第三章：单域骨干网规划

目录
CONTENTS
CONTENTS
 MPLS VPN 概述

分行中心机房 什么场合需要规划和建设骨干网
？

支行 -1 支行 -2

MPLS VPN
使用 MPLS VPN 的基本诉求

大批量路由传递

承载总部数据中心与下级各个大
小不同的分支单位的路由传递，
更灵活的调优和控制

业务网段隔离

不同业务类型的路由用 VRF 隔离
开，并且支持 VRF 与 VRF 的分
流与聚合。同时路由隔离也能更
好的满足等保的需求
规划 MPLS VPN 骨干网要点

MPLS VPN 骨干网的规划顺序一般按照 BGP 规划时，从范围由大到小

Overlay 规划 先考虑 AS 号码，再考虑 RR-Client
BGP 到 IGP 再到 PE-CE 对接
接下来是 VRF 、 Community 之类
BGP 邻居设计

BGP-RR 规划
PE-CE 对接规划
VRF （ RD/RT ）
PE-CE 接入方式 单 CE 或 MCE
私网路由
PE-CE 路由协议 IGP/BGP

Underlay 规划
PE-CE 流量调整 主备 /ECMP

设备互联 / 地址 PE-CE 安全过滤等 路由过滤等

OSPF/EIGRP 规划

MPLS 标签规划

LDP 规划
规划 MPLS VPN 骨干网要点
MPLS VPN 骨干网规划要点

MP-BGP
VRF 路由传递
Overlay 网络

Underlay 网络
IP 转发

设备互联
OSPF/EIGRP
LDP 信令协议

流量在 MPLS VPN 域内怎么走，由 underlay 形成的最优路径决定

骨干网规划案例
骨干网整体图（架构）

主中心 MPLS VPN 骨干网 同城中心

DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1

DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2

A-PE-1 A-PE-2

二
级
单
位
总部单位
 骨干网规划案例 - 总体规划
总体规划

主中心 MPLS VPN 骨干网 同城中心 骨干网总体规划

总体规划
DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1 • 骨干网底层路由协议使用 OSPF
• 骨干网承载协议使用 MP-
BGP ， BGP 使用一个 AS 号码；
BGP 65000
IPv4/OSPF 1 • 骨干网规划一主一备两台 RR ， RR
和 P 设备合并部署；
• 主中心、同城中心、总部单位规划
DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2 为独立的 AS
• PE-CE 路由协议使用 eBGP

A-PE1 A-PE2

B1-MCE1 B1-MCE2

二
级
单
位

总部单位
 骨干网规划案例 -BGP

主中心 MPLS VPN 骨干网 同城中心 BGP 的 AS 和邻居规划

AS 规划
DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1 • 骨干网使用 AS 号码为 AS 65000
RR • 主中心 AS 号码为 AS 65001
• 同城中心 AS 号码为 AS 65002
BGP 65000
IPv4/OSPF 1 • 总部单位 AS 号码为 AS 65003

RR
DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2 邻居规划
• P/PE 使用 Loopback 0 地址作为更新
源地址
BGP 65001 BGP 65002 • 不启用 BGP 邻居认证
A-PE1 A-PE2
• 所有 P/PE 设备与 RR 在 IPv4/VPNv4
地址族下建立 iBGP 邻居关系

BGP 65003
B1-MCE1 B1-MCE2

二
级
单
位

总部单位
 骨干网规划案例 -BGP

主中心 MPLS VPN 骨干网 同城中心 BGP 的 RR 规划

RR 规划
DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1
• 骨干网 P 节点和 RR 节点合并部署，
RR 减少骨干网网络规模
BGP 65000 • 主同中心分别部署一台 RR
IPv4/OSPF 1 • 骨干网所有 PE 设备与 RR 设备通过
loopback 建立 IBGP 邻居关系，进行
RR
VPNv4 路由交互
DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2

