操作场景

在该场景下，客户全网通过BGP实现路由交换，并且总部和分支可能存在多种广域网链路接入，客户希望分支机构VPN连接正常的时候，分支网段的路由信息也能注入到总部的路由表中，VPN如果中断，这条路由条目则失效，以便总部网络能动态感知到分支VPN链路的在线状况，动态将分支网段转发到其他广域网接入链路上。

前置条件

1. WOC9.5.6及以上版本。
2. 由于IPSEC VPN协议特殊性，在VPN隧道上创建BGP邻居关系，必须先创建GRE隧道，再通过GRE隧道创建BGP邻居关系，VPNTUN虽然能通信，但仅能创建GRE隧道，不能用于创建BGP邻居。
3. SANGFOR VPN相关配置查看“SANGFOR VPN”章节，GRE隧道建立查看“GRE over Sangfor VPN with OSPF”章节。

注意事项

1. WOC的BGP邻居有6种状态，可通过在邻居关系表中查看当前状态，分别是：

• Idle（空闲）：Idle 是BGP连接的第一个状态，在空闲状态，BGP在等待一个启动事件，启动事件出现以后，BGP初始化资源，复位连接重试计时器（Connect-Retry），发起一条TCP连接，同时转入Connect（连接）状态。

• Connect（连接）：在Connect 状态，BGP发起第一个TCP连接，如果 连接重试计时器（Connect-Retry）超时，就重新发起TCP连接，并继续保持在Connect 状态，如果TCP 连接成功，就转入OpenSent 状态，如果TCP 连接失败，就转入Active 状态。

• Active（活跃）：在Active状态，BGP总是在试图建立TCP 连接，如果连接重试计时器（Connect-Retry）超时，就退回到Connect 状态，如果TCP 连接成功，就转入OpenSent 状态，如果TCP 连接失败，就继续保持在Active状态，并继续发起TCP连接。

• OpenSent（打开消息已发送）：在OpenSent 状态，TCP连接已经建立，BGP也已经发送了第一个Open报文，剩下的工作，BGP就在等待其对等体发送Open 报文。并对收到的Open报文进行正确性检查，如果有错误，系统就会发送一条出错通知消息并退回到Idle状态，如果没有错误，BGP就开始发送Keepalive 报文，并复位Keepalive 计时器，开始计时。同时转入OpenConfirm状态。

• OpenConfirm（打开消息确认）状态：在OpenConfirm状态，BGP发送一个Keepalive 报文，同时复位保持计时器，如果收到了一个Keepalive 报文，就转入Established 阶段，BGP邻居关系就建立起来了。如果TCP连接中断，就退回到Idle 状态。

• Established（连接已建立）：在Established 状态，BGP 邻居关系已经建立，这时，BGP将和它的邻居们交换Update 报文，同时复位保持计时器。

2. 由于BGP本身特性，从IBGP邻居收到的路由不会再通告给其他IBGP邻居，建议WOC总部和分支之间建议建立EBGP邻居，即两端使用不同的AS号，以便分支网段路由能正常通告至内部网络。
3. 由于IBGP存在路由优化机制，WOC和核心路由器（AF）之间在配置IBGP邻居时，建议启用next-hop-self特性。
4. WOC设备路由优先级：

策略路由>静态路由>VPN路由>BGP路由;

5. GRE over VPN场景，GRE隧道的源目的地址建议按如下方式填写，否则隧道无法正常建立。

源端地址------本端vpntun接口IP

目的端地址----对端vpntun接口IP

6. 由于IPSEC VPN协议特殊性，在VPN隧道上创建BGP邻居关系，必须先创建GRE隧道，再通过GRE隧道创建BGP邻居关系，VPNTUN虽然能通信，但仅能创建GRE隧道，不能用于创建BGP邻居。

操作步骤

1. 在核心路由器（AF）上启用BGP，设置本机AS号。（AF模式核心路由器）

2. 配置路由器ID信息。

3. 创建跟总部WOC的邻居关系。

4. 发布需要通告的本机路由条目。

5. 在总部WOC上启用BGP，配置路由器ID、本机AS号。

6. 分别创建与核心路由器（AF）和分支WOC的邻居关系，其中跟核心路由器（AF）是IBGP邻居，跟分支WOC是EBGP邻居。

：

7. 发布需要通告的本机路由条目。

8. 在分支WOC上启用BGP，配置路由器ID、本机AS号。

：

由于BGP本身特性，从IBGP邻居收到的路由不会转发给其他IBGP邻居，因此建议VPN分支和总部建立EBGP邻居，本机的AS号需要与总部设置不同的。

9. 创建与总部WOC的EBGP邻居关系。

10. 发布需要通告的本机路由条目。