MPLS VPN 典型应用模式v12.docx
《MPLS VPN 典型应用模式v12.docx》由会员分享,可在线阅读,更多相关《MPLS VPN 典型应用模式v12.docx(26页珍藏版)》请在冰豆网上搜索。
MPLSVPN典型应用模式v12
[附件四]
MPLSVPN典型应用模式
目录
一、序言3
1.11.1目的3
1.21.2适用范围3
1.31.3使用对象3
1.41.4文件审定3
二、典型应用3
2.1使用动态路由协议的VPN网络3
2.1.1问题描述3
2.1.2需求分析3
2.1.3组网设计4
2.1.4实现4
2.1.5应用说明5
2.2星型组网6
2.2.1问题描述6
2.2.2需求分析6
2.2.3组网设计6
2.2.4实现7
2.2.5应用说明7
2.2.6应用扩展8
2.3访问INTERNET10
2.3.1问题描述10
2.3.2需求分析10
2.3.3组网设计10
2.3.4实现11
2.3.5应用说明11
2.4接入备份12
2.4.1问题描述12
2.4.2需求分析12
2.4.3组网设计12
2.4.4实现12
2.4.5应用说明13
2.5管理型CPE14
2.5.1问题描述14
2.5.2需求分析14
2.5.3组网设计14
2.5.4实现15
2.5.5应用说明16
一、序言
1.11.1目的
本手册作为MPLSVPN产品手册的重要组成部分,主要从用户典型组网模式和当前应用示例出发,对MPLSVPN产品中涉及的问题进行说明和解释,作为公司日常业务接入和客户支持工作人员的参考手册。
1.21.2适用范围
本手册针对的是三层MPLSVPN产品的各项技术内容,超出技术方面的内容请参考公司其它文件。
1.31.3使用对象
本手册作为公司的内部文档,限于公司MPLSVPN产品日常业务接入和客户支持工作人员阅读使用,未经网络管理中心许可,不得提供给除以上人员外的公司员工和客户,不允许拷贝复制本文件。
1.41.4文件审定
本手册由网络管理中心技术和产品支持部编写,每年6月30日前将对上个版本进行全面审核、修订和发布,在有效期内对于涉及该产品的重要技术内容修改采用补充通知或附件方式发布,在下次修订期内增加到手册中。
本手册第一次颁布实施为第一版,以后的版本编号参考修订说明。
二、典型应用
2.1使用动态路由协议的VPN网络
2.1.1问题描述
用户原来通过租用第三方运营商DDN电路组建点(北京为中心点)到多点的网络结构,现在客户想通过接入CNCIMPLSVPN网络(分别通过北京、上海及武汉PE接入)组建自己的企业网络(FullMesh),但是用户原网内运行BGP协议。
2.1.2需求分析
用户需要CNCI提供的MPLSVPN网络能够不影响其网内运行的路由协议,这要求CNCI所能够提供PE设备与客户的CE之间运行BGP协议,依据RFC2547bis现有CNCI网络PE-CE间能够运行BGP协议。
2.1.3组网设计
基本连接图
如上图所示,用户通过北京、上海、武汉PE设备接入CNCIMPLSVPN网络,整个接入的过程中使用用户所提供的各项参数(包括各类接口地址、AS号等),端口地址,以上配置三地用户采用统一的BGPAS接入。
2.1.4实现
三地CE、PE设备配置基本相同,下面以北京节点配置进行相应说明,具体如下:
!
interfaceFastEthernet0/0
ipaddress172.16.0.1255.255.255.252
!
interfaceFastEthernet1/0
ipaddress192.168.1.0255.255.255.0
!
routerbgp65001
neighbor172.16.0.2remote-as9929
network192.168.1.0
network172.16.0.0mask0.0.0.3
noauto-summary
CE设备基本配置配置PE设备的基本配置
!
ipvrfcustomer-a
rd9929:
117
route-targetimport9929:
117!
三地分配统一的RT
route-targetexport9929:
117!
三地分配统一的RT
!
Interfacefastethernet4/1/0.10
ipaddress172.16.0.2255.255.255.252
ipvrfforwardingcustomer-a
!
协议相关的主要配置
routerbgp9929
address-familyipv4vrfcustomer-a
neighbor172.16.0.1remote-as65001
neighbor172.16.0.1activate
neighbor172.16.0.1remote-as65001as-override
noauto-summary
exit-address-family
!
