使用RT设计Hub&Spoke结构VPN网络
一、理论
在MPLS L3 VPN网络中,通过VPN Target属性来控制VPN路由信息在各Site之间的发布和接收。VPN Export Target和Import Target的设置相互独立,并且都可以设置多个值,能够实现灵活的VPN访问控制,从而实现多种VPN组网方案。本文着重讨论Hub&Spoke组网方案。
使用Hub&Spoke组网方案可以实现在VPN中设置中心访问控制设备,其他用户的互访都通过中心访问控制设备进行。通过中心设备对其他设备之间的互访进行监控和过滤等。其中,中心访问控制设备所在的站点称为Hub站点,该站点的CE称为Hub-CE,与该站点连接的PE称为Hub-PE;其他分支站点称为Spoke站点,分支站点的CE称为Spoke-CE,与分支站点连接的PE称为Spoke-PE。
Hub&Spoke可以实现的功能:
1、Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由。
2、Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收。
3、Hub-PE将从Spoke-PE学到的路由发布给其他Spoke-PE。
因此,Spoke站点之间可以通过Hub站点互访。任意Spoke-PE的Import Target属性不与其他Spoke-PE的Export Target属性相同。因此,任意两个Spoke-PE之间不直接发布VPN-IPv4路由,Spoke站点之间不能直接互访。
二、案例设计
图1
图1
整体网络环境说明:
1、PE1、PE2、PE3、P为公网设备,它们之间运行IGP发布各自的接口以及loopback接口地址,使得公网设备之间IP互通,PE、P运行MPLS、MPLS LDP协议,完成PE设备之间公网隧道建立。
2、PE1运行两个VPN实例,用两条链路与CE1相连,每个实例运行各自独立的IGP协议(假设为OSPF),并用不同的接口绑定在不同的VPN实例中。在CE1上完成两个OSPF进程间路由的相互引入,其中PE1的G0/0/1端口绑定VPN实例DD,G0/0/0端口绑定VPN实例AA。PE2与CE2间运行IGP协议,并在CE2上发布192.168.2.1/24网段。PE3与CE3间运行IGP协议,并在CE3上发布192.168.3.1/24网段。
3、PE1与PE2、PE3间建立普通的BGP邻居,PE1与PE2、PE3间建立MP-BGP邻居,并配置本地VPN路由与MP-BGP之间路由的引入引出。
三、PE的VPN实例RT设计说明
表1 各VPN的RD、RT详细信息和相应的CE接入信息
如上表所示:
PE1上运行两个VPN实例:AA和DD;
实例AA的作用:使Spoke-PE(PE2、PE3)能学习到实例AA发布的路由;
实例DD的作用:能学习到Spoke-PE(PE2、PE3)发布的路由。
为了使PE1中的VPN DD能够接收所有Spoke-PE发布的VPN-IPv4路由,所以VPN DD的RT import为2:2 3:3。为了使PE2和PE3的VPN实例BB、CC能学习到PE1的实例AA的路由,所以VPN实例BB、CC的RT-import为1:1
其余VPN的RT设计见上表,不再详细说明。
四、CE1的IGP设计说明
CE1上运行了两个OSPF进程:进程1和进程4,分别对应PE1上的两个VPN实例:实例AA和实例DD。在CE1上作进程间路由的相互引入,这样就实现了PE1上两个进程间路由的相互引入,可以用命令dis bgp vpnv4 all routing-table label 查看到相同的路由条目有不同的RD和标签以及下一跳地址。
五、验证访问说明
假设PE3的192.168.3.1想访问192.168.2.1,其路径为:CE3-PE3-P-PE1-CE3-PE1-P- PE2-CE2,其中在PE1上的入方向进入的是实例AA,出方向是从实例DD。反方向访问亦然。
如上设计实现了Spoke站点(PE2、PE3)之间可以通过Hub站点(PE1)互访。
2017年03月
本期文章
-
卷首语
-
公司动态
-
行业聚焦
-
产品推荐
-
案例介绍
-
经验共享
-
培训天地