BGP 65001 BGP 65002

A-PE1 A-PE2

BGP 65003
B1-MCE1 B1-MCE2

二
级
单
位

总部单位
 骨干网规划案例 -VRF
画出数据中心分区（主中心与同城中心路由隔离关系）

主中心 同城中心
核心服务区 核心服务区
生产
VRF （ SC_VPN ）
APP 业务区 测试 APP 业务区
VRF （ CS_VPN ）
办公
开发测试区 开发测试区
VRF （ BG_VPN ）

协同办公区 协同办公区

所谓规划互访环境，就是要梳理出现网的路由。
路由梳理出来以后，才能在 PE-CE 对接的时候，决定哪些路由进哪些 VRF
 骨干网规划案例 -VRF
画出数据中心分区、总部办公网分区、二级单位分区和 VRF 隔离关系

主中心 总部单位
核心服务区 生产业务

办公业务
APP 业务区

测试业务
开发测试区
生产
VRF （ SC_VPN ） 视频会议
协同办公区 测试

视频会议
VRF （ CS_VPN ）
办公
VRF （ BG_VPN ）
同城中心 二级单位
核心服务区 生产业务

办公业务
APP 业务区

视频会议
开发测试区

协同办公区
 骨干网规划案例 -VRF

主中心 MPLS VPN 骨干网 同城中心 BGP 路由规划

RD ： 65001:101 RD ： 65001:101
PE-1/P-1 形成 A 平面
DC1-PE-1 DC1-P-1 （ RR ） DC2-P-1 DC2-PE-1 PE-2/P-2 形成 B 平面

RD ： 65001:102 A 平面 RD ： 65001:102 A 平面 VRF 的 RD 值为：

SC_VPN ： 65001:101
RD ： 65001:202 RD ： 65001:202 BG_VPN ： 65001:102
CS_VPN ： 65001:103
DC1-PE-2 DC1-P-2 DC2-P-2 （ RR ） DC2-PE-2
RD ： 65001:202 B 平面 RD ： 65001:202 B 平面 VRF 的 RD 值为：
SC_VPN ： 65001:201
BGP 65001 BGP 65002
A-PE1 A-PE2 BG_VPN ： 65001:202
CS_VPN ： 65001:203

BGP 65003
B1-MCE1 B1-MCE2

二
级
单
位

总部单位
 骨干网规划案例 - 私网路由

主中心 MPLS VPN 骨干网 同城中心 因为要使流量分流走两个平面

所以 A 、 B 平面路由的 RD 值不一样
这和 RR 反射路由的性质有关
DC1-PE-1 DC1-P-1 （ RR ） DC2-P-1 DC2-PE-1

A 平面

DC1-PE-2 DC1-P-2 DC2-P-2 （ RR ） DC2-PE-2

B 平面

BGP 65001 BGP 65002

A-PE1 A-PE2

BGP 65003
B1-MCE1 B1-MCE2

二
级
单
位

总部单位
 骨干网规划案例 - 私网路由
PE1/2 接收 CE 路由时， A 平面为路由添加 1000:1 、 B 平面为路由添加 2000:1
PE1/2 接收 RR 路由时， PE1 针对 1000:1 设置 Local-pref 为 200 ， PE2 针对 2000:1 设置 Local-pref 为 200

主中心 MPLS VPN 骨干网 同城中心

A 平面 1000:1 A 平面 1000:1
DC1-PE-1 DC2-PE-1
本中心生产路由： 本中心生产路由：
10.128.0.0/18 10.130.0.0/18
生产 VPN 生产 VPN
本中心测试路由： A 平面 本中心测试路由：
10.128.64.0/19 测试 VPN 测试 VPN 10.130.64.0/19
本中心办公路由： 办公 VPN 办公 VPN 本中心办公路由：
10.128.96.0/19 10.130.96.0/19
DC1-PE-2 DC2-PE-2
B 平面 2000:1 B 平面 2000:1
B 平面

