VPN配置实例(1).docx

上传人:小飞机 文档编号:3168717 上传时间:2023-03-11 格式:DOCX 页数:17 大小:42.88KB
返回 下载 相关 举报
VPN配置实例(1).docx_第1页
第1页 / 共17页
VPN配置实例(1).docx_第2页
第2页 / 共17页
VPN配置实例(1).docx_第3页
第3页 / 共17页
VPN配置实例(1).docx_第4页
第4页 / 共17页
VPN配置实例(1).docx_第5页
第5页 / 共17页
亲,该文档总共17页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《VPN配置实例(1).docx》由会员分享,可在线阅读,更多相关《VPN配置实例(1).docx(17页珍藏版)》请在三一办公上搜索。

1、VPN配置实例03-L3VPN配置 目 录 1 L3VPN配置 1.1 L3VPN简介 1.1.1 L3VPN概述 1.1.2 L3VPN的基本概念 1.1.3 L3VPN的网络架构 1.1.4 OSPF VPN扩展 1.2 L3VPN配置任务简介 1.3 配置VPN实例 1.3.1 创建VPN实例 1.3.2 配置VPN实例与接口关联 1.3.3 配置VPN实例的路由相关属性 1.4 配置基本L3VPN 1.4.1 配置准备 1.4.2 配置VPN实例 1.4.3 配置PE-CE间路由交换 1.5 L3VPN显示和维护 1.5.1 复位BGP连接 1.5.2 显示L3VPN的运行状态 1.6

2、 L3VPN典型配置举例 1.6.1 配置L3VPN示例 1 L3VPN配置 l 在以下内容的介绍中所指的路由器及路由器图标,代表了一般意义下运行了路由协议的网络路由设备,为提高可读性,在手册的描述中将不另行说明。 U200-S、U200-CS、U200-CM不支持BGP特性。 l 1.1 L3VPN简介 1.1.1 L3VPN概述 L3VPN组网方式灵活、可扩展性好,并能够方便地支持MPLS QoS和MPLS TE,因此得到越来越多的应用。 L3VPN模型由两部分组成:CE、PE和P。 l CE设备:用户网络边缘设备,有接口直接与SP相连。 PE设备:服务提供商边缘设备,是服务提供商网络的边

3、缘设备,与用户的CE直接相连。 P设备:服务提供商网络中的骨干设备,不与CE直接相连。 l l 图1-1是一个L3VPN组网方案的示意图。 图1-1 L3VPN组网 CE和PE的划分主要是根据SP与用户的管理范围,CE和PE是两者管理范围的边界。 本例中CE设备为安全设备,当CE与直接相连的PE建立邻接关系后,CE把本站点的VPN路由发布给PE,并从PE学到远端VPN的路由。CE与PE之间使用BGP/IGP交换路由信息,也可以使用静态路由。 PE端设备为运营商网络,负责与其他PE设备交换路由信息。 P设备只维护到PE的路由,不需要了解任何VPN路由信息。 1.1.2 L3VPN的基本概念 1.

4、 Site 在介绍VPN时经常会提到“Site”,Site的含义可以从下述几个方面理解: l Site是指相互之间具备IP连通性的一组IP系统,并且,这组IP系统的IP连通性不需通过服务提供商网络实现; Site的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个Site中的设备地理位置相邻; 一个Site中的设备可以属于多个VPN,换言之,一个Site可以属于多个VPN; Site通过CE连接到服务提供商网络,一个Site可以包含多个CE,但一个CE只属于一个Site。 l l l 对于多个连接到同一服务提供商网络的Sites,通过制定策略,可以将它们划分为不同的集合,只有属于

5、相同集合的Sites之间才能通过服务提供商网络互访,这种集合就是VPN。 2. 地址空间重叠 VPN是一种私有网络,不同的VPN独立管理自己使用的地址范围,也称为地址空间。 不同VPN的地址空间可能会在一定范围内重合,比如,VPN1和VPN2都使用了10.110.10.0/24网段的地址,这就发生了地址空间重叠。 3. VPN实例 在VPN中,不同VPN之间的路由隔离通过VPN实例实现。 PE为每个直接相连的Site建立并维护专门的VPN实例。VPN实例中包含对应Site的VPN成员关系和路由规则。如果一个Site中的用户同时属于多个VPN,则该Site的VPN实例中将包括所有这些VPN的信息

