MAC地址，不再依赖数据转发过程。
Spine
N
V
E2
E1
V
N
VXLAN Tunnel
Leaf1 Leaf2
VNI:20 VNI:20
VTEP:1.1.1.1/32 VTEP:2.2.2.2/32
Host3 Host2
MAC3 MAC2
IP3:192.168.20.2/32 IP2:192.168.20.1/32
VLAN3 VLAN2
3 2
Tag DIP 2.2.2.2 Tag
UDP S_P HASH
UDP D_P 4789
VNI 20
DMAC MAC2
SMAC MAC3
流量转发路径




终端C：
IP 3
MAC 3
VLAN 4
VXLAN
L2 Leaf3
Gateway VNI:20
E3
L2
Gateway
NVE1
Network
终端A： Leaf1
E2
IP 1 VNI:20
NV
VXLAN
MAC 1 VTEP:1.1.1.1 L2
VNI:20
VTEP:2.2.2.2
终端B：
IP 2
MAC 2
VLAN 3
流量转发路径
DMAC All F
VLAN 3
2 DIP 2.2.2.2 DIP 3.3.3.3 Tag
Tag
VNI 20 VNI 20 VLAN
4
SMAC MAC1 SMAC MAC1
层广播域。
发出去。

应的终端B/C。
说明
跨子网报文转发需要通过三层网关实现。在分布式网关场景中，跨子网报文转发的流
Spine
E2
NV
Leaf1 Leaf2
NV
E
VNI:10 VXLAN Tunnel VNI:20

1
VTEP:1.1.1.1 VTEP:2.2.2.2
L3VPN1 L3VPN1
L3VNI: 100 L3VNI: 100
Host1： Host2：
IP1：192.168.10.1/32 IP2：192.168.20.1/32
MAC1 MAC2
VLAN10 VLAN20
流量转发路径
Host1发出跨 Leaf1封装VXLAN报文 Leaf2解封装VXLAN报文

子网IP报文
DMAC GW MAC DMAC NET MAC DMAC MAC2
SMAC MAC1 SMAC NVE1 MAC SMAC GW MAC
SIP IP1 SIP 1.1.1.1 SIP IP1
DIP IP2 DIP 2.2.2.2 DIP IP2
Pay-load UDP S_P HASH Pay-load
UDP D_P 4789
VNI 100
DMAC Leaf2 MAC
SMAC Leaf1 MAC
SIP IP1
DIP IP2
Pay-load
1. Leaf1收到来自Host1的报文，检测到报文的目的MAC是网关接口MAC，判断该报
文需要进行三层转发。

2. Leaf1根据报文的入接口找到对应的二层广播域，然后找到绑定该广播域VBDIF接
口的L3VPN实例。根据报文的目的IP地址，查找该L3VPN实例下的路由表（如图
1-40所示），获取该路由对应的三层VNI，以及下一跳地址。再根据出接口是
VXLAN隧道，判断需要进行VXLAN封装：
– 根据VXLAN隧道的目的IP和源IP地址，获取对应的MAC地址，并将内层目的
MAC和源MAC替换。
– 将三层VNI封装到报文中。
– 外层封装VXLAN隧道的目的IP和源IP地址，源MAC地址为Leaf1的NVE1接口
MAC地址，目的MAC地址为网络下一跳的MAC地址。
图 1-40 L3VPN 实例下的主机路由

L3VPN1:
192.168.20.1/32 100 2.2.2.2 VXLAN隧道
3. 封装后的报文根据外层MAC和IP信息在IP网络中传输，送达Leaf2。
4. Leaf2收到VXLAN报文后进行解封装，检测到报文的目的MAC是自己的MAC地
址，判断该报文需要进行三层转发。
5. Leaf2根据报文携带的三层VNI找到对应的L3VPN实例，通过查找该L3VPN实例下
的路由表（如图1-41所示），获取报文的下一跳是网关接口地址，然后将目的
MAC地址替换为Host2的MAC地址，源MAC地址替换为Leaf2的MAC地址，转发
给Host2。
图 1-41 L3VPN 实例下的主机路由

L3VPN1:
192.168.20.1/32 100 网关接口地址 VBDIF
说明
当需要与其他厂商设备互通时，请保证其他厂商设备也采用相同的转发模式，否则可能导致无法
互通。
1.1.4 VXLAN 功能增强
1.1.4.1 通过三段式 VXLAN 实现数据中心三层互联
产生原因
随着企业的发展，为满足跨地域运营、用户接入、异地灾备等场景，越来越多的企业
通常在多地域部署多个数据中心。数据中心互联DCI（Data Center Interconnection）是
不同数据中心VM之间互相通信的一种解决方案，使用VXLAN、BGP EVPN等技术，
使数据中心发送过来的报文能够在运营商网络上安全可靠的传输。通过部署三段式
VXLAN可以实现不同数据中心的跨子网VM之间的互相通信。
使用价值
通过三段式VXLAN实现数据中心三层互联，可以为用户带来的价值包括：

l 实现跨数据中心主机之间的三层互联。
l 各数据中心的协议独立，即不同数据中心不需要运行相同的协议。
l 不同数据中心之间不需要协同信息。
实现原理
通过三段式VXLAN实现数据中心互联是指在两个数据中心内部各建立一段VXLAN隧
道，数据中心之间再建立一段VXLAN隧道。如图1-42所示，分别在数据中心A、数据
中心B内配置BGP EVPN协议创建分布式网关的VXLAN隧道，实现各数据中心内部VM
之间的通信。Leaf2和Leaf3是数据中心内连接骨干网的边缘设备，通过在Leaf2和Leaf3
上配置BGP EVPN协议创建VXLAN隧道，将从一侧数据中心收到的VXLAN报文先解
封装、然后再重新封装后发送到另一侧数据中心，实现对跨数据中心的报文端到端的
VXLAN报文承载，保证跨数据中心VM之间的通信。
说明
三段式VXLAN场景中，数据中心内部只能部署分布式网关VXLAN隧道。
图 1-42 通过 VXLAN 实现数据中心互联组网图
IP网络
Device1 Device2
数据中心A 数据中心B
Spine1 Spine2
Leaf2 Leaf3
Leaf1 VXLAN VXLAN VXLAN Leaf4
VMa1 VMa2 VMb1 VMb2
VLAN 10 VLAN 20 VLAN 10 VLAN 20
控制平面
下面介绍三段式VXLAN隧道的建立过程。
说明
Leaf1和Leaf4的路由发布流程请参考VXLAN隧道建立，此处不做重点介绍。
1. Leaf4将学习到数据中心B中的VMb2的主机IP地址，并将其保存在L3VPN实例路由
表中，然后向Leaf3发送BGP EVPN路由。

2. 如图1-43所示，Leaf3收到Leaf4发送的BGP EVPN路由后，获取该路由中的主机IP
路由，按照VXLAN隧道建立的流程建立到Leaf4的VXLAN隧道，将路由下一跳修
改为Leaf3的VTEP地址，然后重新封装，封装上L3VPN实例的三层VNI，源MAC
地址为Leaf3的MAC地址，并将重新封装后的BGP EVPN路由信息发送给Leaf2。
图 1-43 控制平面示意图
Leaf2 Leaf3
VNI: 10 VNI: 20
VTEP: 2.2.2.2 VTEP: 3.3.3.3
L3VPN1 L3VPN1
L3VNI: 100 L3VNI: 100
Leaf2解封装收到 Leaf3解封装收到
Leaf3收到的BGP
的BGP EVPN路的BGP EVPN路
EVPN路由
由并重新封装由并重新封装
... ... ...
下一跳(2.2.2.2) 下一跳(3.3.3.3) 下一跳(Leaf4 VTEP)
扩展团体属性扩展团体属性扩展团体属性
（Leaf2 MAC）（Leaf3 MAC）（Leaf4 MAC）
… ... ...
三层VNI（100）三层VNI（100）三层VNI（100）
NVE
路由发布
3. Leaf2收到Leaf3发送的BGP EVPN路由后，获取该路由中的主机IP路由，按照
VXLAN隧道建立的流程建立到Leaf3之间的VXLAN隧道，将路由下一跳修改为
Leaf2的VTEP地址，然后重新封装，封装上L3VPN实例的三层VNI，源MAC地址
为Leaf2的MAC地址，并将重新封装后的BGP EVPN路由信息发送给Leaf1。
4. Leaf1收到Leaf2发送的BGP EVPN路由后，按照VXLAN隧道建立的流程建立到
Leaf2的VXLAN隧道。
数据报文转发
说明
Leaf1和Leaf4的数据报文转发的详细流程请参考跨子网报文转发，下面只做简要介绍。
1. Leaf1收到VMa1访问VMb2的二层报文，检测到目的MAC都是网关接口MAC，终
结二层报文，通过VMa1接入BD的BDIF接口找到对应的L3VPN实例，并在L3VPN
实例的路由表中查找VMb2主机路由，进入Leaf1到Leaf2的VXLAN隧道，封装成
VXLAN报文通过VXLAN隧道发送到Leaf2。
2. 如图1-44所示，Leaf2收到VXLAN报文后，解析VXLAN报文，通过三层VNI找到
对应的L3VPN实例，并在L3VPN实例的路由表中查找VMb2主机路由，进入Leaf2
到Leaf3的VXLAN隧道，重新封装VXLAN报文（三层VNI是Leaf3发送的VMb2主
机路由中携带的三层VNI、外层目的MAC是Leaf2发送的VMb2主机路由中携带的
MAC）发送给Leaf3。

图 1-44 数据报文转发示意图
Leaf2 Leaf3
VNI:10 VXLAN Tunnel VNI:20
VTEP:2.2.2.2 VTEP:3.3.3.3
L3VPN1 L3VPN1
L3VNI: 100 L3VNI: 100
VMa1： VMb2：
IP1：192.168.10.1/32 IP2：192.168.20.1/32
MAC1 MAC2
VLAN10 VLAN20
Leaf2收到的Leaf1 Leaf2解封装收到的VXLAN Leaf3解封装收到的VXLAN

发送VXLAN报文报文并重新封装报文并重新封装
DMAC NET MAC DMAC NET MAC DMAC NET MAC

SMAC NVE1 MAC SMAC NVE2 MAC SMAC NVE3 MAC
SIP Leaf1 IP SIP 2.2.2.2 SIP 3.3.3.3
DIP 2.2.2.2 DIP 3.3.3.3 DIP Leaf4 IP
UDP S_P HASH UDP S_P HASH UDP S_P HASH
UDP D_P 4789 UDP D_P 4789 UDP D_P 4789
VNI 100 VNI 100 VNI 100
DMAC Leaf2 MAC DMAC Leaf3 MAC DMAC Leaf4 MAC
SMAC Leaf1 MAC SMAC Leaf2 MAC SMAC Leaf3 MAC
SIP IP1 SIP IP1 SIP IP1
DIP IP2 DIP IP2 DIP IP2
Pay-load Pay-load Pay-load
流量转发路径
3. 如图1-44所示，Leaf3收到VXLAN报文后，解析VXLAN报文，通过三层VNI找到
对应的L3VPN实例，并在L3VPN实例的路由表中查找VMb2主机路由，进入Leaf3
到Leaf4的VXLAN隧道，重新封装VXLAN报文（三层VNI是Leaf4发送的VMb2主
机路由中携带的三层VNI、外层目的MAC是Leaf4发送的VMb2主机路由中携带的
MAC）发送给Leaf4。
4. Leaf4收到VXLAN报文后，解析VXLAN报文，通过三层VNI找到对应的L3VPN实
例，并在L3VPN实例的路由表中查找VMb2主机路由，根据路由信息转发给
VMb2。
1.1.4.2 通过三段式 VXLAN 实现数据中心二层互联
产生原因
通过三段式VXLAN实现数据中心间二层互联场景如图1-45所示。在数据中心A和数据
中心B内部分别创建VXLAN隧道，在数据中心的边缘设备（Transit Leaf）之间也创建

VXLAN隧道。当VM1和VM2之间需要通信时，需要实现数据中心A和数据中心B之间
的二层互通。如果数据中心A和数据中心B内部的VXLAN隧道都采用相同的VNI，则
Transit Leaf1和Transit Leaf2之间只需采用同一VNI建立VXLAN隧道即可。但是，在实
际应用中，不同的数据中心都有各自独立的VNI空间，因此数据中心A和数据中心B内
部的VXLAN隧道很可能采用了不同的VNI。此时，在Transit Leaf1和Transit Leaf2上建
立到达对端的VXLAN隧道时，需要进行VNI的转换。
图 1-45 三段式 VXLAN 实现二层互联场景
Spine Spine
Server Transit Transit Server

Leaf1 Leaf1 Leaf2 Leaf2
VXLAN VXLAN VXLAN
VNI 10 VNI 20
VSwitch VSwitch
VM1 VM2
VLAN 10 VLAN 10
使用价值
通过三段式VXLAN实现数据中心二层互联，可以为用户带来的价值包括：
l 实现跨数据中心主机之间的二层互联。
l 解耦数据中心内部网络和数据中心之间网络的VNI空间，使网络维护更简单。
l 隔离数据中心内部网络和数据中心之间网络的故障，使故障定位更高效。
实现原理
目前，通过三段式VXLAN实现数据中心二层互联，采用的是局部VNI模式，类似于
“下游分配标签”的方案，将对端Transit Leaf节点的本地VNI作为出方向VNI，本端
Transit Leaf节点发往对端Transit Leaf节点的报文使用出方向VNI进行VXLAN封装。
控制平面
说明
对于各Leaf节点之间VXLAN隧道的建立过程，与普通VXLAN功能场景中同子网互通时相同，这
里不再赘述。这里的控制平面主要是介绍主机MAC地址学习的过程。
如图1-46所示，控制平面的实现过程如下：

图 1-46 局部 VNI 模式的控制平面
数据中心A Type2路由数据中心B

Type2路由 Type2路由
下一跳下一跳下一跳
扩展团体属性扩展团体属性扩展团体属性
ERT Transit ERT Transit ERT
Server Leaf1 Leaf2 Server
Leaf1 Leaf2
VXLAN VXLAN VXLAN
VNI 10 VNI 20
VM1 MAC地址出接口 MAC地址出接口 MAC地址出接口 VM2
VM1-MAC VXLAN隧道 VM1-MAC VXLAN隧道 VM1-MAC VXLAN隧道
VNI 10 Out VNI 10 VNI 20
1. Server Leaf1在学习到VM1的MAC地址后，生成BGP EVPN路由发送给Transit

Leaf1。其中，BGP EVPN路由包含以下信息：
– Type2路由：EVPN实例RD值、VM1的MAC地址、Server Leaf1本地VNI。
– 下一跳：Server Leaf1的VTEP IP地址。
– 扩展团体属性：封装隧道类型（VXLAN）。
– ERT：EVPN实例出方向RT值。
2. Transit Leaf1收到BGP EVPN路由后，先交叉到本地EVPN实例中，并在EVPN实例
绑定的BD中生成VM1的MAC表项，其出接口需根据下一跳和封装隧道类型进行
隧道迭代，最终，出接口的迭代结果是指向Server Leaf1的VXLAN隧道。其中，
VXLAN隧道封装信息中的VNI为自己本地VNI。
3. Transit Leaf1进行BGP EVPN路由重生成，并将重生成的路由发送给Transit Leaf2。
其中，重生成的BGP EVPN路由包含以下信息：
– Type2路由：EVPN实例RD值、VM1的MAC地址、Transit Leaf1本地VNI。
– 下一跳：Transit Leaf1的VTEP IP地址。
4. Transit Leaf2收到BGP EVPN路由后，先交叉到本地EVPN实例中，并在EVPN实例
隧道迭代，最终，出接口的迭代结果是指向Transit Leaf1的VXLAN隧道。其中，
该VXLAN隧道封装信息中的出方向VNI为Transit Leaf1的本地VNI。
5. Transit Leaf2进行BGP EVPN路由重生成，并将重生成之后的路由发送给Server
Leaf2。其中，重生成的BGP EVPN路由包含以下信息：
– Type2路由：EVPN实例RD值、VM1的MAC地址、Transit Leaf2本地VNI。
– 下一跳：Transit Leaf2的VTEP IP地址。
6. Server Leaf2收到BGP EVPN路由后，先交叉到本地EVPN实例中，并在EVPN实例
隧道迭代，最终，出接口的迭代结果是指向Transit Leaf2的VXLAN隧道。其中，
VXLAN隧道封装信息中的VNI为自己本地VNI。

说明
上述描述以VM1的MAC地址学习过程为例，VM2的MAC地址学习过程是类似的，这里不再赘
述。
转发平面
如图1-47所示，已知单播报文的转发过程如下（以VM2向VM1发送二层报文为例）：
图 1-47 局部 VNI 模式下的已知单播报文转发
Transit Transit Server
Server
Leaf1 VNI 10 Leaf1 VNI 10 Leaf2 VNI 20 Leaf2
VXLAN VXLAN VXLAN
Outer MAC Outer MAC Outer MAC VM2

VM1
SIP (TL1) SIP (TL2) SIP (SL2)
DIP (SL1) DIP (TL1) DIP (TL2)
VNI (10) VNI (10) VNI (20)
DMAC (VM1) DMAC (VM1) DMAC (VM1)
SMAC (VM2) SMAC (VM2) SMAC (VM2)
1. Server Leaf2通过BD二层子接口收到VM2发来的二层报文，根据目的MAC查找BD
中的MAC表，找到VXLAN隧道出接口，获取VXLAN隧道的封装信息（本地
VNI、目的VTEP IP地址、源VTEP IP地址），并对报文进行VXLAN封装，然后发
送给Transit Leaf2。
2. Transit Leaf2对收到的VXLAN报文进行解封装，根据报文中的VNI找到对应的
BD，根据目的MAC查找BD中的MAC表，找到VXLAN隧道出接口，获取VXLAN
隧道的封装信息（出方向VNI、目的VTEP IP地址、源VTEP IP地址），并对报文
进行VXLAN封装，然后发送给Transit Leaf1。
3. Transit Leaf1对收到的VXLAN报文进行解封装，由于报文中的VNI就是Transit
Leaf1的本地VNI，因此可以根据该VNI找到对应的BD，根据目的MAC查找BD中
的MAC表，找到VXLAN隧道出接口，获取VXLAN隧道的封装信息（本地VNI、
目的VTEP IP地址、源VTEP IP地址），并对报文进行VXLAN封装，然后发送给
Server Leaf1。
4. Server Leaf1对收到的VXLAN报文进行解封装后进行相应的二层转发，最后发送给
VM1。
说明
在三段式VXLAN的二层互通场景中，BUM报文的转发过程与普通VXLAN功能场景是类似的，
相同点不再赘述，不同点主要是引入了水平分割组以避免环路：
l Transit Leaf节点收到数据中心内部Server Leaf发来的BUM报文后，先获取源VTEP所属的水平
分割组，由于数据中心内部都属于一个默认的水平分割组，因此BUM报文不会再复制给数据
中心内部的其他Server Leaf节点；而对于对端Transit Leaf节点，属于不同的水平分割组，因
此BUM报文会复制给对端Transit Leaf节点。
l Transit Leaf节点收到对端Transit Leaf节点发来的BUM报文后，先获取源VTEP所属的水平分
割组，由于两端Transit Leaf节点属于同一水平分割组，因此BUM报文不会再复制给对端
Transit Leaf节点；而对于数据中心内部的Server Leaf节点，属于不同的水平分割组，因此
BUM报文会复制给它们。

1.1.4.3 VXLAN 双活可靠性
基本概念
在企业Site与数据中心互通的场景中，VPN GW（PE1和PE2）与企业Site（CPE）通过
VXLAN互联，承载企业Site（CPE）与数据中心之间的L2/L3业务。数据中心网关
（CE1）通过双归属PE1和PE2接入到VXLAN网络，可以增强网络接入的可靠性。当一
台PE设备发生故障时，业务可以快速切换到另一台PE设备，减少业务受损。
如图1-48所示，PE1和PE2对网络侧使用一个虚地址作为NVE接口的地址，即Anycast
VTEP地址，这样从CPE侧只感知到一个远端的NVE接口，并与该虚地址建立VXLAN
隧道。CPE下行的报文任选PE1或PE2都可以到达双归接入的CE1，但是网络中也可能
存在单归接入的CE设备，例如：CE2和CE3。CPE下行的报文到达其中一个PE后可能
还需绕行到另一台PE设备才能到达单归接入的CE设备，所以在双活的PE1和PE2之间需
要一个绕行通道。在PE1和PE2之间部署EVPN邻居，并分别配置不同的地址，即
Bypass VTEP地址，用于在PE1和PE2之间创建Bypass VXLAN隧道作为绕行通道。
图 1-48 VXLAN 双活基本组网图
CPE
VXLAN Tunnel
Anycast VTEP
PE1 PE2
Bypass VXLAN Tunnel
Trunk
CE2 CE1 CE3
控制平面
l PE1向PE2发布组播路由信息，其中的源IP地址为PE1和PE2共同的虚地址Anycast
VTEP地址，携带Bypass VXLAN扩展团体属性，其中包含PE1的Bypass VTEP地
址。
l PE1收到PE2发布的组播路由信息，根据源IP为Anycast VTEP地址与PE1本地的虚
地址相同，且携带Bypass VTEP扩展属性，则认为PE2与PE1形成Anycast关系。
PE1根据PE2路由携带的Bypass VXLAN属性建立一条到PE1的Bypass VXLAN隧
道。
l PE1通过AC侧上行报文学习到CE的MAC地址，然后通过BGP EVPN向PE2发布路
由信息携带CE接入链路的ESI，并携带CE接入的VLAN信息和Bypass VXLAN扩展
团体属性。
l PE1通过网络侧的下行报文学习到的CPE侧的MAC地址信息，并设置MAC路由下
一跳可以迭代静态VXLAN隧道，然后发布给PE2，且不改变下一跳地址。

数据报文处理
l 二层单播报文转发
– 上行方向
如图1-49所示，PE1和PE2收到CE1、CE2和CE3发过来的目的地址为CPE的二
层单播报文，查询本地MAC地址表获取出接口，对报文进行VXLAN封装后
直接转发至CPE。
图 1-49 单播上行报文转发
CPE
VXLAN
PE1 Anycast VTEP PE2
VLAN
Trunk
CE2 CE1 CE3

– 下行方向
如图1-50所示：
CPE发往CE1的二层单播报文，如果网络转发报文到达PE1，则在PE1解封装
VXLAN报文，在本地MAC地址表中查询目的MAC地址，获取出接口后向
CE1转发报文。
VXLAN报文，在本地MAC地址表中查询目的MAC地址，获取出接口后向
CE2转发报文
VXLAN报文，在本地MAC地址表中查询目的MAC地址，通过PE1和PE2之间
的Bypass VXLAN隧道绕行到PE2上查寻目的MAC地址获取出接口后直接向
CE3转发。
如果CPE侧过来的报文，网络转发报文先到达PE2，其行为与上面的表述相
同。

图 1-50 单播下行报文转发
CPE
VXLAN
VLAN
Trunk
CE2 CE1 CE3

l BUM报文转发
– 如图1-51所示，CPE的BUM报文的目的地址为PE1、PE2对外虚拟的Anycast
VTEP地址，BUM报文可能会被转发到2个PE设置中的任意一台。如果BUM报
文先到达PE2，则会在PE2上向CE3和CE1复制，并通过PE1、PE2之间的
Bypass VXLAN隧道向PE1复制。复制报文到达PE1后，会向CE2复制，而不
再向CPE、CE1复制，避免CE1收到双份BUM报文。
图 1-51 CPE 的 BUM 报文
CPE
VXLAN
VLAN
Trunk
CE2 CE1 CE3

– 如图1-52所示，CE2的BUM报文到达PE1后，会在PE1上向CE1和CPE进行报
文复制，并通过Bypass VXLAN隧道复制报文到PE2。 PE2收到复制的BUM报
文报文后，只会复制到CE3，不再向CPE和CE1复制。

图 1-52 CE2 的 BUM 报文
CPE
VXLAN
CloudGW1 Anycast VTEP CloudGW2
VLAN
Trunk
CE2 CE1 CE3
– 如图1-53所示，CE1的BUM报文到达PE1后，会在PE1上复制到CE2和CPE，
并通过Bypass VXLAN隧道复制到PE2。 PE2收到复制的BUM报文后，只会复
制到CE3，不会再复制到CPE和CE1。
图 1-53 CE1 的 BUM 报文
CPE
VXLAN
VLAN
Trunk
CE2 CE1 CE3
l 同子网三层报文
– 上行报文
如图1-49所示，PE1和PE2收到CE1、CE2、CE3过来的目的地址为CPE的三层
单播报文，因为是同一网段，在PE1和PE2上查询目的地址表项后直接向CPE
转发。

– 下行报文
如图1-50所示：
CPE去往CE1的三层同子网单播报文，如果网络侧转发到达PE1，因为是相同
网段，则在PE1查找本地的ARP表项获取CE1的IP地址和MAC地址的映射关
系，如果没有找到，则通过广播ARP报文的方式更新表项获取。后根据MAC
表查询目的地址表项后直接向CE1转发。
CPE去往CE2的三层同子网单播报文，如果网络侧转发到达PE1，因为是相同
网段，则在PE1查ARP表后根据MAC直接向CE2转发。
CPE去往CE3的三层同子网单播报文，如果网络侧转发到达PE1，通过PE1和
PE2之间的Bypass VXLAN隧道绕行到PE2上查找本地的ARP表项获取MAC地
址后向CE3转发。
如果CPE过来的报文，网络转发报文先到达PE2，其行为与上面的表述相同。
l 跨子网三层报文
– 上行报文
如图1-49所示:
PE1和PE2收到CE1、CE2、CE3过来的目的地址为CPE的三层单播报文，因为
是不同网段，所以报文的目的MAC地址为PE1或PE2的三层网关BDIF接口的
MAC地址。在PE1和PE2上对报文进行二层终结，然后查寻三层路由表项，得
到出接口为网络侧指向CPE的三层网关BDIF接口。在BDIF接口进一步查找
ARP表，得到目的MAC地址后，封装VXLAN报文，通过VXLAN隧道转发至
CPE。
CPE收到PE1和PE2过来的三层报文后，因目的MAC地址为CPE的BDIF的
MAC地址，所以在CPE上进行二层终结，之后在CPE上查寻三层路由表得到
下一跳的转发地址。
– 下行报文
如图1-50所示：
CPE发往CE1的三层跨子网单播报文，首先在CPE上查寻三层路由表，得到报
文的出接口为连接PE1侧的三层网关BDIF接口。然后通过查找BDIF接口的
ARP表得到目的MAC地址，最后封装VXLAN报文，通过VXLAN隧道转发至
PE1。
PE1收到CPE过来到CE1的报文后，因目的MAC为PE1的BDIF接口的MAC地
址，所以在PE1上对报文进行二层终结，之后在PE1上查寻三层路由表，CE1
的目的MAC地址，然后对报文进行二层封装向CE1转发。
PE1收到CPE过来到CE3的报文后，PE1将报文发给PE2，在PE2上对报文进行
二层终结，之后在PE2上查寻三层路由表，得到CE3的目的MAC地址，然后对
报文进行二层封装向CE3转发。
如果CPE过来的报文，网络转发报文先到达PE2，其行为与上面的表述相同。
1.1.5 应用
1.1.5.1 VXLAN 网络内终端用户通信的应用
业务描述
目前，企业、运营商都在大力建设数据中心，规模化、虚拟化、云计算已成为数据中
心的发展方向，同时，数据中心为适应更大的业务量并降低维护成本，逐渐向大二层
技术及虚拟化迁移。

一的VXLAN技术具有很强的适应性，为数据中心提供了良好的解决方案。
组网描述
如图1-54所示，某企业在不同的数据中心中都拥有VM，同一业务属于同一网段，不同
业务之间属于不同网段。不同数据中心同一业务和不同业务的VM之间都需要互通。例
如：财务部门的VM之间需要互通，属于同网段互通；财务部和工程部的VM之间需要
互通，属于不同网段互通。
图 1-54 VXLAN 网络内终端用户通信的应用组网图
IP Core
Network
Device3
NVE VXLAN L3 GW
VX
el
nn
LA
Tu
N
N
Tu
LA
nn
VX
el
NV E
E NV

VM1 VM2 VM3 VM4
财务部工程部财务部工程部
10.1.1.2/24 10.1.2.2/24 10.1.1.3/24 10.1.2.3/24
特性部署
如图1-54所示：
l Device1和Device2作为VXLAN二层网关，二者之间建立VXLAN隧道，通过
VXLAN二层网关实现同一网段终端用户互通。
l Device3作为VXLAN三层网关，Device1和Device2分别和Device3建立VXLAN隧
道，通过VXLAN三层网关实现不同网段终端用户互通。
直接在Device上配置VXLAN，VXLAN隧道的建立、MAC地址表项、ARP表项等信息
流表，均可通过动态学习所得。所有表项建立成功后，通过VXLAN二层网关和三层网
关，依据ARP表项和路由表，实现同网段和不同网段终端用户互通。

1.1.5.2 VXLAN 网络和传统网络互通的应用
业务描述
目前，企业、运营商都在大力建设数据中心，规模化、虚拟化、云计算已成为数据中
心的发展方向，同时，数据中心为适应更大的业务量并降低维护成本，逐渐向大二层
技术及虚拟化迁移。
一的VXLAN技术具有很强的适应性，既可以实现VXLAN网络内部的互通，也可以和
传统的非VXLAN网络互通，为数据中心提供了良好的解决方案。
组网描述
如图1-55所示，某企业的两个部门财务部和工程部通过VM部署，人力资源部通过传统
的网络部署，财务部、工程部需要和人力资源部进行互通。
图 1-55 VXLAN 网络和传统网络互通的应用组网图
IP Core
Network
Device3
NVE VXLAN L3 GW
VX
el
nn
LA
Tu
N
N
Tu
LA
nn
VX
el
NV E
E NV
Device1 Device2
人力资源部 VSwitch
VM1 VM2
财务部工程部
10.2.2.2/24 Server2
10.2.1.2/24
特性部署
如图1-55所示，Device1和Device2作为VXLAN二层网关，Device3作为VXLAN三层网
关，是VXLAN网络和传统网络的边缘设备，负责VXLAN报文的封装和解封装。
Device3分别和Device1、Device2建立VXLAN隧道，进行VXLAN报文传输。
人力资源部向财务部VM1发送报文的流程如下：

1. Device1收到传统的报文后，将该报文封装成VXLAN报文，发送给Device3。
2. Device3收到VXLAN报文后进行解封装，剥除内层报文的以太封装，解析目的IP，
根据目的IP查找路由表，找到目的IP的下一跳地址，再根据下一跳地址查找ARP表
项，确认DMAC、VXLAN隧道出接口及VNI等信息。
3. 查找到VXLAN隧道出接口及VNI信息后，Device3重新封装VXLAN报文，发送给
Device2。
4. 根据报文中目的MAC，Device2查找到出端口信息后，将报文发送给对应的VM。
1.1.5.3 VXLAN 在虚拟机迁移场景中的应用
业务描述
当前数据中心网络中企业通过部署服务器虚拟化来达到整合IT资源、提升资源利用效
率、降低开支的目的。随着虚拟化水平的不断提高，物理服务器上虚拟机的数量在不
断增加，虚拟化环境下运行的应用数量也在不断上升，为虚拟网络带来了很大的挑
战。
组网描述
如图1-56所示，某企业在数据中心中有两个Server，其中工程部门和财务部门都在
Server1上，营销部门在Server2上。
Server1上计算空间不足，而Server2未充分利用。网络管理员需要将工程部门迁移到
Server2上，不影响业务。
图 1-56 企业分布组网图
Network
NVE
NVE
VXLAN Tunnel
Device1 Device2
VSwitch VSwitch
VM VM VM VM VM VM VM
PG-Engineering PG-Finance PG-Marketing
Server1 Server2
Engineering (VLAN10):10.1.1.1/24
Finance (VLAN20):10.1.1.1/24
Marketing (VLAN30):10.1.1.2/24

特性部署
为了保证工程部门迁移过程中业务不中断，则需要保证工程部门的IP地址、MAC地址
等参数保持不变，这就要求两个Server属于一个二层网络。如果使用传统方法解决此问
题，这可能需要网络管理员购买新的物理设备以分离流量，并可能导致诸如VLAN散
乱、网络成环以及系统和管理开销等问题。
为了成功将工程部门迁移到Server2，可通过VXLAN实现。VXLAN是MAC in UDP的网
络虚拟化技术，只要物理网络支持IP转发，所有IP路由可达的终端用户即可建立一个大
范围二层网络。
通过VXLAN隧道，工程部门在迁移过程中可保证网络无感知。工程部门从Server1迁移
到Server2后，终端租户会发送免费ARP或RARP报文，所有网关设备上保存的原VM对
应的MAC地址表和ARP表都将会被删除，更新为迁移后的VM对应的MAC地址表和
ARP表。
1.1.5.4 通过 VXLAN 网络实现用户接入 BRAS 的应用

随着网络虚拟化的发展，当设备资源不足时，可以将接入用户的流量负载分担到数据
中心的虚拟设备BRAS上进行处理。数据中心内部署VXLAN网络，设备通过和数据中
心的虚拟设备BRAS共同构建VXLAN网络，实现用户通过VXLAN隧道的接入。
当前支持直接通过VXLAN隧道接入用户和通过PW拼接VXLAN隧道接入用户两种场
景。
直接通过 VXLAN 隧道接入
图 1-57 用户直接通过 VXLAN 隧道接入 BRAS 组网图

Outer Ethernet header
Outer IP header
Inner Ethernet
Outer UDP header Inner Ethernet
header
header
Inner IP header VXLAN header
Inner IP header
Inner Ethernet header
Payload
Inner IP header Payload
Pay-load
VXLAN Tunnel Internet
PC OLT Device BRAS
如图1-57所示，设备作为边缘路由器，和虚拟设备BRAS直接建立VXLAN隧道实现用
户的接入。
1. 用户的业务终端开机或者手工拨号后，发出上线消息(IPoE、PPPoE、L2TP用户上
线)，该消息通过接入设备OLT（optical line terminal）传输至边缘路由器。
2. 边缘路由器将用户上线消息封装成VXLAN报文后，通过VXLAN隧道透传到BRAS
设备。
3. BRAS设备将收到的VXLAN报文进行解封装，对用户上线消息进行处理。

通过 PW 拼接 VXLAN 隧道接入
图 1-58 用户通过 PW 拼接 VXLAN 隧道接入 BRAS 组网图
OLT1 Device1 Device2

PC1 BRAS1
PW
VXLAN Tunnel
PW
VRRP Internet
VXLAN Tunnel
PW
PC2 OLT2 Device3 Device4 BRAS2
Master Device
Backup Device
如图1-58所示，VPLS网络和VXLAN网络通过Device2和Device4进行拼接，将用户接入
BRAS设备。用户接入的实现原理如下：
1. 用户的业务终端开机或者手工拨号后，发出上线消息(IPoE、PPPoE、L2TP用户上
线)，该消息通过接入设备OLT传输至边缘路由器Device1和Device3。
2. Device1和Device3为每一个OLT创建VSI（Virtual Switching Instance）实例，每个
VSI实例标识一个OLT；Device1～Device4之间通过城域VPLS（Virtual Private LAN
Service）网络互连。
3. Device2和Device4设备互为主备，VSI实例与VXLAN的VNI进行1：1映射，并且使
用相同的VTEP IP地址，实现PW隧道和VXLAN隧道之间报文的转发。
4. Device2和Device4设备之间建立VRRP，实现当Device2和BRAS1之间的链路出现故
障时，可以进行链路保护。
5. 在Device2和Device4上面向BRAS侧，配置VRRP联动Virtual VTEP的路由优先级，
主设备上Virtual VTEP的路由优先级高，备设备上Virtual VTEP的路由优先级低。
BRAS的下行的VXLAN流量通过主设备进行转发。流量到下行刷新Device1和
Device3设备的MAC表，将Device1和Device3上行的流量引导到主设备上。
6. 在Device2和Device4上面向BRAS侧，配置PW联动VRRP，备设备PW接口不接收
和转发VXLAN流量。用户的上线报文在VSI实例内广播到两个Device，由于备状
态Device4会阻塞PW报文，只有主状态的Device2会转发用户上线报文，完成用户
上线。
7. 在Device2和Device4上面向城域VPLS网络侧部署接口联动VRRP，当VPLS网络的S
链路故障时进行主备保护。
8. Device2、Device4和BRAS设备之间建立VXLAN隧道，支持VXLAN报文的封装和
解封装，实现终结VXLAN报文入BRAS接入流程。

1.1.6 术语与缩略语
术语
术语解释
NVO3 NVO3（Network Virtualizaiton over Layer 3）是指基于L3层承载的网

络虚拟化技术，主要用于支持数据中心交换机中多租户接入时不同
租户之间的流量隔离和IP地址独立，以提供给各租户独立的L2层子
网；同时还支持租户虚拟机（VM）在租户的L2层子网内的部署和
迁移。
VXLAN VXLAN（Virtual eXtensible Local Area Network）是NVo3中的一种

网络虚拟化技术，是一种覆盖网络技术或隧道技术，通过将虚拟机
发出的数据包封装在UDP中，并使用物理网络的IP/MAC作为outer-
header进行封装，然后在IP网络上传输，到达目的地后由隧道终结
点解封装并将数据发送给目标虚拟机。
缩略语
缩略语英文全称中文全称
BD Bridge Domain 桥域
BUM Broadcast&Unknown- 广播报文、未知单播报文、组播报

unicast&Multicast 文
VNI VXLAN Network Identifier VXLAN网络标识符
VTEP VXLAN Tunnel Endpoints VXLAN隧道端点
1.2 VXLAN 配置
介绍了不依赖于任何控制器，直接在设备上配置VXLAN的方法。
1.2.1 VXLAN 概述
通过VXLAN，虚拟网络可接入大量租户，且租户可以规划自己的虚拟网络，不需要考
虑物理网络IP地址和广播域的限制，降低了网络管理的难度。
产生背景
作为云计算的核心技术之一，服务器虚拟化凭借其大幅降低IT成本、提高业务部署灵
活性、降低运维成本等优势已经得到越来越多的认可和部署。一台服务器可虚拟多台
虚拟机，而一台虚拟机相当于一台主机。主机的数量发生了数量级的变化，这也为虚
拟网络带来了如下问题：
l 虚拟机规模受网络规格限制
在大二层网络环境下，数据报文是通过查询MAC地址表进行二层转发，而MAC地
址表的容量限制了虚拟机的数量。

l 网络隔离能力限制
当前主流的网络隔离技术是VLAN，在大规模的虚拟化网络中部署存在如下限
制：
– 由于IEEE 802.1Q中定义的VLAN Tag域只有12比特，仅支持4094个VLAN，无
法满足大二层网络中标识大量用户群的需求。
– 传统二层网络中的VLAN无法满足网络动态调整的需求。
l 虚拟机迁移范围受网络架构限制
虚拟机启动后，可能由于服务器资源等问题（如CPU过高，内存不够等），需要
将虚拟机迁移到新的服务器上。为了保证虚拟机迁移过程中业务不中断，则需要
保证虚拟机的IP地址、MAC地址等参数保持不变，这就要求业务网络是一个二层
网络，且要求网络本身具备多路径的冗余备份和可靠性。
针对大二层网络，VXLAN的提出很好地解决了上述问题。
l 针对虚拟机规模受网络规格限制
VXLAN将虚拟机发出的数据包封装在UDP中，并使用物理网络的IP、MAC地址作
为外层头进行封装，对网络只表现为封装后的参数。因此，极大降低了大二层网
络对MAC地址规格的需求。
l 针对网络隔离能力限制
VXLAN引入了类似VLAN ID的用户标识，称为VXLAN网络标识VNI（VXLAN
Network Identifier），由24比特组成，支持多达16M的VXLAN段，从而满足了大
量的用户标识。
l 针对虚拟机迁移范围受网络架构限制
VXLAN通过采用MAC in UDP封装来延伸二层网络，将以太报文封装在IP报文之
上，通过路由在网络中传输，无需关注虚拟机的MAC地址。且路由网络无网络结
构限制，具备大规模扩展能力、故障自愈能力、负载均衡能力。通过路由网络，
虚拟机迁移不受网络架构限制。

相关概念
图 1-59 VXLAN 结构示意图
VBDIF
BD
NVE
VNI VTEP UDP 4789
IP2
IP Network VNI VNI
5020 5030
L3
Packet Device3 Gateway
VAP2 VAP3
VLAN 20 Untag
L2
Device2
Gateway
Device1
NVE VSwitch
VSwitch VM1 VM2 ... VMm
VM1 ... VMm Untag
192.168.10.2/24
VLAN 10 VLAN 20
192.168.10.1/24 192.168.20.1/24
Server1 Server2
NVE
VXLAN Tunnel
结合图1-59介绍控制器和VXLAN相关概念，相关概念如表1-6所示。
表 1-6 VXLAN 相关概念

概念描述
NVE（Network 网络虚拟边缘节点NVE，实现网络虚拟化功能的网络实
Virtualization Edge）体。

概念描述
VTEP（VXLAN Tunnel VTEP是VXLAN隧道端点，封装在NVE中，用于VXLAN

Endpoints）报文的封装和解封装。
VTEP与物理网络相连，分配有物理网络的IP地址，该地
址与虚拟网络无关。
VXLAN报文中源IP地址为本节点的VTEP地址，目的IP地
址为对端节点的VTEP地址。一对VTEP地址就对应着一个
VXLAN隧道。
VNI（VXLAN Network VXLAN网络标识VNI类似VLAN ID，用于区分VXLAN

Identifier）段，不同VXLAN段的虚拟机不能直接二层相互通信。
一个VNI表示一个租户，即使多个终端用户属于同一个
VNI，也表示一个租户。VNI由24比特组成，支持多达
16M的租户。
BD（Bridge Domain） BD是VXLAN网络中转发数据报文的二层广播域。

在VXLAN网络中，将VNI以1:1方式映射到广播域BD，
BD成为VXLAN网络转发数据报文的实体。
VBDIF VBDIF接口是基于BD创建的三层逻辑接口。通过VBDIF
接口配置IP地址可实现不同网段的VXLAN间，及VXLAN
和非VXLAN的通信，也可实现二层网络接入三层网络。
VAP（Virtual Access 虚拟接入点VAP，即VXLAN业务接入点，统一为二层子

Point）接口，通过在二层子接口上配置流封装实现不同的接口接
入不同的数据报文，将二层子接口关联广播域BD后，可
实现数据报文通过BD转发。
网关（Gateway）和VLAN类似，不同VNI之间的VXLAN，及VXLAN和非
VXLAN之间不能直接相互通信。为了使VXLAN之间，以
及VXLAN和非VXLAN之间能够进行通信，VXLAN引入
了VXLAN网关。
VXLAN网关分为：
l 二层网关：用于解决租户接入VXLAN虚拟网络的问
题，也可用于同一VXLAN虚拟网络的子网通信。
l 三层网关：用于VXLAN虚拟网络的跨子网通信以及外
部网络的访问。
NVE 部署模式
在VXLAN网络中，VTEP是VXLAN隧道的端点，由于VTEP封装在NVE中，因此完成
NVE的部署即可实现VXLAN隧道的创建。按照NVE部署位置的不同，可以分为以下三
种模式：
l 硬件模式：如图1-60所示，所有的NVE都部署在支持NVE的设备上，所有的
VXLAN报文封装与解封装都在设备上进行。

图 1-60 VXLAN 硬件模式
L3 Network
NVE NVE NVE
Device1 Device2 Device3
vSwitch vSwitch VLAN 20

10.1.1.3/24
VM1 ... VMm ...
VM1 VMn
Physical Server
VLAN 10 Untag
10.1.1.1/24 10.1.1.2/24
Server1 Server2
l 软件模式：如图1-61所示，所有的NVE都部署在vSwitch上，所有的VXLAN报文封
装与解封装都在vSwitch上进行。
图 1-61 VXLAN 软件模式
L3 Network
NVE NVE NVE

vSwitch vSwitch vSwitch
VLAN 10 VLAN 20 Untag

10.1.1.1/24 10.1.1.2/24 10.1.1.3/24

l 混合模式：如图1-62所示，部分NVE部署在vSwitch上，部分NVE部署在支持NVE
的设备上，在vSwitch和设备上都有可能会进行VXLAN报文封装与解封装。
图 1-62 VXLAN 混合模式
L3 Network
NVE
NVE NVE VLAN 20

vSwitch vSwitch 10.1.1.3/24
VM1 ... VMm VM1 ... VMm

Physical Server
VLAN 10 VLAN 20
10.1.1.1/24 10.1.1.2/24
Server1 Server2
说明
本配置指南主要介绍NVE部署在支持NVE的设备上。对于软件模式，设备上仅需配置透传
VXLAN报文即可。
1.2.2 VXLAN 配置注意事项

配置注意事项规避措施影响性
VXLAN特性与虚拟接入无无
2.0不能兼容。

VXLAN控制面EVPN存在无无
如下限制：
l BD、VNI、EVPN只支
持1:1的绑定方式。
l BD需要先绑定EVPN
后，才可以绑定EVC子
接口。如果BD先绑定
了EVC子接口，则不能
再绑定EVPN。绑定
EVPN和EVC子接口
后，也不能直接删除
EVPN。
l BD需要先绑定VNI，
才能绑定EVPN。
l VNI PEER统计和VNI
统计使用同一统计资
源，两者不可以同时配
置，做命令行互斥。
VNI PEER统计只支持
split-horizon-mode模式
的VNI，普通VNI不支
持。

VXLAN双活可靠性存在无无
如下限制：
l 双活可靠性目前只支持
eth-trunk接入。
l 双活可靠性不支持子接
口shutdown的场景。
（上行eth-trunk流量不
会切换，造成断流。下
行local bias剪枝是基于
主接口维度的，也不会
切换流程）
l 不支持shutdown bd的场
景。
l 不支持子接口解绑定
BD的场景（双活口的
配置需要保持一致）。
l 不支持动态ESI，不支
持动态VXLAN隧道。
l MAC FRR使能后，由
于MAC需要学习为
FRR格式，会删除
MAC。
l BD接入EVPN后，
MAC需要上送控制
面，所以，需要先绑定
EVPN后，BD先才能绑
定EVC口，或者绑定静
态VXLAN。
基于VNI的HQoS仅支持三配置基于接口的HQoS。流量控制模型不完整。

级调度（GQ、SQ、
FQ），不支持DP和VI级
别的调度。
只支持两片VXLANv4分业务规划时避免出现跨板可能存在错包。

片报文在同一块单板上重重组。
组，不支持跨板重组。
VXLAN隧道绑定Vni，无组播报文会被丢弃。
Vni绑定BD创建Vbdif接口
作为L3网关场景下，
VXLAN隧道不支持Vbdif
上的组播功能。
在VXLAN隧道数量已超请删除已无用的VXLAN隧无
限的情况下，再创建隧道道后再试。
会失败，有告警事件通知
用户隧道创建失败原因。

一个VNI只能绑定一个业用户合理规划无影响

务实例(BD/VRF/EVPL)。
VXLAN不支持DHCP- 用户合理规划不支持DHCP-Snooping

Snooping。
配置分布式网关后，在网源IP地址为本机的非网关 ping不通

关上ping主机地址时，需 IP地址
要指定发送ICMP ECHO-
REQUEST报文的源IP地址
为本机的非网关IP地址。
BD接入VSI和接入用户合理规划该场景不支持vbdif

VXLAN后，不再支持创
建vbdif接口。
BD接入VSI和接入用户合理规划该场景不支持二层子接口

VXLAN后，不再支持绑
定二层子接口。
EVPN实例如果已经绑定用户合理规划无影响

到BD上，则不允许修改、
删除VNI的绑定。
VXLAN报文分片约束限 VXLAN组网场景中，入分片报文入VXLAN隧道转

制： VXLAN前的设备MTU设发不通。
在设备上先分片再入置为1500或以内，网络中
VXLAN隧道，这种分片报文限制在1500字节以
报文通常在接收的VM重内；VXLAN隧道MTU设
组。报文长度大于接入设置为比接入隧道的端口
备接口的MTU，进入 MTU大50字节，以减少
VXLAN网关时已经分 VXLAN网络中的报文分片
片；或者报文长度大于重组，例如接入交换机端
VXLAN隧道配置的口MTU设置为1500，则
MTU，入隧道前做分片。 VXLAN隧道MTU配置为
1550。
先入隧道后分片。入隧道
报文增加的隧道头后，总
长度超过隧道出口MTU做
接口分片。第二个分片报
文只有VXLAN的SIP/DIP
头，没有VXLAN的UDP
和VXLAN头，也没有用
户报文的IP头。这类报文
需要在出隧道前先重组，
否则第二片报文无法出隧
道转发。
1.2.3 激活 CM 单板的 VXLAN 端口 license

对于CM单板，需要执行该命令激活VXLAN端口license后才能配置VXLAN业务。

前置任务
在配置CM单板上的VXLAN端口License之前，需要完成以下任务：
l 执行命令license active file-name，激活主用主控板上的License文件。
l 执行命令active port-basic slot slot-id card card-id port port-list，批量激活设备CM
单板上的端口基本硬件License。
操作步骤
步骤1 执行命令system-view，进入系统视图。
步骤2 执行命令license，进入license视图。
步骤3 执行命令active port-vxlan slot slot-id card card-id port port-list，激活CM单板上的
VXLAN端口license。
步骤4 执行命令commit，提交配置。
----结束
检查配置结果
使用display license resource usage port-vxlan { all | slot slot-id } [ active | deactive ]命令
查看CM单板的VXLAN端口license授权情况。
1.2.4 配置集中式网关部署方式的 VXLAN（静态建立隧道）

当采用集中式网关部署方式时，所有的跨子网流量都要经过三层网关进行转发，实现
流量的集中管理。
应用环境
如果企业为某租户分配有位于不同地理位置的VM，这些VM有些处于同一网段，有些
处于不同网段。当需要实现不同VM之间的通信时，需要合理规划VXLAN二层网关和
三层网关，建立VXLAN隧道。
如图1-63所示，Server2和Server3属于同一网段，分别通过Device1和Device2接入
VXLAN网络；Server1和Server2属于不同网段，都通过Device1接入VXLAN网络。
l 当Server2中的VM1需要与Server3中的VM1通信时，需要在Device1、Device2上部
署VXLAN二层网关，Device1和Device2之间建立VXLAN隧道实现同网段租户互
通。
l 当Server1中的VM1需要与Server3中的VM1通信时，需要在Device3上部署三层网
关，在Device1和Device3之间、Device2和Device3之间建立VXLAN隧道实现跨网
段租户互通。

图 1-63 配置集中式网关部署方式的 VXLAN 组网图
non-VXLAN
networks
VXLAN L3 GW Device3
NVE
L3 Network
NVE NVE
Device1 Device2

10.1.1.1/24 10.2.1.2/24 10.2.1.1/24
VXLAN tunnel
前置任务
在配置用户通过集中式网关部署方式的VXLAN隧道进行互通之前，需网络三层路由可
达。
配置流程
图 1-64 集中式网关部署方式下同网段通信的配置流程
配置业务接入点
配置VXLAN隧道
配置静态MAC地址表项和MAC地址
学习限制功能
必选步骤
可选步骤

配置VXLAN隧道
配置VXLAN三层网关
学习限制功能
必选步骤
可选步骤
1.2.4.1 配置 VXLAN 业务接入点

在VXLAN网络中，业务接入点统一表现为二层子接口，通过在二层子接口上配置流封
装实现不同的接口接入不同的数据报文。广播域统一表现为BD，将二层子接口关联BD
后，可实现数据报文通过BD转发。
背景信息
如表1-7所示，可为二层子接口配置不同的流封装类型以实现不同的接口接入不同的数
据报文。
表 1-7 流封装类型
流封装类型说明
dot1q 该类型接口只接收带有指定VLAN Tag的报文。

该类型接口在对原始报文进行VXLAN封装时，会剥离其所有的
VLAN Tag；在解封装VXLAN报文时，若内层报文带有VLAN
Tag，则替换为指定的VLAN Tag后再转发，若内层报文不带有
VLAN Tag，则添加指定的VLAN Tag后再转发。
配置流封装类型为dot1q时，存在如下限制：
l 二层子接口封装的vid，不能与对应二层主接口允许通过的
VLAN相同。
l 二层子接口和三层子接口封装的VLAN ID不能相同。

untag 该类型接口只接收不带VLAN Tag的报文。

该类型接口在对原始报文进行VXLAN封装时，不会为其添加任
何VLAN Tag；在解封装VXLAN报文时，如果其内层报文带有
VLAN Tag，则将其VLAN Tag剥离（对于QinQ报文，只剥离其
外层VLAN Tag）后再转发。
配置流封装类型为untag时，存在如下限制：
l 请确保该子接口对应的物理接口上仅有缺省配置。
l 仅支持为二层物理接口（包括Eth-Trunk接口）创建untag类型
二层子接口。
l 一个主接口下仅允许创建一个untag类型的二层子接口。
default 允许接口接收所有报文，不区分报文中是否带VLAN Tag。

不论是对原始报文进行VXLAN封装，还是解封装VXLAN报文，
该类型接口都不会对原始报文进行任何VLAN Tag处理，包括添
加、替换或剥离。
配置流封装类型为default时，存在如下限制：
l 必须确保对应的主接口没有加入VLAN。
l 仅支持为二层物理接口（包括Eth-Trunk接口）创建default类
型二层子接口。
l 主接口下创建了default类型二层子接口，不允许再创建其他
类型二层子接口。
qinq 该类型接口收到的报文带有两层及两层以上VLAN Tag，根据报

文的前两层VLAN Tag识别是否接收。
业务接入点需要在二层网关上进行配置。
操作步骤
步骤2 执行命令bridge-domain bd-id，创建广播域BD，并进入BD视图。
步骤3 （可选）执行命令description，配置BD的描述信息。
步骤4 执行命令quit，退出BD视图，返回到系统视图。
步骤5 执行命令interface interface-type interface-number.subnum mode l2，创建二层子接口，并

进入二层子接口视图。
说明
执行本命令前，请确保对应的二层主接口上没有port link-type dot1q-tunnel配置，如果已经存在

该配置，需要先执行undo port link-type将配置删除。
步骤6 执行命令encapsulation { dot1q [ vid vid ] | default | untag | qinq }，配置流封装类型实现

不同的接口接入不同的数据报文。
步骤7 执行命令rewrite pop { single | double }，对接收的报文进行剥除VLAN Tag操作。

如果二层子接口接收的报文携带一层VLAN Tag，选择参数single，将报文中的一层
VLAN Tag剥除。
如果上一个步骤已经通过命令encapsulation qinq vid pe-vid ce-vid { low-ce-vid [ to high-
ce-vid ] | default }配置了流封装类型是qinq，则选择double参数，用来指定对接收的报
文进行剥除两层VLAN Tag操作。
步骤8 执行命令bridge-domain bd-id，将二层子接口加入BD，允许报文通过广播域BD转发。
说明
default类型的二层子接口加入BD后，该BD不支持创建对应的VBDIF接口。
----结束
1.2.4.2 配置 VXLAN 隧道
VXLAN通过采用MAC in UDP封装来延伸二层网络，是大二层虚拟网络扩展的隧道封
装技术。通过VXLAN，虚拟网络可接入大量租户。
背景信息
为了保证VXLAN报文的正常转发，VXLAN的网关设备上都需要配置VXLAN隧道。
操作步骤
步骤2 执行命令bridge-domain bd-id，进入BD视图。
该步骤中的bd-id必须与配置业务接入点步骤2中创建的bd-id一致。
步骤3 执行命令vxlan vni vni-id，创建VXLAN网络标识VNI并关联广播域BD。
当VXLAN网络和VPLS网络进行拼接时，需要在两个网络相交的边缘设备上执行vxlan
vni vni-id split-horizon-mode命令，创建VNI并关联广播域BD，然后按照水平分割方式
进行转发。
步骤5 执行命令interface nve nve-number，创建NVE接口，并进入NVE接口视图。
步骤6 执行命令source ip-address，配置源端VTEP的IP地址。
指定源端VTEP的IP地址时，可以指定实际物理接口的地址，也可以指定Loopback接口
的地址，推荐使用Loopback接口的地址。
步骤7 执行命令vni vni-id head-end peer-list ip-address &<1-10>，配置头端复制列表。
头端是指VXLAN隧道的入节点，复制是指当VXLAN隧道的入节点收到一份BUM
（Broadcast&Unknown-unicast&Multicast）报文后，需要将其复制多份并发送给列表中
的所有VTEP。头端复制列表就是用于指导VXLAN隧道的入节点进行BUM报文复制和
发送的远端VTEP的IP地址列表。
说明
由于当前只支持头端复制方式进行BUM报文转发，当和其他厂商设备对接创建VXLAN隧道时，
必须保证对端设备也配置头端复制方式，否则会导致对接失败。

步骤8 （可选）执行命令vxlan central-reassemble enable，配置所有VXLAN Tunnel集中式跨

板重组。
----结束
1.2.4.3 配置 VXLAN 三层网关

为了成功实现不同网段的VM互通，VM的缺省网关地址必须是对应三层网关上的BDIF
接口的IP地址。
操作步骤
步骤2 执行命令interface vbdif bd-id，创建VBDIF接口，并进入VBDIF接口视图。
BDIF接口的编号必须对应一个已经创建的BD ID。
步骤3 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置BDIF接口的IP地址，
实现三层互通。
步骤4 （可选）执行命令mac-address mac-address，配置BDIF接口的MAC地址。
----结束
1.2.4.4 （可选）配置静态 MAC 地址表项和 MAC 地址学习限制功能

可以通过配置静态MAC地址表项来完成用户报文的转发，配置MAC地址学习限制功
能，可以提升VXLAN网络的安全性。
背景信息
当VXLAN隧道入口收到BUM（Broadcast&Unknown-unicast&Multicast）报文时，为了
减少网络中的广播流量，防止仿冒身份的非法用户骗取数据，提高网络安全性，可以
配置静态MAC地址表指定转发路径。
为了控制接入用户数量或防止MAC地址表受攻击，可以限制设备允许学习的MAC地址
数量，从而控制接入用户数量，当超过限制数量时不再学习MAC地址，同时可以配置
丢弃报文动作，防止MAC地址攻击，提高网络安全性。
在VXLAN三层网关上，没有必要学习BD内的报文的MAC地址，此时可以关闭BD的
MAC地址学习功能，从而节省设备的MAC地址表项开支。另外当VXLAN网络拓扑稳
定并且MAC表项学习完成后，在VXLAN二层网络上也可以关闭MAC地址学习功能。
静态MAC地址表项和MAC地址学习限制功能在二层网关上配置，禁止MAC地址学习
功能在二三层网关上都可以配置。
操作步骤
l 配置静态MAC地址表项。
a. 执行命令system-view，进入系统视图。
b. 执行命令mac-address static mac-address bridge-domain bd-id source source-ip-
address peer peer-ip vni vni-id，配置静态MAC地址表项。

c. 执行命令commit，提交配置。
l 配置MAC地址学习限制功能。
b. 执行命令bridge-domain bd-id，进入BD视图。
c. 执行命令mac-limit { action { discard | forward } | maximum max [ rate
*
interval ] } ，配置MAC地址学习限制规则。
d. 执行命令commit，提交配置。
l 关闭MAC地址学习功能。
c. 执行命令mac-address learning disable，关闭MAC地址学习功能。
----结束
1.2.4.5 检查配置结果
集中式网关部署方式的VXLAN（静态建立隧道）配置成功后，您可以查看到VXLAN
隧道、VNI的状态、VBDIF等信息。
前提条件
已经完成集中式网关部署方式的VXLAN（静态建立隧道）的所有配置。
操作步骤
l 执行命令display bridge-domain [ bd-id [ brief | verbose ] ]，查看广播域BD的配置
信息。
l 执行命令display interface nve [ nve-number | main ]，查看NVE接口的状态信息。
l 执行命令display vxlan tunnel [ tunnel-id ] [ verbose ]，查看VXLAN隧道的信息。
l 执行命令display vxlan vni [ vni-id [ verbose ] ]，查看VXLAN的配置信息及VNI状
态。
l 执行命令display mac-address static bridge-domain bd-id，查看BD内的静态MAC
地址表项。
l 执行命令display mac-limit bridge-domain bd-id，可以查看BD内动态MAC地址学
习限制规则。
----结束
1.2.5 配置集中式网关部署方式的 VXLAN（BGP EVPN 方式）

当采用集中式网关部署方式时，所有的跨子网流量都要经过三层网关进行转发，实现
流量的集中管理。
应用环境
如果企业为某租户分配有位于不同地理位置的VM，这些VM有些处于同一网段，有些
处于不同网段。当需要实现不同VM之间的通信时，需要合理规划VXLAN二层网关和
三层网关，建立VXLAN隧道。

如图1-66所示，Server2和Server3属于同一网段，分别通过Device1和Device2接入
VXLAN网络；Server1和Server2属于不同网段，都通过Device1接入VXLAN网络。
l 当Server2中的VM1需要与Server3中的VM1通信时，需要在Device1、Device2上部
署VXLAN二层网关，Device1和Device2之间建立VXLAN隧道实现同网段租户互
通。
l 当Server1中的VM1需要与Server3中的VM1通信时，需要在Device3上部署三层网
关，在Device1和Device3之间、Device2和Device3之间建立VXLAN隧道实现跨网
段租户互通。
图 1-66 配置集中式网关部署方式的 VXLAN 组网图
non-VXLAN
networks
VXLAN L3 GW Device3
NVE
L3 Network
NVE NVE
Device1 Device2

10.1.1.1/24 10.2.1.2/24 10.2.1.1/24
VXLAN tunnel
前置任务
在配置用户通过集中式网关部署方式的VXLAN隧道进行互通之前，需网络三层路由可
达。

配置流程
配置VXLAN隧道
学习限制功能
必选步骤
可选步骤
配置VXLAN隧道
学习限制功能
必选步骤
可选步骤

背景信息
据报文。


VLAN相同。

二层子接口。


操作步骤


说明


VLAN Tag剥除。


说明
----结束
使用EVPN在VTEP间配置VXLAN隧道，需要建立BGP EVPN对等体关系、配置EVPN
实例以及配置头端复制功能等操作。
背景信息
在集中式网关场景下使用EVPN建立VXLAN隧道，需要在VXLAN二层网关和VXLAN
三层网关上配置如下步骤：
1. 配置BGP EVPN对等体关系。通过在VXLAN网关之间配置BGP EVPN对等体关系
可以使不同网关相互发送EVPN路由。如果在组网中部署路由反射器，则VXLAN
网关仅需要与路由反射器建立BGP EVPN对等体关系。
2. （可选）配置RR（Route Reflector，路由反射器）功能。如果选择配置RR功能，
则仅需要让各个VXLAN网关与路由反射器建立BGP EVPN对等体关系。配置RR功
能可以减少网络中的BGP EVPN对等体关系数量，简化配置工作量。既可以使用
网络中的某一台设备兼做RR，也可以在网络中新增一台设备配置RR功能（一般选
择VXLAN三层网关作为路由反射器，VXLAN二层网关作为客户端）。
3. 配置EVPN实例。EVPN实例可以用来管理从BGP EVPN对等体接收来的路由和向
BGP EVPN对等体发布的EVPN路由。
4. 配置头端复制功能。配置头端复制功能后，系统会通过BGP EVPN协议构建出其
他远端VTEP列表，当VXLAN网关需要转发报文时，可以根据此列表将收到的
BUM（Broadcast&Unknown-unicast&Multicast）报文进行复制并发送给属于同一个
VNI的所有VXLAN网关。

说明
操作步骤
步骤1 配置BGP EVPN对等体关系。
1. 执行命令bgp as-number，使能BGP协议并进入BGP视图。
2. （可选）执行命令router-id ipv4-address，配置BGP的Router ID。
3. 执行命令peer ipv4-address as-number as-number，将对端配置为对等体。
4. （可选）执行命令peer ipv4-address connect-interface interface-type interface-
number [ ipv4-source-address ]，指定BGP对等体之间建立TCP连接会话的源接口和
源地址。
说明
当使用Loopback接口建立BGP连接时，建议对等体两端同时配置命令peer connect-
interface，以保证两端连接的正确性。如果仅有一端配置该命令，可能导致BGP连接建立
失败。
5. （可选）执行命令peer ipv4-address ebgp-max-hop [ hop-count ]，指定建立EBGP
EVPN连接允许的最大跳数。
通常情况下，EBGP EVPN对等体之间应具有直连的物理链路；如果不满足这一要
求，则必须配置peer ebgp-max-hop命令，以允许它们之间经过多跳建立TCP连
接。
说明
当使用Loopback接口建立EBGP EVPN连接时，必须配置命令peer ebgp-max-hop（其中hop-

count≥2），否则EBGP EVPN连接将无法建立。
6. 执行命令l2vpn-family evpn，进入BGP-EVPN地址族视图。
7. 执行命令peer { group-name | ipv4-address } enable，使能对等体或组间交换EVPN
路由信息的能力。
8. 执行命令peer { group-name | ipv4-address } advertise encap-type vxlan，配置向邻
居发布VXLAN封装的EVPN路由。
9. （可选）执行命令peer { group-name | ipv4-address } route-policy route-policy-name
{ import | export }，对来自BGP EVPN对等体（组）的路由或向BGP EVPN对等体
（组）发布的路由指定Route-Policy。
执行此步骤将Route-Policy应用到指定BGP EVPN对等体（组）上，可以对从该对
等体（组）接收或向该对等体（组）发布的路由进行控制，只接收本端需要的路
由或者只发布对端需要的路由，达到路由管理的目的，同时也能减小路由表的规
模，减少对系统资源的消耗。
10. （可选）执行命令peer { group-name | ipv4-address } mac-limit number [ percentage ]
[ alert-only | idle-forever | idle-timeout times ]，配置对从对等体收到的MAC通告路
由数量进行限制。
当EVPN实例可能从某些对等体引入很多无用的MAC通告路由导致从这些对等体
收到的MAC通告路由数占该设备上总的MAC通告路由数的比例较大时，建议配置
此命令。配置此命令后，当从某一对等体收到的MAC通告路由数超过预先设定的
值时，系统会输出告警信息，从而提醒用户检查EVPN实例收到的MAC通告路由
的有效性。
11. 执行命令quit，退出BGP-EVPN地址族视图。

12. 执行命令quit，退出BGP视图。
步骤2 （可选）在VXLAN三层网关配置RR功能。通过配置RR功能，则仅需要让各个VXLAN
网关与路由反射器配置BGP EVPN对等体关系，大大减少网络中的BGP EVPN对等体
关系数量，简化配置工作量。
1. 执行命令bgp as-number，进入BGP视图。
3. 执行命令peer { ipv4-address | group-name } enable，使能对等体或组间交换EVPN
4. （可选）执行命令peer { group-name | ipv4-address } next-hop-invariable，配置向
EBGP EVPN对等体发布路由时不改变下一跳。
5. 执行命令peer { ipv4-address | group-name } reflect-client，配置路由反射器及其客
户。
6. 执行命令undo policy vpn-target，配置去使能对接收到的EVPN路由通过VPN-
Target过滤功能。如果不配置此步骤，反射器将无法接收和反射客户机发来的路
由。
步骤3 配置EVPN实例。
1. 执行命令evpn vpn-instance vpn-instance-name bd-mode，创建BD模式的EVPN实
例，并进入EVPN实例视图。
2. 执行命令route-distinguisher route-distinguisher，配置EVPN实例的RD。
3. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-
extcommunity ]，为EVPN实例配置VPN-target扩展团体属性。本端配置的出方向
VPN-target值需要与对端配置的入方向VPN-target值相等；本端配置的入方向VPN-
target值需要与对端配置的出方向VPN-target值相等。
4. （可选）执行命令import route-policy policy-name，将当前EVPN实例与一条入方
向Route-Policy进行关联。
当需要更精确地控制进入到当前EVPN实例的路由时，可以执行此步骤指定入方向
Route-Policy来过滤路由信息，以及为通过过滤条件的路由设置路由属性。
5. （可选）执行命令export route-policy policy-name，将当前EVPN实例与一条出方
当需要更精确地控制发布的EVPN路由时，可以执行此步骤指定出方向Route-
Policy来过滤发布的EVPN路由，以及为通过过滤条件的EVPN路由设置路由属
性。
6. （可选）执行命令tnl-policy policy-name，配置当前EVPN实例与指定的隧道策略
进行关联。
配置当前EVPN实例与指定的隧道策略进行关联可以使PE间传输数据报文使用TE
隧道。
7. （可选）执行命令mac limit number { simply-alert | mac-unchanged }，配置EVPN
实例中MAC地址数量的最大值。
设备引入太多MAC地址会占用较多的系统资源，在系统业务繁忙时，有可能影响
设备的正常运行。为提高系统的安全性和可靠性，可以配置mac limit命令对EVPN
实例中MAC地址数量进行限制。配置此命令后，当MAC地址数超过预先设定的值
时，系统会输出告警信息，从而提醒用户检查系统中存在的MAC地址的有效性。

8. 执行命令quit，退出EVPN实例视图。
9. 执行命令bridge-domain bd-id，进入BD视图。
10. 执行命令vxlan vni vni-id split-horizon-mode，创建VNI并关联广播域BD，然后按
照水平分割方式进行转发。
11. 执行命令evpn binding vpn-instance vpn-instance-name，将EVPN实例与BD绑定。
12. 执行命令quit，退出BD视图，返回到系统视图。
步骤4 配置头端复制功能。
1. 执行命令interface nve nve-number，创建NVE接口，并进入NVE接口视图。
2. 执行命令source ip-address，配置源端VTEP的IP地址。
3. 执行命令vni vni-id head-end peer-list protocol bgp，使能头端复制功能。
（Broadcast&Unknown-unicast&Multicast）报文后，需要将其复制多份并发送给列
表中的所有VTEP。头端复制列表就是用于指导VXLAN隧道的入节点进行BUM报
文复制和发送的远端VTEP的IP地址列表。
4. 执行命令quit，返回到系统视图。
----结束

为了成功实现不同网段的终端用户互通，终端用户的缺省网关地址必须是对应三层网
关上的VBDIF接口的IP地址。
背景信息
BD是VXLAN网络的实体，通过将VNI（每一个VNI表示一个租户）以1:1方式映射到广
播域BD，可以通过BD转发数据报文。基于BD可创建三层逻辑接口VBDIF接口，可以
实现不同网段的VXLAN间，及VXLAN和非VXLAN之间的三层互通，也可实现二层网
络接入三层网络。每个BD对应一个VBDIF接口，在为VBDIF接口配置IP地址后，该接
口即可作为本BD内租户的网关，对需要进行通信的报文进行基于IP地址的三层转发。
VBDIF接口在VXLAN三层网关上配置，用于跨网段报文的转发，因此同网段通信时不
需要配置。
说明
设备支持在VBDIF接口下配置DHCP中继功能，使主机从外部的DHCP服务器上申请到IP地址等
相关信息。
操作步骤
步骤2 执行命令interface vbdif bd-id，创建VBDIF接口，并进入VBDIF接口视图。
步骤3 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置VBDIF接口的IP地

址，实现三层互通。
缺省情况下，接口上没有配置IP地址。

步骤4 （可选）执行命令mac-address mac-address，配置VBDIF接口的MAC地址。
----结束

背景信息
操作步骤
*
----结束

集中式网关部署方式的VXLAN（动态建立隧道）配置成功后，您可以查看到VXLAN
隧道、VNI的状态、VBDIF等信息。
前提条件
已经完成集中式网关部署方式的VXLAN（动态建立隧道）的所有配置。
操作步骤
信息。
l 执行命令 [ nve-number | main ]，查看NVE接口的状态信息。
l 执行命令display evpn vpn-instance [ vpn-instance-name ]，查看EVPN实例信息。
l 执行命令display bgp evpn peer [ [ ipv4-address ] verbose ]，查看BGP EVPN对等体
信息。
l 执行命令display vxlan peer [ vni vni-id ]，查看配置的VNI的头端复制列表信息。
态。
l 执行命令display interface vbdif [ bd-id ]，查看VBDIF接口的状态信息、配置信息
和统计信息。
l 执行命令display mac-address limit bridge-domain bd-id，可以查看BD内动态MAC
地址学习限制规则。
l 执行命令display bgp evpn all routing-table，可以查看EVPN路由信息。
----结束
1.2.6 配置分布式网关部署方式的 VXLAN（BGP EVPN 方式）

VXLAN分布式网关可解决VXLAN集中式网关的转发路径不优化、三层网关ARP表项
规格瓶颈问题。
应用环境
传统的集中式三层网关将服务器的网关设置在Spine节点，如图1-69所示，跨网络的报
文都必须经过Spine节点转发，若三层网关集中部署，存在如下问题：
l 转发路径不是最优：所有的三层流量都需要经过集中三层网关转发。
l ARP表项规格瓶颈：由于采用集中三层网关，通过三层网关转发的终端租户的
ARP表项都需要在三层网关上生成，而三层网关上的ARP表项规格有限，这不利
于数据中心网络扩展。

图 1-69 VXLAN 集中式网关示意图

L3 Spine1 Spine2
Gateway
L2
Gateway
Leaf1 Leaf2
Server1 Server2
Server3 Server4
10.1.1.1/24 10.10.1.1/24
10.20.1.1/24 10.10.1.2/24
跨子网流量
通过配置VXLAN分布式网关可以解决上述问题。如图1-70所示，Server1和Server2不在
同一个网段，但是都连接到Leaf1节点。Server1和Server2通信时，流量只需要在Leaf1
节点进行转发，不再需要经过Spine节点。
图 1-70 VXLAN 分布式网关示意图

Spine1 Spine2
L3
Gateway
Leaf1 Leaf2
L2
Gateway

10.1.1.1/24 10.10.1.1/24 10.20.1.1/24 10.10.1.2/24
跨子网流量
VXLAN分布式网关具有如下特点：

l 同一个Leaf节点既可以做VXLAN二层网关，也可以做VXLAN三层网关，部署灵
活。
l Leaf节点只需要学习自身连接服务器的ARP表项，而不必像集中式三层网关一
样，需要学习所有服务器的ARP表项，解决了集中式三层网关带来的ARP表项瓶
颈问题，网络规模扩展能力强。
l 通过广播报文变单播报文，Leaf节点收到终端租户或服务器的ARP请求报文可决
定是否对外广播，可达到抑制ARP广播流量，减少ARP广播，提高网络性能。
前置任务
在配置VXLAN分布式网关之前，需完成以下任务：
l 网络中三层路由互通。
配置流程
说明
由于分布式网关部署方式下同网段通信的配置流程和集中式网关相同，因此不再赘述，具体的配
置步骤请参见1.2.5 配置集中式网关部署方式的VXLAN（BGP EVPN方式）。本章主要描述分布
式网关部署方式下跨网段通信的配置过程。
图 1-71 分布式网关部署方式下跨网段通信的配置流程
配置VXLAN隧道
配置静态MAC地址表项和MAC
地址学习限制功能
必选步骤
可选步骤

背景信息
据报文。


VLAN相同。

二层子接口。


操作步骤

说明


VLAN Tag剥除。
说明
----结束
配置VXLAN隧道需要建立BGP EVPN对等体关系、配置EVPN实例、配置头端复制功
能等操作。
背景信息
VXLAN隧道用于传输根据VXLAN协议封装的报文。在分布式网关场景下使用EVPN建
立VXLAN隧道，需要在VXLAN网关上配置如下步骤：
1. 配置BGP EVPN对等体关系。通过在VXLAN网关之间配置BGP EVPN对等体关系
可以使不同网关相互发送EVPN路由。如果在组网中部署路由反射器，则VXLAN
网关仅需要与路由反射器建立BGP EVPN对等体关系。
2. （可选）配置RR（Route Reflector，路由反射器）功能。如果选择配置RR功能，
则仅需要让各个VXLAN网关与路由反射器建立BGP EVPN对等体关系。配置RR功
能可以减少网络中的BGP EVPN对等体关系数量，简化配置工作量。既可以使用
网络中的某一台设备兼做RR，也可以在网络中新增一台设备配置RR功能（一般选
择Spine作为路由反射器，Leaf节点作为客户端）。
3. 配置EVPN实例。EVPN实例可以用来管理接收和发布EVPN路由。
4. 配置头端复制功能。配置头端复制功能后，系统会通过BGP EVPN协议构建出其
他远端VTEP列表，当VXLAN网关需要转发报文时，可以根据此列表将收到的
BUM（Broadcast&Unknown-unicast&Multicast）报文进行复制并发送给属于同一个
VNI的所有VXLAN网关。
说明

操作步骤
步骤1 配置BGP EVPN对等体关系。如果在组网中部署路由反射器，则VXLAN网关仅需要与
路由反射器建立BGP EVPN对等体关系。如果Spine设备与网关设备处于不同AS内，则
网关设备需要与Spine设备建立EBGP EVPN邻居关系。
1. 执行命令bgp as-number，使能BGP协议并进入BGP视图。
2. （可选）执行命令router-id ipv4-address，配置BGP的Router ID。
3. 执行命令peer ipv4-address as-number as-number，将对端配置为对等体。
4. （可选）执行命令peer ipv4-address connect-interface interface-type interface-
number [ ipv4-source-address ]，指定BGP对等体之间建立TCP连接会话的源接口和
源地址。
说明
当使用Loopback接口建立BGP连接时，建议对等体两端同时配置命令peer connect-
interface，以保证两端连接的正确性。如果仅有一端配置该命令，可能导致BGP连接建立
失败。
5. （可选）执行命令peer ipv4-address ebgp-max-hop [ hop-count ]，指定建立EBGP
EVPN连接允许的最大跳数。
通常情况下，EBGP EVPN对等体之间应具有直连的物理链路；如果不满足这一要
求，则必须配置peer ebgp-max-hop命令，以允许它们之间经过多跳建立TCP连
接。
说明
当使用Loopback接口建立EBGP EVPN连接时，必须配置命令peer ebgp-max-hop（其中hop-

count≥2），否则EBGP EVPN连接将无法建立。
8. 执行命令peer { ipv4-address | group-name } advertise encap-type vxlan，配置向邻
居发布VXLAN封装的EVPN路由。
9. （可选）执行命令peer { group-name | ipv4-address } route-policy route-policy-name
{ import | export }，对来自BGP EVPN对等体（组）的路由或向BGP EVPN对等体
（组）发布的路由指定Route-Policy。
执行此步骤将Route-Policy应用到指定BGP EVPN对等体（组）上，可以对从该对
等体（组）接收或向该对等体（组）发布的路由进行控制，只接收本端需要的路
由或者只发布对端需要的路由，达到路由管理的目的；同时也能减小路由表的规
模，减少对系统资源的消耗。
EBGP EVPN对等体发布路由时不改变下一跳。如果Spine设备与网关设备间建立了
EBGP EVPN邻居关系，则需要在Spine设备上配置peer next-hop-invariable命令，
确保网关设备收到的路由的下一跳指向其他网关设备。
11. （可选）执行命令peer { group-name | ipv4-address } mac-limit number [ percentage ]
[ alert-only | idle-forever | idle-timeout times ]，配置对从对等体收到的MAC通告路
由数量进行限制。
当EVPN实例可能从某些对等体引入很多无用的MAC通告路由导致从这些对等体
收到的MAC通告路由数占该设备上总的MAC通告路由数的比例较大时，建议配置
此命令。配置此命令后，当从某一对等体收到的MAC通告路由数超过预先设定的
值时，系统会输出告警信息，从而提醒用户检查EVPN实例收到的MAC通告路由
的有效性。