BGP 65001 BGP 65002

A-PE1 A-PE2

生产 VPN 测试 VPN 办公 VPN

A 平面的 Community 为： 1000:1
生产 VPN 办公 VPN PE 收方向过滤
B1-MCE1 B1-MCE2 B 平面的 Community 为： 2000:1
PE1/2 上接收 RR 传递来的路由，针对
二
级
不同的 Community 设置不同的本地优
本中心生产路由： BGP 65101-9
本中心办公路由： 单 本中心生产路由： 本中心测试路由： 本中心办公路由： 先级属性
10.131.0.0/19 10.131.32.0/19 位 10.136.0.0/18 10.137.0.0/18 10.138.0.0/18
为什么不用 RT ？（ RT 是引导路由传
总部单位 递的）
 骨干网规划案例 - 私网路由
RT 规划： Export RT 和 Import RT 和 RD 值一致

主中心 MPLS VPN 骨干网 同城中心

PE 收方向过滤 PE 收方向过滤
DC1-PE-1 DC2-PE-1
本中心生产路由： 本中心生产路由：
10.128.0.0/18 10.130.0.0/18
生产 VPN 生产 VPN
本中心测试路由： A 平面 本中心测试路由：
10.128.64.0/19 测试 VPN 测试 VPN 10.130.64.0/19
本中心办公路由： 办公 VPN 办公 VPN 本中心办公路由：
10.128.96.0/19 10.130.96.0/19
DC1-PE-2 DC2-PE-2
B 平面

BGP 65001 BGP 65002

A-PE1 A-PE2

生产 VPN 测试 VPN 办公 VPN

A 平面 VRF 的 RT 为：
生产 VPN 办公 VPN PE 收方向过滤
B1-MCE1 B1-MCE2 SC_VPN ： 65001:101
BG_VPN ： 65001:102
二
级
CS_VPN ： 65001:103
本中心生产路由： BGP 65101-9
本中心办公路由： 单 本中心生产路由： 本中心测试路由： 本中心办公路由：
10.131.0.0/19 10.131.32.0/19 位 10.136.0.0/18 10.137.0.0/18 10.138.0.0/18

总部单位
骨干网规划案例 - 接口和互联地址
上行方向
骨干网内设备互联使用 /30 的 IPv4 段
主中心 MPLS VPN 骨干网 同城中心 上行方向的设备接口用奇数地址
下行方向的设备接口用偶数地址

上行方向

二
级
单
位
总部单位

接口分配：
PE1-PE2 的互联接口为尾接口
PE-CE 互联接口为倒数第二个接口
P 和 PE 互联的接口从 0 、 1 、 2 以此
类推
骨干网规划案例 -IGP

MPLS VPN 骨干网 Underlay 路由规划

IGP 设计
DC1-P-1 （ RR ） DC2-P-1  Underlay 路由使用 OSPF
 Process ID 为 1 ，所有 P/PE 设备都在 Area 0
COST 10 COST 10 COST 10  OSPF 链路网络类型为 P2P ，默认 Hello 和 Dead 时
COST 100 COST 100 COST 100 COST 100 间

COST 10  OSPF 邻居不启用邻居认证

COST 10 COST 10

DC1-P-2 DC2-P-2 （ RR ） IGP Cost 规划

 PE-1/2 之间互联链路的 Cost 为 100
COST 10 COST 10
 P 连 PE 的链路 Cost 为 10

A-PE1 A-PE2
COST 100
骨干网规划案例 -LDP

MPLS/LDP 规划 MPLS VPN 骨干网

信令协议使用 LDP
DC1-P-1 （ RR ） DC2-P-1
Loopback 0 作为 LSR-ID
接口开启 MPLS 标签转发
COST 10 COST 10 COST 10
标签范围用默认值
COST 100 COST 100 COST 100 COST 100
标签分发方式为默认值
不隐藏骨干网内的 Tracer 信息 COST 10 COST 10 COST 10

DC1-P-2 DC2-P-2 （ RR ）

COST 10 COST 10

A-PE1 A-PE2
COST 100
骨干网规划案例 -PE-CE 路由协议
address-family ipv4 vrf XX
network
或者 redistribute static
PE-CE 间可使用多种路由协议，
ip route vrf XX 10.112.24.0/24
每种路由协议根据各自的优缺点
用在特定的场合 CE 不需要骨干网路由
静态路由 骨干网 以默认路由方式接入
CE 往 PE 指默认路由

address-family ipv4 vrf XX

redistribute ospf / EIGRP
双向重分发注意防环 router ospf 1 vrf XX
redistribute bgp subnets
CE 下网络规模较小且路
由离散，选路不严格
IGP 骨干网

