联动一下隔壁网工贴

看隔壁网工贴大战了快200楼,还各种高级网工出现,想趁机问下泥潭的网工2个小问题,希望dalao们赐教一下满足下小弟的好奇心

问题一:
做BGP/MPLS VPN H-VPN实验时,骨干区域用OSPF确保联通,同时UPE与SPE,SPE与NPE建立IBGP连接,SPE作为路由反射器,UPE为路由反射器客户端.当用物理接口建立IBGP连接时,SPE能获取到UPE以及NPE发布的路由,但是状态都为无效.改为用loopback接口建立IBGP时,UPE以及NPE发布的IBGP路由为有效状态.请问是什么原因呢?
以前搜过也去华为论坛发帖问过没人回答,想了解一下底层原理
AR2为UPE,AR3为SPE,AR4为NPE
问题二:
之前公司加了个fortinet的防火墙,公司有2条MPLS线路接到防火墙上
设备是FortiGate 101E
固件版本FortiOS v6.2.3 build1066 (GA)
防火墙上做了目的地址为总部ip的等价静态路由,下一跳分别是2个MPLS路由器
防火墙连接MPLS路由器的端口都属于untrust域.MPLS路由器通过BGP链接到运营商再链接到总部并宣告全部内网路由
实际运行时发现会时不时丢包
fortinet的工程师说是因为数据从MPLS1出去,但是回城可能走了MPLS2的线路,报文来回路径不一致,导致过不了状态检测
但是两条MPLS线路都属于同一个域,哪怕从MPLS2进入,报文还是要经过防火墙
反向路径检测不是也满足条件么?不是应该也可以通过状态检测么?