mce.docx - 冰豆网

资源描述

mce.docx

《mce.docx》由会员分享，可在线阅读，更多相关《mce.docx（32页珍藏版）》请在冰豆网上搜索。

mce.docx

mce

第1章 MCE概述

& 说明：

本章所指的路由器代表了一般意义下的路由器，以及运行了路由协议的三层交换机。

1.1 MCE概述

MCE功能是Multi-CE的简称，具有MCE功能的交换机可以在BGP/MPLSVPN组网应用中承担多个VPN实例的CE功能，减少用户网络设备的投入。

1.1.1 BGP/MPLSVPN技术简介

BGP/MPLSVPN是服务提供商VPN解决方案中的一种基于PE的L3VPN技术，它使用BGP在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。

BGP/MPLSVPN组网方式灵活、可扩展性好，并能够方便地支持MPLSQoS和MPLSTE，因此得到越来越多的应用。

BGP/MPLSVPN模型由三部分组成：

CE、PE和P。

● CE（CustomerEdge）设备：

用户网络边缘设备，有接口直接与SP（ServiceProvider，服务提供商）相连。

CE可以是路由器或交换机，也可以是一台主机。

CE“感知”不到VPN的存在，也不需要必须支持MPLS。

● PE（ProviderEdge）路由器：

服务提供商边缘路由器，是服务提供商网络的边缘设备，与用户的CE直接相连。

在MPLS网络中，对VPN的所有处理都发生在PE上。

● P（Provider）路由器：

服务提供商网络中的骨干路由器，不与CE直接相连。

P设备只需要具备基本MPLS转发能力。

图1-1是一个BGP/MPLSVPN组网方案的示意图。

图1-1BGP/MPLSVPN组网

CE和PE的划分主要是根据SP与用户的管理范围，CE和PE是两者管理范围的边界。

CE设备通常是一台路由器，当CE与直接相连的PE建立邻接关系后，CE把本站点的VPN路由发布给PE，并从PE学到远端VPN的路由。

CE与PE之间使用BGP/IGP交换路由信息，也可以使用静态路由。

PE从CE学到CE本地的VPN路由信息后，通过BGP与其它PE交换VPN路由信息。

PE路由器只维护与它直接相连的VPN的路由信息，不维护服务提供商网络中的所有VPN路由。

P路由器只维护到PE的路由，不需要了解任何VPN路由信息。

当在MPLS骨干网上传输VPN流量时，入口PE做为IngressLSR（LabelSwitchRouter，标签交换路由器），出口PE做为EgressLSR，P路由器则做为TransitLSR。

H3CS3610&S5510系列以太网交换机可以充当CE的角色参与BGP/MPLSVPN的建立和运行。

1.1.2 BGP/MPLSVPN基本概念

1.site

在介绍VPN时经常会提到“site”，site（站点）的含义可以从下述几个方面理解：

● site是指相互之间具备IP连通性的一组IP系统，并且，这组IP系统的IP连通性不需通过服务提供商网络实现；

● site的划分是根据设备的拓扑关系，而不是地理位置，尽管在大多数情况下一个site中的设备地理位置相邻；

● 一个site中的设备可以属于多个VPN，换言之，一个site可以属于多个VPN；

● site通过CE连接到服务提供商网络，一个site可以包含多个CE，但一个CE只属于一个site。

对于多个连接到同一服务提供商网络的sites，通过制定策略，可以将它们划分为不同的集合（set），只有属于相同集合的sites之间才能通过服务提供商网络互访，这种集合就是VPN。

2.地址空间重叠

VPN是一种私有网络，不同的VPN独立管理自己使用的地址范围，也称为地址空间（AddressSpace）。

不同VPN的地址空间可能会在一定范围内重合，比如，VPN1和VPN2都使用了10.110.10.0/24网段的地址，这就发生了地址空间重叠（OverlappingAddressSpaces）。

3.VPN实例

在MPLSVPN中，不同VPN之间的路由隔离通过VPN实例（VPN-instance）实现。

PE为每个直接相连的Site建立并维护专门的VPN实例。

VPN实例中包含对应site的VPN成员关系和路由规则。

如果一个site中的用户同时属于多个VPN，则该site的VPN实例中将包括所有这些VPN的信息。

为保证VPN数据的独立性和安全性，PE上每个VPN实例都有相对独立的路由表和LFIB（LabelForwardingInformationBase，标签转发表）。

具体来说，VPN实例中的信息包括：

标签转发表、IP路由表、与VPN实例绑定的接口以及VPN实例的管理信息。

VPN实例的管理信息包括RD（RouteDistinguisher，路由标识符）、路由过滤策略、成员接口列表等。

& 说明：

VPN实例信息中的标签转发表只会在支持MPLS功能的PE设备上存在，MCE设备上不会出现。

4.VPN-IPv4地址

传统BGP无法正确处理地址空间重叠的VPN的路由。

假设VPN1和VPN2都使用了10.110.10.0/24网段的地址，并各自发布了一条去往此网段的路由，BGP将只会选择其中一条路由，从而导致去往另一个VPN的路由丢失。