迭代进 MPLS VPN

BGP 直传 CE 下网络规模大，且需
要路由聚合，选路严格
eBGP 骨干网
骨干网规划案例 -PE-CE 接入

PE-CE 之间使用万兆光口的三层子接口互
联
每个 VRF 分配一个子接口
（子接口 VLAN-TAG 和子接口编号一致）
每个三层子接口分配一组 /30 的 IP 地址段
， PE 一侧用奇数地址
PE CE

Subif.11
SC_VPN

CS_VPN
Subif.12 Global
Routing-table

Subif.13
BG_VPN
 骨干网规划案例 -PE-CE 路由协议

主中心 MPLS VPN 骨干网 同城中心

PE-CE 路由协议规划
DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1 主中心、同城中心、总部单位：
PE-CE 路由协议为 BGP
• PE 上每个 VRF 与 CE 建立 eBGP 邻居关系；
BGP 65000 • PE 上设置 Route-map ，对路由进行过滤
eBGP eBGP
IPv4/OSPF 1 • CE 上与 PE 的每个 VRF 用互联地址建立 eBGP 邻
居关系；
• 在 CE 上调整 BGP 路径属性，实现选路需求；
DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2 • CE 上使用 Null0 静态路由 network 进 BGP
• CE 上把 BGP 路由直接重分发进内网 OSPF

二级单位：
A-PE1 A-PE2
PE-MCE 路由协议为 OSPF
内网 OSPF 内网 OSPF
• PE 上针对每个 VRF 与 CE 建立 OSPF 邻居关
系
• CE 上设一个 OSPF 进程，与 PE 的每个 VRF
eBGP
B1-MCE1 B1-MCE2 建立邻居关系
• PE 设备上将 BGP 重分发进 OSPF 内
二 • PE 上使用 Null0 静态路由 network 进 BGP
级
单
位

内网 OSPF 总部单位
骨干网规划案例 -PE-CE 路由协议

PE-CE 间路由协议采用 BGP 时的处理

方式（主中心、同城中心、总部单
位） --
CE 发送路由

本中心生产路由：
10.128.0.0/18 A 平面
生产 VPN
Null0 静态路由 本中心测试路由： Prefix-List
测试 VPN
network 注入 BGP 10.128.64.0/19 过滤
本中心办公路由： 办公 VPN
10.128.96.0/19
B 平面

主中心
骨干网规划案例 -PE-CE 路由协议

PE-CE 间路由协议采用 BGP 时的处理

方式（主中心、同城中心、总部单
位） -- CE 收取路由

骨干网生产路由：
10.130.0.0/18
10.136.0.0/18 A 平面
10.131.0.0/19
骨干网测试路由： MP-BGP
BGP 重分发进 OSPF
10.130.64.0/18
10.137.0.0/18
骨干网办公路由：
10.130.96.0/18 B 平面
10.138.0.0/18
10.131.32.0/19

主中心
骨干网规划案例 -PE-CE 路由协议

PE-CE 协议使用 OSPF

每个 VRF 建立一个 BGP 邻居关系
PE 设备上将 BGP 重分发进 OSPF A 平面 B 平面
使用 Null0 路由 network 进 BGP
骨干网生产路由： B1-MCE1 B1-MCE2 骨干网办公路由：
10.128.0.0/18 10.128.96.0/18
10.130.0.0/18 10.130.96.0/18
10.136.0.0/18 10.138.0.0/18
SC BG SC BG

OSPF Area 0

本中心生产路由： 本中心办公路由：
10.131.0.0/19 10.131.32.0/19
 骨干网割接案例 - 路径设计
生产业务路径属性规划（ CE 选择 PE ，收方向）

主中心 MPLS VPN 骨干网 同城中心

Match-Prefix ：生产路由 Match-Prefix ：生产路由

set Local-pref 200 set Local-pref 200
DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1