步骤2 （可选）配置RR功能。通过配置RR功能，则仅需要让各个VXLAN网关与路由反射器
配置BGP EVPN对等体关系，大大减少网络中的BGP EVPN对等体关系数量，简化配
置工作量。
EBGP EVPN对等体发布路由时不改变下一跳。
5. 执行命令peer { ipv4-address | group-name } reflect-client，配置路由反射器及其客
户。
6. 执行命令undo policy vpn-target，配置去使能对接收到的EVPN路由使能VPN-
Target过滤功能。如果不配置此步骤，反射器将无法接收和反射客户机发来的路
由。
步骤3 配置EVPN实例。
1. 执行命令evpn vpn-instance vpn-instance-name bd-mode，创建BD模式的EVPN实
例，并进入EVPN实例视图。
2. 执行命令route-distinguisher route-distinguisher，配置EVPN实例的RD。
extcommunity ]，为EVPN实例配置VPN-target扩展团体属性。本端配置的出方向
VPN-target值需要与对端配置的入方向VPN-target值相等；本端配置的入方向VPN-
target值需要与对端配置的出方向VPN-target值相等。
4. （可选）执行命令import route-policy policy-name，将当前EVPN实例与一条入方
当需要更精确地控制进入到当前EVPN实例的路由时，可以执行此步骤指定入方向
5. （可选）执行命令export route-policy policy-name，将当前EVPN实例与一条出方
当需要更精确地控制发布的EVPN路由时，可以执行此步骤指定出方向Route-
Policy来过滤发布的EVPN路由，以及为通过过滤条件的EVPN路由设置路由属
性。
6. （可选）执行命令tnl-policy policy-name，配置当前EVPN实例与指定的隧道策略
进行关联。
配置当前EVPN实例与指定的隧道策略进行关联可以使PE间传输数据报文使用TE
隧道。
7. （可选）执行命令mac limit number { simply-alert | mac-unchanged }，配置EVPN
实例中MAC地址数量的最大值。
设备引入太多MAC地址会占用较多的系统资源，在系统业务繁忙时，有可能影响
设备的正常运行。为提高系统的安全性和可靠性，可以配置mac limit命令对EVPN
实例中MAC地址数量进行限制。配置此命令后，当MAC地址数超过预先设定的值
时，系统会输出告警信息，从而提醒用户检查系统中存在的MAC地址的有效性。

8. 执行命令quit，退出EVPN实例视图。
9. 执行命令bridge-domain bd-id，进入BD视图。
11. 执行命令evpn binding vpn-instance vpn-instance-name，将EVPN实例与BD绑定。
12. 执行命令quit，退出BD视图，返回到系统视图。
步骤4 配置头端复制功能。
3. 执行命令vni vni-id head-end peer-list protocol bgp，使能头端复制功能。
（Broadcast&Unknown-unicast&Multicast）报文后，需要将其复制多份并发送给列
表中的所有VTEP。头端复制列表就是用于指导VXLAN隧道的入节点进行BUM报
文复制和发送的远端VTEP的IP地址列表。
4. 执行命令quit，退出NVE接口视图。
步骤5 （可选）配置NVE接口的MAC地址。
在使用BGP EVPN建立VXLAN分布式网关的场景下，在部署VXLAN双活接入时，需
要在组成VXLAN双活接入的两台设备上配置相同的VTEP MAC地址，以确保VXLAN
网络中，网关上的流量转发正常。
1. 执行命令interface nve nve-number，进入NVE接口视图。

2. 执行命令mac-address mac-address，配置NVE接口的MAC地址。
3. 执行命令quit，退出NVE接口视图。
----结束

在BGP EVPN方式部署分布式网关的场景中，为了实现不同网段的终端用户互通，需
要配置VXLAN三层网关。
背景信息
VXLAN分布式网关场景下不同网段的主机互通必须通过三层转发，因此需要三层网关
学习到主机路由。此时，需要在VXLAN网关设备上完成以下配置：
1. 配置与EVPN实例交叉路由的VPN实例。该VPN实例用于存储主机路由或主机网段
路由，区分不同的租户。
2. 配置VXLAN三层网关绑定VPN实例，使能分布式网关功能并配置发布主机路由功
能。
3. 配置VXLAN网关之间发布的路由类型。通过选择发布不同的路由类型，可以使
VXLAN网关之间发送不同的路由信息。如果在组网中部署路由反射器，则仅需要
配置VXLAN网关与路由反射器之间发布的路由类型。

说明
如果有相同子网的终端租户在不同VXLAN三层网关下，需要为三层网关配置相同的网关IP地
址、MAC地址。当终端租户移动位置，不需要更改终端租户的三层网关配置，减少了维护工作
量。
操作步骤
步骤1 配置与EVPN实例交互路由的VPN实例。
1. 执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN实例视
图。
2. 执行命令vxlan vni vni-id，创建VXLAN网络标识VNI并关联VPN实例。
3. 执行命令ipv4-family，使能VPN实例IPv4地址族，并进入VPN实例IPv4地址族视
图。
4. 执行命令route-distinguisher route-distinguisher，配置VPN实例IPv4地址族的RD。
extcommunity ]，为VPN实例IPv4地址族配置VPN-target扩展团体属性。
VPN Target是BGP的扩展团体属性，用来控制VPN路由信息的接收和发布。一条
vpn-target命令最多可以配置8个VPN Target。如果希望在VPN实例IPv4地址族下配
置更多的VPN Target，可以多次使用vpn-target命令进行配置。
extcommunity ] evpn，为VPN实例IPv4地址族配置用于与EVPN实例交互路由的
VPN-target扩展团体属性，即此配置中的vpn-target值需要与BD视图下的EVPN实例
中的RT值相匹配。
当前VPN实例IPv4地址族向EVPN实例发布路由时，不会携带当前VPN实例IPv4地
址族中配置的EVPN出方向VPN-Target属性，只会携带广播域BD下EVPN实例中配
置的出方向VPN-Target属性列表中的所有VPN-Target属性。
当收到EVPN实例发来的路由时，只有其携带的VPN-Target属性包含在当前VPN实
例IPv4地址族入方向VPN-Target属性列表中时，才允许该路由进入到当前VPN实例
IPv4地址族路由表。
7. （可选）执行命令import route-policy policy-name evpn，将当前VPN实例IPv4地址
族与一条入方向Route-Policy进行关联，该Route-Policy用来过滤从EVPN实例引入
到当前VPN实例IPv4地址族的路由。
如果需要更精确地控制从EVPN实例进入到当前VPN实例IPv4地址族的路由，可以
执行此步骤指定入方向Route-Policy来过滤路由信息，以及为通过过滤条件的路由
设置路由属性。
8. （可选）执行命令export route-policy policy-name evpn，将当前VPN实例IPv4地址
族与一条出方向Route-Policy进行关联，该Route-Policy用来过滤当前VPN实例IPv4
地址族发布到EVPN实例的路由。
如果需要更精确地控制当前VPN实例IPv4地址族发布到EVPN实例的路由，可以执
行此步骤指定出方向Route-Policy来过滤发布的路由信息，以及为通过过滤条件的
路由设置路由属性。
9. 执行命令quit，退出VPN实例IPv4地址族视图。
10. 执行命令quit，退出VPN实例视图。
步骤2 配置三层网关绑定VPN实例，使能分布式网关功能并配置发布主机路由功能。
1. 执行命令interface vbdif bd-id，创建VBDIF接口，并进入VBDIF接口视图。
缺省情况下，没有创建VBDIF接口。

2. 执行命令ip binding vpn-instance vpn-instance-name，将VBDIF接口绑定VPN实

例。
3. 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置VBDIF接口的IP
地址，实现三层互通。
4. （可选）执行命令mac-address mac-address，配置VBDIF接口的MAC地址。
缺省情况下，VBDIF接口的MAC地址是系统的MAC地址。
5. 执行命令arp distribute-gateway enable，使能分布式网关功能。
缺省情况下，分布式网关功能处于去使能。
说明
在三层网关上使能分布式网关功能后，网关收到网络侧的ARP报文将做丢弃处理，只学习
用户侧主机的ARP报文。
6. 根据需要选择执行如下步骤，配置发布主机路由功能：
– 如果VXLAN网关之间配置发布IRB类型的路由，则执行命令arp collect host
enable。
– 如果VXLAN网关之间配置发布IP前缀类型的路由，则执行命令arp vlink-
direct-route advertise [ route-policy route-policy-name ]。
7. 执行命令quit，退出VBDIF接口视图。
步骤3 配置VXLAN网关之间发布的路由类型（如果在组网中部署路由反射器，则仅需配置
VXLAN网关与路由反射器之间发布的路由类型）。
l 配置发布IRB类型的路由
a. 执行命令bgp as-number，进入BGP视图。
b. 执行命令l2vpn-family evpn，进入BGP-EVPN地址族视图。
c. 执行命令peer { ipv4-address | group-name } advertise irb，配置发布IRB类型的
路由。
此类型路由既可以用于主机IP路由通告，也能用于主机ARP通告。主机ARP
通告功能可以实现分布式网关场景下的虚拟机迁移，因此建议配置发布IRB类
型的路由。
d. 执行命令quit，退出BGP-EVPN地址族视图。
e. 执行命令quit，退出BGP视图。
f. 执行命令commit，提交配置。
l 配置发布IP前缀类型的路由。
a. 执行命令bgp as-number，进入BGP视图。
b. 执行命令ipv4-family vpn-instance vpn-instance-name，进入BGP-VPN实例IPv4
地址族视图。
c. 执行命令import-route { direct | isis process-id | ospf process-id | rip process-id |
static } [ med med | route-policy route-policy-name ] *，将其他协议路由引入到
当前BGP-VPN实例IPv4地址族视图中。
如果要发布主机IP路由，则只需配置引入直连路由即可。如果要发布主机所
在的网段路由，需要先利用动态路由协议（如OSPF等）发布该网段路由，此
处再配置引入相应动态协议的路由。
d. 执行命令advertise l2vpn evpn，配置发布IP前缀类型的路由。
此类型路由既可以用于发布主机IP路由，也可以用于发布主机所在的网段路
由。当主机明细路由数量较大时，为了减轻VXLAN网关上路由存储的负担，

可以配置发布IP前缀类型的路由，并将网段路由引入到当前的BGP-VPN实例
地址族中。
说明
n 如果网关设备下连接的网段在整个网络中唯一，则可以配置发布网段路由，否则
不能配置发布网段路由。
n 在配置发布IP前缀类型的路由之后，需执行arp vlink-direct-route advertise命令来
发布主机路由，此时虚拟机的迁移会受到限制，因此建议配置发布IRB类型的路
由。
e. 执行命令quit，退出BGP-VPN实例IPv4地址族视图。
f. 执行命令quit，退出BGP视图。
g. 执行命令commit，提交配置。
----结束

背景信息
操作步骤
*

----结束
分布式网关部署方式的VXLAN（BGP EVPN方式）配置成功后，您可以查看到
VXLAN隧道是通过动态学习建立，且状态为Up。
前提条件
已经完成分布式网关部署方式的VXLAN（BGP EVPN方式）的所有配置。
操作步骤
信息。
信息。
态。
和统计信息。
----结束
1.2.7 配置通过三段式 VXLAN 实现数据中心互联

通过配置三段式VXLAN，可以实现不同数据中心的VM之间的互通。
应用环境
随着企业的发展，为满足跨地域运营、用户接入、异地灾备等场景，越来越多的企业
通常在多地域部署多个数据中心。数据中心互联DCI（Data Center Interconnection）是
不同数据中心VM之间互相通信的一种解决方案，使用VXLAN、BGP EVPN等技术，
使数据中心发送过来的报文能够在运营商网络上安全可靠的传输。通过部署三段式
VXLAN可以实现不同数据中心的VM之间的互相通信。

前置任务
在配置通过三段式VXLAN实现数据中心互联之前，需完成以下任务：
l 在数据中心内部配置IGP协议。
配置流程
以下配置任务（不含检查配置结果），根据应用环境选择其中一项或几项进行配置。
1.2.7.1 配置三段式 VXLAN 实现三层互通

通过配置三段式VXLAN，实现不同数据中心跨子网VM之间的互通。
背景信息
如图1-72所示，在数据中心A和B内部配置BGP EVPN协议创建分布式网关的VXLAN隧
道，在Leaf之间也配置BGP EVPN协议创建VXLAN隧道，实现数据中心A和数据中心B
之间跨子网VM的互相通信。
当数据中心A和数据中心B规划在相同的BGP AS域时，由于Leaf2或者Leaf3收到IBGP
EVPN对等体发送的EVPN路由后，不会再向其他IBGP EVPN对等体发送，因此需要将
Leaf2和Leaf3配置为路由反射器。
图 1-72 配置三段式 VXLAN 组网图
IP网络
Device1 Device2
Spine1 Spine2
Leaf2 Leaf3
（RR）（RR）
VMa1 VMa2 VMb1 VMb2
操作步骤
步骤1 在数据中心A、数据中心B内部配置EVPN协议创建VXLAN隧道，具体配置过程请参见
1.2.6 配置分布式网关部署方式的VXLAN（BGP EVPN方式）。

步骤2 在Leaf2和Leaf3之间配置BGP EVPN协议创建VXLAN隧道，具体配置过程请参见1.2.6

配置分布式网关部署方式的VXLAN（BGP EVPN方式）。
步骤3 （可选）在Leaf2和Leaf3上配置反射器功能，具体配置过程请参见配置BGP路由反射
器。
步骤4 在Leaf2和Leaf3上配置向BGP EVPN对等体发布EVPN地址族重新生成后的路由。
2. 执行命令l2vpn-family evpn命令，进入BGP-EVPN地址族视图。
3. 执行命令peer { ipv4-address | group-name } import reoriginate，使能从BGP EVPN
对等体收到的路由打上重生路由标记功能。
4. 执行命令peer { ipv4-address | group-name } advertise route-reoriginated evpn
{ mac-ip | ip }，配置EVPN重生成路由并将EVPN重生成路由向一端BGP EVPN对
等体发送。
重生成路由的过程：收到EVPN路由后，Leaf2或者Leaf3会将下一跳修改为自己，
同时将主机路由中网关MAC属性中的Router MAC替换为自己的Router MAC，三
层VNI替换为VPN实例的三层VNI。
----结束
1.2.7.2 配置三段式 VXLAN 实现二层互通

通过配置三段式VXLAN隧道，实现不同数据中心同子网VM之间的互通。
背景信息
如图1-73所示，在数据中心A和数据中心B内部分别创建VXLAN隧道，在数据中心的边
缘设备（Transit Leaf）之间也创建VXLAN隧道。当VM1和VM2之间需要通信时，需要
实现数据中心A和数据中心B之间的二层互通。如果数据中心A和数据中心B内部的
VXLAN隧道都采用相同的VNI，则Transit Leaf1和Transit Leaf2之间只需采用同一VNI
建立VXLAN隧道即可。但是，在实际应用中，不同的数据中心都有各自独立的VNI空
间，因此数据中心A和数据中心B内部的VXLAN隧道很可能采用了不同的VNI，此时，
在Transit Leaf1和Transit Leaf2上配置到达对端的VXLAN隧道时，需要进行一次VNI的
转换。
例如在图1-73中，数据中心A内部的VXLAN隧道采用的VNI是10，数据中心B内部的
VXLAN隧道采用的VNI是20，在Transit Leaf1上需要针对Transit Leaf2配置出方向VNI
为20，同理，在Transit Leaf2上需要针对Transit Leaf1配置出方向VNI为10。这样就可以
正常进行二层报文转发了，以数据中心A向数据中心B发送报文为例：当Transit Leaf1收
到内部发来的VXLAN报文后，进行解封装，然后再使用出方向VNI（20）进行VXLAN
封装，发送给Transit Leaf2。Transit Leaf2收到后按正常VXLAN报文转发即可。

图 1-73 配置三段式 VXLAN 实现二层互通组网图
Spine Spine
Server Transit Transit Server

Leaf1 Leaf1 Leaf2 Leaf2
VXLAN VXLAN VXLAN
VNI 10 VNI 20
Out VNI 20 Out VNI 10
VSwitch VSwitch
VM1 VM2
VLAN 10 VLAN 10
说明
l 这里实现的是不同数据中心VM之间的二层互通，因此无需配置三层网关。
l 如果数据中心A和B属于同一AS，则请在边缘设备上配置路由反射器；如果数据中心A和B不
属于同一AS，则请在边缘设备之间建立EBGP EVPN对等体。
操作步骤
步骤1 在数据中心A和数据中心B内部配置BGP EVPN方式建立VXLAN隧道，具体配置过程请
参见1.2.5 配置集中式网关部署方式的VXLAN（BGP EVPN方式），无需配置VXLAN
三层网关。
步骤2 在Transit Leaf1和Transit Leaf2上配置BGP EVPN方式建立数据中心之间的VXLAN隧
道，具体配置过程请参见1.2.5 配置集中式网关部署方式的VXLAN（BGP EVPN方
式），无需配置VXLAN三层网关。
步骤3 在Transit Leaf1和Transit Leaf2上配置向BGP EVPN对等体发布EVPN地址族重新生成后
的路由。
2. 执行命令l2vpn-family evpn命令，进入BGP-EVPN地址族视图。
3. 执行命令peer { group-name | ipv4-address } split-group split-group-name，配置BGP
EVPN对等体（组）所属的水平分割组。
在二层互通的场景中，为了避免BUM流量转发出现环路，需要引入水平分割组。
在Transit Leaf1和Transit Leaf2上，需要分别为对方指定水平分割组名称。这样，数
据中心A和B内部的设备属于默认的水平分割组，Transit Leaf1和Transit Leaf2属于
指定的水平分割组。当Transit Leaf节点收到BUM流量后，不会再转发给属于同一
水平分割组的设备，避免环路。
4. 执行命令peer { ipv4-address | group-name } import reoriginate，使能从BGP EVPN
对等体收到的路由打上重生路由标记功能。
在Transit Leaf节点上，需要分别为从数据中心内部的BGP EVPN对等体、从对端数
据中心的BGP EVPN对等体（Transit Leaf节点）收到的路由打上重生成路由标记。
5. 执行命令peer { ipv4-address | group-name } advertise route-reoriginated evpn
mac，配置EVPN重生成路由并将EVPN重生成路由向指定的BGP EVPN对等体发
送。

在二层互通的场景中，只需配置EVPN路由中的MAC路由重生成。在Transit Leaf节
点上，需要分别向数据中心内部的BGP EVPN对等体、对端数据中心的BGP EVPN
对等体（Transit Leaf节点）发送重生成的MAC路由。
6. 执行命令commit，提交配置。
----结束
通过三段式VXLAN实现数据中心互联配置成功后，可以查看EVPN实例、VXLAN隧道
等相关信息。
前提条件
已经完成通过三段式VXLAN实现数据中心互联的所有配置。
操作步骤
信息。
信息。
态。
和统计信息。
----结束
1.2.8 配置静态 VXLAN 双活场景

在数据中心与企业Site对接的场景中，CE双归接入VXLAN网络，运营商可以增强
VXLAN的接入可靠性，用户的业务稳定性得到提高，遇到故障可以更快速的收敛。
背景信息
如图1-74所示，CE1双归接入到PE，PE1和PE2对网络侧使用一个虚地址作为NVE接口
的地址，即Anycast VTEP地址。这样从CPE侧只感知到一个远端的NVE接口，在CPE侧
配置VTEP与Anycast VTEP地址之间建立VXLAN隧道实现PE1、PE2与CPE之间的互
通。
CPE下行的报文任选PE1或PE2都可以到达双归接入的CE1，但是网络中也可能存在单
归接入的CE设备，例如：CE2和CE3。所以CPE下行的报文到达其中一个PE后可能还

需绕行到另一台PE设备才能到达单归接入的CE设备，所以需要在双活的PE1和PE2之间
建立Bypass VXLAN隧道作为绕行通道。
说明
当CPE与PE之间采用IPv6网络承载时，首先需要在CPE和PE上配置IPv4 over IPv6隧道；为了使

VXLAN隧道可以迭代到IPv4 over IPv6隧道，需在CPE和PE上配置静态路由，将到达VXLAN隧
道目的地址的路由出接口设置为IPv4 over IPv6隧道接口。
图 1-74 配置静态 VXLAN 双活场组网图
CPE
VXLAN Tunnel
Anycast VTEP
PE1 PE2
Bypass VXLAN Tunnel
Trunk
CE2 CE1 CE3
操作步骤
步骤1 配置AC侧业务接入。
1. 在CE1上配置Eth-Trunk接口，双归接入PE1和PE2。
2. 配置业务接入VXLAN网络，参考配置VXLAN业务接入点配置过程。
3. 在PE1和PE2上对CE1的接入链路静态配置相同的ESI。
a. 执行interface eth-trunk命令，进入Eth-Trunk接口视图。
b. 执行esi，配置以太链路网段的标识。
步骤2 配置CPE与PE设备之间的静态VXLAN隧道，具体配置过程请参见创建静态VXLAN隧
道。
步骤3 配置PE1与PE2之间的Bypass VXLAN隧道。

1. 配置BGP EVPN对等体关系。
a. 执行命令bgp as-number，使能BGP协议并进入BGP视图。
b. 执行命令peer ipv4-address as-number as-number，将对端配置为对等体。
c. 执行命令l2vpn-family evpn，进入BGP-EVPN地址族视图。

d. 执行命令peer { ipv4-address | group-name } enable，使能对等体或组间交换

EVPN路由信息的能力。
e. 执行命令peer { ipv4-address | group-name } advertise encap-type vxlan，配置
向邻居发布VXLAN封装的EVPN路由。
f. 执行命令quit，退出BGP-EVPN地址族视图。
g. 执行命令ipv4-family vpnv4命令，进入BGP-VPNv4地址族视图。
h. 执行命令peer { ipv4-address | group-name } enable，使能对等体或组间交换路
由信息的能力。
i. 执行命令undo synchronization，关闭BGP与IGP的同步功能。
j. 执行命令quit，退出BGP-VPNv4地址族视图。
k. 执行命令quit，退出BGP视图。
l. 执行命令commit，提交配置。
2. 配置EVPN实例或VPN实例。
– 二层互通场景（配置EVPN实例）
i. 执行命令evpn vpn-instance vpn-instance-name bd-mode，创建BD模式的
EVPN实例，并进入EVPN实例视图。
ii. 执行命令route-distinguisher route-distinguisher，配置EVPN实例的RD。
iii. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity |
import-extcommunity ]，为EVPN实例配置VPN-target扩展团体属性。
说明
本端配置的出方向VPN-target值需要与对端配置的入方向VPN-target值相等；本端配
置的入方向VPN-target值需要与对端配置的出方向VPN-target值相等。
iv. 执行命令quit，退出EVPN实例视图。
v. 执行命令bridge-domain bd-id，进入BD视图。
vi. 执行命令vxlan vni vni-id split-horizon-mode，创建VNI并关联广播域
BD，然后按照水平分割方式进行转发。
vii. 执行命令evpn binding vpn-instance vpn-instance-name，将EVPN实例与
BD绑定。
viii. 执行命令quit，退出BD视图。
ix. 执行命令commit，提交配置。
– 三层互通场景（配置VPN实例）
i. 执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN
实例视图。
ii. 执行命令ipv4-family [ unicast ] ，进入VPN实例的IPv4地址族视图。
iii. 执行命令route-distinguisher route-distinguisher，配置VPN实例的RD。
iv. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity |
import-extcommunity ] [ evpn ]，为VPN实例配置VPN-target扩展团体属
性。
说明
本端配置的出方向VPN-target值需要与对端配置的入方向VPN-target值相等；本端配
置的入方向VPN-target值需要与对端配置的出方向VPN-target值相等。
v. 执行命令quit，退出VPN实例的IPv4地址族视图。
vi. 执行命令quit，退出VPN实例视图。

vii. 执行命令bridge-domain bd-id，进入BD视图。

viii. 执行命令vxlan vni vni-id split-horizon-mode，创建VNI并关联广播域
BD，然后按照水平分割方式进行转发。
ix. 执行命令quit，退出BD视图。
x. 执行命令commit，提交配置。
3. 在PE1和PE2上使能框间VXLAN功能。
a. 执行evpn命令，进入EVPN视图。
b. 执行命令bypass-vxlan enable，使能框间VXLAN功能。
c. 执行命令quit，退出EVPN视图。
4. 配置头端复制功能。
a. 执行interface nve nve-number命令，进入NVE接口视图。
b. 执行命令source ip-address，配置源端VTEP的IP地址。
c. 执行命令vni vni-id head-end peer-list protocol bgp，使能头端复制功能。
d. 执行bypass source ip-address命令，配置Bypass VXLAN隧道的源端VTEP地
址。
e. 执行mac-address mac-address命令，配置VTEP MAC地址。
f. 执行命令quit，退出NVE接口视图。
步骤4 在PE设备上配置流量快速切换功能。
l 二层互通场景
b. 执行命令vlan-extend private，使能向邻居发布本地路由携带该新增扩展团体
属性功能。
c. 执行命令vlan-extend redirect，使能对接收到的携带新增扩展VLAN团体属性
的路由进行重定向功能。
d. 执行命令local-remote frr，使能本远端MAC路由快速重路由功能。
e. 执行命令quit，退出EVPN视图。
l 三层互通场景
a. 执行执行命令bgp as-number，进入BGP视图。
b. 执行命令执行命令ipv4-family vpn-instance vpn-instance-name，进入BGP-VPN
实例IPv4地址族视图。
c. 执行命令auto-frr，使能BGP Auto FRR（Fast ReRoute）功能。
EVPN路由信息的能力。其中IP地址参数为CE的地址。
e. 执行命令advertise l2vpn evpn，使能VPN实例向EVPN实例发布IP路由功能。
f. 执行命令quit，退出BD视图。
步骤5 （可选）在PE设备上使能UDP端口，防止回切多包。
1. 执行命令system-view,进入系统视图。

2. 执行命令evpn enhancement port port-id,配置UDP端口号。
处于双活场景下的两台PE设备上配置的UDP端口号port-id必须一样。
步骤6 （可选）为提高在穿越不安全网络时的安全性，配置CPE与PE设备之间的VXLAN over

IPSec隧道。
具体配置过程请参见VXLAN over IPSec配置举例。
----结束
检查配置结果
配置VXLAN双活场景成功后，可参考检查配置结果查看到VXLAN隧道、VNI的状态、
VBDIF等信息。
1.2.9 配置动态 VXLAN 双活场景

在数据中心与企业Site对接的场景中，CE双归接入VXLAN网络，可以增强VXLAN的
接入可靠性，用户的业务稳定性得到提高，遇到故障可以更快速的收敛。
背景信息
如图1-75所示，CE1双归接入到PE，PE1和PE2对网络侧使用一个虚地址作为NVE接口
的地址，即Anycast VTEP地址。这样从CPE侧只感知到一个远端的VTEP IP，在CPE侧
配置VTEP与Anycast VTEP地址之间建立动态VXLAN隧道实现PE1、PE2与CPE之间的
互通。
图 1-75 配置动态 VXLAN 双活场组网图
CPE
VXLAN Tunnel
Anycast VTEP
PE1 PE2
Bypass VXLAN Tunnel
Trunk
CE2 CE1 CE3

操作步骤
步骤1 配置AC侧业务接入。
1. 在CE1上配置Eth-Trunk接口，双归接入PE1和PE2。
2. 配置业务接入VXLAN网络，参考配置VXLAN业务接入点配置过程。
3. 在PE1和PE2上对CE1的接入链路静态配置相同的ESI。
a. 执行interface eth-trunk命令，进入Eth-Trunk接口视图。
b. 执行esi，配置以太链路网段的标识。
步骤2 配置CPE与PE设备之间的动态VXLAN隧道，具体配置过程请参见配置VXLAN隧道。
步骤3 配置PE1与PE2之间的Bypass VXLAN隧道。

a. 执行命令bgp as-number，使能BGP协议并进入BGP视图。
b. 执行命令peer ipv4-address as-number as-number，将对端配置为对等体。
c. 执行命令l2vpn-family evpn，进入BGP-EVPN地址族视图。
EVPN路由信息的能力。
e. 执行命令peer { ipv4-address | group-name } advertise encap-type vxlan，配置
向邻居发布VXLAN封装的EVPN路由。
f. 执行命令quit，退出BGP-EVPN地址族视图。
g. 执行命令quit，退出BGP视图。
h. 执行命令commit，提交配置。
2. 配置EVPN实例。
a. 执行命令evpn vpn-instance vpn-instance-name bd-mode，创建BD模式的EVPN
实例，并进入EVPN实例视图。
b. 执行命令route-distinguisher route-distinguisher，配置EVPN实例的RD。
c. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-
extcommunity ]，为EVPN实例配置VPN-target扩展团体属性。本端配置的出
方向VPN-target值需要与对端配置的入方向VPN-target值相等；本端配置的入
方向VPN-target值需要与对端配置的出方向VPN-target值相等。
d. 执行命令quit，退出EVPN实例视图。
e. 执行命令bridge-domain bd-id，进入BD视图。
f. 执行命令vxlan vni vni-id split-horizon-mode，创建VNI并关联广播域BD，然
后按照水平分割方式进行转发。
g. 执行命令evpn binding vpn-instance vpn-instance-name，将EVPN实例与BD绑
定。
h. 执行命令quit，退出BD视图。
i. 执行命令commit，提交配置。
3. 在PE1和PE2上使能框间VXLAN功能。

b. 执行命令bypass-vxlan enable，使能框间VXLAN功能。
c. 执行命令quit，退出EVPN视图。
a. 执行interface nve nve-number命令，进入NVE接口视图。
b. 执行命令source ip-address，配置源端VTEP的IP地址。
c. 执行命令vni vni-id head-end peer-list protocol bgp，使能头端复制功能。
d. 执行bypass source ip-address命令，配置Bypass VXLAN隧道的源端VTEP地
址。
e. 执行mac-address mac-address命令，配置VTEP MAC地址。
f. 执行命令quit，退出NVE接口视图。
步骤4 在PE设备上配置流量快速切换功能。
l 二层互通场景
b. 执行命令vlan-extend private，使能向邻居发布本地路由携带该新增扩展团体
属性功能。
c. 执行命令vlan-extend redirect，使能对接收到的携带新增扩展VLAN团体属性
的路由进行重定向功能。
d. 执行命令local-remote frr，使能本远端MAC路由快速重路由功能。
e. 执行命令quit，退出EVPN视图。
l 三层互通场景
a. 执行执行命令bgp as-number，进入BGP视图。
b. 执行命令执行命令ipv4-family vpn-instance vpn-instance-name，进入BGP-VPN
实例IPv4地址族视图。
c. 执行命令auto-frr，使能BGP Auto FRR（Fast ReRoute）功能。
d. 执行命令peer { ipv4-address | group-name } as-number as-number，指定对等体
的IP地址及其所属的AS编号。
e. 执行命令advertise l2vpn evpn，使能VPN向EVPN实例发布IP路由功能。
f. 执行命令quit，退出BD视图。
步骤5 （可选）在PE设备上使能UDP端口，防止回切多包。
1. 执行命令system-view,进入系统视图。
2. 执行命令evpn enhancement port port-id,配置UDP端口号。
处于双活场景下的两台PE设备上配置的UDP端口号port-id必须一样。
步骤6 （可选）为提高在穿越不安全网络时的安全性，配置CPE与PE设备之间的VXLAN over
IPSec隧道。
具体配置过程请参见VXLAN over IPSec配置举例。
----结束

检查配置结果
配置VXLAN双活场景成功后，可参考检查配置结果查看到VXLAN隧道、VNI的状态、
VBDIF等信息。
1.2.10 配置用户通过 PW 拼接 VXLAN 隧道接入 BRAS

随着虚拟化网络的发展，当设备资源不足时，可以将接入用户的流量负载分担到数据
中心的虚拟设备BRAS上进行处理。数据中心内部署VXLAN网络，设备通过和数据中
心的虚拟设备BRAS共同构建VXLAN网络，实现用户通过VXLAN隧道的接入。
应用环境
用户可以通过PW拼接VXLAN隧道实现用户接入BRAS，如图1-76所示，VPLS网络和
VXLAN网络通过Device2和Device4进行拼接，将用户接入BRAS设备。Device2和
Device4设备互为主备，并配置VRRP，实现链路和设备的可靠性。
图 1-76 用户通过 PW 拼接 VXLAN 隧道接入 BRAS 组网图
OLT1 Device1 Device2

PC1 BRAS1
PW
VXLAN Tunnel
PW
VRRP Internet
VXLAN Tunnel
PW
PC2 OLT2 Device3 Device4 BRAS2
Master Device
Backup Device
前置任务
在配置用户通过PW拼接VXLAN隧道接入BRAS之前，需要完成以下任务：
l VPLS网络已经创建。
l 整个网络的三层路由可达。
以下操作步骤请在VPLS网络和VXLAN网络相交设备上完成。
操作步骤
步骤1 配置头端复制列表。
1. 执行命令system-view，进入系统视图。

指定源端VTEP的IP地址时，可以指定实际物理接口的地址，也可以指定Loopback
接口的地址，推荐使用Loopback接口的地址。
3. 执行命令vni vni-id head-end peer-list ip-address &<1-10>，配置头端复制列表。
说明
由于当前只支持头端复制方式进行BUM报文转发，当和其他厂商设备对接创建VXLAN隧
道时，必须保证对端设备也配置头端复制方式，否则会导致对接失败。
步骤2 配置广播域BD，并和VSI实例绑定。
2. 执行命令bridge-domain bd-id，创建BD并进入BD视图。
4. 执行命令l2 binding vsi vsi-name [ pw-tag pw-tag-value ]，将广播域BD绑定到VSI实
例。
步骤3 配置VRRP备份组并监视接口的状态，创建管理VRRP备份组。
2. 执行命令interface interface-type interface-number.subinterface-number，进入子接口
视图。
3. 执行命令vlan-type dot1q vlan-id，配置以太网子接口关联的VLAN，并指定VLAN
封装方式。
4. 执行命令ip address ip-address { mask | mask-length }，配置子接口的IP地址。
5. 执行命令vrrp vrid virtual-router-id [ virtual-ip virtual-address ]，配置VRRP备份
组。
6. 执行命令vrrp vrid track virtual-router-id interface interface-type interface-number
reduced value-reduced，配置VRRP备份组监视接口状态。
7. 执行命令admin-vrrp vrid virtual-router-id [ ignore-if-down ]，创建管理VRRP备份
组。
步骤4 配置VRRP联动Virtual VTEP的路由优先级。

1. 执行命令interface loopback loopback-number，创建Loopback接口并进入Loopback
接口视图。
2. 执行命令ip address ip-address { mask | mask-length }，配置Loopback接口的IP地
址。
配置的Loopback接口的IP地址和源端VTEP的IP地址相同。
3. 执行命令direct-route track vrrp vrrp interface interface-type interface-number vrid
virtual-router-id degrade-cost cost-value，配置VRRP联动Virtual VTEP的路由优先
级。
vrid virtual-router-id为已经创建的管理VRRP备份组。
步骤5 绑定业务VSI实例下的业务PW与管理VRRP备份组。

2. 执行命令vsi vsi-name [ static | auto ] bd-mode，创建一个桥域模式的VSI。
3. 执行命令pwsignal ldp，进入VSI-LDP视图。
4. 执行命令vsi-id vsi-id，配置VSI实例的ID。
5. 执行命令peer peer-address，配置VSI的对等体。
6. 执行命令peer peer-address [ negotiation-vc-id vc-id ] track admin-vrrp interface
interface-type interface-number vrid virtual-router-id pw-redundancy backup-block-
all，配置业务VSI实例下的业务PW绑定管理VRRP备份组。
----结束
1.2.11 维护 VXLAN
通过维护VXLAN，可以实现清除VXLAN统计数据、监控VXLAN的运行状况。
1.2.11.1 配置 VXLAN 告警上报功能

为了方便运维，及时了解VXLAN网络的运行状态，可以配置VXLAN告警上报功能，
将VXLAN的状态变化通知给网管系统，提醒用户注意。
操作步骤
步骤2 执行命令snmp-agent trap enable feature-name nvo3 [ trap-name

{ hwnvo3vxlantnldown | hwnvo3vxlantnlup } ]，打开VXLAN告警开关。
----结束
检查配置结果
VXLAN告警上报功能配置成功后，可以按如下操作查看VXLAN告警开关的状态信
息。
执行命令display snmp-agent trap feature-name nvo3 all，可以查看到VXLAN模块的所

有告警开关信息。
<HUAWEI> display snmp-agent trap feature-name nvo3 all
------------------------------------------------------------------------------
Feature name: NVO3
Trap number : 2
------------------------------------------------------------------------------
Trap name Default switch status Current switch status
hwNvo3VxlanTnlDown off on
hwNvo3VxlanTnlUp off on
1.2.11.2 统计并查看 VXLAN 报文统计信息

当需要检查网络状况或处理网络故障时，可以在设备上打开VXLAN流量统计功能，统
计并查看VXLAN报文的统计信息。

操作步骤
l 统计并查看BD内的VXLAN报文统计信息
b. 执行命令bridge-domain bd-id，创建广播域BD，并进入BD视图。
c. 执行命令statistic enable，使能BD内报文统计功能。
l 统计并查看以VNI为粒度的VXLAN报文统计信息
b. 执行命令vni vni-id，创建VNI，并进入VNI视图。
c. 执行命令statistic enable，使能指定VNI视图下的报文统计功能。
l 统计并查看以VNI和VXLAN隧道为粒度的报文统计信息
b. 执行命令interface nve nve-number，创建NVE接口，并进入NVE接口视图。
c. 执行命令source ip-address，配置源端VTEP的IP地址。
d. 执行命令vni vni-id head-end peer-list ip-address &<1-10>，配置VNI的头端复
制列表。
e. 执行命令vxlan statistics peer peer-ip vni vni-id [ inbound | outbound ] enable，
使能以VNI和VXLAN隧道为粒度的报文统计功能。
f. 执行命令vxlan statistic l3-mode peer peer-ip vni vni-id inbound enable，使能
以VNI和VXLAN隧道为粒度的三层上行流量统计功能。
执行命令vxlan statistics l3-mode peer peer-ip [ vni vni-id ] outbound enable，
使能以VNI和VXLAN隧道为粒度的三层下行流量统计功能。
后续处理
l 执行命令display bridge-domain vni vni-id，查看BD内报文的统计信息。
l 执行命令display vxlan statistics vni vni-id，查看以VNI为粒度的VXLAN报文统计
信息。
l 执行命令display vxlan statistics source source-ip peer peer-ip vni vni-id，查看以VNI
和VXLAN隧道为粒度的报文统计信息。
l 执行命令display vxlan statistics l3-mode source source-ip peer peer-ip local-vni vni-
id，查看以VNI和VXLAN隧道为粒度的三层上行流量报文统计信息。
l 执行命令display vxlan statistics l3-mode source source-ip peer peer-ip remote-vni
vni-id，查看以VNI和VXLAN隧道为粒度的三层下行流量报文统计信息。
1.2.11.3 清除 VXLAN 报文统计信息

当需要查看一定时间内某个BD内报文流量信息、以VNI为粒度的VXLAN报文流量信息
或以VNI和VXLAN隧道为粒度的报文流量信息时，必须在统计开始前清除已有的报文
统计信息，使报文重新进行统计，保证统计信息的正确性。

背景信息
说明
清除报文统计信息后，以前的信息将无法恢复，务必仔细确认。
操作步骤
l 在用户视图下，执行命令reset bridge-domain bd-id statistics，清除指定BD内报文
统计信息。
l 在用户视图下，执行命令reset vxlan statistics vni vni-id，清除以VNI为粒度的
VXLAN报文统计信息。
l 在用户视图下，执行命令reset vxlan statistics source source-ip peer peer-ip vni vni-
id，清除以VNI和VXLAN隧道为粒度的报文统计信息。
l 在用户视图下，执行命令reset vxlan statistics source source-ip peer peer-ip local-vni
local-vni-id，清除本端VNI ID对应的上行VXLAN报文统计信息。
l 在用户视图下，执行命令reset vxlan statistics source source-ip peer peer-ip remote-
vni remote-vni-id，清除对端VNI ID对应的下行VXLAN报文统计信息。
l 在用户视图下，执行命令reset vxlan statistics l3-mode source source-ip peer peer-ip
local-vni vni-id，清除以VNI和VXLAN隧道为粒度的三层上行流量报文统计信息。
l 在用户视图下，执行命令reset vxlan statistics l3-mode source source-ip peer peer-ip
remote-vni vni-id，清除以VNI和VXLAN隧道为粒度的三层下行流量报文统计信
息。
----结束
1.2.11.4 查看 BD 内 MAC 地址表项

可以通过查看BD内的MAC地址表项，实时监控VXLAN的运行状况。
背景信息
在日常维护工作中，可以在任意视图下选择执行以下命令，了解VXLAN的运行状况。
操作步骤
l 执行命令display mac-address [ mac-address ] bridge-domain bd-id，查看BD内所有
MAC地址表项。
----结束
1.2.11.5 清除 BD 内的动态 MAC 地址表项

当需要查看一定时间内某个BD内的动态MAC地址表项时，必须在统计开始前清除该
BD内的动态MAC地址表项统计信息，使BD内的动态MAC地址表项重新进行统计，保
证统计的信息正确性。
背景信息
说明
清除BD内的动态MAC地址表项统计信息后，以前的信息将无法恢复，务必仔细确认。

操作步骤
l 在用户视图下，执行命令reset mac-address bridge-domain bd-id，清除指定BD内
学习到的动态MAC地址表项统计信息。
----结束
1.2.12 配置举例
配置举例结合组网需求、配置思路和数据准备来了解实际网络中VXLAN的应用场景，
并提供配置文件。
1.2.12.1 配置同网段用户通过 VXLAN 隧道互通示例

通过典型的应用场景描述了如何配置同网段用户通过VXLAN隧道互通示例。
组网需求
如图1-77所示，某企业在不同的数据中心中都拥有自己的VM，服务器1上的VM1属于
VLAN10，服务器2上的VM1属于VLAN20，且位于同网段。现需要通过VXLAN隧道实
现不同数据中心相同VM的互通。
图 1-77 配置同网段用户通过 VXLAN 隧道互通组网图

说明
本例中Interface1和Interface2分别代表GE1/0/1和GE1/0/2。
Loopback 1
3.3.3.3/32
Device2
e1 in
r f ac 4 19 terfa
e 2 2.1 ce2 19
e1 .1/24 int .1.2/ 68 2.1 inter
c 8 .2. 68 face
t
a
erf 68.1 2 .16 1/2 .2.
2/2 1
n
i 2.1 1 9 4 4
19

interface2
interface2
Loopback 1
Loopback 1 4.4.4.4/32
2.2.2.2/32
VSwitch VSwitch
VM1 ... VMm VM1 ... VMn
VLAN 10 VLAN 20
Server1 Server2
192.168.10.1/24 192.168.10.2/24
NVE

配置思路
采用如下思路配置同网段用户通过VXLAN隧道互通：
1. 分别在Device1、Device2和Device3上配置路由协议，保证网络三层互通。
2. 分别在Device1和Device3上配置业务接入点实现区分业务流量。
3. 分别在Device1和Device3上配置VXLAN隧道实现转发业务流量。
数据准备
为完成此配置例，需准备如下的数据：
l VM所属的VLAN ID分别是VLAN10和VLAN20。
l 网络中设备互连的接口IP地址。
l 网络中使用的IGP（Internal Gateway Protocol）路由类型是OSPF（Open Shortest
Path First）。
l 广播域BD ID是10。
l VXLAN网络标识VNI ID是5010。
操作步骤
步骤1 配置路由协议
按图1-77分别配置Device1、Device2和Device3各接口IP地址。
# 配置Device1
<HUAWEI> system-view
[~HUAWEI] sysname Device1
[*HUAWEI] commit
[~Device1] interface loopback 1
[*Device1-LoopBack1] ip address 2.2.2.2 32
[*Device1-LoopBack1] quit
[*Device1] interface gigabitethernet 1/0/1
[*Device1-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[*Device1-GigabitEthernet1/0/1] quit
[*Device1] ospf
[*Device1-ospf-1] area 0
[*Device1-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[*Device1-ospf-1-area-0.0.0.0] quit
[*Device1-ospf-1] quit
[*Device1] commit
Device2、Device3的配置与Device1配置类似，这里不再赘述。具体配置过程略，请参
考配置文件。
OSPF成功配置后，Device之间可通过OSPF协议发现对方的Loopback接口的IP地址，并
能互相ping通。以Device1 ping Device3的显示为例。
[~Device1] ping 4.4.4.4
PING 4.4.4.4: 56 data bytes, press CTRL_C to break
Reply from 4.4.4.4: bytes=56 Sequence=1 ttl=254 time=5 ms
--- 4.4.4.4 ping statistics ---

5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/3/5 ms
步骤2 分别在Device1、Device3上配置业务接入点
# 配置Device1
[~Device1] bridge-domain 10
[*Device1-bd10] quit
[*Device1] interface gigabitethernet1/0/2.1 mode l2
[*Device1-GigabitEthernet1/0/2.1] encapsulation dot1q vid 10
[*Device1-GigabitEthernet1/0/2.1] rewrite pop single
[*Device1-GigabitEthernet1/0/2.1] bridge-domain 10
[*Device1-GigabitEthernet1/0/2.1] quit
[*Device1] commit
Device3的配置与Device1配置类似，这里不再赘述。具体配置过程略，请参考配置文
件。
步骤3 分别在Device1、Device3上配置VXLAN隧道
# 配置Device1
[~Device1-bd10] vxlan vni 5010
[*Device1] interface nve 1
[*Device1-Nve1] source 2.2.2.2
[*Device1-Nve1] vni 5010 head-end peer-list 4.4.4.4
[*Device1-Nve1] quit
[*Device1] commit
件。
步骤4 检查配置结果
上述配置成功后，在Device1、Device3上执行display vxlan vni命令可查看到VNI的状态
是Up；执行display vxlan tunnel命令可查看到VXLAN隧道的信息。以Device1显示为
例。
[~Device1] display vxlan vni
Number of vxlan vni: 1
VNI BD-ID State
---------------------------------------
5010 10 up
[~Device1] display vxlan tunnel
Number of vxlan tunnel : 1
Tunnel ID Source Destination State Type Uptime
-------------------------------------------------------------------
4026531842 2.2.2.2 4.4.4.4 up static 0028h16m
配置完成后，同网段用户通过VXLAN隧道可以互通。
----结束
配置文件
l Device1的配置文件
#
sysname Device1
#
bridge-domain 10
vxlan vni 5010
#
interface GigabitEthernet1/0/1

undo shutdown
ip address 192.168.1.1 255.255.255.0
#
undo shutdown
#
interface GigabitEthernet1/0/2.1 mode l2
encapsulation dot1q vid 10
rewrite pop single
bridge-domain 10
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
interface Nve1
source 2.2.2.2
vni 5010 head-end peer-list 4.4.4.4
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 192.168.1.0 0.0.0.255
#
return
#
sysname Device2
#
undo shutdown
ip address 192.168.1.2 255.255.255.0
#
undo shutdown
ip address 192.168.2.1 255.255.255.0
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname Device3
#
bridge-domain 10
vxlan vni 5010
#
undo shutdown
ip address 192.168.2.2 255.255.255.0
#
undo shutdown
#
rewrite pop single
bridge-domain 10
#
interface LoopBack1
ip address 4.4.4.4 255.255.255.255
#

interface Nve1
source 4.4.4.4
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 192.168.2.0 0.0.0.255
#
return
1.2.12.2 配置不同网段用户通过 VXLAN 三层网关通信示例

为了成功实现不同网段的用户互通，用户的缺省网关地址必须是对应三层网关上的
BDIF接口的IP地址。
组网需求
VLAN10，服务器2上的VM1属于VLAN20，且位于不同网段。现需要通过VXLAN三层
网关实现不同数据中心相同VM的互通。
图 1-78 配置不同网段用户通过 VXLAN 三层网关通信组网图

说明
本例中Interface1和Interface2分别代表GE1/0/1和GE1/0/2。
Loopback 1
3.3.3.3/32
Device2
l 1 inte V
n ne rface 4 19 rfac XLA 192. inte
1 4 u e 2 2 e N T 1 6 rf a
f
e 2
ac .1.1/ AN
T int .1.2/ .16 2
8 un 8.2. ce1
er L 8 . 2.1 ne 2/2
int 2.168 VX . 1 6 / 24 l 4
9 1 92
1
Device1 L3 Gateway IP Address: Device3

interface2
interface2
Loopback 1 BDIF10:192.168.10.10/24 Loopback 1

2.2.2.2/32 BDIF20:192.168.20.10/24 4.4.4.4/32
VSwitch VSwitch
VM1 ... VMm VM1 ... VMn
VLAN 10 VLAN 20
Server1 Server2
192.168.10.1/24 192.168.20.1/24
NVE

配置思路
采用如下思路配置不同网段用户通过VXLAN三层网关通信：
3. 分别在Device1、Device2和Device3上配置VXLAN隧道转发业务流量。
4. 在Device2上配置VXLAN三层网关，实现不同网段用户通过VXLAN三层网关互
通。
数据准备
l VM所属的VLAN ID分别是VLAN10和VLAN20。
Path First）。
l 广播域BD ID分别是BD10和BD20。
l VXLAN网络标识VNI ID分别是VNI 5010和VNI 5020。
操作步骤
# 配置Device1
[*HUAWEI] commit
[*Device1] ospf
[*Device1] commit
考配置文件。

0.00% packet loss
# 配置Device1
[*Device1] commit
件。
步骤3 分别在Device1、Device2、Device3上配置VXLAN隧道
[*Device1-bd10] vxlan vni 5010
[*Device1] commit
# 配置Device2
[*Device2] commit
# 配置Device3
[*Device3] commit
步骤4 在Device2上配置VXLAN三层网关
[~Device2] interface vbdif 10
[*Device2-Vbdif10] ip address 192.168.10.10 24
[*Device2-Vbdif10] quit
[*Device2] interface vbdif 20
[*Device2-Vbdif20] commit

上述配置成功后，在Device1、Device2、Device3上执行display vxlan vni命令可查看到

VNI的状态是Up；执行display vxlan tunnel命令可查看到VXLAN隧道的信息。以
Device2显示为例。
VNI BD-ID State
---------------------------------------
5010 10 up
5020 20 up
Number of Vxlan tunnel : 2
---------------------------------------------------------------------
4026531841 2.2.2.2 3.3.3.3 up static 0029h30m
40265318412 2.2.2.2 4.4.4.4 up static 0029h44m
Server1上属于VLAN10中的VM1上配置缺省网关为BDIF10接口的IP地址
192.168.10.10/24。
Server2上属于VLAN20中的VM1上配置缺省网关为BDIF20接口的IP地址
192.168.20.10/24。
配置完成后，不同网段中的VM1可以相互通信。
----结束
配置文件
#
sysname Device1
#
bridge-domain 10
vxlan vni 5010
#
undo shutdown
ip address 192.168.1.1 255.255.255.0
#
undo shutdown
ip address 10.1.1.2 255.255.255.0
#
rewrite pop single
bridge-domain 10
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
interface Nve1
source 2.2.2.2
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
#
sysname Device2

#
bridge-domain 10
vxlan vni 5010
#
bridge-domain 20
vxlan vni 5020
#
interface Vbdif10
ip address 192.168.10.10 255.255.255.0
#
interface Vbdif20
ip address 192.168.20.10 255.255.255.0
#
undo shutdown
ip address 192.168.1.2 255.255.255.0
#
undo shutdown
ip address 192.168.2.1 255.255.255.0
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
interface Nve1
source 3.3.3.3
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname Device3
#
bridge-domain 20
vxlan vni 5020
#
undo shutdown
ip address 192.168.2.2 255.255.255.0
#
undo shutdown
ip address 10.2.1.2 255.255.255.0
#
rewrite pop single
bridge-domain 20
#
interface LoopBack1
ip address 4.4.4.4 255.255.255.255
#
interface Nve1
source 4.4.4.4
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 10.2.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255

#
return
1.2.12.3 配置集中式网关部署方式的 VXLAN 示例（BGP EVPN 方式）

为了成功实现不同网段或相同网段的用户互通，可以配置集中式网关部署方式的
VXLAN。
组网需求
如图1-79所示，某企业在一个数据中心的不同区域都拥有自己的VM，服务器1的VM1
属于VLAN 10，服务器3的VM1属于VLAN 30，服务器2上的VM1属于VLAN 20。服务
器1和服务器2位于不同网段，服务器3和服务器2位于相同网段。现需要通过VXLAN三
层网关实现不同服务器上相同VM的互通。
图 1-79 配置不同网段用户通过 VXLAN 三层网关通信组网图

说明
本例中Interface1、Interface2、Interface3分别代表GigabitEthernet1/0/1、GigabitEthernet1/0/2、
GigabitEthernet1/0/3。
L3 Gateway IP Address:
BDIF10:192.168.10.10/24
Loopback 1
BDIF20:192.168.20.10/24
3.3.3.3/32
Device2
2/ 1
in
1. ce
te 16
24
19
8. rfa
rfa 8.
2.
16 nte
ce 2.1
i
2 /2
2.
19
VX
el
4
LA
nn
19
Tu
N
VX /24
2.
in 8.2.
Tu
16 e1
N
1
16
te 2
LA
nn
1.
2. fac
rfa /2
8.
el
19 ter
ce 4
Device1
in
Loopback 1
2.2.2.2/32 Device3
VXLAN Tunnel Loopback 1
4.4.4.4/32
interface2
in
e2
te
rfa
rfac
ce
3
inte
VM1 ... VMm VM1 ... VMm ...

VM1 VMn
VLAN 10 VLAN 30 VLAN 20

192.168.10.1/24 192.168.20.2/24 192.168.20.1/24
NVE

配置思路
采用如下思路配置不同网段用户通过VXLAN三层网关通信：
4. 配置EVPN实例。
6. 在Device2上配置VXLAN三层网关。
数据准备
l VM所属的VLAN ID分别是VLAN 10、VLAN 20和VLAN 30。
Path First）。
l 广播域BD ID分别是BD 10和BD 20。
l EVPN实例的RD值为11:1、12:1、31:1和31:2，RT值为1:1和2:2。
操作步骤
# 配置Device1
[*HUAWEI] commit
[*Device1] ospf
[*Device1] commit
考配置文件。



0.00% packet loss
# 配置Device1
[*Device1] bridge-domain 20
[*Device1] commit
件。
步骤3 配置BGP EVPN对等体关系
# 配置Device1
[~Device1] bgp 100
[*Device1-bgp] peer 3.3.3.3 as-number 100
[*Device1-bgp] peer 3.3.3.3 connect-interface LoopBack1
[*Device1-bgp] l2vpn-family evpn
[*Device1-bgp-af-evpn] peer 3.3.3.3 enable
[*Device1-bgp-af-evpn] peer 3.3.3.3 advertise encap-type vxlan
[*Device1-bgp-af-evpn] quit
[*Device1-bgp] quit
[*Device1] commit
考配置文件。
步骤4 分别在Device1、Device2和Device3上配置EVPN实例
# 配置Device1
[~Device1] evpn vpn-instance evrf3 bd-mode
[*Device1-evpn-instance-evrf3] route-distinguisher 11:1
[*Device1-evpn-instance-evrf3] vpn-target 1:1
[*Device1-evpn-instance-evrf3] quit
[*Device1-bd10] vxlan vni 5010 split-horizon-mode
[*Device1-bd10] evpn binding vpn-instance evrf3
[*Device1] evpn vpn-instance evrf4 bd-mode


[*Device1] commit
Device2和Device3的配置与Device1配置类似，这里不再赘述。具体配置过程略，请参
考配置文件。
步骤5 配置头端复制功能
# 配置Device1
[~Device1] interface nve 1
[*Device1-Nve1] vni 5010 head-end peer-list protocol bgp
[*Device1] commit
件。
步骤6 在Device2上配置VXLAN三层网关
[~Device2] interface vbdif 10
[*Device2] interface vbdif 20
[*Device2-Vbdif20] commit
上述配置成功后，执行display vxlan tunnel命令可查看到VXLAN隧道的信息；在
Device1、Device2、Device3上执行display vxlan vni命令可查看到VNI的状态是Up。以
Device1显示为例。
-------------------------------------------------------------------
4026531843 2.2.2.2 4.4.4.4 up dynamic 0035h21m
4026531844 2.2.2.2 3.3.3.3 up dynamic 0036h10m
Number of vxlan vni : 2
VNI BD-ID State
---------------------------------------
5010 10 up
5020 20 up
执行display bgp evpn all routing-table命令可查看EVPN路由信息。

[~Device1] display bgp evpn all routing-table
Local AS number : 100
BGP Local router ID is 192.168.1.1

Status codes: * - valid, > - best, d - damped, x - best external, a - add path,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
EVN address family:

Number of Inclusive Multicast Routes: 5
Route Distinguisher: 11:1
Network(EthTagId/IpAddrLen/OriginalIp) NextHop
*> 0:32:2.2.2.2 0.0.0.0

*> 0:32:2.2.2.2 0.0.0.0

*>i 0:32:3.3.3.3 3.3.3.3
*>i 0:32:3.3.3.3 3.3.3.3
*>i 0:32:4.4.4.4 4.4.4.4
配置完成后，不同服务器中的VM1可以相互通信。
----结束
配置文件
#
sysname Device1
#
evpn vpn-instance evrf3 bd-mode
route-distinguisher 11:1
vpn-target 1:1 export-extcommunity
vpn-target 1:1 import-extcommunity
#
bridge-domain 10
vxlan vni 5010 split-horizon-mode
evpn binding vpn-instance evrf3
#
#
bridge-domain 20
#
undo shutdown
ip address 192.168.1.1 255.255.255.0
#
rewrite pop single
bridge-domain 10
#
rewrite pop single
bridge-domain 20
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
interface Nve1
source 2.2.2.2
vni 5010 head-end peer-list protocol bgp
#
bgp 100
peer 3.3.3.3 as-number 100
peer 3.3.3.3 connect-interface LoopBack1
#
ipv4-family unicast

peer 3.3.3.3 enable

peer 4.4.4.4 enable
#
l2vpn-family evpn
undo policy vpn-target
peer 3.3.3.3 enable
peer 3.3.3.3 advertise encap-type vxlan
peer 4.4.4.4 enable
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 192.168.1.0 0.0.0.255
#
return
#
sysname Device2
#
#
bridge-domain 10
#
#
bridge-domain 20
#
interface Vbdif10
ip address 192.168.10.10 255.255.255.0
#
interface Vbdif20
ip address 192.168.20.10 255.255.255.0
#
undo shutdown
ip address 192.168.1.2 255.255.255.0
#
undo shutdown
ip address 192.168.2.1 255.255.255.0
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
interface Nve1
source 3.3.3.3
#
bgp 100
#
ipv4-family unicast
peer 2.2.2.2 enable
peer 4.4.4.4 enable

#
l2vpn-family evpn
peer 2.2.2.2 enable
peer 4.4.4.4 enable
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname Device3
#
#
bridge-domain 20
#
undo shutdown
ip address 192.168.2.2 255.255.255.0
#
rewrite pop single
bridge-domain 20
#
interface LoopBack1
ip address 4.4.4.4 255.255.255.255
#
interface Nve1
source 4.4.4.4
#
bgp 100
#
ipv4-family unicast
peer 2.2.2.2 enable
peer 3.3.3.3 enable
#
l2vpn-family evpn
peer 2.2.2.2 enable
peer 3.3.3.3 enable
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 192.168.2.0 0.0.0.255
#
return

1.2.12.4 配置分布式网关部署方式的 VXLAN 示例（BGP EVPN 方式）

通过典型的应用场景描述了如何配置VXLAN分布式网关示例。
组网需求
VXLAN分布式网关可解决VXLAN集中式网关的转发路径不优化、三层网关ARP表项
规格瓶颈问题。
VLAN 10，服务器2上的VM1属于VLAN 20，且位于不同网段。现需要通过VXLAN分
布式网关实现不同数据中心相同VM的互通。
图 1-80 配置 VXLAN 分布式网关组网图

说明
本例中Interface1、Interface2分别代表GigabitEthernet 1/0/0、GigabitEthernet 1/0/1。
LoopBack0
Device 1
interface2 interface1
EBGP EVPN
LoopBack0 LoopBack0
VXLAN Tunnel
Device 2 Device 3
VSwitch VSwitch
VM1 ... VMm ...

VM1 VMn
VLAN 10 VLAN 20
Server1 Server2
NVE
表 1-10 接口的 IP 地址
设备接口 IP地址
GigabitEthernet 1/0/0 192.168.3.2/24
Device1 GigabitEthernet 1/0/1 192.168.2.2/24
LoopBack0 1.1.1.1/32


Device2

Device3
配置思路
采用如下思路配置VXLAN分布式网关：
1. 分别在Device1与Device2、Device3间配置IGP路由协议。
3. 在Device2和Device3上建立与Device1之间的BGP EVPN对等体关系。
4. 在Device1上建立与Device2和Device3之间的BGP EVPN对等体关系,并配置反射器
功能。
5. 在Device2和Device3上配置VPN实例和EVPN实例。
6. 分别在Device2、Device3上使能头端复制功能。
7. 在Device2、Device3上配置VXLAN三层网关。
8. 在Device1与Device2、Device3之间配置BGP对邻居发布IRB类型的路由。
数据准备
l VM所属的VLAN ID分别是VLAN 10和VLAN 20。
l 广播域BD ID分别是BD 10和BD 20。
l VPN实例下VXLAN网络标识VNI ID是VNI 5010。
操作步骤
步骤1 配置IGP路由协议
# 配置Device1。
[*HUAWEI] commit
[~Device1] isis 1
[*Device1-isis-1] network-entity 10.0000.0000.0001.00
[*Device1-isis-1] quit
[*Device1] commit
[*Device1-LoopBack0] isis enable 1

[*Device1] interface GigabitEthernet1/0/0
[*Device1-GigabitEthernet1/0/0] isis enable 1
[*Device1] interface GigabitEthernet1/0/1
[*Device1-GigabitEthernet1/0/1] isis enable 1
[*Device1] commit
Device2、Device3的其他配置与Device1配置类似，这里不再赘述。具体配置过程略，
请参考配置文件。
# 配置Device2。
[*Device2] interface GigabitEthernet1/0/1.1 mode l2
[*Device2] commit
件。
步骤3 在Device2和Device3上建立与Device1之间的BGP EVPN对等体关系
# 在Device2上配置BGP EVPN对等体关系。
[~Device2] bgp 100
[*Device2-bgp] quit
[*Device2] commit
件。
步骤4 在Device1上建立与Device2和Device3之间的BGP EVPN对等体关系,并配置反射器功

能，指定Device2和Device3作为反射器的客户机
# 在Device1上配置BGP EVPN对等体关系。
[~Device1] bgp 100
[*Device1-bgp-af-evpn] peer 2.2.2.2 reflect-client
[*Device1-bgp-af-evpn] peer 3.3.3.3 reflect-client
[*Device1-bgp-af-evpn] undo policy vpn-target
[*Device1-bgp] quit
[*Device1] commit

步骤5 在Device2和Device3上配置VPN实例和EVPN实例
# 配置Device2。
[~Device2] ip vpn-instance vpn1
[*Device2-vpn-instance-vpn1] vxlan vni 5010
[*Device2-vpn-instance-vpn1] ipv4-family
[*Device2-vpn-instance-vpn1-af-ipv4] route-distinguisher 11:11
[*Device2-vpn-instance-vpn1-af-ipv4] vpn-target 1:1
[*Device2-vpn-instance-vpn1-af-ipv4] vpn-target 11:1 evpn
[*Device2-vpn-instance-vpn1-af-ipv4] quit
[*Device2-vpn-instance-vpn1] quit
[*Device2] evpn vpn-instance evrf3 bd-mode
[*Device2] commit
件。
步骤6 分别在Device2、Device3上使能头端复制功能
# 在Device2上使能头端复制功能。
[~Device2] interface nve 1
[*Device2] commit
件。
步骤7 在Device2、Device3上配置VXLAN三层网关
# 配置Device2。
[~Device2] interface Vbdif10
[*Device2-Vbdif10] ip binding vpn-instance vpn1
[*Device2-Vbdif10] ip address 10.1.1.1 255.255.255.0
[*Device2-Vbdif10] arp distribute-gateway enable
[*Device2-Vbdif10] arp collect host enable
[*Device2] commit
Device3的配置与Device2配置类似，这里不再赘述，要注意Device2的Vbdif接口的IP地
址要与Device3的属于不同网段。具体配置过程略，请参考配置文件。
步骤8 在Device1与Device2、Device3之间配置BGP对邻居发布IRB类型的路由
# 配置Device1。
[~Device1] bgp 100
[~Device1-bgp] l2vpn-family evpn
[~Device1-bgp-af-evpn] peer 2.2.2.2 advertise irb
[*Device1-bgp-af-evpn] peer 3.3.3.3 advertise irb
[*Device1-bgp] quit
[*Device1] commit
# 配置Device2。
[~Device2] bgp 100

[~Device2-bgp] l2vpn-family evpn

[~Device2-bgp-af-evpn] peer 1.1.1.1 advertise irb
[*Device2-bgp] quit
[*Device2] commit
件。
上述配置成功后，在Device2、Device3上执行display vxlan tunnel命令可查看到VXLAN
隧道的信息。以Device2显示为例。
[*Device2] display vxlan tunnel
--------------------------------------------------------------------
4026531841 2.2.2.2 3.3.3.3 up dynamic 0026h29m
执行display bgp evpn all routing-table命令可查看EVPN路由信息。

[*Device2]display bgp evpn all routing-table

EVN address family:

Number of Mac Routes: 2
Network(EthTagId/MacAddrLen/MacAddr/IpAddrLen/IpAddr) NextHop
*> 0:48:38cf-cf21-1200:0:0.0.0.0 0.0.0.0
*>i 0:48:38cf-cf31-1200:0:0.0.0.0 3.3.3.3
EVN address family:

*> 0:32:2.2.2.2 0.0.0.0
*>i 0:32:3.3.3.3 3.3.3.3
配置完成后，不同服务器中的VM1可以相互通信。
----结束
配置文件
#
sysname Device1
#
isis 1
network-entity 10.0000.0000.0001.00
#
undo shutdown
ip address 192.168.3.2 255.255.255.0
isis enable 1
#

undo shutdown
ip address 192.168.2.2 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
bgp 100
#
l2vpn-family evpn
peer 2.2.2.2 enable
peer 2.2.2.2 advertise irb
peer 2.2.2.2 reflect-client
peer 3.3.3.3 enable
peer 3.3.3.3 reflect-client
#
return
#
sysname Device2
#
isis 1
network-entity 10.0000.0000.0002.00
#
ip vpn-instance vpn1
ipv4-family
vpn-target 11:1 export-extcommunity evpn
vpn-target 11:1 import-extcommunity evpn
vxlan vni 5010
#
#
bridge-domain 10
#
interface Vbdif10
ip binding vpn-instance vpn1
ip address 10.1.1.1 255.255.255.0
arp collect host enable
arp distribute-gateway enable
#
undo shutdown
ip address 192.168.2.1 255.255.255.0
isis enable 1
#
rewrite pop single
bridge-domain 10
#
interface LoopBack0

ip address 2.2.2.2 255.255.255.255

isis enable 1
#
interface Nve1
source 2.2.2.2
#
bgp 100
#
l2vpn-family evpn
peer 1.1.1.1 enable
#
return
#
sysname Device3
#
isis 1
network-entity 10.0000.0000.0003.00
#
ipv4-family
vxlan vni 5010
#
#
bridge-domain 20
#
interface Vbdif20
ip address 20.1.1.1 255.255.255.0
#
undo shutdown
ip address 192.168.3.1 255.255.255.0
isis enable 1
#
rewrite pop single
bridge-domain 20
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
interface Nve1
source 3.3.3.3
#
bgp 100


#
l2vpn-family evpn
peer 1.1.1.1 enable
#
return
1.2.12.5 配置三段式 VXLAN 实现三层互通示例

通过配置三段式VXLAN隧道，实现不同数据中心的VM之间三层互通。
组网需求
如图1-81所示，数据中心A和数据中心B规划在不同的BGP AS域，在数据中心内部配置
BGP EVPN协议创建分布式网关VXLAN隧道，实现同一数据中心VMa1和VMa2之间的
互通、VMb1和VMb2之间的互相通信，通过在Leaf2和Leaf3之间配置BGP EVPN协议创
建VXLAN隧道，实现数据中心A和数据中心B之间的互相通信（例如VMa1和VMb2之
间互相通信）。
图 1-81 配置三段式 VXLAN 组网图

说明
本示例中interface1，interface2，interface3分别代表GE1/0/0，GE2/0/0，GE3/0/0。
Loopback1 Loopback1
IP网络
interface2
Device1 Device2
interface2
Loopback1 Loopback1
AS：100 AS：200
数据中心A Spine1
Spine2 数据中心B
interface1 interface2 interface1 interface2

interface1 interf interf
interface1 interface1 interface1
ace3 ace3
interface2 interface2 Leaf2 Leaf3 interface2 interface2
VMa1 VMa2 VMb1 VMb2

设备接口 IP地址设备接口 IP地址
GE 1/0/0 192.168.50. GE 1/0/0 192.168.60.

1/24 1/24
Device Device
GE 2/0/0 192.168.1.1/ GE 2/0/0 192.168.1.2/
1 2
24 24
LoopBack1 1.1.1.1/32 LoopBack1 2.2.2.2/32
GE 1/0/0 192.168.10. GE 1/0/0 192.168.30.

1/24 1/24
Spine1 GE 2/0/0 192.168.20. Spine2 GE 2/0/0 192.168.40.

1/24 1/24
GE 1/0/0 192.168.10. GE 1/0/0 192.168.40.

2/24 2/24
Leaf1 Leaf4
GE 2/0/0 - GE 2/0/0 -
GE 1/0/0 192.168.20. GE 1/0/0 192.168.30.

2/24 2/24
GE 2/0/0 - GE 2/0/0 -
Leaf2 Leaf3
GE 3/0/0 192.168.50. GE 3/0/0 192.168.60.
2/24 2/24
配置思路
采用如下的思路配置跨AS的三段式VXLAN：
1. 配置各节点IP地址。
2. 配置IGP实现各节点之间的互通。
3. 在数据中心A和数据中心B内配置BGP EVPN协议创建分布式网关VXLAN隧道。
4. 在Leaf2和Leaf3上配置BGP EVPN协议创建VXLAN隧道。
数据准备
l VM所属的VLAN ID。
l 广播域BD ID。

l 关联BD的VNI ID和VPN实例下的VNI ID。
操作步骤
步骤1 配置各节点接口的IP地址及Loopback接口的地址
配置各接口的IP地址和掩码，具体配置过程请参考配置文件。
步骤2 配置IGP，本示例使用OSPF
具体配置过程请参考配置文件。
步骤3 数据中心A和数据中心B内配置BGP EVPN协议创建部署分布式网关的VXLAN隧道
1. 在Leaf上配置业务接入点
# 配置Leaf1。
[~Leaf1] bridge-domain 10
[*Leaf1-bd10] quit
[*Leaf1] interface GE 2/0/0.1 mode l2
[*Leaf1-GE2/0/0.1] encapsulation dot1q vid 10
[*Leaf1-GE2/0/0.1] rewrite pop single
[*Leaf1-GE2/0/0.1] bridge-domain 10
[*Leaf1-GE2/0/0.1] quit
[*Leaf1] commit
Leaf2、Leaf3、Leaf4的配置与Leaf1配置类似，这里不再赘述。具体配置过程略，
2. 在数据中心A的Leaf1和Leaf2之间、数据中心B的Leaf3和Leaf4之间配置IBGP
EVPN对等体关系
# 在Leaf1上配置IBGP EVPN对等体关系
[~Leaf1] bgp 100
[*Leaf1-bgp] peer 6.6.6.6 as-number 100
[*Leaf1-bgp] peer 6.6.6.6 connect-interface LoopBack 1
[*Leaf1-bgp] l2vpn-family evpn
[*Leaf1-bgp-af-evpn] peer 6.6.6.6 enable
[*Leaf1-bgp-af-evpn] peer 6.6.6.6 advertise encap-type vxlan
[*Leaf1-bgp-af-evpn] quit
[*Leaf1-bgp] quit
[*Leaf1] commit
3. 在Leaf上配置VPN实例和EVPN实例
# 配置Leaf1。
[~Leaf1] ip vpn-instance vpn1
[*Leaf1-vpn-instance-vpn1] vxlan vni 5010
[*Leaf1-vpn-instance-vpn1] ipv4-family
[*Leaf1-vpn-instance-vpn1-af-ipv4] route-distinguisher 11:11
[*Leaf1-vpn-instance-vpn1-af-ipv4] vpn-target 1:1
[*Leaf1-vpn-instance-vpn1-af-ipv4] vpn-target 11:1 evpn
[*Leaf1-vpn-instance-vpn1-af-ipv4] quit
[*Leaf1-vpn-instance-vpn1] quit
[*Leaf1] evpn vpn-instance evrf1 bd-mode
[*Leaf1-evpn-instance-evrf1] route-distinguisher 10:1
[*Leaf1-evpn-instance-evrf1] vpn-target 11:1
[*Leaf1-evpn-instance-evrf1] quit
[*Leaf1] bridge-domain 10
[*Leaf1-bd10] vxlan vni 10 split-horizon-mode
[*Leaf1-bd10] evpn binding vpn-instance evrf1

[*Leaf1-bd10] quit
[*Leaf1] commit
4. 在Leaf上使能头端复制功能
# 在配置Leaf1。
[~Leaf1] interface nve 1
[*Leaf1-Nve1] source 5.5.5.5
[*Leaf1-Nve1] vni 10 head-end peer-list protocol bgp
[*Leaf1-Nve1] quit
[*Leaf1] commit
Leaf2、Leaf3、Leaf4上的配置与Leaf1配置类似，这里不再赘述。具体配置过程
略，请参考配置文件。
5. 在Leaf上配置VXLAN三层网关
# 配置Leaf1。
[~Leaf1] interface vbdif10
[*Leaf1-Vbdif10] ip binding vpn-instance vpn1
[*Leaf1-Vbdif10] ip address 10.1.1.1 24
[*Leaf1-Vbdif10] arp distribute-gateway enable
[*Leaf1-Vbdif10] arp collect host enable
[*Leaf1-Vbdif10] quit
[*Leaf1] commit
6. 数据中心A的Leaf1和Leaf2之间、数据中心B的Leaf3和Leaf4之间、Leaf2和Leaf3之
间配置发布IRB类型的路由
# 配置Leaf1。
[~Leaf1] bgp 100
[*Leaf1-bgp-af-evpn] peer 6.6.6.6 advertise irb
[*Leaf1-bgp] quit
[*Leaf1] commit
# 配置Leaf2。
[~Leaf1] bgp 100
[*Leaf1-bgp] quit
[*Leaf1] commit
Leaf4的配置与Leaf1的配置类似，Leaf3的配置与Leaf2的配置类似，这里不再赘
述。具体配置过程略，请参考配置文件。
配置完成后，在Leaf上执行display vxlan tunnel命令，可以看到建立的VXLAN隧

道信息。以Leaf1的显示为例：
[~Leaf1] display vxlan tunnel
---------------------------------------------------------------------
4026531841 5.5.5.5 6.6.6.6 up dynamic 00:05:36

步骤4 在Leaf2和Leaf3上配置BGP EVPN协议创建VXLAN隧道

1. 在Leaf2和Leaf3上配置EBGP EVPN对等体关系
说明
由于Leaf2和Leaf3上存在VPN实例和EVPN实例，因此在Leaf2和Leaf3上配置仅需要配置
EBGP EVPN对等体，保证IP路由可达即可。
# 配置Leaf2。
[~Leaf2] bgp 100
[*Leaf2-bgp] peer 192.168.60.2 ebgp-max-hop 255
[*Leaf2-bgp] quit
[*Leaf2] commit
# 配置Leaf3。
[~Leaf3] bgp 200
[*Leaf3-bgp] peer 192.168.50.2 ebgp-max-hop 255
[*Leaf3-bgp] quit
[*Leaf3] commit
2. 配置EVPN路由中的IRB路由、IP前缀路由的重生成功能
# 配置Leaf2。
[~Leaf2] bgp 100
[*Leaf2-bgp-af-evpn] peer 5.5.5.5 import reoriginate
[*Leaf2-bgp-af-evpn] peer 5.5.5.5 advertise route-reoriginated evpn mac-ip
[*Leaf2-bgp] quit
[*Leaf2] commit
# 配置Leaf3。
[~Leaf3] bgp 200
[*Leaf3-bgp] quit
[*Leaf3] commit
步骤5 验证配置结果
在Leaf上执行display vxlan tunnel命令，可以看到建立的VXLAN隧道信息。以Leaf2的
显示为例：
---------------------------------------------------------------------
4026531841 6.6.6.6 5.5.5.5 up dynamic 00:11:01
4026531842 6.6.6.6 7.7.7.7 up dynamic 00:12:11

在Leaf上执行display bgp evpn all routing-table命令可查看EVPN路由信息。以Leaf2的

显示为例：
[~Leaf2] display bgp evpn all routing-table

EVPN address family:

Number of Mac Routes: 4
*>i 0:48:0000-0000-0011:0:0.0.0.0 2.2.2.2
*> 0:48:387e-9e41-1200:0:0.0.0.0 0.0.0.0
*> 0:48:387e-9e51-1200:0:0.0.0.0 192.168.60.2
*> 0:48:387e-9e61-1200:0:0.0.0.0 7.7.7.7
EVPN address family:

*>i 0:32:5.5.5.5 5.5.5.5
*> 0:32:6.6.6.6 0.0.0.0
*> 0:32:7.7.7.7 7.7.7.7
*> 0:32:8.8.8.8 192.168.60.2
配置完成后，VMa1和VMb2之间可以互相通信。
----结束
配置文件
l Spine1的配置文件
#
sysname Spine1
#
interface GE1/0/0
undo shutdown
ip address 192.168.10.1 255.255.255.0
#
interface GE2/0/0
undo shutdown
ip address 192.168.20.1 255.255.255.0
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
#
return
l Leaf1的配置文件
#
sysname Leaf1
#
ipv4-family


vxlan vni 5010
#
#
bridge-domain 10
#
interface Vbdif10
ip address 10.1.1.1 255.255.255.0
#
interface GE1/0/0
undo shutdown
ip address 192.168.10.2 255.255.255.0
#
interface GE2/0/0
shutdown
#
interface GE2/0/0.1 mode l2
rewrite pop single
bridge-domain 10
#
interface LoopBack1
ip address 5.5.5.5 255.255.255.255
#
interface Nve1
source 5.5.5.5
#
bgp 100
#
l2vpn-family evpn
peer 6.6.6.6 enable
#
ospf 1
area 0.0.0.0
network 5.5.5.5 0.0.0.0
network 192.168.10.0 0.0.0.255
#
return
#
sysname Leaf2
#
ipv4-family
vxlan vni 5010
#

#
bridge-domain 20
#
interface Vbdif20
ip address 20.1.1.1 255.255.255.0
#
interface GE1/0/0
undo shutdown
ip address 192.168.20.2 255.255.255.0
#
interface GE2/0/0
shutdown
#
rewrite pop single
bridge-domain 20
#
interface 3/0/0
undo shutdown
ip address 192.168.50.2 255.255.255.0
#
interface LoopBack1
ip address 6.6.6.6 255.255.255.255
#
interface Nve1
source 6.6.6.6
#
bgp 100
peer 192.168.60.2 as-number 200
peer 192.168.60.2 ebgp-max-hop 255
#
l2vpn-family evpn
peer 5.5.5.5 enable
peer 5.5.5.5 import reoriginate
peer 5.5.5.5 advertise route-reoriginated evpn mac-ip
peer 192.168.60.2 enable
#
ospf 1
area 0.0.0.0
network 6.6.6.6 0.0.0.0
network 192.168.20.0 0.0.0.255
network 192.168.50.0 0.0.0.255
#
return
#
sysname Spine2
#
interface GE1/0/0
undo shutdown

ip address 192.168.30.1 255.255.255.0

#
interface GE2/0/0
undo shutdown
ip address 192.168.40.1 255.255.255.0
#
interface LoopBack1
ip address 4.4.4.4 255.255.255.255
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
#
return
#
sysname Leaf3
#
ipv4-family
vxlan vni 5010
#
#
bridge-domain 10
#
interface Vbdif10
ip address 30.1.1.1 255.255.255.0
#
interface GE1/0/0
undo shutdown
ip address 192.168.30.2 255.255.255.0
#
interface GE2/0/0
shutdown
#
rewrite pop single
bridge-domain 10
#
interface GE3/0/0
undo shutdown
ip address 192.168.60.2 255.255.255.0
#
interface LoopBack1
ip address 7.7.7.7 255.255.255.255
#
interface Nve1
source 7.7.7.7
#
bgp 200


peer 192.168.50.2 as-number 100
#
l2vpn-family evpn
peer 8.8.8.8 enable
#
ospf 1
area 0.0.0.0
network 7.7.7.7 0.0.0.0
network 192.168.30.0 0.0.0.255
network 192.168.60.0 0.0.0.255
#
return
#
sysname Leaf4
#
ipv4-family
vxlan vni 5010
#
#
bridge-domain 20
#
interface Vbdif20
ip address 40.1.1.1 255.255.255.0
#
interface GE2/0/0
shutdown
#
interface GE1/0/0
undo shutdown
ip address 192.168.40.2 255.255.255.0
#
rewrite pop single
bridge-domain 20
#
interface LoopBack1
ip address 8.8.8.8 255.255.255.255
#
interface Nve1
source 8.8.8.8


#
bgp 200
#
l2vpn-family evpn
peer 7.7.7.7 enable
#
ospf 1
area 0.0.0.0
network 8.8.8.8 0.0.0.0
network 192.168.40.0 0.0.0.255
#
return
#
sysname Device1
#
interface GE1/0/0
undo shutdown
ip address 192.168.50.1 255.255.255.0
#
interface GE2/0/0
undo shutdown
ip address 192.168.1.1 255.255.255.0
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.50.0 0.0.0.255
#
return
#
sysname Device2
#
interface GE1/0/0
undo shutdown
ip address 192.168.60.1 255.255.255.0
#
interface GE2/0/0
undo shutdown
ip address 192.168.1.2 255.255.255.0
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.60.0 0.0.0.255
#
return
1.2.12.6 配置三段式 VXLAN 实现二层互通示例

通过配置三段式VXLAN隧道，实现不同数据中心的VM之间的二层互通。

组网需求
如图1-82所示，在数据中心A和数据中心B内部分别配置BGP EVPN方式建立VXLAN隧
道，通过在Leaf2和Leaf3之间配置BGP EVPN方式建立VXLAN隧道。当VM1和VM2之
间需要通信时，需要实现数据中心A和数据中心B之间的二层互通。本例中，数据中心
A内部的VXLAN隧道采用的VNI是10，数据中心B内部的VXLAN隧道采用的VNI是
20，此时，在Transit Leaf1和Transit Leaf2上配置到达对端的VXLAN隧道时，需要进行
VNI的转换。
图 1-82 配置三段式 VXLAN 实现二层互通组网图

说明
本示例中interface1，interface2分别代表GE1/0/0，GE2/0/0。
数据中心A Spine2 数据中心B

Spine1
interface1 interface1 Leaf2 Leaf3 interface1 interface1

VSwitch VSwitch
VM1 VM2
VLAN 10 VLAN 10
AS 100 AS 200
GE 1/0/0 192.168.10. GE 1/0/0 192.168.30.