2.1.5应用说明
采用动态路由协议接入MPLSVPN网络的客户一般具有以下基本特征:
(1)用户Site数量较多,每个Site路由数量在5条以上,而且路由经常要变化;
(2)用户Site将来与网通国际会有多条连接,希望在这些连接上实现流量分担;
正是因为用户具有的上述特征,满足用户使用PE-CE间使用BGP协议的要求(这种情况下用户可以采用全网统一的AS接入,也可采用每个分支站点采取不同的AS接入)。
类似该客户这种情况也可建议用户使用RIPversion2协议,但是不建议用户在PE-CE间使用EIGRP及OSPF,具体原因如下:
1、PE-CE间运行EIGRP,目前尚无成功案例,且CISCO刚刚推出支持该功能的IOS,协议稳定性还需要进一步的检验;另目前CNCI全网采用TDP作为标签分发协议,使用EIGRP做为PE-CE间路由协议会进一步降低网络的可扩展性。
2、PE-CE间运行OSPF也存在一定的问题,在同一台PE上运行的OSPF进程数是有一定的限制,30为其分界点。
PE设备每接入一个用户,就需要启动一个新的OPSF进程,过多的在PE设备上启用OPSF进程对于系统的资源是一种浪费,因此在业务密集的PE上,不建议用户使用OSPF协议。
而客户使用RIPversion2协议则不存在这个问题,因为对于PE来说,每接入一个用户,是在PE设备上启动一个新的RIP进程的子进程,这是由于协议自身决定的。
因此如果PE-CE设备间如需运行动态路由协议建议优选RIPversion2及BGP,次选OSPF.
在PE-CE间使用RIPversion2协议配置举例如下:
CE设备基本配置配置PE设备的基本配置
!
ipvrfcustomer-a
rd9929:
117
route-target both9929:
17
route-targetimport9929:
118!
上海VRFRT:
9929:
118
route-targetimport9929:
119!
武汉VRFRT:
9929:
119
!
Interfacefastethernet4/1/0.10
ipaddress172.16.0.2255.255.255.252
ipvrfforwardingcustomer-a
!
协议相关的主要配置
routerrip
version2
address-familyipv4vrfcustomer-a
redistributebgp9929metric1
network172.16.0.0
noauto-summary
exit-address-family
routerbgp9929
address-familyipv4vrfcustomer-a
redistributeconnected
redistributeripmetric1
noauto-summary
exit-address-family
!
!
interfaceFastEthernet0/0
ipaddress172.16.0.1255.255.255.252
!
interfaceFastEthernet1/0
ipaddress192.168.1.0255.255.255.0
!
routerrip
version2
network172.16.0.0
network192.168.1.0
noauto-summary
2.2星型组网
2.2.1问题描述
用户原来通过租用第三方运营商DDN电路组建点(武汉为中心点)到多点的网络结构,现在客户想通过接入CNCIMPLSVPN网络(分别通过北京、上海及武汉PE接入)组建自己的企业网络(点到多点)。
2.2.2需求分析
用户需要CNCI提供的MPLSVPN网络能够满足其原网的基本需求,即上海、北京节点能够对武汉节点进行访问,武汉节点能够访问上海、北京节点,上海和北京节点间不能通信。
这需要在VPN网络的配置中通过标签的分发控制路由的发布。
2.2.3组网设计
基本连接图
如上图所示,用户通过北京通泰、上海乐凯、武汉PE设备接入CNCIMPLSVPN网络,整个接入的过程中使用用户所提供的各项参数(包括各类接口地址等)。
2.2.4实现
上海、北京节点CE、PE设备配置基本相同,但是武汉节点的配置略有不同,下面以北京通泰节点和武汉节点的配置进行相应说明,具体如下:
北京CE设备基本配置配置武汉CE设备的基本配置
!
interfaceFastEthernet0/0
ipaddress172.16.0.9255.255.255.252
!
interfaceFastEthernet1/0
ipaddress192.168.3.1255.255.255.0
!
iproute0.0.0.00.0.0.0172.16.0.10
!
interfaceFastEthernet0/0
ipaddress172.16.0.1255.255.255.252
!
interfaceFastEthernet1/0
ipaddress192.168.1.1255.255.255.0
!
iproute0.0.0.00.0.0.0172.16.0.2
!
ipvrfcustomer-a
rd9929:
121
route-target both9929:
121
route-targetimport9929:
1200!
北京、上海VRFRT:
9929:
1200
!
