1. 什么是MPLS HubSpoke组网想象一下你是一家大型企业的网络管理员公司总部在北京全国有20多个分支机构。每天这些分支机构都需要和总部交换数据偶尔也需要互相通信。这时候MPLS HubSpoke组网就是你的最佳选择。简单来说HubSpoke就像是一个车轮的结构。Hub中心就是总部Spoke辐条就是各个分支机构。所有分支机构之间的通信都必须经过总部中转就像自行车轮子上的每根辐条都要连接到中心轴一样。这种架构最大的好处就是管理方便。你只需要在总部集中配置策略所有分支机构的通信都会自动遵循这些规则。比如你想限制上海和广州办公室之间的流量只需要在总部设备上设置一次就行不用跑到每个分支机构去配置。2. 路由震荡让人头疼的网络心脏病在实际部署中我最常遇到的就是路由震荡问题。这就像网络得了心脏病路由信息一会儿出现一会儿消失导致网络时通时断。2.1 路由震荡是怎么发生的让我们用一个真实案例来说明。去年我给某银行部署网络时遇到了典型的震荡问题上海分行(CE1)通过BGP把路由发给PE1携带AS号65001PE1把路由传给总部Hub-PEHub-PE又传给总部CE总部CE把路由回传给Hub-PE这时AS号变成了空Hub-PE再把路由传回PE1现在PE1看到两条路由一条带AS65001一条AS为空BGP协议默认优选AS号更短的路由所以PE1选择了AS为空的路由PE1随即撤销了原先AS65001的路由引发连锁反应但很快PE1又发现AS65001的路由更优于是又切换回去这样循环往复就形成了路由震荡2.2 如何根治路由震荡解决这个问题的关键在于处理AS_PATH属性。在华为设备上可以这样配置bgp 100 peer 192.168.1.1 allow-as-loop 1 bestroute as-path-ignore这个配置做了两件事allow-as-loop 1允许接收AS号重复一次的路由as-path-ignore让设备忽略AS_PATH属性的比较在锐捷设备上对应的命令是router bgp 100 neighbor 192.168.1.1 allowas-in 13. 环路风险看不见的网络鬼打墙另一个让人夜不能寐的问题就是环路风险。这就像在网络里走迷宫数据包转了一圈又回到原点永远到不了目的地。3.1 环路是怎么形成的当PE和CE之间运行OSPF时特别容易出现环路问题。原因是OSPF的DNDownstream位机制PE3从CE3学到路由时会设置DN位当路由传回PE3时设备看到DN位就认为这是环路直接丢弃路由结果导致合法路由也被误判为环路3.2 破除环路魔咒在华为设备上有两种解决方案方法一关闭DN位置位ospf 1 dn-bit-set disable summary方法二直接忽略环路检测ospf 1 vpn-instance-capability simple我个人的经验是在HubSpoke场景下使用方法一更稳妥因为它只关闭了DN位其他安全机制仍然有效。4. 四种组网方案实战对比在实际项目中我总结出四种常见的HubSpoke实现方式各有优缺点方案类型Hub-CE协议Spoke-CE协议适用场景注意事项方案一EBGPEBGP大型跨域网络需配置allow-as-loop方案二EBGPIGP混合协议环境同上方案三IGPIGP纯MPLS网络需处理DN位置位方案四IGPEBGP不推荐极易产生环路从我踩过的坑来看方案一虽然配置稍复杂但扩展性和稳定性最好。特别是当分支机构需要接入不同运营商网络时EBGP的灵活性就体现出来了。5. 实战排错指南遇到问题时可以按照这个检查清单逐步排查检查路由表在PE设备上执行display bgp vpnv4 all routing-table确认路由是否正常传播查看BGP邻居display bgp peer确认所有BGP会话状态为Established检查AS_PATH特别注意是否有AS号重复的情况验证RT值确保Hub和Spoke站点的RT值配置正确测试连通性从Spoke站点ping Hub站点同时用tracert检查路径记得有一次某客户的路由时有时无最后发现是因为不同厂商设备对AS_PATH的处理方式不同。这时候就需要用debugging bgp命令来实时跟踪BGP更新。6. 性能优化技巧要让HubSpoke网络跑得更稳更快我有几个私藏技巧路由汇总在Hub站点对Spoke站点的路由进行汇总减少路由表大小QoS策略在Hub设备上配置优先级队列确保关键业务流量优先BFD检测启用BFD快速检测链路故障收敛时间可以从秒级降到毫秒级路由策略使用route-policy过滤不必要的路由更新特别是在金融行业这些优化措施能让交易系统的延迟降低30%以上。我曾经通过优化一个证券公司的HubSpoke网络把他们的订单处理速度提升了近一倍。7. 厂商配置示例不同厂商的设备配置有些差异这里给出华为和锐捷的关键配置对比华为设备BGP配置bgp 100 peer 10.1.1.1 as-number 65001 peer 10.1.1.1 allow-as-loop 1 ipv4-family vpnv4 peer 10.1.1.1 enable锐捷设备BGP配置router bgp 100 neighbor 10.1.1.1 remote-as 65001 neighbor 10.1.1.1 allowas-in 1 address-family vpnv4 neighbor 10.1.1.1 activate华为设备OSPF配置ospf 1 vpn-instance VPN1 dn-bit-set disable area 0.0.0.0 network 192.168.1.0 0.0.0.255锐捷设备OSPF配置router ospf 1 vrf VPN1 no capability dn-bit network 192.168.1.0/24 area 0在实际配置时一定要记得保存配置。我就遇到过因为忘记保存设备重启后所有配置丢失的尴尬情况。