1/24 1/24
Spine1 Spine2
GE 2/0/0 192.168.20. GE 2/0/0 192.168.40.
1/24 1/24
GE 1/0/0 192.168.10. GE 1/0/0 192.168.40.

2/24 2/24
Leaf1 Leaf4
GE 2/0/0 - GE 2/0/0 -
GE 1/0/0 192.168.20. GE 1/0/0 192.168.30.

2/24 2/24
Leaf2 Leaf3
GE 2/0/0 192.168.50. GE 2/0/0 192.168.50.
1/24 2/24

配置思路
采用如下的思路配置三段式VXLAN实现二层互通：
1. 配置各节点IP地址。
2. 配置IGP实现各节点之间的互通。
3. 在数据中心A和数据中心B内配置BGP EVPN方式建立VXLAN隧道。
4. 在Leaf2和Leaf3上配置BGP EVPN方式建立数据中心之间的VXLAN隧道。
5. 在Leaf2和Leaf3上配置向BGP EVPN对等体发布EVPN地址族重新生成后的路由。
数据准备
l VM所属的VLAN ID。
l 广播域BD ID。
l 数据中心A和数据中心B内部关联BD的VNI ID。
l 数据中心A和数据中心B所属的AS号。
l Leaf2和Leaf3所属的水平分割组名称。
操作步骤
步骤1 配置各节点接口的IP地址及Loopback接口的地址
配置各接口的IP地址和掩码，具体配置过程请参考配置文件。
步骤2 配置IGP，本示例使用OSPF
步骤3 数据中心A和数据中心B内配置BGP EVPN方式建立VXLAN隧道
1. 在Leaf1和Leaf4上配置业务接入点
# 配置Leaf1。
[~Leaf1] bridge-domain 10
[*Leaf1-bd10] quit
[*Leaf1] interface GE 2/0/0.1 mode l2
[*Leaf1-GE2/0/0.1] encapsulation dot1q vid 10
[*Leaf1-GE2/0/0.1] rewrite pop single
[*Leaf1-GE2/0/0.1] bridge-domain 10
[*Leaf1-GE2/0/0.1] quit
[*Leaf1] commit
Leaf4的配置与Leaf1配置类似，这里不再赘述。具体配置过程略，请参考配置文
件。
2. 在数据中心A的Leaf1和Leaf2之间、数据中心B的Leaf3和Leaf4之间配置BGP EVPN
对等体关系

# 在Leaf1上配置BGP EVPN对等体关系
[~Leaf1] bgp 100
[*Leaf1-bgp] peer 2.2.2.2 connect-interface LoopBack 1
[*Leaf1-bgp] quit
[*Leaf1] commit
3. 在各Leaf上配置EVPN实例
# 配置Leaf1。
[~Leaf1] evpn vpn-instance evrf1 bd-mode
[*Leaf1-evpn-instance-evrf1] route-distinguisher 10:1
[*Leaf1-evpn-instance-evrf1] vpn-target 11:1
[*Leaf1-evpn-instance-evrf1] quit
[*Leaf1] bridge-domain 10
[*Leaf1-bd10] vxlan vni 10 split-horizon-mode
[*Leaf1-bd10] evpn binding vpn-instance evrf1
[*Leaf1-bd10] quit
[*Leaf1] commit
4. 在各Leaf上使能头端复制功能
# 在配置Leaf1。
[~Leaf1] interface nve 1
[*Leaf1-Nve1] source 1.1.1.1
[*Leaf1-Nve1] vni 10 head-end peer-list protocol bgp
[*Leaf1-Nve1] quit
[*Leaf1] commit
步骤4 在Leaf2和Leaf3上配置BGP EVPN方式建立数据中心之间的VXLAN隧道
1. 配置BGP EVPN对等体关系
# 配置Leaf2。
[~Leaf2] bgp 100
[*Leaf2-bgp] network 2.2.2.2 32
[*Leaf2-bgp] quit
[*Leaf2] commit
# 配置Leaf3。
[~Leaf3] bgp 200
[*Leaf3-bgp] network 3.3.3.3 32

[*Leaf3-bgp] quit
[*Leaf3] commit
步骤5 在Leaf2和Leaf3上配置向BGP EVPN对等体发布EVPN地址族重新生成后的路由。

1. 配置BGP EVPN对等体所属的水平分割组
# 配置Leaf2。
[~Leaf2] bgp 100
[~Leaf2-bgp] l2vpn-family evpn
[~Leaf2-bgp-af-evpn] peer 192.168.50.2 split-group sg1
[*Leaf2-bgp-af-evpn] commit
# 配置Leaf3。
[~Leaf3] bgp 200
[~Leaf3-bgp] l2vpn-family evpn
[~Leaf3-bgp-af-evpn] peer 192.168.50.1 split-group sg1
[*Leaf3-bgp-af-evpn] commit
2. 配置EVPN路由中的MAC路由的重生成功能
# 配置Leaf2。
[~Leaf2-bgp-af-evpn] peer 1.1.1.1 import reoriginate
[*Leaf2-bgp-af-evpn] peer 1.1.1.1 advertise route-reoriginated evpn mac
[*Leaf2-bgp] quit
[*Leaf2] commit
# 配置Leaf3。
[~Leaf3-bgp-af-evpn] peer 4.4.4.4 import reoriginate
[*Leaf3-bgp] quit
[*Leaf3] commit
在Leaf上执行display vxlan tunnel命令，可以看到建立的VXLAN隧道信息。以Leaf2的

显示为例：
-----------------------------------------------------------------------------------
4026531924 2.2.2.2 1.1.1.1 up dynamic 00:39:19
4026531925 2.2.2.2 3.3.3.3 up dynamic 00:39:09
在Leaf2上执行display vxlan peer命令，可以看到VXLAN邻居信息：

[~Leaf2] display vxlan peer
Number of peers : 2
Vni ID Source Destination Type Out Vni ID
-------------------------------------------------------------------------------
10 2.2.2.2 1.1.1.1 dynamic 10
10 2.2.2.2 3.3.3.3 dynamic 20
配置完成后，VM1和VM2之间可以二层互通。
----结束

配置文件
#
sysname Spine1
#
interface GE1/0/0
undo shutdown
ip address 192.168.10.1 255.255.255.0
#
interface GE2/0/0
undo shutdown
ip address 192.168.20.1 255.255.255.0
#
ospf 1
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
#
return
#
sysname Leaf1
#
#
bridge-domain 10
#
interface GE1/0/0
undo shutdown
ip address 192.168.10.2 255.255.255.0
#
interface GE2/0/0
undo shutdown
#
rewrite pop single
bridge-domain 10
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
#
interface Nve1
source 1.1.1.1
#
bgp 100
#
ipv4-family unicast
peer 2.2.2.2 enable
#
l2vpn-family evpn
peer 2.2.2.2 enable
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.10.0 0.0.0.255

#
return
#
sysname Leaf2
#
#
bridge-domain 10
#
interface GE1/0/0
undo shutdown
ip address 192.168.20.2 255.255.255.0
#
interface GE2/0/0
undo shutdown
ip address 192.168.50.1 255.255.255.0
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
interface Nve1
source 2.2.2.2
#
bgp 100
peer 192.168.50.2 as-number 200
#
ipv4-family unicast
network 2.2.2.2 255.255.255.255
peer 1.1.1.1 enable
#
l2vpn-family evpn
peer 1.1.1.1 enable
peer 1.1.1.1 advertise route-reoriginated evpn mac
peer 192.168.50.2 split-group sg1
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 192.168.20.0 0.0.0.255
#
return
#
sysname Spine2
#
interface GE1/0/0
undo shutdown
ip address 192.168.30.1 255.255.255.0
#
interface GE2/0/0
undo shutdown

ip address 192.168.40.1 255.255.255.0

#
ospf 1
area 0.0.0.0
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
#
return
#
sysname Leaf3
#
#
bridge-domain 10
#
interface GE1/0/0
undo shutdown
ip address 192.168.30.2 255.255.255.0
#
interface GE2/0/0
undo shutdown
ip address 192.168.50.2 255.255.255.0
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
interface Nve1
source 3.3.3.3
#
bgp 200
peer 192.168.50.1 as-number 100
#
ipv4-family unicast
network 3.3.3.3 255.255.255.255
peer 4.4.4.4 enable
#
l2vpn-family evpn
peer 4.4.4.4 enable
peer 192.168.50.1 split-group sg1
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 192.168.30.0 0.0.0.255
#
return
#
sysname Leaf4

#
#
bridge-domain 10
#
interface GE1/0/0
undo shutdown
ip address 192.168.40.2 255.255.255.0
#
interface GE2/0/0
undo shutdown
#
rewrite pop single
bridge-domain 10
#
interface LoopBack1
ip address 4.4.4.4 255.255.255.255
#
interface Nve1
source 4.4.4.4
#
bgp 200
#
ipv4-family unicast
peer 3.3.3.3 enable
#
l2vpn-family evpn
peer 3.3.3.3 enable
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 192.168.40.0 0.0.0.255
#
return
1.2.12.7 配置静态 VXLAN 双活场景示例（二层互通）

在数据中心与企业Site对接的场景中，CE双归接入VXLAN网络，运营商可以增强
组网需求
如图1-83所示，CE1通过Eth-Trunk双归接入PE1和PE2，PE1和PE2对外使用一个虚地址
作为NVE源的VTEP地址，既Anycast VTEP地址。这样从CPE侧只感知到一个远端
NVE，CPE与Anycast VTEP地址之间建立静态VXLAN隧道实现互通。

图 1-83 配置静态 VXLAN 双活（二层互通）组网图

说明
本示例中interface1，interface2，interface3分别代表GigabitEthernet1/0/1，GigabitEthernet1/0/2，
CPE
VXLAN Tunnel
in
3
te
ce
rfa
rfa
ce
te
PE1 3
in
PE2
Anycast VTEP
Bypass VXLAN Tunnel
i nt e2
er f fac
ac er
e2 int
int 2
e rfa ce
ce t e rfa
1 in
CE2 CE1 CE3
GigabitEthernet1/0/1 10.1.20.1/24
GigabitEthernet1/0/2 -
PE1 GigabitEthernet1/0/3 10.1.1.1/24
PE2 GigabitEthernet1/0/1 10.1.20.2/24
CE1 GigabitEthernet1/0/1 -

CPE GigabitEthernet1/0/1 10.1.1.2/24
配置思路
采用如下的思路配置：
1. 在PE和CPE设备上配置IGP路由协议，保证网络互通。
2. 在PE1和PE2上配置业务接入点，在PE1和PE2上对CE1的接入链路静态配置相同的
ESI，实现CE1双归接入PE1和PE2。
3. 在PE1和PE2上配置相同的虚拟Anycast VTEP地址，作为与CPE建立VXLAN隧道的
NVE源地址。在PE设备与CPE之间创建静态VXLAN隧道，实现PE设备与CPE设备
之间的互通。
4. 在PE1和PE2之间部署EVPN邻居，收发VXLAN EVPN路由。
5. 在PE1和PE2上配置BD模式的EVPN实例，并将BD绑定到相应的EVPN实例。
6. 在PE1和PE2上使能框间VXLAN功能，分别配置不同的Bypass地址，在PE1与PE2
之间创建Bypass VXLAN隧道，实现PE2与PE2之间的互通。
7. （可选）在PE1和PE2上配置使能UDP端口，防止回切多包。
8. 在PE1和PE2上配置BD，用于AC侧的CE接入和网络侧远端CPE设备之间广播域的
打通。
9. 在PE1和PE2上使能向邻居发布本地路由时携带扩展团体属性功能和对接收到的携
带扩展VLAN团体属性的路由进行重定向的功能。
10. 在PE1和PE2上使能本远端MAC路由快速重路由功能。实现当一台PE设备故障
时，CPE下行的流量可以被快速切换到另一PE设备转发至CE设备。
11. （可选）当PE1和PE2之间为EBGP时，需要设置不改下一跳功能，当PE1和PE2之
间为IBGP时无需配置。
数据准备
l 接口与IP地址。
l VPN和EVPN实例的名称。
l VPN和EVPN实例的收发路由属性VPN-Target。
操作步骤
步骤1 配置各节点接口的IP地址及Loopback接口的地址。
步骤2 在AC侧和骨干网上配置IGP协议，本示例使用ISIS。

步骤3 配置EVPN
在PE1上配置
[~PE1] evpn
[*PE1-evpn] vlan-extend private enable
[*PE1-evpn] vlan-extend redirect enable
[*PE1-evpn] local-remote frr enable
[*PE1-evpn] bypass-vxlan enable
[*PE1-evpn] quit
[*PE1] commit
在PE2上的配置与PE1类似，具体配置过程请参考配置文件。
步骤4 配置PE1与PE2之间的BGP对等体和EVPN IBGP邻居，收发VXLAN路由。
# 配置PE1
[~PE1] bgp 100
[*PE1-bgp] peer 2.2.2.2 as-number 100
[*PE1-bgp] peer 2.2.2.2 connect-interface LoopBack 0
[*PE1-bgp] ipv4-family unicast
[*PE1-bgp-af-ipv4] undo synchronization
[*PE1-bgp-af-ipv4] peer 2.2.2.2 enable
[*PE1-bgp-af-ipv4] quit
[*PE1-bgp] l2vpn-family evpn
[*PE1-bgp-instance-evpn1] undo policy vpn-target
[*PE1-bgp-instance-evpn1] peer 2.2.2.2 enable
[*PE1-bgp-instance-evpn1] peer 2.2.2.2 advertise encap-type vxlan
[*PE1-bgp-instance-evpn1] quit
[*PE1-bgp] quit
[*PE1] commit
步骤5 创建VXLAN隧道。
1. 在PE上配置EVPN实例，并绑定BD。
# 配置PE1。
[~PE1] evpn vpn-instance evpn1 bd-mode
[*PE1-evpn-instance-1] route-distinguisher 11:11
[*PE1-evpn-instance-1] vpn-target 1:1 export-extcommunity
[*PE1-evpn-instance-1] vpn-target 1:1 import-extcommunity
[*PE1-evpn-instance-1] quit
[*PE1] bridge-domain 10
[*PE1-bd10] vxlan vni 10 split-horizon-mode
[*PE1-bd10] evpn binding vpn-instance evpn1
[*PE1-bd10] quit
[*PE1-bd100] quit
[*PE1] commit
在PE2的配置与PE1类似，具体配置过程请参考配置文件。
2. 在PE上使能头端复制功能
# 配置CPE。
[~CPE] interface nve 1
[*CPE-Nve1] source 4.4.4.4
[*CPE-Nve1] vni 10 head-end peer-list 3.3.3.3
[*CPE-Nve1] quit
[*CPE] commit
# 配置PE1。
[~PE1] interface nve 1

[*PE1-Nve1] source 3.3.3.3

[*PE1-Nve1] bypass source 1.1.1.1
[*PE1-Nve1] mac-address 0009-0009-0009
[*PE1-Nve1] vni 10 head-end peer-list protocol bgp
[*PE1-Nve1] vni 10 head-end peer-list 4.4.4.4
[*PE1-Nve1] quit
[*PE1] commit
在PE2上配置与PE1类似，具体配置过程请参考配置文件。
步骤6 配置CE接入PE
在PE1上配置
[*PE1] e-trunk 1
[*PE1-e-trunk-1] priority 10
[*PE1-e-trunk-1] peer-address 2.2.2.2 source-address 1.1.1.1
[*PE1-e-trunk-1] quit
[*PE1] interface eth-trunk 1
[*PE1-Eth-Trunk1] mac-address 0004-0004-0017
[*PE1-Eth-Trunk1] mode lacp-static
[*PE1-Eth-Trunk1] e-trunk 1
[*PE1-Eth-Trunk1] e-trunk mode force-master
[*PE1-Eth-Trunk1] es track evpn-peer 2.2.2.2
[*PE1-Eth-Trunk1] esi 0000.0001.0001.0001.0001
[*PE1-Eth-Trunk1] quit
[*PE1] interface eth-trunk1.1 mode l2
[*PE1-Eth-Trunk1.1] encapsulation dot1q vid 1
[*PE1-Eth-Trunk1.1] rewrite pop single
[*PE1-Eth-Trunk1.1] bridge-domain 10
[*PE1-Eth-Trunk1.1] quit
[~PE1] commit
在PE1设备上执行display vxlan tunnel命令可查看到VXLAN隧道信息。以PE1的显示为
例：
[~PE1] display vxlan tunnel
-----------------------------------------------------------------------------------
4026531842 1.1.1.1 2.2.2.2 up dynamic 00:43:14
4026531843 3.3.3.3 4.4.4.4 up static 00:08:30
----结束
配置文件
l PE1的配置文件
#
sysname PE1
#
evpn enhancement port 1345
#
evpn
vlan-extend private enable
vlan-extend redirect enable
local-remote frr enable
bypass-vxlan enable
#
evpn vpn-instance evpn1 bd-mode


#
bridge-domain 10
evpn binding vpn-instance evpn1
#
e-trunk 1
priority 10
peer-address 2.2.2.2 source-address 1.1.1.1
#
isis 1
network-entity 10.0000.0000.0001.00
frr
#
interface Eth-Trunk1
mac-address 0004-0004-0017
mode lacp-static
e-trunk 1
e-trunk mode force-master
es track evpn-peer 2.2.2.2
esi 0000.0001.0001.0001.0001
#
interface Eth-Trunk1.1 mode l2
rewrite pop single
bridge-domain 10
#
undo shutdown
ip address 10.1.20.1 255.255.255.0
isis enable 1
#
undo shutdown
eth-trunk 1
#
undo shutdown
ip address 10.1.1.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
interface LoopBack2
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
interface Nve1
source 3.3.3.3
bypass source 1.1.1.1
mac-address 0009-0009-0009
#
bgp 100
#
ipv4-family unicast
undo synchronization
peer 2.2.2.2 enable
#
l2vpn-family evpn
peer 2.2.2.2 enable
#

#
sysname PE2
#
#
evpn
bypass-vxlan enable
#
#
bridge-domain 10
#
e-trunk 1
priority 10
peer-address 1.1.1.1 source-address 2.2.2.2
#
isis 1
network-entity 10.0000.0000.0002.00
frr
#
mac-address 0004-0004-0017
mode lacp-static
e-trunk 1
e-trunk mode force-master
es track evpn-peer 1.1.1.1
esi 0000.0001.0001.0001.0001
#
rewrite pop single
bridge-domain 10
#
undo shutdown
ip address 10.1.20.2 255.255.255.0
isis enable 1
#
undo shutdown
eth-trunk 1
#
undo shutdown
ip address 10.1.2.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
isis enable 1
#
interface LoopBack2
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
interface Nve1
source 3.3.3.3
mac-address 0009-0009-0009


#
bgp 100
#
ipv4-family unicast
peer 1.1.1.1 enable
#
l2vpn-family evpn
peer 1.1.1.1 enable
#
l CE的配置文件
#
sysname CE
#
vlan batch 1 to 4094
#
portswitch
port link-type trunk
port trunk allow-pass vlan 1
#
undo shutdown
eth-trunk 1
#
undo shutdown
eth-trunk 1
#
return
l CPE的配置文件
#
sysname CPE
#
bridge-domain 10
#
isis 1
network-entity 20.0000.0000.0001.00
frr
#
undo shutdown
ip address 10.1.1.2 255.255.255.0
isis enable 1
#
rewrite pop single
bridge-domain 10
#
undo shutdown
ip address 10.1.1.2 255.255.255.0
isis enable 1
#
rewrite pop single
bridge-domain 10

#
interface LoopBack1
ip address 4.4.4.4 255.255.255.255
isis enable 1
#
interface Nve1
source 4.4.4.4
#
return
1.2.12.8 配置静态 VXLAN 双活场景示例（三层互通）

数据中心与企业Site对接的场景中，CE双归接入VXLAN网络，运营商可以增强
组网需求
如图1-84所示，CPE与PE1、PE2之间部署静态VXLAN。PE1和PE2之间建立EVPN邻
居，部署Bypass VXLAN隧道。CE双归到PE1和PE2，当一台PE设备出现故障时，流量
能够迅速切换到另一台PE设备上。
图 1-84 配置静态 VXLAN 双活(三层互通)组网图

说明
本例中interface1、interface2、interface3分别代表GigabitEthernet1/0/1、GigabitEthernet1/0/2、
CPE
interface1
VXLAN Tunnel
in
3
te
ce
rfa
rfa
ce
te
PE1 3
in
PE2
Anycast VTEP
Bypass VXLAN Tunnel
int e2
e rfa fa c
c e2 in te r
int
erf e2
a ce fa c
1 in te r
CE2 CE1 CE3

PE1 GigabitEthernet 1/0/3 10.1.1.1/24
CE GigabitEthernet 1/0/1 192.168.1.2/24
CPE GigabitEthernet 1/0/1 10.1.1.2/24
配置思路
采用如下的思路配置
1. 在PE和CPE设备上配置路由协议，保证网络三层互通，本示例采用了IGP路由协
议。
2. 配置CE通过BGP路由协议接入到PE的VPN实例。配置CE1双归接入PE1和PE2。
3. 在PE1和PE2上配置VBDIF接口接入三层。
4. 在PE1和PE2上配置相同的虚拟Anycast VTEP地址，作为与CPE建立VXLAN隧道的
NVE源地址。在PE设备与CPE之间创建静态VXLAN隧道，实现PE设备与CPE设备
之间的互通。
5. 在PE1和PE2上使能框间VXLAN功能，分别配置不同的Bypass地址，并建立BGP
EVPN对等体关系，在PE1与PE2之间创建Bypass VXLAN隧道，实现PE1与PE2之
间的互通。
6. 在PE1和PE2上使能BGP私网地址族下使能auto-frr功能。实现当一台PE设备故障
时，CPE下行的流量可以被快速切换到另一PE设备转发至CE设备。

操作步骤
步骤2 在骨干网上配置IGP，本示例使用ISIS。
步骤3 配置EVPN
在PE1上配置
[~PE1] evpn
[*PE1-evpn] quit
[*PE1] commit
步骤4 配置VPN实例
在PE1上配置
[~PE1] ip vpn-instance vpn1
[*PE1-vpn-instance-vpn1] ipv4-family
[*PE1-vpn-instance-vpn1-af-ipv4] route-distinguisher 1:1
[*PE1-vpn-instance-vpn1-af-ipv4] vpn-target 1:1 import-extcommunity
[*PE1-vpn-instance-vpn1-af-ipv4] vpn-target 1:1 export-extcommunity
[*PE1-vpn-instance-vpn1-af-ipv4] vpn-target 1:1 import-extcommunity evpn
[*PE1-vpn-instance-vpn1-af-ipv4] vpn-target 1:1 export-extcommunity evpn
[*PE1-vpn-instance-vpn1-af-ipv4] quit
[*PE1-vpn-instance-vpn1] quit
[*PE1] commit
步骤5 配置BGP和BGP EVPN对等体
# 配置CE1
[~CE1] bgp 200
[*CE1-bgp] peer 192.168.1.1 as-number 100
[*CE1-bgp] peer 192.168.1.1 ebgp-max-hop 255
[*CE1-bgp] peer 192.168.2.1 ebgp-max-hop 255
[*CE1-bgp] ipv4-family unicast
[*CE1-bgp-af-ipv4] network 5.5.5.5 255.255.255.255
[*CE1-bgp-af-ipv4] peer 1.1.1.1 enable
[*CE1-bgp-af-ipv4] peer 2.2.2.2 enable
[*CE1-bgp-af-ipv4] quit
[*CE1] commit
# 配置PE1
[~PE1] bgp 100
[*PE1-bgp] ipv4-family vpn-instance vpn1
[*PE1-bgp-vpn1] auto-frr
[*PE1-bgp-vpn1] peer 192.168.1.2 as-number 200
[*PE1-bgp-vpn1] peer 192.168.1.2 connect-interface GigabitEthernet0/1/2
[*PE1-bgp-vpn1] advertise l2vpn evpn

[*PE1-bgp-vpn1] quit
[*PE1-bgp] quit
[*PE1] commit
步骤6 创建PE1、PE2与CPE之间的静态VXLAN隧道和PE1、PE2之间的Bypass VXLAN隧道。
# 配置CPE。
[*CPE] interface nve 1
[*CPE-Nve1] quit
[*CPE] commit
# 配置PE1。
[~PE1] bridge-domain 10
[*PE1-bd10] quit
[*PE1] interface nve 1
[*PE1-Nve1] quit
[*PE1] commit
步骤7 配置VBDIF接口和VPN实例绑定
# 配置PE1。
[~PE1] interface vbdif10
[*PE1-Vbdif10] ip binding vpn-instance vpn1
[*PE1-Vbdif10] ip address 10.1.10.1 24
[*PE1-Vbdif10] arp collect host enable
[*PE1-Vbdif10] mac-address 0010-0010-0010
[*PE1-Vbdif10] quit
[*LPE1] commit
在PE1设备上执行display vxlan tunnel命令可查看到VXLAN隧道信息。以PE1的显示为
例：
[~PE1] display vxlan tunnel
Tunnel ID Source Destination State TyPE Uptime
-------------------------------------------------------------------
4026531841 1.1.1.1 2.2.2.2 up dynamic 0033h12m
4026531842 3.3.3.3 4.4.4.4 up dynamic 0033h12m
----结束
配置文件

#
sysname PE1
#
evpn
bypass-vxlan enable
#
ipv4-family
vxlan vni 100
#
bridge-domain 10
#
isis 1
network-entity 10.0000.0000.0010.00
frr
#
isis 2 vpn-instance vpn1
network-entity 20.0000.0000.0010.00
#
interface Vbdif10
ip address 10.1.10.1 255.255.255.0
mac-address 0010-0010-0010
#
undo shutdown
ip address 10.1.20.1 255.255.255.0
isis enable 1
#
undo shutdown
ip address 192.168.1.1 255.255.255.0
isis enable 2
#
undo shutdown
ip address 10.1.1.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
interface LoopBack2
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
interface Nve1
source 3.3.3.3
mac-address 0009-0009-0009
#
bgp 100
#
ipv4-family unicast
peer 2.2.2.2 enable

#
ipv4-family vpn-instance vpn1
auto-frr
peer 192.168.1.2 connect-interface GigabitEthernet0/1/2
advertise l2vpn evpn
#
l2vpn-family evpn
peer 2.2.2.2 enable
#
return
#
sysname PE2
#
evpn
bypass-vxlan enable
#
ipv4-family
vxlan vni 100
#
bridge-domain 10
#
isis 1
network-entity 10.0000.0000.0020.00
frr
#
isis 2 vpn-instance vpn1
network-entity 20.0000.0000.0020.00
#
interface Vbdif10
ip address 10.1.10.1 255.255.255.0
isis enable 1
mac-address 0010-0010-0010
#
undo shutdown
ip address 10.1.20.2 255.255.255.0
isis enable 1
#
undo shutdown
ip address 192.168.2.1 255.255.255.0
isis enable 2
#
undo shutdown
ip address 10.1.2.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
isis enable 1
#
interface LoopBack2
ip address 3.3.3.3 255.255.255.255

isis enable 1
#
interface Nve1
source 3.3.3.3
mac-address 0009-0009-0009
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.1 enable
#
ipv4-family vpn-instance vpn1
auto-frr
peer 192.168.2.2 connect-interface GigabitEthernet0/1/2
#
l2vpn-family evpn
peer 1.1.1.1 enable
#
return
l CE1的配置文件
#
sysname CE1
#
isis 2
network-entity 20.0000.0000.0030.00
#
undo shutdown
ip address 192.168.1.2 255.255.255.0
isis enable 2
#
undo shutdown
ip address 192.168.2.2 255.255.255.2
isis enable 2
#
interface LoopBack1
ip address 5.5.5.5 255.255.255.255
#
bgp 200
#
ipv4-family unicast
network 5.5.5.5 255.255.255.255
peer 1.1.1.1 enable
peer 2.2.2.2 enable
#
return
#
sysname CPE
#
bridge-domain 10

#
isis 1
network-entity 20.0000.0000.0001.00
frr
#
undo shutdown
ip address 10.1.1.2 255.255.255.0
isis enable 1
#
undo shutdown
ip address 10.1.2.2 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 4.4.4.4 255.255.255.255
isis enable 1
#
interface Nve1
source 4.4.4.4
#
return
1.2.12.9 配置 VXLAN over IPSec 双活场景示例

在数据中心与企业Site对接的场景中，CE双归接入VXLAN网络，增强VXLAN的接入
可靠性，遇到故障可以更快速的收敛。通过IPSec封装，可以实现加密传输，保证传输
安全。
组网需求
如图1-85所示，CE1双归接入PE1和PE2，PE1和PE2对外使用一个虚地址作为NVE源的
VTEP地址。这样从CPE侧只感知到一个远端NVE，CPE与Anycast VTEP地址之间建立
静态的VXLAN隧道实现CPE与PE设备之间的互通。VXLAN是明文报文在网络传输不
安全，通过IPSec封装，可以实现加密传输，保证传输安全。
图 1-85 配置合设 VXLAN over IPSec 双活场景组网图

说明
本示例中interface1，interface2，interface3分别代表GigabitEthernet1/0/1，GigabitEthernet2/0/0，

CPE
interface1
VXLAN Tunnel
VXLAN
over
IPSec
in
te
3
rfa
ce
rfa
ce
PE1 3
te
PE2
in
Anycast VTEP
Bypass VXLAN Tunnel
VLAN int 2
e rfa a ce
ce erf
2 i nt
Trunk
int 2
e rfa ce
ce t e rfa
1 in
CE2 CE1 CE3
CE1 GigabitEthernet 1/0/1 192.168.1.2/24
CPE GigabitEthernet1/0/1 10.1.1.2/24

配置思路
采用如下的思路配置：
1. 在CE、PE和CPE设备上配置路由协议，保证网络二层互通。
2. 在PE1和PE2上配置业务接入点，实现CE1双归接入PE1和PE2。
3. 在PE设备与CPE之间创建静态VXLAN隧道，实现PE设备与EPC设备之间的互通。
4. 在PE1与PE2之间创建Bypass VXLAN隧道，实现PE2与PE2之间的互通。
5. （可选）在PE1和PE2上配置使能UDP端口，防止回切多包。
6. 在PE设备和CPE设备上配置IPSec功能，创建IPSec Tunnel。
数据准备
l 接口与IP地址。
l EVPN实例的名称。
l EVPN实例的收发路由属性VPN-Target。
l 预共享密钥。
l IPSec安全提议中采用的安全协议，加密算法，认证算法。
l IKE安全提议采用的认证算法和加密算法。
操作步骤
步骤2 在AC侧和骨干网上配置IGP协议，本示例使用ISIS。
步骤3 配置EVPN
在PE1上配置
[~PE1] evpn
[*PE1-evpn] vlan-extend private enable
[*PE1-evpn] vlan-extend redirect enable
[*PE1-evpn] local-remote frr enable
[*PE1-evpn] quit
[*PE1] commit
步骤4 配置PE1与PE2之间的BGP对等体和EVPN IBGP邻居，收发VXLAN路由。
# 配置PE1
[~PE1] bgp 100


[*PE1-bgp] quit
[*PE1] commit
步骤5 创建VXLAN隧道。
1. 在PE上配置EVPN实例，并绑定BD。
# 配置PE1。
[~PE1] evpn vpn-instance evpn1 bd-mode
[*PE1-evpn-instance-1] route-distinguisher 11:11
[*PE1-evpn-instance-1] vpn-target 1:1 export-extcommunity
[*PE1-evpn-instance-1] vpn-target 1:1 import-extcommunity
[*PE1-evpn-instance-1] quit
[*PE1] bridge-domain 10
[*PE1-bd10] evpn binding vpn-instance evpn1
[*PE1-bd10] quit
[*PE1-bd100] quit
[*PE1] commit
2. 在PE上使能头端复制功能
# 配置CPE。
[~CPE] interface nve 1
[*CPE-Nve1] quit
[*CPE] commit
# 配置PE1。
[~PE1] interface nve 1
[*PE1-Nve1] vni 10 head-end peer-list protocol bgp
[*PE1-Nve1] quit
[*PE1] commit
步骤6 配置CE接入PE
在PE1上配置
[*PE1] e-trunk 1
[*PE1-e-trunk-1] priority 10
[*PE1-e-trunk-1] peer-address 2.2.2.2 source-address 1.1.1.1
[*PE1-e-trunk-1] quit
[*PE1] interface eth-trunk 1
[*PE1-Eth-Trunk1] mac-address 0004-0004-0017
[*PE1-Eth-Trunk1] mode lacp-static
[*PE1-Eth-Trunk1] e-trunk 1
[*PE1-Eth-Trunk1] e-trunk mode force-master
[*PE1-Eth-Trunk1] es track evpn-peer 2.2.2.2
[*PE1-Eth-Trunk1] esi 0000.0001.0001.0001.0001
[*PE1-Eth-Trunk1] quit
[*PE1] interface eth-trunk1.1 mode l2

[*PE1-Eth-Trunk1.1] encapsulation dot1q vid 1

[*PE1-Eth-Trunk1.1] rewrite pop single
[*PE1-Eth-Trunk1.1] bridge-domain 10
[*PE1-Eth-Trunk1.1] quit
[~PE1] commit
步骤7 配置PE1的IPSec功能。
1. 使能IPSec功能。
[~PE1] license
[*PE1-license] active ipsec slot 1
[*PE1-license] quit
[*PE1] commit
2. 配置高级ACL 3000。
[~PE1] acl 3000
[*PE1-acl-adv-3000] rule 5 permit ip source 3.3.3.3 0 destination 4.4.4.4 0
[*PE1acl-adv-3000] quit
[*PE1] commit
3. 配置名称为tran1的IPSec安全提议。
[~PE1] ipsec proposal tran1
[*PE1-ipsec-proposal-tran1] encapsulation-mode tunnel
[*PE1-ipsec-proposal-tran1] transform esp
[*PE1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[*PE1-ipsec-proposal-tran1] esp encryption-algorithm aes 256
[*PE1-ipsec-proposal-tran1] quit
[*PE1] commit
4. 配置序号为10的IKE安全提议。
[~PE1] ike proposal 10
[*PE1-ike-proposal-10] authentication-method pre-share
[*PE1-ike-proposal-10] authentication-algorithm sha2-256
[*PE1-ike-proposal-10] integrity-algorithm hmac-sha2-256
[*PE1-ike-proposal-10] dh group14
[*PE1-ike-proposal-10] quit
[*PE1] commit
5. 配置名称为b的IKE peer。
[~PE1] ike peer b
[*PE1-ike-peer-b] ike-proposal 10
[*PE1-ike-peer-b] remote-address 4.4.4.4
[*PE1-ike-peer-b] pre-shared-key abcde
[*PE1-ike-peer-b] quit
[*PE1] commit
说明
NE40E同时开启IKEv1和IKEv2，缺省情况下采用IKEv2进行协商，若对端不支持IKEv2，请
禁用IKEv2，采用IKEv1进行协商。
预共享密钥的配置需要与对端设备相同。
6. 配置名称为map1序号为10的IPSec安全策略。
[~PE1] ipsec policy map1 10 isakmp
[*PE1-ipsec-policy-isakmp-map1-10] security acl 3000
[*PE1-ipsec-policy-isakmp-map1-10] proposal tran1
[*PE1-ipsec-policy-isakmp-map1-10] ike-peer b
[~PE1-ipsec-policy-isakmp-map1-10] local-address 3.3.3.3
[*PE1-ipsec-policy-isakmp-map1-10] quit
[*PE1] commit
7. 配置IPsec服务实例组group1。
– 对于VSUF-80/VSUF-160，请参照如下配置：
[*PE1]service-location 1
[*PE1-service-location-1] location slot 2 card 0
[*PE1-service-location-1] commit

[*PE1-service-location-1] quit
– 对于LPUF-51-E/LPUI-51-E/LPUI-51-S，请参照如下配置：
[~PE1] service-location 1
[*PE1-service-location-1] location slot 2
[*PE1-service-location-1] commit
[~PE1-service-location-1] quit
[~PE1] service-instance-group group1
[*PE1-service-instance-group-group1] service-location 1
[*PE1-service-instance-group-group1] quit
[*PE1] commit
8. 创建并配置IPSec Tunnel。
[~PE1] interface tunnel 0/0/1
[*PE1-tunnel0/0/1] ip address 11.1.1.1 255.255.255.255
[*PE1-tunnel0/0/1] tunnel-protocol ipsec
[*PE1-tunnel0/0/1] ipsec policy map1 service-instance-group group1
[*PE1-tunnel0/0/1] quit
[*PE1] commit
9. 配置引流入隧道的静态路由。
[~PE1] ip route-static 4.4.4.4 255.255.255.255 GigabitEthernet1/0/3 10.1.1.2
[*PE1] ip route-static 4.4.4.4 255.255.255.255 Tunnel0/0/1 6.6.6.6
[*PE1] commit
步骤8 配置CPE的IPSec功能。
1. 使能IPSec功能。
[~CPE] license
[*CPE-license] active ipsec slot 1
[*CPE-license] quit
[*CPE] commit
2. 配置高级ACL 3000。
[~CPE] acl 3000
[*CPE-acl-adv-3000] rule 5 permit ip
[*CPE-acl-adv-3000] quit
[*CPE] commit
3. 配置名称为tran1的IPSec安全提议。
[~CPE] ipsec proposal tran1
[*CPE-ipsec-proposal-tran1] encapsulation-mode tunnel
[*CPE-ipsec-proposal-tran1] transform esp
[*CPE-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[*CPE-ipsec-proposal-tran1] esp encryption-algorithm aes 256
[*CPE-ipsec-proposal-tran1] quit
[*CPE] commit
4. 配置序号为10的IKE安全提议。
[~CPE] ike proposal 10
[*CPE-ike-proposal-10] authentication-method pre-share
[*CPE-ike-proposal-10] authentication-algorithm sha2-256
[*CPE-ike-proposal-10] integrity-algorithm hmac-sha2-256
[*CPE-ike-proposal-10] dh group14
[*CPE-ike-proposal-10] quit
[*CPE] commit
5. 配置名称为1的IKE peer。
[~CPE] ike peer 1
[*CPE-ike-peer-1] ike-proposal 10
[*CPE-ike-peer-1] remote-address 5.5.5.5
[*CPE-ike-peer-1] pre-shared-key abcde
[*CPE-ike-peer-1] quit
[*CPE] commit

说明
NE40E同时开启IKEv1和IKEv2，缺省情况下采用IKEv2进行协商，若对端不支持IKEv2，请
禁用IKEv2，采用IKEv1进行协商。
预共享密钥的配置需要与对端设备相同。
6. 配置名称为temp1序号为1的IPSec安全策略模板。
[~CPE] ipsec policy-template temp1 1
[*CPE-ipsec-policy-templet-temp1-1] security acl 3000
[*CPE-ipsec-policy-templet-temp1-1] proposal tran1
[*CPE-ipsec-policy-templet-temp1-1] ike-peer 1
[*CPE-ipsec-policy-templet-temp1-1] local-address 6.6.6.6
[*CPE-ipsec-policy-templet-temp1-1] quit
[*CPE] commit
7. 根据安全模板创建安全策略。
[~CPE] ipsec policy 1 1 isakmp template temp1
[*CPE] commit
8. 配置IPSec服务实例组group1。
– 对于VSUF-80/VSUF-160，请参照如下配置：
[~CPE] service-location 1
[*CPE-service-location-1] location slot 1 card 0
[*CPE-service-location-1] commit
[~CPE-service-location-1] quit
– 对于LPUF-51-E/LPUI-51-E/LPUI-51-S，请参照如下配置：
[~CPE] service-location 1
[*CPE-service-location-1] location slot 1
[*CPE-service-location-1] commit
[~CPE-service-location-1] quit
[~CPE] service-instance-group group1
[*CPE-service-instance-group-group1] service-location 1
[*CPE-service-instance-group-group1] quit
[*CPE] commit
9. 创建并配置IPSec Tunnel。
[~CPE interface tunnel 0/0/1
[*CPE-tunnel0/0/1] ip address 22.2.2.2 255.255.255.255
[*CPE-tunnel0/0/1] tunnel-protocol ipsec
[*CPE-tunnel0/0/1] ipsec policy 1 service-instance-group group1
[*CPE-tunnel0/0/1] quit
[*CPE] commit
10. 配置引流入隧道的静态路由。
[~CPE] ip route-static 5.5.5.5 255.255.255.255 GigabitEthernet1/0/1 192.168.1.1
[*CPE] commit
----结束
配置文件
#
sysname PE1
#
#
evpn
bypass-vxlan enable
#

#
bridge-domain 10
#
acl number 3000
rule 5 permit ip source 3.3.3.3 0 destination 4.4.4.4 0
#
isis 1
network-entity 10.0000.0000.0001.00
frr
#
#
license
active ipsec slot 1
license
active ipsec slot 1
#
service-location 1
location slot 2 card 0//在VSUF-80/VSUF-160业务板执行
location slot 2 //在LPUF-51-E/LPUI-51-E/LPUI-51-S业务板执行
#
service-instance-group group1
service-location 1
#
ike proposal 10
encryption-algorithm aes-cbc 256
dh group14
authentication-algorithm sha2-256
integrity-algorithm hmac-sha2-256
#
ike peer b
pre-shared-key %$%$THBGMJK2659z"C(T{J"-,.2n%$%$
ike-proposal 10
remote-address 6.6.6.6
#
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes 256
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal tran1
local-address 5.5.5.5
#
esi 0000.0001.0001.0001.0001
#
rewrite pop single
bridge-domain 10
#
interface GigabitEthernet 1/0/1
undo shutdown
ip address 10.1.20.1 255.255.255.0
#
undo shutdown
eth-trunk 1
#
undo shutdown

ip address 10.1.1.1 255.255.255.0

#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
interface LoopBack2
ip address 5.5.5.5 255.255.255.255
isis enable 1
#
interface Nve1
source 3.3.3.3
mac-address 0009-0009-0009
#
bgp 100
#
ipv4-family unicast
peer 2.2.2.2 enable
#
l2vpn-family evpn
peer 2.2.2.2 enable
#
interface tunnel0/0/1
ip address 11.1.1.1 255.255.255.0
tunnel-protocol ipsec
ipsec policy map1 service-instance-group group1
#
ip route-static 6.6.6.6 255.255.255.255 GigabitEthernet1/0/3 10.1.1.1
ip route-static 4.4.4.4 255.255.255.255 Tunnel0/0/1 6.6.6.6
#
return
#
sysname PE2
#
#
evpn
bypass-vxlan enable
#
#
bridge-domain 10
#
acl number 3000
rule 5 permit ip source 3.3.3.3 0 destination 4.4.4.4 0

#
license
active ipsec slot 1
#
service-location 1
location slot 1 card location slot 1
#
service-location 1
#
ike proposal 10
dh group14
#
ike peer b
ike-proposal 10
#
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal tran1
#
isis 1
network-entity 10.0000.0000.0002.00
frr
#
esi 0000.0001.0001.0001.0001
#
rewrite pop single
bridge-domain 10
#
undo shutdown
ip address 10.1.20.2 255.255.255.0
#
undo shutdown
eth-trunk 1
#
undo shutdown
ip address 10.1.2.1 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
isis enable 1
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
interface LoopBack2
ip address 5.5.5.5 255.255.255.255
isis enable 1
#
interface Nve1

source 3.3.3.3
mac-address 0009-0009-0009
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.1 enable
#
l2vpn-family evpn
peer 1.1.1.1 enable
#
ip address 11.1.1.1 255.255.255.0
ipsec policy map1 service-instance-group group1
#
ip route-static 4.4.4.4 255.255.255.255 Tunnel0/0/1 6.6.6.6
#
return
l CE的配置文件
#
sysname CE
#
vlan batch 1 to 4094
#
portswitch
port link-type trunk
port trunk allow-pass vlan 1
#
undo shutdown
eth-trunk 1
#
undo shutdown
eth-trunk 1
#
return
#
sysname CPE
#
bridge-domain 10
#
acl number 3000
rule 5 permit ip
#
license
active ipsec slot 1
#
service-location 1
location slot 1 card 0//在VSUF-80/VSUF-160业务板执行
location slot 1 //在LPUF-51-E/LPUI-51-E/LPUI-51-S业务板执行
#

service-location 1
#
ike proposal 10
dh group14
#
ike peer 1
ike-proposal 10
#
#
ipsec policy-template temp1 1
#
security acl 3000
ike-peer 1
proposal tran1
#
ipsec policy 1 1 isakmp template temp1
#
isis 1
network-entity 20.0000.0000.0001.00
frr
#
undo shutdown
ip address 10.1.1.2 255.255.255.0
isis enable 1
#
interface GigabitEthernet 1/0/1.1 mode l2
rewrite pop single
bridge-domain 10
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
isis enable 1
#
interface LoopBack1
ip address 6.6.6.6 255.255.255.255
isis enable 1
#
interface Nve1
source 4.4.4.4
#
ip address 22.2.2.2 255.255.255.255
ipsec policy 1 service-instance-group
group1
#
#
return
1.3 VXLAN 配置命令

1.3.1 active port-vxlan
命令功能
active port-vxlan命令用来批量激活设备CM单板上的VXLAN端口License。
undo active port-vxlan命令用来批量去激活设备CM单板上的VXLAN端口License。
缺省情况下，未激活设备CM单板上的VXLAN端口License。
命令格式
active port-vxlan slot slot-id card card-id port port-list
undo active port-vxlan slot slot-id card card-id [ port port-list ]
参数说明
参数参数说明取值
slot slot-id 指定CM单板槽位号。 -
card card-id 指定当前槽位子卡的子卡号。 -
port port-list 指定CM单板端口列表，通过“,”或“-”分隔。 -
视图
License视图
缺省级别
2：配置级
任务名称和操作类型
任务名称操作类型
license write
使用指南
应用场景
对于CM单板，需要执行该命令激活VXLAN端口License后才能配置VXLAN业务。
前提条件
在配置CM单板上的VXLAN端口License之前，需要完成以下任务：
l 执行命令license active file-name，激活主用主控板上的License文件。
l 执行命令active port-basic slot slot-id card card-id port port-list，批量激活设备CM
单板上的端口基本硬件License。

使用实例
# 激活VXLAN端口License。
<HUAWEI>system-view
[~HUAWEI] license
[*HUAWEI-license] active port-vxlan slot 2 card 0 port 0-8
# 去激活VXLAN端口License。
<HUAWEI>system-view
[~HUAWEI] license
[*HUAWEI-license] undo active port-vxlan slot 2 card 0 port 0-8
1.3.2 advertise l2vpn evpn

命令功能
advertise l2vpn evpn命令用来使能VPN实例向EVPN实例发布IP路由功能。
undo advertise l2vpn evpn命令用来恢复缺省配置。
缺省情况下，未使能VPN实例向EVPN实例发布IP路由。
命令格式
undo advertise l2vpn evpn
参数说明
无
视图
BGP-VPN实例IPv4地址族视图
缺省级别
2：配置级
bgp write
使用指南
应用场景
如果使用IP前缀路由在VTEP间建立隧道并传播主机路由，则需要在BGP-VPN实例IPv4
地址族视图下使能VPN实例向EVPN实例发布IP路由功能，使VPN实例收集的主机路由
可以发送给EVPN实例，然后通过BGP EVPN对等体关系发送给远端VTEP设备。使用
advertise l2vpn evpn命令用来使能VPN实例向EVPN实例发布IP路由功能。

使用实例
# 配置VPN实例vpna向EVPN实例发布IP路由。
[~HUAWEI] bgp 100
[*HUAWEI-bgp] ipv4-family vpn-instance vpna
[*HUAWEI-bgp-vpna] advertise l2vpn evpn
1.3.3 bridge-domain（系统视图）
命令功能
bridge-domain命令用来创建广播域桥域BD（Bridge Domain）并进入BD视图，或直接
进入已经存在的BD视图。
undo bridge-domain命令用来删除广播域桥域。
缺省情况下，没有创建广播域BD。
命令格式
bridge-domain bd-id
undo bridge-domain bd-id
参数说明
bd-id 指定广播域桥域的ID。整数形式，取值范围是1～32768。
视图
系统视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
在VXLAN（Virtual eXtensible Local Area Network）网络中，将虚拟广播域VN（Virtual
Network）对应的VNI（VXLAN Network Identifier）以1:1方式映射到广播域BD，BD成
为VXLAN网络的实体，通过BD转发流量。通过bridge-domain命令可创建广播域BD。
后续任务

基于BD，可通过命令interface vbdif bd-id创建三层逻辑接口VBDIF接口。广播域BD的

功能类似于广播域VLAN，VBDIF接口类似VLANIF接口，可将二层业务终结后，接入
三层业务。
使用实例
# 创建ID为10的广播域BD。
[~HUAWEI] bridge-domain 10
1.3.4 bridge-domain（二层子接口视图）
命令功能
bridge-domain命令用来将二层子接口加入BD（Bridge Domain）。
undo bridge-domain命令用来将二层子接口退出BD。
缺省情况下，二层子接口没有加入BD。
命令格式
bridge-domain bd-id
undo bridge-domain
参数说明
bd-id 指定二层子接口加入的BD的ID。整数形式，取值范围是1～32768。
视图
二层子接口视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
BD创建后，为了保证业务报文在BD内转发，必须在指定的二层子接口视图下通过
bridge-domain将二层子接口加入BD。
前置条件

1. 在系统视图下执行命令bridge-domain bd-id，创建BD。
2. 在系统视图下执行命令interface interface-type interface-number.subnum mode l2，创
建二层子接口。
注意事项
每个二层子接口唯一属于一个BD。
使用实例
# 将二层子接口10GE1/0/1.1加入ID为10的BD。
[*HUAWEI-bd10] quit
[*HUAWEI] interface 10ge1/0/1.1 mode l2
[*HUAWEI-10GE1/0/1.1] bridge-domain 10
1.3.5 bypass source
命令功能
bypass source命令用来配置Bypass VXLAN隧道的源端VTEP地址。
undo bypass source命令用来删除Bypass VXLAN隧道的源端VTEP地址。
缺省情况下，没有配置Bypass VXLAN隧道的源端VTEP地址。
命令格式
bypass source ip-address
undo bypass source [ ip-address ]
参数说明
ip-address 指定Bypass VXLAN隧道源端VTEP的IPv4地址。点分十进制形式。
视图
NVE接口视图
缺省级别
2：配置级
nvo3 write

使用指南
应用场景
在部署DCI-PE双活方案的场景中，对于双活的PE设备，对外使用相同的地址作为NVE
源地址（即默认的源端VTEP地址），因此，双活的PE设备之间无法使用该地址建立
VXLAN隧道。为了提升DCI-PE双活方案，可以在双活的PE设备上配置此命令，为PE
各自指定一个独立的源端VTEP地址，以便于在双活的PE设备之间建立Bypass VXLAN
隧道。两台PE设备之间建立BGP EVPN邻居，通过BGP EVPN协议将本端的Bypass
VXLAN隧道源端VTEP地址扩散到对端，对端PE设备根据自己的Bypass VXLAN隧道
源端VTEP地址和对端扩散过来的VTEP地址生成一条Bypass VXLAN隧道。
使用实例
# 配置Bypass VXLAN隧道的源端VTEP地址。
[~HUAWEI] interface nve 1
[*HUAWEI-Nve1] bypass source 4.4.4.4
1.3.6 description（BD 视图）
命令功能
description命令用来配置BD（Bridge Domain）的描述信息。
undo description命令用来删除BD的描述信息。
缺省情况下，BD没有配置描述信息。
命令格式
description description
undo description
参数说明
description 指定BD描述信息。字符串形式，区分大小写，支持空格，长度范围是1
～80。
视图
BD视图
缺省级别
2：配置级

bdbase write
使用指南
如果用户通过命令bridge-domain bd-id配置了多个BD，可在对应的BD视图下执行
description命令配置BD的描述信息。通过BD的描述信息能够快速了解该BD的作用，
便于业务管理。
使用实例
# 配置ID为10的BD描述信息，描述信息是VXLAN。
[*HUAWEI-bd10] description VXLAN
1.3.7 display bridge-domain

命令功能
display bridge-domain命令用来查看广播域桥域BD（Bridge Domain）的配置信息。
命令格式
display bridge-domain [ bd-id [ brief | verbose ] ]
参数说明
bd-id 显示指定ID的广播域桥域BD的配置信息。整数形式，取值范围是1～
32768。
brief 显示广播域桥域BD配置信息的简要信息。 -
verbose 显示广播域桥域BD配置信息的详细信息。 -
视图
所有视图
缺省级别
1：监控级
bdbase read

使用指南
当设备上创建了BD，如果需要查看BD的配置信息，可使用display bridge-domain命令
查看。通过获取的信息，可了解配置是否正确，并进行故障诊断。
使用实例
# 查看设备上所有BD的配置信息。
<HUAWEI> display bridge-domain
The total number of bridge-domains is : 2
--------------------------------------------------------------------------------
MAC_LRN: MAC learning; STAT: Statistics; SPLIT: Split-horizon;
BC: Broadcast; MC: Unknown multicast; UC: Unknown unicast;
*down: Administratively down; FWD: Forward; DSD: Discard;
--------------------------------------------------------------------------------
BDID State MAC-LRN STAT BC MC UC SPLIT Description

--------------------------------------------------------------------------------
10 up enable disable FWD FWD FWD disable vni 5010
20 up enable disable FWD FWD FWD disable vni 5020
# 查看ID为10的BD配置信息。
<HUAWEI> display bridge-domain 10
--------------------------------------------------------------------------------
MAC_LRN: MAC learning; STAT: Statistics; SPLIT: Split-horizon;
BC: Broadcast; MC: Unknown multicast; UC: Unknown unicast;
*down: Administratively down; FWD: Forward; DSD: Discard;
U: Up; D: Down;
--------------------------------------------------------------------------------
BDID Ports
--------------------------------------------------------------------------------
10
BDID State MAC-LRN STAT BC MC UC SPLIT Description

--------------------------------------------------------------------------------
10 down enable disable FWD FWD FWD disable
表 1-16 display bridge-domain 命令输出信息描述

项目描述
The total number of 标识设备上存在的BD总数。

bridge-domains is
BDID 标识BD的ID。
BD的ID可通过在系统视图下执行命令bridge-domain bd-id设
置。
State 标识BD的状态：
l up
l down
MAC-LRN 标识BD是否使能了MAC地址学习功能：
l disable：去使能MAC地址学习功能。
l enable：使能MAC地址学习功能。

项目描述
STAT 标识BD是否使能流量统计功能：
l disable：去使能BD内流量统计功能。
l enable：使能BD内流量统计功能。
BD内流量统计功能是否使能可通过在BD视图下执行命令
statistics enable设置。
BC 标识BD内广播报文是否处于转发状态。
l FWD：转发广播报文。
l DSD：丢弃广播报文。
MC 标识BD内组播报文是否处于转发状态。
l FWD：转发组播报文。
l DSD：丢弃组播报文。
UC 标识BD内未知单播报文是否处于转发状态。
l FWD：转发未知单播报文。
l DSD：丢弃未知单播报文。
SPLIT 标识BD内是否使能水平分割。
l disable：去使能水平分割功能。
l enable：使能水平分割功能。
Description 标识BD的描述信息。
描述信息可通过命令description（BD视图）设置。
Ports 标识BD内的成员口及成员口的状态。
l Up：接口的链路协议处于正常的启动状态。
l Down：接口的链路协议不正常。
二层子接口加入BD可通过在二层子接口视图下执行命令
bridge-domain bd-id实现。
1.3.8 display bridge-domain statistics

命令功能
display bridge-domain statistics命令用来查看BD（Bridge Domain）内报文的统计信
息。
命令格式
display bridge-domain bd-id statistics

参数说明
bd-id 显示指定ID的BD内报文的统计信息。整数形式，取值范围是1～32768。
视图
所有视图
缺省级别
1：监控级
bdbase read
使用指南
应用场景
在监控BD的状态时，可执行display bridge-domain statistics命令获取BD内的流量统计
信息。用户可以根据获取的信息进行故障诊断。
前置条件
为了保证执行display bridge-domain statistics命令查看到有效的显示表项，使用本命令
查看BD内流量统计信息前，必须已经完成如下配置：
1. 在系统视图下执行命令bridge-domain bd-id，创建BD。
2. 在BD视图下执行命令statistics enable，使能BD内的流量统计功能。
使用实例
# 查看BD 10内流量统计信息。
<HUAWEI> display bridge-domain 10 statistics
202306 packets input, 25895168 bytes
0 packets output, 0 bytes
Input:202306 unicasts, 0 multicasts
0 broadcasts
0 unknown-unicast-drops
0 unknown-multicast-drops
0 broadcasts-drops
Output:0 unicasts, 0 multicasts

0 broadcasts

表 1-17 display bridge-domain statistics 命令输出信息描述
项目描述
202306 packets input, 标识BD接收到的流量统计数。

25895168 bytes 接收到的报文分为：
l 正确报文，包含单播报文、广播报文、组播报文。
l 丢弃报文。
Input各字段信息如下：
l packets、bytes：正确接收的报文数和字节数。其
中，报文数packets等于unicast、broadcast和
multicast字段的和。
l unicast、broadcast、multicast：正确的单播、组播
和广播报文数。
l unknown-unicast-drops：未知单播丢弃报文数。
l unknown-multicast-drops：未知组播丢弃报文数。
l broadcasts-drops：广播丢弃报文数。
0 packets output, 0 bytes 标识BD发送的流量统计数。

Output各字段信息如下：
l packets、bytes：正确发送的报文数和字节数。其
中，报文数packets等于unicast、broadcast和
multicast字段的和。
l unicast、broadcast、multicast：正确的单播、组播
和广播报文数。
1.3.9 display license resource usage port-vxlan
命令功能
display license resource usage port-vxlan命令用来查看CM单板上的VXLAN端口License
的授权情况。
命令格式
display license resource usage port-vxlan { all | slot slot-id } [ active | deactive ]
参数说明
all 显示本设备所有CM单板上的VXLAN端口License的授权情况。 -
slot slot-id 显示指定槽位号的CM单板上的VXLAN端口License的授权情况。 -

active 显示CM单板上已配置active port-vxlan命令的端口的VXLAN端口 -
License的授权情况。
deactive 显示CM单板上未配置active port-vxlan命令的端口的VXLAN端口 -

License的授权情况。
视图
所有视图
缺省级别
1：监控级
license read
使用指南
应用场景
通过执行该命令可以查看CM单板上的VXLAN端口License的授权情况。
使用实例
# 查看本设备所有CM单板上的VXLAN端口License的授权情况。
<HUAWEI>system-view
[~HUAWEI] display license resource usage port-vxlan all
Global port license information:
==================================================================================
Port Type Offline Allocated Activated Available Total
--------------------------------------------------------------------------------
GE 0 0 0 0 0
10GE 0 2 3 0 3
100GE 0 0 0 0 0
Port license detailed information:

================================================================================
Physical Port Position Port Type Active Status
--------------------------------------------------------------------------------
2/0/0 10GE No allocated
2/0/4 10GE Activated
2/0/7 10GE Allocated


# 查看1号槽位CM单板上已配置active port-vxlan命令的端口的VXLAN端口License授权
情况。
<HUAWEI>system-view
[~HUAWEI] display license resource usage port-vxlan slot 1 active
==================================================================================
--------------------------------------------------------------------------------
GE 0 0 0 0 0
10GE 0 2 3 0 3
100GE 0 0 0 0 0

================================================================================
--------------------------------------------------------------------------------
# 查看1号槽位CM单板上未配置active port-vxlan命令的端口的VXLAN端口License授权
情况。
<HUAWEI>system-view
[~HUAWEI] display license resource usage port-vxlan slot 1 deactive
==================================================================================
--------------------------------------------------------------------------------
GE 0 0 0 0 0
10GE 0 2 3 0 3
100GE 0 0 0 0 0

================================================================================
--------------------------------------------------------------------------------
表 1-18 display license resource usage port-vxlan all 命令输出信息描述
项目描述
Global port license information 全局VXLAN端口License信息。
Port Type 端口类型。
Offline 离线端口数。
Allocated VXLAN端口License激活状态是Allocated
的端口数。
Activated VXLAN端口License激活状态是Activated
的端口数。

项目描述
Available 可激活的VXLAN端口License的剩余资源
数。
Total VXLAN端口License的总资源数。
Port license detailed information VXLAN端口License的激活信息。
Physical Port Position 物理端口位置信息。
Active status VXLAN端口License激活状态：

l Activated：VXLAN端口License已激活
成功
l Allocated：端口已配置active port-
vxlan命令且VXLAN端口License资源
不足，导致VXLAN端口License未激
活成功
l No allocated：端口未配置active port-
vxlan命令
1.3.10 display interface nve

命令功能
display interface nve命令用来查看NVE（Network Virtualization Edge）接口的状态信
息。
命令格式
display interface nve [ nve-number | main ]
参数说明
nve-number 指定NVE接口的接口编号。整数形式，仅支持
如果不指定nve-number，则显示所有NVE接口的状的取值范围是1。
态信息。
main 显示主接口的当前运行状态和统计信息。 -
视图
所有视图
缺省级别
1：监控级

interface-mgr read
使用指南
应用场景
VXLAN（Virtual eXtensible Local Area Network）网络中，在监控NVE接口的状态或检
查接口的故障原因时，可执行display interface nve命令获取NVE接口的状态信息和统
计信息。
使用实例
# 查看NVE接口的状态信息。
<HUAWEI> display interface nve 1
Nve1 current state : UP (ifindex: 711)
Line protocol current state : UP
Description:
表 1-19 display interface nve 命令输出信息描述

项目描述
Nve1 current state NVE接口当前的物理状态。NVE接口创

建成功后物理状态一直是UP。
Line protocol current state NVE接口的链路层协议状态。NVE接口

创建成功后链路层协议状态一直是UP。
Description NVE接口的描述信息。该描述信息可以
通过description命令进行修改，如果没有
通过命令配置接口的描述信息，则默认
的显示为空。
1.3.11 display interface vbdif

命令功能
display interface vbdif命令用来查看VBDIF接口的状态信息、配置信息和统计信息。
命令格式
display interface vbdif [ bd-id ]

参数说明
bd-id 显示指定BD（Bridge Domain） ID的VBDIF接口的状态信整数形式，取值范
息、配置信息和统计信息。围是1～32768。
如果不指定BD ID，表示查看所有VBDIF接口的状态信
息、配置信息和统计信息。
视图
所有视图
缺省级别
1：监控级
bdbase read
使用指南
应用场景
在监控接口的状态或检查接口的故障原因时，可执行display interface vbdif命令获取接
口的状态信息、配置信息和统计信息。用户可以根据这些信息进行接口的故障诊断
等。
前置条件
执行display interface vbdif命令前，必须已经在设备上创建VBDIF接口。
使用实例
# 查看ID为20的VBDIF接口的信息。
<HUAWEI> display interface vbdif 20
Vbdif20 current state : UP (ifindex:
1120)
Line protocol current state :
UP
Last line protocol up time : 2015-07-08

11:25:34
Description:
Route Port,The Maximum Transmit Unit is

1500
Internet Address is
192.168.20.1/24
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is

0000-5e00-0101

Current system time: 2015-07-08

14:09:59
表 1-20 display interface vbdif 命令输出信息描述

项目描述
Vbdif20 current state 标识VBDIF接口当前的物理状态：

l UP：接口物理层处于正常启动的状态。
l DOWN：接口物理层出现故障。
l Administratively down：如果网络管理员在该接口执行
shutdown命令，将显示状态为Administratively down。
Line protocol current 标识VBDIF接口的链路协议状态：

state l UP：接口的链路协议处于正常的启动状态。
l DOWN：接口的链路协议不正常，或者没有在此接口配
置IP地址。
Last line protocol up VBDIF接口的协议状态最近一次变为Up的时间。

time 说明
本字段只在接口协议为Up时才显示。
Description 对接口的描述信息，该描述信息便于用户了解该接口的作
用，主要用来标识当前接口。
通过命令description可以配置和修改接口的说明。
如果没有通过命令description配置接口的描述信息，则默认
的显示为空。
Route Port 三层接口。
The Maximum 接口的最大传输单元（MTU），缺省值是1500字节。长度

Transmit Unit is 大于MTU的报文，将会被分片后再发送。如果设置了不准
分片，会被丢弃。
通过命令mtu可以配置和修改接口的MTU。
Internet Address is 接口的IP地址。

如果当前接口没有配置IP，则会显示“Internet protocol
processing : disabled”。
IP Sending Frames' 接口发送的Ethernet帧的格式。

Format is PKTFMT_ETHNT_2为默认的帧格式。 Ethernet在接收帧
时，可以识别如下几种帧格式。
l PKTFMT_ETHNT_2
l Ethernet_SNAP
l 802.2
l 802.3
Hardware address is 标识接口物理地址。

项目描述
Current system time 标识当前系统时间。

如果通过命令clock daylight-saving-time配置了时区且处于
夏令时，时间显示格式为YYYY/MM/DD HH:MM:SS UTC
±HH:MM DST。
1.3.12 display mac-address bridge-domain

命令功能
display mac-address bridge-domain命令用来查看BD（Bridge Domain）内的MAC地址
表项信息。
命令格式
# 查看BD内所有MAC地址表项。
display mac-address [ mac-address ] bridge-domain bd-id [ verbose ]
# 查看BD内静态MAC地址表项。
display mac-address static bridge-domain bd-id [ verbose ]
参数说明
mac- 显示指定MAC地址表项信息。格式为H-H-H，其中H为4位的
address 十六进制数，可以输入1～4
位，如00e0、fc01。当输入不
足4位时，表示前面的几位为
0，如：输入e0，等同于
00e0。
bd-id 显示指定ID的BD内的MAC地址表项信整数形式，取值范围是1～

息。 32768。
static 显示BD内的静态MAC地址表项信息。 -
为了提高接口安全性，当用户需要查看设
备中存在的静态MAC地址表项，以确定
用户设备与接口绑定是否正确，保证合法
用户的通信，可选择static参数。
verbose 显示BD内的MAC地址表项详细信息。 -
视图
所有视图

缺省级别
1：监控级
mac read
使用指南
为适应网络的变化，MAC地址表需要不断更新。为了及时了解BD内的MAC地址，可
通过命令display mac-address bridge-domain查看。
使用实例
# 查看BD 1019内所有MAC地址表项。
<HUAWEI> display mac-address bridge-domain 1019
Flags: * - Backup
# - forwarding logical interface, operations cannot be performed based
on the interface.
BD : bridge-domain
-------------------------------------------------------------------------------
MAC Address VLAN/VSI/BD Learned-From Type
-------------------------------------------------------------------------------
e468-a356-0cb2 -/-/1019 10GE4/0/46 dynamic
-------------------------------------------------------------------------------
Total items: 1
表 1-21 display mac-address bridge-domain 命令输出信息描述
项目描述
Backup 标识备份路径。
MAC Address 标识目的MAC地址。
VLAN/VSI/BD l VLAN：标识接口关联的VLAN。
l VSI：标识接口关联的VSI（Virtual Switching Instance）。
l BD：标识接口关联的BD。
Learned-From l MAC地址类型是static时，该字段标识在此接口上配置的静
态MAC地址。
l MAC地址类型是dynamic时，该字段标识在此接口上学习到
的MAC地址。
Type 标识MAC地址的类型。
l static：标识静态MAC地址表项。
l dynamic：标识动态MAC地址表项。
Total items 标识符合查看条件的显示MAC地址表项的总数。

1.3.13 display mac-limit bridge-domain
命令功能
display mac-limit bridge-domain命令用来查看BD（Bridge Domain）内动态MAC地址
学习限制规则。
命令格式
display mac-limit bridge-domain bd-id
参数说明
bridge-domain bd- 显示指定BD内动态MAC地址学习整数形式，取值范围是1～
id 限制规则。 32768。
视图
所有视图
缺省级别
1：监控级
mac read
使用指南
应用场景
动态MAC地址学习限制规则成功配置后，可以执行display mac-limit bridge-domain命

令查看配置结果。通过获取的信息，可了解配置是否正确，并进行故障诊断。
注意事项
当设备上存在大量的BD，使用display mac-limit bridge-domain命令查看动态MAC地址

学习限制规则时，通过指定bd-id可以对显示信息进行过滤。
使用实例
# 查看BD10内的MAC地址学习限制规则。
<HUAWEI> display mac-limit bridge-domain 10
Bridge-domain 10 MAC limit:
Maximum MAC count 100, used count 3
Action: forward, Alarm: enable

表 1-22 display mac-limit bridge-domain 命令输出信息描述
项目描述
Bridge-domain 10 MAC limit 标识配置动态MAC地址学习限制规则的BD。
Maximum MAC count 100 标识配置的MAC地址学习的最大数量。
used count 3 标识已经学习的MAC地址数量。
Action 标识当MAC地址达到限制后采取的动作：
l discard：丢弃
l forward：转发
Alarm 标识当MAC地址达到限制后是否上报告警：
l enable：上报告警
l disable：不上报告警
1.3.14 display vxlan peer
命令功能
display vxlan peer命令用来查看配置的VNI的头端复制列表信息。
命令格式
display vxlan peer [ vni vni-id ]
参数说明
vni vni-id 显示指定VNI的头端复制列表信整数形式，取值范围是1～
息。 16777215。
视图
所有视图
缺省级别
1：监控级
nvo3 read

使用指南
应用场景
VXLAN配置后，如用户需要查看头端复制表的VNI、绑定的源地址、目的地址等信
息，可通过执行display vxlan peer命令查看。通过获取的信息，可判断VXLAN配置是
否正确。
注意事项
执行display vxlan peer命令前，请确保设备上已经有VNI存在，这样才能获取到有效的
显示信息。
使用实例
# 查看ID为1的VNI的头端复制列表信息。
<HUAWEI> display vxlan peer vni 1
Number of peers : 1
-------------------------------------------------------------------------------
1 1.1.1.1 2.2.2.2 static 1
# 查看所有VNI的头端复制列表信息。
<HUAWEI> display vxlan peer
Number of peers : 2
-------------------------------------------------------------------------------
1 1.1.1.1 2.2.2.2 static 1
2 1.1.1.1 3.3.3.3 static 2
表 1-23 display vxlan peer 命令输出信息描述

项目描述
Number of peers 标识设备上存在的头端复制列表的数量。
Vni ID 标识VNI ID，可通过命令vxlan vni vni-id配置或更改。
标识源端VTEP的IP地址，可通过命令source ip-address配置或更
Source 改。
标识远端VTEP的IP地址，Type为static的远端NVE，可通过命令
vni vni-id head-end peer-list ip-address &<1-10>配置或更改远端
Destination VTEP的IP地址。
标识头端复制列表的配置方式：
l static：通过命令vni vni-id head-end peer-list ip-address
&<1-10>手工配置的。
l dynamic：通过命令vni vni-id head-end peer-list protocol bgp
Type 运行BGP协议动态生成的。
Out Vni ID 标识分段式VXLAN出方向的VNI ID。

1.3.15 display vxlan tunnel

命令功能
display vxlan tunnel命令用来查看VXLAN隧道的信息。
命令格式
display vxlan tunnel [ tunnel-id ] [ verbose ]
参数说明
tunnel-id 显示指定Tunnel ID的VXLAN隧道信整数形式，取值范围是1～
息。 4294967295。
verbose 显示VXLAN隧道详细信息。 -
视图
所有视图
缺省级别
1：监控级
nvo3 read
使用指南
VXLAN隧道建立后，可执行display vxlan tunnel命令查看隧道信息。通过获取的信
息，可了解配置是否正确，并进行故障诊断。
使用实例
# 查看VXLAN隧道的信息。
<HUAWEI> display vxlan tunnel
---------------------------------------------------------------------------------------------------
-------
4026531844 1.1.1.1 2.2.2.2 up static 03:12:33
4026531846 1.1.1.1 3.3.3.3 up static 12:23:45
4026531847 1.1.1.1 4.4.4.4 down static -
# 查看VXLAN隧道的详细信息。
<HUAWEI> display vxlan tunnel 4026531844 verbose

Tunnel ID : 4026531844
Source : 1.1.1.1
Destination : 2.2.2.2
State : up
Type : static
LearnMac : disable
BypassVxlan : false
Uptime : 03:12:33
表 1-24 display vxlan tunnel 命令输出信息描述

项目描述
Number of vxlan
tunnel 标识设备上存在的VXLAN隧道总数。
标识VXLAN隧道的ID，VXLAN隧道成功建立后，ID由系统自
Tunnel ID 动创建。
Source 标识VXLAN隧道的源IP地址。
Destination 标识VXLAN隧道的目的IP地址。
标识VXLAN隧道的状态。
l up：隧道可达
State l down：隧道不可达
标识VXLAN隧道的类型。
VXLAN隧道的状态由vni vni-id head-end peer-list ip-address
&<1-10>中的peer-list ip-address的配置方式决定：
l static：标识peer-list ip-address是静态配置。
Type l dynamic：标识peer-list ip-address是通过路由协议动态学习。
标识是否使能了MAC地址学习能力，取值包括：
l enable
LearnMac l disable
标识是否存在Bypass VXLAN隧道，取值包括：
l true
BypassVxlan l false
VXLAN隧道的UP时间。显示格式：
l 如小于24小时，显示格式为hh:mm:ss，即时分秒。
l 如24小时< Uptime < 9999小时，显示格式为xxxxhxxm，如30
小时26分，为0030h26m。
l 如Uptime >9999小时，则不再显示具体小时数，如10000小时
26分，为****h26m。
Uptime 如显示为“-”，则表示隧道状态为Down。

1.3.16 display vxlan vni

命令功能
display vxlan vni命令用来查看VXLAN的配置信息。
命令格式
display vxlan vni [ vni-id [ verbose ] ]
参数说明
vni-id 显示指定VNI ID的VXLAN配置信息。整数形式，取值范围是1～
16777215。
verbose 显示指定VNI ID的VXLAN详细配置信息。 -
视图
所有视图
缺省级别
1：监控级
nvo3 read
使用指南
应用场景
VXLAN配置后，如用户需要查看VNI关联的BD，VNI状态等信息，可通过执行display
vxlan vni命令查看。通过获取的信息，可判断VXLAN配置是否正确。
注意事项
l 执行display vxlan vni命令前，请确保设备上已经有VNI存在，这样才能获取到有
效的显示信息。
l 针对同一个VNI，如果既配置头端复制，又配置了集中复制或组播复制，则执行
此命令时，显示信息中的，转发BUM报文的模式将显示为集中复制或组播复制。
使用实例
# 查看VXLAN的配置信息。
<HUAWEI> display vxlan vni
VNI BD-ID State

---------------------------------------
5010 10 up
5020 20 up
# 查看VNI 5010的VXLAN详细配置信息。
<HUAWEI> display vxlan vni 5010 verbose
BD ID : 10
State : up
NVE : 1610612739
Source Address : 1.1.1.1
Source IPv6 Address : -
UDP Port : 4789
BUM Mode : head-end
Group Address : -
Peer List : 2.2.2.2 2.2.2.3
IPv6 Peer List : -
表 1-25 display vxlan vni 命令输出信息描述

项目描述
Number of vxlan
vni 标识设备上存在的VNI总数。
VNI 标识VNI ID，可通过命令vxlan vni vni-id配置或更改。
标识VNI关联的广播域BD ID，可通过命令bridge-domain bd-id

BD-ID（BD ID）配置或更改。
标识VNI的状态：
l up
l down
保证VNI状态为up的前提条件是：指定VNI下对应的VXLAN隧
道必须存在，且状态为up。
如果VNI的状态为down，可比较本命令显示表项中Source、Peer
List和display vxlan tunnel显示表项中Source、Destination字段
显示的信息是否一致。
l 不一致，则说明指定VNI下对应的VXLAN隧道不存在。
请执行命令source ip-address、vni vni-id head-end peer-list ip-
address &<1-10>更改VXLAN隧道的源IP地址或目的IP地址，
保证指定VNI下对应的VXLAN隧道存在。
State l 一致，请收集相关配置信息联系技术支持工程师。
NVE接口索引，在执行interface nve命令创建NVE接口时自动生
NVE 成，供内部查询使用。
标识源端VTEP的IP地址，可通过命令source ip-address配置或更
Source Address 改。
Source IPv6
Address 标识源端VTEP的IPv6地址。
UDP Port 标识UDP目的端口，端口号值固定为4789。

项目描述
标识VNI转发BUM（Broadcast&Unknown-unicast&Multicast）报
文的模式。
BUM Mode l head-end：标识VNI采用头端复制模式转发BUM报文。
Group Address 标识BUM报文组播复制的地址，即VTEP加入的组播组地址。
标识远端VTEP的IP地址，可通过命令vni vni-id head-end peer-

Peer List list ip-address &<1-10>配置或更改远端VTEP的IP地址。
IPv6 Peer List 标识远端VTEP的IPv6地址。
1.3.17 display vxlan statistics
命令功能
display vxlan statistics命令用来查看VXLAN报文统计信息。
命令格式
# 显示以VNI为粒度的VXLAN报文统计信息。
display vxlan statistics vni vni-id
# 显示以VNI和VXLAN隧道为粒度的报文统计信息。
display vxlan statistics source source-ip peer peer-ip vni vni-id
参数说明
vni vni-id 显示指定VNI ID的VXLAN报文统计信整数形式，取值范围是1～
息。 16777215。
source source- 显示指定源IP地址的VXLAN报文统计

