M9000系列防火墙，VPN内路由器无法发布到vpnv4 peer

 可能原因：

1. RD（Route Distinguisher）配置错误

检查新建VPN的RD是否正确配置：route-distinguisher 1:1（值要与规划一致）

原有VPN的RD能display bgp vpnv4 all routing-table看到，说明原有RD没问题

新建VPN的RD没显示，可能是RD值冲突（用了原有的RD）或配置未生效

2. BGP VPNv4邻居未正确建立

检查BGP peer是否处于 Established：display bgp peer

如果peer down，检查对端RD配置是否匹配、AS号是否一致

3. 路由发布策略缺失

新建VPN的路由可能被 route-policy 过滤了

检查VPN实例下的 import route-policy 和 export route-policy

4. VPN实例未绑定到接口

路由发布的前提是VPN实例绑定到物理接口或子接口

检查：display ip vpn-instance，确认VPN实例状态

排查命令：

display bgp vpnv4 all routing-table rd <RD值>

display bgp peer vpn-instance <vpn-name>

display ip vpn-instance verbose

如果RD确实配置了但看不到，尝试重置BGP进程：reset bgp all，或重新加载配置。

1. 先确认基础配置是否完整

2. 核心问题：静态路由未引入 BGP VPNv4

3. 排查命令（一步步定位）

1. 检查 VPN 实例路由表：确认静态路由是否存在
   bash

   运行

   display ip routing-table vpn-instance NEW_VPN
   • 若看不到静态路由：检查静态路由配置是否绑定了正确 VPN 实例。
   • 若能看到：说明路由已在 VPN 内，下一步检查 BGP 引入。
2. 检查 BGP VPNv4 路由表：确认路由是否进入 BGP
   bash

   运行

   display bgp routing-table vpnv4 vpn-instance NEW_VPN
   • 若看不到：说明 import-route static 未配置或配置错误。
   • 若能看到：说明路由已进入 BGP，下一步检查对端发布。
3. 检查发布给对端的路由：
   bash

   运行

   display bgp routing-table vpnv4 peer 10.1.1.1 advertised
   • 若看不到：检查 address-family vpnv4 下是否对该 peer 使能，或是否有出方向路由策略过滤。

4. 常见遗漏点

• VPN 实例未配置 RT：只有 RD 没有 RT，路由无法在 MPLS 网络中传递。
• 静态路由未绑定 VPN 实例：ip route-static 必须加上 vpn-instance NEW_VPN 参数。
• BGP VPNv4 地址族未对 peer 使能：peer x.x.x.x enable 是发布路由的前提。
• 路由策略过滤：检查是否配置了 filter-policy 或 route-policy 阻止了新 VPN 路由发布。

✅ 快速修复命令模板

1. 第一步：验证VPN实例是否“活跃”
   这是最基础也最关键的一步。有时候配置了VPN，但它并没有处于完全可用的状态。

   • 操作与命令：执行 display ip vpn-instance verbose [你的新VPN实例名]。

   • 需要确认的点：查看输出信息中的 State 字段是否为 Active。如果状态不对，路由自然不会发布。

2. 第二步：确认RD配置已生效
   你提到看不到新建的RD，我们直接针对它进行查询。

   • 操作与命令：执行 display bgp vpnv4 all routing-table rd <你为新VPN配置的RD值>。

   • 需要确认的点：这条命令是直接查看BGP表中是否存在该RD的路由。如果没有任何输出，说明BGP进程确实没有收到来自这个新VPN的任何路由。

3. 第三步：检查BGP VPNv4邻居关系
   虽然你说原有VPN是正常的，但确认一下新VPN的邻居状态总没错。

   • 操作与命令：执行 display bgp peer vpn-instance [你的新VPN实例名]。

   • 需要确认的点：确认BGP对等体的状态是否为 Established。如果状态不对，路由无法交换。

4. 第四步：检查Route Target (RT) 匹配情况
   这是路由能否被正确导入导出的关键。

   • 操作与命令：执行 display current-configuration configuration vpn-instance [你的新VPN实例名]。

   • 需要确认的点：重点核对 vpn-target 的配置，确保本端的导出RT（Export Extcommunity）与对端的导入RT（Import Extcommunity）是匹配的。RT不匹配是导致路由“看不见”的常见原因。

5. 第五步：检查路由引入策略
   确认静态路由是否被正确引入了BGP。

   • 操作与命令：进入BGP VPNv4地址族视图，执行 display this 查看当前配置。

   • 需要确认的点：检查是否配置了类似 import-route static 的命令来引入静态路由。同时，也要检查是否无意中应用了 route-policy 将这些静态路由给过滤掉了。

6. 第六步：尝试“刷新”BGP
   如果以上配置都检查无误，可以尝试进行一次“软复位”，让BGP重新处理路由信息。

   • 操作与命令：在用户视图下执行 refresh bgp all export 或 reset bgp all（注意：reset 命令会中断BGP连接，请谨慎操作）