《mplsvpn多角色主机解决方案》由会员分享,可在线阅读,更多相关《mplsvpn多角色主机解决方案(10页珍藏版)》请在金锄头文库上搜索。
1、-资料编码产品名称使用对象产品版本编写部门数据通信工程部资料版本V1.0多角色主机解决方案拟制:欧阳忠华日期:2004-03-31 高永刚日期:2004-04-02 日期: 日期:华为技术*所有侵权必究. z.-修订记录日期修订版本描述作者. z.-目 录第一章概述1一、MPLS VPN概述1二、多角色主机概念的提出1第二章 组网举例21、 组网简介21.1、组网图21.2、组网简介22、IP地址规划23、配置脚本只列出MPLS VPN相关局部33.1、RTA配置33.2、RTB配置53.3、观察结果7. z.-关键词:摘要:缩略语清单:参考资料清单:. z.-第一章 概述一、 MPLS VP
2、N概述虚拟私有网VPNVirtual Private Network是利用公共网络构建私有网络的一种技术,在公网上建立的VPN与私有网络一样具有平安性、可靠性和可管理性的特点。 多协议标签交换MPLSMultiprotocol Label Switching技术非常适合组建VPN。MPLS网络可以非常容易地实现基于IP技术的VPN业务,满足VPN可扩展性和管理的需求;可以在MPLS VPN上采取平安措施,为每个VPN配置了一些策略,规定一个VPN可以接收哪些Site来的路由信息,可以向外发布哪些Site的路由信息。通过策略保证不同的VPN之间不能建立IP互通,保障了VPN的平安性。利用MPLS
3、构造的VPN,还提供了实现增值业务的可能;通过配置,可将单一接入点形成多种VPN,每种VPN代表不同的业务,使网络能以灵活方式传送不同类型的业务。二、 多角色主机概念的提出 MPLS VPN的网络构造框架主要由CE、PE、P三局部构成,VPN是假设干个Site的集合,Site通过Route target属性可以获得VPN的成员关系。在正常的流程中,从CE进入PE的报文的VPN属性由入接口绑定的VPN决定,这样就实质上决定了由同一个接口进入PE转发的的CE设备属于同一个VPN,但是实际组网中存在一个CE设备经过一个物理端口访问多个VPN的需求,例如用户的一台效劳器既想让市场部访问,又想让技术支持
4、访问,而市场部和技术支持属于两个VPN,这可以通过在一个物理接口上划分多个逻辑接口来实现,这会增加配置的复杂度,同时也有很大的局限性。我们可以采用多角色主机的方式解决,多角色主机是通过配置针对特定IP地址的策略路由来区分报文对不同VPN的访问,而从PE到CE的下行数据流,是通过静态路由来实现的,多角色主机情形下的静态路由跟普通的不一样,是通过一个VRF里面的静态路由可以指定其他VRF中的接口作为出接口来实现的,从而到达通过一个逻辑接口访问多个VPN的目的。从私网标签的分配上看,可以看到在每一个VPN中都为多角色主机路由分配了不同标签。第二章 组网举例1、 组网简介1.1、组网图1.2、组网简介
5、两台路由器RTA、RTB作为PE路由器,PC1属于VPN_B,RTA、RTB的loopback1属于VPN_A,RTA、RTB的loopback2属于VPN_B,设置PC1为多角色主机,既能访问VPN_A,又能访问VPN_B,即实现PC1访问RTB的loopback1、loopback2。2、 IP地址规划本端设备IP地址对端设备IP地址备注RTARTB设备互联RTAPC1VPN_BLLoopback1:RTA:10.10.10.10/32VPN_A/32VPN_ALoopback2:/32VPN_B RTB:30.30.30.30/32VPN_B3、 配置脚本只列出MPLS VPN相关局部3
6、.1、RTA配置router id 1.1.1.1 mpls lsr-id 1.1.1.1 mpls ldp ip vpn-instance VPN_A /配置VPN实例 route-distinguisher 100:1 vpn-target 100:1 bothip vpn-instance VPN_B route-distinguisher 200:1 vpn-target 200:1 bothinterface GigabitEthernet4/1/0 description TO_PC1 ip binding vpn-instance VPN_B ip address 12.12.1
7、2.1 255.255.255.252 ip policy route-policy bbb /应用策略路由到接口,引导多角色主机的出口路由interface GigabitEthernet5/1/0 description TO_RTB ip address 10.10.3.1 255.255.255.252 mpls ldp enable interface LoopBack0 ip address 1.1.1.1 255.255.255.255 interface LoopBack1 ip binding vpn-instance VPN_Aip address 10.10.10.10i
8、nterface LoopBack2 ip binding vpn-instance VPN_Bip address 11.11.11.11acl number 100 rule 0 permit ip source 12.12.12.2 0 /设置acl,控制只有多角色主机才允许通过bgp 100 undo synchronization peer 2.2.2.2 as-number 100 peer 2.2.2.2 connect-interface LoopBack0 ipv4-family vpn-instance VPN_A import-route static import-route direct undo synchronization ipv4-family vpn-instance VPN_B import-route static import-route direct undo synchronization ipv4-family vpnv4 peer 2.2.2.2 enable peer 2.2.2.2 ne*t-hop-local ospf import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0