点分十进制形式。
ip 信息。
peer peer-ip 显示指定对端网络虚拟化边缘节点的IP
地址的VXLAN报文统计信息。
视图
所有视图
缺省级别
1：监控级

nvo3 read
使用指南
l 当用户通过执行statistic enable命令，在指定VNI视图下使能VXLAN报文统计功能
之后，可以执行display vxlan statistics vni vni-id命令对以VNI为粒度的报文统计信
息进行查看。
l 当用户通过执行vxlan statistics peer peer-ip vni vni-id enable命令，在指定NVE接口
视图下使能VXLAN报文统计功能之后，可以执行display vxlan statistics source
source-ip peer peer-ip vni vni-id命令对以VNI和VXLAN隧道为粒度的报文统计信息
进行查看。
注意事项
l VNI+PEER流量统计与VNI流量统计互斥。
l 只支持拼接模式的VNI流量统计，非拼接模式的VNI无法支持。
l VXLAN的VNI统计回显信息中，unknown-unicast-drops、unknown-multicast-
drops、broadcasts-drops三个计数是假计数，总是显示为0。
使用实例
# 查看设备上的VXLAN报文统计信息，指定VNI ID为1。
<HUAWEI> display vxlan statistics vni 1
Last 300 seconds input rate: 536 bits/sec, 0 packets/sec
Last 300 seconds output rate: 368 bits/sec, 0 packets/sec
Input:2432180 unicast packets, 0 multicast packets
0 broadcasts
0 broadcasts-drops
Output:2100692 unicast packets, 0 multicast packets

1 broadcasts
# 查看设备上的VXLAN报文统计信息，指定源IP地址为1.1.1.1，对端网络虚拟化边缘
节点的IP地址为1.1.1.2，VNI ID为1。
<HUAWEI> display vxlan statistics source 1.1.1.1 peer 1.1.1.2 vni 1
Input:1051720620 unicast packets, 0 multicast packets
375 broadcasts
0 broadcasts-drops
Output:909549097 unicast packets, 0 multicast packets

375 broadcasts

表 1-26 display vxlan statistics 命令输出信息描述

项目描述
Last 300 seconds

input rate: x bits/ x表示最近300秒内每秒收到的比特数，y表示最近300秒内每秒收
sec, y packets/sec 到的报文数。
Last 300 seconds

output rate: x bits/ x表示最近300秒内每秒发出的比特数，y表示最近300秒内每秒发
sec, y packets/sec 出的报文数。
x packets input, y
bytes x表示收到的报文总数，y表示字节总数。
x packets output, y
bytes x表示发出去的报文总数，y表示字节总数。
Input:x unicast
packets, y
multicast packets x表示收到的单播报文个数，y表示多播报文个数，z表示广播报
z broadcasts 文个数。
x unknown-
unicast-drops 丢弃的未知单播报文个数。
x unknown-
multicast-drops 丢弃的未知多播报文个数。
x broadcasts-drops 丢弃的广播报文个数。
Output:x unicast
packets, y
multicast packets x表示发出去的单播报文个数，y表示多播报文个数，z表示广播
z broadcasts 报文个数。
1.3.18 display vxlan statistics l3-mode

命令功能
display vxlan statistics l3-mode命令用来查看VXLAN三层流量统计信息。
命令格式
display vxlan statistics l3-mode source source-ip peer peer-ip local-vni vni-id
display vxlan statistics l3-mode source source-ip peer peer-ip remote-vni vni-id

参数说明
source source- 显示指定源IP地址的VXLAN三层流量
ip 统计信息。
peer peer-ip 显示指定对端网络虚拟化边缘节点的IP
地址的VXLAN三层流量统计信息。
local-vni vni-id 显示指定本地VNI ID的VXLAN三层流整数形式，取值范围是1～
量统计信息。 16777215。
remote-vni vni- 显示指定对端VNI ID的VXLAN三层流整数形式，取值范围是1～

id 量统计信息。 16777215。
视图
所有视图
缺省级别
1：监控级
nvo3 read
使用指南
当用户通过执行vxlan statistics l3-mode enable命令，在指定NVE接口视图下使能
VXLAN三层流量统计功能之后，可以执行display vxlan statistics l3-mode命令对以VNI
和VXLAN隧道为粒度的三层流量统计信息进行查看。
如果要查看上行流量统计，请指定参数local-vni vni-id，如果需要查看下行流量统计，
请指定参数remote-vni vni-id。
使用实例
# 查看设备上的VXLAN上行流量统计信息，VXLAN隧道源IP地址为1.1.1.1，对端IP地
址为2.2.2.2，本地VNI IID为1。
<HUAWEI> display vxlan statistics l3-mode source 1.1.1.1 peer 2.2.2.2 local-vni 1
Input:0 unicast, 0 multicast
1195 broadcast
0 broadcast-drops
# 查看设备上的VXLAN下行流量统计信息，VXLAN隧道源IP地址为1.1.1.1，对端IP地
址为2.2.2.2，VNI ID为1。

<HUAWEI> display vxlan statistics l3-mode source 1.1.1.1 peer 1.1.1.2 remote-vni 1
Output:0 unicast, 0 multicast
6948 broadcast
表 1-27 display vxlan statistics l3-mode 命令输出信息描述

项目描述
Last 300 seconds

input rate: x bits/
sec, y packets/sec 最后300秒收到的字节速率，x表示字节总数，y表示报文数
Last 300 seconds

output rate: x bits/
sec, y packets/sec 最后300秒发送的字节速率，x表示字节总数，y表示报文数
x packets input, y
bytes x表示收到的报文总数，y表示字节总数。
Input:x unicast, y
multicast x表示收到的单播报文个数，y表示多播报文个数，z表示广播报
z broadcast 文个数。
x unknown-
unicast-drops 丢弃的未知单播报文个数。
x unknown-
multicast-drops 丢弃的未知多播报文个数。
x broadcast-drops 丢弃的广播报文个数。
x packets output, y
bytes x表示发出去的报文总数，y表示字节总数。
Output:x unicast, y
multicast x表示发出去的单播报文个数，y表示多播报文个数，z表示广播
z broadcast 报文个数。
1.3.19 encapsulation（二层子接口视图）
命令功能
encapsulation命令用来配置二层子接口允许通过的流类型。
undo encapsulation命令用来删除配置二层子接口允许通过的流类型。
缺省情况下，二层子接口下没有配置允许通过的流类型。
命令格式
encapsulation { dot1q [ vid vid ] | default | untag | qinq }
undo encapsulation { dot1q [ vid vid ] | default | untag | qinq }

参数说明
dot1q 指定二层子接口接收携带VLAN Tag的报文。 -
vid vid 整数形式，
指定二层子接口接收携带VLAN Tag的报文中的外层VLAN
取值范围是1
ID。
～4094。
default 指定二层子接口接收所有报文，不区分报文中是否带VLAN -
Tag。
说明
l 主接口下创建了default类型二层子接口，不允许再创建其他类型
二层子接口。
l 配置二层子接口的流封装类型为default时，必须确保对应的主接
口没有加入VLAN。
untag 指定二层子接口接收不带VLAN Tag的报文。 -

qinq 指定二层子接口接收携带两层VLAN Tag的报文。 -
视图
二层子接口视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
在部署VXLAN的网络中，报文中可能不携带VLAN Tag，也有可能携带VLAN Tag。为

了使不同的报文通过不同的二层子接口转发，可在二层子接口视图下执行
encapsulation命令为子接口配置不同的流封装类型。
前置条件
执行命令encapsulation前，必须已经在系统视图下执行命令interface interface-type
interface-number.subnum mode l2，创建二层子接口。
注意事项
每个二层子接口只允许配置一种封装类型。如果二层子接口上已经配置流封装，需要
改变流封装类型时，必须先通过命令undo encapsulation删除原有的流封装。

使用实例
# 为二层子接口10GE1/0/1.1配置流封装是untag。
[~HUAWEI] interface 10ge 1/0/1.1 mode l2
[*HUAWEI-10GE1/0/1.1] encapsulation untag
1.3.20 evpn binding vpn-instance

命令功能
evpn binding vpn-instance命令用来将EVPN实例与BD绑定。
undo evpn binding vpn-instance命令用来取消EVPN实例与BD的绑定。
缺省情况下，EVPN实例不与BD绑定。
命令格式
evpn binding vpn-instance evpn-name
undo evpn binding vpn-instance evpn-name
参数说明
evpn- 指定与BD绑定的字符串形式，区分大小写，不支持空格，长度范围
name EVPN实例名称。是1～31。当输入的字符串两端使用双引号时，可
在字符串中输入空格。
视图
BD视图
缺省级别
2：配置级
bgp write
使用指南
应用场景
BD模式的EVPN实例与BD绑定，无法与接口绑定，配置BD模式的EVPN实例后，需要
通过evpn binding vpn-instance命令将EVPN实例与BD绑定。
BD绑定EVPN实例的方式有两种，一种是VXLAN VNI方式（先配置VXLAN VNI，然
后再绑定EVPN实例），一种是MPLS方式（BD下直接配置绑定EVPN实例）。

前置条件
VXLAN VNI方式的BD绑定EVPN实例，配置该命令之前，需要配置vxlan vni vni-id
split-horizon-mode命令创建VNI（VXLAN Network Identifier）并关联广播域BD，然后
按照水平分割方式进行转发。
注意事项
BD绑定EVPN实例的两种方式是互斥的，要切换BD模式EVPN实例的绑定方式，需要
先删除原来已经配置的绑定关系，之后再重新建立另一种绑定关系。
BD视图下已经绑定了EVPN实例，配置命令evpn binding vpn-instance，在BD视图下绑
定其它EVPN实例，则会更新BD与EVPN实例的绑定关系。
使用实例
# VXLAN VNI方式下，将EVPN实例vrf1与BD绑定。
[*HUAWEI-bd100] vxlan vni 200 split-horizon-mode
[*HUAWEI-bd100] evpn binding vpn-instance vrf1
# MPLS方式下，将EVPN实例vrf1与BD绑定。
[*HUAWEI-bd100] evpn binding vpn-instance vrf1
1.3.21 evpn vpn-instance bd-mode

命令功能
evpn vpn-instance bd-mode命令用来创建BD模式的EVPN实例，并进入EVPN实例视
图。
undo evpn vpn-instance bd-mode命令用来删除指定的BD模式的EVPN实例。
缺省情况下，未创建BD模式的EVPN实例。
命令格式
evpn vpn-instance vpn-instance-name bd-mode
undo evpn vpn-instance vpn-instance-name [ bd-mode ]
参数说明
vpn- 指定EVPN实字符串形式，区分大小写，不支持空格，长度范围是1
instance- 例的名称。～31。不能以“_public_”作为VPN实例名称。当输入
name 的字符串两端使用双引号时，可在字符串中输入空
格。
视图
系统视图

缺省级别
2：配置级
bgp write
使用指南
应用场景
当需要创建BD模式的EVPN实例时，需要配置evpn vpn-instance bd-mode命令。
配置影响
执行该命令创建BD模式的EVPN实例，相当于在PE上创建了一个虚拟的路由转发表，
会占用PE设备上的一定资源。
执行undo evpn vpn-instance bd-mode命令删除BD模式的EVPN实例，则该BD模式的
EVPN实例里的所有配置都会被清除。
注意事项
BD模式的EVPN实例只能绑定BD，通过evpn binding vpn-instance命令可以将EVPN实
例与BD绑定。
后续任务
创建BD模式的EVPN实例后，还需要对EVPN实例进行一系列的配置，必要的操作如
下：
l 配置EVPN实例的RD值：通过route-distinguisher命令配置。
l 配置EVPN实例的RT值：通过vpn-target命令配置。
使用实例
# 创建一个名为vrf1的BD模式的EVPN实例。
[~HUAWEI] evpn vpn-instance vrf1 bd-mode
相关主题
route-distinguisher（EVPN）
vpn-target（EVPN）
1.3.22 export route-policy（EVPN 实例视图）

命令功能
export route-policy命令用来将当前EVPN实例与一条出方向Route-Policy进行关联。
undo export route-policy命令用来取消当前EVPN实例与出方向Route-Policy的关联。

缺省情况下，当前EVPN实例没有与任何出方向Route-Policy关联。
命令格式
export route-policy policy-name
undo export route-policy
参数说明
policy- 指定与当前EVPN实例关字符串形式，区分大小写，不支持空格，长度
name 联的出方向Route-Policy 范围是1～200。当输入的字符串两端使用双引
名称。号时，可在字符串中输入空格。
视图
EVPN实例视图
缺省级别
2：配置级
bgp write
使用指南
应用场景
缺省情况下，本地向其他对等体发布EVPN路由时，会携带本地EVPN实例出方向VPN-
Target属性列表中的所有VPN-Target属性。当需要更精确地控制发布的EVPN路由时，
可以配置命令export route-policy policy-name，指定出方向Route-Policy来过滤发布的
EVPN路由，以及为通过过滤条件的EVPN路由设置路由属性。
前置条件
执行此命令前，需先执行route-distinguisher route-distinguisher命令，为当前EVPN实例
配置RD。
配置影响
当前EVPN实例只能与一条出方向Route-Policy关联，如果多次配置此命令，以最后一
次的配置为准。
注意事项
如果关联的Route-Policy不存在，需要先执行命令route-policy完成Route-Policy的配置。

使用实例
# 对EVPN实例在出方向应用Route-Policy rp2。
[~HUAWEI] evpn vpn-instance vrf bd-mode
[*HUAWEI-evpn-instance-vrf] route-distinguisher 100:1
[*HUAWEI-evpn-instance-vrf] export route-policy rp2
1.3.23 export route-policy evpn

命令功能
export route-policy evpn命令用于将当前VPN实例IPv4地址族与一条出方向Route-Policy
进行关联，该Route-Policy用来过滤当前VPN实例IPv4地址族发布到EVPN实例的路由。
undo export route-policy evpn命令用于取消当前VPN实例IPv4地址族与出方向Route-
Policy的关联。
缺省情况下，当前VPN实例IPv4地址族没有与任何出方向Route-Policy进行关联。
命令格式
export route-policy policy-name evpn
undo export route-policy policy-name evpn
参数说明
policy- 指定应用于VPN实例IPv4 字符串形式，区分大小写，不支持空格，长度
name 地址族的出方向Route- 范围是1～200。当输入的字符串两端使用双引
Policy名称。号时，可在字符串中输入空格。
视图
VPN实例视图、VPN实例IPv4地址族视图
缺省级别
2：配置级
l3vpn write
使用指南
应用场景
在配置与EVPN实例交互路由的VPN实例时，缺省情况下，当前VPN实例IPv4地址族向
EVPN实例发布路由时，会携带当前VPN实例IPv4地址族出方向VPN-Target属性列表中

的所有VPN-Target属性。如果需要更精确地控制当前VPN实例IPv4地址族发布到EVPN
实例的路由，可以配置命令export route-policy policy-name evpn，指定出方向Route-
Policy来过滤发布的路由信息，以及为通过过滤条件的路由设置路由属性。
前置条件
执行此命令前，需先执行route-distinguisher route-distinguisher命令，为当前VPN实例
IPv4地址族配置RD。
配置影响
当前VPN实例IPv4地址族只能与一条入方向Route-Policy关联，如果多次配置此命令，
以最后一次的配置为准。
配置此命令后，不会影响export route-policy policy-name命令配置的与其他VPN实例交
互路由的出方向Route-Policy。
注意事项
使用实例
# 对名为vrf1的VPN实例在出方向应用Route-Policy policy-2，用来过滤当前VPN实例
IPv4地址族发布到EVPN实例的路由。
[~HUAWEI] ip vpn-instance vrf1
[*HUAWEI-vpn-instance-vrf1] ipv4-family
[*HUAWEI-vpn-instance-vrf1-af-ipv4] route-distinguisher 100:1
[*HUAWEI-vpn-instance-vrf1-af-ipv4] export route-policy policy-2 evpn
1.3.24 interface mode l2

命令功能
interface mode l2命令用来创建二层子接口并进入二层子接口视图。
undo interface命令用来删除创建的二层子接口。
缺省情况下，没有创建二层子接口。
命令格式
interface interface-type interface-number.subnum mode l2
undo interface interface-type interface-number.subnum
参数说明
interface-type interface-number.subnum 指定二层子接口的类型和编号。 -
视图
系统视图

缺省级别
2：配置级
ifm write
使用指南
应用场景
EVC（Ethernet Virtual Connection）模型将业务接入点定义为二层子接口，只有二层子

接口才能接入业务。通过interface mode l2可创建二层子接口。
注意事项
二层子接口只能接入BD，不能直接接入三层网络。每个二层子接口唯一属于一个BD。
执行interface mode l2命令前，必须保证对应的二层主接口上没有port link-type dot1q-

tunnel配置，如果已经存在该配置，需要先执行undo port link-type将配置删除。
二层子接口创建后，可通过命令bridge-domain bd-id将二层子接口加入BD（Bridge
Domain），使得业务报文在BD内转发。
使用实例
# 创建二层子接口GE1/0/1.1。
[~HUAWEI] interface gigabitethernet 1/0/1.1 mode l2
1.3.25 interface nve
命令功能
interface nve命令用来创建NVE（Network Virtualization Edge）接口或者进入NVE接口
视图。
undo interface nve命令用来删除指定的NVE接口。
缺省情况下，未创建NVE接口。
命令格式
interface nve nve-number
undo interface nve nve-number

参数说明
nve-number 指定NVE接口的编号。整数形式，仅支持的取值范围是1。
视图
系统视图
缺省级别
2：配置级
interface-mgr write
使用指南
应用场景
为了充分发挥服务器虚拟化的优势，可以通过部署VXLAN（Virtual eXtensible Local

Area Network）满足多租户接入。由于VXLAN隧道的相关信息需要部署在NVE接口
上，因此需要执行interface nve创建NVE接口。
注意事项
配置VXLAN隧道后，如果执行undo interface nve命令，则会删除指定的NVE接口及该

接口下的所有配置。
此命令与virtual-access命令是互斥的。
使用实例
# 创建NVE接口。
1.3.26 interface vbdif
命令功能
interface vbdif命令用来创建VBDIF接口并进入该VBDIF接口视图或直接进入已存在的
VBDIF接口视图。
undo interface vbdif命令用来删除VBDIF接口。
缺省情况下，系统中没有创建VBDIF接口。

命令格式
interface vbdif bd-id
undo interface vbdif bd-id
参数说明
bd-id 指定广播域BD的ID。整数形式，取值范围是1～32768。
视图
系统视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
不同网段的VXLAN间通信，及VXLAN和非VXLAN的通信，需要通过IP路由实现。
为了实现上述网络互相通信，可通过命令vxlan vni将VNI（VXLAN Network

Identifier）映射到BD，再通过命令interface vbdif基于BD创建VBDIF接口并配置IP地
址。
前置条件
执行interface vbdif命令前，必须已经通过命令bridge-domain成功创建BD。
后续任务
执行命令ip address为当前VBDIF接口配置IP地址。
使用实例
# 创建ID为10的VBDIF接口。
[*HUAWEI-bd10] quit
[*HUAWEI] interface vbdif 10

1.3.27 import route-policy（EVPN 实例视图）
命令功能
import route-policy命令用来将当前EVPN实例与一条入方向Route-Policy进行关联。
undo import route-policy命令用来取消当前EVPN实例与入方向Route-Policy的关联。
缺省情况下，当前EVPN实例没有与任何入方向Route-Policy关联。
命令格式
import route-policy policy-name
undo import route-policy
参数说明
policy- 指定与当前EVPN实例关字符串形式，区分大小写，不支持空格，长度
name 联的入方向Route-Policy 范围是1～200。当输入的字符串两端使用双引
名称。号时，可在字符串中输入空格。
视图
EVPN实例视图
缺省级别
2：配置级
bgp write
使用指南
应用场景
缺省情况下，只能根据路由携带的出方向VPN-target属性和EVPN实例的入方向VPN-
target属性是否匹配来过滤进入EVPN实例的路由。当需要更精确地控制进入到当前
EVPN实例的路由时，可以配置命令import route-policy policy-name，指定入方向
前置条件
执行此命令前，需先执行route-distinguisher route-distinguisher命令，为当前EVPN实例
配置RD。
配置影响

当前EVPN实例只能与一条入方向Route-Policy关联，如果多次配置此命令，以最后一
次的配置为准。
注意事项
使用实例
# 对EVPN实例在入方向应用Route-Policy rp1。
[~HUAWEI] evpn vpn-instance vrf bd-mode
[*HUAWEI-evpn-instance-vrf] route-distinguisher 100:1
[*HUAWEI-evpn-instance-vrf] import route-policy rp1
1.3.28 import route-policy evpn
命令功能
import route-policy evpn命令用来将当前VPN实例IPv4地址族与一条入方向Route-
Policy进行关联，该Route-Policy用来过滤从EVPN实例引入到当前VPN实例IPv4地址族
的路由。
undo import route-policy evpn命令用来取消当前VPN实例IPv4地址族与入方向Route-

Policy的关联。
缺省情况下，当前VPN实例IPv4地址族没有与任何入方向Route-Policy关联。
命令格式
import route-policy policy-name evpn
undo import route-policy policy-name evpn
参数说明
policy- 指定与当前VPN实例IPv4 字符串形式，区分大小写，不支持空格，长
name 地址族关联的入方向Route- 度范围是1～200。当输入的字符串两端使用
Policy名称。双引号时，可在字符串中输入空格。
视图
VPN实例视图、VPN实例IPv4地址族视图
缺省级别
2：配置级

l3vpn write
使用指南
应用场景
在配置与EVPN实例交互路由的VPN实例时，缺省情况下，只能根据路由携带的出方向
VPN-target属性和当前VPN实例IPv4地址族的入方向VPN-target属性是否匹配，来过滤
进入当前VPN实例IPv4地址族的路由。如果需要更精确地控制从EVPN实例进入到当前
VPN实例IPv4地址族的路由，可以配置命令import route-policy policy-name evpn，指定
入方向Route-Policy来过滤路由信息，以及为通过过滤条件的路由设置路由属性。
前置条件
执行此命令前，需先执行route-distinguisher route-distinguisher命令，为当前VPN实例
IPv4地址族配置RD。
配置影响
当前VPN实例IPv4地址族只能与一条入方向Route-Policy关联，如果多次配置此命令，
以最后一次的配置为准。
配置此命令后，不会影响import route-policy policy-name命令配置的与其他VPN实例交
互路由的入方向Route-Policy。
注意事项
使用实例
# 对名为vrf1的VPN实例在入方向应用Route-Policy policy-1，用来过滤从EVPN实例引
入到当前VPN实例IPv4地址族的路由。
[~HUAWEI] ip vpn-instance vrf1
[*HUAWEI-vpn-instance-vrf1] ipv4-family
[*HUAWEI-vpn-instance-vrf1-af-ipv4] route-distinguisher 100:1
[*HUAWEI-vpn-instance-vrf1-af-ipv4] import route-policy policy-1 evpn
1.3.29 mac-address（VBDIF 接口视图）

命令功能
mac-address命令用来配置VBDIF接口的MAC地址。
undo mac-address命令用来恢复VBDIF接口的MAC地址到缺省值。
缺省情况下，VBDIF接口的MAC地址是系统的MAC地址。
命令格式
mac-address mac-address

undo mac-address
参数说明
mac- 指定VBDIF接格式为H-H-H，其中H为4位的十六进制数，可以输入1
address 口的MAC地～4位，如00e0、fc01。当输入不足4位时，表示前面的
址。几位为0，如：输入e0，等同于00e0。MAC地址不可设
置为全0、全1或组播MAC地址。
视图
VBDIF接口视图
缺省级别
2：配置级
interface-mgr write
使用指南
应用场景

图 1-86 VBDIF 接口缺省 MAC 地址示意图

By default
MAC
port
address
BDIF1 MAC1
BDIF2 MAC1
L3 Gateway
BDIF1 NVE BDIF2

VXLAN Tunnel
NVE
VSwitch
VM1 VM2
IP1 IP2
如图1-86所示，缺省情况下，VXLAN三层网关VBDIF接口的MAC地址一样，都是系统
MAC。
配置影响
改变VBDIF接口的MAC地址后，设备会主动发送免费ARP，刷新其他设备上的MAC地
址与端口的对应关系。
使用实例
# 配置VBDIF 10接口的MAC地址为0000-5e00-0101。
[*HUAWEI-bd10] quit
[*HUAWEI-Vbdif10] mac-address 0000-5e00-0101
1.3.30 mac-address（NVE 接口视图）
命令功能
mac-address命令用来配置VTEP MAC地址。
undo mac-address命令用来删除VTEP MAC地址。
缺省情况下，VTEP MAC地址是系统的MAC地址。

命令格式
mac-address mac-address
undo mac-address [ mac-address ]
参数说明
mac- 指定VTEP 格式为H-H-H，其中H为4位的十六进制数，可以输入1～4
address MAC地址。位，如00e0、fc01。当输入不足4位时，表示前面的几位为
0，如：输入e0，等同于00e0。
MAC地址不可设置为全0、全1或组播MAC地址。
视图
NVE接口视图
缺省级别
2：配置级
nvo3 write
使用指南
在使用虚VTEP双活接入时，两台设备的NVE接口需要对外呈现相同的源端VTEP MAC
地址，通过该命令可以配置VTEP MAC地址，控制EVPN BGP路由中携带的MAC扩展
属性，从而实现虚VTEP功能。
如果不配置VTEP MAC地址，两台设备的NVE接口的MAC地址为各自的系统MAC，虚
VTEP功能无法使用。
注意事项
VXLAN双活场景下，路由器作为双活设备，需要在双活设备配置anycastmac，并且
anycastmac需要配置相同，否则可能出现转发不通。
使用实例
# 配置VTEP MAC地址为0000-5e00-0101。
[~HUAWEI] interface Nve 1
[*HUAWEI-Nve1] mac-address 0000-5e00-0101

1.3.31 mac-address static vni
命令功能
mac-address static vni命令用来配置VXLAN隧道的静态MAC地址表项。
undo mac-address static vni命令用来删除配置的VXLAN隧道的静态MAC地址表项。
缺省情况下，未配置VXLAN隧道的静态MAC地址表项。
命令格式
mac-address static mac-address bridge-domain bd-id source source-ip-address peer peer-
ip vni vni-id
undo mac-address static mac-address bridge-domain bd-id [ source source-ip-address ]

[ peer peer-ip ] [ vni vni-id ]
参数说明
mac-address 指定目的MAC地格式为H-H-H。其中H为4位的十六进制数，
址。可以输入1～4位，如00e0、fc01。当输入不足
4位时，表示前面的几位为0，如：输入e0，等
同于00e0。
bridge-domain 指定VNI关联的BD 整数形式，取值范围是1～32768。
bd-id ID。
source source- 指定本端VTEP的IP
点分十进制格式。
ip-address 地址。
peer peer-ip 指定远端VTEP的IP
点分十进制格式。
地址。
vni-id 指定VNI ID。整数形式，取值范围是1～ 16777215。
视图
系统视图
缺省级别
2：配置级
nvo3 write

使用指南
应用场景
当VXLAN隧道入口收到BUM（Broadcast&Unknown-unicast&Multicast）报文时，会将
收到的BUM报文根据VTEP列表进行复制并发送给属于同一个VNI的所有VTEP。为了
减少网络中的广播流量，提高网络安全性，可通过命令mac-address static vni配置静态
MAC地址表指定转发路径，也可防止防冒身份的非法用户骗取数据。
前置条件
VXLAN隧道成功配置。
注意事项
执行mac-address static vni命令前，网络管理员需要熟悉网络中需要通过静态MAC地址

表项通信的设备MAC地址，否则会造成合法用户通信中断。
使用实例
# 配置目的MAC地址为aa-fcc-12的VXLAN隧道静态MAC表项。
[*HUAWEI-bd10] vxlan vni 5000
[*HUAWEI-bd10] quit
[*HUAWEI] interface nve 1
[*HUAWEI-Nve1] source 1.1.1.1
[*HUAWEI-Nve1] vni 5000 head-end peer-list 2.2.2.2
[*HUAWEI-Nve1] quit
[*HUAWEI] mac-address static aa-fcc-12 bridge-domain 10 source 1.1.1.1 peer 2.2.2.2 vni 5000
1.3.32 mtu（VBDIF 接口视图）
命令功能
mtu命令用来配置VBDIF接口的最大传输单元MTU（Maximum Transmission Unit）。
undo mtu命令用来恢复VBDIF接口的最大传输单元到缺省值。
缺省情况下，MTU是1500字节。
命令格式
mtu mtu
undo mtu
参数说明
mtu 指定VBDIF接口最大传输单元。整数形式，取值范围
是46～9600。单位是
正常通信情况下，建议MTU的值不要随意更改，采用系字节。
统默认值1500。由于部分协议对最小报文有限制，如果
配置过小会导致协议邻居无法建立。

视图
VBDIF接口视图
缺省级别
2：配置级
bdbase write
使用指南
应用场景
网络层一般要限制每次发送数据帧的最大长度。任何时候IP层接收到一份要发送的IP数
据时，它要判断向本地哪个接口发送数据，并查询该接口获得其MTU。IP层把MTU与
要发送的数据包长度进行比较，如果数据包的长度比MTU值大，那么IP层就需要进行
分片，分片后的数据可以小于等于MTU。
如果设置强制不分片，IP层在传输数据时可能会出现丢包现象。即，当需要保证网络
中的大报文不丢失时，需要对大报文进行强制分片。可通过mtu命令设置MTU来设置
报文分片的大小。
配置影响
如果MTU配置过小而报文尺寸较大，可能会造成分片过多，报文被QoS队列丢弃。
注意事项
执行mtu命令改变VBDIF接口MTU值，请同时修改对端VBDIF接口的MTU值，确保两
端设备的MTU值匹配。否则，可能导致业务中断。
使用实例
# 设置VBDIF接口的最大传输单元为1400。
[*HUAWEI-bd10] quit
[*HUAWEI-Vbdif10] mtu 1400
1.3.33 peer advertise encap-type vxlan

命令功能
peer advertise encap-type vxlan命令用来配置向邻居发布VXLAN封装的EVPN路由。
undo peer advertise encap-type vxlan命令用来恢复缺省配置。
缺省情况下，本端设备向邻居发布MPLS封装的EVPN路由，不发布VXLAN封装的
EVPN路由。

命令格式
peer { ipv4-address | group-name } advertise encap-type vxlan
undo peer { ipv4-address | group-name } advertise encap-type vxlan
参数说明
ipv4-address 指定对等体的IPv4地点分十进制格式。
址。
group-name 指定对等体组名。字符串形式，区分大小写，不支持空格，长度范
围是1～47。当输入的字符串两端使用双引号时，
可在字符串中输入空格。
视图
BGP-EVPN地址族视图
缺省级别
2：配置级
bgp write
使用指南
在BGP EVPN中，设备向邻居发布EVPN路由的封装方式有两种：MPLS封装和VXLAN
封装。在BGP EVPN方式下分布式网关部署和集中式网关部署场景中，需要设备向邻
居发布VXLAN封装的EVPN路由，因此需要配置peer advertise encap-type vxlan命令。
使用实例
# 配置向邻居发布VXLAN封装的EVPN路由。
[~HUAWEI] bgp 100
[*HUAWEI-bgp] l2vpn-family evpn
[*HUAWEI-bgp-af-evpn] peer 1.1.1.1 advertise encap-type vxlan
1.3.34 peer next-hop-invariable（BGP-EVPN 地址族视图）

命令功能
peer next-hop-invariable命令有以下作用：
l BGP EVPN发言者在向EBGP EVPN对等体发布路由时不改变下一跳。
l BGP EVPN发言者在向IBGP EVPN对等体发布本地引入的路由时使用路由原先自
带的下一跳地址。

undo peer next-hop-invariable命令用来恢复缺省配置。

缺省情况下：
l BGP EVPN发言者向EBGP EVPN对等体通告路由时，将下一跳属性设为自身用于
建立EBGP EVPN对等体关系的接口地址。
l BGP EVPN发言者将从EBGP EVPN收到的路由向IBGP EVPN对等体通告时，不改
变下一跳属性。
l 在反射器场景下，反射器将从IBGP EVPN收到的路由向IBGP EVPN对等体通告
时，不改变下一跳属性。
l BGP EVPN发言者在向IBGP EVPN对等体发布本地引入的路由时。将下一跳属性
设为自身用于建立IBGP EVPN对等体关系的接口地址。
命令格式
peer { ipv4-address | group-name } next-hop-invariable
undo peer { ipv4-address | group-name } next-hop-invariable
参数说明
ipv4-address 指定对等体的IPv4地点分十进制格式。
址。
group-name 指定对等体组的名字符串形式，区分大小写，不支持空格，长度范
称。围是1～47。当输入的字符串两端使用双引号
时，可在字符串中输入空格。
视图
缺省级别
2：配置级
bgp evpn write
使用指南
应用场景
对于不同VTEP间存在其他设备的情况，需要在VTEP上执行peer next-hop-invariable命
令配置本端设备向BGP EVPN邻居发布路由时不改变下一跳功能。
使用实例
# 向BGP EVPN对等体发布路由时不改变下一跳。

[~HUAWEI] bgp 100
[*HUAWEI-bgp-af-evpn] peer 1.1.1.1 next-hop-invariable
1.3.35 peer route-policy（BGP-EVPN 地址族视图）

命令功能
peer route-policy命令用来对来自BGP EVPN对等体（组）的路由或向BGP EVPN对等
体（组）发布的路由指定Route-Policy。
undo peer route-policy命令用来删除指定的Route-Policy。
缺省情况下，不指定BGP EVPN对等体（组）的Route-Policy，即对来自BGP EVPN对
等体（组）的路由或向BGP EVPN对等体（组）发布的路由不使用过滤策略。
命令格式
peer { group-name | ipv4-address } route-policy route-policy-name { import | export }
undo peer { group-name | ipv4-address } route-policy route-policy-name { import |
export }
参数说明
group-name 指定BGP EVPN对等体组的名字符串形式，区分大小写，不支持空
称。格，长度范围是1～47。当输入的字符
串两端使用双引号时，可在字符串中输
入空格。
ipv4- 指定BGP EVPN对等体的IPv4 点分十进制格式。
address 地址。
route- 指定Route-Policy的名称。字符串形式，区分大小写，不支持空
policy-name 格，长度范围是1～200。当输入的字符
串两端使用双引号时，可在字符串中输
入空格。
import 指定对从BGP EVPN对等体 -
（组）接收的路由应用Route-
Policy。
export 指定对向BGP EVPN对等体 -
（组）发布的路由应用Route-
Policy。
视图
缺省级别
2：配置级

bgp write
使用指南
应用场景
在创建Route-Policy后，使用peer route-policy命令将Route-Policy应用到指定BGP EVPN

对等体（组）上，可以对从该对等体（组）接收或向该对等体（组）发布的路由进行
控制，只接收本端需要的路由或者只发布对端需要的路由，达到路由管理的目的，同
时也能减小路由表的规模，减少对系统资源的消耗。
前置条件
执行此命令前，需要先执行peer { group-name | ipv4-address } enable命令，使能对等体

或组间交换EVPN路由信息的能力。
配置影响
如果为BGP EVPN对等体组指定Route-Policy，则BGP EVPN对等体组里的对等体都继

承此配置。
注意事项
如果该命令指定了不存在的Route-Policy，需要先使用route-policy创建该路由策略。
使用实例
# 对来自BGP EVPN对等体1.1.1.9的路由应用名为test-rp的Route-Policy。
[~HUAWEI] bgp 100
[*HUAWEI-bgp] peer 1.1.1.9 as-number 200
[*HUAWEI-bgp-af-evpn] peer 1.1.1.9 enable
[*HUAWEI-bgp-af-evpn] peer 1.1.1.9 route-policy test-rp import
1.3.36 peer track admin-vrrp vrid
命令功能
peer track admin-vrrp vrid命令用来把业务VSI实例下的业务PW与管理VRRP备份组进
行绑定。
undo peer track admin-vrrp vrid命令用来删除业务VSI实例下的业务PW与管理VRRP

备份组的绑定关系。
缺省情况下，业务VSI实例下的业务PW与管理VRRP备份组未绑定。
命令格式
peer peer-address [ negotiation-vc-id vc-id ] track admin-vrrp interface interface-type
interface-number vrid virtual-router-id pw-redundancy backup-block-all

undo peer peer-address [ negotiation-vc-id vc-id ] track admin-vrrp [ interface interface-

type interface-number vrid virtual-router-id pw-redundancy backup-block-all ]
参数说明
peer-address 指定对等体的IP地址。点分十进制形式。
negotiation-vc- 指定虚电路的唯一标识，用于两端VSI ID不同整数形式，取值范
id negotiation- 单要求互通的场景。围是1～
vc-id 4294967295。
l negotiation-vc-id不能与本端其他VSI实例的
VSI ID相同，也不能与本端其他
negotiation-vc-id指定的VSI ID相同，即
negotiation-vc-id是没有被使用过的虚电路
号。
l 本端配置的negotiation-vc-id必须与对端配置
的negotiation-vc-id或者VSI ID相同。
interface 指定配置了管理VRRP备份组所的接口。 -
interface-type
interface-number
virtual-router-id 指定管理VRRP备份组号。整数形式，取值范
围是1～255。
pw-redundancy 指定VPLS PW Redundancy场景。 -
配置pw-redundancy参数，业务VSI实例下的业
务PW和管理VRRP备份组绑定后，本端PW和
远端PW进行主备协商后，再决定是否允许报
文转发。
backup-block- 指定阻断组播PW的流量。 -
all
视图
VSI-LDP视图
缺省级别
2：配置级
l2vpn write
使用指南
应用场景

在VLL接入VPLS拼接VXLAN的场景中，独立模式的PW Redundancy是通过远端PE状
态来决定PW主备的，配置信息如下：
l 本端PE创建接入到对端两台PE的PW时，此PW的转发状态都是Active。
l 通过在远端PE的直连接口上配置管理VRRP备份组来确定远端PE的主备状态。
配置peer track admin-vrrp vrid命令后，PW两端进行协商，使本端PE接入到对端PE的

两条PW的状态和管理VRRP备份组的状态保持一致，从而确定PW的主备关系。
前置条件
l 执行peer命令，配置业务VSI实例下的业务PW的对等体。
l 配置管理VRRP备份组。
注意事项
l peer track admin-vrrp vrid命令只能在业务VSI实例上进行配置。

l 建议业务VSI实例下的业务PW的AC接口与管理VRRP备份组的接口在同一接口板
上，否则管理VRRP备份组状态可能不会反映业务PW的真实状态。
l 一个业务VSI实例只能绑定到一个管理VRRP备份组中。
使用实例
# 管理VRRP备份组100，虚拟IP为192.168.10.100。配置VC ID为100的PW和此管理
VRRP备份组绑定。
[~HUAWEI] interface gigabitethernet 1/0/0
[~HUAWEI-GigabitEthernet1/0/0] ip address 192.168.10.1 24
[*HUAWEI-GigabitEthernet1/0/0] vrrp vrid 100 virtual-ip 192.168.10.100
[*HUAWEI-GigabitEthernet1/0/0] admin-vrrp vrid 100
[*HUAWEI-GigabitEthernet1/0/0] quit
[*HUAWEI] mpls l2vpn
[*HUAWEI-l2vpn] quit
[*HUAWEI] vsi v100 bd-mode
[*HUAWEI-v100] pwsignal ldp
[*HUAWEI-v100-ldp] vsi-id 100
[*HUAWEI-v100-ldp] peer 2.2.2.2 negotiation-vc-id 100 track admin-vrrp interface gigabitethernet
1/0/0 vrid 100 pw-redundancy
1.3.37 reset bridge-domain statistics
命令功能
reset bridge-domain statistics命令用来清除指定BD（Bridge Domain）内流量统计信
息。
命令格式
reset bridge-domain bd-id statistics
参数说明
bd-id 清除指定BD内流量统计信息。整数形式，取值范围是1～32768。

视图
用户视图
缺省级别
2：配置级
bdbase execute
使用指南
应用场景
当需要统计一定时间内某个BD内报文信息，这时必须在统计开始前通过reset bridge-
domain statistics命令清除该BD内的流量统计信息，使BD内的报文重新进行统计，保
证统计的信息正确性。
前置条件
执行reset bridge-domain statistics命令前，在系统视图下已经成功通过bridge-domain

bd-id命令创建BD。
注意事项
执行reset bridge-domain statistics命令后，指定BD内的报文收发统计数目将清零，清

除的统计信息不可恢复，请务必仔细确认是否需要执行本命令。
使用实例
# 清除BD 10内的流量统计信息。
<HUAWEI> reset bridge-domain 10 statistics
1.3.38 reset mac-address bridge-domain
命令功能
reset mac-address bridge-domain命令用来删除BD内学习到的动态MAC地址表项。
命令格式
reset mac-address bridge-domain bd-id
参数说明
bd-id 删除指定ID的BD的MAC表项信息。整数形式，取值范围是1～32768。

视图
用户视图
缺省级别
2：配置级
mac execute
使用指南
应用场景
当需要删除BD学习到的动态MAC地址时（如清除垃圾表项），可以使用reset mac-
address bridge-domain命令。
前置条件
执行reset mac-address bridge-domain命令前，在系统视图下已经成功通过bridge-
domain bd-id命令创建BD。
注意事项
执行reset mac-address bridge-domain命令后，BD内之前学习到的动态MAC表项将被
删除而不可恢复，请慎用。
使用实例
# 清除BD 10内的动态MAC地址表项。
<HUAWEI> reset mac-address bridge-domain 10
1.3.39 reset vxlan statistics

命令功能
reset vxlan statistics命令用来清除VXLAN报文统计信息。
命令格式
# 清除以VNI为粒度的VXLAN报文统计信息。
reset vxlan statistics vni vni-id
# 清除以VNI和VXLAN隧道为粒度的报文统计信息。
reset vxlan statistics source source-ip peer peer-ip vni vni-id
reset vxlan statistics source source-ip peer peer-ip local-vni local-vni-id
reset vxlan statistics source source-ip peer peer-ip remote-vni remote-vni-id

参数说明
vni vni-id 清除指定VNI ID的VXLAN报文统计整数形式，取值范围是1～
信息。 16777215。
source source-ip 清除指定源IP地址的VXLAN报文统计

信息。
peer peer-ip 清除指定对端网络虚拟化边缘节点的
IP地址的VXLAN报文统计信息。
local-vni local- 清除指定本端VNI ID对应的上行整数形式，取值范围是1～
vni-id VXLAN报文统计信息。 16777215。
remote-vni 清除指定对端VNI ID对应的下行整数形式，取值范围是1～

remote-vni-id VXLAN报文统计信息。 16777215。
视图
用户视图
缺省级别
2：配置级
nvo3 execute
使用指南
应用场景
Cloud VPN场景中，在Cloud GW设备上，支持VXLAN隧道报文统计计数，这些统计信

息只能通过执行reset vxlan statistics命令进行手工清除。
注意事项
执行reset vxlan statistics命令后，设备上的VXLAN报文统计信息将清零而且不可恢

复，请务必仔细确认是否需要执行本命令。
使用实例
# 清除设备上的VXLAN报文统计信息，指定VNI ID为1。
<HUAWEI> reset vxlan statistics vni 1
# 清除设备上的VXLAN报文统计信息，指定源IP地址为1.1.1.1，对端网络虚拟化边缘
节点的IP地址为1.1.1.2，VNI ID为1。
<HUAWEI> reset vxlan statistics source 1.1.1.1 peer 1.1.1.2 vni 1

# 清除设备上的上行VXLAN报文统计信息，指定源IP地址为10.1.1.1，对端VTEP的IP地
址为10.2.2.2，本端VNI ID为1。
<HUAWEI> reset vxlan statistics source 10.1.1.1 peer 10.2.2.2 local-vni 1
# 清除设备上的下行VXLAN报文统计信息，指定源IP地址为10.1.1.1，对端VTEP的IP地
址为10.2.2.2，对端VNI ID为2。
<HUAWEI> reset vxlan statistics source 10.1.1.1 peer 10.2.2.2 remote-vni 2
1.3.40 reset vxlan statistics l3-mode

命令功能
reset vxlan statistics l3-mode命令用来清除VXLAN三层流量统计信息。
命令格式
reset vxlan statistics l3-mode source source-ip peer peer-ip local-vni vni-id
reset vxlan statistics l3-mode source source-ip peer peer-ip remote-vni vni-id
参数说明
source source- 清除指定源IP地址的VXLAN三层流量统
ip 计信息。
peer peer-ip 清除指定对端网络虚拟化边缘节点的IP
地址的VXLAN三层流量统计信息。
local-vni vni-id 清除指定本地VNI ID的VXLAN三层上整数形式，取值范围是1～
行流量统计信息。 16777215。
remote-vni vni- 清除指定对端VNI ID的VXLAN三层下整数形式，取值范围是1～

id 行流量统计信息。 16777215。
视图
用户视图
缺省级别
2：配置级
nvo3 execute
使用指南
应用场景

VXLAN隧道支持三层流量统计，如果为了定位问题，需要将之前的三层流量统计信息
清除，可以执行reset vxlan statistics l3-mode命令进行手工清除。
注意事项
以下情况，报文统计信息会被清零：
l 执行reset vxlan statistics l3-mode命令后，设备上的VXLAN三层流量统计信息将清
零而且不可恢复，请务必仔细确认是否需要执行本命令。
l 设备重启、删除VXLAN隧道会导致隧道消失，设备上的VXLAN三层流量统计信
息将清零而且不可恢复。
使用实例
# 清除设备上的VXLAN三层上行流量报文统计信息，指定源IP地址为1.1.1.1，对端网
络虚拟化边缘节点的IP地址为1.1.1.2，本地VNI ID为1。
<HUAWEI> reset vxlan statistics l3-mode source 1.1.1.1 peer 1.1.1.2 local-vni 1
1.3.41 route-distinguisher（EVPN）
命令功能
route-distinguisher命令用来为EVPN实例配置RD（Route Distinguisher，路由标识）。
undo route-distinguisher命令用来删除EVPN实例下的RD配置。
缺省情况下，没有为EVPN实例配置RD。
命令格式
route-distinguisher route-distinguisher
undo route-distinguisher route-distinguisher

参数说明
参数参数说明取
值
route- 路由标识的值，简称RD。RD有以下格式： -
distinguisher l 2字节自治系统号:4字节用户自定义数，例如：1:3。自治系统
号的取值范围是0～65535；用户自定义数的取值范围是0～
4294967295。其中，自治系统号和用户自定义数不能同时为
0，即RD的值不能是0:0。
l 整数形式4字节自治系统号:2字节用户自定义数，自治系统号
的取值范围是65536～4294967295，用户自定义数的取值范围
是0～65535，例如65537:3。
l 点分形式4字节自治系统号:2字节用户自定义数，点分形式自
治系统号通常写成x.y的形式，x和y的取值范围都是0～
65535，用户自定义数的取值范围是0～65535，例如0.0:3或者
0.1:0。其中，自治系统号和用户自定义数不能同时为0，即RD
的值不能是0.0:0。
l 32位IP地址:2字节用户自定义数，例如：192.168.122.15:1。IP
地址的取值范围是0.0.0.0～255.255.255.255；用户自定义数的
取值范围是0～65535。
视图
EVPN实例视图、B-EVPN实例视图
缺省级别
2：配置级
bgp write
使用指南
应用场景
创建EVPN实例后都需要运行此命令对EVPN实例视图下配置RD。
不同的EVPN实例中可能存在相同的路由前缀，为便于PE设备区别，对EVPN实例配置
RD后，发往对端PE的路由会添加上RD属性，使之成为全局唯一的EVPN路由。
注意事项
B-EVPN实例视图下，执行undo route-distinguisher命令，将会删除该EVPN实例的相关
配置。
使用实例
# 配置EVPN实例evpn1的RD。

[~HUAWEI] evpn vpn-instance evpn1
[*HUAWEI-evpn-instance-evpn1] route-distinguisher 22:1
相关主题
evpn vpn-instance
1.3.42 source（NVE 接口视图）

命令功能
source命令用来配置源端VTEP（VXLAN Tunnel Endpoints）的IP地址。
undo source命令用来删除配置的源端VTEP的IP地址。
缺省情况下，VTEP没有配置IP地址。
命令格式
source ip-address
undo source [ ip-address ]
参数说明
ip-address 指定源端VTEP的IP地址。点分十进制格式。
视图
NVE接口视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
VTEP是VXLAN隧道端点，封装在NVE（Network Virtualization Edge）中，用于
VXLAN报文的封装和解封装。
配置VXLAN隧道时，必须通过source命令为源端VTEP配置IP地址。源端VTEP的地址
就是VXLAN报文中的源IP地址，而目的端VTEP的地址就是VXLAN报文中的目的IP地
址，一对VTEP地址就对应着一个VXLAN隧道。

注意事项
指定源端VTEP的IP地址时，可以指定实际物理接口的地址，也可以指定Loopback接口
的地址，推荐使用Loopback接口的地址。
一般情况下，不同设备的NVE接口需要配置不同的VTEP地址，否则可能会导致流量转
发错误。特定场景中要求多个设备对外体现为同一个NVE，则需要为这些设备的NVE
接口配置相同的VTEP地址（例如M-LAG双活接入VXLAN场景、VXLAN多活网关场
景）。
通过命令source配置的源端VTEP的IP地址与通过命令evpn source-address ip-address配

置的标识PE设备的源地址不能相同。
使用实例
# 为源端VTEP配置IP地址1.1.1.1。
1.3.43 statistics enable（BD 视图）
命令功能
statistics enable命令用来使能BD（Bridge Domain）内流量统计功能。
undo statistics enable命令用来去使能BD内流量统计功能。
缺省情况下，BD内流量统计功能处于去使能状态。
命令格式
statistics enable
undo statistics enable
参数说明
无
视图
BD视图
缺省级别
2：配置级
bdbase write

使用指南
应用场景
缺省情况下，BD内流量统计功能是禁止的。若用户需要通过display bridge-domain
statistics命令查看BD内报文收发统计数据，以便于定位问题，必须在BD视图下执行
statistics enable命令使能BD内流量统计功能。否则，用户无法成功看到BD内流量统计
数据。
注意事项
l 执行statistics enable命令使能BD内流量统计功能后，只要BD收到报文都会进行统
计。当网络中有大量报文经过指定BD时，设备就会存储大量的统计数据，易导致
设备运行性能降低。
l 无需统计BD内报文时，建议去使能BD内流量统计功能。
后续任务
执行statistics enable命令后，再执行命令display bridge-domain statistics，可以看到BD
内流量统计计数信息，用户可以根据获取的数据统计信息进行故障诊断。
使用实例
# 使能BD 10内的流量统计功能。
[*HUAWEI-bd10] statistics enable
1.3.44 statistic enable（VNI 视图）

命令功能
statistic enable命令用来使能VXLAN报文统计功能。
undo statistic enable命令用来去使能VXLAN报文统计功能。
缺省情况下，VXLAN报文统计功能处于去使能。
命令格式
statistic enable
undo statistic enable
参数说明
无
视图
VNI视图
缺省级别
2：配置级

nvo3 write
使用指南
应用场景
缺省情况下，VXLAN报文统计功能是禁止的。若用户需要查看指定VNI的VXLAN报文
收发统计数据，以便于定位问题，必须在指定VNI视图下执行statistic enable命令使能
VXLAN报文统计功能。否则，用户无法成功看到VNI的VXLAN报文统计数据。
配置影响
当网络中有大量VXLAN报文时，设备就会存贮大量的统计数据，易导致设备运行性能
降低。无需统计VXLAN报文时，建议去使能VXLAN报文统计功能。
使用实例
# 使能VXLAN报文统计功能。
[~HUAWEI] vni 10
[*HUAWEI-vni10] statistic enable
1.3.45 vni
命令功能
vni命令用来创建VNI（VXLAN Network Identifier）并进入VNI视图。如果VNI已存
在，则直接进入该VNI视图。
undo vni命令用来删除配置的VNI。
缺省情况下，没有创建VNI。
命令格式
vni vni-id
undo vni vni-id
参数说明
vni-id 指定VNI ID。整数形式，取值范围是1～16777215。
视图
系统视图

缺省级别
2：配置级
nvo3 write
使用指南
VXLAN（Virtual eXtensible Local Area Network）网络标识VNI类似VLAN ID，用于区
分VXLAN段，也可标识租户。一个VNI表示一个租户，即使多个终端用户属于同一个
VNI，也表示一个租户。
使用实例
# 创建ID为4096的VNI。
[~HUAWEI] vni 4096
1.3.46 vni head-end peer-list

命令功能
vni head-end peer-list命令用来配置VNI（VXLAN Network Identifier）的头端复制列
表。
undo vni head-end peer-list命令用来删除已配置的VNI头端复制列表。
缺省情况下，没有配置VNI头端复制列表。
命令格式
vni vni-id head-end peer-list ip-address &<1-10>
undo vni vni-id [ head-end peer-list ip-address &<1-10> ]
vni vni-id head-end peer-list protocol bgp
undo vni vni-id head-end peer-list protocol bgp
参数说明
vni-id 指定VNI ID。整数形式，取值范围是1～
16777215。
ip-address 指定远端VTEP的IP地址。点分十进制格式。

protocol bgp 指定动态建立VXLAN二层隧道的 -
BGP路由协议。
视图
NVE接口视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
（Broadcast&Unknown-unicast&Multicast）报文后，需要将其复制多份并发送给列表中
的所有VTEP。头端复制列表就是用于指导VXLAN隧道的入节点进行BUM报文复制和
发送的远端VTEP的IP地址列表。
在VXLAN网络中，当源端VTEP（VXLAN Tunnel Endpoints）对应多个远端VTEP时，
可执行vni head-end peer-list命令指定多个远端VTEP的IP地址。通过头端复制列表，源
端NVE接口将收到的BUM报文，根据VTEP列表进行复制并发送给属于同一个VNI的所
有VTEP。
当需要采用BGP协议动态创建VXLAN二层隧道时，需要配置vni vni-id head-end peer-
list protocol bgp命令。
配置影响
通过头端复制完成BUM报文的广播，不需要依赖组播路由协议。
注意事项
即使源端VTEP对应一个远端VTEP，也需要执行vni head-end peer-list命令指定对应的
VTEP地址，配置头端复制列表。
由于当前只支持头端复制方式进行BUM报文转发，当和其他厂商设备对接创建VXLAN
隧道时，必须保证对端设备也配置头端复制方式，否则会导致对接失败。
使用实例
# 配置头端复制列表，VNI是5010，远端VTEP的IP地址分别是2.2.2.2、3.3.3.3。
[*HUAWEI-Nve1] vni 5010 head-end peer-list 2.2.2.2 3.3.3.3
# 配置动态建立VXLAN二层隧道的BGP路由协议。

[*HUAWEI-Nve1] vni 5010 head-end peer-list protocol bgp
1.3.47 vni（NVE 接口视图）
命令功能
vni命令用来为NVE接口配置VNI（VXLAN Network Identifier）。
undo vni命令用来删除NVE接口下的VNI，并删除NVE接口下该VNI关联的所有配置。
缺省情况下，NVE接口没有配置VNI。
命令格式
vni vni-id
undo vni vni-id
参数说明
视图
NVE接口视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
VXLAN（Virtual eXtensible Local Area Network）网络标识VNI类似VLAN ID，用于区

分VXLAN段，也可标识租户。一个VNI表示一个租户，即使多个终端用户属于同一个
VNI，也表示一个租户。执行此命令，可以为当前NVE接口配置VNI。
注意事项
在当前NVE接口下，如果针对同一VNI进行其他配置，当前命令的配置将被覆盖。

使用实例
# 配置NVE接口引用的VNI。
[*HUAWEI-Nve1] vni 10
1.3.48 vpn-target（EVPN）
命令功能
vpn-target命令用来为EVPN实例配置VPN-Target扩展团体属性。
undo vpn-target命令用来删除EVPN实例配置VPN-Target扩展团体属性。
缺省情况下，没有为EVPN实例配置VPN-Target扩展团体属性。
命令格式
vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ]
undo vpn-target { all | vpn-target &<1-8> [ both | export-extcommunity | import-
extcommunity ] }
参数说明
值
vpn-target 指定vpn-target添加到EVPN实例地址族的VPN-Target扩展团体 -
列表。vpn-target有以下形式：
l 2字节自治系统号:4字节用户自定义数，例如：1:3。自治系
统号的取值范围是0～65535；用户自定义数的取值范围是0
～4294967295。其中，自治系统号和用户自定义数不能同
时为0，即VPN Target的值不能是0:0。
l 整数形式4字节自治系统号:2字节用户自定义数，自治系统
号的取值范围是65536～4294967295，用户自定义数的取值
范围是0～65535，例如65537:3。
l 点分形式4字节自治系统号:2字节用户自定义数，点分形式
自治系统号通常写成x.y的形式，x和y的取值范围都是0～
65535，用户自定义数的取值范围是0～65535，例如0.0:3或
者0.1:0。其中，自治系统号和用户自定义数不能同时为0，
即VPN Target的值不能是0.0:0。
l 32位IP地址:2字节用户自定义数，例如：
192.168.122.15:1。IP地址的取值范围是0.0.0.0～
255.255.255.255；用户自定义数的取值范围是0～65535。
both 指定vpn-target添加到EVPN实例地址族的入方向和出方向 -
VPN-Target扩展团体属性列表中。如果用户不指定关键字
“both、export-extcommunity、import-extcommunity”，则
缺省为“both”。
export- 指定vpn-target添加到EVPN实例地址族的出方向VPN-Target扩 -
extcommunity 展团体属性列表中。

值
import- 指定vpn-target添加到EVPN实例地址族的入方向VPN-Target扩 -
extcommunity 展团体属性列表中。
all 删除当前EVPN实例地址族下所有的VPN-Traget。 -
视图
EVPN实例视图、B-EVPN实例视图
缺省级别
2：配置级
l3vpn write
使用指南
应用场景
本地PE向其他PE对等体发布EVPN路由时，会携带本地EVPN实例出方向VPN-Target属
性列表中的所有VPN-Target属性。当收到的EVPN路由携带的VPN-Target属性包含在
EVPN实例的入方向VPN-Target属性列表中时，才允许EVPN路由交叉到EVPN实例路由
表。
说明
可以通过vpn-target命令分多次为EVPN实例的VPN-Target扩展团体属性列表添加vpn-target，一
条命令最多可以配置8个vpn-target。如果希望在EVPN实例下配置更多的VPN Target，可以多次使
用vpn-target命令进行配置。
前置条件
EVPN实例下通过命令route-distinguisher配置了RD。
配置影响
如果不配置该命令，接收到的所有EVPN路由不能交叉到本地EVPN实例路由表。
运行命令undo vpn-target删除EVPN实例的所有VPN Target后，当前EVPN实例下通过

路由交叉学来的路由将全部删除。
使用实例
# 为EVPN实例配置出方向和入方向的RT值5:5。
[~HUAWEI] evpn vpn-instance evpn1
[*HUAWEI-evpn-instance-evpn1] route-distinguisher 22:1
[*HUAWEI-evpn-instance-evpn1] vpn-target 5:5 both

相关主题
evpn vpn-instance
1.3.41 route-distinguisher（EVPN）
1.3.49 vxlan central-reassemble enable
命令功能
vxlan central-reassemble enable命令用来使能所有VXLAN Tunnel集中式跨板重组。
undo vxlan central-reassemble enable命令用来去使能所有VXLAN Tunnel集中式跨板重

组。
缺省情况下，不使能VXLAN Tunnel集中式跨板重组。
命令格式
vxlan central-reassemble enable
undo vxlan central-reassemble enable
参数说明
无
视图
系统视图
缺省级别
2：配置级
forwarding write
使用指南
当VXLAN隧道中有Trunk通道且配置了逐包负载分担，则会出现一个报文的两个分片
可能从不同的接口板转发，对端设备同时会出现分片报文从两个不同接口板进入然后
进行分别重组。如果重组过程中有一个接口板重组超时，报文重组就会失败。为了避
免这种情况，可以通过配置vxlan central-reassemble enable命令使能VXLAN Tunnel集
中式跨板重组，即接收端设备会自动为每个VXLAN隧道选择一个UP的接口板，并将不
同接口板接收到的分片报文汇总到一个接口板做重组，从而避免了某个接口板重组超
时导致的重组失败。
配置vxlan central-reassemble enable命令后设备上所有的VXLAN隧道都会使能集中式

跨板重组功能。

使用实例
# 使能所有VXLAN隧道集中式跨板重组。
[~HUAWEI] vxlan central-reassemble enable
1.3.50 vxlan statistics enable
命令功能
vxlan statistics enable命令用来使能以VNI和VXLAN隧道为粒度的报文统计功能。
undo vxlan statistics enable命令用来去使能以VNI和VXLAN隧道为粒度的报文统计功

能。
缺省情况下，以VNI和VXLAN隧道为粒度的报文统计功能处于去使能状态。
命令格式
vxlan statistics peer peer-ip vni vni-id [ inbound | outbound ] enable
undo vxlan statistics peer peer-ip vni vni-id [ inbound | outbound ] enable
参数说明
vni vni-id 使能指定VNI ID的VXLAN报文统计功能。整数形式，取值范围是1～
16777215。
peer peer-ip 使能指定远端VTEP IP地址的VXLAN报文统

计功能。
inbound 指定对上行流量进行VXLAN报文统计。 -
outbound 指定对下行流量进行VXLAN报文统计。 -
视图
NVE接口视图
缺省级别
2：配置级
nvo3 write

使用指南
应用场景
缺省情况下，VXLAN报文统计功能是禁止的。若用户需要查看以VNI和VXLAN隧道为
粒度报文收发统计数据，以便于定位问题，必须在指定NVE接口视图下执行vxlan
statistics enable命令使能以VNI和VXLAN隧道为粒度的报文统计功能。否则，用户无
法成功看到VXLAN报文统计数据。
使用实例
# 使能以VNI和VXLAN隧道为粒度的报文统计功能，指定VNI为1，远端VTEP的IP地址
为1.1.1.2。
[*HUAWEI-Nve1] vxlan statistics peer 1.1.1.2 vni 1 enable
1.3.51 vxlan statistics l3-mode enable
命令功能
vxlan statistics l3-mode enable命令用来使能以VNI和VXLAN隧道为粒度的三层流量统
计功能。
undo vxlan statistics l3-mode enable命令用来去使能以VNI和VXLAN隧道为粒度的三层

流量统计功能。
缺省情况下，以VNI和VXLAN隧道为粒度的三层流量统计功能处于去使能状态。
命令格式
vxlan statistics l3-mode peer peer-ip vni vni-id inbound enable
vxlan statistics l3-mode peer peer-ip [ vni vni-id ] outbound enable
undo vxlan statistics l3-mode peer peer-ip vni vni-id inbound enable
undo vxlan statistics l3-mode peer peer-ip [ vni vni-id ] outbound enable
参数说明
peer peer-ip 使能指定对端网络虚拟化边缘节点的IP地址的
VXLAN三层流量统计功能。
vni vni-id 使能指定VNI ID的VXLAN三层流量统计功能。整数形式，取值范围
是1～16777215。
inbound 指定使能以VNI和VXLAN隧道为粒度的三层上 -
行流量报文统计功能。
outbound 指定使能以VNI和VXLAN隧道为粒度的三层下 -
行流量报文统计功能。

视图
NVE接口视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
如果用户为定位问题，需要查看以VNI和VXLAN隧道为粒度的三层流量收发统计数据
时，可以在指定NVE接口视图下执行vxlan statistics l3-mode enable命令使能以VNI和
VXLAN隧道为粒度的上下行报文统计功能。否则，用户无法成功看到VXLAN报文统
计数据。
注意事项
vxlan statistics l3-mode enabl命令和statistic enable（VNI视图）命令互斥，两条命令不
能同时配置。
执行undo vxlan statistics l3-mode enable命令后，设备上的三层流量统计信息将清零而
且不可恢复，请务必仔细确认是否需要执行该命令。
使用实例
# 使能以VNI和VXLAN隧道为粒度的三层流量上行报文统计功能，指定VNI为1，对端
网络虚拟化边缘节点的IP地址为1.1.1.2。
[*HUAWEI-Nve1] vxlan statistics l3-mode peer 1.1.1.2 vni 1 inbound enable
# 使能以VNI和VXLAN隧道为粒度的三层流量下行报文统计功能，指定对端网络虚拟
化边缘节点的IP地址为2.2.2.2。
[*HUAWEI-Nve1] vxlan statistics l3-mode peer 2.2.2.2 outbound enable
1.3.52 vxlan vni

命令功能
vxlan vni命令用来创建VNI（VXLAN Network Identifier）并关联广播域BD，将VNI以
1:1方式映射到BD。
undo vxlan vni命令用来删除VNI和BD的关联关系。

缺省情况下，系统没有创建VNI。
命令格式
vxlan vni vni-id
undo vxlan vni vni-id
参数说明
视图
BD视图
缺省级别
2：配置级
nvo3 write
使用指南
VXLAN（Virtual eXtensible Local Area Network）网络中的广播域VN（Virtual
Network）是个虚拟广播域，必须通过命令vxlan vni将VNI以1:1方式映射到广播域
BD，BD成为VXLAN网络的实体，通过BD转发流量。
在VPN实例下绑定的VNI不能与BD下配置的VNI的值相同。
注意事项
VXLAN和EVPN MPLS拼接时存在如下限制：
l 采用BD作为广播域时，支持BD同时绑定VNI和BD模式的EVPN。
l 每个VNI只能加入一个BD，每个BD只能加入一个VNI。
l 仅支持BD 1:1非bdtag方式接入EVPN。
l 不支持EVC子接口接入VXLAN或者EVPN。
l VXLAN隧道和EVPN不支持动态MAC学习，通过BGP发布和接收MAC路由。
l 支持VXLAN隧道侧的广播、组播和未知单播，基于VNI+PEER进行报文复制。
使用实例
# 将ID为5000的VNI与ID为10的BD关联。

[*HUAWEI-bd10] vxlan vni 5000
1.3.53 vxlan vni（VPN 实例视图）

命令功能
vxlan vni命令用来将VNI（VXLAN Network Identifier）与VPN（Virtual Private
Network）实例绑定。
undo vxlan vni命令用来取消VNI与VPN实例绑定。
缺省情况下，VNI与VPN实例没有绑定。
命令格式
vxlan vni vni-id
undo vxlan vni vni-id
参数说明
视图
VPN实例视图
缺省级别
2：配置级
nvo3 write
使用指南
应用场景
对于租户三层隔离，通常使用VPN技术进行三层路由隔离。在VXLAN分布式网关场景
下，当跨三层网关进行三层通信时，三层网关必须绑定VPN实例。
在三层网关上，除了给每个子网分配VNI，还会给每个租户（VPN实例）分配一个三层
VNI。当跨三层网关进行三层转发时，VPN实例的VNI ID通过VXLAN隧道传输到远端
三层网关，远端三层网关通过租户VNI ID来识别VPN，这样即可识别租户是否属于同
一个VPN，以及是否需要互通或隔离。
注意事项

当前，只支持一个VNI绑定一个VPN实例。
通过本命令在VPN实例下绑定的VNI不能与BD下配置的VNI的值相同。
使用实例
# 将VNI 5000绑定名称为huawei的VPN实例。
[~HUAWEI] ip vpn-instance huawei
[*HUAWEI-vpn-instance-huawei] vxlan vni 5000
1.3.54 vxlan vni split-horizon-mode

命令功能
vxlan vni split-horizon-mode命令用来创建VNI（VXLAN Network Identifier）并关联广
播域BD，然后按照水平分割方式进行转发。
undo vxlan vni命令用来删除VNI和BD的关联关系。
缺省情况下，系统没有创建VNI。
命令格式
vxlan vni vni-id split-horizon-mode
undo vxlan vni vni-id split-horizon-mode
参数说明
视图
BD视图
缺省级别
2：配置级
nvo3 write
使用指南
VXLAN（Virtual eXtensible Local Area Network）网络中的广播域VN（Virtual
Network）是个虚拟广播域，必须通过命令vxlan vni将VNI以1:1方式映射到广播域
BD，BD成为VXLAN网络的实体，通过BD转发流量。

当VXLAN网络和VPLS网络进行拼接时，为了保证VXLAN网络和VPLS网络的互通，
需要在两个网络相交的边缘设备上通过执行vxlan vni vni-id split-horizon-mode命令，
创建VNI并关联广播域BD，然后按照水平分割方式进行转发。
使用实例
# 将ID为5000的VNI与ID为10的BD关联，然后按照水平分割方式进行转发。
[*HUAWEI-bd10] vxlan vni 5000 split-horizon-mode

IP 新技术专题 2 IPv4 Segment Routing
2 IPv4 Segment Routing
2.1 IPv4 Segment Routing
2.1.1 介绍
定义
段路由SR（Segment Routing）是基于源路由理念而设计的在网络上转发数据包的一种
协议。Segment Routing将网络路径分成一个个段，并且为这些段和网络中的转发节点
分配段标识ID。通过对段和网络节点进行有序排列（Segment List），就可以得到一条
转发路径。
Segment Routing将代表转发路径的段序列编码在数据包头部，随数据包传输。接收端
收到数据包后，对段序列进行解析，如果段序列的顶部段标识是本节点时，则弹出该
标识，然后进行下一步处理；如果不是本节点，则使用ECMP（Equal Cost Multiple
Path）方式将数据包转发到下一节点。
目的
随着时代的进步，网络业务种类越来越多，不同类型业务对网络的要求不尽相同，例
如，实时的UC&C应用程序通常更喜欢低时延，低抖动的路径，而大数据应用则更喜
欢低丢包率的高带宽通道。如果仍旧按照网络适配业务的思路，则不仅无法匹配业务
的快速发展，而且会使网络部署越来越复杂，变的难以维护。
解决思路就是业务驱动网络，由业务来定义网络的架构。具体说来，就是由应用提出
需求（时延、带宽、丢包率等），控制器收集网络拓扑、带宽利用率、时延等信息，
根据业务需求计算显式路径。

图 2-1 业务驱动网络示意图
带宽大
时延小 A Controller
P
丢包少 I EMS/NMS
带宽大路径
时延小路径
丢包少路径
Segment Routing正是在此背景下产生的。通过Segment Routing可以简易的定义一条显

式路径，网络中的节点只需要维护Segment Routing信息，即可应对业务的实时快速发
展。Segment Routing具有如下特点：
l 通过对现有协议（例如IGP）进行扩展，能使现有网络更好的平滑演进。
l 同时支持控制器的集中控制模式和转发器的分布控制模式，提供集中控制和分布
控制之间的平衡。
l 采用源路由技术，提供网络和上层应用快速交互的能力。
受益
使用Segment Routing技术，将带来明显的受益：
l 简化MPLS网络的控制平面。
Segment Routing使用控制器或者IGP集中算路和分发标签，不再需要RSVP-TE，
LDP等隧道协议。Segment Routing可以直接应用于MPLS架构，转发平面没有变
化。
l 提供高效TI-LFA（Topology-Independent Loop-free Alternate） FRR保护，实现路径
故障的快速恢复。
在Segment Routing技术的基础上结合RLFA（Remote Loop-free Alternate） FRR算
法，形成高效的TI-LFA FRR算法。TI-LFA FRR支持任意拓扑的节点和链路保护，
能够弥补传统隧道保护技术的不足。
l Segment Routing技术更具有网络容量扩展能力。
传统MPLS TE是一种面向连接的技术，为了维护连接状态，节点间需要发送和处
理大量Keepalive报文，设备控制层面压力大。Segment Routing仅在头节点对报文
进行标签操作即可任意控制业务路径，中间节点不需要维护路径信息，设备控制
层面压力小。
此外，Segment Routing技术的标签数量是：全网节点数+本地邻接数，只和网络规
模相关，与隧道数量和业务规模无关。
l 更好的向SDN网络平滑演进。

Segment Routing技术基于源路由理念而设计，通过源节点即可控制数据包在网络
中的转发路径。配合集中算路模块，即可灵活简便的实现路径控制与调整。
Segment Routing同时支持传统网络和SDN网络，兼容现有设备，保障现有网络平
滑演进到SDN网络，而不是颠覆现有网络。
2.1.2 原理描述
2.1.2.1 基本原理
基本概念
SR特性涉及的概念如下：
l SR域（Segment Routing Domain）：SR节点的集合。
l SID：即Segment ID，用来标识唯一的段。在转发层面，可以映射为MPLS标签。
l SRGB（Segment Routing Global Block）：用户指定的为Segment Routing预留的本
地标签集合。
Segment 分类
表 2-1 Segment 分类
标签生成方式作用
Prefix 手工配置。 Prefix Segment用于标识网络中的某个目的地址前缀

Segment（前（Prefix）。
缀段） Prefix Segment通过IGP协议扩散到其他网元，全局可
见，全局有效。
Prefix Segment通过Prefix Segment ID（SID）标识。
Prefix SID是源端发布的SRGB范围内的偏移值，接收
端会根据自己的SRGB计算实际标签值用于生成MPLS
转发表项。
Adjacency 源节点通过 Adjacency Segment用于标识网络中的某个邻接。

Segment（邻协议动态分 Adjacency Segment通过IGP协议扩散到其他网元，全
接段）配。局可见，本地有效。
Adjacency Segment通过Adjacency Segment ID（SID）
标识。Adjacency SID为SRGB范围外的本地SID。
Node 手工配置。 Node Segment是特殊的Prefix Segment，用于标识特定

Segment（节的节点（Node）。在节点的Loopback接口下配置IP地
点段）址作为前缀，这个节点的Prefix SID实际就是Node
SID。
Prefix SID、Adjacency SID和Node SID的示例如图2-2所示。

图 2-2 Prefix SID、Adjacency SID 和 Node SID

101 102 103
1001 1003 16003
16001
10.1.1.0/24 10.3.1.0/24
1002
Prefix SID: 16001, 16002, 16003

16002
Adjacency SID: 1001, 1002, 1003
10.2.1.0/24
Node SID: 101, 102, 103
通俗的理解，Prefix Segment代表目的地址，Adjacency Segment代表数据包的外发链

路，可以分别类似于传统IP转发中的目的IP地址和出接口。在IGP区域内，网元设备使
用扩展IGP消息将自身的Node SID以及Adjacency SID进行泛洪，这样任意一个网元都可
以获得其他网元的信息。
通过按序组合前缀（节点）SID和邻接SID，可以构建出网络内的任何路径。在路径中
的每一跳，使用栈顶段信息区分下一跳。段信息按照顺序堆叠在数据头的顶部。当栈
顶段信息包含另一个节点的标识时，接收节点使用等价多路径（ECMP）将数据包转发
到下一跳。当栈顶段信息是本节点的标识时，接收节点弹出顶部段并执行下一个段所
需的任务。
实际应用中Prefix Segment、Adjacency Segment、Node Segment可以单独使用，也可以
结合使用。主要有如下三种情况。
Prefix Segment
基于Prefix Segment的转发路径是由IGP通过最短路径算法（SPF）计算得出。如图2-3
所示，以节点Z为目的节点，其Prefix SID是100，通过IGP扩散之后，整个IGP域的所有
设备学习到节点Z的Prefix SID，之后都会使用SPF算法得出一条到节点Z的最短路径
（Shortest Path），也即开销最小路径。
图 2-3 基于 Prefix Segment 的转发路径

100 100 100
B D F
Cost:1 Cost:1
100
Cost:1 Cost:1
A Primary Z
Loopback
path
Cost:10 Cost:10 Cost:10 X.X.X.X
Secondary Prefix SID=100
path
Cost:2 Cost:2
Cost:2 Cost:2
C E G
如果网络中存在等价路径，则可以实现负载分担（ECMP）；如果存在不等价路径，则
可以形成链路备份。由此可见，基于Prefix Segment的转发路径并不是一条固定路径，
头节点也无法控制报文的整条转发路径。

Adjacency Segment
如图2-4所示，通过给网络中每个邻接分配一个Adjacency Segment，然后在头节点定义
一个包含多个Adjacency Segment的Segment List，就可以严格指定任意一条显式路径
（Strict Explicit）。这种方式可以更好的配合实现SDN。
图 2-4 基于 Adjacency Segment 的转发路径

2004
4005 4005
5007 5007
1002 7009 7009
2004 B D F
4005 2004
5007
7009 1002
A Z
4005
5007
7009
C E G
5007
7009 7009
Adjacency Segment + Node Segment

如图2-5所示，这种方式是将Adjacency Segment和Node Segment结合，通过Adjacency
Segment，可以强制整条路径包含某一个邻接。而对于Node Segment，节点可以使用
SPF算法计算最短路径，也可以负载分担。这种方式的路径并不是严格固定，所以也称
作松散路径（Loose Explicit）。
图 2-5 基于 Adjacency Segment + Node Segment 的转发路径

101
4005 4005
100 100
B D Node F
101
4005 SID=101
100
A Z
Pop
4005
Loopback
X.X.X.X
Prefix SID=100
C E G
100 100

SR 转发机制
SR可以直接应用在MPLS架构，转发机制没有变化。代表段的SID被编码为MPLS标
签。段序列被编码为标签栈。要处理的段位于栈顶。一个段处理完成后，相关标签从
标签栈中弹出。
SR 标签冲突处理原则
由于Prefix Segment通过手工配置生成，不同设备上的配置可能发生标签冲突。标签冲
突分为前缀冲突和SID冲突，前缀冲突是指相同的前缀关联了两个不同的SID，SID冲
突是指相同的SID关联到不同的前缀。
标签冲突处理原则：当冲突产生后，优先处理前缀冲突，之后根据处理结果再进行SID
冲突处理，并按如下规则进行优选。
1. 前缀掩码更大者优选；
2. 前缀更小者优选；
3. SID更小者优选。
假如现在有如下四条路由(前缀/掩码 SID)：
l a. 1.1.1.1/32 1
l b. 1.1.1.1/32 2
l c. 2.2.2.2/32 3
l d. 3.3.3.3/32 1
使用冲突处理原则后效果如下：
1. 先进行前缀冲突处理，a和b为前缀冲突，根据标签冲突处理原则，a的SID比b的
SID小，优选a，则处理后：
– a. 1.1.1.1/32 1
– c. 2.2.2.2/32 3
– d. 3.3.3.3/32 1
2. 再根据上一步处理结果进行SID冲突处理，a和d为SID冲突，根据标签冲突处理原
则，a的前缀比d的前缀小，优选a。冲突解决后，最终优选出两条路由：
– a. 1.1.1.1/32 1
– c. 2.2.2.2/32 3
2.1.2.2 SR LSP
SR LSP是指使用SR技术建立的标签转发路径，由一个Prefix或Node Segment指导数据包
转发。SR-BE（Segment Routing Best Effort）是指IGP使用最短路径算法计算得到的最
优SR LSP。
SR LSP的创建过程和数据转发与LDP LSP类似。这种LSP不存在Tunnel接口。
SR LSP 创建
SR LSP创建需要完成以下动作：
l 网络拓扑上报（仅在基于控制器创建LSP时需要）/标签分配。
l 路径计算。

对于SR LSP，主要基于前缀标签创建。目的节点通过IGP协议发布Prefix SID，转发器

解析Prefix SID，并根据自己的SRGB计算标签值。此后各节点使用IGP协议收集的拓扑
信息，根据最短路径算法计算标签转发路径，并将计算的下一跳及出标签
（OuterLabel）信息下发转发表，指导数据报文转发。
图 2-6 基于前缀标签的 LSP 创建

SRGB SRGB SRGB SRGB
[6000-23999] [26000-65535] [36000-65535] [16000-65535]
A B C D Loopback
X.X.X.X
1 1 1 Prefix SID=100
4 3 2
Label: 6100 Label: 26100 Label: 36100
Label: 16100
OuterLabel: 26100 OuterLabel: 36100 OuterLabel: 16100
1 发布Prefix SID和SRGB
2 3 4 计算Label和Outerlabel
如图2-6所示，基于前缀标签的LSP创建过程可以概括为表2-2。
表 2-2 LSP 创建过程