6、。 为保证VPN数据的独立性和安全性,PE上每个VPN实例都有相对独立的路由表和LFIB。 具体来说,VPN实例中的信息包括:标签转发表、IP路由表、与VPN实例绑定的接口以及VPN实例的管理信息。VPN实例的管理信息包括RD、路由过滤策略、成员接口列表等。 4. VPN Target属性 L3VPN使用BGP扩展团体属性VPN Target来控制VPN路由信息的发布。 PE设备上的VPN实例有两类VPN Target属性: l Export Target属性:在本地PE将从与自己直接相连的Site学到的VPN-IPv4路由发布给其它PE之前,为这些路由设置Export Target属性; I

7、mport Target属性:PE在接收到其它PE设备发布的VPN-IPv4路由时,检查其Export Target属性,只有当此属性与PE上VPN实例的Import Target属性匹配时,才把路由加入到相应的VPN路由表中。 l 也就是说,VPN Target属性定义了一条VPN-IPv4路由可以为哪些Site所接收,PE设备可以接收哪些Site发送来的路由。 与RD类似,VPN Target也有两种格式: l l 16bits自治系统号:32bits用户自定义数字,例如:100:1。 32bits IPv4地址:16bits用户自定义数字,例如:172.1.1.1:1。 5. 路由策略

8、在通过入口、出口扩展团体来控制VPN路由发布的基础上,如果需要更精确地控制VPN路由的引入和发布,可以使用入方向或出方向路由策略。 入方向路由策略根据路由的VPN Target属性进一步过滤可引入到VPN实例的路由,它可以拒绝接收引入列表中的团体选定的路由,而出方向路由策略则可以拒绝发布输出列表中的团体选定的路由。 VPN实例创建完成后,可以选择是否需要配置入方向或出方向路由策略。 1.1.3 L3VPN的网络架构 在MPLS L3VPN网络中,通过VPN Target属性来控制VPN路由信息在各Site之间的发布和接收。VPN Export Target和Import Target的设置相互

9、独立,并且都可以设置多个值,能够实现灵活的VPN访问控制,从而实现多种VPN组网方案。 1. 基本的VPN组网方案 最简单的情况下,一个VPN中的所有用户形成闭合用户群,相互之间能够进行流量转发,VPN中的用户不能与任何本VPN以外的用户通信。 对于这种组网,需要为每个VPN分配一个VPN Target,作为该VPN的Export Target和Import Target,并且,此VPN Target不能被其他VPN使用。 图1-2 基本的VPN组网方案 在图1-2中,PE上为VPN 1分配的VPN Target值为100:1,为VPN 2分配的VPN Target值为200:1。VPN 1的

10、两个Site之间可以互访,VPN 2的两个Site之间也可以互访,但VPN 1和VPN 2的Site之间不能互访。 2. Hub&Spoke组网方案 如果希望在VPN中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行,可以使用Hub&Spoke组网方案,从而实现中心设备对两端设备之间的互访进行监控和过滤等功能。 对于这种组网,需要设置两个VPN Target,一个表示“Hub”,另一个表示“Spoke”。 各Site在PE上的VPN实例的VPN Target设置规则为: l 连接Spoke站点的Spoke-PE:Export Target为“Spoke”,Import Targe

11、t为“Hub”; 连接Hub站点的Hub-PE:Hub-PE上需要使用两个接口或子接口,一个用于接收Spoke-PE发来的路由,其VPN实例的Import Target为“Spoke”;另一个用于向Spoke-PE发布路由,其VPN实例的Export Target为“Hub”。 l 图1-3 Hub&Spoke组网方案 在图1-3中,Spoke站点之间的通信通过Hub站点进行: l l l Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由; Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收; Hub-PE将从Spoke-PE学到的路由发布给其他Spoke-

12、PE,因此,Spoke站点之间可以通过Hub站点互访。 任意Spoke-PE的Import Target属性不与其它Spoke-PE的Export Target属性相同。因此,任意两个Spoke-PE之间不直接发布VPN-IPv4路由,Spoke站点之间不能直接互访。 l 3. Extranet组网方案 如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问,可以使用Extranet组网方案。 对于这种组网,如果某个VPN需要访问共享站点,则该VPN的Export Target必须包含在共享站点的VPN实例的Import Target中,而其Import Target必须包含在

13、共享站点VPN实例的Export Target中。 图1-4 Extranet组网方案 在图1-4中,VPN 1的Site 3能够被VPN 1和VPN 2访问: l l l PE 3能够接受PE 1和PE 2发布的VPN-IPv4路由; PE 3发布的VPN-IPv4路由能够为PE 1和PE 2接受; 基于以上两点,VPN 1的Site 1和Site 3之间能够互访,VPN 2的Site 2和VPN 1的Site 3之间能够互访。 PE 3不把从PE 1接收的VPN-IPv4路由发布给PE 2,也不把从PE 2接收的VPN-IPv4路由发布给PE 1,因此,VPN 1的Site 1和VPN 2