Interfacefastethernet4/1/0.11
ipaddress172.16.0.10255.255.255.252
ipvrfforwardingcustomer-a
!
协议相关的主要配置
routerbgp9929
address-familyipv4vrfcustomer-a
redistributeconnected
redistributestaticmetric1
noauto-summary
exit-address-family
!
iproutevrfcustomer-a192.168.3.0255.255.255.0interfacefastethernet4/1/0.11172.16.0.10
!
ipvrfcustomer-a
rd9929:
120
route-target both9929:
120
route-targetexport9929:
1200
route-targetimport9929:
121!
武汉VRFRT:
9929:
121
!
Interfacefastethernet4/1/0.11
ipaddress172.16.0.2255.255.255.252
ipvrfforwardingcustomer-a
!
协议相关的主要配置
routerbgp9929
address-familyipv4vrfcustomer-a
redistributeconnected
redistributestaticmetric1
noauto-summary
exit-address-family
!
iproutevrfcustomer-a192.168.1.0255.255.255.0interfacefastethernet4/1/0.11172.16.0.2
北京PE设备基本配置配置武汉PE设备的基本配置
如上所示,这是一种典型的CentralServices服务模型,及分支站点均可于中心站点相互通信,但是分支站点间的不能相互通信。
2.2.5应用说明
类似该客户这种情况也可建议用户使用RIPversion2协议或BGP等动态路由协议,具体条件限制参见2.1.5节内容,该中接入方式应用范围较为狭窄。
但是可以将该钟方式很容易的进行扩展到其他接入接入方式,如北京、上海节点可以相互互通,但是必须要通过武汉节点,这一方面有利于用户方便的对全网流量进行直接的监控,另一方面对于CNCI而言这也是一种新的业务类型。
2.2.6应用扩展
基本需求:
在2.2的示例中,客户仍组建星形的网络结构,但是要求北京、上海可以互通但
必须要经过用户武汉节点转接。
基本网络图:
基本配置:
!
interfaceFastEthernet0/0.1
ipaddress172.18.1.1255.255.255.252
noipsplit-horizon
!
interfaceFastEthernet0/1
ipaddress192.168.3.1255.255.255.0
!
interfaceFastEthernet0/0.2
ipaddress172.17.1.1255.255.255.252
!
routerrip
version2
network192.168.3.0
redistributeconnected
此处可使用被动接口+RIP单播控制路由信息,在此不做更多的阐述。
北京CE设备配置武汉CE设备配置
!
interfaceFastEthernet0/0
ipaddress172.16.0.1255.255.255.252
!
interfaceFastEthernet1/0
ipaddress192.168.1.1255.255.255.0
!
iproute0.0.0.00.0.0.0172.16.0.2
!
ipvrfcustomer-hub
rd9929:
121
route-targetimport9929:
120!
北京VRFRT:
9929:
120
route-targetimport9929:
122!
上海VRFRT:
9929:
122
!
ipvrfcustomer-spoken
rd9929:
123
route-targetexmport9929:
123!
武汉VRFRD:
9929:
123
!
Interfacefastethernet4/1/0.11
ipaddress172.18.1.1255.255.255.250
ipvrfforwardingcustomer-hub
!
Interfacefastethernet4/1/0.12
ipaddress172.17.1.1255.255.255.0
ipvrfforwardingcustomer-spoken
!
协议相关的主要配置
routerbgp9929
address-familyipv4vrfcustomer-spoken
redistributeconnected
redistributeripmetric1
noauto-summary
exit-address-family
address-familyipv4vrfcustomer-hub
noauto-summary
exit-address-family
!
routerrip
version2
address-familyipv4vrfcustomer-hub
version2
redistributebgp9929metric1
network172.18.1.0
noauto-summary
exit-address-family
address-familyipv4vrfcustomer-sopken
version2
network172.17.1.0
noauto-summary
exit-address-family
!
ipvrfcustomer-hub
rd9929:
120
route-target both9929:
120
route-targetimport9929:
123!
武汉VRFCUSTOMER-SPOKENRT:
9929:
123
!
Interfacefastethernet4/1/0.11
ipaddress172.16.0.2255.255.255.252
ipvrfforwardingcustomer-hub
!