步设备操作
骤
1 D 在D上配置SRGB，在D的Loopback口配置Prefix SID，生成转发表项并下
发。之后D将SRGB和Prefix SID封装到LSP报文（如包含SR-Capabilities
Sub-TLV的IS-IS Router Capability TLV-242），并将LSP报文通过IGP向
全网扩散。
网络中其他设备接收到LSP报文后，解析D发布的Prefix SID，根据自己
的SRGB计算标签值，同时根据下一跳节点发布的SRGB计算出标签值
（OuterLabel）。使用IGP拓扑计算标签转发路径，然后生成转发表项。
2 C 解析D发布的Prefix SID，根据自己的SRGB=[36000–65535]计算标签
值，计算公式是：Label=SRGB的起始值+Prefix SID值，所以
Label=36000+100=36100。
使用IS-IS拓扑计算出标签（OuterLabel），计算公式是：OuterLabel=下
一跳设备发布的SRGB的起始值+Prefix SID值，在本例中，下一跳设备为
D，D发布的SRGB范围是[16000–65535]，所以
OuterLabel=16000+100=16100。
3 B 计算过程与C类似，Label=26000+100=26100，
OuterLabel=36000+100=36100。
4 A 计算过程与C类似，Label=6000+100=6100，
OuterLabel=26000+100=26100。
数据转发
SR的标签操作类型和MPLS相同，包括标签栈压入（Push）、标签栈交换（Swap）和
标签弹出（Pop）。

l Push：当报文进入SR LSP时，入节点设备在报文二层首部和IP首部之间插入一个
标签；或者根据需要，在报文标签栈的栈顶增加一个新的标签。
l Swap：当报文在SR域内转发时，根据标签转发表，用下一跳分配的标签，替换SR
报文的栈顶标签。
l Pop：当报文在离开SR域时，根据栈顶的标签查找转发出接口之后，将SR报文的
栈顶的标签剥掉。
图 2-7 基于前缀标签的数据转发
Label: 6100 Label: 26100 Label: 36100
Label: 16100
OuterLabel: 26100 OuterLabel: 36100 OuterLabel: 16100
A B C D
1 2 3 4
Push Swap Swap Pop
26100 36100 16100

Payload Payload Payload Payload Payload
基于图2-7，数据转发过程可以概括为表2-3。
表 2-3 数据转发过程
步设备操作
骤
1 A A节点收到数据报文，添加标签值26100并转发。
2 B B节点收到该标签报文，进行标签交换，将标签26100弹出，换成标签
36100。
3 C C节点收到该标签报文，进行标签交换，将标签36100弹出，换成标签
16100。
4 D 标签16100弹出，继续查路由转发。
PHP 与 MPLS QoS、TTL

倒数第二跳弹出PHP（Penultimate Hop Popping），是指在最后一跳节点（Egress节
点），标签已经没有使用价值。这种情况下，可以利用倒数第二跳弹出特性PHP
（Penultimate Hop Popping），在倒数第二跳节点处将标签弹出，减少最后一跳的负
担。最后一跳节点直接进行IP转发或者下一层标签转发。
PHP在Egress节点上配置。在图2-7中，未启用PHP特性，所以即使网元C是SR隧道的倒
数第二跳，网元C仍旧使用了到达网元D的真实标签。如果启用了PHP特性，则网元C
发往网元D的报文不会携带SR标签。
如果启用PHP特性，则对Egress节点的MPLS QoS和TTL特性都有影响，具体请参考表
2-4。

表 2-4 PHP 与 MPLS QoS、TTL

标签方式意义 Egress节点的 Egress节点的场景
MPLS EXP MPLS TTL
（QoS）
显式空标签不支持PHP特 MPLS EXP字 MPLS TTL正节省Egress节

（explicit- 性，Egress节段保留，支持常。点的标签资
null）点向倒数第二 QoS。源。当端到端
跳分配显式空业务有QoS属
标签。IPv4的性，需要携带
显式空标签值在标签EXP中
为0。时，可以使用
该方式。
隐式空标签支持PHP特 Egress节点的 Egress节点的减少Egress节

（implicit- 性，Egress节报文无MPLS 报文无MPLS 点的转发压
null）点向倒数第二 EXP字段，不 TTL，也不能力，提高转发
跳分配隐式空支持QoS。复制到IP 效率。
标签。隐式空 TTL。
标签的值为3。
当一个网元发
现自己被分配
了隐式空标签
时，它并不用
这个值替代栈
顶原来的标
签，而是直接
执行Pop操
作。Egress节
点直接进行IP
转发或下一层
标签转发。
非空标签不支持PHP特 MPLS EXP字 MPLS TTL正这种方式对

（non-null）性，Egress节段保留，支持常。 Egress节点的
点向倒数第二 QoS。资源消耗较
跳正常分配标大，不推荐使
签。用。如果用户
想要在Egress
节点根据标签
区分业务，可
以使用该方
式。
2.1.2.3 IS-IS for SR

SR使用IGP协议进行拓扑信息、前缀信息、SRGB和标签信息的通告。IGP协议为了完
成上述功能，对于协议报文的TLV进行了一些扩展。IS-IS协议主要定义了针对SID和网
元SR能力的子TLV（Sub-TLV）。具体如表2-5所示。

表 2-5 IS-IS 针对 SID 和网元 SR 能力的 Sub-TLV 扩展

名称作用携带位置
Prefix-SID Sub- 用于通告SR的Prefix SID。 l IS-IS Extended IPv4

TLV Reachability TLV-135
l IS-IS Multitopology IPv4
Reachability TLV-235
l IS-IS IPv6 IP Reachability
TLV-236
l IS-IS Multitopology IPv6 IP
Reachability TLV-237
l ...
Adj-SID Sub-TLV 用于在P2P网络中通告SR的 l IS-IS Extended IS reachability

Adjacency SID。 TLV-22
l IS-IS IS Neighbor Attribute
TLV-23
l IS-IS inter-AS reachability
information TLV-141
l IS-IS Multitopology IS TLV-222
l IS-IS Multitopology IS Neighbor
Attribute TLV-223
LAN-Adj-SID 用于在LAN网络中通告SR l IS-IS Extended IS reachability

Sub-TLV 的Adjacency SID。 TLV-22
l IS-IS IS Neighbor Attribute
TLV-23
l IS-IS inter-AS reachability
information TLV-141
l IS-IS Multitopology IS TLV-222
l IS-IS Multitopology IS Neighbor
Attribute TLV-223
SID/Label Sub- 用于通告SR的SID或MPLS SR-Capabilities Sub-TLV和SR

TLV Label。 Local Block Sub-TLV。
SR-Capabilities 用于对外通告自己的SR能 IS-IS Router Capability TLV-242。

Sub-TLV 力。
SR-Algorithm Sub- 用于对外通告自己使用的算 IS-IS Router Capability TLV-242。

TLV 法。
SR Local Block 用于通告网元为本地SID预 IS-IS Router Capability TLV-242。

Sub-TLV 留的标签范围。
IS-IS 对于 SID 的 TLV 扩展

Prefix-SID Sub-TLV
Prefix-SID sub-TLV携带IGP-Prefix-SID信息，其格式如图2-8所示。

图 2-8 Prefix-SID Sub-TLV 格式
0 7 15 23 31
Type Length Flags Algorithm
SID/Index/Label (variable)
表 2-6 Prefix-SID Sub-TLV 字段解释

字段名长度含义
Type 8比特未分配，建议值是3。
Length 8比特报文长度。

Flags 8比特标志位。其格式如图2-9所示。
图 2-9 Flags 字段
Flags
R N P E V L
各个标志位详细解释如下：
l R：重发布标志。如果置位，表示该前缀可能是从其
他协议引入或者从其他级别渗透而来（比如，从IS-IS
Level 1渗透到Level 2）。
l N：Node-SID标志。如果置位，则该Prefix-SID代表一
个节点。通常，如果Prefix-SID是Loopback接口地址，
该标志位置位。
l P：No-PHP（Penultimate Hop Popping，倒数第二跳弹
出）标志。如果置位，不启用倒数第二跳弹出特性，
倒数第二跳在转发报文给Egress节点时，不能弹出
Egress节点标签。
l E：显式空标签（Explicit-Null）标志。如果置位，则
启用显式空标签特性，上游邻居在转发报文时，必须
把标签替换为显式空标签。
l V：Value标志。如果置位，则Prefix-SID携带Value，
代替索引（Index）。缺省未置位。
l L：Local标志。如果置位，表示Prefix-SID携带的
Value/Index具有本地意义。缺省未置位。
在计算前缀的出标签时，必须考虑下一跳设备发布的
Prefix-SID的P和E标志位，不论到达此前缀的最佳路径是
否经过此下一跳。当传播（例如，从Level-1到Level-2，
或者反过来）其他IS-IS Speaker生成的可达信息通告时，
本节点必须将相关Prefix-SID的P标志位置位，E标志位清
除。
下列行为与P和E标志位设置相关：
l 如果P标志未置位，则任何Prefix-SID生成者的上游邻
居必须弹出对应的Prefix-SID标签，这相当于MPLS转
发里的PHP机制。MPLS EXP位也被清除。同时如果P
标志未置位，则接收的E标志位也被忽略。
l 如果P标志置位，然后：
– E标志未置位，则任何Prefix-SID生成者的上游邻居
必须保留对应的Prefix-SID标签在标签栈顶。这种
方式可能用于路径粘连，比如Prefix-SID生成者可
能使用该标签将报文转到其他的MPLS LSP中。
– E标志置位，则任何Prefix-SID生成者的上游邻居必
须将对应的Prefix-SID标签替换为显式空标签。此

种方式下可以保留MPLS EXP标志位，如果Prefix-
SID生成者就是报文的目的地址，则可以接收到原
始MPLS EXP。MPLS EXP标志可以用于QoS服
务。
Algorithm 8比特算法。

l 0：Shortest Path First，最短路径算法
l 1：Strict Shortest Path First，严格最短路径算法。
SID/Index/ 可变长度根据V和L标志，可能包含以下内容之一：

Label l SID/Label范围内的4字节的标签偏移值。此时，V和L
(variable) 都不能置位。
l 一个3字节的本地标签，最右边的20位用于标记标签
值。此时，V和L都必须置位。
Adj-SID Sub-TLV
Adj-SID Sub-TLV是一个可选子TLV，携带了IGP Adjacency SID信息，其格式如图2-10
所示。
图 2-10 Adj-SID Sub-TLV 格式
0 7 15 23 31
Type Length Flags Weight
SID/Label/Index (variable)
表 2-7 Adj-SID Sub-TLV 字段解释


Flags
F B V L S P
l F：地址族标志。如果未置位，代表IPv4；如果置位，
代表IPv6。
l B：备份标志。如果置位，Adj-SID用于保护其他节
点。
l V：Value标志。如果置位，则Adj-SID携带标签值
Value。缺省置位。
l L：Local标志。如果置位，表示Adj-SID携带的Value/
Index具有本地意义。缺省置位。
l S：序列标志。如果置位，表示Adj-SID是一个
Adjacency序列。
l P：永久标志。如果置位，表示Adj-SID是一个永久分
配的SID，无论设备重启或接口震荡该SID都不变化。
Weight 8比特权重。代表Adj-SID权重，可以用于负载分担。

Label l 一个3字节的本地标签，最右边的20位用于标记标签
(variable) 值。此时，V和L都必须置位。
l SID/Label范围内的4字节的标签偏移值。此时，V和L
都不能置位。
DIS（Designated Intermediate System，指定中间系统）是IS-IS在LAN网络通信过程中，

被选举出来作为中介的一个中间系统。在LAN网络中，网元仅需要发布一条到DIS的链
路信息，然后从DIS获取全部的链路信息，网元间不需要相互交换链路信息。
在Segment Routing实现中，每一个网元需要发布到所有邻居的Adj-SID。在LAN网络
中，每个网元仅发布一条到DIS的Adj-SID，然后把到其他邻居的Adj-SID封装在一个新
的TLV中，这就是LAN-Adj-SID Sub-TLV。该TLV包含了网元为所有LAN网络邻居分配
的Adj-SID。
LAN-Adj-SID Sub-TLV的格式如图2-12所示。

图 2-12 LAN-Adj-SID Sub-TLV 格式
0 7 15 23 31
Type Length Flags Weight
System-ID
(6 octets)
SID/Label Sub-TLV
SID/Label Sub-TLV包含一个SID或MPLS Label。SID/Label Sub-TLV是SR-Capabilities
Sub-TLV和SR Local Block Sub-TLV的一部分。
SID/Label Sub-TLV的格式如图2-13所示。
图 2-13 SID/Label Sub-TLV 格式
0 7 15 23 31
Type Length
SID/Label (variable)
表 2-8 SID/Label Sub-TLV 字段解释

SID/Label 可变长度如果Length字段设置为3，则最右边的20位用于标记

(variable) MPLS标签值。
IS-IS 对于 SR 能力的 TLV 扩展

SR-Capabilities Sub-TLV
Segment Routing要求各个网元都通告自己的SR能力和全局SID范围（或者全局标签索
引值），为了实现上述要求，新定义SR-Capabilities Sub-TLV，并且通过嵌入IS-IS
Router Capability TLV-242进行传递。SR-Capabilities Sub-TLV只能在同一个IS-IS级别里
传播，不能传播到该级别区域之外。
SR-Capabilities Sub-TLV的格式如图2-14所示。
图 2-14 SR-Capabilities Sub-TLV 格式
0 7 15 23 31
Type Length Flags
Range
SID/Label Sub-TLV (variable)

表 2-9 SR-Capabilities Sub-TLV 字段解释

Flags
I V
l I：MPLS IPv4标志。如果置位，表示可以处理从所有
接口收到的SR MPLS IPv4报文。
l V：MPLS IPv6标志。如果置位，表示可以处理从所有
接口收到的SR MPLS IPv6报文。
Range 8比特 SRGB范围。

初始节点发布如下范围的几个SR-Capability。
SR-Capability 1：Range: 100, SID value: 100
接收节点把上述范围连接起来，并且生成SRGB。
SRGB = [100, 199]
[1000, 1099]
[500, 599]
则不同的标签索引可能会跨越多个Range。
索引0表示标签100
...
...
...
SID/Label 可变长度参考SID/Label Sub-TLV。包含SRGB的起始值。配置多

Sub-TLV 个SRGB时，需要保证SRGB的顺序不能紊乱，同时多个
(variable) SRGB不能出现交叠。
SR-Algorithm Sub-TLV
网元可能使用不同的算法来计算到其他节点/前缀的可达信息，比如最短路径优先SPF
（Shortest Path First）算法，以及各种SPF的变种算法等。通过新定义的SR-Algorithm
Sub-TLV，网元可以对外通告自己使用的算法，SR-Algorithm Sub-TLV也通过嵌入IS-IS
Router Capability TLV-242进行传递。SR-Algorithm Sub-TLV只能在同一个IS-IS级别里
传播，不能传播到该级别区域之外。
SR-Algorithm Sub-TLV的格式如图2-16所示。

图 2-16 SR-Algorithm Sub-TLV 格式
0 7 15 23 31
Type Length
Algorithm 1 Algorithm 2 Algorithm ... Algorithm n
表 2-10 SR-Algorithm Sub-TLV 字段解释

SR Local Block Sub-TLV

SR Local Block Sub-TLV中包含了网元为本地SID预留的标签范围。本地SID用于
Adjacency SID，也可能是由其他组件分配，比如，其他应用（APP）或控制器可能会
指示网元分配一个特殊的本地SID。因此，为了让APP或控制器知道哪些本地SID在本
网元可用，网元有必要对外通告SRLB（SR Local Block）。
SR Local Block Sub-TLV的格式如图2-17所示。
图 2-17 SR Local Block Sub-TLV 格式
0 7 15 23 31
Type Length Flags
Range 一个
SID/Label Sub-TLV (variable) 或多个
表 2-11 SR Local Block Sub-TLV 字段解释

Flags 8比特标志位。当前未定义。
Range 8比特 SRLB范围。
SID/Label 可变长度参考SID/Label Sub-TLV。包含SRLB的起始值。配置多

Sub-TLV 个SRLB时，需要保证SRLB的顺序不能紊乱，同时多个
(variable) SRLB不能出现交叠。

网元通告的SRLB TLV也可能有其他标签范围，不在SRLB范围内，可能是用于本地分
配，所以不在SRLB中通告。例如，有可能Adjacency SID被分配了一个本地标签，而不
是SRLB范围内的标签。
基于 IS-IS 创建 SR LSP
同一个IGP域建立SR LSP
如图2-18所示，各设备间运行IS-IS协议，Segment Routing要求每台设备发布SR能力和
支持SR的标签范围（SRGB），而且发布端需要发布SRGB范围内的偏移值Prefix SID，
接收端计算真实的标签值用于生产转发表项。
图 2-18 IS-IS Segment Routing LSP 创建示意图

SRGB SRGB
[26000-65535] [36000-65535]
Device B Device C
SRGB SRGB
[16000-23999] [16000-65535]
Device D
Device A Loopback X.X.X.X
Prefix SID=100
Device E Device F
DeviceA至F部署在同一个Level层级中，所有设备采用IS-IS互连，同时部署Segment
Routing Tunnel，并且Tunnel的方向是DeviceA->DeviceD。
在DeviceD上配置SRGB，在DeviceD的Loopback口配置Prefix SID，DeviceD将SRGB和
Prefix SID封装到LSP报文（如包含SR-Capabilities Sub-TLV的IS-IS Router Capability
TLV-242），DeviceD将LSP报文向全网扩散，网络中其他设备接收到SRGB和Prefix
SID，计算转发标签，使用IS-IS拓扑，采用Dijkstra算法，计算标签转发路径，生成LSP
转发表项。
跨IGP域建立SR LSP
如图2-19所示，由于IS-IS的报文的泛洪范围是区域内，为了跨区域建立Segment
Routing LSP，需要将前缀SID通过渗透跨区域传播。

图 2-19 IS-IS 跨 IGP 区域 Segment Routing LSP 创建示意图

SRGB SRGB
[26000-65535] [36000-65535]
Device B Device C
Level-1/2 Level-1/2
SRGB SRGB
[16000-23999] [16000-65535]
Device D
Area2 Level-1
Device A Loopback X.X.X.X
Area1 Level-1 Prefix SID=100
Device E Device F
DeviceA和DeviceD部署在不同区域中，所有设备采用IS-IS互连，同时部署Segment
Routing Tunnel，并且Tunnel的方向是DeviceA->DeviceD。
在DeviceD上配置SRGB，在DeviceD的Loopback口配置Prefix SID，DeviceD生成并下发
转发表项，DeviceD将SRGB和Prefix SID封装到LSP报文（如包含SR-Capabilities Sub-
TLV的IS-IS Router Capability TLV-242）；DeviceC将解析Prefix SID，计算转发表项并
下发，同时将Prefix SID连同Prefix渗透到Level-2；DeviceB解析Prefix SID，计算转发表
项并下发，同时将Prefix SID连同Prefix渗透到Level-1；DeviceA解析Prefix SID，使用
IS-IS拓扑，采用Dijkstra算法，计算标签转发路径；生成LSP转发表项。
2.1.2.4 OSPF for SR
SR使用IGP协议进行拓扑信息、前缀信息、SRGB和标签信息的通告。IGP协议为了完
成上述功能，对于协议报文的TLV进行了一些扩展。OSPF协议主要定义了针对SID和
网元SR能力的TLV和子TLV（Sub-TLV）。具体如表2-12所示。
表 2-12 OSPF 针对 SR 的 TLV 扩展

类型名称作用携带位置
TLV SR-Algorithm 用于对外通告自己使用 Router Information Opaque

TLV 的算法。 LSA
SID/Label 用于通告SR的SID或 Router Information Opaque

Range TLV MPLS Label范围。 LSA
SR Local Block 用于通告网元为本地 Router Information Opaque

TLV SID预留的标签范围。 LSA
SRMS 用于通告网元做为SR Router Information Opaque

Preference TLV Mapping Server的优先 LSA
级。

类型名称作用携带位置
Sub-TLV SID/Label Sub- 用于通告SR的SID或 l SID/Label Range TLV

TLV MPLS Label。 l SR Local Block TLV
l OSPFv2 Extended Prefix
Opaque LSA中的OSPFv2
Extended Prefix TLV和
OSPF Extended Prefix
Range TLV
l OSPFv2 Extended Link
Opaque LSA中的OSPFv2
Extended Link TLV
Prefix SID Sub- 用于通告SR的Prefix OSPFv2 Extended Prefix

TLV SID。 Opaque LSA中的OSPFv2
Extended Prefix TLV和OSPF
Extended Prefix Range TLV
Adj-SID Sub- 用于在P2P网络中通告 OSPFv2 Extended Link

TLV SR的Adjacency SID。 Opaque LSA中的OSPFv2
Extended Link TLV
LAN Adj-SID 用于在LAN网络中通告 OSPFv2 Extended Link

Sub-TLV SR的Adjacency SID。 Opaque LSA中的OSPFv2
Extended Link TLV
SR-Algorithm TLV
网元可能使用不同的算法来计算到其他节点/前缀的可达信息，比如最短路径优先SPF
（Shortest Path First）算法，以及各种SPF的变种算法等。通过新定义的SR-Algorithm
TLV，网元可以对外通告自己使用的算法。
SR-Algorithm TLV的格式如图2-20所示。
图 2-20 SR-Algorithm TLV 格式
0 7 15 23 31
Type Length
Algorithm 1 Algorithm 2 Algorithm ... Algorithm n
表 2-13 SR-Algorithm TLV 字段解释
Type 16比特 TLV类型值。

SID/Label Range TLV

SID/Label Range TLV用于一次发布多个SID/Label，也可以称为是一个SID/Label范围。
SID/Label Range TLV的格式如图2-21所示。
图 2-21 SID/Label Range TLV 格式
0 7 15 23 31
Type Length
Range Size Reserved
Sub-TLVs (variable)
表 2-14 SID/Label Range TLV 字段解释
Range Size 24比特 SRLB范围。
Reserved 8比特预留字段。
Sub-TLV 可变长度当前主要是SID/Label Sub-TLV。包含SID/Label的起始

(variable) 值。
此字段和Range Size字段共同决定一个SID/Label空间。
SR Local Block TLV

SR Local Block TLV中包含了网元为本地SID预留的标签范围。本地SID用于Adjacency
SID，也可能是由其他组件分配，比如，其他应用（APP）或控制器可能会指示网元分
配一个特殊的本地SID。因此，为了让APP或控制器知道哪些本地SID在本网元可用，
网元有必要对外通告SRLB（SR Local Block）。
SR Local Block TLV的格式如图2-22所示。
图 2-22 SR Local Block TLV 格式
0 7 15 23 31
Type Length
Range Size Reserved
Sub-TLVs (variable)
表 2-15 SR Local Block TLV 字段解释

Range Size 24比特 SRLB范围。
Sub-TLV 可变长度当前主要是SID/Label Sub-TLV。包含SRLB的起始值。

(variable) 配置多个SRLB时，需要保证SRLB的顺序不能紊乱，同
时多个SRLB不能出现交叠。
SRMS Preference TLV

SRMS Preference TLV用来通告本节点作为SR Mapping Server的优先级，用于SR
Mapping Server的竞选。SRMS Preference TLV的格式如图2-23所示。
图 2-23 SRMS Preference TLV 格式
0 7 15 23 31
Type Length
Preference Reserved
表 2-16 SRMS Preference TLV 字段解释

Length 4字节报文长度。
Preference 8比特 SR Mapping Server的优先级。
SID/Label Sub-TLV
SID/Label Sub-TLV包含一个SID或MPLS Label。SID/Label Sub-TLV的格式如图2-24所
示。
图 2-24 SID/Label Sub-TLV 格式
0 7 15 23 31
Type Length
SID/Label (variable)

表 2-17 SID/Label Sub-TLV 字段解释

Length 3或4字节报文长度。
SID/Label 可变长度如果Length字段设置为3，则此字段最右边的20位用于标

(variable) 记MPLS标签值。
如果Length字段设置为4，则此字段代表32位的SID。
Prefix SID Sub-TLV

Prefix-SID sub-TLV携带IGP-Prefix-SID信息，其格式如图2-25所示。
图 2-25 Prefix-SID Sub-TLV 格式
0 7 15 23 31
Type Length
Flags Reserved MT-ID Algorithm
SID/Index/Label (variable)
表 2-18 Prefix-SID Sub-TLV 字段解释


Flags
NP M E V L
l NP：No-PHP（Penultimate Hop Popping，倒数第二跳
弹出）标志。如果置位，不启用倒数第二跳弹出特
性，倒数第二跳在转发报文给Egress节点时，不能弹
出Egress节点标签。
l M：Mapping Server标记。如果置位，表示SID是由一
个Mapping Server发布。
l E：显式空标签（Explicit-Null）标志。如果置位，则
启用显式空标签特性，上游邻居在转发报文时，必须
把标签替换为显式空标签。
l V：Value标志。如果置位，则Prefix-SID携带Value，
代替索引（Index）。缺省未置位。
l L：Local标志。如果置位，表示Prefix-SID携带的
Value/Index具有本地意义。缺省未置位。
在计算前缀的出标签时，必须考虑下一跳设备发布的
Prefix-SID的NP和E标志位，不论到达此前缀的最佳路径
是否经过此下一跳。
下列行为与P和E标志位设置相关：
l 如果NP标志未置位，则任何Prefix-SID生成者的上游
邻居必须弹出对应的Prefix-SID标签，这相当于MPLS
转发里的PHP机制。MPLS EXP位也被清除。同时如
果P标志未置位，则接收的E标志位也被忽略。
l 如果NP标志置位，然后：
– E标志未置位，则任何Prefix-SID生成者的上游邻居
必须保留对应的Prefix-SID标签在标签栈顶。这种
方式可能用于路径粘连，比如Prefix-SID生成者可
能使用该标签将报文转到其他的MPLS LSP中。
– E标志置位，则任何Prefix-SID生成者的上游邻居必
须将对应的Prefix-SID标签替换为显式空标签。此
种方式下可以保留MPLS EXP标志位，如果Prefix-
SID生成者就是报文的目的地址，则可以接收到原
始MPLS EXP。MPLS EXP标志可以用于QoS服
务。
MT-ID 8比特多拓扑ID。


l 0：Shortest Path First，最短路径算法
l 1：Strict Shortest Path First，严格最短路径算法。

Label l SID/Label范围内的4字节的标签偏移值。此时，V和L
(variable) 都不能置位。
l 一个3字节的本地标签，最右边的20位用于标记标签
值。此时，V和L都必须置位。
Adj-SID Sub-TLV
Adj-SID Sub-TLV是一个可选子TLV，携带了IGP Adjacency SID信息，其格式如图2-27
所示。
图 2-27 Adj-SID Sub-TLV 格式
0 7 15 23 31
Type Length
Flags Reserved MT-ID Weight
表 2-19 Adj-SID Sub-TLV 字段解释


Flags
B V L G P
l B：备份标志。如果置位，Adj-SID用于保护其他节
点。
l V：Value/Index标志。如果置位，则Adj-SID携带标签
值Value。如果未置位，则Adj-SID携带一个相对的索
引值。
l L：Local/Global标志。如果置位，表示Adj-SID携带的
Value/Index具有本地意义。如果未置位，表示Adj-SID
携带的Value/Index具有全局意义。
l G：组标志。如果置位，表示Adj-SID代表一个
Adjacency组。
l P：永久标志。如果置位，表示Adj-SID是一个永久分
配的SID，无论设备重启或接口震荡该SID都不变化。
MT-ID 8比特多拓扑ID。
Weight 8比特权重。代表Adj-SID权重，可以用于负载分担。

Label l 一个3字节的本地标签，最右边的20位用于标记标签
(variable) 值。此时，V和L都必须置位。
l SID/Label范围内的4字节的标签偏移值。此时，V和L
都不能置位。
LAN Adj-SID Sub-TLV

在Segment Routing实现中，每一个网元需要发布到所有邻居的Adj-SID。在broadcast、
NBMA或混合网络中，LAN-Adj-SID Sub-TLV用来向非DR设备发送SID/Label信息。
LAN-Adj-SID Sub-TLV的格式如图2-29所示。与Adj-SID Sub-TLV相比，LAN Adj-SID
Sub-TLV的报文多了一个Neighbor ID字段，用来表示发布LAN Adj-SID Sub-TLV的设备
的Router ID。

图 2-29 LAN-Adj-SID Sub-TLV 格式
0 7 15 23 31
Type Length
Flags Reserved MT-ID Weight
Neighbor ID
2.1.2.5 SR-TE
分段路由流量工程SR-TE（Segment Routing-Traffic Engineering）是使用SR作为控制协

议的一种新型的TE隧道技术。控制器负责计算隧道的转发路径，并将与路径严格对应
的标签栈下发给转发器。在SR-TE隧道的入节点上，转发器根据标签栈，即可控制报文
在网络中的传输路径。
SR-TE 优势
随着SDN的发展，普通的RSVP-TE存在的不足已经不能满足快速发展的需求，而SR-
TE作为一种新型的MPLS TE隧道技术，有着独特的优势，具体如表2-20所示。
表 2-20 SR-TE 与 RSVP-TE 的比较

比较项 SR-TE RSVP-TE
标签分通过IGP协议扩展进行标签分配和通过MPLS协议扩展进行标签分配

配扩散。每条链路仅分配一个标签，和扩散。每条LSP分配一个标签，
所有的LSP共用这一个标签，减少当有多条LSP时，同一条链路上需
了标签资源的占用，减轻了标签转要分配多个标签，标签资源占用的
发表的维护工作量。多，标签转发表的维护工作量大。
控制平信令控制协议为IGP协议扩展，无需要RSVP-TE作为MPLS的控制协

面需专门的MPLS的控制协议，减少议，控制平面较复杂。
协议数量。
可扩展网络中间设备不感知隧道，隧道信需要维护隧道状态信息，也需要维

性息携带在每个报文中，无需维护隧护转发表项，可扩展性差。
道状态信息，只需维护转发表项，
可扩展性强。
路径调网络中间设备不感知隧道，仅通过无论是正常业务调整还是故障场景

整和控对入节点的报文进行标签操作即可的被动路径调整，都需逐节点下发
制任意控制业务路径，无需逐节点下配置。
发配置。
当路径中的某个节点发生故障，由
控制器重新计算路径并更新入节点
的标签栈，即可完成路径调整。
相关概念
标签栈

标签栈是标签的排序集合，用于标识一条完整的标签交换路径LSP（Label Switched
Path）。标签栈中每一个邻接标签标识一条具体的邻接，整个标签栈标识了整条转发路
径LSP的所有邻接。在报文转发过程中，通过标签栈中每个邻接标签查找对应的邻接，
并将标签弹出后转发，将标签栈中所有邻接标签弹出后，报文就走完了整条LSP，到达
SR-TE隧道的目的地。
粘连标签与粘连节点
当标签栈深度超过转发器所支持的标签栈深度时，一个标签栈无法携带整条LSP的邻接
标签，控制器需要为转发器分配多个标签栈，在合适的节点下发标签栈的同时分配一
种特殊的标签，然后将这些标签栈关联起来，实现逐段转发。这种特殊的标签称为粘
连标签，这个合适的节点称为粘连节点。
控制器为粘连节点分配粘连标签，并将其压在标签栈底，当报文转发至粘连节点时，
根据粘连标签与标签栈的关联关系，用新的标签栈交换该粘连标签，继续指导下一段
转发。
2.1.2.5.1 拓扑收集与标签分配
网络拓扑收集方式
网络拓扑收集方式可以分为两种：
l BGP-LS上报网络拓扑信息：转发器的IGP协议收集网络拓扑信息，通过BGP-LS将
网络拓扑信息上报给控制器。
l IGP协议上报网络拓扑信息：转发器的IGP协议收集网络拓扑信息，当控制器与转
发器均配置IGP协议后，转发器通过IGP协议将网络拓扑信息上报给控制器。
标签分配方式
转发器的IGP协议分配标签，并将分配的标签上报给控制器。SR-TE主要使用邻接标签
（Adjacency Segment），也可以使用节点标签。邻接标签是源节点分配的，只在本地
有效，并且具有一定的方向性。节点标签手工配置，全局有效。邻接标签和节点标签
都可以通过IGP协议扩散出去。如图2-30所示，邻接标签9003对应邻接PE1->P3，9003
是由PE1分配的；邻接标签9004对应邻接P3->PE1，9004是由P3分配的。

图 2-30 IGP 分配标签组网图
Controller
IGP P1 P2
PE1 9005 9006 PE2
9004
9003
9007
If1 If2
9002
P3 P4
Label：9002
Out Interface: If1 转发器分配标签
NextHop: P4 上报标签和网络拓扑信息
在PE1、P1、P2、P3、P4和PE2设备上分别使能IGP SR能力，相互之间建立邻居。对于
使能了SR能力的IGP实例，会对所有使能IGP协议的出接口分配SR邻接标签。邻接标签
通过IGP的SR协议扩展，泛洪到整个网络中。如图2-30所示，以P3设备为例，IGP分配
标签的具体过程如下：
1. P3的IGP协议为其邻接申请本地动态标签。例如，P3为邻接P3->P4分配的邻接标签
为9002。
2. P3的IGP协议发布邻接标签，泛洪到整个网络。
3. P3上生成邻接标签对应的标签转发表。
4. 网络中的其它设备的IGP协议学习到P3发布的邻接标签，但是不生成标签转发表。
PE1、P1、P2、P3、P4按照P3的方式分配和发布邻接标签，生成标签转发表。当设备
与控制器之间配置IGP协议，建立了邻居关系后，IGP引入带有SR标签信息的拓扑，向
控制器上报。
2.1.2.5.2 隧道创建
SR-TE 隧道
SR-TE（Segment Routing Traffic Engineering）是指基于TE的约束属性，利用SR协议创
建的隧道。

图 2-31 SR-TE 隧道
P1 P2
PE1 PE2
SR-TE Tunnel
P3 P4
Primary LSP
Backup LSP
如图2-31所示，有两条LSP，其中一条路径PE1->P1->P2->PE2作为主路径，另外一条
PE1->P3->P4->PE2作为备份路径，而两条LSP隧道都对应同一个隧道ID的SR-TE隧道。
LSP的起始节点称为入节点，位于LSP中间的节点称为中间节点，LSP的末节点称为出
节点。
SR-TE隧道创建包括隧道配置和隧道建立。在SR-TE隧道创建之前，需要在各转发器之
间建立IS-IS邻居关系，实现网络层互通，完成标签的分配以及网络拓扑信息的收集，
并将标签和网络拓扑信息上送给控制器，供控制器进行路径计算。
SR-TE 隧道配置
SR-TE隧道的属性是创建隧道的依据。SR-TE隧道可以在控制器上配置，也可以在转发
器上配置。
l 控制器上配置隧道
在控制器上进行SR-TE隧道配置后，控制器将隧道属性通过NETCONF下发给转发
器（如图2-32所示），转发器通过PCEP协议将隧道托管给控制器进行管理。
l 转发器上配置隧道
在转发器上进行SR-TE隧道配置后，转发器将隧道托管给控制器进行管理。
SR-TE 隧道建立
当配置了某种业务（VPN）时，该业务需要绑定到SR-TE隧道，将按照以下过程建立
SR-TE隧道，如图2-32所示。

图 2-32 控制器通过 Netconf 下发隧道配置信息创建隧道原理图

Controller
1
BGP-LS 1005
1009
2 1010
NETCONF PCEP P1 P2
1005
1005
4 10 0
100 04 1080
PE1 8 PE2
10 ISIS
3 1006 1009
1009
1003 100 10
1006 1030 1 0 10
3 10
100 1007
1007
P3 P4
通过BGP-LS上报标签、通过PCEP下发标签栈、
网络拓扑信息上报LSP状态
通过Netconf下发隧道配
SR-TE隧道的LSP路径
置信息
隧道创建过程：
1. 控制器基于SR-TE的隧道约束属性，通过路径计算单元PCE（Path Computation
Element）进行类似普通TE的路径计算，计算出来的路径根据拓扑和邻接标签，将
整条路径的邻接标签整合在一起，生成一个标签栈（即算路结果）。
当标签栈深度超过转发器所支持的标签栈深度时，一个标签栈无法携带所有的邻
接标签，则控制器需要将整条路径分为多个标签栈携带。
如图2-32所示，控制器计算出SR-TE隧道路径为PE1->P3->P1->P2->P4->PE2，对应
2个标签栈{1003,1006,100}和{1005,1009,1010}，其中100为粘连标签，其他为邻接
标签。
2. 控制器通过NETCONF将标签栈下发给转发器。
如图2-32所示，控制器下发标签栈的过程如下：
a. 控制器将标签栈{1005,1009,1010}下发给粘连节点P1，并分配一个100的粘连
标签与该标签栈关联，将100作为PE1上标签栈的栈底。
b. 控制器将标签栈{1003,1006,100}下发给入节点PE1。
3. 转发器根据控制器下发的标签栈建立SR-TE隧道LSP。
说明
SR-TE隧道不支持MTU的协商，因此必须由用户保证路径上MTU的一致性。对于手工配置的SR-
TE隧道，可以在Tunnel下手工配置MTU，如果不手工配置MTU，取MTU的默认值1500bytes。手
工SR-TE隧道，取下列值中的最小值：Tunnel的MTU、Tunnel的MPLS MTU、出接口的MTU和出
接口的MPLS MTU。

2.1.2.5.3 数据转发
转发器上根据SR-TE隧道LSP对应的标签栈，对报文进行标签操作，并根据栈顶标签逐
跳查找转发出接口，指导数据报文转发到隧道目的地址。
SR-TE 的数据转发（基于邻接标签）
以图2-33为例，说明手工指定邻接标签方式下SR-TE的数据转发过程。
图 2-33 SR-TE 数据报文转发示意图（基于邻接标签）

Controller
1005
1009 1009
1010 1010
NETCONF
Payload Payload
C D G
1005
1004 1008
A 1011
1006 1009
1003 1003 1010

1006
1007
100 B E F
Payload 1006 1010 Payload
100 Payload
Payload
下发标签栈给入节点、粘连节点
如图2-33所示，控制器计算出SR-TE隧道路径为A->B->C->D->E->F，对应2个标签栈
{1003,1006,100}和{1005,1009,1010}，分别下发给入节点A和粘连节点C。其中，100为
粘连标签，与标签栈{1005,1009,1010}相关联，其他为邻接标签。这种方式的SR-TE数
据报文转发过程概述如下：
1. 入节点A为数据报文添加标签栈{1003,1006,100}，然后根据栈顶的标签1003匹配邻
接，找到对应的转发出接口为A->B邻接，之后将标签1003弹出。报文携带标签栈
{1006,100}，通过A->B邻接向下游节点B转发。
2. 中间节点B收到报文后，根据栈顶的标签1006匹配邻接，找到对应的转发出接口为
B->C邻接，之后将标签1006弹出。报文携带标签栈{100}，通过B->C邻接向下游
节点C转发。
3. 粘连节点C收到报文后，通过查询粘连标签表项识别出栈顶标签100为粘连标签，
将粘连标签100交换为与其关联的标签栈{1005,1009,1010}，然后根据新的栈顶标
签1005匹配邻接，找到对应的转发出接口为C->D邻接，之后将标签1005弹出。报
文携带标签栈{1009,1010}，通过C->D邻接向下游节点D转发。关于粘连节点和粘
连标签的详细介绍，请参考2.1.2.5 SR-TE。
4. 节点D、E收到报文后，以与中间节点B相同的方式继续转发。直到节点E弹出最后
一个标签1010，数据报文转发至节点F。

5. 出节点F收到的报文不带标签，通过查找路由表继续转发。
从以上描述可以看出，通过手工指定邻接标签，设备将严格按照标签栈里指定的显式
路径逐跳转发，所以这种也称作严格路径方式的SR-TE。
SR-TE 的数据转发（基于节点+邻接标签）
严格路径方式的SR-TE没有HotStandby LSP，在存在等价路径的情况下，也无法进行负
载分担，在SR-TE路径里引入节点标签后，可以弥补上述不足。
手工指定节点标签+邻接标签混合标签栈，可指定跨网元的节点标签，控制器通过
PCEP或Netconf下发给转发器首节点，转发器基于该标签栈，逐跳查找出接口弹出标
签，指导数据报文进行转发到隧道目的地址。
图 2-34 SR-TE 数据报文转发示意图（基于节点+邻接标签）

Controller
101(node)
NETCONF
1005(adj)
Payload 201(node)
101(node)
C D Payload G
Payload 1005
1008
1004
A 301(node) Payload 1011

1006 1009
Payload
1003(adj)
1006(adj) 1003 1010
1005(adj) 1007 Payload

101(node) B E F
1006(adj)
Payload
1005(adj)
下发标签栈给入节点、负载
101(node) 分担节点
Payload
如图2-34所示，手工指定的混合标签栈，在A节点入隧道的混合标签栈为
{1003,1006,1005,101}，其中1003、1006、1005为邻接标签，101为节点标签。
1. 在A号节点根据栈顶邻接标签1003，查找对应的A-B的出接口，将1003标签弹出剩
余报文转发出去，发送到下一跳B节点；
2. 在B节点类似A节点动作，根据栈顶标签1006，找到对应出接口，将1006标签弹出
转发出去，发送到下一跳C节点；
3. 在C节点类似A节点动作，根据栈顶标签1005，找到对应出接口，将1005标签弹出
转发出去，发送到下一跳D节点；
4. 在D节点上，处理栈顶节点标签101，在D节点标签101为到G节点的链路负载分担
标签，将101标签分别交换成201和301标签，发送给E、G节点，流量报文根据其IP
五元组，哈希到相应链路上；

5. 在E、G节点上，收到201、301的节点标签后，根据对应的标签做对应动作，交换
为下一跳的节点标签，由于这两个节点为倒数第二跳，直接将标签弹出后报文发
送给F节点，完成端到端路径的流量转发。
从以上描述可以看出，通过手工指定节点标签+邻接标签，设备在处理节点标签时，可
以按照最短路径进行转发，也可以进行负载分担，其路径并不是严格固定，所以这种
也称作松散路径方式的SR-TE。
2.1.2.6 流量导入
在SR LSP或者SR-TE隧道建立成功以后，还需要将业务流量引入SR LSP或者SR-TE隧

道。常用方法有静态路由、隧道策略、自动路由等。常见业务有公网业务、EVPN、
L2VPN和L3VPN等。
表 2-21 隧道支持情况
引流方式\隧道类型 SR LSP SR-TE隧道
静态路由无Tunnel接口，所以不能使有Tunnel接口，可以使用。

用。
隧道策略可以使用隧道选择器，不能使可以使用隧道选择器和隧道绑

用隧道绑定策略。定策略。
自动路由无Tunnel接口，所以不能使有Tunnel接口，可以使用。

用。
策略路由无Tunnel接口，所以不能使有Tunnel接口，可以使用。

用。
静态路由
SR-TE隧道上的静态路由没有什么特殊之处，它的工作方式和普通的静态路由一样。配
置静态路由时，路由的出接口设置为SR-TE隧道的接口，即可将按照该路由转发的流量
导入SR-TE隧道。
隧道策略
VPN流量通过隧道进行转发时，默认采用LDP LSP而非SR LSP或者SR-TE隧道。如果
默认情况不能满足VPN的需求，需要对VPN应用隧道策略，将VPN流量引入到SR LSP
或者SR-TE隧道中。
目前隧道策略包含如下两种，可以根据需要选择其中一种进行配置。
l 按优先级顺序选择（Select-seq）方式：该策略可以改变VPN选择的隧道类型，按
照配置的隧道类型优先级顺序将SR LSP或者SR-TE隧道选择为VPN的公网隧道。
如果不存在LDP LSP，则默认选择SR LSP。
l 隧道绑定（Tunnel Binding）方式：该策略可以为VPN绑定SR-TE隧道以保证
QoS，将某个目的地址与某条SR-TE隧道进行绑定。

自动路由
自动路由是指将SR-TE隧道看作逻辑链路参与IGP路由计算，使用隧道接口作为路由出
接口。根据网络规划来决定某节点设备是否将LSP链路发布给邻居节点用于指导报文转
发，配置自动路由方式有两种：
l 转发捷径：此方式不将SR-TE隧道发布给邻居节点，因此，SR-TE隧道只能参与本
地的路由计算，其他节点不能使用此隧道。
l 转发邻接：此方式将SR-TE隧道发布给邻居节点，因此，SR-TE隧道将参与全局的
路由计算，其他节点也能使用此隧道。
说明
l 转发捷径和转发邻接互斥，不能同时使用。
l 配置转发邻接时，由于路由协议需要对链路进行双向检查，转发邻接将LSP链路发布给其他
节点，此时需要再配置一条返回的Tunnel，构成双向Tunnel，并分别使能这两条隧道的转发
邻接。
策略路由
策略路由根据用户制定的策略进行路由选择，可应用于安全、负载分担等目的。在SR
网络中，可使符合过滤条件的IP报文通过指定的LSP路径转发。
SR-TE的策略路由的定义和IP单播策略路由完全一样，可以通过定义一系列匹配的规则
和动作来实现，即将apply语句的出接口设置为SR-TE隧道的接口。如果报文不匹配策
略路由规则，将进行正常IP转发；如果报文匹配策略路由规则，则报文直接从指定隧
道转发。
2.1.2.6.1 公网 IP 迭代 SR LSP
BGP 公网路由迭代 SR LSP

当用户访问互联网时，如果报文采用IP转发的话，则从用户到互联网上的核心设备都
需要学习到大量的互联网路由，这给核心设备带来了很大的负担，影响核心设备的性
能。为了解决这个问题，可以在用户的接入设备上配置非标签公网BGP路由或者非标
签公网静态路由迭代SR LSP功能，让用户通过隧道转发访问互联网，这样就能解决核
心设备性能不足，压力过大或者不希望核心路由器承载业务等问题。
图 2-35 BGP 公网路由迭代 SR LSP 示意图

SRGB SRGB SRGB SRGB
[16000-65535] [26000-65535] [36000-65535] [16000-65535]
PE1 P1 Segment P2 PE2
Routing
Loopback
X.X.X.X
Internet Prefix SID=100
BGP
26100 36100 16100

IP head IP head IP head IP head IP head

如图2-35所示，按照下面的方式部署：
l PE、P路由器端到端部署IGP、Segment Routing，建立SR LSP。
l 在PE路由器之间建立BGP Peer，学习对端路由。
l BGP业务路由在PE处迭代SR LSP。
静态路由迭代 SR LSP
静态路由的下一跳有可能不是直接可达的，这样的路由是不能指导转发的，需要进行
迭代。如果允许静态路由迭代SR LSP，则可以进行标签转发。
图 2-36 静态路由迭代 SR LSP 示意图

SRGB SRGB SRGB SRGB
[16000-65535] [26000-65535] [36000-65535] [16000-65535]
PE1 P1 Segment P2 PE2
Routing
Loopback
X.X.X.X
Internet Prefix SID=100
26100 36100 16100

如图2-36所示，按照下面的方式部署：
l PE、P路由器端到端部署IGP、Segment Routing，PE1建立到PE2目的地址为
Loopback口地址的SR LSP。
l 在PE1上配置静态路由，指定下一跳为PE2的Loopback口地址。
l 收到IP报文后封装标签，通过SR隧道进行报文转发。
2.1.2.6.2 L3VPN 迭代 SR LSP
基本 VPN 迭代 SR LSP
当用户访问互联网时，如果报文采用IP转发的话，则从用户到互联网的核心设备都需
要学习到大量的互联网路由，这给核心设备带来了很大的负担，影响核心设备的性
能。为了解决这个问题，可以配置VPN迭代SR LSP功能，让用户通过隧道访问互联
网。

图 2-37 基本 VPN 迭代 SR LSP 示意图

SRGB SRGB SRGB SRGB
[16000-65535] [26000-65535] [36000-65535] [16000-65535]
PE1 P1 Segment P2 PE2 Loopback
Routing X.X.X.X
Prefix SID=100
CE1 CE2
BGP
26100 36100
Label Z Label Z Label Z
如图2-37所示，网络是由一些不连续的L3子网VPN组成，中间跨域骨干网络，在PE之
间建立SR隧道，用于转发L3VPN私网报文。PE设备使用BGP学习私网VPN路由。具体
部署如下：
l PE两端部署IS-IS，实现路由可达。
l PE两端建立BGP邻居，学习对端VPN路由。
l PE建立IS-IS SR隧道，实现公网标签分配，并计算标签转发路径。
l 通过BGP协议为VPN分配一个私网标签，例如Label Z。
l 私网路由迭代到SR隧道。
l PE1收到IP报文，封装私网标签，封装SR公网标签，按照标签转发路径进行转
发。
HVPN
随着网络规模的不断扩大，业务种类不断增加，部署PE设备经常会遇到接入能力或者
路由能力的扩展性问题，从而导致整个网络的性能和可扩展性将受到影响，不利于大
规模部署VPN。如图2-38所示，HVPN是具有层次化的VPN网络，由多个PE承担不同的
角色，并形成层次结构，共同完成一个PE的功能，以降低对PE设备的性能要求。
图 2-38 HVPN
SRGB SRGB
[16000-65535] Lv Lu [16000-65535]
L4 L3
UPE SPE NPE
Payload Payload
SRGB
Payload [16000-65535] Payload
CE2
CE1
VPN1 VPN1
Site 1 Site 2

如图2-38所示，具体部署如下：
l UPE/SPE/NPE设备之间建立BGP Peer，并建立SR隧道。
l 在SPE设备，将VPNv4路由迭代到SR隧道。
HVPN报文转发过程（CE1向CE2发送报文）如下：
1. CE1向NPE发送一个VPN报文。
2. UPE收到报文后，查询私网转发表，通过匹配报文目的地址，查找到用于转发报
文的隧道，然后给报文打上私网标签L4和外层MPLS隧道标签Lv，通过隧道将报
文发给SPE，标签栈为L4/Lv；
3. SPE收到报文后，弹出外层MPLS隧道标签Lv，交换私网标签为L3，打上外层
MPLS隧道标签Lu，沿隧道将报文转发给NPE，标签栈为L3/Lu；
4. NPE收到报文后，弹出外层MPLS隧道标签Lu，根据内层标签L3找到对应的VPN实
例，然后根据报文目的地址在该VPN实例的私网转发表中查找到出接口。NPE将
报文从对应出接口发送给CE2。此时报文为纯IP报文。
VPN FRR
如图2-39所示，PE1设备将最优的PE3发布的路由信息和次优的PE4发布的路由信息都
填写在转发项中，其中最优的路由用于指导业务流量转发，而次优路由用于作为备份
路由。
图 2-39 VPN FRR 组网
PE1 P1 P3 PE3
LSP1
LSP2
CE1 CE2
LSP3
PE2 P2 P4 PE4
表 2-22 典型故障触发的倒换场景
故障点保护倒换
P1->P3链路故障由于不支持BFD for SR-BE，所以PE1无

法感知隧道Down，不能进行VPN FRR切
换到PE4，如图2-39中路径LSP3。
如果配置了IS-IS FRR，则会在P1设备上
进行FRR切换，切换后的流量途经PE1-
>P1->P2->P4->P3->PE3，如图2-39中路
径LSP2。

故障点保护倒换
PE3节点故障由于PE3节点故障，LSP1无法进行FRR切
换，也无法收敛，依赖PE1通过IS-IS协议
报文感知到PE3故障，重新收敛后隧道
Down，然后BGP切换到LSP3，途经PE1-
>CE1->PE2->P2->P4->PE4，如图2-39中
路径LSP3。
2.1.2.6.3 L2VPN 迭代 SR LSP
VPLS 迭代 SR LSP
VPLS的典型组网如图2-40所示，处于不同物理位置的用户通过接入不同的PE设备，实
现用户之间的互相通信。从用户的角度来看，整个VPLS网络就是一个二层交换网，用
户之间就像直接通过LAN互连在一起一样。用户通过配置VPLS迭代SR LSP，每个VPN
的各个Site之间建立虚连接，公网SR LSP建立，这样二层报文可以进入SR LSP转发。
图 2-40 VPLS 迭代 SR LSP 组网图
SRGB MPLS SRGB

[16000-65535] network [16000-65535]
PE2
PE1
Loopback X.X.X.X
Prefix SID=100
CE2
CE1
VPN1 VPN1
L2 head
Site1 Site2
16100
VC Label
L2 head L2 head L2 head
IP head IP head IP head
Payload Payload Payload
AC
PW
Segment Routing
VPLS迭代SR LSP流程如下：
l CE1发送经过二层封装的报文到PE1。
l PE1建立到PE2的端到端SR LSP。
l PE1配置隧道策略，选择SR LSP，VSI转发表项关联到SR转发表项。
l PE1收到报文，查找对应的VSI中的表项，为该报文选择隧道和PW。PE1根据选择
的隧道和PW，为该报文直接打上两层MPLS标签（外层Tunnel标签和内层VC标
签），再进行二层封装后转发。

l PE2收到从PE1发送来的报文，对该报文进行解封装。即去掉PE1的二层封装和两
层MPLS标签。
l PE2把解封装后的CE1原始二层报文发送给CE2。
HVPLS迭代SR LSP、VLL迭代SR LSP场景与VPLS迭代SR LSP流程类似，这里不再赘

述。
EVPN 迭代 SR LSP
EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术。EVPN
技术采用类似于BGP/MPLS IP VPN的机制，通过扩展BGP协议，使用扩展后的可达性
信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平
面。与VPLS相比，EVPN技术可以解决VPLS技术存在的无法实现负载分担、网络资源
消耗高的问题。
图 2-41 单播流量图
Public Label
Private Label
EVPN1 L2 Payload L2 Payload L2 Payload

EVPN1
Site1 CE1 PE1 PE2 CE2 Site2
如图2-41所示，当PE学到其他站点的MAC地址且公网SR LSP建立成功后，则可以向其
他站点传输单播报文，其具体传输过程如下：
1. CE1将单播报文以二层转发的方式发送至PE1；
2. PE1收到报文后，先封装MAC表项携带的私网标签，再封装SR公网标签，然后将
封装后的单播报文发送至PE2；
3. PE2收到封装后的单播报文后，将进行解封装，弹出私网标签，查对应私网MAC
表，找到相应的出接口。
2.1.2.7 SR 与 LDP 互通
SR作为一种新的替代MPLS的隧道技术受到越来越多的关注，很多用户希望引入SR技
术来简化网络部署和管理，降低CAPEX（Capital Expenditure）。
MPLS LDP作为当前主流的隧道技术，在承载网使用广泛。这样在SR逐渐替代LDP的
过程中，LDP和SR会在很长的一段时间共存。LDP网络和SR网络之间的互通成为一个
必须面对的问题。
SR与LDP互通是一项让Segment Routing和LDP协议在同一网络中共同工作的技术。通
过此技术可以让SR网络连接到LDP网络中，实现两个网络之间的MPLS转发。
要实现LDP网络和SR网络之间互通，则SR网络必须有设备代替不支持Segment Routing
的LDP设备发布SID，这个设备也称为Mapping Server。
l Mapping Server: 可以配置Prefix与SID的映射关系，并且发布给Mapping client。
l Mapping Client：接收Mapping Server发布的Prefix与SID的映射关系，创建映射表
项。

由于LSP都是单向的，所以SR与LDP互通包括两个关键部分：SR to LDP和LDP to SR，

以下分别介绍。
SR to LDP
图2-42详细描述了SR to LDP的端到端LSP创建过程。
图 2-42 SR to LDP 的端到端 LSP 创建过程

SRGB SRGB SRGB Loopback
[16000-65535] [26000-65535] [36000-65535] x.x.x.x
PE1 P1 P2 P3 PE2
1 LDP
2 LDP 给上游分标签
给上游分标签
创建到PE2的LDP
3
LSP
配置前缀x.x.x.x的
4
Mapping Server
5 发布 Mapping TLV
6 创建到P2的SR LSP
建立SR与LDP LSP
7
的映射
1. PE2上配置IP地址前缀，LDP为该前缀分配标签，并向上游P3发送标签映射消息。
2. P3为该前缀分配标签，并向上游P2发送标签映射消息。
3. P2接收到标签映射消息后，创建到PE2的LDP LSP。
4. P2上配置Mapping Server，将IP地址前缀携带的LDP标签映射为SID。
5. P2发布Mapping TLV到上游PE1。
6. PE1解析Mapping TLV，创建到P2的SR LSP。
7. P2上建立SR LSP与LDP LSP的映射关系。
在数据转发时，P2设备上没有到PE2的SR Label，所以P2根据Prefix与SID映射关系，
SR封装映射为LDP封装。
LDP to SR
图2-43详细描述了LDP to SR的端到端LSP创建过程。

图 2-43 LDP to SR 的端到端 LSP 创建过程

Loopback x.x.x.x
PrefixSID=100
SRGB SRGB SRGB
[16000-65535] [26000-65535] [36000-65535]
PE1 P1 P2 P3 PE2
1 发布
前缀和SID 2 发布
前缀和SID
3 创建到PE1的SR LSP
4 配置代理LDP Egress
5 LDP LDP
给上游分标签给上游分标签
建立SR与LDP LSP的 6 创建到P2的LDP LSP

7 映射
1. PE1上配置IP地址前缀，并为该前缀配置SID。然后将前缀和SID通过IGP向P1发
布。
2. P1将前缀和SID通过IGP向P2发布。
3. P2接收到前缀和SID后，创建到PE1的SR LSP。
4. P2上配置代理LDP Egress，将IP地址前缀携带的SID映射为LDP标签。只要配置了
代理LDP Egress，而且对端路由可达，就会向上游发布Mapping消息。
5. P2发送标签映射消息到上游P3，P3发送标签映射消息到上游PE2。
6. PE2解析标签映射消息，创建到P2的LDP LSP。
7. P2上建立SR LSP与LDP LSP的映射关系。
数据转发时，P2设备上没有到PE1的LDP Label，所以P2根据Prefix与SID映射关系，
LDP封装映射为SR封装。
2.1.2.8 SBFD for SR LSP
BFD技术相对成熟，但当配置大量BFD会话进行链路检测时，BFD现有状态机的协商
时间会变长，成为整个系统的一个瓶颈。SBFD（Seamless Bidirectional Forwarding
Detection）是BFD的一种简化机制，SBFD简化了BFD的状态机，缩短了协商时间，提
高了整个网络的灵活性，能够支撑SR隧道检测。
SBFD 工作原理
SBFD工作原理如图2-44所示。SBFD分为发起端和反射端，在链路检测之前，发起端
和反射端通过互相发送SBFD控制报文（SBFD Control Packet）通告SBFD描述符
（Discriminator）等信息。链路检测时，发起端主动发送SBFD Echo报文，反射端根据
本端情况环回此报文，发起端根据反射报文决定本端状态。

l 发起端做为检测端，有SBFD状态机机制和检测机制。发起端状态机只有Up和
Down状态，发出的报文也只有Up和Down状态，只能接收Up或Admin Down状态
报文。
SBFD报文由发起端首先向反射端发送，报文初始状态为Down，报文目的端口号
为7784。
l 反射端无SBFD状态机，无检测机制，不会主动发送SBFD Echo报文，仅用于构造
环回SBFD报文。
反射端接收到发起端的SBFD报文，检查报文中SBFD描述符是否与本地配置的全
局SBFD描述符匹配，不匹配则丢弃；如果匹配并且反射端处于工作状态，则构造
环回SBFD报文，反射端不处于工作状态，则将报文状态置为Admin Down。
图 2-44 SBFD 工作原理

发起端反射端
SBFD Control packet
SBFD Control packet
SBFD Echo packet
SBFD 发起端状态机
SBFD发起端状态机只有Up和Down两个状态，也只能在这两个状态间转变，具体如图
2-45所示。
图 2-45 SBFD 发起端状态机
Admin Down,
Timer Up
Up
Down Up
Admin Down,
Timer
l 初始状态：SBFD报文由发起端首先向反射端发送，发起端初始状态为Down。
l 状态迁移：发起端收到反射端发回的Up报文则将本地状态置为Up。发起端收到反
射端返回Admin Down报文，则将状态置为Down。发起端在定时器超时前收不到
返回报文，也将状态置位Down。
l 状态保持：发起端处于Up状态，如果收到反射端返回的Up报文，则本地状态持续
维持在Up状态。发起端处于Down状态，如果收到反射端返回的Admin Down报文
或者在定时器超时前收不到返回报文，则本地状态持续维持在Down状态。

2.1.2.9 BFD for SR-TE

SR-TE由于没有协议建立，只要标签栈下发，LSP就会建立成功，且除了撤销标签栈之
外，LSP不会出现协议Down的情况。所以SR-TE LSP故障检测需要依靠部署BFD检
测，通过BFD故障检测切换备份LSP。BFD for SR-TE是一种端到端的快速检测机制，
用于快速检测隧道所经过的链路汇总所发生的故障。BFD for SR-TE提供以下几种方
式：
l BFD for SR-TE LSP：SR-TE LSP建立时，如果BFD没有协商成功，则LSP不UP。
通过配置BFD for SR-TE LSP，如果主路径故障可以快速切换到备份路径。BFD
For SR-TE LSP支持静态和动态的：
– 静态BFD会话：本端标识符和对端标识符都需要手工指定，两端标识符必须
匹配，否则会话无法建立。会话建立后，发送和接收时间间隔参数可以修
改。
– 动态BFD会话：不需要指定本端标识符和对端标识符。路由协议邻居关系建
立后，RM会下发参数通告BFD建立会话，会话通过协商来确定本端标识符、
对端标识符、发送和接收时间间隔参数。
BFD会话与LSP绑定，即在入节点和出节点之间建立BFD会话。BFD报文从源端开
始经过LSP转发到达宿端；宿端再对该BFD报文进行回应，通过此方式在源端可以
快速检测出LSP所经过链路的状态。
当检测出链路故障以后，BFD将此信息上报给转发层面。转发平面查找备份LSP，
然后将业务流量切换到备份LSP上。
l BFD for SR-TE Tunnel：SR-TE隧道状态要结合BFD for SR-TE Tunnel与BFD for
SR-TE LSP检测。
– BFD for SR-TE LSP用来控制主备LSP的切换状态，BFD for SR-TE Tunnel用来
保证Tunnel的真实状态。
n 如果不配置BFD for SR-TE Tunnel，Tunnel默认状态只为UP，Tunnel的真
实状态不确定。
n 如果配置了BFD for SR-TE Tunnel，但是BFD的状态被置为管理Down，
则BFD实际未工作，隧道接口状态是unknown。
n 如果配置了BFD for SR-TE Tunnel，且BFD没有被置为管理Down，则隧
道接口状态与BFD状态一致。
– SR-TE隧道的接口状态依赖于BFD for SR-TE Tunnel的检测，即SR-TE Tunnel
的接口状态与BFD状态一致，而BFD Up的时间由于BFD协议协商的要求会比
较慢。一般情况下，当Tunnel状态为Down时下发新标签栈，到BFD Up需要十
几秒的时间，这样会导致Tunnel在没有其他保护的情况下，硬收敛的时间较
慢。
l BFD for SR-TE（单臂模式）：由于BFD for SR-TE无法实现与其他厂商设备进行
互通，当其他厂商设备作为出节点时，无法创建BFD会话。单臂模式的BFD for
SR-TE可以解决上述问题。
在入节点配置使能BFD检测的同时指定单臂检测模式，建立BFD会话。会话建立
后，在入节点发出BFD报文，通过SR-TE遂道经中间节点到达出节点后，转发平面
接收到BFD报文后，将MPLS标签剥离后，通过头节点的目的IP地址进行查找路
由，出节点在转发平面直接将报文进行环回发回给入节点，入节点进行检测报文
处理，实现单臂环回的检测机制。
下面以VPN迭代到SR-TE LSP为例，描述BFD for SR-TE LSP的应用场景，具体如图

2-46所示。

图 2-46 BFD for SR-TE 示意图

Link header
9004
9003
9005
A E
VPN label P1 P2 Link header
IP header IP header
Payload Payload
BFD
CE1 PE1 PE2 CE2
PE1->P4: 9004 P3->PE2: 9005
Link header Link header

9003 P4->P3: 9003 VPN label
9005 IP header
VPN label Payload
IP header P4 Link header P3
Payload 9005
Primary SR-TE LSP
VPN label
Backup SR-TE LSP
IP header
Payload BFD Session
A、CE1、CE2、E部署在同一个的VPN中，CE2发布一条到E的路由。PE2为E分配VPN
标签。PE1安装到E的路由，VPN标签。PE1到PE2的SR-TE Tunnel的路径为PE1->P4-
>P3->PE2，标签栈为{9004,9003,9005}。当A发送目的地为E的报文时，报文在PE1时根
据9004找到出接口，发出时被打上三层标签，9003、9005和最内层的VPN标签为PE2分
配的。应用了BFD检测后，当主路径某条链路或者某台P设备发生故障时，PE1和PE2
会快速检测到故障发生，并使数据流量切换到PE1->P1->P2->PE2。
2.1.2.10 TI-LFA FRR

TI-LFA FRR (Topology-Independent Loop-free Alternate FRR)能为Segment Routing隧道提
供链路及节点的保护。当某处链路或节点故障时，流量会快速切换到备份路径，继续
转发。从而最大程度上避免流量的丢失。
相关概念
表 2-23 TI-LFA FRR 相关概念
概念解释
P空间以保护链路源端为根节点建立SPF树，所有从根节点不经过保护链路可达
的节点集合称为P空间。
扩展P空以保护链路源端的所有邻居为根节点分别建立SPF树，所有从根节点不经
间过保护链路可达的节点集合称为扩展P空间。

概念解释
Q空间以保护链路末端为根节点建立反向SPF树，所有从根节点不经过保护链路
可达的节点集合称为Q空间。
PQ节点 PQ节点是指既在扩展P空间又在Q空间的节点，PQ节点会作为保护隧道的
目的端。
LFA LFA（Loop-Free Alternate）算法计算备份链路的基本思路是：以可提供备

份链路的邻居为根节点，利用SPF算法计算到达目的节点的最短距离，然
后计算出一组开销最小且无环的备份链路。关于LFA的介绍，可以参考IS-
IS Auto FRR。
RLFA RLFA（Remote LFA）算法根据保护路径计算PQ节点，并在源节点与PQ

节点之间建立tunnel隧道形成备份下一跳保护。当保护链路发生故障时，
流量自动切换到隧道备份路径，继续转发，从而提高网络可靠性。关于
RLFA的介绍，可以参考IS-IS Auto FRR。
TI-LFA LFA FRR和Remote LFA对于某些场景中，P空间和Q空间既没有交集，也

没有直连的邻居，无法计算出备份路径，不能满足可靠性要求。在这种情
况下，实现了TI-LFA。TI-LFA算法根据保护路径计算P空间，Q空间，
Post-convergence最短路径树，以及根据不同场景计算Repair List，并在源
节点与PQ节点之间建立SR隧道形成备份下一跳保护。当保护链路发生故
障时，流量自动切换到隧道备份路径，继续转发，从而提高网络可靠性。
产生原因
传统的LFA技术需要满足至少有一个邻居下一跳到目的节点是无环下一跳。RLFA技术
需要满足网络中至少存在一个节点从源节点到该节点，从该节点到目的节点都不经过
故障节点。而TI-LFA技术可以用显式路径表达备份路径，对拓扑无约束，提供了更高
可靠性的FRR技术。
如图2-47所示，如果P节点（DeviceA）与Q节点（DeviceD）不相交，则不满足RLFA技
术要求，RLFA无法计算出备份路径，也就是Remote LDP LSP。当DeviceB和DeviceE之
间发生故障后，DeviceB将数据包转发给DeviceC，但是DeviceC并不是Q节点，无法直
接到达目的地址，需要重新计算，由于DeviceC和DeviceD之间开销是1000，DeviceC认
为到达DeviceF的最优路径是经过DeviceB，因此将数据包重新转回到DeviceB，形成环
路，转发失败。

图 2-47 RLFA 示意图

Device A 1 Device B 2 Device C
P空间
Cost: 10
3
Cost: 10 Cost: 1000
Cost: 10 Q空间
Device F Device E Device D
故障点故障前路径
故障后路径
为了解决上述问题，可以使用TI-LFA。如图2-48所示，当DeviceB和DeviceE之间发生
故障后，DeviceB直接启用TI-LFA FRR备份表项，给数据包增加新的路径信息
（DeviceC的Node标签，DeviceC和DeviceD之间的邻接标签），保证数据包可以沿着备
份路径转发。
图 2-48 TI-LFA 示意图

103
新增路径信息
16001
106 106
IP head IP head Node
Payload Payload SID: 103
Device A 1 Device B 2 Device C
P空间
Cost: 10
Cost: 10 Cost: 1000

3
Adjacency
4 SID: 16001
Node
SID: 106 Cost: 10 Q空间
Device F Device E Device D
故障点故障前路径
故障后路径
使用价值
基于Segment Routing的TI-LFA FRR技术有如下优势：
1. 满足IP FRR快速收敛的基本要求。

2. 原理上支持100%场景保护。
3. 算法复杂度适中。
4. 选择收敛后的路径作为备份路由转发路径，相比其他FRR技术转发不会有正在收
敛的中间态。
TI-LFA FRR 原理
如图2-49所示，PE1为源节点，P1节点为故障点，PE3为目的节点，链路中间的数字表
示cost值。
TI-LFA流量保护分为链路保护和节点保护。
l 链路保护：当需要保护的对象是经过特定链路的流量时，流量保护类型为链路保
护。
l 节点保护：当需要保护的对象是经过特定设备的流量时，流量保护类型为节点保
护。节点保护优先级高于链路保护。
图 2-49 TI-LFA 典型组网图

PE3
10 P5 Q空间
40
39 P4
P1 40
20 SID: 9304
P3
15
10 SID: 9203
20
PE1
P2
interface1 Node SID:
40 10
100
Repair List PE2
P空间
100
9203
9304 故障点
下面以节点保护为例介绍TI-LFA的实现过程。如图2-49所示，假设流量路径为：PE1→
P1→P5→PE3，为避免P1节点故障导致流量丢失，TI-LFA会计算出P空间，Q空间，P1
故障收敛后（Post-convergence）最短路径树，以及备份出接口和Repair List，最终生成
备份转发表项。
TI-LFA FRR计算步骤：
1. 计算P空间：至少存在一个邻居节点到P节点的路径不经过故障链路的集合。
2. 计算Q空间：Q节点到目的节点不经过故障链路的集合。
3. 计算收敛后最短路径树：计算主下一跳故障收敛后的最短路径树，排除主下一跳
计算最短路径树。
4. 计算备份出接口和Repair List。

– 备份出接口：在某些场景下，P空间和Q空间即没有交集，也没有直连的邻
居。这种情况下备份出接口为收敛后下一跳出接口。
– Repair List：Repair List是一个约束路径，用来指示如何到达Q节点，Repair
List由“P节点标签+P到Q路径上的邻接标签”组成。在图2-49中，Repair Lis
为P2的节点标签100，加上P2到P3的邻接标签9203，以及P3到P4的邻接标签
9304。
在计算备份路径时，需要用到Repair节点SID，用以生成转发标签。Repair节点SID需要
遵循如下选择规则：
l 优选Repair节点发布的Node SID。
l 优选Repair节点单源前缀SID最小的Prefix SID。
l 优选Repair节点非多源前缀，并且本节点前缀优选的Prefix SID。
l 不支持SR的节点不能作为Repair Node，不发布Prefix SID/Node SID的节点不能作
为Repair Node。
TI-LFA FRR 转发流程

TI-LFA备份路径计算完成之后，如果主路径发生故障，就可以根据备份路径进行转
发，避免流量丢失。
如图2-50所示，DeviceF为P节点，DeviceH为Q节点。主下一跳B故障，触发FRR切换到
备路径。详细过程如表2-24所示。
图 2-50 TI-LFA FRR 备份路径转发流程图
Prefix
SID=10
Device A Device B Device C
SRGB
Label 720 [600-700]
Label 130
Label 240 Label 610
Label 310 IP head
Payload
IP head
Payload Device E
SRGB
Device D [500-600]
SRGB
Label 510
[700-800]
Label 120 IP head
Label 130 Payload
Label 240
130 240
Label 310
IP head
Payload Device F Label 240 Device G Device H
SRGB Label 310 Label 310 SRGB
[100-200] IP head IP head [300-400]
Node SID=20 Payload Payload
故障点

表 2-24 TI-LFA FRR 备份路径转发流程

设备流程
DeviceA DeviceA根据Reapair list封装标签栈，最外层封装P节点（DeviceF）的节

点标签=下一跳DeviceD的SRGB起始值+P节点标签偏移值=720，然后就封
装P节点到Q节点的标签，分别为130和240，目的节点标签=Q节点的
SRGB起始值+目的节点（DeviceC）的标签偏移值=310。
DeviceD DeviceD收到报文后，根据最外层标签查找标签转发表，出标签是120，
下一跳为DeviceF，于是将最外层标签SWAP成120，报文转发给DeviceF。
DeviceF DeviceF收到报文后，根据最外层标签查找标签转发表，由于DeviceF是该
标签的Egress节点，弹出该标签以后，路由路径标签130，出标签为空，
下一跳DeviceG，继续弹出130标签将报文转给DeviceG。
DeviceG DeviceG收到报文后，根据最外层标签查找标签转发表，弹出240标签，
将报文转发给DeviceH。
DeviceH DeviceH收到报文后，根据最外层标签查找标签转发表，出标签为510，
下一跳为DeviceE。于是将最外层标签SWAP成510，报文转发给
DeviceE，如此按照最短路径的方式转给目的节点DeviceC。
TI-LFA FRR 应用场景
表 2-25 TI-LFA FRR 应用场景

TI-LFA FRR保护含义部署
TI-LFA FRR保护IP 主路径走IP转发，计算TI- 1. 全网建立ISIS邻居，全网部署

转发 LFA FRR备份路径。 Segment Routing，并在P节点配
置Prefix SID。
2. 在源节点使能TI-LFA FRR路由
器。
TI-LFA FRR保护主路径走Segment Routing 1. 全网建立ISIS邻居，全网部署

Segment Routing隧隧道转发，计算TI-LFA Segment Routing，并在P节点和
道 FRR备份路径。目的节点配置Prefix SID。
2. 在源节点使能TI-LFA FRR路由
器。
正切防微环
如图2-51所示，当DeviceB故障时，流量切换到TI-LFA计算的备份路径，当DeviceA收
敛完成之后，流量从备份路径切换到收敛后路径，但是如果此时DeviceD和DeviceF还
没有收敛，还在用收敛前的路径转发，则在DeviceA到DeviceF之间形成环路，直到
DeviceD和DeviceF收敛完成。
为了解决上述问题，DeviceB故障以后，首先流量切换到TI-LFA计算的备份路径，然后
DeviceA延迟一段时间收敛，等待DeviceD和DeviceF收敛完成以后，DeviceA开始收
敛，收敛完成以后，流量从备份路径切换到收敛后路径。

图 2-51 正切防微环故障场景
Device A Device B Device C
Device D Device E
收敛前路径
收敛后路径
备份路径
故障点
Device F Device G Device H
在源节点上配置正切防微环功能。路由延时切换需要满足以下条件：
l 本地直连接口故障/BFD down。
l 在延迟期间，网络中没有第二次拓扑变化。
l 路由有备份下一跳。
l 路由主下一跳和故障端口相同。
l 收敛后主下一跳和备份下一跳不相同。
l 多源路由延时期间收到路由源变化退出延时。
2.1.2.11 SR OAM
SR OAM（Operations, Administration, and Maintenance）主要用于监控标签交换路径

（LSP）的连通性和快速进行故障检测。SR OAM当前主要通过Ping&Tracert来实现。
SR-BE Ping
如图2-52所示，PE1、P1、P2、PE2具有SR（Segment Routing）能力，PE1与PE2间建
立的是SR LSP。

图 2-52 SR-BE Ping/Tracert

302
IP header
UDP header
MPLS ECHO
(request)
202 [200,299] [300,399]
IP header IP header
UDP header UDP header
MPLS ECHO MPLS ECHO
P1 P2 (request)
(request)
IP header
UDP header
[100,199] MPLS ECHO
(response)
CE1 PE1 PE2 CE2
SR LSP
从PE1节点上发起对该SR IPv4隧道Ping检测的工作过程如下：
1. 检查PE1发起检测，查看指定的隧道是否为SR-BE IPv4类型：
– 如果不是，返回错误信息，提示用户检测隧道类型不匹配，停止Ping。
– 如果是，则继续进行以下操作。
2. PE1构造MPLS Echo Request报文，封装发起端的出标签信息，IP首部目的地址为
127.0.0.0/8，将报文发给P1。
3. PE1将报文转发给P1，P1上交换报文最外层MPLS标签值，将报文转发给P2。
4. P2处理报文方式同P1，交换最外层标签值，识别是倒数第二跳，将最外层标签弹
出，并将报文转发给PE2，上送主机收发进行处理。
5. PE2将MPLS Echo Reply报文返回给PE1，生成Ping检测结果信息。
SR-BE Tracert
如图2-52所示，从PE1节点上发起对该SR LSP的Tracert检测的工作过程如下：
1. 检查PE1发起检测，查看指定的隧道是否为SR-BE IPv4类型：
– 如果不是，返回错误信息，提示用户检测隧道类型不匹配，停止Tracert检
测。
2. PE1构造MPLS Echo Request报文，封装发起端的出标签信息，IP首部目的地址为
127.0.0.0/8。
3. PE1将报文转发给P1，P1会判断报文中最外层标签TTL-1是否为0：
– TTL-1等于0：MPLS TTL超时，上送主机收发进行处理。
– TTL-1大于0：P1上交换报文最外层MPLS标签值，查询转发表出接口，将报
文转发给P2。
4. P2处理报文方式同P1：

– TTL-1等于0：MPLS TTL超时，上送主机收发进行处理。
– TTL-1大于0：P2上交换报文最外层MPLS标签值，识别是倒数第二跳，将最
外层标签弹出，查询转发表出接口，将报文转发给PE2。
5. 报文上送主机收发处理，PE2将MPLS Echo Reply报文返回给PE1，生成Tracert检测
结果信息。
SR-TE Ping
如图2-53所示，PE1、P1、P2具有SR（Segment Routing）能力，PE1与PE2间建立的是
SR-TE隧道，各个设备的邻接标签如下：
l PE1设备针对PE1-P1邻接分配的邻接标签是9001。
l P1设备针对P1-P2邻接分配的邻接标签是9002。
l P2设备针对P2-PE2邻接分配的邻接标签是9005。
图 2-53 SR-TE Ping/Tracert

9005
P2: IP header PE2:
9002 payload 9005
9002
9005
IP header P1 P2 IP header
payload payload
IP header IP header
payload payload
P1:
9001
CE1 PE1 PE2 CE2
SR-TE隧道
从PE1节点上发起对该SR隧道Ping检测的工作过程如下：
1. 检查PE1发起检测，查看指定的隧道是否为SR类型：
– 如果不是，返回错误信息，提示用户检测隧道类型不匹配，停止Ping。
2. PE1构造MPLS Echo Request报文，该报文封装整个隧道的标签信息，IP首部目的
地址为127.0.0.0/8。
3. PE1将报文转发给P1，P1直接将最外层标签9002弹出，然后将报文转发给P2。
4. P2将收到报文的最外层标签9005弹出，然后将报文转发给PE2，此时标签都已弹
出，报文将上送主机收发进行处理。
5. PE2将MPLS Echo Reply报文返回给PE1。
SR-TE Tracert
如图2-53所示，从PE1节点上发起对该SR-TE隧道Tracert检测的工作过程如下：

1. 检查PE1发起检测，查看指定的隧道是否为SR类型：
– 如果不是，返回错误信息，提示用户检测隧道类型不匹配，停止Tracert检
测。
2. PE1构造MPLS Echo Request报文，该报文封装整个隧道的标签信息，IP首部目的
地址为127.0.0.0/8。
3. PE1将报文转发给P1，P1判断最外层标签TTL-1是否为0：
– TTL-1等于0：MPLS TTL超时上送主机收发进行处理。
– TTL-1大于0：将最外层MPLS标签弹出，缓存下最外层MPLS标签
（TTL-1）；把缓存下的最外层MPLS标签（TTL-1）复制到当前的最外层
MPLS标签中，查转发表出接口，将报文转发给P2。
4. P2的处理同P1，P2判断最外层标签TTL-1是否为0：
– TTL-1等于0：MPLS TTL超时上送主机收发进行处理。
– TTL-1大于0：将最外层MPLS标签弹出，缓存下最外层MPLS标签
（TTL-1）；把缓存下的最外层MPLS标签（TTL-1）复制到当前的最外层
MPLS标签中，查转发表出接口，将报文转发给PE2。
5. 报文转发给PE2，此时标签都已经弹出，报文将上送主机收发进行处理，PE2将
MPLS Echo Reply报文返回给PE1。
2.1.3 应用
2.1.3.1 单自治域 SR
单自治域严格路径
如图2-54所示，该方案标签分配在设备侧，IGP协议扩展支持SR，扩散标签信息。
BGP-LS收集网络拓扑和标签信息。转发器上配置手工方式严格路径的SR-TE隧道，并
将隧道托管到控制器，由控制器通过PCEP下发路径标签栈信息指导转发器进行数据转
发。