PE路由器之间使用MP-BGP来发布VPN路由，并使用VPN-IPv4地址族来解决上述问题。

VPN-IPv4地址共有12个字节，包括8字节的RD和4字节的IPv4地址前缀，如图1-2所示。

图1-2VPN-IPv4地址结构

PE从CE接收到普通IPv4路由后，需要将这些私网VPN路由发布给对端PE。

私网路由的独立性是通过为这些路由附加RD实现的。

SP可以独立地分配RD，但必须保证RD的全局唯一性。

这样，即使来自不同服务提供商的VPN使用了同样的IPv4地址空间，PE路由器也可以向各VPN发布不同的路由。

建议为PE上每个VPN实例配置专门的RD，以保证到达同一CE的路由都使用相同的RD。

RD为0的VPN-IPv4地址相当于全局唯一的IPv4地址。

RD的作用是添加到一个特定的IPv4前缀，使之成为全局唯一的VPNIPv4前缀。

RD或者是与自治系统号（ASN）相关的，在这种情况下，RD是由一个自治系统号和一个任意的数组成；或者是与IP地址相关的，在这种情况下，RD是由一个IP地址和一个任意的数组成。

RD有两种格式，通过2字节的Type字段区分：

● Type为0时，Administrator子字段占2字节，AssignedNumber子字段占4字节，格式为：

16bits自治系统号:

32bits用户自定义数字。

例如：

100:

● Type为1时，Administrator子字段占4字节，AssignedNumber子字段占2字节，格式为：

32bitsIPv4地址:

16bits用户自定义数字。

例如：

172.1.1.1:

为保证RD的全局唯一性，建议不要将Administrator子字段的值设置为私有AS号或私有IP地址。

5.VPNTarget属性

BGP/MPLSVPN使用BGP扩展团体属性——VPNTarget（也称为RouteTarget）来控制VPN路由信息的发布。

PE路由器上的VPN实例有两类VPNTarget属性：

● ExportTarget属性：

本地PE在把从与自己直接相连的site学到的VPN-IPv4路由发布给其它PE前，为这些路由设置ExportTarget属性；

● ImportTarget属性：

PE在接收到其它PE路由器发布的VPN-IPv4路由时，检查其ExportTarget属性，只有当此属性与PE上VPN实例的ImportTarget属性匹配时，才把路由加入到相应的VPN路由表中。

也就是说，VPNTarget属性定义了一条VPN-IPv4路由可以为哪些site所接收，PE路由器可以接收哪些site发送来的路由。

与RD类似，VPNTarget也有两种格式：

● 16bits自治系统号:

32bits用户自定义数字，例如：

100:

1。

● 32bitsIPv4地址:

16bits用户自定义数字，例如：

172.1.1.1:

1。

1.1.3 MCE简介

BGP/MPLSVPN以隧道的方式解决了在公网中传送私网数据的问题，但传统的BGP/MPLSVPN架构要求每个VPN实例单独使用一个CE与PE相连，如图1-1所示。

随着用户业务的不断细化和安全需求的提高，很多情况下一个私有网络内的用户需要划分成多个VPN，不同VPN用户间的业务需要完全隔离。

此时，为每个VPN单独配置一台CE将加大用户的设备开支和维护成本；而多个VPN共用一台CE，使用同一个路由表项，又无法保证数据的安全性。

使用S3610&S5510系列以太网交换机提供的MCE功能，可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创建和维护独立的路由转发表（Multi-VRF）。

这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。

1.1.4 MCE工作原理

下面以图1-3为例介绍MCE对多个VPN的路由表项进行维护，并与PE交互VPN路由的过程。

图1-3MCE工作原理示意图

如图1-3所示，左侧私网内有两个VPN站点：

Site1和Site2，分别通过MCE设备接入MPLS骨干网，其中VPN1和VPN2的用户，需要分别与远端Site2内的VPN1用户和Site1内的VPN2用户建立VPN隧道。

通过配置MCE功能，可以在MCE设备上为VPN1和VPN2创建各自的路由转发表，并使用Vlan-interface2接口与VPN1进行绑定、Vlan-interface3与VPN2进行绑定。

在接收路由信息时，MCE设备根据接收接口的编号，即可判断该路由信息的来源，并将其维护到对应VPN的路由转发表中。

同时，在PE1上也需要将连接MCE的接口（子接口）与VPN进行绑定，绑定的方式与MCE设备一致。

MCE与PE1之间通过Trunk链路连接，并允许VLAN2和VLAN3的报文携带VLANTag传输，从而使PE1在接收时可以根据报文所属VLAN判别该报文属于哪一个VPN，将报文在指定的隧道内传输。