BGP 65000
eBGP IPv4/OSPF 1 eBGP

DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2

A-PE1 A-PE2
内网 OSPF 内网 OSPF

B1-PE1 B1-PE2
eBGP
二 Match-Prefix ：生产路由
级 set Local-pref 200
单
位

内网 OSPF 总部单位
 骨干网割接案例 - 路径设计
测试业务路径属性规划（ CE 选择 PE ，收方向）

主中心 MPLS VPN 骨干网 同城中心

Match-Prefix ：测试路由 Match-Prefix ：测试路由

set Local-pref 200 set Local-pref 200
DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1

BGP 65000
eBGP IPv4/OSPF 1 eBGP

DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2

A-PE1 A-PE2
内网 OSPF 内网 OSPF

B1-PE1 B1-PE2
eBGP
二 Match-Prefix ：测试路由
级 set Local-pref 200
单
位

内网 OSPF 总部单位
 骨干网割接案例 - 路径设计
测试业务路径属性规划（ CE 选择 PE ，收方向）

主中心 MPLS VPN 骨干网 同城中心

DC1-PE-1 DC1-P-1 DC2-P-1 DC2-PE-1

BGP 65000
eBGP IPv4/OSPF 1 eBGP

DC1-PE-2 DC1-P-2 DC2-P-2 DC2-PE-2

Match-Prefix ：办公路由 Match-Prefix ：办公路由
set Local-pref 200 set Local-pref 200

A-PE1 A-PE2
内网 OSPF 内网 OSPF

B1-PE1 B1-PE2
eBGP
二 Match-Prefix ：办公路由
级 set Local-pref 200
单
位

内网 OSPF 总部单位
骨干网规划案例 - 可靠性设计
可靠性设计—设备级故障（源端 CE 故
障）
主中心 MPLS VPN 骨干网 同城中心

BGP 双向检测 BGP 双向检测

A 平面
BGP 双向检测 BGP 双向检测

B 平面

BGP 65001 BGP 65002

可靠性设计—设备级故障（源端 PE 故
障）
主中心 MPLS VPN 骨干网 同城中心

BGP 双向检测 BGP 双向检测

A 平面
BGP 双向检测 BGP 双向检测

B 平面
BGP 65001 BGP 65002
骨干网规划案例 - 可靠性设计
可靠性设计—设备级故障（中间 P 节点故障 -1 ）
主中心 MPLS VPN 骨干网 同城中心

BGP 双向检测 BGP 双向检测

A 平面
BGP 双向检测 BGP 双向检测

B 平面

BGP 65001 BGP 65002

可靠性设计—设备级故障（中间 P 节点故障 -2 ）
主中心 MPLS VPN 骨干网 同城中心

BGP 双向检测 BGP 双向检测

A 平面
BGP 双向检测 BGP 双向检测

B 平面
BGP 65001 BGP 65002
骨干网规划案例 - 可靠性设计
可靠性设计—设备级故障（目的端 CE 故障）
主中心 MPLS VPN 骨干网 同城中心

BGP 双向检测 BGP 双向检测

A 平面
BGP 双向检测 BGP 双向检测

B 平面

BGP 65001 BGP 65002

根据这个思路想一下链路级别的故障和链路断开
时的数据流量变化，并且想一下哪些链路断开的
概率比较大。
场景实验 -1
数据中心
骨干网内 AS 63323 ，部署 MPLS VPN 数据中心内
iBGP 使用 RR-Client 模式 互联地址段： 10.128.252.0/22
数据中心 RTP 和骨干网 PE-CE 协议为 eBGP 核心业务段： 10.128.128.0/20
数据中心 AS 号码为 AS 63390
局域网 -1 和局域网 -2 上 PE-CE 协议为 OSPF OSPF 路由域

局域网 -1 局域网 -1
地址段： 10.167.72.0/21 BGP 路由域 地址段： 10.167.80.0/21

OSPF 路由域 OSPF 路由域

MPLS VPN

局域网 -1 局域网 -2

局域网走数据中心的流量优先走 RTP-1 骨干网

局域网间互访流量优先走 RTP-2 10.49.248.0/23
注意不要在 PE 设备上增加三层环路的隐患 10.49.251.x/24