14、的Site 2之间不能互访。 1.1.4 OSPF VPN扩展 本节重点介绍OSPF对VPN的扩展,如果需要了解OSPF的基本知识,请参见“IP路由分册”中的“OSPF配置”。 1. PE上的OSPF多实例 OSPF是应用广泛的一种IGP协议,很多情况下,VPN客户端通过BGP对等体连接,客户端内部则经常以OSPF作为内部路由协议。如果能够在PE-CE之间使用OSPF,则CE上就不需要再为到PE的连接支持其它路由协议,从而简化CE的管理和配置。并且,如果客户需要通过传统的OSPF骨干区域提供L3VPN服务,在PE和CE之间使用OSPF可以简化这种转换。 为了在PE-CE间运行OSPF,PE必须

15、支持OSPF多实例,每个OSPF实例与一个VPN实例对应,使用自己的接口、路由表。 下面具体介绍在PE-CE间配置OSPF需要了解的知识。 (1) PE和CE间的OSPF区域配置 PE与CE之间的OSPF区域可以是非骨干区域,也可以是骨干区域。 在OSPF VPN扩展应用中,VPN骨干网被看作是骨干区域area 0。由于OSPF要求骨干区域连续,因此,所有VPN站点的area 0必须与VPN骨干网相连。 即:如果VPN站点存在OSPF area 0,则CE接入的PE必须通过area 0与这个VPN站点的骨干区域相连。 (2) BGP/OSPF交互 在PE-CE间运行OSPF后,PE与PE通过B

16、GP发布VPN路由,PE通过OSPF向CE发布VPN路由。 对于普通OSPF,即使两个不同站点属于同一VPN,它们也会被看作属于不同的自治系统。这样,在一个站点学到的路由,将被作为外部路由传送给另一站点。这种处理方式导致了比较高的OSPF路由协议流量,并带来了一些原本可以避免的网络管理问题。 目前的OSPF可以解决上述问题。通过适当配置,运行OSPF的不同站点之间彼此看做是直接相连的。这样,PE设备交换OSPF路由信息时就好象是通过一条专线相连。改善了网络管理并使OSPF的应用更为有效。 以图1-5为例,PE 1和PE 2通过MPLS骨干网相连,CE 11、CE 21和CE 22都属于VPN

17、1。假设图中所有安全设备属于同一个域,即,CE 11、CE 21、CE 22属于同一个OSPF域。 VPN 1路由的发布过程可以描述为:首先在PE 1上将CE 11的OSPF路由引入BGP;然后通过BGP将这些VPN路由发布给PE 2;在PE 2上将BGP的VPN路由引入到OSPF,再发布给CE 21和CE 22。 图1-5 OSPF在VPN中的使用 如果使用标准的BGP/OSPF交互过程,PE 2将把BGP VPN路由通过Type5 LSAs发布给CE 21和CE 22。但CE 11与CE 21、CE 22是同一个OSPF域,它们之间的路由发布应该使用Type3 LSAs,即区域间路由。 为

18、了解决上述问题,PE使用一种经过修改的BGP/OSPF交互过程,发布从一个Site到另一个Site的路由,将这种路由与真正的AS-External路由进行区分。这一过程需要BGP使用扩展团体属性,携带可以标识OSPF属性的信息。 在实现中,要求每个OSPF域有一个可配置的域ID。一般建议:与每个VPN实例相关的网络中的所有OSPF实例要么配置一个相同的域ID,要么都使用缺省的域ID。这样在收到BGP的VPN路由时,域ID相同的是来自同一VPN实例的路由。 (3) 路由环的检测 假设PE与CE之间通过OSPF骨干区域相连,且同一个VPN站点连接到多个不同PE。这种情况下,当一个PE通过LSA向V

19、PN站点发布从MPLS/BGP学的BGP VPN路由时,LSA可能被另一个PE接收到,造成路由环。 为了防止产生路由环,对于从MPLS/BGP学到的BGP VPN路由,无论PE与CE间是否通过OSPF骨干区域相连,PE在生成Type3 LSA时,都会设置标志位DN。PE设备的OSPF进程在进行路由计算时,忽略DN置位的Type3 LSAs。 如果PE需要向CE发布一条来自其它OSPF域的路由,则PE应表明自己是ASBR,并将该路由作为Type5 LSA发布。 1.2 L3VPN配置任务简介 表1-1 L3VPN配置任务简介 配置任务 配置VPN实例 配置基本L3VPN 必选 必选 说明 详细配