图 2-54 单自治域严格路径
PCE
Controller IGP泛洪
IGP/BGP-LS：收集网
络拓扑，分发转发器
的标签信息
IGP/BGP-LS PCEP PCEP：向Ingress节
点下发标签栈信息
单自治域松散路径
如图2-55所示，该方案标签分配在设备侧，IGP协议扩展支持SR，扩散标签信息。
BGP-LS收集网络拓扑和标签信息，上传给控制器，由其进行SR隧道计算，最终由控制
器通过Netconf下发路径标签栈信息指导转发器进行转发。
图 2-55 单自治域松散路径
Controller
BGP-LS/
NETCONF SR-TE path1
SR-TE path2
IGP
IDC 1 IDC 2
L3VPN over SR-TE
网络内通过L3VPN承载DCI业务，采用每租户每VPN，DC内实现租户隔离，DC网关上
采用VLAN子接口接入L3VPN。租户VPN通过主备SR隧道承载。

术语
术语解释
SR-BE SR-BE（Segment Routing Best Effort）是指IGP使用最短

路径算法计算得到的最优SR LSP。
SR-TE SR-TE（Segment Routing Traffic Engineering）是指基于

TE的约束属性，利用SR协议创建的隧道。
缩略语
缩略语英文全称中文全称
BGP-LS BGP Link-State BGP链路状态
FRR Fast Re-Route 快速重路由
Netconf Network Configuration Protocol 网络配置协议
PCE Path Computation Element 路径计算单元
PCEP Path Computation Element 路径计算单元通信协议

Communication Protocol
SID Segment ID 段ID
SR Segment Routing 分段路由
SRGB Segment Routing Global Block SR全局标签块
TE Traffic Engineering 流量工程
TI-LFA FRR Topology-Independent Loop-free 拓扑无关无环备份FRR

Alternate FRR
2.2 IPv4 Segment Routing 配置

介绍了IPv4 Segment Routing的基本原理，基于IPv4 Segment Routing的配置过程和典型
配置举例。
2.2.1 Segment Routing 概述

段路由SR（Segment Routing）是基于源路由理念而设计的在网络上转发数据包的一种
协议。Segment Routing将网络路径分成一个个段，并且为这些段和网络中的转发节点
分配段标识ID。通过对段和网络节点进行有序排列（Segment List），就可以得到一条
转发路径。
Segment Routing将代表转发路径的段序列编码在数据包头部，随数据包传输。接收端
收到数据包后，对段序列进行解析，如果段序列的顶部段标识是本节点时，则弹出该

标识，然后进行下一步处理；如果不是本节点，则使用ECMP（Equal Cost Multiple

Path）方式将数据包转发到下一节点。
使用Segment Routing技术，将带来明显的受益：
l 简化MPLS网络的控制平面。
Segment Routing使用控制器或者IGP集中算路和分发标签，不再需要RSVP-TE，
LDP等隧道协议。Segment Routing可以直接应用于MPLS架构，转发平面没有变
化。
l 提供高效TI-LFA（Topology-Independent Loop-free Alternate） FRR保护，实现路径
故障的快速恢复。
在Segment Routing技术的基础上结合RLFA（Remote Loop-free Alternate） FRR算
法，形成高效的TI-LFA FRR算法。TI-LFA FRR支持任意拓扑的节点和链路保护，
能够弥补传统隧道保护技术的不足。
l Segment Routing技术更具有网络容量扩展能力。
传统MPLS TE是一种面向连接的技术，为了维护连接状态，节点间需要发送和处
理大量Keepalive报文，设备控制层面压力大。Segment Routing仅在头节点对报文
进行标签操作即可任意控制业务路径，中间节点不需要维护路径信息，设备控制
层面压力小。
此外，Segment Routing技术的标签数量是：全网节点数+本地邻接数，只和网络规
模相关，与隧道数量和业务规模无关。
l 更好的向SDN网络平滑演进。
Segment Routing技术基于源路由理念而设计，通过源节点即可控制数据包在网络
中的转发路径。配合集中算路模块，即可灵活简便的实现路径控制与调整。
Segment Routing同时支持传统网络和SDN网络，兼容现有设备，保障现有网络平
滑演进到SDN网络，而不是颠覆现有网络。
2.2.2 SR-TE 配置注意事项

Segment Routing隧道仅支无 Segment Routing隧道的

持Ingress节点上行 ingress节点下行和transit节
netstream采样和egress节点点netstream采样功能不可
netstream采样，不支持用。
Ingress节点下行netstream
采样和transit节点netstream
采样。
node标签Segment Routing 控制器保证下发的node标无

隧道不支持带宽限速功签segment routing隧道无带
能。宽。
node标签Segment Routing 配置Hot Standby保护功如果没有部署Hot Standby

隧道不支持本地FRR保护能。保护功能，Segment
功能。 Routing隧道主路径故障需
要依靠收敛切换到其他路
径。
SR-BE Prefix/Node SID全当前缀SID发生冲突时，可能影响标签转发路径的

网必须唯一，SID不能超 IGP有冲突优选处理机制。计算。
过SRGB范围。

SR-BE多区域场景，每个合理规划网络。无
区域都要配置相同的
mapping路由；
Mapping路由的SID不能和
其他mapping路由的SID冲
突；
Mapping路由的SID不能超
过SRGB的范围；
Interworking特性需要部署
端到端的SBFD检测，防
止流量黑洞；
组网简化为A---B---C--- 无隧道切换少量丢包。
D。ABCD配置LDP隧道，
ABC配置SR-BE隧道，在
C设备上执行mapping-
server prefix-sid-mapping
prefix-value mask-len-value
sid-value [ range range-
value ] [ attached ]命令
行，使ABC上的LDP隧道
切换成SR-BE隧道，偶尔
会出现A收敛比B快，造成
少量丢包。
2.2.3 配置 IS-IS SR-BE 隧道

本章介绍配置SR-BE隧道的详细步骤。
应用环境
SR-BE隧道创建需要完成以下动作：
l 网络拓扑上报（仅在基于控制器创建隧道时需要）/标签分配。
l 路径计算。
前置任务
在配置SR-BE隧道之前，需完成以下任务：
l 配置IS-IS协议，保证各网元在网络层互通。
l 配置各网元的LSR-ID。
l 在各网元全局使能MPLS。

配置流程
2.2.3.1 配置 SR-BE 的基本功能

介绍了SR-BE的基础配置。
背景信息
配置SR-BE的基本功能：全局使能SR能力，配置Segment Routing全局标签范围，配置
Segment Routing前缀标签。
操作步骤
步骤1 全局使能SR能力
2. 执行命令segment-routing，进入Segment Routing视图。
步骤2 配置Segment Routing全局标签范围

2. 执行命令isis [ process-id ]，进入IS-IS协议视图。
3. 执行命令network-entity net，设置网络实体名称。
4. 执行命令cost-style { wide | compatible | wide-compatible }，配置IS-IS的Wide
Metric属性。
5. 执行命令segment-routing mpls命令用来使能IS-IS对应拓扑的Segment Routing功
能。
6. 执行命令segment-routing global-block begin-value end-value命令用来配置当前IS-
IS实例的Segment Routing全局标签范围。
步骤3 配置Segment Routing前缀标签

2. 执行命令interface loopback loopback-number，创建Loopback接口并进入接口视
图。
3. 执行命令isis enable [ process-id ]，使能IS-IS接口。
址。
5. 执行命令isis prefix-sid { absolute sid-value | index index-value } [ node-disable ]用来
在Loopback接口下配置该接口的IP地址为Segment Routing标签前缀。
----结束
2.2.3.2 （可选）配置 SR-LSP 建立的触发策略

通过配置SR-LSP建立的触发策略，可以使符合条件的路由触发Ingress建立SR-LSP。

背景信息
使能Segment Routing功能后，大量设备被用来建立端到端的LSP，如果不通过策略控
制，将有大量的LSP建立导致资源浪费。通过配置SR-LSP建立的触发策略，仅由关注
的路由触发SR-LSP的建立。
操作步骤
步骤2 执行命令isis，进入IS-IS视图。
步骤3 执行命令segment-routing lsp-trigger { none | host | ip-prefix ip-prefix-name }，触发

Ingress建立SR-LSP的策略。
l 如果触发策略为host，则32位地址的主机IP路由触发Ingress建立SR-LSP。
l 如果触发策略为ip-prefix，则只有通过IP地址前缀列表过滤的FEC项能够触发
Ingress建立SR-LSP。
l 如果触发策略为none，则不触发Ingress建立SR-LSP。
----结束
2.2.3.3 （可选）配置 SR-BE 隧道优先策略

通过配置SR-BE隧道优先策略，可以提高SR隧道的优先级，优选SR隧道。
背景信息
在迭代隧道场景中，隧道转发优先级默认选择LDP隧道，当默认情况不能满足要求
时，需要选择SR-BE隧道，可以配置隧道类型优先级提高SR-BE隧道的优先级，优选
SR-BE隧道。
操作步骤
步骤2 执行命令segment-routing，进入Segment Routing视图。
步骤3 执行命令tunnel-prefer segment-routing，配置SR-BE隧道优先。
----结束
SR-BE配置成功后，可以查看到SR-BE的配置信息。
前提条件
已经完成SR-BE功能的所有配置。

操作步骤
完成配置后，可以按以下指导来检查配置结果。
l 使用display isis lsdb [ { level-1 | level-2 } | verbose | { local | lsp-id | is-name
symbolic-name } ] * [ process-id | vpn-instance vpn-instance-name ]命令查看IS-IS的链
路状态数据库信息。
l 执行display segment-routing prefix mpls forwarding命令查看Segment Routing的标
签转发表信息。
任务示例
# 查看Segment Routing全局标签范围以及前缀标签。
<HUAWEI> display isis lsdb verbose
Database information for ISIS(1)

-----------------------------------
Level-1 Link State Database
LSPID Seq Num Checksum HoldTime Length ATT/P/OL

-----------------------------------------------------------------------------
1111.1111.1111.00-00* 0x00000005 0x584e 1196 78 0/0/0
SOURCE 1111.1111.1111.00
NLPID IPV4
AREA ADDR 00
INTF ADDR 1.1.1.1
+IP-Extended 1.1.1.1 255.255.255.255 COST: 0
Prefix-Sid 1 Algorithm: 0 Flag: R:0 N:1 P:0 E:0 V:0 L:0
Router Cap 1.1.1.1 D: 0 S: 0
Segment Routing Cap I: 1 V: 0 SRGB Base: 153616 Range: 185
Total LSP(s): 1
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended),
ATT-Attached, P-Partition, OL-Overload
# 显示Segment Routing的标签转发表信息。
<HUAWEI> display segment-routing prefix mpls forwarding
i
Segment Routing Prefix MPLS Forwarding Information
--------------------------------------------------------------
Role : I-Ingress, T-Transit, E-Egress, I And Transit
Prefix Label OutLabel Interface NextHop Role MPLSMtu

Mtu State
---------------------------------------------------------------------------------------------------
-------
1.1.1.1/32 160001 3 Eth3/0/0 20.1.1.1 I&T ---
1500 Active
2.2.2.2/32 160002 NULL Loop1 127.0.0.1 E ---
1500 Active
Total information(s): 2
2.2.4 配置 OSPF SR-BE 隧道

本章介绍配置OSPF SR-BE隧道的详细步骤。
应用环境
SR-BE隧道创建需要完成以下动作：
l 网络拓扑上报（仅在基于控制器创建隧道时需要）/标签分配。

l 路径计算。
前置任务
在配置SR-BE隧道之前，需完成以下任务：
l 配置OSPF协议，保证各网元在网络层互通。
l 配置各网元的LSR-ID。
l 在各网元全局使能MPLS。
配置流程
2.2.4.1 配置 SR-BE 的基本功能

介绍了SR-BE的基础配置。
背景信息
配置SR-BE的基本功能：全局使能SR能力，配置Segment Routing全局标签范围，配置
Segment Routing前缀标签。
操作步骤
步骤1 全局使能SR能力
2. 执行命令segment-routing，进入Segment Routing视图。
步骤2 配置Segment Routing全局标签范围

2. 执行命令ospf [ process-id ]，进入OSPF视图。
3. 执行命令opaque-capability enable，使能opaque LSA能力。
4. 执行命令segment-routing mpls命令用来使能OSPF对应拓扑的Segment Routing功
能。
5. 执行命令segment-routing global-block begin-value end-value命令用来配置OSPF的
Segment Routing全局标签范围。
步骤3 配置Segment Routing前缀标签

2. 执行命令interface loopback loopback-number，创建Loopback接口并进入接口视
图。
3. 执行命令ospf enable [ process-id ] area area-id，使能OSPF接口。
址。
5. 执行命令ospf prefix-sid { absolute sid-value | index index-value } [ node-disable ]，
配置该接口的IP地址为Segment Routing标签前缀。

----结束
2.2.4.2 （可选）配置 SR-LSP 建立的触发策略

通过配置SR-LSP建立的触发策略，可以使符合条件的路由触发Ingress建立SR-LSP。
背景信息
制，将有大量的LSP建立导致资源浪费。通过配置SR-LSP建立的触发策略，仅由关注
的路由触发SR-LSP的建立。
操作步骤
步骤2 执行命令ospf [ process-id ]，进入OSPF视图。
步骤3 执行命令segment-routing lsp-trigger { none | host | ip-prefix ip-prefix-name }，触发

Ingress建立SR-LSP的策略。
l 如果触发策略为host，则32位地址的主机IP路由触发Ingress建立SR-LSP。
l 如果触发策略为ip-prefix，则只有通过IP地址前缀列表过滤的FEC项能够触发
Ingress建立SR-LSP。
l 如果触发策略为none，则不触发Ingress建立SR-LSP。
----结束
2.2.4.3 （可选）配置 SR-BE 隧道优先策略

通过配置SR-BE隧道优先策略，可以提高SR隧道的优先级，优选SR隧道。
背景信息
在迭代隧道场景中，隧道转发优先级默认选择LDP隧道，当默认情况不能满足要求
时，需要选择SR-BE隧道，可以配置隧道类型优先级提高SR-BE隧道的优先级，优选
SR-BE隧道。
操作步骤
步骤3 执行命令tunnel-prefer segment-routing，配置SR-BE隧道优先。
----结束

SR-BE配置成功后，可以查看到SR-BE的配置信息。
前提条件
已经完成SR-BE功能的所有配置。
操作步骤
完成配置后，可以按以下指导来检查配置结果。

任务示例
i
--------------------------------------------------------------

Mtu State
---------------------------------------------------------------------------------------------------
-------
1.1.1.1/32 160001 3 Eth3/0/0 20.1.1.1 I&T ---
1500 Active
2.2.2.2/32 160002 NULL Loop1 127.0.0.1 E ---
1500 Active
2.2.5 配置 IS-IS SR-TE 手工隧道

SR-TE手工隧道需要在转发器手工配置TE隧道，标签生成和路径计算托管控制器完
成。
应用环境
现有的TE隧道，每条LSP路径一个标签，隧道的创建和路径的生成都在转发器完成，
增加了转发器的负担，占用了过多的转发器资源。使用SR-TE手工创建隧道技术可以带
来以下两点益处：
l 控制器生成标签，减轻了转发器负担。
l 路径计算由控制器完成，每路由一个标签，减轻了转发器负担，减少了转发器的
资源占用，使转发器更能聚焦核心的转发业务，提高转发性能。
前置任务
在配置SR-TE隧道之前，需完成以下任务：
l 配置IS-IS协议，保证各LSR在网络层互通。
l 在控制器和转发器之间配置IS-IS邻居：创建IS-IS进程，使能IS-IS接口。

l 配置各LSR的LSR-ID。
l 在各LSR节点上全局使能MPLS。
说明
SR-TE手工隧道，由控制器生成标签并计算LSP路径，因此需要在控制器上完成对应的配置。
配置流程
2.2.5.1 使能 MPLS TE
在MPLS域的所有节点上使能MPLS TE是配置所有TE特性的首要步骤。
操作步骤
步骤2 执行命令mpls lsr-id lsr-id，配置本节点的LSR ID。
配置LSR ID时，请注意以下事项：
l 配置LSR ID是进行所有MPLS配置的前提。
l LSR没有缺省的LSR ID，必须手工配置。
l 推荐使用LSR某个Loopback接口的地址做为LSR ID。
步骤3 执行命令mpls，进入MPLS视图。
步骤4 执行命令mpls te，全局使能本节点的MPLS TE。
步骤5 执行命令quit，退回系统视图。
----结束
2.2.5.2 使能全局 SR 能力
转发器要具备SR功能，每路由每标签，必须先使能SR能力。
背景信息
SR（Segment routing）技术使转发器每路由每标签，减少了转发器的资源占用。要具
备SR功能，必须先使能全局SR能力。
操作步骤
步骤2 执行命令segment-routing，使能全局SR能力。
----结束
2.2.5.3 配置 IS-IS 的 SR-TE 能力和拓扑上报

创建SR-TE隧道之前需要使能IS-IS的SR-TE能力并上报网络拓扑信息。

背景信息
SR-TE隧道建立之前，需要完成标签的分配以及网络拓扑信息的收集和上报，以便控制
器进行路径计算并生成与算路结果对应的标签栈。SR-TE的标签可以由控制器进行分
配，也可以由转发器的IS-IS协议扩展进行分配。网络拓扑信息（包含IS-IS协议分配的
标签）由IS-IS协议进行收集，通过IS-IS协议泛洪或者BGP-LS发布路由信息的方式将拓
扑信息上报控制器。
操作步骤
步骤1 配置IS-IS的SR-TE能力
在SR-TE隧道的各节点进行如下配置。
3. 执行命令cost-style { compatible [ relax-spf-limit ] | wide | wide-compatible }，配置
IS-IS的Wide Metric属性。
4. 执行命令traffic-eng [ level-1 | level-2 | level-1-2 ]，使能IS-IS TE。
5. 执行命令segment-routing mpls，使能IS-IS对应拓扑的SR功能。
步骤2 配置网络拓扑上报控制器
在SR-TE隧道的一个或多个节点进行如下配置。
说明
l 如果控制器与转发器直连，则可以不配置BGP-LS路由发布能力，通过转发器与控制器之间
的IS-IS协议即可将分配好的标签和网络拓扑信息上报给控制器。
如果控制器与转发器非直连，则必须在转发器与控制器之间配置BGP-LS能力，才能完成拓
扑上报。
l 一个转发器与控制器之间建立IS-IS邻居或BGP-LS邻居即可完成整网拓扑信息上报。可根据
网络规模选择一个或多个节点进行配置。
3. 执行命令bgp-ls enable [ level-1 | level-2 | level-1-2 ]，使能IS-IS协议向BGP-LS发布
网络拓扑的能力。
4. 执行命令quit，退回系统视图。
5. 配置BGP-LS路由发布能力
a. 执行命令bgp { as-number-plain | as-number-dot }，使能BGP能力，并进入BGP
视图。
b. 执行命令peer ipv4-address as-number as-number-plain，创建BGP对等体。
c. 执行命令link-state-family unicast，使能BGP-LS能力，并进入BGP-LS地址族
视图。
d. 执行命令peer { group-name | ipv4–address } enable，使能对等体交换BGP-LS
----结束

2.2.5.4 配置 SR-TE 隧道接口

SR-TE隧道是通过Tunnel接口来建立和管理的，因此需要在隧道的入节点上配置SR-TE
隧道接口。
操作步骤
步骤2 执行命令interface tunnel tunnel-number，创建Tunnel接口，并进入Tunnel接口视图。
步骤3 配置隧道接口的IP地址，选择如下方式之一：
l 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置Tunnel接口的IP地
址。
必须先配置主IP地址，才能为Tunnel接口配置从IP地址。
l 执行命令ip address unnumbered interface interface-type interface-number，配置隧
道接口借用其他接口的IP地址。
说明
MPLS TE隧道是单向的，不存在对端地址的问题，不建议为Tunnel接口单独配置IP地址，通常的
做法是Tunnel接口借用Ingress节点的LSR ID作为地址。
步骤4 执行命令tunnel-protocol mpls te，配置隧道协议为MPLS TE。

步骤5 执行命令destination ip-address，配置隧道的目的地址，一般配置为出节点的LSR ID。
由于不同类型的隧道对于目的地址要求不同，当隧道协议从其他类型改变为MPLS TE
时，原先配置的destination将被自动删除，需要重新配置。
步骤6 执行命令mpls te tunnel-id tunnel-id，配置隧道ID。
步骤7 执行命令mpls te signal-protocol segment-routing，使能segment routing能力。
步骤8 执行命令mpls te pce delegate，使能PCE托管，由控制器完成算路。
----结束
2.2.5.5 （可选）配置 PCC SR 能力

配置PCC（PCE Client）SR能力，在控制器完成算路后，由控制器将路径信息下发给转
发器。
背景信息
配置PCC（PCE Client）SR能力，路径计算托管控制器完成。控制器完成算路后，通过
PCEP消息将路径信息下发给转发器。
说明
路径信息的下发也可以通过第三方网管下发给转发器，如果通过第三方网管下发给转发器，则无
需配置PCC的SR能力，该步骤可忽略。
操作步骤

步骤2 执行命令pce-client，为节点配置PCE client，并进入PCE Client视图。
步骤3 执行命令capbility segment-routing，使能segment routing能力。
步骤4 执行命令connect-server ip-address，配置PCE Client的候选PCE Server。
----结束
2.2.5.6 （可选）配置模拟 SR-TE 中间节点的 Link 标签的转发行为能力

SR-TE网络中存在不支持SR-TE的设备，需要配置模拟SR-TE中间节点的Link标签的转
发行为能力。
背景信息
在SR-TE的网络中，存在不支持SR-TE的设备，通过配置模拟SR-TE中间节点的Link标
签的转发行为能力，来解决不支持SR-TE的设备的转发行为问题。
操作步骤
步骤2 执行命令sr-te-simulate static-cr-lsp transit lsp-name incoming-interface interface-type

interface-number sid segmentid outgoing-interface interface-type interface-number nexthop
next-hop-address out-label implicit-null，配置模拟SR-TE中间节点的Link标签的转发行
为能力。
除了lsp-name外，如果对其他参数进行了配置，需要修改这些参数时，可以直接执行sr-
te-simulate static-cr-lsp transit命令进行配置，而不需要执行undo sr-te-simulate static-
cr-lsp transit命令取消原有配置。即以上参数支持更新。
----结束
2.2.5.7 （可选）配置 SR-TE 显式路径

在SR-TE隧道入节点上配置显式路径，能够指定SR-TE隧道必须经过的节点或者链路。
背景信息
显式路径由一系列节点构成，按配置的先后顺序组成一条向量路径。既可以通过显式
路径中指定下一跳标签来规划SR-TE LSP途径的路径，也可以通过显式路径中指定下一
跳IP地址来规划SR-TE LSP途径的路径。显式路径中的IP地址一般使用接口的IP地址。
使用中的显式路径支持更新。
操作步骤
步骤2 执行命令explicit-path path-name，创建显式路径，进入显式路径视图。
步骤3 选择一种方式配置显式路径。

l 指定显式路径的下一跳标签：执行命令next sid label label-value type { adjacency |

prefix }
l 指定显式路径的下一跳地址：
a. 执行命令next hop ip-address [ include [ [ strict | loose ] | [ incoming |
outgoing ] ] * | exclude ]，指定显式路径的下一个节点。
参数include表示建立的LSP经过指定节点；参数exclude表示建立的LSP不能
经过指定节点。
说明
在配置显式路径规划SR-TE隧道的情况下，不能同时执行命令next sid label和命令next

hop。
在执行命令next hop配置显式路径规划SR-TE隧道时，由于转发器不支持本地算路，
所以必须要将隧道托管给控制器，通过控制器感知显式路径信息计算出标签栈，并将
标签栈下发给隧道使用才能建立LSP。如果不使用控制器，单独执行next hop命令配
置显式路径规划SR-TE隧道，则无法建立LSP。
b. 执行命令add hop ip-address1 [ include [ [ strict | loose ] | [ incoming |
outgoing ] ] * | exclude ] { after | before } ip-address2，向显式路径中插入一个
节点。
c. 执行命令modify hop ip-address1 ip-address2 [ include [ [ strict | loose ] |
[ incoming | outgoing ] ] * | exclude ]，修改显式路径中的节点地址。
d. 执行命令delete hop ip-address，从显式路径中删除一个节点。
----结束
SR-TE隧道配置成功后，您可以查看SR-TE隧道的信息和隧道的状态统计信息。
前提条件
已经完成SR-TE隧道功能的所有配置。
操作步骤
l 使用以下命令查看IS-IS TE状态：
– display isis traffic-eng advertisements [ { level-1 | level-2 | level-1-2 } | { lsp-id |
local } ] * [ process-id | [ vpn-instance vpn-instance-name ] ]
– display isis traffic-eng statistics [ process-id | [ vpn-instance vpn-instance-
name ] ]
l 使用display mpls te tunnel [ destination ip-address ] [ lsp-id lsr-id session-id local-
lsp-id | lsr-role { all | egress | ingress | remote | transit } ] [ name tunnel-name ]
[ { incoming-interface | interface | outgoing-interface } interface-type interface-
number ] [ verbose ]命令查看隧道信息。
l 使用display mpls te tunnel statistics或者display mpls sr-te-lsp命令查看LSP统计信
息。
l 使用display mpls te tunnel-interface [ tunnel tunnel-number ]命令在隧道入节点查看
隧道接口信息。

l （可选）当标签栈深度超过转发器所支持的标签栈深度时，控制器将整条路径分
为多个标签栈携带，当控制器将后半段标签下发给粘连节点，在粘连节点上使用
display mpls te stitch-label-stack命令可以查看粘连标签栈的信息。
----结束
任务示例
完成上述配置后，请执行下面的命令检查配置结果。
执行命令display mpls te tunnel，可以看到隧道状态为Up。例如：
<HUAWEI> display mpls te tunnel name Tunnel2 verbose
No : 1
Tunnel-Name : Tunnel2
Tunnel Interface Name : Tunnel2
TunnelIndex : -
Session ID : 1 LSP ID : 535
LSR Role : Ingress
Ingress LSR ID : 1.1.1.9
Egress LSR ID : 4.4.4.9
In-Interface : -
Out-Interface : -
Sign-Protocol : Segment-Routing Resv Style : -
IncludeAnyAff : 0x0 ExcludeAnyAff : 0x0
IncludeAllAff : 0x0
ER-Hop Table Index : 0 AR-Hop Table Index: -
C-Hop Table Index : -
PrevTunnelIndexInSession: - NextTunnelIndexInSession: -
PSB Handle : -
Created Time : 2012/02/02 05:12:27
--------------------------------
DS-TE Information
--------------------------------
Bandwidth Reserved Flag : Unreserved
CT0 Bandwidth(Kbit/sec) : 0 CT1 Bandwidth(Kbit/sec): 0
Setup-Priority : 0 Hold-Priority : 0
--------------------------------
FRR Information
--------------------------------
Primary LSP Info
Bypass In Use : Not Exists
Bypass Tunnel Id : 0
BypassTunnel : -
Bypass LSP ID : - FrrNextHop : -
ReferAutoBypassHandle : -
FrrPrevTunnelTableIndex : - FrrNextTunnelTableIndex: -
Bypass Attribute(Not configured)
Setup Priority : - Hold Priority : -
HopLimit : - Bandwidth : -
IncludeAnyGroup : - ExcludeAnyGroup : -
IncludeAllGroup : -
Bypass Unbound Bandwidth Info(Kbit/sec)
CT0 Unbound Bandwidth : - CT1 Unbound Bandwidth: -
--------------------------------
BFD Information
--------------------------------
NextSessionTunnelIndex : - PrevSessionTunnelIndex: -
NextLspId : - PrevLspId : -

2.2.6 配置 OSPF SR-TE 手工隧道

SR-TE手工隧道需要在转发器手工配置TE隧道，标签生成和路径计算托管控制器完
成。
应用环境
现有的TE隧道，每条LSP路径一个标签，隧道的创建和路径的生成都在转发器完成，
增加了转发器的负担，占用了过多的转发器资源。使用SR-TE手工创建隧道技术可以带
来以下两点益处：
l 控制器生成标签，减轻了转发器负担。
l 路径计算由控制器完成，每路由一个标签，减轻了转发器负担，减少了转发器的
资源占用，使转发器更能聚焦核心的转发业务，提高转发性能。
前置任务
在配置SR-TE隧道之前，需完成以下任务：
l 配置OSPF协议，保证各LSR在网络层互通。
l 在控制器和转发器之间配置OSPF邻居：创建OSPF进程。
l 配置各LSR的LSR-ID。
l 在各LSR节点上全局使能MPLS。
说明
SR-TE手工隧道，由控制器生成标签并计算LSP路径，因此需要在控制器上完成对应的配置。
配置流程
2.2.6.1 使能 MPLS TE
在MPLS域的所有节点上使能MPLS TE是配置所有TE特性的首要步骤。
操作步骤
步骤2 执行命令mpls lsr-id lsr-id，配置本节点的LSR ID。
配置LSR ID时，请注意以下事项：
l 配置LSR ID是进行所有MPLS配置的前提。
l LSR没有缺省的LSR ID，必须手工配置。
l 推荐使用LSR某个Loopback接口的地址做为LSR ID。
步骤3 执行命令mpls，进入MPLS视图。
步骤4 执行命令mpls te，全局使能本节点的MPLS TE。
----结束

2.2.6.2 使能全局 SR 能力
转发器要具备SR功能，每路由每标签，必须先使能SR能力。
背景信息
SR（Segment routing）技术使转发器每路由每标签，减少了转发器的资源占用。要具
备SR功能，必须先使能全局SR能力。
操作步骤
步骤2 执行命令segment-routing，使能全局SR能力。
----结束
2.2.6.3 配置标签分配和拓扑收集方式
创建SR-TE隧道之前需要使能OSPF的SR-TE能力并上报网络拓扑信息。
背景信息
SR-TE隧道建立之前，需要完成标签的分配以及网络拓扑信息的收集和上报，以便控制
器进行路径计算并生成与算路结果对应的标签栈。SR-TE的标签可以由控制器进行分
配，也可以由转发器的OSPF协议扩展进行分配。网络拓扑信息（包含OSPF协议分配的
标签）由OSPF协议进行收集，通过OSPF协议泛洪或者BGP-LS发布路由信息的方式将
拓扑信息上报控制器。
操作步骤
步骤1 配置OSPF的SR-TE能力
在SR-TE隧道的各节点进行如下配置。
2. 执行命令ospf [ process-id ]，进入OSPF视图。
3. 执行命令opaque-capability enable，使能OSPF的Opaque能力。
4. 执行命令segment-routing mpls，使能OSPF对应拓扑的SR功能。
5. 执行命令area area-id，进入OSPF的区域视图。
6. 执行命令mpls-te enable [ standard-complying ]，在当前OSPF区域使能TE。
步骤2 配置网络拓扑上报控制器
在SR-TE隧道的一个或多个节点进行如下配置。

说明
l 如果控制器与转发器直连，则可以不配置BGP-LS路由发布能力，通过转发器与控制器之间
的OSPF协议即可将分配好的标签和网络拓扑信息上报给控制器。
如果控制器与转发器非直连，则必须在转发器与控制器之间配置BGP-LS能力，才能完成拓
扑上报。
l 一个转发器与控制器之间建立OSPF邻居或BGP-LS邻居即可完成整网拓扑信息上报。可根据
网络规模选择一个或多个节点进行配置。
2. 执行命令area area-id，进入OSPF的区域视图。
3. 执行命令bgp-ls enable，使能OSPF协议向BGP-LS发布网络拓扑的能力。
4. 执行命令quit，退回系统视图。
5. 配置BGP-LS路由发布能力
a. 执行命令bgp { as-number-plain | as-number-dot }，使能BGP能力，并进入BGP
视图。
b. 执行命令peer ipv4-address as-number as-number-plain，创建BGP对等体。
c. 执行命令link-state-family unicast，使能BGP-LS能力，并进入BGP-LS地址族
视图。
d. 执行命令peer { group-name | ipv4-address } enable，使能对等体交换BGP-LS路
由信息的能力。
----结束
2.2.6.4 配置 SR-TE 隧道接口

SR-TE隧道是通过Tunnel接口来建立和管理的，因此需要在隧道的入节点上配置SR-TE
隧道接口。
操作步骤
步骤2 执行命令interface tunnel tunnel-number，创建Tunnel接口，并进入Tunnel接口视图。
步骤3 配置隧道接口的IP地址，选择如下方式之一：
l 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置Tunnel接口的IP地
址。
必须先配置主IP地址，才能为Tunnel接口配置从IP地址。
l 执行命令ip address unnumbered interface interface-type interface-number，配置隧
道接口借用其他接口的IP地址。
说明
MPLS TE隧道是单向的，不存在对端地址的问题，不建议为Tunnel接口单独配置IP地址，通常的
做法是Tunnel接口借用Ingress节点的LSR ID作为地址。
步骤4 执行命令tunnel-protocol mpls te，配置隧道协议为MPLS TE。

步骤5 执行命令destination ip-address，配置隧道的目的地址，一般配置为出节点的LSR ID。
由于不同类型的隧道对于目的地址要求不同，当隧道协议从其他类型改变为MPLS TE
时，原先配置的destination将被自动删除，需要重新配置。

步骤6 执行命令mpls te tunnel-id tunnel-id，配置隧道ID。

步骤7 执行命令mpls te signal-protocol segment-routing，使能segment routing能力。
步骤8 执行命令mpls te pce delegate，使能PCE托管，由控制器完成算路。
----结束
2.2.6.5 （可选）配置 PCC SR 能力

配置PCC（PCE Client）SR能力，在控制器完成算路后，由控制器将路径信息下发给转
发器。
背景信息
配置PCC（PCE Client）SR能力，路径计算托管控制器完成。控制器完成算路后，通过
PCEP消息将路径信息下发给转发器。
说明
路径信息的下发也可以通过第三方网管下发给转发器，如果通过第三方网管下发给转发器，则无
需配置PCC的SR能力，该步骤可忽略。
操作步骤
步骤2 执行命令pce-client，为节点配置PCE client，并进入PCE Client视图。
步骤3 执行命令capbility segment-routing，使能segment routing能力。
步骤4 执行命令connect-server ip-address，配置PCE Client的候选PCE Server。
----结束
2.2.6.6 （可选）配置模拟 SR-TE 中间节点的 Link 标签的转发行为能力

SR-TE网络中存在不支持SR-TE的设备，需要配置模拟SR-TE中间节点的Link标签的转
发行为能力。
背景信息
在SR-TE的网络中，存在不支持SR-TE的设备，通过配置模拟SR-TE中间节点的Link标
签的转发行为能力，来解决不支持SR-TE的设备的转发行为问题。
操作步骤
步骤2 执行命令sr-te-simulate static-cr-lsp transit lsp-name incoming-interface interface-type
interface-number sid segmentid outgoing-interface interface-type interface-number nexthop
next-hop-address out-label implicit-null，配置模拟SR-TE中间节点的Link标签的转发行
为能力。

除了lsp-name外，如果对其他参数进行了配置，需要修改这些参数时，可以直接执行sr-
te-simulate static-cr-lsp transit命令进行配置，而不需要执行undo sr-te-simulate static-
cr-lsp transit命令取消原有配置。即以上参数支持更新。
----结束
2.2.6.7 （可选）配置 SR-TE 显式路径

在SR-TE隧道入节点上配置显式路径，能够指定SR-TE隧道必须经过的节点或者链路。
背景信息
显式路径由一系列节点构成，按配置的先后顺序组成一条向量路径。既可以通过显式
路径中指定下一跳标签来规划SR-TE LSP途径的路径，也可以通过显式路径中指定下一
跳IP地址来规划SR-TE LSP途径的路径。显式路径中的IP地址一般使用接口的IP地址。
使用中的显式路径支持更新。
操作步骤
步骤2 执行命令explicit-path path-name，创建显式路径，进入显式路径视图。
步骤3 选择一种方式配置显式路径。
l 指定显式路径的下一跳标签：执行命令next sid label label-value type { adjacency |
prefix }
l 指定显式路径的下一跳地址：
a. 执行命令next hop ip-address [ include [ [ strict | loose ] | [ incoming |
outgoing ] ] * | exclude ]，指定显式路径的下一个节点。
参数include表示建立的LSP经过指定节点；参数exclude表示建立的LSP不能
经过指定节点。
说明
在配置显式路径规划SR-TE隧道的情况下，不能同时执行命令next sid label和命令next

hop。
在执行命令next hop配置显式路径规划SR-TE隧道时，由于转发器不支持本地算路，
所以必须要将隧道托管给控制器，通过控制器感知显式路径信息计算出标签栈，并将
标签栈下发给隧道使用才能建立LSP。如果不使用控制器，单独执行next hop命令配
置显式路径规划SR-TE隧道，则无法建立LSP。
b. 执行命令add hop ip-address1 [ include [ [ strict | loose ] | [ incoming |
outgoing ] ] * | exclude ] { after | before } ip-address2，向显式路径中插入一个
节点。
c. 执行命令modify hop ip-address1 ip-address2 [ include [ [ strict | loose ] |
[ incoming | outgoing ] ] * | exclude ]，修改显式路径中的节点地址。
d. 执行命令delete hop ip-address，从显式路径中删除一个节点。
----结束

SR-TE隧道配置成功后，您可以查看SR-TE隧道的信息和隧道的状态统计信息。
前提条件
已经完成SR-TE隧道功能的所有配置。
操作步骤
步骤1 使用display ospf [ process-id ] segment-routing routing [ ip-address [ mask | mask-
length ] ]命令查看OSPF Segment Routing的路由表信息。
步骤2 使用display mpls te tunnel [ destination ip-address ] [ lsp-id lsr-id session-id local-lsp-id |
lsr-role { all | egress | ingress | remote | transit } ] [ name tunnel-name ] [ { incoming-
interface | interface | outgoing-interface } interface-type interface-number ] [ verbose ]命令
查看隧道信息。
步骤3 使用display mpls te tunnel statistics或者display mpls sr-te-lsp命令查看LSP统计信息。
步骤4 使用display mpls te tunnel-interface [ tunnel tunnel-number ]命令在隧道入节点查看隧道

接口信息。
----结束
任务示例
完成上述配置后，请执行下面的命令检查配置结果。
# 查看OSPF Segment Routing的路由表信息。

<HUAWEI> display ospf 1 segment-routing routing
OSPF Process 1 with Router ID 2.2.2.2
Destination : 10.2.1.1/32
AdverRouter : 1.1.1.1 Area : 0.0.0.0
In-Label : 153871 Out-Label : 170012
Type : Stub Age : 27h11m17s
Prefix-sid : 1 Flags : -|N|-|-|-|-|-|-
NextHop : 10.1.1.1 Interface : Eth1/0/0
Backup NextHop : - Backup Interface : -
Backup Type : -
BakLabelStack : -
2.2.7 配置 SR 与 LDP 互通
介绍配置SR与LDP互通的方法。
应用环境
SR与LDP互通是一项让Segment Routing和LDP协议在同一网络中共同工作的技术。通
过此技术可以让SR网络连接到LDP网络中，实现两个网络之间的MPLS转发。
如图2-56所示，PE1与P之间是新建的SR域，其中P设备作为Mapping Server，在其上配
置Prefix与SID的映射关系，并且发布给Mapping client，PE1作为Mapping client，接收
Mapping Server发布的Prefix与SID的映射关系。P与PE2之间是LDP域，PE2仅支持
LDP。如果要完成PE1和PE2之间互访，就需要分别建立SR LSP和LDP LSP，并且在P
上建立SR LSP和LDP LSP之间的映射关系。

图 2-56 SR 与 LDP 互通组网图

PE1 P PE2
SR LSP LDP LSP
Mapping client Mapping server
前置任务
在配置SR与LDP互通之前，需要完成如下任务：
l PE1与P之间配置SR LSP，详见配置IS-IS SR-BE隧道。
l P与PE2之间配置LDP LSP，详见配置LDP LSP。
操作步骤
l 在Mapping Server上配置
b. 执行命令segment-routing，进入Segment Routing视图。
c. 执行命令mapping-server prefix-sid-mapping ip-address mask-length begin-
value [ range range-value ] [ attached ]，配置前缀和SID的映射关系。
d. 执行命令quit，退出Segment Routing视图。
e. 执行命令isis [ process-id ]，进入IS-IS视图。
f. 执行命令segment-routing mapping-server send，使能通告本地SID标签映射
消息能力。
g. 执行命令segment-routing mapping-server receive，使能接收SID标签映射消
息能力。
h. 执行命令commit，提交配置。
l 在Mapping client上配置
b. 执行命令isis [ process-id ]，进入IS-IS视图。
c. 执行命令segment-routing mapping-server receive，使能接收SID标签映射消
息能力。
l 在LDP区域与SR区域连接的设备上配置
b. 执行命令mpls，进入MPLS视图。
c. 执行命令lsp-trigger segment-routing-interworking best-effort host，配置触发
建立LDP LSP的策略。
----结束
检查配置结果
已经完成SR与LDP互通的所有配置。


# 查看Segment Routing的标签转发表信息。
--------------------------------------------------------------
Role : I-Ingress, T-Transit, E-Egress, I&T-Ingress And Transit
Prefix Label OutLabel Interface NextHop Role MPLSMtu Mtu State

---------------------------------------------------------------------------------------------------
-----------
3.3.3.9/32 160022 --- Mapping LDP --- E --- --- Active
2.2.8 配置 IS-IS TI-LFA FRR

介绍配置IS-IS TI-LFA FRR的方法。
应用环境
随着网络的不断发展，VoIP和在线视频等业务对实时性的要求越来越高，而IS-IS故障
恢复需要经历“故障感知、LSP更新、LSP泛洪、路由计算和下发FIB”这几个过程才
能将流量切换到新的链路上，因此流量中断的时间远远超过了50ms，不能满足此类网
络业务对实时性的要求。
TI-LFA FRR能为Segment Routing隧道提供链路及节点的保护。当某处链路或节点故障
时，流量会快速切换到备份路径，继续转发，从而最大程度上避免流量的丢失。
LFA和Remote LFA对于某些大型组网，特别是P空间和Q空间即没有交集，也没有直连
的邻居，当某处链路或者节点故障时，无法计算出备份路径，导致流量丢失，不能满
足可靠性要求。这种情况下实现了TI-LFA。
前置任务
在配置IS-IS TI-LFA FRR之前，需完成以下任务：
l 配置接口的网络层地址，使相邻节点网络层可达。
l 配置IS-IS的基本功能(IPv4)。
l 全局使能SR能力，详见使能全局SR能力。
l 在IS-IS进程下使能SR能力。
操作步骤
步骤2 执行命令isis [ process-id ]，使能IS-IS路由进程，进入IS-IS视图。
步骤3 执行命令frr，进入IS-IS FRR视图。
步骤4 执行命令loop-free-alternate [ level-1 | level-2 | level-1-2 ]，使能IS-IS的LFA功能，生成
无环的备份链路。
步骤5 执行命令ti-lfa [ level-1 | level-2 | level-1-2 ]用来使能IS-IS TI-LFA功能。
步骤6 （可选）完成以上配置后，所有IS-IS接口都会参与备份下一跳的计算。如果不希望某
些接口成为备份接口，请顺序执行以下步骤：

1. 执行命令quit，退出IS-IS FRR视图。
2. 执行命令quit，退出IS-IS视图。
3. 执行命令interface interface-type interface-number，进入接口视图。
4. 如果需要阻止为此接口计算TI-LFA备份下一跳，请执行命令isis ti-lfa disable
[ level-1 | level-2 | level-1-2 ]，阻止此接口计算TI-LFA备份下一跳。
----结束
检查配置结果
已经完成IS-IS TI-LFA FRR的所有配置。
l 使用display isis route [ level-1 | level-2 ] [ process-id ] [ verbose ]命令查看使能IS-IS
TI-LFA FRR功能后的主用链路和备份链路信息。
使能IS-IS TI-LFA FRR功能，查看到目的地址为100.1.1.0/24的备份出接口和备份下一跳
信息。检查配置结果如下：
<HUAWEI> display isis route verbose
Route information for ISIS(1)

-----------------------------
ISIS(1) Level-1 Forwarding Table

--------------------------------
IPV4 Dest : 100.1.1.0/24 Int. Cost : 30 Ext. Cost : NULL

Admin Tag : - Src Count : 1 Flags : A/-/L/-/-
Priority : Medium
NextHop : Interface : ExitIndex :
1.0.0.2 GE1/0/0 0x00000003
Prefix-sid : 160001 Weight : 0 Flags : -/N/-/-/-/-/A/L
TI-LFA:
Interface : GE2/0/0
NextHop : 192.168.2.2 LsIndex : 0x00000012
Backup Label Stack(Top->Bottom): {153616, 153620}
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, U-Up/Down Bit Set
ISIS(1) Level-2 Forwarding Table

--------------------------------
IPV4 Dest : 100.1.1.0/24 Int. Cost : 30 Ext. Cost : NULL

Admin Tag : - Src Count : 3 Flags : -/-/-/-/-
Priority : Medium
NextHop : Interface : ExitIndex :
1.0.0.2 GE1/0/0 0x00000003
Prefix-sid : 160002 Weight : 0 Flags : -/N/-/-/-/-/A/L
TI-LFA:
Interface : GE2/0/0
NextHop : 192.168.4.1 LsIndex : 0x00000005
Backup Label Stack(Top->Bottom): {153616, 153620}
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shortcut,

U-Up/Down Bit Set
2.2.9 配置 OSPF TI-LFA FRR

介绍配置OSPF TI-LFA FRR的方法。

应用环境
LFA和Remote LFA对于某些大型组网，特别是P空间和Q空间即没有交集，也没有直连
的邻居，当某处链路或者节点故障时，无法计算出备份路径，导致流量丢失，不能满
足可靠性要求。这种情况下实现了TI-LFA。
TI-LFA FRR能为Segment Routing隧道提供链路及节点的保护。当某处链路或节点故障
时，流量会快速切换到备份路径，继续转发，从而最大程度上避免流量的丢失。
前置任务
在配置OSPF TI-LFA FRR之前，需完成以下任务：
l 配置接口的网络层地址，使相邻节点网络层可达。
l 配置OSPF的基本功能。
l 全局使能SR能力，详见使能全局SR能力。
l 在OSPF进程下使能SR能力。
操作步骤
步骤2 执行命令ospf [ process-id ]，使能OSPF路由进程，进入OSPF视图。
步骤3 执行命令frr，进入OSPF FRR视图。
步骤4 执行命令loop-free-alternate，使能OSPF的LFA功能，生成无环的备份链路。
步骤5 执行命令ti-lfa enable，使能OSPF TI-LFA功能。
步骤6 （可选）完成以上配置后，所有OSPF接口都会参与备份下一跳的计算。如果不希望某
些接口成为备份接口，请顺序执行以下步骤：
1. 执行命令quit，退出OSPF FRR视图。
2. 执行命令quit，退出OSPF视图。
3. 执行命令interface interface-type interface-number，进入接口视图。
4. 配置阻止接口计算TI-LFA备份下一跳，请选择执行如下命令：
– 如果接口是普通接口，执行ospf ti-lfa disable命令，阻止此接口计算TI-LFA备
份下一跳。
– 如果接口是多区域接口，执行ospf ti-lfa disable multi-area area-id命令，阻止
此多区域接口计算TI-LFA备份下一跳。
----结束
任务示例
已经完成OSPF TI-LFA FRR的所有配置。
l 执行命令display ospf [ process-id ] segment-routing routing [ ip-address [ mask |
mask-length ] ]，查看使能OSPF TI-LFA FRR功能后的OSPF Segment Routing的路由
表信息。


Backup Type : -
BakLabelStack : -
2.2.10 配置 SBFD for SR-BE 隧道

通过配置SBFD for SR-BE，介绍检测SR-BE隧道故障的配置方法。
应用环境
使用SBFD for SR-BE，可触发VPN FRR等应用在主隧道故障时进行快速流量切换，以
减少对业务的影响。
前置任务
在配置SBFD for SR-BE之前，需完成以下任务。
l 配置SR-BE隧道。
l 执行mpls lsr-id lsr-id命令配置LSR的ID，且保证对端到本端lsr-id地址的路由可
达。
l 配置SBFD发起端功能，配置SBFD反射端功能。
操作步骤
步骤2 执行命令bfd，使能全局BFD功能。
只有执行bfd命令全局使能BFD功能后，才能进行BFD的相关配置。
步骤4 执行命令sbfd，使能全局SBFD（Seamless Bidirectional Forwarding Detection）功能。
步骤7 执行命令seamless-bfd enable mode tunnel [ filter-policy ip-prefix ip-prefix-name ]，为

Segment Routing隧道配置SBFD功能。
步骤8 （可选）执行命令seamless-bfd tunnel { min-rx-interval receive-interval | min-tx-interval

transmit-interval | detect-multiplier multiplier-value } *，配置Segment Routing隧道的
SBFD参数。
----结束

检查配置结果
SBFD for SR-BE配置成功后，可以使用display segment-routing seamless-bfd tunnel
session [ prefix ip-address [ mask | mask-length ] ]命令查看Segment Routing隧道的SBFD
会话信息。
# 配置成功后，查看Segment Routing隧道的SBFD会话信息。例如：
<HUAWEI> display segment-routing seamless-bfd tunnel session prefix 10.2.2.2 32
Seamless BFD Information for Segment-routing Tunnel
Total Tunnel Number: 1

---------------------------------------------------------------------
Prefix Discriminator State

---------------------------------------------------------------------
10.2.2.2/32 3 Up
2.2.11 配置静态 BFD for SR-TE 隧道

通过配置静态BFD for SR-TE，介绍检测SR-TE隧道故障的配置方法。
应用环境
使用BFD检测SR-TE隧道，可触发VPN FRR等应用在主隧道故障时进行快速流量切
换，以减少对业务的影响。
前置任务
在配置静态BFD for SR-TE之前，需完成以下任务。
l 配置MPLS SR-TE隧道
配置流程
图 2-57 静态 BFD for SR-TE 配置流程图
使能全局BFD功能
配置入节点BFD参数
配置出节点BFD参数
必选步骤
可选步骤

操作步骤
步骤1 使能全局BFD功能
2. 执行命令bfd，对本节点使能全局BFD功能并进入BFD视图。
步骤2 配置入节点BFD参数
2. 执行命令bfd cfg-name bind mpls-te interface interface-type interface-number [ te-lsp
[ backup ] [ one-arm-echo ] | select-board slot-id ]，配置BFD检测SR-TE隧道绑定的
主用或备用LSP。
3. 执行命令discriminator local discr-value，配置BFD会话的本地标识符。
4. 执行命令discriminator remote discr-value，配置BFD会话的远端标识符。
单臂会话不需要配置远端标识符。
5. （可选）执行命令min-tx-interval interval，调整本地发送BFD报文的最小时间间
隔。
单臂会话不支持配置此参数。
本地BFD报文实际发送时间间隔＝MAX { 本地配置的发送时间间隔，对端配置的
接收时间间隔 }。
本地实际接收时间间隔＝MAX { 对端配置的发送时间间隔，本地配置的接收时间
间隔 }。
本地实际检测时间＝本地实际接收时间间隔×对端配置的BFD检测倍数。
例如：本地配置的发送时间间隔为200ms，接收时间间隔为300ms，检测倍数为
4；对端配置的发送时间间隔为100ms，接收时间间隔为600ms，检测倍数为5，
则：
– 本地实际的发送时间间隔为MAX { 200ms，600ms }＝600ms，接收时间间隔
为MAX { 100ms，300ms }＝300ms，检测时间间隔为300ms×5＝1500ms。
– 对端实际的发送时间间隔为MAX { 100ms，300ms }＝300ms，接收时间间隔
6. （可选）执行命令min-rx-interval interval，调整本地允许接收BFD报文的最小时
间间隔。
单臂会话请执行命令min-echo-rx-interval，配置本地允许接收BFD报文的最小时
间间隔。
7. （可选）执行命令detect-multiplier multiplier，调整本地BFD检测倍数。
步骤3 配置出节点BFD参数
2. 执行命令bfd cfg-name bind mpls-te interface interface-type interface-number [ te-lsp
[ backup ] [ one-arm-echo ] | select-board slot-id ]，配置BFD检测SR-TE隧道绑定的
主用或备用LSP。


隔。
当反向通道采用IP链路时，不能配置本地参数。
间隔 }。
则：
间间隔。
间间隔。
7. （可选）执行命令detect-multiplier multiplier，调整BFD检测倍数。
----结束
检查配置结果
BFD检测SR-TE配置成功后，可以查看到BFD会话的状态为Up等配置信息。
l 使用display bfd session mpls-te interface tunnel tunnel-name [ verbose ]命令在隧道
入节点查看BFD会话信息。
l 使用以下命令在隧道出节点查看BFD会话信息：
– 查看所有BFD会话的相关配置信息：display bfd session all [ for-lsp | for-te ]
[ verbose ]
– 查看静态BFD会话的相关配置信息：display bfd session static [ for-lsp | for-te ]
[ verbose ]
l 使用以下命令查看BFD统计信息：
– 查看所有BFD会话的统计信息：display bfd statistics session all [ for-lsp | for-
te ] [ verbose ]
– 查看静态BFD相关会话统计信息：display bfd statistics session static
[ discriminator local-discriminator | for-lsp | for-te ] [ verbose ]

– 查看BFD检测会话统计信息：display bfd statistics session mpls-te interface

tunnel { tunnel-id | tunnel-number } te-lsp
# 配置成功后，执行display bfd session命令，可以看到BFD会话的状态为Up，且类型
为S_TE_TNL。
<HUAWEI> display bfd session discriminator 10
--------------------------------------------------------------------------------
Local Remote PeerIpAddr State Type InterfaceName
--------------------------------------------------------------------------------
10 20 3.3.3.3 Up S_TE_TNL Tunnel1/0/0
--------------------------------------------------------------------------------
# 使用display bfd statistics session all命令查看所有BFD会话的统计信息。

<HUAWEI> display bfd statistics session all
------------------------------------------------------------------------------
State : Up Name : atob
------------------------------------------------------------------------------
Session Type : Static
Bind Type : TE_LSP
Local/Remote Discriminator : 10/20
Received Packets : 1710577
Sent Packets : 1710593
Received Bad Packets : 0
Sent Failed Packets : 0
Down Count : 0
ShortBreak Count : 0
Sent Lsp Ping Count : 0
Create Time : 2012-11-17 12:11:03
Last Down Time : 0000/00/00 00:00:00
Down Status Lasting Time : -D:--H:--M:--S
Last Up Time : 2012-11-17 21:14:50
Last Up Lasting Time : ---D:--H:--M:--S
Total Time From Create : 0D:09H:03M:47S
--------------------------------------------------------------------------------
Total Session Number : 1
2.2.12 配置静态 BFD For SR-TE LSP

通过配置静态BFD For SR-TE LSP，介绍检测SR-TE LSP链路故障的配置方法。
应用环境
SR-TE LSP依赖BFD检测其路径联通性。SR-TE LSP建立时，如果BFD没有协商成功，
则LSP不UP。通过配置静态BFD for SR-TE LSP,如果主路径故障可以快速切换到备份路
径。
前置任务
在配置静态BFD For SR-TE LSP之前，需完成以下任务。
l 配置SR-TE手工隧道

配置流程
图 2-58 静态 BFD For SR-TE LSP 配置流程图
使能全局BFD功能
配置入节点BFD参数
配置出节点BFD参数
必选步骤
可选步骤
操作步骤
步骤1 使能全局BFD功能
2. 执行命令bfd，对本节点使能全局BFD功能并进入BFD视图。
步骤2 配置入节点BFD参数
2. 执行命令bfd session-name bind mpls-te interface interface-type interface-number [ te-
lsp [ backup ] ] [ one-arm-echo ]，配置BFD检测SR-TE隧道绑定的主用或备用
LSP。
如果指定one-arm-echo参数，表示BFD检测SR-TE隧道为单臂模式。由于BFD For
SR-TE无法实现与其他厂商设备进行互通，当其他厂商设备作为出节点时，无法
创建BFD会话。通过配置BFD检测SR-TE隧道为单臂模式，可以解决上述问题。
隔。
间隔 }。

则：
间间隔。
间间隔。
7. （可选）执行命令detect-multiplier multiplier，调整本地BFD检测倍数。
步骤3 配置出节点BFD参数
2. 执行命令bfd session-name bind mpls-te interface interface-type interface-number [ te-
lsp [ backup ] ] [ one-arm-echo ]，配置BFD检测SR-TE隧道绑定的主用或备用
LSP。
如果指定one-arm-echo参数，表示BFD检测SR-TE LSP为单臂模式。由于BFD For

SR-TE无法实现与其他厂商设备进行互通，当其他厂商设备作为出节点时，无法
创建BFD会话。通过配置BFD检测SR-TE LSP为单臂模式，可以解决上述问题。
隔。
间隔 }。
则：
间间隔。

间间隔。
7. （可选）执行命令detect-multiplier multiplier，调整BFD检测倍数。
----结束
检查配置结果
BFD检测SR-TE LSP配置成功后，可以查看到BFD会话的状态为Up等配置信息。
l 使用display bfd session mpls-te interface tunnel-name te-lsp [ verbose ]命令查看隧
道入节点BFD会话信息。
l 使用以下命令查看隧道出节点BFD会话信息：
– 查看所有BFD会话的相关配置信息：display bfd session all [ for-ip | for-lsp |
for-te ] [ verbose ]
– 查看静态BFD会话的相关配置信息：display bfd session static [ for-ip | for-lsp |
for-te ] [ verbose ]
– 查看所有BFD会话的统计信息：display bfd statistics session all [ for-ip | for-
lsp | for-te ] [ verbose ]
– 查看静态BFD相关会话统计信息：display bfd statistics session static
[ discriminator local-discriminator | for-ip | for-lsp | for-te ] [ verbose ]
– 查看检测LSP的BFD会话统计信息：display bfd statistics session mpls-te
interface tunnel { tunnel-id | tunnel-number } te-lsp
# 配置成功后，执行display bfd session all命令，可以看到BFD会话的状态为Up，且类
型为S_TE_LSP。
<HUAWEI> display bfd session discriminator 10
(w): State in WTR
(*): State is invalid
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
10 20 3.3.3.3 Up S_TE_LSP Tunnel1/0/0
--------------------------------------------------------------------------------
# 使用display bfd statistics session all命令查看所有BFD会话的统计信息。

<HUAWEI> display bfd statistics session all
(w): State in WTR
--------------------------------------------------------------------------------
State : Up Name : mainlsptope2
--------------------------------------------------------------------------------
Session Type : Static
Bind Type : TE_LSP
Local/Remote Discriminator : 413/314
Received Packets : 6
Send Packets : 58
Received Bad Packets : 0
Send Bad Packets : 0
Down Count : 0
ShortBreak Count : 0
Send Lsp Ping Count : 0
Create Time : 2012-12-07 05:28:33
Last Down Time : -
Total Time From Last DOWN : ---D:--H:--M:--S

Last Up Time : 2012-12-07 05:29:58

Last Up Lasting Time : 000D:00H:02M:04S
Total Time From Create : 000D:00H:04M:04S
--------------------------------------------------------------------------------
Total Session Number : 1
2.2.13 配置动态 BFD For SR-TE LSP

动态BFD For SR-TE LSP可以用来快速检测SR-TE LSP的故障，为SR-TE LSP中的流量
提供保护。
应用环境
SR-TE LSP依赖BFD检测其路径联通性。SR-TE LSP建立时，如果BFD没有协商成功，
则LSP不UP。通过配置BFD for SR-TE LSP,如果主路径故障可以快速切换到备份路径。
BFD For SR-TE LSP支持静态和动态的，相对静态BFD而言，动态创建BFD会话可以减
少配置的复杂性，减少人为的配置错误。
目前动态BFD不能检测整条SR-TE隧道。
前置任务
在配置动态BFD For SR-TE LSP之前，需完成以下任务：
l 配置SR-TE手工隧道
配置流程
图 2-59 动态 BFD For SR-TE LSP 配置流程图
全局使能BFD功能
入节点上使能SR-TE动态创
建BFD会话
出节点使能被动创建BFD会
话
调整入节点的BFD检测参数
必选步骤
可选步骤
操作步骤
步骤1 全局使能BFD

2. 执行命令bfd，使能BFD。
步骤2 入节点上使能SR-TE动态创建BFD会话
使能SR-TE动态创建BFD会话有两种配置方法：
l 当入节点的大部分SR-TE隧道都需要使能自动创建BFD会话时，建议选择全局使
能。
l 当入节点的小部分SR-TE隧道需要使能自动创建BFD会话时，建议选择Tunnel接口
下使能。
请根据实际需要选择合适的配置。
l 全局使能
b. 执行命令mpls，进入MPLS视图。
c. 执行命令mpls te bfd enable [ one-arm-echo ]，触发SR-TE自动创建BFD会
话。
在MPLS视图下配置该命令后，所有Tunnel接口都使能了BFD For SR-TE
LSP，除非Tunnel接口的BFD For SR-TE LSP能力已被阻塞。
如果指定one-arm-echo参数，表示BFD检测SR-TE LSP为单臂模式。由于BFD
For SR-TE LSP无法实现与其他厂商设备进行互通，当其他厂商设备作为出节
点时，无法创建BFD会话。通过配置BFD检测SR-TE LSP为单臂模式，可以解
决上述问题。
d. （可选）如果有些SR-TE隧道不需要使能BFD For SR-TE LSP，则在这些隧道
的Tunnel接口下配置阻塞BFD For SR-TE LSP能力：
n 执行命令interface tunnel interface-number，进入SR-TE隧道接口。
n 执行命令mpls te bfd block，阻塞该SR-TE隧道自动创建BFD会话能力。
e. 执行命令commit，提交配置。
l Tunnel接口下使能
– 执行命令system-view，进入系统视图。
– 执行命令interface tunnel interface-number，进入SR-TE隧道接口。
– 执行命令mpls te bfd enable [ one-arm-echo ]，触发该SR-TE隧道自动创建
BFD会话。
在Tunnel接口视图下配置该命令只对当前Tunnel接口生效。
如果指定one-arm-echo参数，表示BFD检测SR-TE LSP为单臂模式。由于BFD
For SR-TE LSP无法实现与其他厂商设备进行互通，当其他厂商设备作为出节
点时，无法创建BFD会话。通过配置BFD检测SR-TE LSP为单臂模式，可以解
决上述问题。
– 执行命令commit，提交配置。
步骤3 出节点使能被动创建BFD会话
2. 执行命令bfd，进入BFD视图。
3. 执行命令mpls-passive，使能被动创建BFD会话功能。
执行完该命令不创建BFD会话，而是等接收到源端发送的携带BFD TLV的LSP
Ping请求报文后才建立BFD会话。

步骤4 （可选）调整入节点的BFD检测参数
隧道入节点的BFD检测参数有两种调整方法：
l 调整全局的BFD检测参数：当入节点的大部分SR-TE隧道都使用相同的BFD检测参
数时使用此方法
l 调整Tunnel接口的BFD检测参数：当入节点有些SR-TE隧道需要使用与全局不同的
BFD检测参数时，则在这些隧道的Tunnel接口下单独调整BFD检测参数，否则
Tunnel接口使用全局的BFD检测参数
说明
本地BFD报文实际发送时间间隔＝MAX { 本地配置的发送时间间隔，对端配置的接收时间间
隔 }；本地实际接收时间间隔＝MAX { 对端配置的发送时间间隔，本地配置的接收时间间隔 }；
对于被动创建BFD会话的TE隧道出节点，BFD报文的接收时间间隔、发送时间间隔和检测倍数
都不能调整，缺省值已是TE入节点上可设置的最小值。因此，BFD for TE中，隧道两端节点最
终采用的BFD检测时间为：
l 入节点实际检测时间间隔＝入节点配置的接收时间间隔×3
l 出节点实际检测时间间隔＝入节点配置的发送时间间隔×入节点配置的检测倍数
请根据实际需要选择合适的配置。
l 调整全局的BFD检测参数
– 执行命令mpls，进入MPLS视图。
– 执行命令mpls te bfd { min-tx-interval tx-interval | min-rx-interval tx-interval |
detect-multiplier multiplier }*，设置BFD检测的时间参数。
l 调整Tunnel接口的BFD检测参数
– 执行命令interface tunnel interface-number，进入Tunnel接口视图。
– 执行命令mpls te bfd { min-tx-interval tx-interval | min-rx-interval rx-interval |
detect-multiplier multiplier }*，设置BFD检测的时间参数。
----结束
检查配置结果
配置动态BFD For SR-TE LSP成功后，执行相关命令可以检查配置结果。
l 使用display bfd session dynamic [ verbose ]命令在隧道入节点上查看BFD会话信
息。
l 使用display bfd session passive-dynamic [ peer-ip peer-ip remote-discriminator
discriminator ] [ verbose ]命令在隧道出节点上查看被动创建的BFD会话信息。
– 查看BFD所有相关统计信息：display bfd statistics
– 查看动态BFD会话相关统计信息：display bfd statistics session dynamic
l 使用display mpls bfd session { protocol rsvp-te | outgoing-interface interface-type
interface-number } [ verbose ]命令查看与MPLS相关的BFD会话信息。

# 在隧道入节点上执行display bfd session dynamic verbose命令查看MPLS TE动态触发

的BFD会话状态。可以看到BFD会话状态为Up，会话绑定的链路类型是TE_LSP。
<HUAWEI> display bfd session dynamic verbose
(w): State in WTR
--------------------------------------------------------------------------------
State : Up Name : dyn_16385
--------------------------------------------------------------------------------
Local Discriminator : 16385 Remote Discriminator : 16385
Session Detect Mode : Asynchronous Mode Without Echo Function
BFD Bind Type : TE_LSP
Bind Session Type : Dynamic
Bind Peer IP Address : 3.3.3.3
NextHop Ip Address : 172.16.12.2
Bind Interface : Tunnel3 TE LSP Type : Primary
Tunnel ID : 33
FSM Board Id : 3 TOS-EXP : 7
Min Tx Interval (ms) : 10 Min Rx Interval (ms) : 10
Actual Tx Interval (ms): 10 Actual Rx Interval (ms): 10
Local Detect Multi : 3 Detect Interval (ms) : 30
Echo Passive : Disable Acl Number : -
Destination Port : 3784 TTL : 1
Proc Interface Status : Disable Process PST : Enable
WTR Interval (ms) : - Config PST : Enable
Active Multi : 3
Last Local Diagnostic : No Diagnostic
Bind Application : TE
Session TX TmrID : - Session Detect TmrID : -
Session Init TmrID : - Session WTR TmrID : -
Session Echo Tx TmrID : -
Session Description : -
--------------------------------------------------------------------------------
Total UP/DOWN Session Number : 1/0
# 在隧道出节点上执行命令display bfd session passive-dynamic verbose命令查看被动创

建的BFD会话信息。可以看出节点上创建的是一个绑定对端IP地址的多跳BFD会话。
<HUAWEI> display bfd session passive-dynamic verbose
(w): State in WTR
--------------------------------------------------------------------------------
(Multi Hop) State : Up Name : dyn_16385
--------------------------------------------------------------------------------
Local Discriminator : 16385 Remote Discriminator : 16385
Session Detect Mode : Asynchronous Mode Without Echo Function
BFD Bind Type : Peer IP Address
Bind Session Type : Entire_Dynamic
Bind Peer IP Address : 1.1.1.1
Bind Interface : -
FSM Board Id : 3 TOS-EXP : 7
Min Tx Interval (ms) : 10 Min Rx Interval (ms) : 10
Actual Tx Interval (ms): 10 Actual Rx Interval (ms): 10
Local Detect Multi : 3 Detect Interval (ms) : 30
Echo Passive : Disable Acl Number : -
Destination Port : 3784 TTL : 253
Proc Interface Status : Disable Process PST : Disable
WTR Interval (ms) : - Config PST : Disable
Active Multi : 3
Last Local Diagnostic : No Diagnostic
Bind Application : No Application Bind
Session TX TmrID : - Session Detect TmrID : -
Session Init TmrID : - Session WTR TmrID : -
Session Echo Tx TmrID : -
Session Description : -
--------------------------------------------------------------------------------
Total UP/DOWN Session Number : 1/0

2.2.14 SR-BE 配置举例

介绍SR-BE的各种组网举例。
2.2.14.1 配置 L3VPN 迭代 SR-BE 隧道示例

配置L3VPN，保证相同VPN用户之间的安全互访。
组网需求
如图2-60所示:
l CE1、CE2属于vpna。
l vpna使用的VPN-target属性为111:1。
配置L3VPN迭代SR-BE隧道，保证相同VPN用户之间的安全互访。同时由于公网PE之
间存在多条链路，要求数据流量在公网能够进行负载分担。
图 2-60 L3VPN 迭代 SR-BE 隧道组网图

说明
本例中interface1、interface2、interface3分别代表GE1/0/0、GE2/0/0、GE3/0/0。
SR Domain Loopback1
AS: 100 2.2.2.9/32
Interface3
PE1 Interface3 172.2.1.2/24 PE2
172.1.1.1/24
Loopback1 Interface1 P1 Interface2 Loopback1
1.1.1.9/32 172.1.1.2/24 172.2.1.1/24 3.3.3.9/32
Interface1 P2
Interface2 Interface1 Interface2
10.1.1.2/24 172.3.1.1/24 172.4.1.2/24 10.2.1.2/24
Interface1 Interface2
172.3.1.2/24 172.4.1.1/24
Loopback1
4.4.4.9/32
AS: 65410 10.1.1.1/24 AS: 65420
10.2.1.1/24
CE1 CE2
Loopback1 Loopback1
11.1.1.1/32 22.2.2.2/32
配置注意事项
在配置过程中，需注意以下事项：
PE与CE相连的接口绑定了VPN实例后，将删除该接口上已经配置的IP地址、路由协议
等三层特性，如果需要应重新配置。

配置思路
采用如下的思路配置L3VPN迭代SR-BE隧道：
1. 骨干网上配置IS-IS实现PE之间的互通。
2. 骨干网上使能MPLS，配置Segment Routing，建立SR LSP。使能TI-LFA FRR。
3. PE上配置使能IPv4地址族VPN实例，并把与CE相连的接口和相应的VPN实例绑
定。
4. PE之间配置MP-IBGP交换路由信息。
5. CE与PE之间配置EBGP交换路由信息。
数据准备
l PE及P上的MPLS LSR-ID。
l vpna的路由属性VPN-Target和RD。
l PE及P上的SRGB范围。
操作步骤
步骤1 配置接口的IP地址。
# 配置PE1。
[~HUAWEI] sysname PE1
[*HUAWEI] commit
[~PE1] interface loopback 1
[*PE1-LoopBack1] ip address 1.1.1.9 32
[*PE1-LoopBack1] quit
[*PE1] interface gigabitethernet1/0/0
[*PE1-GigabitEthernet1/0/0] ip address 172.3.1.1 24
[*PE1-GigabitEthernet1/0/0] quit
[*PE1] commit
# 配置P1。
[~HUAWEI] sysname P1
[*HUAWEI] commit
[~P1] interface loopback 1
[*P1-LoopBack1] ip address 2.2.2.9 32
[*P1-LoopBack1] quit
[*P1] interface gigabitethernet1/0/0
[*P1-GigabitEthernet1/0/0] ip address 172.1.1.2 24
[*P1-GigabitEthernet1/0/0] quit
[*P1] commit
# 配置PE2。
[*HUAWEI] commit


[*PE2] commit
# 配置P2。
[~HUAWEI] sysname P2
[*HUAWEI] commit
[*P2-LoopBack1] ip address 4.4.4.9 32
[*P2] commit
步骤2 在骨干网上配置IGP协议，实现骨干网PE和P的互通。本例中以IS-IS为例进行说明。
# 配置PE1。
[~PE1] isis 1
[*PE1-isis-1] is-level level-1
[*PE1-isis-1] network-entity 10.0000.0000.0001.00
[*PE1-isis-1] quit
[*PE1] commit
[*PE1] interface loopback 1
[*PE1-LoopBack1] isis enable 1
[*PE1-GigabitEthernet1/0/0] isis enable 1
[*PE1] commit
# 配置P1。
[~P1] isis 1
[*P1-isis-1] is-level level-1
[*P1-isis-1] network-entity 10.0000.0000.0002.00
[*P1-isis-1] quit
[*P1] commit
[*P1-LoopBack1] isis enable 1
[*P1-GigabitEthernet1/0/0] isis enable 1
[*P1] commit
# 配置PE2。
[~PE2] isis 1

[*PE2-isis-1] quit
[*PE2] commit
[*PE2] commit
# 配置P2。
[~P2] isis 1
[*P2-isis-1] is-level level-1
[*P2-isis-1] network-entity 10.0000.0000.0004.00
[*P2-isis-1] quit
[*P2] commit
[*P2-LoopBack1] isis enable 1
[*P2] commit
步骤3 在骨干网上配置MPLS基本能力
# 配置PE1。
[~PE1] mpls lsr-id 1.1.1.9
[*PE1] mpls
[*PE1-mpls] commit
[~PE1-mpls] quit
# 配置P1。
[~P1] mpls lsr-id 2.2.2.9
[*P1] mpls
[*P1-mpls] commit
[~P1-mpls] quit
# 配置PE2。
[*PE2] mpls
[*PE2-mpls] commit
[~PE2-mpls] quit
# 配置P2。
[~P2] mpls lsr-id 4.4.4.9
[*P2] mpls
[*P2-mpls] commit
[~P2-mpls] quit
步骤4 在骨干网上配置Segment Routing，同时使能TI-LFA FRR功能

# 配置PE1。
[~PE1] segment-routing
[*PE1-segment-routing] tunnel-prefer segment-routing
[*PE1-segment-routing] quit
[*PE1] commit

[~PE1] isis 1
[*PE1-isis-1] cost-style wide
[*PE1-isis-1] segment-routing mpls
[*PE1-isis-1] segment-routing global-block 160000 161000
说明
SRGB取值范围动态变化，具体以设备的实际情况为准。此处仅做示例。
[*PE1-isis-1] frr
[*PE1-isis-1-frr] loop-free-alternate level-1
[*PE1-isis-1-frr] ti-lfa level-1
[*PE1-isis-1-frr] quit
[*PE1-isis-1] quit
[*PE1-LoopBack1] isis prefix-sid index 10
[*PE1] commit
# 配置P1。
[~P1] segment-routing
[*P1-segment-routing] tunnel-prefer segment-routing
[*P1-segment-routing] quit
[*P1] commit
[~P1] isis 1
[*P1-isis-1] cost-style wide
[*P1-isis-1] segment-routing mpls
[*P1-isis-1] segment-routing global-block 160000 161000
说明
[*P1-isis-1] frr
[*P1-isis-1-frr] loop-free-alternate level-1
[*P1-isis-1-frr] ti-lfa level-1
[*P1-isis-1-frr] quit
[*P1-isis-1] quit
[*P1] interface loopback 1
[*P1-LoopBack1] isis prefix-sid index 20
[*P1] commit
# 配置PE2。
[*PE2] commit
[~PE2] isis 1
说明
[*PE2-isis-1] frr
[*PE2-isis-1-frr] loop-free-alternate level-1
[*PE2-isis-1-frr] ti-lfa level-1
[*PE2-isis-1-frr] quit
[*PE2-isis-1] quit
[*PE2] commit
# 配置P2。
[~P2] segment-routing
[*P2-segment-routing] tunnel-prefer segment-routing
[*P2-segment-routing] quit

[*P2] commit
[~P2] isis 1
[*P2-isis-1] cost-style wide
[*P2-isis-1] segment-routing mpls
[*P2-isis-1] segment-routing global-block 160000 161000
说明
[*P2-isis-1] frr
[*P2-isis-1-frr] loop-free-alternate level-1
[*P2-isis-1-frr] ti-lfa level-1
[*P2-isis-1-frr] quit
[*P2-isis-1] quit
[*P2] interface loopback 1
[*P2-LoopBack1] isis prefix-sid index 40
[*P2] commit
步骤5 在PE之间建立MP-IBGP对等体关系
# 配置PE1。
[~PE1] bgp 100
[~PE1-bgp] peer 3.3.3.9 as-number 100
[*PE1-bgp] peer 3.3.3.9 connect-interface loopback 1
[*PE1-bgp] ipv4-family vpnv4
[*PE1-bgp-af-vpnv4] peer 3.3.3.9 enable
[*PE1-bgp-af-vpnv4] commit
[~PE1-bgp-af-vpnv4] quit
[~PE1-bgp] quit
# 配置PE2。
[~PE2] bgp 100
[*PE2-bgp] ipv4-family vpnv4
[*PE2-bgp-af-vpnv4] peer 1.1.1.9 enable
[*PE2-bgp-af-vpnv4] commit
[~PE2-bgp-af-vpnv4] quit
[~PE2-bgp] quit
配置完成后，在PE设备上执行display bgp peer或display bgp vpnv4 all peer命令，可以

看到PE之间的BGP对等体关系已建立，并达到Established状态。以PE1的显示为例。
[~PE1] display bgp peer
BGP local router ID : 1.1.1.9
Total number of peers : 1 Peers in established state : 1
Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv
3.3.3.9 4 100 2 6 0 00:00:12 Established 0
[~PE1] display bgp vpnv4 all peer
3.3.3.9 4 100 12 18 0 00:09:38 Established 0
步骤6 在PE设备上配置使能IPv4地址族的VPN实例，将CE接入PE
# 配置PE1。
[~PE1] ip vpn-instance vpna
[*PE1-vpn-instance-vpna] ipv4-family
[*PE1-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1
[*PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[*PE1-vpn-instance-vpna-af-ipv4] quit
[*PE1-vpn-instance-vpna] quit


[*PE1-GigabitEthernet1/0/0] ip binding vpn-instance vpna
[*PE1] commit
# 配置PE2。
[*PE2-vpn-instance-vpna-af-ipv4] route-distinguisher 200:1
[*PE2-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[*PE2-GigabitEthernet1/0/0] ip binding vpn-instance vpna
[*PE2] commit
# 按图2-60配置各CE的接口IP地址，配置过程请参见后面的配置文件。
配置完成后，在PE设备上执行display ip vpn-instance verbose命令可以看到VPN实例的
配置情况。各PE能ping通自己接入的CE。
说明
当PE上有多个绑定了同一个VPN的接口，则使用ping -vpn-instance命令ping对端PE接入的CE
时，要指定源IP地址，即要指定ping -vpn-instance vpn-instance-name -a source-ip-address dest-ip-
address命令中的参数-a source-ip-address，否则可能ping不通。
步骤7 在PE设备上配置隧道选择策略，优选SR LSP。

# 配置PE1。
[~PE1] tunnel-policy p1
[*PE1-tunnel-policy-p1] tunnel select-seq sr-lsp load-balance-number 2
[*PE1-tunnel-policy-p1] quit
[*PE1] commit
[*PE1-vpn-instance-vpna-af-ipv4] tnl-policy p1
[*PE1] commit
# 配置PE2。
[*PE2] commit
[*PE2-vpn-instance-vpna-af-ipv4] tnl-policy p1
[*PE2] commit
步骤8 在PE与CE之间建立EBGP对等体关系
# 配置CE1。
[~CE1] interface loopback 1
[*CE1-LoopBack1] ip address 11.1.1.1 32
[*CE1-LoopBack1] quit
[*CE1] interface gigabitethernet1/0/0
[*CE1-GigabitEthernet1/0/0] ip address 10.1.1.1 24
[*CE1-GigabitEthernet1/0/0] quit

[*CE1] bgp 65410

[*CE1-bgp] network 11.1.1.1 32
[*CE1-bgp] quit
[*CE1] commit
说明
CE2的配置与CE1设备配置类似，配置过程请参见后面的配置文件。
# 配置PE1。
[~PE1] bgp 100
[*PE1-bgp] ipv4-family vpn-instance vpna
[*PE1-bgp-vpna] peer 10.1.1.1 as-number 65410
[*PE1-bgp-vpna] commit
[*PE1-bgp-vpna] quit
说明
PE2的配置与PE1类似，配置过程请参见后面的配置文件。
配置完成后，在PE设备上执行display bgp vpnv4 vpn-instance peer命令，可以看到PE

