使用RT设计Hub&Spoke结构VPN网络

一、理论

在MPLS  L3 VPN网络中，通过VPN Target属性来控制VPN路由信息在各Site之间的发布和接收。VPN Export Target和Import Target的设置相互独立，并且都可以设置多个值，能够实现灵活的VPN访问控制，从而实现多种VPN组网方案。本文着重讨论Hub&Spoke组网方案。

使用Hub&Spoke组网方案可以实现在VPN中设置中心访问控制设备，其他用户的互访都通过中心访问控制设备进行。通过中心设备对其他设备之间的互访进行监控和过滤等。其中，中心访问控制设备所在的站点称为Hub站点，该站点的CE称为Hub-CE，与该站点连接的PE称为Hub-PE；其他分支站点称为Spoke站点，分支站点的CE称为Spoke-CE，与分支站点连接的PE称为Spoke-PE。

Hub&Spoke可以实现的功能：

1、Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由。

2、Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收。

3、Hub-PE将从Spoke-PE学到的路由发布给其他Spoke-PE。

因此，Spoke站点之间可以通过Hub站点互访。任意Spoke-PE的Import Target属性不与其他Spoke-PE的Export Target属性相同。因此，任意两个Spoke-PE之间不直接发布VPN-IPv4路由，Spoke站点之间不能直接互访。

二、案例设计

图1

图1

整体网络环境说明：

1、PE1、PE2、PE3、P为公网设备，它们之间运行IGP发布各自的接口以及loopback接口地址，使得公网设备之间IP互通，PE、P运行MPLS、MPLS LDP协议，完成PE设备之间公网隧道建立。

2、PE1运行两个VPN实例，用两条链路与CE1相连，每个实例运行各自独立的IGP协议（假设为OSPF），并用不同的接口绑定在不同的VPN实例中。在CE1上完成两个OSPF进程间路由的相互引入，其中PE1的G0/0/1端口绑定VPN实例DD，G0/0/0端口绑定VPN实例AA。PE2与CE2间运行IGP协议，并在CE2上发布192.168.2.1/24网段。PE3与CE3间运行IGP协议，并在CE3上发布192.168.3.1/24网段。

3、PE1与PE2、PE3间建立普通的BGP邻居，PE1与PE2、PE3间建立MP-BGP邻居，并配置本地VPN路由与MP-BGP之间路由的引入引出。

三、PE的VPN实例RT设计说明

              表1 各VPN的RD、RT详细信息和相应的CE接入信息

如上表所示：

PE1上运行两个VPN实例：AA和DD；

实例AA的作用：使Spoke-PE（PE2、PE3）能学习到实例AA发布的路由；

实例DD的作用：能学习到Spoke-PE（PE2、PE3)发布的路由。

为了使PE1中的VPN DD能够接收所有Spoke-PE发布的VPN-IPv4路由，所以VPN DD的RT import为2:2  3:3。为了使PE2和PE3的VPN实例BB、CC能学习到PE1的实例AA的路由，所以VPN实例BB、CC的RT-import为1：1

其余VPN的RT设计见上表，不再详细说明。

四、CE1的IGP设计说明

CE1上运行了两个OSPF进程：进程1和进程4，分别对应PE1上的两个VPN实例：实例AA和实例DD。在CE1上作进程间路由的相互引入，这样就实现了PE1上两个进程间路由的相互引入，可以用命令dis bgp vpnv4 all routing-table label 查看到相同的路由条目有不同的RD和标签以及下一跳地址。

五、验证访问说明

假设PE3的192.168.3.1想访问192.168.2.1，其路径为：CE3-PE3-P-PE1-CE3-PE1-P- PE2-CE2，其中在PE1上的入方向进入的是实例AA，出方向是从实例DD。反方向访问亦然。

如上设计实现了Spoke站点（PE2、PE3）之间可以通过Hub站点（PE1)互访。

2017年03月