20、置 1.3 1.4 1.3 配置VPN实例 VPN实例用于将VPN私网路由与公网路由隔离,在所有L3VPN组网方案中,都需要配置VPN实例。 VPN实例不仅可以将VPN私网路由与公网路由隔离,不同VPN实例的路由之间也是相互隔离的,这一特点使得VPN实例的使用不限于L3VPN。 1.3.1 创建VPN实例 VPN实例在实现中与Site关联。VPN实例不是直接对应于VPN,一个VPN实例综合了和它所对应Site的VPN成员关系和路由规则。 一个VPN实例只有配置了RD后才生效。在配置RD之前,除了描述信息外,不能配置VPN实例的其他任何参数。 描述信息用于描述VPN实例,可以用来记录VPN实例与

21、某个VPN的关系等信息。 表1-2 创建VPN实例 操作 进入系统视图 system-view 命令 - 说明 操作 创建VPN实例,并进入VPN实例视图 配置VPN实例的RD 配置VPN实例的描述信息 命令 ip vpn-instance vpn-instance-name route-distinguisher route-distinguisher description text 必选 必选 可选 说明 1.3.2 配置VPN实例与接口关联 VPN实例配置完成后,还需要与接口进行关联。 表1-3 配置VPN实例与接口关联 操作 进入系统视图 进入要关联接口的接口视图 system-vi

22、ew interface interface-type interface-number 命令 - - 必选 将当前接口与VPN实例关联 ip binding vpn-instance vpn-instance-name 缺省情况下,接口不关联任何VPN实例 说明 执行ip binding vpn-instance命令将删除接口上已经配置的IP地址,因此需要重新配置接口的IP地址。 1.3.3 配置VPN实例的路由相关属性 VPN路由的发布控制过程如下: l 当从CE学习到的一条VPN路由引入BGP时,BGP为它关联一个VPN Target扩展团体属性列表,通常这个列表是与CE相关联的VPN实

23、例的输出路由属性列表。 VPN实例根据VPN Target中import-extcommunity决定可被接受并引入此VPN实例的路由。 VPN实例根据VPN Target中的export-extcommunity对向外发布的路由进行VPN Target属性的修改。 l l 表1-4 配置VPN实例的路由相关属性 操作 进入系统视图 system-view 命令 - 说明 操作 进入VPN实例视图 将当前VPN实例与一个或多个VPN Target相关联 配置VPN实例支持的最大路由数 命令 ip vpn-instance vpn-instance-name 必选 说明 vpn-target v

24、pn-target& both |export-extcommunity | import-extcommunity 必选 routing-table limit number warn-threshold | simply-alert 可选 可选 对当前VPN实例应用入方向路由策略 import route-policy route-policy 缺省情况下,允许所有VPN Target属性匹配的路由通过 可选 对当前VPN实例应用出方向路由策略 export route-policy route-policy 缺省情况下,允许所有VPN Target属性匹配的路由通过 l 命令vpn-ta

25、rget最多可以配置8个VPN Target;一个VPN实例最多可以配置16个VPN Target。 可以配置一个VPN实例可以支持的最大路由数,以防止安全设备的入接口有过多的路由。 为VPN实例配置路由策略之前必须已经创建了路由策略,否则将采用缺省路由策略。 l l 1.4 配置基本L3VPN 本节介绍比较简单的L3VPN组网配置:只包括一个运营商,MPLS骨干网不跨域,PE、P、CE设备都不兼具其它功能。 PE-CE间的路由交换可以采用静态路由、RIP、OSPF、也可以采用EBGP。根据实际组网情况选择一种进行配置即可。 1.4.1 配置准备 在配置基本L3VPN之前,需完成以下任务: l

26、 在CE上配置接入PE的接口的IP地址 1.4.2 配置VPN实例 表1-5 配置VPN实例 操作 进入系统视图 system-view 命令 - 必选 创建VPN实例,并进入VPN实例视图 ip vpn-instance vpn-instance-name 缺省情况下,无VPN实例 配置VPN实例的RD 将当前VPN实例与一个或多个VPN Target相关联 退回到系统视图 进入要关联接口的接口视图 route-distinguisher route-distinguisher vpn-target vpn-target& both | export-extcommunity | import-extcommunity Quit 必选 说明 必选 - interface interface-type interface-number - 必选 将当前接口与VPN实例关联 ip binding vpn-instance vpn-instance-name 缺省情况下,无接口关联任何VPN实例 1.4.3 配置PE-CE间路由交换 配置PE-CE间路由交换可以使用静态路由、RIP、OSPF和EBGP路由协议。具体采用哪种协议请根据配置的实际需要。 1. 配置PE-CE间使用静态路由 表1-6 配置PE-CE间使用静态路由 操作 进入系统视图 system-view 命令 - 说明

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号