协议相关的主要配置
routerbgp9929
address-familyipv4vrfcustomer-hub
redistributeconnected
redistributestaticmetric1
noauto-summary
exit-address-family
!
iproutevrfcustomer-hub192.168.1.0255.255.255.0interfacefastethernet4/1/0.11172.16.0.2
北京PE设备配置武汉PE设备配置
该种模型下,用户分支站点的所有互访流量必须通过其中心站点,用户可以集中对网内流量进行控制。
在中心站点PE-CE之间路由协议建议优先选择BGP,其次RIPv2;不建议在这种情况下采用OSPF路由协议方式。
2.3访问INTERNET
2.3.1问题描述
用户已租用CNCIMPLSVPN网络(分别通过北京、上海及武汉PE接入)组建自己的企业网络(FullMesh),现在用户需要CNCI在现有的MPLSVPN网络内提供Internet服务。
2.3.2需求分析
用户需要CNCI提供的MPLSVPN网络能够提供Internet业务而不影响其网内运行的路由协议,最为典型的解决用户需求方式有两种:
1、CE-PE之间两个接口互连,其中一个进行VPN,另一个接口至Internet,这种方式配置(VPN与Internet)完全是独立的过程,在此不对这种方式进行详细的讨论。
2、PE路由器上手工指定一条至Internet的GLOBAL缺省路由,同时在PE路由器手工指向用户网段的静态路由,同时将该静态路由手工分发到BGP进程中。
由于PE设备要将用户的地址段发布到Internet,则要求用户必须使用公网地址或者在用户的核心互联网出口之间进行了相应的NAT转换。
下图所示,采用专用的CentralFireWall进行NAT转换。
2.3.3组网设计
基本连接图
如上图所示,用户通过北京、上海、武汉PE设备接入CNCIMPLSVPN网络,使用星状网络模型;同时在北京PE上为客户提供至Internet的业务。
整个接入过程中使用用户所提供的各项参数(包括各类接口地址等)。
并不对MPLSVPN网络的配置进行阐述(详见2.2的相应配置),主要对Internet业务需求进行介绍。
2.3.4实现
北京PE设备基本配置
如果VPN用户使用私网地址进行组网,则需要专门设备进行NAT(建议使用专用的、统一的设备对全网需要该项业务的客户提供服务)并提供Internet出口。
如果VPN客户用户本身已使用公网地址组网,则仅需在用户核心站点处进行设置,便可提供相应的Internet业务,如下配置:
!
iproutevrfcustomer-a0.0.0.00.0.0.0210.53.65.1global注:
210.53.65.1是CNCI提供的Internet网关地址
!
iproute192.169.1.0255.255.255.0172.6.0.1注:
PE设备上静态路由指回CE设备
2.3.5应用说明
如上配置,CNCI在为VPN客户提供Internet业务时,会将客户的路由通过BGP分发到Internet上,因此要求客户的实际地址必须是为公网地址或者在CE与PE之间的互连地址必须是公网地址(客户地址可以通过NAT后在进入互联网)。
这也是在VPN内向客户提供Internet业务时,所必须要考虑的。
2.4接入备份
2.4.1问题描述
用户租用CNCIMPLSVPN网络(分别通过北京、上海及武汉PE接入)组建自己的企业网络(点到多点),目前客户需要在北京中心点提供1+1保护。
2.4.2需求分析
用户需要CNCI提供的MPLSVPN网络能够满足其原网的基本需求,即武汉、上海节点能够对北京节点进行访问,北京节点能够访问武汉、上海节点,但是武汉、上海节点之间不能相互访问。
现在需要在原有客户与北京PE互连的基础上增加客户至北京备份PE的连接,为原有PE至客户CE设备连接提供接入保护,增强客户中心点网络安全保护。
2.4.3组网设计
基本连接图
2.4.4实现
本节主要介绍北京CE设备的相关配置及主、备PE的相关配置(以下配置采取静态路由方式设定不同的Metric进行主备设置,也可依据实际情况采取ExportMap实现),其它的相应配置请参考2.2中的相关配置。
北京客户CE配置
!
interfaceFastEthernet0/0
ipaddress172.16.0.1255.255.255.252
!
interfaceFastEthernet1/0
ipaddress192.168.1.0255.255.255.0
!
interfaceFastEthernet1/1
ipaddress172.16.0.13255.255.255.252
iproute0.0.0.00.0.0.0interfaceFastEthernet0/0
iproute0.0.0.00.0.0.0interfaceFastEthernet1/110
主PE配置备份PE配置
!
ipvrfcustomer-a
rd9929:
123
route-target both9929:
123
route-targetimport9929:
121
升级会员 