与CE之间的BGP对等体关系已建立，并达到Established状态。
以PE1与CE1的对等体关系为例：
[~PE1] display bgp vpnv4 vpn-instance vpna peer
VPN-Instance vpna, Router ID 1.1.1.9:

10.1.1.1 4 65410 11 9 0 00:06:37 Established 1
在PE设备上执行display ip routing-table vpn-instance命令，可以看到去往CE上的
Loopback接口路由。
以PE1的显示为例：
[~PE1] display ip routing-table vpn-instance vpna
Route Flags: R - relay, D - download
to fib, T - to vpn-instance, B - black hole route
------------------------------------------------------------------------------
Routing Tables: vpna
Destinations : 7 Routes : 7
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.1.0/24 Direct 0 0 D 10.1.1.2 GigabitEthernet1/0/0
11.1.1.1/32 EBGP 255 0 RD 10.1.1.1 GigabitEthernet1/0/0
22.2.2.2/32 IBGP 255 0 RD 3.3.3.9 GigabitEthernet1/0/0
IBGP 255 0 RD 3.3.3.9 GigabitEthernet3/0/0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
同一VPN的CE能够相互Ping通，例如：CE1能够Ping通CE2（22.2.2.2）。
[~CE1] ping -a 11.1.1.1 22.2.2.2

0.00% packet loss

----结束
配置文件
#
sysname PE1
#
ip vpn-instance vpna
ipv4-family
tnl-policy policy1
#
mpls lsr-id 1.1.1.9
#
mpls
#
segment-routing
tunnel-prefer segment-routing
#
isis 1
is-level level-1
cost-style wide
network-entity 10.0000.0000.0001.00
segment-routing mpls
segment-routing global-block 160000 161000
#
undo shutdown
ip address 172.3.1.1 255.255.255.0
isis enable 1
#
undo shutdown
ip binding vpn-instance vpna
ip address 10.1.1.2 255.255.255.0
#
undo shutdown
ip address 172.1.1.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
isis enable 1
isis prefix-sid index 10
frr
loop-free-alternate level-1
ti-lfa level-1
#
bgp 100
#
ipv4-family unicast
peer 3.3.3.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable
#
ipv4-family vpn-instance vpna


#
tunnel-policy policy1
tunnel select-seq sr-lsp load-balance-number 2
#
return
l P1的配置文件
#
sysname P1
#
mpls lsr-id 2.2.2.9
#
mpls
#
segment-routing
#
isis 1
is-level level-1
cost-style wide
network-entity 10.0000.0000.0002.00
frr
ti-lfa level-1
#
undo shutdown
ip address 172.1.1.2 255.255.255.0
isis enable 1
#
undo shutdown
ip address 172.2.1.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
isis enable 1
#
return
#
sysname PE2
#
ip vpn-instance vpna
ipv4-family
tnl-policy policy1
#
mpls lsr-id 3.3.3.9
#
mpls
#
segment-routing
#
isis 1
is-level level-1
cost-style wide
network-entity 10.0000.0000.0003.00
frr

ti-lfa level-1
#
undo shutdown
ip address 172.4.1.2 255.255.255.0
isis enable 1
#
undo shutdown
ip binding vpn-instance vpna
ip address 10.2.1.2 255.255.255.0
#
undo shutdown
ip address 172.2.1.2 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
isis enable 1
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
#
ipv4-family vpn-instance vpna
#
#
return
l P2的配置文件
#
sysname P2
#
mpls lsr-id 4.4.4.9
#
mpls
#
segment-routing
#
isis 1
is-level level-1
cost-style wide
network-entity 10.0000.0000.0004.00
frr
ti-lfa level-1
#
undo shutdown
ip address 172.3.1.2 255.255.255.0
isis enable 1
#

undo shutdown
ip address 172.4.1.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 4.4.4.9 255.255.255.255
isis enable 1
#
return
#
sysname CE1
#
undo shutdown
ip address 10.1.1.1 255.255.255.0
#
interface LoopBack1
ip address 11.1.1.1 255.255.255.255
#
bgp 65410
network 11.1.1.1 255.255.255.255
#
ipv4-family unicast
#
return
#
sysname CE2
#
undo shutdown
ip address 10.2.1.1 255.255.255.0
#
interface LoopBack1
ip address 22.2.2.2 255.255.255.255
#
bgp 65420
network 22.2.2.2 255.255.255.255
#
ipv4-family unicast
#
return
2.2.14.2 配置非标签公网 BGP 路由迭代 SR-BE 隧道示例

配置非标签公网BGP路由迭代SR-BE隧道，使公网BGP流量可以通过隧道转发。
组网需求
当用户通过运营商网络访问互联网时，如果报文采用IP转发的话，则从用户到互联网
路径上的运营商核心设备都需要学习到大量的互联网路由，这给运营商的核心设备带
来了很大的负担，影响核心设备的性能。为了解决这个问题，可以在用户的接入设备
上配置非标签公网BGP路由或者非标签公网静态路由迭代SR隧道功能，让用户通过隧
道转发访问互联网，这样就能解决运营商的核心设备性能不足，压力过大或者不希望
核心路由器承载业务等问题。
下面以图2-61为例，介绍配置非标签公网BGP路由迭代SR-BE隧道。

图 2-61 非标签公网 BGP 路由迭代 SR-BE 隧道组网图

说明
本例中interface1、interface2分别代表GE1/0/0和GE2/0/0。
SR Domain
AS: 100
Uer loopback1 loopback1 loopback1
Network 1.1.1.9/32 2.2.2.9/32 3.3.3.9/32
172.1.1.2/24 172.2.1.2/24
Uer PE1 172.1.1.1/24 P1 172.2.1.1/24 PE2
Network
BGP
配置注意事项
建立对等体时，当所指定的对等体的IP地址为Loopback接口地址或子接口的IP地址时，
需要在对等体两端同时配置命令peer connect-interface，以保证两端连接的正确性。
配置思路
采用如下的思路配置非标签公网BGP路由迭代SR-BE隧道：
2. 骨干网上使能MPLS，配置Segment Routing，建立SR LSP。
3. PE之间配置IBGP交换路由信息。
4. PE上使能非标签公网BGP路由迭代SR-BE隧道。
数据准备
l PE及P上的SRGB范围。
操作步骤
# 配置PE1。
[*HUAWEI] commit


[*PE1] commit
# 配置P。
[~HUAWEI] sysname P
[*HUAWEI] commit
[~P] interface loopback 1
[*P-LoopBack1] ip address 2.2.2.9 32
[*P-LoopBack1] quit
[*P] interface gigabitethernet1/0/0
[*P-GigabitEthernet1/0/0] ip address 172.1.1.2 24
[*P-GigabitEthernet1/0/0] quit
[*P] commit
# 配置PE2。
[*HUAWEI] commit
[*PE2] commit
步骤2 在骨干网上配置IGP协议，实现骨干网PE之间的互通。本例中以IS-IS为例进行说明。
# 配置PE1。
[~PE1] isis 1
[*PE1-isis-1] quit
[*PE1] commit
[*PE1] commit
# 配置P。
[~P] isis 1
[*P-isis-1] is-level level-1
[*P-isis-1] network-entity 10.0000.0000.0002.00
[*P-isis-1] quit
[*P] commit
[*P-LoopBack1] isis enable 1
[*P-LoopBack1] quit
[*P-GigabitEthernet1/0/0] isis enable 1
[*P] commit
# 配置PE2。

[~PE2] isis 1
[*PE2-isis-1] quit
[*PE2] commit
[*PE2] commit
# 配置PE1。
[*PE1] mpls
[*PE1-mpls] commit
[~PE1-mpls] quit
# 配置P。
[~P] mpls lsr-id 2.2.2.9
[*P] mpls
[*P-mpls] commit
[~P-mpls] quit
# 配置PE2。
[*PE2] mpls
[*PE2-mpls] commit
[~PE2-mpls] quit
步骤4 在骨干网上配置Segment Routing

# 配置PE1。
[*PE1] commit
[~PE1] isis 1
[*PE1-isis-1] quit
[*PE1] commit
# 配置P。
[~P] segment-routing
[*P-segment-routing] tunnel-prefer segment-routing
[*P-segment-routing] quit
[*P] commit
[~P] isis 1
[*P-isis-1] cost-style wide
[*P-isis-1] segment-routing mpls
[*P-isis-1] segment-routing global-block 160000 161000
[*P-isis-1] quit
[*P] interface loopback 1
[*P-LoopBack1] isis prefix-sid index 20
[*P-LoopBack1] quit
[*P] commit

# 配置PE2。
[*PE2] commit
[~PE2] isis 1
[*PE2-isis-1] quit
[*PE2] commit
步骤5 在PE之间建立IBGP对等体关系
# 配置PE1。
[~PE1] bgp 100
[*PE1-bgp] commit
[~PE1-bgp] quit
# 配置PE2。
[~PE2] bgp 100
[*PE2-bgp] commit
[~PE2-bgp] quit
配置完成后，在PE设备上执行display bgp peer命令，可以看到PE之间的BGP对等体关

系已建立，并达到Established状态。以PE1的显示为例。
[~PE1] display bgp peer
3.3.3.9 4 100 2 6 0 00:00:12 Established 0
步骤6 在PE设备上使能非标签公网BGP路由迭代SR-BE隧道
# 配置PE1。
[*PE1] commit
[~PE1] tunnel-selector s1 permit node 10
[*PE1-tunnel-selector] apply tunnel-policy p1
[*PE1-tunnel-selector] quit
[*PE1] bgp 100
[*PE1-bgp] unicast-route recursive-lookup tunnel tunnel-selector s1
[*PE1-bgp] commit
[~PE1-bgp] quit
# 配置PE2。
[*PE2] commit
[~PE2] tunnel-selector s1 permit node 10
[*PE2-tunnel-selector] apply tunnel-policy p1

[*PE2-tunnel-selector] quit
[*PE2] bgp 100
[*PE2-bgp] unicast-route recursive-lookup tunnel tunnel-selector s1
[*PE2-bgp] commit
[~PE2-bgp] quit
----结束
配置文件
#
sysname PE1
#
mpls lsr-id 1.1.1.9
#
mpls
#
segment-routing
#
isis 1
is-level level-1
cost-style wide
network-entity 10.0000.0000.0001.00
#
undo shutdown
ip address 172.1.1.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
isis enable 1
#
bgp 100
unicast-route recursive-lookup tunnel tunnel-selector s1
#
ipv4-family unicast
peer 3.3.3.9 enable
#
#
tunnel-selector s1 permit node 10
apply tunnel-policy p1
#
return
l P的配置文件
#
sysname P
#
mpls lsr-id 2.2.2.9
#
mpls
#
segment-routing
#
isis 1
is-level level-1

cost-style wide
network-entity 10.0000.0000.0002.00
#
undo shutdown
ip address 172.1.1.2 255.255.255.0
isis enable 1
#
undo shutdown
ip address 172.2.1.2 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
isis enable 1
#
return
#
sysname PE2
#
mpls lsr-id 3.3.3.9
#
mpls
#
segment-routing
#
isis 1
is-level level-1
cost-style wide
network-entity 10.0000.0000.0003.00
#
undo shutdown
ip address 172.2.1.2 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
isis enable 1
#
bgp 100
unicast-route recursive-lookup tunnel tunnel-selector s1
#
ipv4-family unicast
peer 1.1.1.9 enable
#
#
tunnel-selector s1 permit node 10
apply tunnel-policy p1
#
return

2.2.14.3 配置 SR 与 LDP 互通示例

配置SR与LDP互通，保证SR域与LDP域可以基于MPLS转发技术通信。
组网需求
如图2-62所示，PE1与P之间是新建的SR域，P与PE2之间是LDP域。现在需要PE1与PE2
之间能够互访。
图 2-62 SR 与 LDP 互通组网图

说明
本例中interface1和interface2分别代表GE1/0/0、GE2/0/0。
Loopback1 Loopback1 Loopback1

1.1.1.9/32 2.2.2.9/32 3.3.3.9/32
172.1.1.1/24 172.2.1.2/24
PE1 172.1.1.2/24 P 172.2.1.1/24 PE2
SR LSP LDP LSP
配置注意事项
SR域需要有设备能够把LDP域的前缀信息映射为SR域的SID。
配置思路
采用如下的思路配置SR与LDP互通：
2. 骨干网上使能MPLS。PE1与P之间配置Segment Routing，建立SR LSP。P与PE2之
间配置LDP，建立LDP LSP。
3. P上配置Mapping Server功能，将LDP域的前缀信息映射为SR域的SID。
数据准备
l PE1及P上的SRGB范围。
操作步骤
# 配置PE1。


[*HUAWEI] commit
[*PE1] commit
# 配置P。
[~HUAWEI] sysname P
[*HUAWEI] commit
[*P-LoopBack1] ip address 2.2.2.9 32
[*P-LoopBack1] quit
[*P] commit
# 配置PE2。
[*HUAWEI] commit
[*PE2] commit
步骤2 在骨干网上配置IGP协议，实现骨干网PE和P的互通。本例中以IS-IS为例进行说明。
# 配置PE1。
[~PE1] isis 1
[*PE1-isis-1] quit
[*PE1] commit
[*PE1] commit
# 配置P。
[~P] isis 1
[*P-isis-1] is-level level-1
[*P-isis-1] network-entity 10.0000.0000.0002.00
[*P-isis-1] quit
[*P] commit
[*P-LoopBack1] isis enable 1
[*P-LoopBack1] quit


[*P] commit
# 配置PE2。
[~PE2] isis 1
[*PE2-isis-1] quit
[*PE2] commit
[*PE2] commit
# 配置PE1。
[*PE1] mpls
[*PE1-mpls] commit
[~PE1-mpls] quit
# 配置P。
[~P] mpls lsr-id 2.2.2.9
[*P] mpls
[*P-mpls] commit
[~P-mpls] quit
[*P-GigabitEthernet2/0/0] mpls
[*P] commit
# 配置PE2。
[*PE2] mpls
[*PE2-mpls] commit
[~PE2-mpls] quit
[*PE2-GigabitEthernet1/0/0] mpls
[*PE2] commit
步骤4 在骨干网上PE1与P之间配置Segment Routing

# 配置PE1。
[*PE1] commit
[~PE1] isis 1
[*PE1] commit
# 配置P。

[*P-segment-routing] tunnel-prefer segment-routing
[*P] commit
[~P] isis 1
[*P-isis-1] cost-style wide
[*P-isis-1] segment-routing mpls
[*P-isis-1] segment-routing global-block 160000 161000
[*P] interface loopback 1
[*P-LoopBack1] isis prefix-sid index 20
[*P-LoopBack1] quit
[*P] commit
步骤5 在PE2与P之间建立LDP LSP。

# 配置P。
[~P] mpls ldp
[*P-mpls-ldp] commit
[~P-mpls-ldp] quit
[*P-GigabitEthernet2/0/0] mpls ldp
[*P] commit
# 配置PE2。
[~PE2] mpls ldp
[*PE2-mpls-ldp] commit
[~PE2-mpls-ldp] quit
[*PE2-GigabitEthernet1/0/0] mpls ldp
[*PE2] commit
步骤6 在PE1和P设备上配置Mapping Server功能。在P上配置SR与LDP互通。

# 配置PE1。
[~PE1] isis 1
[*PE1-isis-1] segment-routing mapping-server receive
[*PE1-isis-1] quit
[*PE2] commit
# 配置P。
[*P-segment-routing] mapping-server prefix-sid-mapping 3.3.3.9 32 22
[*P] commit
[~P] isis 1
[*P-isis-1] segment-routing mapping-server receive
[*P-isis-1] segment-routing mapping-server send
[*P-isis-1] quit
[*P] commit
[~P] mpls
[*P-mpls] lsp-trigger segment-routing-interworking best-effort host
[*P-mpls] commit
[~P-mpls] quit
在SR设备上执行display segment-routing prefix mpls forwarding命令，查看Segment
Routing的标签转发表信息。
# 以P的显示为例：
[~P] display segment-routing prefix mpls forwarding


--------------------------------------------------------------
Role : I-Ingress, T-Transit, E-Egress, I&T-Ingress And Transit
Prefix Label OutLabel Interface NextHop Role MPLSMtu Mtu State

---------------------------------------------------------------------------------------------------
-----------
3.3.3.9/32 160022 --- Mapping LDP --- E --- --- Active
可以看到存在3.3.3.9/32转发表项，且出接口是Mapping LDP，表明在P设备上SR LSP与

MPLS LDP LSP粘连成功。
# PE间能够相互Ping通，例如：PE1能够Ping通PE2（3.3.3.9）。
[~PE1] ping lsp segment-routing ip 3.3.3.9 32 version draft2 remote 3.3.3.9
LSP PING FEC: IPV4 PREFIX 3.3.3.9/32 : 100 data bytes, press CTRL_C to break
Reply from 3.3.3.9: bytes=100 Sequence=1 time=72 ms
--- FEC: IPV4 PREFIX 3.3.3.9 ping statistics ---
0.00% packet loss
----结束
配置文件
#
sysname PE1
#
mpls lsr-id 1.1.1.9
#
mpls
#
segment-routing
#
isis 1
cost-style wide
network-entity 10.0000.0000.0001.00
segment-routing mapping-server receive
#
undo shutdown
ip address 192.1.1.1 255.255.255.0
isis enable 1
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
isis enable 1
#
return
l P的配置文件
#
sysname P
#
mpls lsr-id 2.2.2.9
#

mpls
lsp-trigger segment-routing-interworking best-effort host
#
mpls ldp
#
segment-routing
mapping-server prefix-sid-mapping 3.3.3.9 32 22
#
isis 1
cost-style wide
network-entity 10.0000.0000.0002.00
segment-routing mapping-server send
segment-routing mapping-server receive
#
undo shutdown
ip address 172.1.1.2 255.255.255.0
isis enable 1
#
undo shutdown
ip address 172.2.1.1 255.255.255.0
isis enable 1
mpls
mpls ldp
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
isis enable 1
#
return
#
sysname PE2
#
mpls lsr-id 3.3.3.9
#
mpls
#
mpls ldp
#
isis 1
cost-style wide
network-entity 10.0000.0000.0003.00
#
undo shutdown
ip address 172.2.1.2 255.255.255.0
isis enable 1
mpls
mpls ldp
#
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
isis enable 1
#
return
2.2.15 SR-TE 配置举例

介绍SR-TE的各种组网举例。

2.2.15.1 配置 SR-TE 手动隧道示例

本例描述了SR-TE手动隧道的基本配置过程，包括使能MPLS TE，配置IS-IS SR-TE能
力，配置TE隧道接口。
组网需求
如图2-63所示，PE1要建立一条到PE2的隧道，同时建立一条PE1到PE2的LSP，路径的
生成和数据的转发采用SR（segment routing）协议。PE1为路径的Ingress节点，PE2为
Egress节点，P1负责收集网络TOPO并通过IS-IS泛洪上报给控制器，控制器通过收集的
TOPO信息计算标签路径，并将路径信息下发给第三方适配器，通过第三方适配器将路
径信息下发给PE1 Ingress节点。
说明
因为路径的下发通过第三方适配器完成，因此无需配置PCC（PCE Client）。
图 2-63 配置 SR-TE 手动隧道组网图

说明
本示例中的Interface1、Interface2、Interface3分别代表接口GE1/0/0、GE2/0/0、GE1/0/1
第三方
适配器
NETCONF
Controller
7.1.2.9
NETCONF IS-IS
Interface3
7.1.2.10/24
PE1 Interface1 P1 Interface2 PE2
IS-IS 10.1.23.3/24 IS-IS 20.1.34.4/24
10.1.23.2/24 20.1.34.3/24
2.1.2.9 3.1.2.9 4.1.2.9
配置思路
采用如下的思路配置SR-TE手动隧道：
1. 配置各节点接口的IP地址及作为MPLS LSR-ID的Loopback接口的地址。
2. 配置LSR-ID并全局使能各节点的MPLS TE和各接口的MPLS TE。
3. 在各节点使能全局segment routing能力。
4. 在各节点配置IS-IS TE。
5. 在P1节点和控制器之间建立IS-IS邻居，以便通过IS-IS泛洪上报网络TOPO
6. 在PE1 Ingress节点创建隧道接口，指定隧道的IP地址、隧道协议、目的地址以及隧
道带宽。

数据准备
l 各接口的IP地址，如图2-63所示。
l IS-IS的进程号为1，各节点的IS-IS System ID 由各节点Loopback0的IP地址转换得
到，IS-IS级别为Level-2。
l 如图2-63所示，在控制器和P1之间建立IS-IS邻居。
操作步骤
步骤1 配置各接口的IP地址
配置各接口的IP地址和掩码，具体配置过程见配置文件。
步骤2 配置IS-IS协议发布各节点接口所连网段和LSR-ID的主机路由
在各个节点上配置IS-IS，使各设备间网络能互通。具体配置过程请参见配置文件。
步骤3 在控制器和P1之间配置IS-IS邻居
在控制器和P1之间配置IS-IS邻居，使控制器和P1能够互通，以便P1通过IS-IS泛洪给控
制器网络TOPO。具体配置过程参见配置文件。
步骤4 配置MPLS基本能力，使能MPLS TE
# 配置PE1。
[~PE1] mpls
[*PE1-mpls] mpls te
[*PE1-mpls] quit
[~PE1] interface gigabitethernet 1/0/0
[*PE1-GigabitEthernet1/0/0] mpls te
[*PE1-GigabitEthernet1/0/0] commit
[~PE1-GigabitEthernet1/0/0] quit
P1、PE2与PE1的配置除lsr-id外，其它配置相同，不再赘述。
步骤5 在各节点使能segment routing能力
# 配置PE1。
[~PE1-segment-routing] commit
P1、PE2与PE1的配置相同，不再赘述。
步骤6 在各节点配置IS-IS TE能力
# 配置PE1。
[~PE1] isis 1
[*PE1-isis-1] traffic-eng level-2
[*PE1-isis-1] commit
[~PE1-isis-1] quit
步骤7 在PE1 Ingress节点配置隧道接口

# 配置PE1。
[~PE1] interface tunnel1
[*PE1-Tunnel1] ip address unnumbered interface loopback 0
[*PE1-Tunnel1] tunnel-protocol mpls te
[*PE1-Tunnel1] destination 4.1.2.9
[*PE1-Tunnel1] mpls te tunnel-id 1
[*PE1-Tunnel1] mpls te signal-protocol segment-routing
[*PE1-Tunnel1] commit
[~PE1-Tunnel1] quit
配置完成后，在PE1上执行display interface tunnel命令，可以看到Tunnel接口的状态为
Up。
在PE1上执行display mpls te tunnel命令，可以看到MPLS TE隧道的建立情况。
[~PE1] display mpls te tunnel
------------------------------------------------------------------------------
Ingress LsrId Destination LSPID In/Out Label R Tunnel-name
------------------------------------------------------------------------------
2.1.2.9 4.1.2.9 1 --/864256 I Tunnel1
-------------------------------------------------------------------------------
R: Role, I: Ingress, T: Transit, E: Egress
在PE1上执行display segment-routing adjacency mpls forwarding命令，可以查看

Segment Routing链路标签转发表。
<~PE1> display segment-routing adjacency mpls forwarding
Segment Routing Adjacency MPLS Forwarding Information
Label Interface NextHop Type MPLSMtu Mtu
----------------------------------------------------------------------------
864256 GE1/0/0 10.1.23.3 STATIC-V4 ---- 1500
Total information(s):1
----结束
配置文件
#
sysname PE1
#
mpls lsr-id 2.1.2.9
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 11.2222.2222.2222.00
import-route static
traffic-eng level-2
#
undo shutdown
ip address 10.1.23.2 255.255.255.0
isis enable 1
mpls
mpls te
#

interface LoopBack0
ip address 2.1.2.9 255.255.255.255
isis enable 1
#
interface Tunnel1
ip address unnumbered interface LoopBack0
tunnel-protocol mpls te
destination 4.1.2.9
mpls te tunnel-id 1
mpls te signal-protocol segment-routing
#
return
l P1的配置文件
#
sysname P1
#
mpls lsr-id 3.1.2.9
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 11.1111.1111.1111.00
import-route static
traffic-eng level-2
#
undo shutdown
ip address 10.1.23.3 255.255.255.0
isis enable 1
mpls
mpls te
#
undo shutdown
ip address 7.1.2.10 255.255.255.0
isis enable 1
#
undo shutdown
ip address 20.1.34.3 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 3.1.2.9 255.255.255.255
isis enable 1
#
return
#
sysname PE2
#
mpls lsr-id 4.1.2.9
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2

cost-style wide
network-entity 11.3333.3333.3333.00
import-route static
traffic-eng level-2
#
undo shutdown
ip address 20.1.34.4 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 4.1.2.9 255.255.255.255
isis enable 1
#
return
2.2.15.2 配置控制器通过 Netconf 下发配置创建 SR-TE 隧道示例

本例描述了控制器通过Netconf下发配置创建SR-TE隧道的基本配置过程。
组网需求
Egress节点，PE和P各设备之间配置ISIS邻居，ISIS负责为每个邻居分配标签，并收集
网络拓扑信息，由P1通过BGP-LS将分配的标签和收集的网络拓扑信息上报给控制器，
控制器计算标签路径，并将路径信息通过PCEP下发给Ingress节点PE1。
图 2-64 配置控制器通过 Netconf 下发配置创建 SR-TE 隧道组网图

说明
本示例中的Interface1、Interface2、Interface3分别代表接口GE1/0/0、GE2/0/0、GE3/0/0
Controller
Interface3
10.2.1.2/24
PCEP BGP-LS
Interface3
10.2.1.1/24 P1
IS-IS IS-IS
PE1 PE2
Interface1 Interface1 Interface2 Interface2
10.1.2.1/24 10.1.2.2/24 10.1.3.2/24 10.1.3.1/24
1.1.1.1 2.2.2.2 3.3.3.3
配置思路
采用如下的思路配置控制器通过Netconf下发配置创建SR-TE隧道：


4. 在各节点配置标签分配和拓扑收集方式，本示例采用转发器分配标签的方式。
5. 在转发器上配置PCE Client及SR能力。
6. 在控制器上配置PCE Server。
数据准备
l 如图2-64所示，在控制器与P1之间建立BGP-LS邻居。
操作步骤
步骤3 在转发器和控制器之间配置PCE，具体配置过程参见配置文件。
# 配置PE1。
[*PE1] mpls
[*PE1-mpls] mpls te
[*PE1-mpls] quit
[*PE1] interface gigabitethernet 1/0/0
# 配置PE1。
[~PE1] segment routing
[*PE1] commit
步骤6 配置标签分配和拓扑收集方式，本示例采用转发器分配标签的方式。
l 使能IS-IS SR-TE能力
[~PE1] isis 1
[*PE1-isis-1] bgp-ls enable level-2

[~PE1-isis-1] quit
l 在P1上配置BGP-LS路由发布能力
# 在P1上使能BGP-LS能力，并与Controller建立BGP-LS邻居。
[~P1] bgp 100
[*P1-bgp] peer 10.2.1.2 as-number 100
[*P1-bgp] link-state-family unicast
[*P1-bgp-af-ls] peer 10.2.1.2 enable
[*P1-bgp-af-ls] commit
[~P1-bgp-af-ls] quit
[~P1-bgp] quit
# 在Controller上使能BGP-LS能力，并与P1建立BGP-LS邻居。
[~Controller] bgp 100
[*Controller-bgp] peer 10.2.1.1 as-number 100
[*Controller-bgp] link-state-family unicast
[*Controller-bgp-af-ls] peer 10.2.1.1 enable
[*Controller-bgp-af-ls] commit
[~Controller-bgp-af-ls] quit
[~Controller-bgp] quit
配置完成后，在PE1上执行display mpls te tunnel-interface命令，可以看到Tunnel接口
的状态为Up。
[~PE1] display mpls te tunnel-interface tunnel1
Tunnel Name : Tunnel1
Signalled Tunnel Name: -
Tunnel State Desc : CR-LSP is Up
Tunnel Attributes :
Active LSP : Primary LSP
Traffic Switch : -
Session ID : 1
Ingress LSR ID : 1.1.1.9 Egress LSR ID: 4.4.4.9
Admin State : UP Oper State : UP
Signaling Protocol : RSVP
FTid : 1
Tie-Breaking Policy : None Metric Type : None
Bfd Cap : None
Reopt : Disabled Reopt Freq : -
Auto BW : Disabled Threshold : 0 percent
Current Collected BW: 0 kbps Auto BW Freq : 0
Min BW : 0 kbps Max BW : 0 kbps
Offload : Disabled Offload Freq : -
Low Value : - High Value : -
Readjust Value : -
Offload Explicit Path Name:
Tunnel Group : -
Interfaces Protected: -
Excluded IP Address : -
Referred LSP Count : 0
Primary Tunnel : - Pri Tunn Sum : -
Backup Tunnel : -
Group Status : - Oam Status : -
IPTN InLabel : - Tunnel BFD Status :
-
BackUp LSP Type : None BestEffort : Disabled
Secondary HopLimit : -
BestEffort HopLimit : -
Secondary Explicit Path Name: -
Secondary Affinity Prop/Mask: 0x0/0x0
BestEffort Affinity Prop/Mask: 0x0/0x0
IsConfigLspConstraint: -
Hot-Standby Revertive Mode: Revertive

Hot-Standby Overlap-path: Disabled

Hot-Standby Switch State: CLEAR
Bit Error Detection: Disabled
Bit Error Detection Switch Threshold: -
Bit Error Detection Resume Threshold: -
Ip-Prefix Name : -
P2p-Template Name : -
PCE Delegate : Only status report LSP Control Status : Local control
Entropy Label :None
Associated Tunnel Group ID: - Associated Tunnel Group Type: -
Auto BW Remain Time : 200 s Reopt Remain Time : 100 s
Primary LSP ID : 1.1.1.9:19

LSP State : UP LSP Type : Primary
Setup Priority : 7 Hold Priority: 7
IncludeAll : 0x0
IncludeAny : 0x0
ExcludeAny : 0x0
Affinity Prop/Mask : 0x0/0x0 Resv Style : SE
Configured Bandwidth Information:
CT0 Bandwidth(Kbit/sec): 20000 CT1 Bandwidth(Kbit/sec): 0
Actual Bandwidth Information:
Explicit Path Name : - Hop Limit: -
Record Route : Disabled Record Label : Disabled
Route Pinning : Disabled
FRR Flag : Disabled
IdleTime Remain : -
BFD Status : -
Soft Preemption : Enabled
Reroute Flag : Disabled
Pce Flag : Normal
在PE1上执行display mpls te tunnel命令，可以看到SR-TE隧道的建立情况。

-------------------------------------------------------------------------------
Ingress LsrId Destination LSPID In/OutLabel R Tunnel-name
-------------------------------------------------------------------------------
- - - 101/101 T lsp
1.1.1.1 3.3.3.3 21 -/330000 I Tunnel1
-------------------------------------------------------------------------------
在PE1上执行display mpls te tunnel path命令，可以看到SR-TE隧道的路径信息。

[~PE1] display mpls te tunnel path
Lsp ID : 1.1.1.1 :1 :21
Hop Information
Hop 0 Label 330002 NAI 10.1.2.2
Hop 1 Label 330002 NAI 10.1.3.1
----结束
配置文件
#
sysname PE1
#
mpls lsr-id 1.1.1.1

#
mpls
mpls te
#
pce-client
capability segment-routing
connect-server 10.2.1.2
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0002.00
traffic-eng level-2
bgp-ls enable level-2
#
undo shutdown
ip address 10.1.2.1 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
interface Tunnel1
destination 3.3.3.3
mpls te tunnel-id 1
#
return
l P1的配置文件
#
sysname P1
#
mpls lsr-id 2.2.2.2
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0003.00
traffic-eng level-2
#
undo shutdown
ip address 10.1.2.2 255.255.255.0
isis enable 1
mpls
mpls te
#
undo shutdown
ip address 10.1.3.2 255.255.255.0
isis enable 1
mpls
mpls te

#
undo shutdown
ip address 10.2.1.1 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
isis enable 1
#
bgp 100
#
ipv4-family unicast
#
link-state-family unicast
#
return
#
sysname PE2
#
mpls lsr-id 3.3.3.3
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0004.00
traffic-eng level-2
#
undo shutdown
ip address 10.1.3.1 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
return
l Controller的配置文件
#
sysname Controller
#
pce-server
source-address 10.2.1.2
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0005.00
traffic-eng level-2
#
undo shutdown
ip address 10.2.1.2 255.255.255.0

isis enable 1
#
bgp 100
#
ipv4-family unicast
#
link-state-family unicast
#
return
2.2.15.3 配置静态 BFD 检测 SR-TE 手动隧道示例

本示例中，通过配置静态BFD检测SR-TE手动隧道，使网络快速感知隧道故障，从而进
行流量切换。
组网需求
Egress节点，P1负责收集网络拓扑并通过IS-IS泛洪上报给控制器，控制器通过收集的
拓扑信息计算标签路径，并将路径信息下发给第三方适配器，通过第三方适配器将路
径信息下发给PE1 Ingress节点。
说明
与第三方对接时，如果对端不支持BFD功能，可通过配置BFD单臂检测，对链路进行检测。
图 2-65 配置 SR-TE 手动隧道组网图

说明
本示例中的Interface1、Interface2、Interface3分别代表接口GE1/0/0、GE2/0/0、GE1/0/1。
第三方
适配器
NETCONF Controller
10.7.2.9
NETCONF IS-IS
Interface3
10.7.2.10/24
PE1 Interface1 P1 Interface2 PE2
IS-IS 10.1.23.3/24 IS-IS 10.20.34.4/24
10.1.23.2/24 10.20.34.3/24
10.21.2.9 10.31.2.9 10.41.2.9
配置思路
采用如下的思路配置SR-TE手动隧道：

4. 在各节点配置IS-IS TE。
5. 在P1节点和控制器之间建立IS-IS邻居，以便通过IS-IS泛洪上报网络拓扑
6. 在PE1 Ingress节点创建隧道接口，指定隧道的IP地址、隧道协议、目的地址以及隧
道带宽。
7. 在PE1上配置BFD会话，检测主路径上的SR-TE隧道。
数据准备
l 如图2-65所示，在控制器和P1之间建立IS-IS邻居。
l BFD会话的名称。
l BFD会话的本地和远端标识符。
操作步骤
步骤3 在控制器和P1之间配置IS-IS邻居
在控制器和P1之间配置IS-IS邻居，使控制器和P1能够互通，以便P1通过IS-IS泛洪给控
制器网络拓扑。具体配置过程参见配置文件。
# 配置PE1。
[~PE1] mpls lsr-id 10.21.2.9
[~PE1] mpls
[*PE1-mpls] mpls te
[*PE1-mpls] quit
[~PE1] interface gigabitethernet 1/0/0
P1、PE2与PE1的配置除lsr-id外，其它配置相同，不再赘述。
# 配置PE1。
[~PE1] commit

步骤6 在各节点配置IS-IS TE能力
# 配置PE1。
[~PE1] isis 1
[~PE1-isis-1] quit
步骤7 在PE1 Ingress节点配置隧道接口
# 配置PE1。
[~PE1] interface tunnel1/0/0
[*PE1-Tunnel1/0/0] ip address unnumbered interface loopback 0
[*PE1-Tunnel1/0/0] tunnel-protocol mpls te
[*PE1-Tunnel1/0/0] destination 10.41.2.9
[*PE1-Tunnel1/0/0] mpls te tunnel-id 1
[*PE1-Tunnel1/0/0] mpls te signal-protocol segment-routing
[*PE1-Tunne1/0/0] commit
[~PE1-Tunnel1/0/0] quit
配置完成后，在PE1上执行display interface tunnel命令，可以看到Tunnel接口的状态为
Up。
在各节点上执行display mpls te tunnel命令，可以看到MPLS TE隧道的建立情况。
------------------------------------------------------------------------------
------------------------------------------------------------------------------
10.21.2.9 10.41.2.9 1 --/20 I Tunnel1/0/0
------------------------------------------------------------------------------
------------------------------------------------------------------------------
10.41.2.9 10.21.2.9 1 --/120 I Tunnel1/0/0
步骤9 配置BFD for SR-TE

# 在PE1上配置BFD会话，检测SR-TE隧道。并指定发送BFD报文的最小时间间隔和允
许接收BFD报文的最小时间间隔。
[~PE1] bfd
[*PE1-bfd] quit
[*PE1] bfd pe1tope2 bind mpls-te interface tunnel1/0/0
[*PE1-bfd-lsp-session-pe1tope2] discriminator local 12
[*PE1-bfd-lsp-session-pe1tope2] discriminator remote 21
[*PE1-bfd-lsp-session-pe1tope2] min-tx-interval 100
[*PE1-bfd-lsp-session-pe1tope2] min-rx-interval 100
[*PE1-bfd-lsp-session-pe1tope2] commit
# 在PE2上配置BFD会话，检测反向SR-TE隧道。并指定发送BFD报文的最小时间间隔
和允许接收BFD报文的最小时间间隔。
[~PE2] bfd
[*PE2-bfd] quit

[*PE2] bfd pe2tope1 bind mpls-te interface tunnel1/0/0

[*PE2-bfd-lsp-session-pe2tope1] discriminator local 21
[*PE1-bfd-lsp-session-pe1tope2] discriminator remote 12
[*PE2-bfd-lsp-session-pe2tope1] min-tx-interval 100
[*PE2-bfd-lsp-session-pe2tope1] min-rx-interval 100
[*PE2-bfd-lsp-session-pe2tope1] commit
# 完成此配置后，在PE1和PE2上执行命令display bfd session { all | discriminator discr-

value | mpls-te interface interface-type interface-number } [ verbose ]命令，可发现BFD会
话状态为Up。
----结束
配置文件
#
sysname PE1
#
mpls lsr-id 10.21.2.9
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 11.1111.1111.1111.00
import-route static
traffic-eng level-2
#
undo shutdown
ip address 10.1.23.2 255.255.255.0
isis enable 1
mpls
mpls te
#
undo shutdown
ip address 192.2.2.152 255.255.0.0
#
interface LoopBack0
ip address 10.21.2.9 255.255.255.255
isis enable 1
#
interface Tunnel1/0/0
destination 10.41.2.9
mpls te tunnel-id 1
#
bfd
#
bfd pe2tope1 bind mpls-te interface Tunnel1/0/0
discriminator local 12
discriminator remote 21
min-tx-interval 100
min-rx-interval 100
#
return
l P1的配置文件

#
sysname P1
#
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 11.2222.2222.2222.00
import-route static
traffic-eng level-2
#
undo shutdown
ip address 10.1.23.3 255.255.255.0
isis enable 1
mpls
mpls te
#
undo shutdown
ip address 10.7.2.10 255.255.255.0
isis enable 1
#
undo shutdown
ip address 10.20.34.3 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 10.31.2.9 255.255.255.255
isis enable 1
#
return
#
sysname PE2
#
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 11.3333.3333.3333.00
import-route static
traffic-eng level-2
#
undo shutdown
ip address 10.20.34.4 255.255.255.0
isis enable 1
mpls
mpls te
#

undo shutdown
ip address 192.2.2.152 255.255.0.0
#
interface LoopBack0
ip address 10.41.2.9 255.255.255.255
isis enable 1
#
interface Tunnel1/0/0
destination 10.21.2.9
mpls te tunnel-id 2
#
bfd
#
bfd pe2tope1 bind mpls-te interface Tunnel1/0/0
min-tx-interval 100
min-rx-interval 100
#
return
2.2.15.4 配置动态 BFD for SR-TE LSP 示例

本示例中，通过配置动态BFD for SR-TE LSP，可以快速检测SR-TE LSP的故障，为SR-
TE LSP中的流量提供保护。
组网需求
如图2-66所示，PE1上建立了一条PE2隧道，同时建立主备两条LSP，路径的生成和数
据的转发采用SR（segment routing）协议。PE2负责收集网络拓扑并通过IS-IS泛洪上报
给控制器，控制器通过收集的拓扑信息计算主备两条LSP的标签路径，并将路径信息下
发给第三方适配器，通过第三方适配器将主备两条LSP的路径信息下发给Ingress节点
PE1。
该隧道使能了热备份。当主LSP故障时，流量切换到备份LSP；当主LSP故障恢复，则
进行流量回切。
说明
与第三方对接时，如果对端不支持BFD功能，可通过配置BFD单臂模式，对链路进行检测。
图 2-66 配置动态 BFD for SR-TE LSP 组网图

说明
本示例中的Interface1、Interface2、Interface3分别代表接口GE1/0/0、GE2/0/0、GE3/0/0。

第三方适配器 Controller
NETCONF Interface3
10.2.1.2/24
NETCONF IS-IS
Interface2
Interface1 Interface1 10.2.1.1/24
10.1.1.1/24 10.1.1.2/24 PE2
PE1
Interface2 IS-IS Interface3
10.1.2.1/24 10.1.3.1/24
Loopback0 Loopback0
1.1.1.1 3.3.3.3
IS-IS IS-IS
P1
10.1.2.2/24 10.1.3.2/24
主LSP
Loopback0
2.2.2.2 备LSP
配置思路
采用如下的思路配置动态BFD for SR-TE LSP：
4. 在各节点配置标签分配和拓扑收集方式，本示例采用控制器分配标签的方式。
5. 在PE2节点和控制器之间建立IS-IS邻居，以便通过IS-IS泛洪上报网络拓扑。
6. 在Ingress节点PE1创建隧道接口，指定隧道的IP地址、隧道协议、目的地址以及隧
道带宽。
7. 配置CR-LSP热备份。
8. 在隧道Ingress端使能BFD，配置MPLS TE BFD，并指定本地发送BFD报文的最小
时间间隔和允许接收BFD报文的最小时间间隔，以及BFD本地检测倍数。
9. 在Egress端使能被动创建BFD会话。
数据准备
l 如图2-66所示，在控制器和PE2之间建立IS-IS邻居。

l BFD会话的名称。
l BFD会话的本地和远端标识符。
操作步骤
步骤3 在控制器和PE2之间配置IS-IS邻居
在控制器和PE2之间配置IS-IS邻居，使控制器和PE2能够互通，以便PE2通过IS-IS泛洪
给控制器网络拓扑。具体配置过程参见配置文件。
# 配置PE1。
[*PE1] mpls
[*PE1-mpls] mpls te
[*PE1-mpls] quit
[*PE1] interface gigabitethernet 1/0/0
# 配置PE1。
[~PE1] segment routing
[*PE1] commit
步骤6 在各节点配置标签分配和拓扑收集方式，本示例采用控制器分配标签的方式。
# 配置PE1。
[~PE1] isis 1
[~PE1-isis-1] quit
步骤7 在Ingress节点PE1上配置隧道接口，并配置热备份
# 配置PE1。
[~PE1] interface tunnel1
[*PE1-Tunnel1] ip address unnumbered interface loopback 0
[*PE1-Tunnel1] tunnel-protocol mpls te
[*PE1-Tunnel1] destination 3.3.3.3
[*PE1-Tunnel1] mpls te tunnel-id 1

[*PE1-Tunnel1] mpls te signal-protocol segment-routing

[*PE1-Tunnel1] mpls te pce delegate
[*PE1-Tunnel1] mpls te backup hot-standby
[*PE1-Tunnel1] commit
[~PE1-Tunnel1] quit
配置完成后，在PE1上执行display mpls te tunnel-interface命令，可以看到Tunnel接口

的状态为Up。
[~PE1] display mpls te tunnel-interface tunnel1
Tunnel Name : Tunnel1
Signalled Tunnel Name: -
Tunnel State Desc : CR-LSP is Up
Tunnel Attributes :
Active LSP : Primary LSP
Traffic Switch : -
Session ID : 1
Ingress LSR ID : 1.1.1.9 Egress LSR ID: 4.4.4.9
Admin State : UP Oper State : UP
Signaling Protocol : RSVP
FTid : 1
Tie-Breaking Policy : None Metric Type : None
Bfd Cap : None
Reopt : Disabled Reopt Freq : -
Auto BW : Disabled Threshold : 0 percent
Current Collected BW: 0 kbps Auto BW Freq : 0
Min BW : 0 kbps Max BW : 0 kbps
Offload : Disabled Offload Freq : -
Low Value : - High Value : -
Readjust Value : -
Offload Explicit Path Name:
Tunnel Group : -
Interfaces Protected: -
Excluded IP Address : -
Referred LSP Count : 0
Primary Tunnel : - Pri Tunn Sum : -
Backup Tunnel : -
Group Status : - Oam Status : -
IPTN InLabel : - Tunnel BFD Status :
-
BackUp LSP Type : None BestEffort : Disabled
Secondary HopLimit : -
BestEffort HopLimit : -
Secondary Explicit Path Name: -
Secondary Affinity Prop/Mask: 0x0/0x0
BestEffort Affinity Prop/Mask: 0x0/0x0
IsConfigLspConstraint: -
Hot-Standby Revertive Mode: Revertive
Hot-Standby Overlap-path: Disabled
Hot-Standby Switch State: CLEAR
Bit Error Detection: Disabled
Bit Error Detection Switch Threshold: -
Bit Error Detection Resume Threshold: -
Ip-Prefix Name : -
P2p-Template Name : -
PCE Delegate : Only status report LSP Control Status : Local control
Entropy Label :None
Associated Tunnel Group ID: - Associated Tunnel Group Type: -
Auto BW Remain Time : 200 s Reopt Remain Time : 100 s
Primary LSP ID : 1.1.1.9:19

LSP State : UP LSP Type : Primary
Setup Priority : 7 Hold Priority: 7
IncludeAll : 0x0
IncludeAny : 0x0
ExcludeAny : 0x0
Affinity Prop/Mask : 0x0/0x0 Resv Style : SE

Configured Bandwidth Information:

Actual Bandwidth Information:
Explicit Path Name : - Hop Limit: -
Record Route : Disabled Record Label : Disabled
Route Pinning : Disabled
FRR Flag : Disabled
IdleTime Remain : -
BFD Status : -
Soft Preemption : Enabled
Reroute Flag : Disabled
Pce Flag : Normal
在PE1上执行display mpls te tunnel命令，可以看到SR-TE隧道的建立情况。

-------------------------------------------------------------------------------
Ingress LsrId Destination LSPID In/OutLabel R Tunnel-name
-------------------------------------------------------------------------------
- - - 101/101 T lsp
1.1.1.1 3.3.3.3 21 -/330000 I Tunnel1
1.1.1.1 3.3.3.3 26 -/330002 I Tunnel1
-------------------------------------------------------------------------------
在PE1上执行display mpls te tunnel path命令，可以看到SR-TE隧道的路径信息。

[~PE1] display mpls te tunnel path
Lsp ID : 1.1.1.1 :1 :21
Hop Information
Hop 0 Label 330000 NAI 10.1.1.2

Lsp ID : 1.1.1.1 :1 :26
Hop Information
Hop 0 Label 330002 NAI 10.1.2.2
Hop 1 Label 330002 NAI 10.1.3.1
步骤9 在隧道Ingress端使能BFD并配置MPLS TE BFD

# 在PE1上的Tunnel接口下使能MPLS TE BFD，并指定本地发送BFD报文的最小时间间
隔和允许接收的最小时间间隔都为100毫秒，BFD本地检测倍数为3。
[~PE1] bfd
[*PE1-bfd] quit
[*PE1] interface tunnel 1
[*PE1-Tunnel1] mpls te bfd enable
[*PE1-Tunenl1] mpls te bfd min-tx-interval 100 min-rx-interval 100 detect-multiplier 3
[*PE1-Tunenl1] commit
[~PE1-Tunenl1] quit
步骤10 在隧道Egress端使能被动创建BFD会话
[~PE2] bfd
[*PE2-bfd] mpls-passive
[*PE2-bfd] commit
[~PE2-bfd] quit
# 完成此步骤后，在PE1和PE2上执行display bfd session mpls-te interface Tunnel ，可

发现BFD会话状态为Up。
[~PE1] display bfd session mpls-te interface Tunnel 1 te-lsp

(w): State in WTR

--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
16399 16386 3.3.3.3 Up D_TE_LSP Tunnel1
--------------------------------------------------------------------------------
----结束
配置文件
#
sysname PE1
#
bfd
#
mpls lsr-id 1.1.1.1
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0002.00
traffic-eng level-2
#
undo shutdown
ip address 10.1.1.1 255.255.255.0
isis enable 1
mpls
mpls te
#
undo shutdown
ip address 10.1.2.1 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
interface Tunnel1
destination 3.3.3.3
mpls te tunnel-id 1
mpls te backup hot-standby
mpls te bfd enable
mpls te bfd min-tx-interval 100 min-rx-interval 100
#
return
l P1的配置文件
#
sysname P1
#
mpls lsr-id 2.2.2.2
#

mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0003.00
traffic-eng level-2
#
undo shutdown
ip address 10.1.2.2 255.255.255.0
isis enable 1
mpls
mpls te
#
undo shutdown
ip address 10.1.3.2 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
isis enable 1
#
return
#
sysname PE2
#
bfd
mpls-passive
#
mpls lsr-id 3.3.3.3
#
mpls
mpls te
#
segment-routing
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0004.00
traffic-eng level-2
#
undo shutdown
ip address 10.1.1.2 255.255.255.0
isis enable 1
mpls
mpls te
#
undo shutdown
ip address 10.1.3.1 255.255.255.0
isis enable 1
mpls
mpls te
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
isis enable 1

#
return
l Controller的配置文件
#
sysname Controller
#
isis 1
is-level level-2
cost-style wide
network-entity 10.0000.0000.0005.00
traffic-eng level-2
#
undo shutdown
ip address 10.2.1.2 255.255.255.0
isis enable 1
#
return
2.3 IPv4 Segment Routing 配置命令
2.3.1 display isis segment-routing mapping-server
命令功能
display isis segment-routing mapping-server命令用来查看IS-IS进程下前缀与SID的映射
关系。
命令格式
display isis [ process-id ] segment-routing mapping-server [ ip-address mask-length ]
参数说明
process-id 指定IS-IS进程号。整数形式，取值范围是1～4294967295。
ip-address 指定接口IP地址。点分十进制格式。
mask-length 指定掩码长度。整数形式，取值范围是0～32。
视图
所有视图
缺省级别
1：监控级

isis read
使用指南
LDP和Segment Routing互通场景，LDP侧可能不支持Segment Routing，所以需要在LDP
和Segment Routing连接的节点上配置mapping-server prefix-sid-mapping命令，将LDP
侧的前缀映射到SID，然后发布到Segment Routing域。其中，使用display isis segment-
routing mapping-server命令可以查看IS-IS进程下前缀与SID的映射关系。
使用实例
# 在发送端查看IS-IS进程下前缀与SID的映射关系。
<HUAWEI> display isis 1 segment-routing mapping-server
ISIS 1 MappingNodeInfo
Total Count: 4
Destination AdverRouter Sid

-------------------------------------------
2.2.2.2/32 1111.1111.1111* 22
3.3.3.3/32 1111.1111.1111* 20000
5.5.5.5/32 1111.1111.1111* 5000
5.5.5.6/32 1111.1111.1111* 5001
# 在接收端查看IS-IS进程下前缀与SID的映射关系。
<HUAWEI> display isis 1 segment-routing mapping-server
ISIS 1 MappingNodeInfo
Total Count: 4
Destination AdverRouter Sid

-------------------------------------------
2.2.2.2/32 1111.1111.1111-L1 22
2.2.2.2/32 1111.1111.1111-L2 22
3.3.3.3/32 1111.1111.1111-L1 20000
3.3.3.3/32 1111.1111.1111-L2 20000
5.5.5.5/32 1111.1111.1111-L1 5000
5.5.5.5/32 1111.1111.1111-L2 5000
5.5.5.6/32 1111.1111.1111-L1 5001
5.5.5.6/32 1111.1111.1111-L2 5001
表 2-26 display isis segment-routing mapping-server 命令输出信息描述
项目描述
Destination 目的前缀信息。
AdverRouter 发布设备。
Sid SID值。

2.3.2 display ospf segment-routing routing
命令功能
display ospf segment-routing routing命令用来查看OSPF Segment Routing的路由表信
息。
命令格式
display ospf [ process-id ] segment-routing routing [ ip-address [ mask | mask-length ] ]
参数说明
process-id 指定OSPF进程号。整数形式，取值范围是1～
4294967295。
如果不指定process-id，则按照进程号升序
显示所有进程的信息。
ip-address 目的IP地址。点分十进制格式。 -
mask 指定子网掩码。点分十进制格式。 -
mask-length 指定掩码长度。整数形式，取值范围是0～
32。
视图
所有视图
缺省级别
1：监控级
ospf debug
使用指南
在Segment Routing特性日常维护过程中，可以执行display ospf segment-routing routing
命令查看OSPF Segment Routing的路由表信息。
使用实例


Backup Type : -
BakLabelStack : -
表 2-27 display ospf segment-routing routing 命令输出信息描述
项目描述
Destination 目的网络。
AdverRouter 发布设备。
Area 发布设备所属区域。
In-Label 入标签值。
Out-Label 出标签值。
Type 目的网络类型。
l Direct：直连路由。
l Inter-area：区域间路由。
l Intra-area:区域内路由。
l Stub：router-lsa发布的路由，对应非广播网络、非
NBMA网络的直连路由。
l Transit：network-lsa发布的路由。
Age 生成时间。
Prefix-sid 前缀SID。
Flags 标志位。
NextHop 到达目的地址的下一跳。
Interface 路由的出接口。
Backup NextHop 到达目的地址的备份下一跳。
Backup Interface 路由的备份出接口。
Backup Type 备份类型。
BakLabelStack 备份标签栈。
2.3.3 display segment-routing adjacency mpls forwarding
命令功能
display segment-routing adjacency mpls forwarding命令用来查看Segment Routing链路
标签转发表。

命令格式
display segment-routing adjacency mpls forwarding
参数说明
无
视图
所有视图
缺省级别
1：监控级
segment-routing read
使用指南
display segment-routing adjacency mpls forwarding命令用来查看Segment Routing链路
标签转发表，查询出的数据和下发给Fes的标签转发表是一一对应的。
在执行undo segment-rounting 之后，所有记录将会被清除。
使用实例
# 显示Segment Routing链路标签转发表。
<HUAWEI> display segment-routing adjacency mpls forwarding
Segment Routing Adjacency MPLS Forwarding Information
Label Interface NextHop Type MPLSMtu Mtu

----------------------------------------------------------------------------
22145 Eth0/3/0/0 192.168.1.2 ISIS-V4 1400 1500
45000 Eth0/3/0/1 192.168.2.2 STATIC-V4 1400 1500
表 2-28 display segment-routing adjacency mpls forwarding 命令输出信息描述
项目描述
Label 标签值，即ipv4 adjacency命令中设置的SID

值
Interface ipv4 adjacency命令中的本地接口
NextHop ipv4 adjacency命令中的远端接口IP地址

项目描述
Type 链接类型：
l ISIS-V4
l STATIC-V4
MPLSMtu MPLS的最大传输单元值
Mtu 最大传输单元值
2.3.4 display segment-routing dynamic global-block

命令功能
display segment-routing dynamic global-block命令用来查看本地为Segment Routing预留
的全局动态标签段范围。
命令格式
display segment-routing dynamic global-block rangecount
参数说明
rangecount 指定全局标签段范围。整数形式，取值范围是2～65535。
视图
所有视图
缺省级别
1：监控级
segr read
使用指南
display segment-routing dynamic global-block命令用来查看本地为Segment Routing预留
的全局动态标签段范围。
使用实例
# 显示本地为Segment Routing预留的全局动态标签段范围。

<HUAWEI> display segment-routing dynamic global-block 2

Segment Routing Dynamic Global Block Information
--------------------------------------------------
Begin Value End Value Range

--------------------------------------------------------------
153616 156245 2630
156502 284687 128186
表 2-29 display segment-routing dynamic global-block 命令输出信息描述
项目描述
Begin Value 可用标签的起始值
End Value 可用标签的结束值
Range 全部可用标签范围
2.3.5 display segment-routing global-block

命令功能
display segment-routing global-block命令用来查看本地为Segment Routing预留的全局标
签范围。
命令格式
display segment-routing global-block
参数说明
无
视图
所有视图
缺省级别
1：监控级
使用指南
display segment-routing global-block命令用来查看本地为Segment Routing预留的全局标
签范围。

使用实例
# 显示所有可用的全局Segment Routing标签值。
<HUAWEI> display segment-routing global-block
Segment Routing Global Block

----------------------------------
Lower SID Upper SID Total
------------------------------------------------------
10000 29999 20000
表 2-30 display segment-routing global-block 命令输出信息描述
项目描述
Lower SID 可用标签的下限，即最小值
Upper SID 可用标签的上限，即最大值
Total 全部可用标签的个数
2.3.6 display segment-routing prefix mpls forwarding
命令功能
display segment-routing prefix mpls forwarding命令用来查看Segment Routing的标签转
发表信息。
命令格式
display segment-routing prefix mpls forwarding [ ip-prefix ip-prefix mask-length | label
label ] [ verbose ]
参数说明
ip-prefix ip-prefix 查看指定IP地址前缀的路由信息。点分十进制格式。
label label 指定前缀标签值。 -
verbose 查看标签转发表中的详细信息。 -
视图
所有视图

缺省级别
1：监控级
使用指南
display segment-routing prefix mpls forwarding命令用来查看Segment Routing的标签转
发表，查询出的数据和下发给Fes的标签转发表是一一对应的。
在执行undo segment-routing命令之后，所有记录将会被清除。
使用实例
i
--------------------------------------------------------------

Mtu State
---------------------------------------------------------------------------------------------------
-------
1.1.1.1/32 160001 3 Eth3/0/0 20.1.1.1 I&T ---
1500 Active
2.2.2.2/32 160002 NULL Loop1 127.0.0.1 E ---
1500 Active
# 显示Segment Routing的标签转发表的详细信息。
<HUAWEI> display segment-routing prefix mpls forwarding verbose

--------------------------------------------------------------
Prefix Label OutLabel Interface NextHop Role MPLSMtu Mtu

State
---------------------------------------------------------------------------------------------------
-------
1.1.1.1/32 160001 3 Eth3/0/0 20.1.1.1 I&T --- 1500
Active
12147(B) Eth3/0/1 192.168.1.3 I&T 1400 1500
Inactive
Protocol : ISIS SubProtocol : Level-1 Process ID : 100
Cost : 10 Weight : 0 UpdateTime : 2017-1-20 1:52:19.120
Label Stack (Top -> Bottom): { 3 }
Backup UpdateTime: 2017-1-13 12:22:19.514
Backup Label Stack (Top -> Bottom): { 34570, 34571 }

Mtu State
---------------------------------------------------------------------------------------------------
-------
2.2.2.2/32 160002 NULL Loop1 127.0.0.1 E ---

1500 Active
Protocol : ISIS SubProtocol : Level-1 Process ID : 100
Cost : 0 Weight : 0 UpdateTime : 2017-1-20 1:52:30.375
Label Stack (Top -> Bottom): { }
表 2-31 display segment-routing prefix mpls forwarding 命令输出信息描述

项目描述
Prefix IP前缀值
Label 入标签值
OutLabel 出标签值
Interface 出接口
NextHop 下一跳地址
MPLSMtu MPLS的最大传输单元值
Mtu 最大传输单元值
State 前缀标签的状态信息
l Active：活跃状态
l Inactive：不活跃
Protocol segment-routing采用协议信息
Label Stack 标签栈信息
Role 本设备在隧道中担任的角色
l Ingress
l Transit
l Egress
l Ingress and Transit
Backup UpdateTime 备份标签栈更新时间
Backup Label Stack (Top -> Bottom) 备份标签栈
2.3.7 display segment-routing seamless-bfd tunnel session

命令功能
display segment-routing seamless-bfd tunnel session命令用来查看Segment Routing隧道
的SBFD会话信息。
命令格式
display segment-routing seamless-bfd tunnel session [ prefix ip-address [ mask | mask-
length ] ]

参数说明
prefix 指定IP地址前缀信息。 -
ip-address 指定Segment Routing隧道的目的IP地址。点分十进制格式。
mask 指定子网掩码。点分十进制格式。
mask-length 指定掩码长度。整数形式，取值范围是0

～32。
只能在Loopback接口上配置掩码长度是32位的
IP地址。
视图
所有视图
缺省级别
1：监控级
segr read
使用指南
在配置Segment Routing隧道的SBFD功能后，可以执行display segment-routing
seamless-bfd tunnel session命令查看Segment Routing隧道的SBFD会话信息。
如果命令携带prefix ip-address参数，则只会显示隧道目的地址能够匹配的SBFD会话信
息；如果不携带该参数，则会显示所有Segment Routing相关的SBFD会话信息。
使用实例
# 查看Segment Routing隧道的SBFD会话信息。
<HUAWEI> display segment-routing seamless-bfd tunnel session prefix 10.2.2.2 32
Seamless BFD Information for Segment-routing Tunnel
Total Tunnel Number: 1

---------------------------------------------------------------------
Prefix Discriminator State

---------------------------------------------------------------------
10.2.2.2/32 3 Up

表 2-32 display segment-routing seamless-bfd tunnel session 命令输出信息描述
项目描述
Prefix Segment Routing隧道的目的IP地址。
Discriminator SBFD的本地描述符。
State SBFD会话状态。
2.3.8 display segment-routing state ip-prefix
命令功能
display segment-routing state ip-prefix命令用来根据地址前缀查看相关Segment-Routing
状态信息。
命令格式
display segment-routing state ip-prefix ip-prefix mask-length
参数说明
ip-prefix 查看指定IP地址前缀的状态信息。点分十进制格式。
视图
所有视图
缺省级别
1：监控级
segr read
使用指南
display segment-routing state ip-prefix命令会根据用户输入的前缀和掩码查询对应
Segment-Routing隧道建立时的关键因素的状态。

使用实例
# 查看相关Segment-Routing状态信息（IGP使用IS-IS）。
<HUAWEI> display segment-routing state ip-prefix 10.7.7.7 32
Segment Routing State IP-Prefix 10.7.7.7 32
-----------------------------------------------------------------
Protocol : ISIS-L1
Process ID : 1
Prefix-sid : 77
Route active state : Y
Eligible within process : Y
Eligible between processes or protocols : Y
SR nexthop exist : Y
Prefix-sid within min SRGB range : Y
Protocol : ISIS-L2
Process ID : 1
Prefix-sid : 77
Eligible between processes or protocols : NA
SR nexthop exist : N
表 2-33 display segment-routing state ip-prefix 命令输出信息描述
项目描述
Protocol 协议。
Process ID 进程ID。
Prefix-sid 前缀SID。与指定前缀对应的一个进程内被
优选的前缀SID（当不同网元的相同前缀配
置了不同的SID时，进程内会按照优选规则
优选出一个活跃的）。
Route active state 路由是否活跃。表示该路由在RM路由表中

是否活跃，需要注意的是，当业务组件没有
获取该状态时，会显示为“NA”，如网元A
收到了网元B的前缀SID，但该SID超出了本
地的SRGB范围等。
Eligible within process 进程内是否被优选。目前有回显时，该状态

始终为“Y”，若根据指定的前缀和掩码查
询不到任何SID信息，则不会回显任何结
果。
Eligible between processes or protocols 进程间或协议间是否被优选。该状态为

“NA”时表示SEGR没有收到相关的
Segment-Routing信息，可能原因有路由不活
跃或没有计算出SR下一跳等。
SR nexthop exist SR下一跳是否存在。
Prefix-sid within min SRGB range 前缀SID是否在最小SRGB范围内。这个最小

SRGB是指完整路径中（包括根节点）的所
有节点的SRGB的最小范围。

# 查看相关Segment-Routing状态信息（IGP使用OSPF）。
<HUAWEI> display segment-routing state ip-prefix 10.3.3.3 32
Segment Routing State IP-Prefix 10.3.3.3 32
-----------------------------------------------------------------
Protocol : OSPF
Process ID : 1
Prefix-sid : 77
Eligible between processes or protocols : Y
SR nexthop exist : Y
2.3.9 ipv4 adjacency
命令功能
ipv4 adjacency命令用来配置Segment Routing中本地接口和远端接口建立连接所使用的
SID标签。
undo ipv4 adjacency命令用来删除Segment Routing中本地接口和远端接口建立连接所使

用的SID标签配置。
缺省情况下，没有为Segment Routing配置本地接口和远端接口建立连接所使用的SID标
签。
命令格式
ipv4 adjacency local-ip-addr local-ip-address remote-ip-addr remote-ip-address sid sid-
value
undo ipv4 adjacency local-ip-addr local-ip-address remote-ip-addr remote-ip-address [ sid

sid-value ]
参数说明
local-ip-addr local-ip- 点分十进制格式。
本地接口的IP地址。
address
remote-ip-addr remote-ip- 点分十进制格式。
远端接口的IP地址。
address
sid sid-value 整数形式，取值范围是321536～
SID标签值。
331775。
视图
Segment Routing视图
缺省级别
2：配置级

cli write
使用指南
应用场景
SID，即Segment ID，可以看做MPLS Label的ID，用来标识唯一的MPLS标签。在使能

Segment Routing功能后，需要在本地接口和远端接口之间配置SID，用来在两端建立
Segment Routing连接。
前置条件
此命令执行后，如果设备中不存在local-ip-addr local-ip-address对应的直连路由，则不
会成功生成表项。
配置影响
使用此命令修改标签可能会引起隧道状态变为Down。
注意事项
SID不能重复使用，由于MPLS链路是双向的，所以，对于同一条链路，本地地址和远
端地址对换后标签也要与对换前不同。
使用实例
# 配置Segment Routing功能中为链路建立连接使用的SID值。
[~HUAWEI] segment-routing
[*HUAWEI-segment-routing] ipv4 adjacency local-ip-addr 1.1.1.1 remote-ip-addr 1.1.1.2 sid 1000
2.3.10 isis prefix-sid
命令功能
isis prefix-sid命令用来在Loopback接口下配置该接口的IP地址为Segment Routing标签前
缀。
undo isis prefix-sid命令用来删除Loopback接口下的Segment Routing标签前缀。
缺省情况下，未配置Loopback接口下的Segment Routing标签前缀。
命令格式
isis prefix-sid { absolute sid-value | index index-value } [ node-disable ]
undo isis prefix-sid [ { absolute sid-value | index index-value } [ node-disable ] ]

参数说明
absolute 指定标签绝对值，就是实际SID值。该值动态变化，
sid-value 具体以设备的实
际情况为准。
index index- 指定标签相对值，也称为偏移值。标签相对值是相整数形式，取值

value 对SRGB的最小值而言的。实际SID值=index-value 范围是0～
+SRGB起始值。 65534。
说明
标签相对值不能超过本地配置的SRGB范围。
对于同一个IS-IS进程，标签相对值不能重复配置。
如果配置的是index-value，则对外发布的前缀SID就是index-
value；如果配置的是sid-value，则对外发布的前缀SID值
=sid-value-SRGB起始值。
node- 取消N标记。 -
disable
说明
由于TI-LFA算法会优先选择带N标记的节点，如果指定
node-disable取消N标记，则该节点不会被优先选择。
视图
Loopback接口视图
缺省级别
2：配置级
isis write
使用指南
应用场景
为了发布前缀标签给全网路由器，通过在Loopback口下配置前缀标签，可以指导报文
沿着计算出的路径进行标签转发。
前置条件
在Loopback接口下，执行isis enable命令使能指定接口的IS-IS功能。
在IS-IS进程下执行segment-routing mpls命令用来使能IS-IS对应拓扑的Segment Routing
功能。
注意事项

创建Loopback接口后可以为该接口配置IP地址，这样Loopback接口的IP地址可以对外发
布。但是只有在Loopback接口上配置32位掩码的IP地址时，前缀标签才能生效。
只对Loopback接口的主IP地址生效。
如果前缀SID值超过SRGB范围，前缀SID不会被发布。
使用实例
# 配置Loopback接口的前缀标签。
[~HUAWEI] interface loopback0
[*HUAWEI-loopback0] isis enable 1
[*HUAWEI-loopback0] isis prefix-sid index 100
2.3.11 isis ti-lfa disable
命令功能
isis ti-lfa disable命令用来去使能IS-IS接口的TI-LFA功能。
undo isis ti-lfa disable命令用来使能IS-IS接口的TI-LFA功能。
缺省情况下，如果已配置了ti-lfa命令则所有接口自动使能TI-LFA功能，否则不使能。
命令格式
isis ti-lfa disable [ level-1 | level-2 | level-1-2 ]
undo isis ti-lfa disable [ level-1 | level-2 | level-1-2 ]
参数说明
level-1 指定去使能IS-IS Level-1接口的TI-LFA功能。 -
level-2 指定去使能IS-IS Level-2接口的TI-LFA功能。 -
level-1-2 指定去使能IS-IS所有接口的TI-LFA功能。 -
说明
如果配置过程中没有指定Level，默认去使能所有IS-IS接口的TI-LFA功能。
视图
接口视图
缺省级别
2：配置级

isis write
使用指南
应用场景
执行ti-lfa命令后，所有使能了IS-IS的接口都会自动使能TI-LFA功能，如果需要禁止某
些接口的TI-LFA功能，可以在接口视图下执行isis ti-lfa disable命令实现。
注意事项
如果没有配置ti-lfa命令，isis ti-lfa disable命令可以正常配置，但对接口没有作用。
如果先执行isis ti-lfa disable命令，之后再配置ti-lfa命令，isis ti-lfa disable命令功能仍
然生效。
如果接口绑定了私网，则不支持配置TI-LFA功能。
使用实例
# 去使能IS-IS Level-1接口的TI-LFA功能。
HUAWEI> system-view
[~HUAWEI] interface gigabitethernet 1/0/0
[~HUAWEI-GigabitEthernet1/0/0] isis ti-lfa disable level-1
相关主题
2.3.26 ti-lfa（IS-IS）
2.3.12 lsp-trigger segment-routing-interworking best-effort host

命令功能
lsp-trigger segment-routing-interworking best-effort host命令用来触发所有非本地32位
主机路由代理Egress LSP和transit LSP与SR LSP进行粘连。
undo lsp-trigger segment-routing-interworking best-effort host命令用来恢复缺省设
置。
缺省情况下，未配置所有非本地32位主机路由代理Egress LSP和transit LSP与SR LSP进
行粘连。
命令格式
lsp-trigger segment-routing-interworking best-effort host
undo lsp-trigger segment-routing-interworking best-effort host
参数说明
无

视图
MPLS视图
缺省级别
2：配置级
mpls-base write
使用指南
应用场景
当SR网络需要和LDP网络时，需要将LDP LSP和SR LSP粘连，使LDP LSP的流量能够

进入SR LSP继续转发。配置lsp-trigger segment-routing-interworking best-effort host命
令，会触发所有非本地32位主机路由代理Egress LSP和transit LSP与SR LSP进行粘连，
如果粘连成功，则流量可以进入SR LSP继续转发。
前置条件
需要先执行mpls（系统视图）命令使能全局的MPLS能力。
使用实例
# 设置根据32位掩码的主机路由来触发建立LSP。
[~HUAWEI] mpls
[*HUAWEI-mpls] lsp-trigger segment-routing-interworking best-effort host
2.3.13 mapping-server prefix-sid-mapping
命令功能
mapping-server prefix-sid-mapping命令用来配置前缀和SID的映射关系。支持单条配
置和批量配置。
undo mapping-server prefix-sid-mapping命令用来取消前缀和SID的映射关系配置。
缺省情况下，没有配置前缀和SID的映射关系。
命令格式
mapping-server prefix-sid-mapping ip-address mask-length begin-value [ range range-
value ] [ attached ]
undo mapping-server prefix-sid-mapping [ ip-address mask-length [ begin-value [ range

range-value ] [ attached ] ] ]

参数说明
ip-address 指定接口IP地址。点分十进制格式。
mask-length 指定掩码长度。整数形式，取值范围是0

～32。
只能在Loopback接口上配置掩码长度是32位
的IP地址。
begin-value 指定SID起始值。整数形式，取值范围是0

～65534。
l 单条配置前缀时，此数值为被映射前缀的
SID。
l 批量配置前缀时，此数值为被映射前缀的
起始SID。
range range- 指定要连续分配SID的个数。整数形式，取值范围是1
value ～65535。
attached 标识当前被映射前缀是否是本地直连。 -
视图
缺省级别
2：配置级
segr write
使用指南
LDP和Segment Routing互通场景，LDP侧可能不支持Segment Routing，所以需要在SR
设备上配置mapping-server prefix-sid-mapping命令，将LDP侧的前缀映射到SID，然后
发布到Segment Routing域。其中，配置mapping-server prefix-sid-mapping命令的节点
称为Mapping server。
使用实例
# 配置前缀和SID的映射关系（1.1.1.1/32分配SID 16000，1.1.1.2/32分配SID 16001）。
HUAWEI> system-view
[~HUAWEI-segment-routing] mapping-server prefix-sid-mapping 10.1.1.1 32 16000 range 2 attached

2.3.14 mpls sr ttl-mode
命令功能
mpls sr ttl-mode命令用来配置SR-TE和SR-BE公网隧道对TTL的处理模式。
undo mpls sr ttl-mode命令用来恢复缺省SR-TE和SR-BE公网隧道对TTL的处理模式。
缺省情况下，SR-TE和SR-BE公网隧道对TTL的处理模式为Uniform。
命令格式
mpls sr ttl-mode { pipe | uniform }
undo mpls sr ttl-mode
参数说明
pipe 指定SR-TE和SR-BE公网隧道对TTL的处理模式为Pipe。 -
uniform 指定SR-TE和SR-BE公网隧道对TTL的处理模式Uniform。 -
视图
MPLS视图
缺省级别
2：配置级
segr write
使用指南
应用场景
SR-TE和SR-BE公网隧道对MPLS报文的TTL的处理包含以下两种模式：
l Uniform模式
IP分组经过MPLS网络时，在入节点，IP TTL减1映射到MPLS TTL字段，此后报文
在MPLS网络中按照标准的TTL处理方式处理。在出节点将MPLS TTL减1后和IP
TTL比较，取两者的较小值映射到 IP TTL字段。如图2-67所示。

图 2-67 Uniform 模式下 TTL 的处理
MPLS
CE PE P PE CE
MPLS MPLS
TTL 254 TTL 253
IP TTL IP TTL IP TTL IP TTL
255 254 254 252
l Pipe模式
在入节点，IP TTL值减1，MPLS TTL字段为固定值，此后报文在MPLS网络中按
照标准的TTL处理方式处理。在出节点会将IP TTL字段的值减1。即IP分组经过
MPLS网络时，无论经过多少跳，IP TTL只在入节点和出节点分别减1。如图2-68
所示。
图 2-68 Pipe 模式下 TTL 的处理
MPLS
CE PE P PE CE
MPLS MPLS
TTL 100 TTL 99
MPLS MPLS
TTL 100 TTL 100
IP TTL IP TTL IP TTL IP TTL
255 254 254 253
在使用VCCV Tracert（Virtual Circuit Connectivity Verification Tracert）多段PW的场景

中，需要确保整个LSP隧道上所有节点的TTL处理方式都要一致，否则将导致Tracert失
败。

配置影响
如果MPLS网络中某一节点MPLS报文的TTL处理模式修改为Pipe，在执行tracert和
tracert lsp命令时，返回结果将不会包含此节点。
使用实例
# 配置SR隧道对TTL的处理模式为Pipe。
[~HUAWEI] mpls
[*HUAWEI-mpls] mpls sr ttl-mode pipe
2.3.15 ospf prefix-sid
命令功能
ospf prefix-sid命令用来在Loopback接口下配置该接口的IP地址为Segment Routing标签
前缀。
undo ospf prefix-sid命令用来删除Loopback接口下的Segment Routing标签前缀。
缺省情况下，未配置Loopback接口下的Segment Routing标签前缀。
命令格式
ospf prefix-sid { absolute sid-value | index index-value } [ node-disable ]
undo ospf prefix-sid [ { absolute sid-value | index index-value } [ node-disable ] ]
参数说明
absolute 指定标签绝对值，就是实际SID值。该值动态变化，
sid-value 具体以设备的实
际情况为准。
index index- 指定标签相对值，也称为偏移值。标签相对值是相整数形式，取值

value 对SRGB的最小值而言的。实际SID值=index-value 范围是0～
+SRGB起始值。 65534。
说明
标签相对值不能超过本地配置的SRGB范围。
对于同一个OSPF进程，标签相对值不能重复配置。
如果配置的是index-value，则对外发布的前缀SID就是index-
value；如果配置的是sid-value，则对外发布的前缀SID值
=sid-value-SRGB起始值。
node- 取消N标记。 -
disable
说明
由于TI-LFA算法会优先选择带N标记的节点，如果指定
node-disable取消N标记，则该节点不会被优先选择。

视图
Loopback接口视图
缺省级别
2：配置级
ospf write
使用指南
应用场景
为了发布前缀标签给全网路由器，通过在Loopback口下配置前缀标签，可以指导报文
沿着计算出的路径进行标签转发。
前置条件
在Loopback接口下，执行ospf enable命令使能指定接口的OSPF功能。
在OSPF进程下执行segment-routing mpls命令用来使能OSPF对应拓扑的Segment
Routing功能。
注意事项
创建Loopback接口后可以为该接口配置IP地址，这样Loopback接口的IP地址可以对外发
布。但是只有在Loopback接口上配置32位掩码的IP地址时，前缀标签才能生效。
只对Loopback接口的主IP地址生效。
如果前缀SID值超过SRGB范围，前缀SID不会被发布。
使用实例
# 配置Loopback接口的前缀标签。
[~HUAWEI] interface loopback0
[*HUAWEI-loopback0] ospf enable 1 area 1
[*HUAWEI-loopback0] ospf prefix-sid index 100
2.3.16 ospf ti-lfa disable
命令功能
ospf ti-lfa disable命令用来去使能OSPF接口的TI-LFA功能。
undo ospf ti-lfa disable命令用来使能OSPF接口的TI-LFA功能。
缺省情况下，如果已配置了ti-lfa enable命令则所有接口自动使能TI-LFA功能，否则不
使能。

命令格式
ospf ti-lfa disable
undo ospf ti-lfa disable
参数说明
无
视图
接口视图
缺省级别
2：配置级
ospf write
使用指南
应用场景
执行ti-lfa enable命令后，所有使能了OSPF的接口都会自动使能TI-LFA功能，如果需要
禁止某些接口的TI-LFA功能，可以在接口视图下执行ospf ti-lfa disable命令实现。
注意事项
如果没有配置ti-lfa enable命令，ospf ti-lfa disable命令可以正常配置，但对接口没有作
用。
如果先执行ospf ti-lfa disable命令，之后再配置ti-lfa enable命令，ospf ti-lfa disable命令
功能仍然生效。
使用实例
# 去使能OSPF接口的TI-LFA功能。
[~HUAWEI] interface ethernet 1/0/0
[~HUAWEI-Ethernet1/0/0] ospf ti-lfa disable
2.3.17 ospf ti-lfa disable multi-area
命令功能
ospf ti-lfa disable multi-area命令用来去使能OSPF多区域接口的TI-LFA功能。

undo ospf ti-lfa disable multi-area命令用来使能OSPF多区域接口的TI-LFA功能。

缺省情况下，如果已配置了ti-lfa enable命令则所有多区域接口自动使能TI-LFA功能，
否则不使能。
命令格式
ospf ti-lfa disable multi-area area-id
undo ospf ti-lfa disable multi-area area-id
参数说明
area-id 指定去使能OSPF TI-LFA功可以是十进制整数或IP地址格式。采取整数形式
能的区域标识。时，取值范围是0～4294967295。
视图
接口视图
缺省级别
2：配置级
ospf write
使用指南
应用场景
执行ti-lfa enable命令后，所有使能了OSPF的多区域接口都会自动使能TI-LFA功能，如
果需要禁止某些多区域接口的TI-LFA功能，可以在接口视图下执行ospf ti-lfa disable
multi-area命令实现。
注意事项
如果没有配置ti-lfa enable命令，ospf ti-lfa disable multi-area命令可以正常配置，但对
接口没有作用。
如果先执行ospf ti-lfa disable multi-area命令，之后再配置ti-lfa enable命令，ospf ti-lfa
disable multi-area命令功能仍然生效。
使用实例
# 去使能OSPF多区域接口的TI-LFA功能。

