华为全局路由表与VPN实例路由表之间通信配置

https://support.huawei.com/enterprise/zh/knowledge/EKB1001173017

核心思想：全局路由表中添加的静态路由下一跳IP不可以使用本设备的接口IP，vpn实例路由表中添加的静态路由下一跳IP也不能使用本设备的接口IP。因为静态路由下一跳地址必须是直连设备的IP地址。

解决方案

配置从全局到vpn实例test的静态路由:

ip route-static 192.168.1.0 255.255.255.0 vpn-instance test 192.168.1.2 //注意下一跳地址不能写test实例中vlanif 1地址,否则会报错

命令解释：192.168.1.0 255.255.255.0为目的网段，vpn-instance test指定到达目的网段的vpn实例为test，192.168.1.2为到达目的网段的下一跳设备IP地址

配置从vpn实例到全局的回程路由:

ip route-static vpn-instance test 192.168.2.0 255.255.255.0 Vlanif2 192.168.2.2 //注意此处下一跳直接写出接口

命令解释：vpn-instance test 指定该静态路由将添加到vpn实例test中，192.168.2.0 255.255.255.0为目的网段，vlanif2指定到达目的网段的出接口（该接口不包含在任何vpn实例中），192.168.2.2为到达目的网段的下一跳设备IP地址

1、 R1上创建两个VRF，VRF Test1和VRF Test2

2、 VRF Test1与防火墙FW间运行OSPF，区域Area1； VRF Test2与防火墙FW间运行OSPF，区域Area2；

3、 VRF Test1通过FW学习到VRF Test2发布的路由，但无法注入路由表中； VRF Test2同理能够学习到Test1发布的路由，但无法注入路由表中；

在VRF1和VRF2 OSPF进程下添加命令“vpn-instance-capability simple”后，路由注入到路由表中

举例如下：

[*HUAWEI] ospf 100 vpn-instance vrf test1

[*HUAWEI-ospf-100] vpn-instance-capability simple

在MCE（Multi-VPN-Instance CE）设备上部署OSPF VPN多实例时，如果有Type3、Type5或Type7 LSA中设置DN Bit，就会导致这些路由无法计算，因为OSPF进行路由计算会进行防环路检测。这种情况下，通过配置vpn-instance-capability simple命令可以取消OSPF路由环路检测，不检查DN Bit和Route-tag而直接计算出所有OSPF路由

在VRF1和VRF2 OSPF进程下添加命令“vpn-instance-capability simple”，后，路由注入到路由表中

举例如下：

[*HUAWEI] ospf 100 vpn-instance vrf test1

[*HUAWEI-ospf-100] vpn-instance-capability simple

`

---