[~HUAWEI] interface ethernet 1/0/0

[~HUAWEI-Ethernet1/0/0] ospf ti-lfa disable multi-area 1
2.3.18 seamless-bfd（segment routing）
命令功能
seamless-bfd命令用来配置Segment Routing隧道的SBFD（Seamless Bidirectional
Forwarding Detection）参数。
undo seamless-bfd命令用来取消配置的Segment Routing隧道的SBFD参数。
缺省情况下，未配置Segment Routing隧道的SBFD参数。
命令格式
seamless-bfd tunnel { min-rx-interval receive-interval | min-tx-interval transmit-interval |
detect-multiplier multiplier-value } *
undo seamless-bfd tunnel { min-rx-interval [ receive-interval ] | min-tx-interval

[ transmit-interval ] | detect-multiplier [ multiplier-value ] } *
参数说明
tunnel 指定Segment Routing隧道。 -
min-rx-interval 指定期望从对端接收BFD报文的整数形式，取值范围是3～

receive-interval 最小接收间隔。 1000，单位是毫秒。
min-tx-interval 指定向对端发送BFD报文的最小整数形式，取值范围是3～

transmit-interval 发送间隔。 1000，单位是毫秒。
detect-multiplier 指定本地检测倍数。整数形式，取值范围是3～

multiplier-value 50。
视图
缺省级别
2：配置级
segr write

使用指南
应用背景
时间会变长，成为整个系统的一个瓶颈。SBFD是BFD的一种简化机制，SBFD简化了
BFD的状态机，缩短了协商时间，提高了整个网络的灵活性，能够支撑SR隧道检测。
seamless-bfd（segment routing）命令用来调整Segment Routing隧道的SBFD参数，以
便适应不同网络的需求。
注意事项
在SBFD场景中，min-rx-interval receive-interval参数不会生效。
前置条件
在配置seamless-bfd（segment routing）命令之前，需要配置bfd、sbfd、seamless-bfd
enable等命令。
使用实例
# 配置Segment Routing隧道的SBFD最小发送间隔是300ms。
[~HUAWEI] bfd
[~HUAWEI-bfd] quit
[~HUAWEI] sbfd
[~HUAWEI-sbfd] quit
[*HUAWEI-segment-routing] seamless-bfd enable mode tunnel
[*HUAWEI-segment-routing] seamless-bfd tunnel min-tx-interval 300
2.3.19 seamless-bfd enable
命令功能
seamless-bfd enable命令用来为Segment Routing隧道配置SBFD（Seamless Bidirectional
Forwarding Detection）功能。
undo seamless-bfd enable命令用来取消为Segment Routing隧道配置的SBFD功能。
缺省情况下，没有为Segment Routing隧道配置SBFD功能。
命令格式
seamless-bfd enable mode tunnel [ filter-policy ip-prefix ip-prefix-name ]
undo seamless-bfd enable mode tunnel [ filter-policy ip-prefix ip-prefix-name ]
参数说明
mode tunnel 指定Segment Routing隧 -
道。

filter-policy 指定过滤策略。 -
ip-prefix ip- 指定IP地址前缀列表。字符串形式，取值范围是1～169，不支

prefix-name 持空格，区分大小写。当输入的字符串
两端使用双引号时，可在字符串中输入
空格。
视图
缺省级别
2：配置级
segr write
使用指南
应用场景
时间会变长，成为整个系统的一个瓶颈。SBFD是BFD的一种简化机制，SBFD简化了
BFD的状态机，缩短了协商时间，提高了整个网络的灵活性，能够支撑SR隧道检测。
使能seamless-bfd enable命令用来为Segment Routing隧道配置SBFD功能，通过SBFD检
测Segment Routing隧道，提升可靠性。
前置条件
在配置seamless-bfd enable命令之前，需要配置bfd和sbfd命令。
使用实例
# 使能Segment Routing隧道的SBFD功能。
[~HUAWEI] bfd
[~HUAWEI-bfd] quit
[~HUAWEI] sbfd
[~HUAWEI-sbfd] quit
[*HUAWEI-segment-routing] seamless-bfd enable mode tunnel
2.3.20 segment-routing
命令功能
segment-routing命令用来使能Segment Routing功能。

undo segment-routing命令用来去使能Segment Routing功能。

缺省情况下，没有使能Segment Routing功能。
命令格式
segment-routing
undo segment-routing
参数说明
无
视图
系统视图
缺省级别
2：配置级
cli write
使用指南
应用场景
SR-TE是一种MPLS TE的隧道技术，采用了SR-TE的隧道可以根据首节点的MPLS标签
栈即可控制整个报文在网络中的传输路径。使用SR-TE技术可以优化资源使用，并减轻
路由器计算路径的负担，提高转发效率。要想使能该功能，需要执行segment-routing
命令。
注意事项
在执行undo segment-routing前，必须保证所有使能了Segment Routing功能的进程已经
全部去使能，否则命令执行不成功。
使用实例
# 全局使能Segment Routing功能。
2.3.21 segment-routing mapping-server
命令功能
segment-routing mapping-server命令用来使能SID通告或接收能力。

undo segment-routing mapping-server命令用来去使能SID通告或接收能力。

缺省情况下，仅使能SID接收能力。
命令格式
segment-routing mapping-server { send | receive }
undo segment-routing mapping-server { send | receive }
参数说明
send 使能通告本地SID标签映射消息能力。使能后，本地active状态的前缀 -
SID会随着标签映射消息发布出去。
receive 使能接收远端SID标签映射消息能力。使能后，本地会解析远端标签映 -
射服务器发送来的标签映射消息中的SID。
视图
IS-IS视图
缺省级别
2：配置级
isis write
使用指南
LDP和Segment Routing互通场景，LDP侧可能不支持Segment Routing，所以需要在LDP
和Segment Routing连接的节点上配置mapping-server prefix-sid-mapping命令，将LDP
侧的前缀映射到SID，然后发布到Segment Routing域。其中，segment-routing
mapping-server命令用来使能通告本地SID标签映射消息能力，或者使能接收远端SID
标签映射消息能力。
使用实例
# 使能通告本地SID标签映射消息能力。
HUAWEI> system-view
[~HUAWEI] isis 1
[~HUAWEI-isis-1] segment-routing mpls
[~HUAWEI-isis-1] segment-routing mapping-server send
# 使能接收远端SID标签映射消息能力。
HUAWEI> system-view

[~HUAWEI] isis 1
[~HUAWEI-isis-1] segment-routing mpls
[~HUAWEI-isis-1] segment-routing mapping-server receive
2.3.22 segment-routing mpls

命令功能
segment-routing mpls命令用来使能IS-IS/OSPF对应拓扑的Segment Routing功能。
undo segment-routing mpls命令用来去使能IS-IS/OSPF对应拓扑的Segment Routing功
能。
缺省情况下，IS-IS/OSPF没有使能Segment Routing功能。
命令格式
undo segment-routing mpls
参数说明
无
视图
IS-IS视图、OSPF视图
缺省级别
2：配置级
isis/ospf write
使用指南
应用场景
SR-TE是一种MPLS TE的隧道技术，采用了SR-TE的隧道可以根据首节点的MPLS标签
栈即可控制整个报文在网络中的传输路径。使用SR-TE技术可以优化资源使用，并减轻
路由器计算路径的负担，提高转发效率。
在SR-TE技术中，整个网络的拓扑信息需要IGP协议来完成收集，并为每台路由器分发
标签，因此，在IGP协议下使能Segment Routing功能是必要的配置。如果IGP协议采用
IS-IS，则需要在IS-IS视图下执行segment-routing mpls命令。如果IGP协议采用OSPF，
则需要在OSPF视图下执行segment-routing mpls命令。
前置条件
如果IGP协议采用IS-IS，需要全局使能Segment Routing功能，并且通过cost-style命令指
定IS-IS设备只能接收和发送开销类型为wide的路由。

如果IGP协议采用OSPF，需要全局使能Segment Routing功能，并且通过opaque-
capability enable命令使能opaque LSA能力。
使用实例
# 在IS-IS进程下使能Segment Routing功能。
[*HUAWEI] isis
[*HUAWEI-isis-1] segment-routing mpls
# 在OSPF进程下使能Segment Routing功能。
[~*HUAWEI] segment-routing
[*HUAWEI] ospf 1
[*HUAWEI-ospf-1] opaque-capability enable
[*HUAWEI-ospf-1] segment-routing mpls
2.3.23 segment-routing global-block

命令功能
segment-routing global-block命令用来配置当前IS-IS/OSPF实例的Segment Routing全局
标签范围（SRGB）。
undo segment-routing global-block命令用来删除当前IS-IS/OSPF实例的Segment Routing
全局标签范围。
缺省情况下，没有配置当前IS-IS/OSPF实例的Segment Routing全局标签范围。
命令格式
segment-routing global-block begin-value end-value
undo segment-routing global-block [ begin-value end-value ]
参数说明
begin-value 指定Segment Routing全局标签范围该值动态变化，具体以设备的实际
的起始值。情况为准。
end-value 指定Segment Routing全局标签范围该值动态变化，具体以设备的实际

的结束值。情况为准。
视图
缺省级别
2：配置级

isis/ospf write
使用指南
应用场景
segment-routing global-block命令用来配置当前IS-IS/OSPF实例的Segment Routing全局

标签范围。
注意事项
如果未配置segment-routing global-block命令，Segment Routing无法正常工作，但是

Segment Routing的相关配置可正常操作，不受影响。
由于SR路由下一跳不能迭代Tunnel接口，所以如果当前IS-IS/OSPF进程已经在一个FA
类型的Tunnel接口下使能，此时再配置SRGB时，可能会导致SR标签流量被丢弃。
使用实例
# 配置当前IS-IS实例的Segment Routing全局标签范围。（SRGB取值范围动态变化，具
体以设备的实际情况为准。此处仅做示例。）
[~HUAWEI] isis 1
[*HUAWEI-isis-1] segment-routing global-block 153616 153800
# 配置当前OSPF实例的Segment Routing全局标签范围。（SRGB取值范围动态变化，具
体以设备的实际情况为准。此处仅做示例。）
[~HUAWEI] ospf 1
[*HUAWEI-ospf-1] segment-routing global-block 163616 163800
2.3.24 segment-routing lsp-trigger
命令功能
segment-routing lsp-trigger命令用来配置触发Ingress建立SR-LSP的策略，通过32位地
址的IP路由或IP地址前缀列表过滤的IGP路由项将可以触发Ingress建立LSP，被IP地址
前缀列表拒绝的IGP路由项不能建立Ingress的LSP。
undo segment-routing lsp-trigger命令用来恢复缺省配置。
缺省情况下，32位地址的IP路由触发Ingress建立SR-LSP。
命令格式
segment-routing lsp-trigger { none | host | ip-prefix ip-prefix-name }
undo segment-routing lsp-trigger [ none | host | ip-prefix ip-prefix-name ]

参数说明
none 不触发建立SR-LSP。 -
host 32位地址的主机路由触发建立SR-LSP。 -
ip-prefix ip- 根据IP地址前缀列表触发建立LSP。字符串形式，不支持空
prefix-name 格，长度范围是1～169。
视图
缺省级别
2：配置级
isis/ospf write
使用指南
应用场景
制，将有大量的LSP建立导致资源浪费。
配置segment-routing lsp-trigger命令，可以设定SR-LSP的建立策略，仅由关注的路由
触发Ingress建立SR-LSP，从而控制LSP的数量，减少系统资源的浪费。
前置条件
执行segment-routing命令全局使能Segment Routing功能。
执行segment-routing mpls命令使能IS-IS/OSPF对应拓扑的Segment Routing功能。
如果指定ip-prefix参数，需要先执行ip ip-prefix命令创建IP地址前缀列表。
注意事项
segment-routing lsp-trigger只能控制Ingress节点的SR-LSP的建立策略，对Transit和
Egress节点无效。
使用实例
# 配置IS-IS不关注的路由不触发建立SR-LSP。
[~HUAWEI] isis
[*HUAWEI-isis-1] segment-routing mpls
[*HUAWEI-isis-1] segment-routing lsp-trigger none
# 配置OSPF不关注的路由不触发建立SR-LSP。

[~HUAWEI] ospf
[*HUAWEI-ospf-1] segment-routing mpls
[*HUAWEI-ospf-1] segment-routing lsp-trigger none
2.3.25 sr-te-simulate static-cr-lsp transit

命令功能
sr-te-simulate static-cr-lsp transit命令用来在不支持SR-TE的设备上，模拟SR-TE中间节
点的Link标签的转发行为。
undo sr-te-simulate static-cr-lsp transit命令用来在不支持SR-TE的设备上，删除模拟
SR-TE中间节点的Link标签的转发行为的配置。
缺省情况下，没有配置模拟SR-TE中间节点的Link标签的转发行为能力。
命令格式
sr-te-simulate static-cr-lsp transit lsp-name incoming-interface interface-type interface-
number sid segmentid outgoing-interface interface-type interface-number nexthop next-hop-
address out-label implicit-null
undo sr-te-simulate static-cr-lsp transit lsp-name
参数说明
lsp-name 指定CR-LSP隧道的名字。字符串形式，区分大小写，
不支持空格，长度为1～
19。
说明
当输入的字符串两端使用双引
号时，可在字符串中输入空
格。
incoming-interface 指定入接口类型和编号，只有点到 -
interface-type 点链路才能选择配置入接口。
interface-number
sid segmentid 指定segment标签栈里的标签值。整数形式，取值范围是16～
1048575。
nexthop next-hop- 指定下一跳地址。 -
address
outgoing-interface 指定出接口类型和编号，只有点到 -
interface-type 点链路才能选择配置出接口。
interface-number
out-label implicit- 指定出标签的值，implicit-null表示 -
null 隐式空标签的值。
视图
系统视图

缺省级别
2：配置级
mpls-te write
使用指南
应用场景
在不支持SR-TE的设备上，可以通过配置sr-te-simulate static-cr-lsp transit命令来模拟

SR-TE中间节点的Link标签的转发行为，从而解决在SR-TE的网络中，不支持SR-TE的
设备的转发行为问题。
如果对参数incoming-interface interface-type interface-number、sid segmentid、nexthop

next-hop-address、outgoing-interface interface-type interface-number进行了配置后，需要
修改这些参数时，可以直接执行sr-te-simulate static-cr-lsp transit命令进行配置，而不
需要执行undo sr-te-simulate static-cr-lsp transit命令取消原有配置。即以上参数支持更
新。
前置条件
执行mpls te命令全局使能MPLS TE。
使用实例
# 在转发节点配置静态CR-LSP，名字为Tunnel2/0/0，入接口为GE2/0/0，segmentid为
253，出接口为GE2/0/1，下一跳IP地址为3.3.3.3。
[~HUAWEI] sr-te-simulate static-cr-lsp transit tunnel2/0/0 incoming-interface gigabitethernet2/0/0
sid 253 outgoing-interface gigabitethernet2/0/1 nexthop 3.3.3.3 out-label implicit-null
2.3.26 ti-lfa（IS-IS）
命令功能
ti-lfa命令用来使能IS-IS TI-LFA（Topology Independent-Loop Free Alternate）功能。
undo ti-lfa命令用来去使能IS-IS TI-LFA功能。
缺省情况下，IS-IS不使能TI-LFA功能。
命令格式
ti-lfa [ level-1 | level-2 | level-1-2 ]
undo ti-lfa [ level-1 | level-2 | level-1-2 ]

参数说明
level-1 指定使能IS-IS Level-1区域的TI-LFA功能。 -
level-2 指定使能IS-IS Level-2区域的TI-LFA功能。 -
level-1-2 指定使能IS-IS所有区域的TI-LFA功能。 -
说明
如果配置过程中没有指定Level，默认使能所有区域的TI-LFA功能。
视图
IS-IS FRR视图
缺省级别
2：配置级
isis write
使用指南
应用场景
LFA和Remote LFA对于某些场景中，P空间和Q空间即没有交集，也没有直连的邻居，
当某处链路或者节点故障时，无法计算出备份路径，导致流量丢失，不能满足可靠性
要求。
为满足网络业务的可靠性要求，配置TI-LFA将提前计算好备份链路，当发生故障时可
以在控制平面路由收敛前将流量快速切换到备份链路上。备份链路采用TI-LFA算法计
算，基本思路是：排除主下一跳或者主链路，重新计算一棵Post-convergence最短路径
树（又称为后收敛树），然后沿着后收敛树，选举P节点和Q节点，根据P节点和Q节点
的不同情况（详见TI-LFA FRR），形成备份隧道标签栈，将流量通过隧道转发到Q节
点，到达Q节点后，根据报文头的标签，重新查找Segment routing标签转发表继续转
发。
前置条件
配置此命令前，需先执行segment-routing命令使能全局SR能力。
配置此命令前，需先执行frr命令使能FRR功能并进入FRR视图，再执行loop-free-
alternate命令使能IS-IS的LFA功能。
注意事项
在配置过程中，ti-lfa命令配置的Level依赖loop-free-alternate命令配置的Level，即只有
LFA使能了相应的Level，ti-lfa才可能在指定Level生效，否则配置不成功。

使用实例
# 使能IS-IS Level-2区域的TI-LFA功能。
[~HUAWEI] isis
[*HUAWEI-isis-1] frr
[*HUAWEI-isis-1-frr] loop-free-alternate level-2
[*HUAWEI-isis-1-frr] ti-lfa level-2
2.3.27 ti-lfa enable（OSPF）

命令功能
ti-lfa enable命令用来使能OSPF TI-LFA（Topology Independent-Loop Free Alternate）功
能。
undo ti-lfa enable命令用来去使能OSPF TI-LFA功能。
缺省情况下，OSPF不使能TI-LFA功能。
命令格式
ti-lfa enable
undo ti-lfa enable
参数说明
无
视图
OSPF FRR视图
缺省级别
2：配置级
ospf write
使用指南
应用场景
LFA和Remote LFA对于某些场景中，P空间和Q空间即没有交集，也没有直连的邻居，
当某处链路或者节点故障时，无法计算出备份路径，导致流量丢失，不能满足可靠性
要求。
为满足网络业务的可靠性要求，配置TI-LFA将提前计算好备份链路，当发生故障时可
以在控制平面路由收敛前将流量快速切换到备份链路上。备份链路采用TI-LFA算法计
算，基本思路是：排除主下一跳或者主链路，重新计算一棵Post-convergence最短路径

树（又称为后收敛树），然后沿着后收敛树，选举P节点和Q节点，根据P节点和Q节点
的不同情况（详见TI-LFA FRR），形成备份隧道标签栈，将流量通过隧道转发到Q节
点，到达Q节点后，根据报文头的标签，重新查找Segment routing标签转发表继续转
发。
前置条件
配置此命令前，需要完成以下配置：
1. 执行segment-routing命令使能全局SR能力。
2. 执行frr命令使能FRR功能并进入FRR视图。
3. 执行loop-free-alternate命令使能OSPF的LFA功能。
使用实例
# 使能OSPF的TI-LFA功能。
[~HUAWEI] ospf 1
[*HUAWEI-ospf-1] frr
[*HUAWEI-ospf-1-frr] loop-free-alternate
[*HUAWEI-ospf-1-frr] ti-lfa enable
2.3.28 tunnel-prefer segment-routing
命令功能
tunnel-prefer segment-routing命令用来配置分段路由隧道优先。
undo tunnel-prefer segment-routing命令用来取消配置隧道优先。
缺省情况下，LDP隧道优先级高于SR-BE隧道。
命令格式
undo tunnel-prefer segment-routing
参数说明
无
视图
缺省级别
2：配置级

segr write
使用指南
应用场景
在迭代隧道场景中，隧道转发优先级默认选择LDP隧道，如果需要选择SR-BE隧道，通
过执行tunnel-prefer segment-routing命令，可以提高SR-BE隧道的优先级。
使用实例
# 配置SR-BE隧道优先。
[~HUAWEI] segment routing
[~HUAWEI-segment routing] tunnel-prefer segment-routing
[*HUAWEI-segment routing] commit
2.4 SR-TE 故障处理

介绍了SR-TE常见故障的原因和定位思路。
2.4.1 SR-TE Tunnel 状态为 Down 的定位思路

介绍SR-TE Tunnel状态为Down的故障处理流程和详细的故障处理步骤。
2.4.1.1 常见原因
介绍SR-TE Tunnel状态为Down的常见原因。
本类故障的常见原因主要包括：
l SR-TE Tunnel配置不完整。
l 控制器算路问题。
l FES表项下发失败。
l 链路故障。
2.4.1.2 故障诊断流程
介绍SR-TE Tunnel状态为Down的故障诊断流程。
通过display mpls te tunnel-interface命令查看SR-TE LSP的状态为Down。
故障的定位思路如下：
l 检查是否是SR-TE Tunnel配置不完整。
l 检查是否是控制器算路问题。
l 检查是否是FES表项下发失败。

l 检查是否是链路故障。
详细处理流程如图2-69所示。
图 2-69 SR-TE Tunnel 状态为 Down 故障诊断流程图
SR-TE
Tunnel状态为
Down
是是
检查转发器的配
SR-TE Tunnel配置问题是否解决
置
是否不完整
否
否
是检查控制器状态是
控制器是否没有下发问题是否解决
及算路过程
算路信息
否
否
是
FES表项是否是
检查下发流程问题是否解决
下发失败
否
否
根据路径信息，是
链路是否出现是
逐跳查看链路是问题是否解决
故障否故障
否
否
求助技术结束
支持
2.4.1.3 故障处理步骤
介绍SR-TE Tunnel状态为Down的故障处理步骤。
说明
执行命令完成故障处理操作后，请根据系统中的配置生效模式，确保配置下发。如无特殊说明，
本手册采用配置立即生效模式进行描述。
l 配置立即生效模式下，输入命令行并键入回车键后，配置将立即生效。
l 配置两阶段生效模式下，请在完成配置后，执行命令commit，提交配置。
请保存以下步骤的执行结果，以便在故障无法解决时快速收集和反馈信息。
操作步骤
步骤1 检查SR-TE Tunnel配置是否完整。
在配置Tunnel的节点上执行命令display current-configuration，查看隧道接口下配置的
命令是否与以下示例中的一致，如果缺少任意一项则说明遗漏了部分配置。

#
interface Tunnel1
destination 3.3.3.3
mpls te tunnel-id 1
mpls te pce delegate
l 如果Tunnel配置不完整，请进行补充相应配置并执行commit提交配置。
l 如果Tunnel配置完整，请执行步骤2。
步骤2 检查是否是控制器算路问题。
在转发设备上执行命令display mpls te tunnel path，查看SR-TE的路径信息（标签栈信
息）。执行该命令后，如果有显示信息，则表示控制器下发了标签栈信息。如果没有
显示信息，则表示控制器没有下发标签栈信息。
<HUAWEI> display mpls te tunnel path
Lsp ID : 1.1.1.1 :1 :21
Hop Information
Hop 0 Node label 330002 NAI 10.1.2.2
Hop 1 Node label 330002 NAI 10.1.3.1
Hop 2 Link label 1003
Hop 3 Link label 1004
l 如果控制器没有下发标签栈信息，需要查看控制器状态，以及其算路过程。
l 如果控制器下发标签栈信息，请执行步骤3。
步骤3 检查是否是FES表项下发失败。
在转发设备上执行命令display mpls te forwarding-table，查看FES表项下发情况。执行
该命令后，如果查看到表项，则表示表项下发成功。如果没有查到表项，则表示表项
下发失败。
l 如果表项下发失败，需要检查下发流程。
l 如果表项下发成功，请执行步骤4。
步骤4 检查是否链路出现故障。
1. 在转发设备上执行命令display mpls bfd session，查看BFD会话的相关信息。
<HUAWEI> display mpls bfd session
-----------------------------------------------------------------------------
BFD Information: TE TUNNEL
--------------------------------------------------------------------------------
FEC DISC OUT IF NEXTHOP TUNNEL STATE
--------------------------------------------------------------------------------
4.4.4.4 16385 GE3/0/0 192.168.12.1 Tun3/0/5001 Down
--------------------------------------------------------------------------------
– 如果BFD会话没有Up，需要根据路径信息，逐跳查看链路是否故障。
– 如果BFD会话Up，请执行步骤b。
2. 在转发设备上执行命令ping lsp，查看LSP的连通性。
<HUAWEI> ping lsp segment-routing te Tunnel 1
LSP PING FEC: TE TUNNEL IPV4 SESSION QUERY Tunnel1 : 100 data bytes, press CTRL_C to break
--- FEC: TE TUNNEL IPV4 SESSION QUERY Tunnel1 ping statistics ---
0.00% packet loss

– 如果ping不通，请解决ping不通问题。
– 如果能够ping通，请执行步骤c。
3. 在转发设备上执行命令tracert lsp，查看路径上的故障节点。
<HUAWEI> tracert lsp segment-routing te Tunnel 1
LSP Trace Route FEC: TE TUNNEL IPV4 SESSION QUERY Tunnel1 , press CTRL_C to break.
TTL Replier Time Type Downstream
0 Ingress 3.4.0.3/[330000 ]
1 3.3.3.3 2 ms Egress
– 如果出现故障节点，请解决该故障。
– 如果没有出现故障节点，请执行步骤5。
步骤5 请收集如下信息，并联系技术支持工程师。
l 上述步骤的执行结果。
l 设备的配置文件、日志信息、告警信息。
----结束
2.4.1.4 相关告警与日志
介绍SR-TE Tunnel状态为Down的相关告警和日志。
相关告警
无
相关日志
无

IP 新技术专题 3 Telemetry
3 Telemetry
3.1 Telemetry
3.1.1 介绍
定义
Telemetry是一项远程的从物理设备或虚拟设备上高速采集数据的技术。设备通过推模
式（Push Mode）主动向采集器上送设备数据信息，提供更实时更高速的数据采集功
能。
目的
网络传输过程中存在很多的微突发现象，此时如果报文超过设备转发能力将被丢弃，
导致通信双方重传报文，进而影响通信质量。微突发流量越多，网络通信质量越差，
因此网管需要及时检测到微突发现象，并且快速进行调整。此时，需要提供快速、高
效的网络服务，便于及时监控网络的性能状况。
传统的网络监控方式多是采集器通过拉模式（Pull Mode）来获取监控数据，存在很多
不足：
l 不能监控大量网络节点，限制了网络增长。
l 智能运维系统对网络节点数据有着越来越高的精度要求，传统的网络监控方式只
能依靠加大查询频度来提升获取数据的精度，会使得监控操作本身对网络节点产
生影响，导致网络节点CPU利用率高而影响设备的正常功能。
l 由于网络传输时延的存在，监控到的网络节点数据并不准确。
l 传统的网络监控系统采样获取的数据是非结构化数据，智能对接时开发工作量非
常大。
Telemetry技术通过高速实时的推送网络设备的数据指标，为网络问题的定位、网络质
量优化调整提供最底层最基础也是最重要的数据支持。
3.1.2 原理描述

3.1.2.1 基本概念
Telemetry 模型
网络设备上的数据都可以通过模型进行描述，来保证网管和设备之间的交互正确实
现。所谓模型驱动，是指用户或者网管可以通过指定模型路径的方式来通知设备，需
要推送哪些数据，同时数据也按照此模型的描述进行上报。
如图3-1所示，Telemetry技术的采样数据源来自转发面、控制面和管理面的数据源，数
据按照YANG模型描述的结构进行组织，利用GPB格式编码，并通过GRPC协议将数据
上送至采集器和分析器进行分析处理。
图 3-1 Telemetry 模型架构
采集器和分析器
YANG模型组织、GPB格式编码，GRPC协议连接
网络设备
（转发面、控制面、管理面采样数据）
l YANG模型
YANG是一种数据建模语言，用于设计可以为各种传输协议操作的配置数据模
型、状态数据模型、远程调用模型和通知机制等。
不同厂商和组织对网络设备的数据提出不同的YANG模型定义，Telemetry上送数
据为华为公司私有YANG模型承载。
l GPB格式编码
GPB（Google Protocol Buffer）编码格式，是一种与语言无关、平台无关、扩展性
好的用于通信协议、数据存储的序列化结构数据格式。
在设备和采集器之间传输数据时，采用GPB格式编码传输的数据比其他格式编码
的数据具有更高的信息负载能力，保证了Telemetry业务的数据吞吐能力，同时降
低了CPU利用率和带宽。
l GRPC协议
GRPC协议（Google Remote Procedure Call Protocol）是一个基于HTTP/2传输层协
议承载的高性能、通用的RPC框架。
使用相同的proto文件后，设备和采集器之间可以建立GRPC连接。此时，设备和采
集器可以在GRPC通道上使用不同的编程语言传输数据。
l 采集器和分析器
采集器位于网管侧，用于接收和存储网络设备上报的监控数据。
分析器位于网管侧，用于分析采集器接收和存储的网络设备上报的监控数据。

Telemetry 推模式
Telemetry技术采用推模式上送数据，即设备以周期性推送的方式向采集器主动推送数
据，而不是被动的等待采集器定时查询，避免查询请求在网络传输中的延迟和大量查
询请求对网络和设备带来的压力，提升监控性能。
目前已经存在的网络监控方式多是以拉模式上送数据，现以典型的网络监控场景周期
性采样网络设备接口流量数据为例，对比传统的拉模式和Telemetry推模式：
l 传统拉模式的查询与设备之间是一问一答的交互。假如1分钟内交互了1000次完成
查询，即解析了1000次查询请求报文，第2分钟将再次解析1000次查询请求，如此
持续下去，然而第1分钟和第2分钟下发的1000次查询请求是一样的，后续设备每
分钟都重复解析1000次。
l Telemetry机制是推送机制，它是第一分钟解析1000次订阅请求，然后每分钟持续
推送数据给网管。每分钟都节省了1000次查询请求报文的解析。
l 传统拉模式查询是一次获取每个接口的一个报文，Telemetry机制则是一次获取多
个接口的数据，然后将数据打包上送采集器，进一步减少交互报文数。
目前存在的网络监控方式包括SNMP、CLI、SYSLOG等，很难满足网络发展的需求，
传统网络监控方式与Telemetry的对比如表3-1所示。
表 3-1 Telemetry 与传统网络监控方式的对比

SNMP get SNMP Trap CLI SYSLOG Telemetry
工拉模式推模式拉模式推模式推模式

作
模
式
精分钟级秒级分钟级秒级亚秒级

度
数所有数据仅有告警所有数据仅有事件所有数据

据
范
围
是 MIB定义结构 MIB定义结构非结构化非结构化 YANG模型定

否义结构
结
构
化
如表3-1所示，SNMP Trap和SYSLOG虽然是推模式的，但是其推送的数据范围有限，
仅是告警或者事件，对于类似接口流量等的监控数据不能采集上送。
Telemetry推模式主动推送数据，对网络监控效率的提升有着至关重要的作用。

3.1.2.2 工作原理
Telemetry 自动化运维系统
Telemetry自动化运维系统分为两部分，Telemetry网管侧和Telemetry设备侧，如图3-2所
示。
l Telemetry网管侧
Telemetry网管侧包括分析器、控制器和采集器三部分：
– 采集器：用于接收和存储网络设备上报的监控数据。
– 分析器：用于分析采集器接收和存储的网络设备上报的监控数据。
– 控制器：用于配置管理网络中的设备，使其可以向采集器上报所需要的数
据。
l Telemetry设备侧
Telemetry设备侧用于接受网管的配置，对网管指定的数据源进行采样，并将采样
数据上送给采集器。
图 3-2 Telemetry 自动化运维系统模型架构
Telemetry网管侧
(采集器、分析器、控制器）
推机
送制
数模
据型
Telemetry设备侧
Telemetry网管侧和设备侧协同运作，完成整体的Telemetry数据采样：
l 网管侧配置网络设备推送采样数据，设备侧进行数据采样上送网管；
l 网管侧分析接收到的采样数据，并根据分析结果对网络进行配置管理；
l 网络设备持续不断的推送实时数据到网管侧，网管侧可以监控到网络调整的效
果，从而形成一个闭环的自动化运维系统。
说明
本文后续提到的Telemetry除非特指Telemetry网管侧，否则均指Telemetry设备侧。
GRPC 对接
GRPC对接，是指设备侧和网管侧的采集器之间建立GRPC连接，之后设备可以进行数
据的采集和上送。GRPC对接时，需要通过proto文件描述的格式进行对接，且设备侧和
网管侧使用的proto文件需保持一致。GRPC提供三类proto文件：

l RPC头定义文件：huawei-grpc-dailout.proto，设备作为客户端对外推送数据时，定
义的RPC接口。
l Telemetry头定义文件：huawei-telemetry.proto，定义Telemetry采样数据上送时的数
据头，包括采样路径，采样时间戳等重要信息。
l 业务数据文件：描述具体的业务数据格式。具体请参见3.2.2 Telemetry支持的采样
路径。
设备作为GRPC服务端对接
设备作为GRPC服务端对接时，是为了支持网管侧主动订阅Telemetry以及原路返回采样
数据，是通过openconfig-rpc.proto文件中定义的方法，支持与外部设备的GRPC对接。
设备作为GRPC服务端对接时，网管侧主动下发GRPC请求，与设备侧建立GRPC连
接，要求设备周期性采集数据源，上送给指定目标，如果没有指定上送目标，则采集
到的数据将原路返回给网管侧。
如果动态订阅Telemetry所在连接断开，设备会取消动态订阅，不再采样推送数据，而
且不支持配置恢复，直到网管侧重新下发GRPC请求。
设备作为GRPC服务端对接通过GRPC连接实现的，RPC请求由openconfig-rpc.yang模型
定义。
设备作为GRPC客户端对接
设备作为GRPC客户端对接时，是为了支持对外推送采样数据，是通过
huawei_grpc_dialout.proto文件中定义的方法，将数据推送给网管侧。
设备作为GRPC客户端对接时，用户或者网管可以通过命令行配置设备的Telemetry采样
功能，设备会主动与上送目标采集器建立GRPC连接，并且推送数据至采集器。
如果设备和上送目标之间的连接断开了，设备会进行重新连接，再次上送数据，但是
重连期间的采样数据会丢失。
在系统重启或主备倒换时，Telemetry业务的配置会保存；重启或倒换完成后，
Telemetry业务会重新加载配置，业务会继续运行。
说明
目前只支持设备作为GRPC客户端进行对接。
3.1.3 应用
3.1.3.1 Telemetry 在流量调优场景的应用
业务描述
利用Telemetry技术，监控设备可以收集到大量的设备数据，将数据交给分析系统进行
综合分析、决策后，将决策结果发送给控制器，由控制器调整设备的配置，便可以几
乎实时的反馈控制器调整后的设备状态。
组网描述
如图3-3所示，CSG、ASG、RSG是支持Telemetry功能的设备，智能运维系统包括网管
侧的采集器、分析器和控制器。当流量线路需要调整优化时，利用Telemetry技术，无
论是调整的延迟还是反馈的延迟都大大缩短，使用户对流量路径的变化真正无感，且
便于管理维护。

图 3-3 Telemetry 流量调优示意图
分析器 5
6 智能运维系统
4
控制器
采集器
上
3 3
G 据
GR
PC
送
数
送
数
R
PC
上
据
ASG 配置订阅
CSG 2 配置订阅 RSG 2
1 1
eNodeB
Aggregation MME/SGW
Access
ASG
CSG RSG BSC/RNC

eNodeB
ASG
特性部署
如图3-3所示，Telemetry技术对于流量路径调优场景发挥作用的具体过程为：
1. 配置Telemetry功能。
2. 各设备主动与智能运维系统建立GRPC通道。然后在设备上配置订阅。
3. 各设备通过GRPC通道将订阅数据上报给采集器。
4. 采集器接收、存储、加工处理各设备上报的数据。
5. 控制器下发调优指令对网络进行调优。
调优指令下发生效后，新的采样数据又会反馈到采集器；智能运维系统可以分析调优
后的效果是否符合预期，持续优化。
术语
术语解释
Telemetry Telemetry技术是一项远程的从物理设备或虚拟设备上高速采集
数据的技术。通过推模式（push mode)，提供更实时更高速的数
据采集功能。

术语解释
GRPC Google Remote Procedure Call Protocol，Google远程过程调用协

议。GRPC是一个基于HTTP/2传输层协议承载的高性能、通用的
RPC框架。
GPB Google Protocol Buffer，是一种与语言无关、平台无关、扩展性

TLS Transport Layer Security，安全传输层协议。用于在两个通信应用

程序之间保障保密性和数据完整性。
缩略语
无
3.2 Telemetry 配置
通过部署Telemetry，可以快速、准确、实时地进行网络性能的监控。
3.2.1 Telemetry 概述
Telemetry是一项远程的从物理设备或虚拟设备上高速采集数据的技术。设备通过推模
式（Push Mode）主动向采集器上送设备数据信息，提供更实时更高速的数据采集功
能。
产生背景
网络传输过程中存在很多的微突发现象，此时如果报文超过设备转发能力将被丢弃，
导致通信双方重传报文，进而影响通信质量。微突发流量越多，网络通信质量越差，
因此网管需要及时检测到微突发现象，并且快速进行调整。此时，需要提供快速、高
效的网络服务，便于及时监控网络的性能状况。
Telemetry技术通过高速实时的推送网络设备的数据指标，为网络问题的定位、网络质
量优化调整提供最底层最基础也是最重要的数据支持。
基本概念
网络设备上的数据都可以通过模型进行描述，来保证网管和设备之间的交互正确实
现。所谓模型驱动，是指用户或者网管可以通过指定模型路径的方式来通知设备，需
要推送哪些数据，同时数据也按照此模型的描述进行上报。
如图3-4所示，Telemetry技术的采样数据源来自转发面、控制面和管理面的数据源，数
据按照YANG模型描述的结构进行组织，利用GPB格式编码，并通过GRPC协议将数据
上送至采集器和分析器进行分析处理。

图 3-4 Telemetry 模型架构
采集器和分析器
YANG模型组织、GPB格式编码，GRPC协议连接
网络设备
（转发面、控制面、管理面采样数据）
l YANG模型
YANG是一种数据建模语言，用于设计可以为各种传输协议操作的配置数据模
型、状态数据模型、远程调用模型和通知机制等。
不同厂商和组织对网络设备的数据提出不同的YANG模型定义，Telemetry上送数
据为华为公司私有YANG模型承载。
l GPB格式编码
GPB（Google Protocol Buffer）编码格式，是一种与语言无关、平台无关、扩展性
在设备和采集器之间传输数据时，采用GPB格式编码传输的数据比其他格式编码
的数据具有更高的信息负载能力，保证了Telemetry业务的数据吞吐能力，同时降
低了CPU利用率和带宽。
l GRPC协议
GRPC协议（Google Remote Procedure Call Protocol）是一个基于HTTP/2传输层协
议承载的高性能、通用的RPC框架。
使用相同的proto文件后，设备和采集器之间可以建立GRPC连接。此时，设备和采
集器可以在GRPC通道上使用不同的编程语言传输数据。
l 采集器和分析器
采集器位于网管侧，用于接收和存储网络设备上报的监控数据。
分析器位于网管侧，用于分析采集器接收和存储的网络设备上报的监控数据。
对Telemetry设备侧进行配置时，需要创建以下几个关键组件：
l 采样传感器：用于对指定采样路径的信息进行采集并上送。
l 上送目标组：接收传感器上送数据的采集器。
l 订阅：将采样传感器和上送目标组关联起来。
工作过程
用户或者网管可以通过命令行配置设备的Telemetry采样功能，配置完毕后，设备会与
上送目标建立GRPC连接，并且推送数据至采集器。
如果设备和上送目标之间的连接断开了，设备会进行重新连接，连接成功后再次上送
数据，但是重连期间的采样数据会丢失。

3.2.2 Telemetry 支持的采样路径

Telemetry技术目前支持特定的采样传感器路径采集指定的数据信息。
采样传感器路径及对应的采集数据信息和YANG文件、GPB编码文件对应关系如表3-2
所示。
表 3-2 Telemetry 支持的采样路径与采样信息及 YANG 文件、GPB 编码文件的对应关

系表
采样采样路径采样数据最小采 YANG GPB编码文件名称
路径信息样精度文件
类型（ms）
采样 huawei-devm:devm/ CPU信 10000 huawei- huawei-devm.proto

cpuInfos/cpuInfo 息。 devm.yan
g
huawei-devm:devm/ 内存信 10000 huawei-

memoryInfos/ 息。 devm.yan
memoryInfo g
huawei-ifm:ifm/ 接口信 10000 huawei- huawei-ifm.proto

interfaces/interface 息。 ifm.yang 说明
huawei-ifm.proto文件
huawei-ifm:ifm/ 接口动态 10000 huawei- 对应的采样路径可
interfaces/interface/ 信息。 ifm.yang 以指定采集特定接
ifDynamicInfo 口的信息，配置时
需在采样路径后增
加：
[ifName=interface-
type interface-
number]，如：
huawei-ifm:ifm/
interfaces/
interface[ifName=Gig
abitEthernet0/0/1]。
huawei-mpls:mpls/ Tunnel路 10000 huawei- huawei-mpls.proto

mplsTe/ 径信息。 mpls.yan
rsvpTeTunnels/ g
rsvpTeTunnel/
tunnelPaths/
tunnelPath
告警 huawei- CPU使用 - huawei- huawei-sem.proto

sem:hwCPUUtilizat 率过高告 sem.yang
ionRisingAlarm 警。
huawei- CPU恢复 - huawei-

sem:hwCPUUtilizat 告警。 sem.yang
ionResume

采样采样路径采样数据最小采 YANG GPB编码文件名称

路径信息样精度文件
类型（ms）
huawei- 内存使用 - huawei-

sem:hwStorageUtili 率过高告 sem.yang
zationRisingAlarm 警。
huawei- 内存恢复 - huawei-

sem:hwStorageUtili 告警。 sem.yang
zationResume
事件 huawei- TE路由 - huawei- huawei-mpls.proto

mpls:TNLREROUT 变更事 mpls.yan
ED 件。 g
用户可以在sensor-group视图下执行sensor-path path [ condition express op-field field op-

type op op-value value ]命令，选取上表中的可选路径，配置采样传感器，其中过滤条
件的选取对应关系如表3-3所示。
每个节点自定义的阈值由sensor-path命令的value参数决定，其取值范围可以通过在设
备上键入“?”，根据提示信息进行设置。
采样路径对应的采样周期可以配置的取值范围是100～86400000ms。如果配置的采样周
期小于采样路径的最小采样精度（告警和事件类型的采样路径不涉及），则设备会按
照最小采样精度进行数据上报；如果配置的采样周期大于最小采样精度但不是最小采
样精度的整数倍，则设备会按照最小采样精度向下取整的倍数进行数据上报。例如：
huawei-devm:devm/cpuInfos/cpuInfo采样路径的最小采样精度为10000，如果执行sensor-
group命令设置的sample-interval参数的值为9000，则设备按照10000ms的周期进行数据
上报，如果设置的值为21000，则设备按照20000ms的周期进行数据上报。
表 3-3 采样路径对应的详细采样指标
采样路径采样路径下的节采集数据指标是否支持自定
点义阈值
huawei-devm:devm/ position 单板的位置信息。否

cpuInfos/cpuInfo
entIndex 单板的索引号信息。是
systemCpuUsage CPU占用率信息。是
ovloadThreshold 过载阈值信息。是
unovloadThreshol 去过载阈值信息。是
d
interval CPU过载检测周期信息。是
huawei-devm:devm/ position 单板的位置信息。否

memoryInfos/
memoryInfo entIndex 单板的索引号信息。是


点义阈值
osMemoryTotal 系统内存总量信息，单位是
是KB。
osMemoryUse 系统已用内存数量，单位是
是KB。
osMemoryFree 系统内存剩余量，单位是是
KB。
osMemoryUsage 系统内存占用率信息，单是
位是%。
doMemoryTotal 通用路由平台内存总量信是
息，单位是KB。
doMemoryUse 通用路由平台内存已用数是
量信息，单位是KB。
doMemoryFree 通用路由平台内存剩余是
量，单位是KB。
doMemoryUsage 通用路由平台内存占用是
率，单位是%。
simpleMemoryTot Simple内存总量，单位是是
al KB。
simpleMemoryUs Simple内存已用数量信是
e 息，单位是KB。
simpleMemoryFre Simple内存剩余量，单位是
e 是KB。
simpleMemoryUs Simple内存占用率，单位是
age 是%。
ovloadThreshold 过载阈值。是
unovloadThreshol 去过载阈值。是
d
huawei-ifm:ifm/ ifName 接口名称。否

interfaces/interface
ifIndex 接口索引。是
ifAdminStatus 接口管理状态。否
huawei-ifm:ifm/ ifOperStatus 接口运行状态。是

interfaces/interface/
ifDynamicInfo
huawei-mpls:mpls/ pathType 路径类型。否

mplsTe/
rsvpTeTunnels/
rsvpTeTunnel/


点义阈值
tunnelPaths/ explicitPathName 路径详细名称。否

tunnelPath
3.2.3 Telemetry 配置注意事项

l 后置TM子卡情况下， N/A Telemetry采集计数和普通

如果配置了带宽HQOS TE流量统计计数有差异。
时，此时TE普通流量
统计由于HQOS功能由
后置TM完成，而
Telemetry统计由NP完
成，则Telemetry采集和
普通流量统计可能不一
致。
l 对于TE HSB切换、出
接口变更等涉及跨板场
景，出接口切换后，
Telemetry采集计数重新
会从零重新开始计数，
和普通TE流量统计不
同。
l 当TE普通流量统计在
car和统计id方式之间切
换时，Telemetry采集和
普通TE统计计数可能
不一致。

l 当采集的实例数超过设 1.减少配置的采样数；降低了数据采集效率。

备提供的能力时，采样 2.配置较长的采样周期。
周期会自动拉长。例
如，用户配置按100ms
采样全量接口，如果接
口量只有20个，那么这
20个接口可以每100ms
采样一次；如果全量接
口是200个，那么需要
1s才能采样一次。
l Telemetry支持多级流
控，避免流量过大。首
先在每个单板上约束各
个模块最多按20个/
100ms的频率上报数据
给本板的Telemetry；其
次本板的Telemetry控制
100ms上送60个数据，
缓存7500个，超过则丢
弃；最后汇聚到主控板
GRPC之后，GRPC按
照支持500pps的速率进
行流控。
l 配置大量订阅或者重复
订阅时，或者设备业务
繁忙时，Telemetry支持
CPU限制，当CPU高于
50%时，Telemetry采样
周期被强行拉长，
50~70%拉长2倍周期，
70~90%拉长5倍周期，
90%以上拉长10倍周
期。
3.2.4 静态配置 Telemetry

设备作为GRPC客户端，可以在配置Telemetry时主动与采集器建立GRPC连接并向目标
采集器推送数据。
应用环境
目前，Telemetry支持静态配置，设备作为客户端主动向采集器推送数据。用户或者网
管可以通过命令行配置设备的Telemetry采样功能，设备会主动与上送目标建立GRPC连
接，并且推送数据至采集器。
如果设备和上送目标之间的连接断开了，设备会进行重新连接，再次上送数据，但是
重连期间的采样数据会丢失。

前置任务
在设备作为GRPC客户端配置Telemetry功能之前，需完成以下任务：
配置静态或者动态路由协议，保证各设备在网络层互通。
配置流程
图 3-5 设备作为 GRPC 客户端配置 Telemetry 流程图
配置采样数据
配置目标采集器
创建订阅并建立GRPC连接
配置采样数据上送报文的优先级
必选步骤
可选步骤
3.2.4.1 配置采样数据
设备作为GRPC客户端配置Telemetry时，需要配置上送采集器的采样数据。
背景信息
Telemetry采集上报的数据首先需要采样传感器来完成采集过程。用户需要对采样传感
器的名称、采样路径等信息进行配置，设备根据配置的采样路径和过滤条件对指定的
数据进行采集和后续的上送过程。
操作步骤
步骤2 执行命令telemetry，进入Telemetry视图。
步骤3 执行命令sample enable，使能Telemetry采样功能。
步骤4 执行命令sensor-group sensor-name，创建采样传感器组并进入sensor-group视图。
步骤5 执行命令sensor-path path [ condition express op-field field op-type op op-value value ]，
配置采样传感器路径和过滤条件。

----结束
3.2.4.2 配置目标采集器
采样数据配置完成后，需配置采样数据要上送的目标采集器的相关参数。
背景信息
采样传感器采集到指定采样路径和过滤条件的数据后，需要指定数据上送的目标采集
器。用户需要配置目标采集器的IP地址、端口号、上送目标传感器的协议和加密方式
等相关信息。
操作步骤
步骤3 执行命令destination-group destination-name，创建上送目标组并进入destination-group
视图。
步骤4 执行命令ipv4-address ip-address port port [ vpn-instance vpn-instance ] protocol grpc no-
tls，配置上送目标采集器的IP地址、端口号、上送目标传感器的协议和加密方式。
----结束
3.2.4.3 创建订阅并建立 GRPC 连接

采样传感器和上送目标采集器配置完成后，需要创建订阅将二者关联后，才能建立
GRPC连接。
背景信息
设备作为GRPC客户端配置Telemetry时，首先需要配置采样传感器组和上送的目标采集
器，之后需要创建订阅将二者关联，GRPC连接通道才可以成功创建，否则采样传感器
和目标采集器是单独存在的，没办法建立连接互相通信。
操作步骤
步骤3 执行命令subscription subscription-name，创建订阅用于关联上送目标组和采样路径并
进入subscription视图。
步骤4 执行命令sensor-group sensor-name [ sample-interval sample-interval [ suppress-

redundant [ heartbeat-interval heartbeat-interval ] ] ]，关联采样传感器组，并可配置该
采样传感器组的采样周期、冗余抑制和心跳间隔。
说明
如果关联的采样传感器组下配置的采样路径带有阈值过滤条件，则无法配置冗余抑制。

步骤5 执行命令destination-group destination-name，配置关联上送目标组。
----结束
3.2.4.4 （可选）配置采样数据上送报文的优先级
GRPC连接建立完成后，可以选择配置采样数据上送报文的优先级。
操作步骤
步骤3 执行命令subscription subscription-name，创建订阅。
步骤4 执行命令dscp dscp-value，配置上送数据报文的优先级。
----结束
设备作为GRPC客户端配置Telemetry完成后，可以查看传感器、上送目标及订阅信息
等。
前提条件
完成设备作为GRPC客户端配置Telemetry后，可以按以下指导来检查配置结果。
操作步骤
l 使用display telemetry sensor [ sensor-name ]命令查看采样传感器信息。
l 使用display telemetry destination [ destination-name ]命令查看上送目标组信息。
l 使用display telemetry subscription [ subscription-name ]命令查看订阅信息。
----结束
任务示例
执行命令display telemetry sensor [ sensor-name ]，可以查看采样传感器信息。例如:
<HUAWEI> display telemetry sensor 1
------------------------------------------------------------------------------------------
Sensor-name Path-state Op-field Op-type Op-value Path
------------------------------------------------------------------------------------------
1 RESOLVED systemCpuUsage gt 80 huawei-devm:devm/cpuInfos/
cpuInfo
------------------------------------------------------------------------------------------
执行命令display telemetry destination [ destination-name ]，可以查看上送目标组信息。

例如:
<HUAWEI> display telemetry destination 1
---------------------------------------------------------------------------------------------------
--
Dest-name Dest-addr Dest-port State Vpn-name Protocol Encoding Istls

FailedReason
---------------------------------------------------------------------------------------------------
--
1 192.168.2.1 100 RESOLVED - GRPC GPB NO-TLS NA
---------------------------------------------------------------------------------------------------
--
执行命令display telemetry subscription [ subscription-name ]，可以查看订阅信息。例

如:
<HUAWEI> display telemetry subscription 1
---------------------------------------------------------------------------
Sub-name : 1
Dscp : 10
Protocol : GRPC
Encoding : GPB
Send bytes : 205318364
Send packets : 1011854
Total send delay : 0
Total send error : 0
Total send drop : 11288256
Total other error : 0
Last send-time : 2017-08-31 15:42:35.000
Sensor group:
----------------------------------------------------------------------------
Sensor-name Sample interval(ms) Heart interval(s) Suppression State
----------------------------------------------------------------------------
1 100 1 YES RESOLVED
----------------------------------------------------------------------------
Destination group:
---------------------------------------------------------------------------------------
Dest-name Dest-IP Dest-port State Vpn-name Protocol Encoding
---------------------------------------------------------------------------------------
1 192.168.2.1 100 RESOLVED - GRPC GPB
---------------------------------------------------------------------------------------
Sub-state : ACTIVE
---------------------------------------------------------------------------------------
Total subscription number is : 1
3.2.5 配置举例
配置举例结合组网需求、配置思路和数据准备列举了Telemetry的典型应用场景，并提
供配置文件。
3.2.5.1 利用 Telemetry 技术采集 CPU 占用率示例
组网需求
Telemetry设备侧需要采集CPU占用率信息并且将占用率超过80%的数据上送给采集器
进行分析处理，便于及时对网络流量进行监控和调优。
如图3-6所示，DeviceB为支持Telemetry的设备，与采集器DeviceA建立GRPC连接，采
集CPU占用率信息上送给采集器。

图 3-6 利用 Telemetry 技术采集 CPU 占用率组网图

网管
192.168.2.1
192.168.1.1
Network
DeviceB DeviceA
Telemetry设备侧采集器
配置思路
采用如下的思路配置Telemetry：
1. 配置采样数据。
2. 配置目标采集器。
3. 创建订阅并建立GRPC静态连接。
4. （可选）配置采样数据上送报文的优先级。
数据准备
为完成此配置例，需准备如下的数据。
配置网络中设备的IP地址和路由协议，实现设备之间网络层互通。
l 设备端：
– IP地址：192.168.1.1
– 端口号：100
l 采集器：
– IP地址：192.168.2.1
– 端口号：100
操作步骤
步骤1 配置网络中设备的IP地址和路由协议，实现设备之间网络层互通（略）
步骤2 配置采样数据
[~HUAWEI] sysname DeviceB
[*HUAWEI] commit
[~DeviceB] telemetry
[~DeviceB-telemetry] sample enable
[*DeviceB-telemetry] sensor-group 1
[*DeviceB-telemetry-sensor-group-1] sensor-path huawei-devm:devm/cpuInfos/cpuInfo condition
express op-field systemCpuUsage op-type gt op-value 80
[*DeviceB-telemetry-sensor-group-1] commit
[~DeviceB-telemetry-sensor-group-1] return
步骤3 配置目标采集器

<DeviceB> system-view
[~DeviceB-telemetry] destination-group 1
[*DeviceB-telemetry-destination-group-1] ipv4-address 192.168.2.1 port 100 protocol grpc no-tls
[*DeviceB-telemetry-destination-group-1] commit
[~DeviceB-telemetry-destination-group-1] return
步骤4 创建订阅并建立GRPC静态连接
[~DeviceB-telemetry] subscription 1
[*DeviceB-telemetry-subscription-1] sensor-group 1 sample-interval 100
[*DeviceB-telemetry-subscription-1] destination-group 1
[*DeviceB-telemetry-subscription-1] commit
[~DeviceB-telemetry-subscription-1] return
步骤5 配置采样数据上送报文的优先级
[~DeviceB-telemetry] subscription 1
[~DeviceB-telemetry-subscription-1] dscp 10
[*DeviceB-telemetry-subscription-1] commit
[~DeviceB-telemetry-subscription-1] return
# 上述配置完成后，执行display telemetry sensor命令可以查看采样传感器信息。
<DeviceB> display telemetry sensor 1
------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------
1 RESOLVED systemCpuUsage gt 80 huawei-devm:devm/cpuInfos/
cpuInfo
------------------------------------------------------------------------------------------
# 执行命令display telemetry destination，可以查看上送目标采集器信息。

<DeviceB> display telemetry destination 1
---------------------------------------------------------------------------------------------------
--
FailedReason
---------------------------------------------------------------------------------------------------
--
1 192.168.2.1 100 RESOLVED - GRPC GPB NO-TLS NA
---------------------------------------------------------------------------------------------------
--
# 执行命令display telemetry subscription，可以查看订阅信息。

<DeviceB> display telemetry subscription 1
---------------------------------------------------------------------------
Sub-name : 1
Dscp : 10
Protocol : GRPC
Encoding : GPB
Send bytes : 205318364
Send packets : 1011854
Last send-time : 2017-08-31 15:42:35.000
Sensor group:
----------------------------------------------------------------------------
----------------------------------------------------------------------------

1 100 60 NO RESOLVED
----------------------------------------------------------------------------
Destination group:
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
Sub-state : ACTIVE
---------------------------------------------------------------------------------------
----结束
配置文件
#
sysname DeviceB
#
telemetry
#
sample enable
#
sensor-group 1
sensor-path huawei-devm:devm/cpuInfos/cpuInfo condition express op-field systemCpuUsage op-type
gt op-value 80
#
destination-group 1
ipv4-address 192.168.2.1 port 100 protocol grpc no-tls
#
subscription 1
dscp 10
sensor-group 1 sample-interval 100
destination-group 1
#
return
3.3 Telemetry 配置命令
3.3.1 destination-group（subscription 视图）
命令功能
destination-group命令用来配置关联目标组。
undo destination-group命令用来删除配置的关联目标组。
缺省情况下，没有配置关联目标组。
命令格式
destination-group destination-name
undo destination-group destination-name

参数说明
destination- 指定上送目标组字符串形式，区分大小写，由字母、数字或字母
name 名称。和数字的组合组成，字母或数字之间不允许有空
格，长度范围是1～64。
视图
subscription视图
缺省级别
3：管理级
telemetry write
使用指南
应用场景
用户在Telemetry视图下创建成功的上送目标组必须在subscription视图下执行
destination-group命令进行关联后才可以生效。
注意事项
此命令支持的在同一订阅下可以关联的上送目标组数量上限为5个，每个目标组可以配
置5个IP地址和端口号。
在subscription视图下关联的目标组必须是Telemetry视图下已经配置的目标组，否则会
关联失败。
使用实例
# 在Telemetry视图下创建名称为a的上送目标组，并在subscription视图下关联此目标
组。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] destination-group a
[*HUAWEI-telemetry-destination-group-a] quit
[*HUAWEI-telemetry] subscription aa
[*HUAWEI-telemetry-subscription-aa] destination-group a
3.3.2 destination-group（Telemetry 视图）
命令功能
destination-group命令用来创建采样数据的上送目标组并进入destination-group视图。

undo destination-group命令用来删除创建的上送目标组。
缺省情况下，没有创建采样数据的上送目标组。
命令格式
destination-group destination-name
undo destination-group destination-name
参数说明
视图
Telemetry视图
缺省级别
3：管理级
telemetry write
使用指南
应用场景
用户执行destination-group命令可以在Telemetry视图下创建一个或多个上送目标组接收
设备上送的数据信息。
注意事项
此命令在每个订阅下可以创建的目标组数量上限为5个。每个目标组可以配置5个IP地
址、端口号和VPN实例的组合，上送目标组只有在subscription视图下被订阅关联后才
可以生效。
如果上送目标组被关联，则不能执行undo destination-group命令删除此目标组。
使用实例
# 在Telemetry视图下创建名称为a的上送目标组。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] destination-group a

3.3.3 display telemetry destination

命令功能
display telemetry destination命令用来查看上送目标组信息。
命令格式
display telemetry destination [ destination-name ]
参数说明
视图
所有视图
缺省级别
1：监控级
cli read
使用指南
执行此命令可以查看上送目标组的目标名称、目标地址、端口及连接状态、传输协议
和编码等信息。
使用实例
# 统一查看上送目标组信息。
<HUAWEI> display telemetry destination
----------------------------------------------------------------------------------------
Dest-name Dest-addr Dest-port State Vpn-name Protocol Encoding
----------------------------------------------------------------------------------------
a 1.1.1.1 355 RESOLVED - GRPC GPB
b 1.1.1.2 50 NA - GRPC GPB
----------------------------------------------------------------------------------------
# 查看指定目标组a的信息。
<HUAWEI> display telemetry destination a
---------------------------------------------------------------------------------------------------
--

FailedReason
---------------------------------------------------------------------------------------------------
--
a 1.1.1.1 355 RESOLVED - GRPC GPB NO-TLS
BUILDING
---------------------------------------------------------------------------------------------------
-
表 3-4 display telemetry destination 命令输出信息描述

项目描述
Dest-name 上送目标组名称。
Dest-addr 上送目标组IP地址。
Dest-port 上送目标组端口号。
State 上送目标组端口连接状态。
l RESOLVED：被订阅
l NA：未被订阅
Vpn-name VPN实例名称。
Protocol 数据上送协议。
Encoding 数据编码方式。
Istls 是否采用TLS加密方式。目前不支持TLS
加密，统一显示为NO-TLS。
FailedReason GRPC连接失败的原因。
l NA：连接正常。
l NO-SUBSCRIPTION：未被订阅。
l BUILDING：已被订阅，但未建立
GRPC连接。
l NO-SENSOR：已被订阅，但订阅下
没有采样传感器或有采样传感器没有
配置采样路径。
l SAMPLE-DISABLE：未使能
Telemetry采样功能。
l UNKOWN：其他未知错误。
3.3.4 display telemetry sensor

命令功能
display telemetry sensor命令用来查看采样传感器信息。
命令格式
display telemetry sensor [ sensor-name ]

参数说明
sensor- 指定采样传感器字符串形式，区分大小写，由字母、数字或字母和
name 名称。数字的组合组成，字母或数字之间不允许有空格，
长度范围是1～64。
视图
所有视图
缺省级别
1：监控级
cli read
使用指南
执行此命令可以查看传感器的名称、订阅信息、订阅状态等信息。
使用实例
# 统一查看采样传感器信息。
<HUAWEI> display telemetry sensor
------------------------------------------------------------------------------------------
Sensor-name Path-state Path
------------------------------------------------------------------------------------------
111 RESOLVED huawei-ifm:ifm/interfaces/interface
222 RESOLVED huawei-devm:devm/cpuInfos/cpuInfo
333 RESOLVED huawei-ifm:ifm/interfaces/interface/ifClearedStat
# 查看指定采样传感器222的信息。
<HUAWEI> display telemetry sensor 222
----------------------------------------------------------------------
----------------------------------------------------------------------
222 RESOLVED - - - huawei-devm:devm/cpuInfos/cpuInfo
----------------------------------------------------------------------
表 3-5 display telemetry sensor 命令输出信息描述
项目描述
Sensor-name 采样传感器名称。

项目描述
Path-state 采样传感器路径状态。
l RESOLVED：已被订阅
l NA：未被订阅
Path 采样传感器路径。
Op-field 上报数据内容包含的字段名称。
Op-type 运算符。
Op-value 参与运算的值。
3.3.5 display telemetry subscription

命令功能
display telemetry subscription命令用来查看订阅信息。
命令格式
display telemetry subscription [ subscription-name ]
参数说明
subscription- 指定订阅名字符串形式，区分大小写，由字母、数字或字母和
name 称。数字的组合组成，字母或数字之间不允许有空格，
视图
所有视图
缺省级别
1：监控级
cli read
使用指南
执行此命令可以查看订阅信息，包括订阅名称、源IP地址、传输协议、关联传感器及
关联上送目标组等信息。

使用实例
# 统一查看订阅信息。
<HUAWEI> display telemetry subscription
---------------------------------------------------------------------------
Sub-name : a
Sensor group:
------------------------------------------------------
Sensor-name Sample interval(ms) State
------------------------------------------------------
a 100 RESOLVED
------------------------------------------------------
Destination group:
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
Sub-state : PASSIVE
---------------------------------------------------------------------------------------
Sub-name : b
Sensor group:
------------------------------------------------------
Sensor-name Sample interval(ms) State
------------------------------------------------------
b 100 NA
------------------------------------------------------
Destination group:
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
Sub-state : PASSIVE
---------------------------------------------------------------------------------------
# 查看指定订阅a的信息。
<HUAWEI> display telemetry subscription a
---------------------------------------------------------------------------
Sub-name : a
Dscp : 1
Protocol : GRPC
Encoding : GPB
Send bytes : 0
Send packets : 0
Last send-time : 2017-08-31 15:42:35.000
Sensor group:
----------------------------------------------------------------------------
----------------------------------------------------------------------------
a 100 60 NO RESOLVED
----------------------------------------------------------------------------
Destination group:
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
Sub-state : PASSIVE
---------------------------------------------------------------------------------------

表 3-6 display telemetry subscription 命令输出信息描述

项目描述
Sub-name 订阅名称。
Sensor group 采样传感器信息。

l Sensor-name：采样传感器名称。
l Sample interval(ms)：采样时间间隔，
单位是毫秒。
l Heart interval(s)：心跳间隔，单位是
秒。
l Suppression：冗余抑制。
l State：采样传感器状态。
Destination group 上送目标组信息。

l Dest-name：上送目标组名称。
l Dest-IP：上送目标组IP地址。
l Dest-port：上送目标组端口号。
l State：上送目标组状态。
l Vpn-name：VPN实例名。
l Protocol：数据上送协议。
l Encoding：数据编码方式。
Sub-state 订阅状态。
l PASSIVE：未与采集器连接。
l ACTIVE：已与采集器连接。
Total subscription number is 当前查看的订阅总数。
Dscp 上送数据报文的DSCP值。
Send bytes 发送字节数。
Send packets 发送报文数。
Total send delay 延迟发送的报文数。
Total send error 错误发送的报文数。
Total send drop 丢弃报文数。
Total other error 其他错包数。
Last send-time 上次发送时间。

3.3.6 dscp
命令功能
dscp命令用来配置上送数据报文的DSCP值。
undo dscp命令用来恢复上送数据报文的缺省DSCP值。
缺省情况下，上送数据报文的DSCP值为0。
命令格式
dscp dscp-value
undo dscp [ dscp-value ]
参数说明
dscp-value 指定上送数据报文的DSCP值。整数形式，取值范围是0～63。
视图
subscription视图
缺省级别
3：管理级
telemetry write
使用指南
应用场景
DSCP值是为了保证通信的服务质量，在数据报文IP头部的8个标识字节进行编码来划
分服务类别，区分服务的优先级。当用户需要配置DSCP取值时，可以执行dscp命令。
注意事项
本命令是覆盖式命令，以最后一次的配置为准。
使用实例
# 配置上送数据报文的DSCP值为60。
[~HUAWEI] telemetry

[~HUAWEI-telemetry] subscription test

[*HUAWEI-telemetry-subscription-test] dscp 60
3.3.7 ipv4-address
命令功能
ipv4-address命令用来配置上送目标采集器的IPv4地址、端口号、上送目标采集器的协
议和加密方式。
undo ipv4-address命令用来删除上送目标采集器的IPv4地址、端口号、上送目标采集器
的协议和加密方式。
缺省情况下，没有配置上送目标采集器的IPv4地址、端口号、上送目标采集器的协议
和加密方式。
命令格式
ipv4-address ip-address port port [ vpn-instance vpn-instance ] protocol grpc no-tls
undo ipv4-address ip-address port port [ vpn-instance vpn-instance ] protocol grpc no-tls
参数说明
ip-address 指定上送目标的IPv4地址。点分十进制格式。
port port 指定上送目标的端口号。整数形式，取值范围是1～

65535。
vpn-instance 指定上送目标的VPN实例名。字符串形式，取值范围是1～

vpn-instance 31。必须是设备上已经存在的
VPN实例名称。
protocol grpc 指定数据上报协议为GRPC。 -

no-tls 是否采用TLS加密方式。目前不支 -
持TLS方式加密。
视图
destination-group视图
缺省级别
3：管理级

telemetry write
使用指南
应用场景
当成功创建上送目标组后，可以执行此命令配置上送目标采集器的IP地址、端口号、
上送目标采集器的协议和加密方式。
注意事项
此命令允许对每个上送目标组配置的次数上限为5。
使用实例
# 配置上送目标的IPv4地址和端口号。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] destination-group test
[*HUAWEI-telemetry-destination-group-test] ipv4-address 1.1.1.1 port 85 vpn-instance vpntest
protocol grpc no-tls
3.3.8 sample enable
命令功能
sample enable命令用来使能Telemetry采样功能总开关。
undo sample enable命令用来关闭Telemetry采样功能总开关。
缺省情况下，Telemetry采样功能总开关是关闭的。
命令格式
sample enable
undo sample enable
参数说明
无
视图
Telemetry视图
缺省级别
3：管理级

telemetry write
使用指南
当用户需要配置Telemetry相关命令时，必须首先执行sample enable命令使能Telemetry
总开关。
使用实例
# 使能Telemetry总开关。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] sample enable
3.3.9 sensor-group（Telemetry 视图）
命令功能
sensor-group命令用来在Telemetry视图下创建采样传感器组并进入sensor-group视图。
undo sensor-group命令用来删除在Telemetry视图下创建的采样传感器组。
缺省情况下，没有在Telemetry视图下创建采样传感器组。
命令格式
sensor-group sensor-name
undo sensor-group sensor-name
参数说明
sensor- 指定采样传感器组字符串形式，区分大小写，由字母、数字或字母和
name 名称。数字的组合组成，字母或数字之间不允许有空格，
视图
Telemetry视图
缺省级别
3：管理级

telemetry write
使用指南
应用场景
执行sensor-group命令可以创建一个或多个采样传感器组，对需要采集的数据进行采
样。
注意事项
此命令在一个订阅下可以创建的采样传感器组的数量上限为25个。
使用实例
# 创建名称为1的采样传感器组。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] sensor-group 1
3.3.10 sensor-group（subscription 视图）
命令功能
sensor-group命令用来关联采样传感器组，并可配置该采样传感器组的采样周期、冗余
抑制和心跳间隔。
undo sensor-group命令用来取消采样传感器组的关联。
缺省情况下，没有关联采样传感器组。
命令格式
sensor-group sensor-name [ sample-interval sample-interval [ suppress-redundant
[ heartbeat-interval heartbeat-interval ] ] ]
undo sensor-group sensor-name [ sample-interval sample-interval [ suppress-redundant

[ heartbeat-interval heartbeat-interval ] ] ]
参数说明
sensor-name 指定关联采样传感器组名取值必须是已经在Telemetry视图下创
称。建成功的采样传感器组名称。

sample-interval 指定采样时间间隔。整数形式，取值范围是100～
sample-interval 1800000，单位是毫秒。目前只支持
配置100、1000、5000、10000、
30000、60000、180000、300000、
900000、1800000，缺省值为60000。
suppress- 指定采样时进行冗余抑制。 -
redundant 从上次数据上送时间开始计
算，指定的心跳间隔时间
内，如果数据没有发生变
化，则不会上送数据。
heartbeat- 指定心跳间隔。整数形式，取值范围是1～60，缺省
interval 值是60，单位是秒。
heartbeat-
interval
视图
subscription视图
缺省级别
3：管理级
telemetry write
使用指南
应用场景
用户在Telemetry视图下成功创建的采样传感器组必须在subscription视图下进行关联才
可以完成后续的采样任务。执行sensor-group命令可以配置关联传感器组的采样周期、
冗余抑制和心跳间隔。此命令支持的在同一订阅下关联的传感器组上限为5个。
注意事项
l 当采样路径为告警类型时，采样周期和冗余抑制的配置不生效。
l 心跳间隔只有在冗余抑制生效后才可以进行配置。
l 心跳时间间隔必须大于采样间隔。
l 关联的采样传感器组必须是已经在Telemetry视图下创建成功的采样传感器组，否
则会关联失败。
l 如果关联的采样传感器组下配置的采样路径带有阈值过滤条件，则无法配置冗余
抑制，即阈值过滤和冗余抑制是互斥的。
l 如果配置的采样周期小于采样路径的最小采样精度（告警和事件类型的采样路径
不涉及），则设备会按照最小采样精度进行数据上报；如果配置的采样周期大于

最小采样精度但不是最小采样精度的整数倍，则设备会按照最小采样精度向下取
整的倍数进行数据上报。例如：huawei-devm:devm/cpuInfos/cpuInfo采样路径的最
小采样精度为10000，如果执行sensor-group命令设置的sample-interval参数的值为
9000，则设备按照10000ms的周期进行数据上报，如果设置的值为21000，则设备
按照20000ms的周期进行数据上报。
使用实例
# 关联采样传感器组，并配置该采样传感器组的采样周期、冗余抑制和心跳间隔。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] subscription test
[*HUAWEI-telemetry-subscription-test] sensor-group 1 sample-interval 100 suppress-redundant
heartbeat-interval 30
3.3.11 sensor-path
命令功能
sensor-path命令用来配置Telemetry传感器采样路径。
undo sensor-path命令用来删除配置的Telemetry传感器采样路径。
缺省情况下，没有配置Telemetry传感器采样路径。
命令格式
sensor-path path [ condition express op-field field op-type op op-value value ]
undo sensor-path path [ condition express op-field field op-type op op-value value ]
参数说明
path 指定采样路径名称。目前支持特定的采样路径，详细信息请参考
Telemetry支持的采样路径。
condition 指定采样数据的过滤条 -
件。
express 指定采样数据过滤条件 -
的表达式。
op-field field 指定采样数据内容包含字符串形式。详细信息请参考Telemetry支持
的字段。的采样路径。

op-type op 指定运算符。字符串形式，目前支持以下运算符：
l eq：等于
l ge：大于等于
l gt：大于
l le：小于等于
l lt：小于
op-value value 参与运算的数值。整数形式，取值范围是0～4294967295。
视图
sensor-group视图
缺省级别
3：管理级
telemetry write
使用指南
应用场景
用户可以根据当前传感器节点，指定需要采样的数据源和过滤条件，然后执行sensor-
path命令，配置一个或多个传感器路径采集指定的数据信息。
注意事项
此命令允许在同一个采样传感器组下配置的路径数量上限为5条。
当采样传感器组被订阅且配置了冗余抑制，则无法在此采样传感器组下配置带有过滤
条件的采样路径。
当采样路径类型为告警时，不能配置过滤条件。
使用实例
# 配置Telemetry采样传感器路径。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] sensor-group test
[*HUAWEI-telemetry-sensor-group-test] sensor-path huawei-devm:devm/cpuInfos/cpuInfo
# 指定需要采样的数据源和过滤条件，配置Telemetry采样传感器路径。

[~HUAWEI] telemetry
[~HUAWEI-telemetry] sensor-group test
[*HUAWEI-telemetry-sensor-group-test] sensor-path huawei-devm:devm/cpuInfos/cpuInfo condition
express op-field systemCpuUsage op-type gt op-value 70
3.3.12 subscription
命令功能
subscription命令用来在Telemetry视图下创建订阅用于关联上送目标组和采样路径并进
入subscription视图。
undo subscription命令用来删除在Telemetry视图下创建的订阅。
缺省情况下，没有在Telemetry视图下创建订阅。
命令格式
subscription subscription-name
undo subscription subscription-name
参数说明
subscription- 指定订阅名字符串形式，区分大小写，由字母、数字或字母和
name 称。数字的组合组成，字母或数字之间不允许有空格，
视图
Telemetry视图
缺省级别
3：管理级
telemetry write
使用指南
应用场景
执行subscription命令，用户可以在Telemetry视图下创建一个或多个订阅将上送目标组
和采样路径进行关联，配置完成后才可以建立GRPC连接。
注意事项
此命令可以创建的订阅数量上限为25个。

使用实例
# 创建名称为A的订阅。
[~HUAWEI] telemetry
[~HUAWEI-telemetry] subscription A
3.3.13 telemetry
命令功能
telemetry命令用来进入Telemetry视图。
命令格式
telemetry
参数说明
无
视图
系统视图
缺省级别
3：管理级
telemetry write
使用指南
当用户需要配置Telemetry相关命令时，必须首先执行Telemetry命令进入Telemetry视
图。
使用实例
# 进入Telemetry视图。
[~HUAWEI] telemetry


IP新技术专题

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

IP新技术专题

Uploaded by

Copyright:

Available Formats

IP 新技术专题

文档版本 draft 03 华为专有和保密信息 i

文档版本 draft 03 华为专有和保密信息 ii

1.2.5 配置集中式网关部署方式的 VXLAN（BGP EVPN 方式）................................................................................ 77

文档版本 draft 03 华为专有和保密信息 iii

1.3.7 display bridge-domain............................................................................................................................................. 187

文档版本 draft 03 华为专有和保密信息 iv

1.3.49 vxlan central-reassemble enable............................................................................................................................ 252

2 IPv4 Segment Routing.............................................................................................................. 260

文档版本 draft 03 华为专有和保密信息 v

2.2.4.4 检查配置结果...................................................................................................................................................... 323

文档版本 draft 03 华为专有和保密信息 vi

2.3.7 display segment-routing seamless-bfd tunnel session............................................................................................. 407

文档版本 draft 03 华为专有和保密信息 vii

3.2.4.1 配置采样数据...................................................................................................................................................... 455

文档版本 draft 03 华为专有和保密信息 viii

文档版本 draft 03 华为专有和保密信息 1

VSwitch VSwitch VSwitch VSwitch

... ... ... ...

文档版本 draft 03 华为专有和保密信息 2

文档版本 draft 03 华为专有和保密信息 3

图 1-2 VXLAN 结构示意图

表 1-1 VXLAN 基本概念

文档版本 draft 03 华为专有和保密信息 4

VNI（VXLAN VXLAN网络标识VNI类似VLAN ID，用于区分VXLAN段，不同

1.1.2.2 Underlay 网络和 Overlay 网络的组合

文档版本 draft 03 华为专有和保密信息 5

IPv4 over IPv4 Overlay网络和Underlay网络均为 在图1-3中，Server IP和VTEP IP

IPv6 over IPv4 Overlay网络为IPv6网络， 在图1-3中，Server IP为IPv6地

IPv4 over IPv6 Overlay网络为IPv4网络， 在图1-3中，Server IP为IPv4地

IPv6 over IPv6 Overlay网络和Underlay网络均为 在图1-3中，Server IP和VTEP IP

图 1-3 Underlay 网络和 Overlay 网络的组合示意图

VSwitch VSwitch VSwitch

VM1 ... VMm VM1 ... VMm VM1 ... VMm

Server IP Server IP Server IP

目前，只支持IPv4 over IPv4网络。

1.1.2.3 VXLAN 报文格式

文档版本 draft 03 华为专有和保密信息 6

图 1-4 VXLAN 报文详细格式

…... Protocol …... IP SA IP DA

Outer Outer Outer Inner Inner

Source DestPort UDP UDP

表 1-2 VXLAN 报文格式说明

VXLAN header l VXLAN Flags：8比特，取值为00001000。

Outer UDP header l DestPort：目的UDP端口号是4789。

Outer IP header l IP SA：源IP地址是VXLAN隧道本端VTEP的IP地址。

文档版本 draft 03 华为专有和保密信息 7

Outer Ethernet header l MAC DA：在发送报文的虚拟机所属VTEP上根据目的

1.1.2.4 VXLAN EVPN 基本原理

综上所述，EVPN通过扩展BGP协议新定义了几种BGP EVPN路由，这些BGP EVPN路

图 1-5 MAC/IP 路由的报文格式

文档版本 draft 03 华为专有和保密信息 8

表 1-3 MAC/IP 路由的报文格式解释

Route Distinguisher 该字段为EVPN实例下设置的RD

Ethernet Segment Identifier 该字段为当前设备与对端连接定

Ethernet Tag ID 该字段为当前设备上实际配置的

MAC Address Length 该字段为此路由携带的主机

MAC Address 该字段为此路由携带的主机

IP Address Length 该字段为此路由携带的主机IP地

MPLS Label1 该字段为此路由携带的二层

MPLS Label2 该字段为此路由携带的三层

文档版本 draft 03 华为专有和保密信息 9

图 1-6 Inclusive Multicast 路由的报文格式

Ethernet Tag ID（4 字节）

IPv4 over IPv4 Overlay网络和Underlay网络均为在图1-3中，Server IP和VTEP IP

IPv6 over IPv4 Overlay网络为IPv6网络，在图1-3中，Server IP为IPv6地

IPv4 over IPv6 Overlay网络为IPv4网络，在图1-3中，Server IP为IPv4地

IPv6 over IPv6 Overlay网络和Underlay网络均为在图1-3中，Server IP和VTEP IP