1.2 MCE的路由信息交换

通过接口与VPN实例的绑定，CE与PE已经能够正确判断报文的来源，参考对应VPN实例的路由信息对报文进行转发。

下面介绍一下MCE设备如何将多个VPN实例的私网路由信息准确传播到PE设备。

1.2.1 CE与私网间的路由交换

CE可以使用如下的路由协议与Site交换VPN私网路由：

● 静态路由

● RIP

● OSPF

● IS-IS

● EBGP

& 说明：

下文只介绍各路由协议与MCE功能配合的配置思想，有关路由协议的基本原理，请参见本手册“IPv4路由”部分的相关介绍。

1.使用静态路由

CE可以通过静态路由与Site连接。

传统CE配置的静态路由对全局生效，无法解决多VPN间的地址重叠问题。

S3610&S5510系列交换机提供的MCE功能可以将静态路由与VPN实例相绑定，将各VPN之间的静态路由进行隔离。

2.使用RIP

S3610&S5510系列交换机提供了将RIP进程与VPN实例绑定的方法，通过在CE和Site间配置相同的绑定关系，使不同VPN内的私网路由可以通过不同的RIP进程在Site和CE间进行交互，保证了私网路由的隔离和安全。

3.使用OSPF

S3610&S5510系列交换机提供了将OSPF进程与VPN实例绑定的功能，用来在CE上隔离不同VPN的路由。

需要注意的是：

在VPN实例所绑定的OSPF进程中，将不会使用在系统视图下配置的公网RouterID，需要用户在启动进程时手工配置RouterID。

一个OSPF进程只能属于一个VPN实例，但一个VPN实例可以使用多个OSPF进程为其传播私网路由。

同一VPN实例内的OSPF进程应配置有相同的域ID，以保证路由发布的正确性。

& 说明：

对于标准的BGP/OSPF互相引用功能，当在MCE设备上配置引入BGP路由到OSPF中时，该路由的原OSPF属性将无法恢复，造成该路由与从其他域引入的路由无法区分。

为了区分原属于不同OSPF域的路由，需要在远端PE将OSPF路由引入到BGP时携带标识域的属性，即OSPF的域ID（DomainID）。

OSPF进程的域ID包含在此进程生成的路由中，在将OSPF路由引入BGP中时，域ID被附加到BGPVPN路由上，作为BGP的扩展团体属性传递。

在某些情况下，同一个VPN可能会连接多个MCE设备，当其中一个MCE将从BGP学到的路由向VPN内发布时，可能会被另外的MCE设备学到，造成路由环。

为避免路由环路，可以在MCE上为不同的VPN实例配置RouteTag，建议在多个MCE上为同一个VPN配置相同的RouteTag。

4.使用IS-IS

CE和Site之间使用IS-IS传播私网路由的方式与使用OSPF时类似，将进程与VPN实例进行绑定。

一个IS-IS进程只能属于一个VPN实例。

5.使用EBGP

当CE和Site之间使用EBGP传播私网路由时，需要在CE上为每个VPN实例配置BGP对等体，并引入相应VPN内的IGP路由信息。

由于各个Site间正常情况下是处在不同的AS内，因此使用EBGP进行路由的传播。

（1）配置EBGP引入各Site内的IGP路由

为正确的将私网路由发布到PE，需要MCE首先将与其直连Site内的IGP路由引入到自己的BGP路由表中。

（2）为每个VPN实例配置对等体组

为准确地与各Site交换路由信息，可以在BGP的IPv4地址族视图下，为每个VPN实例配置对等体组，并指定对等体组的AS编号。

（3）通过Filter-policy对路由进行过滤

为正确地将路由信息传播到Site和PE设备，在指定对等体后，还需要使用Filter-policy对接收/发布的路由进行过滤。

1.2.2 CE与PE间的路由交换

由于在MCE设备上已经将路由信息与VPN实例进行了绑定，而且在CE-PE之间，也通过接口对VPN实例的报文进行了区分。

因此，CE与PE之间只需要进行简单的路由配置，并将MCE的VPN路由表项引入到CE-PE间的路由协议中，即可以实现私网VPN路由信息的传播。

CE-PE之间可以使用以下的路由协议进行路由交换：

● 静态路由

● RIP

● OSPF

● IS-IS

● EBGP

各路由协议的配置方法及引入路由的操作，请参考本手册“IPv4路由”部分的介绍。

第2章 MCE配置

& 说明：

本章配置中涉及部分路由协议的配置步骤，这里只进行功能描述，相关原理和命令解释，请参见本手册“IPv4”路由部分的介绍。

2.1 配置VPN实例

2.1.1 VPN实例配置任务简介

表2-1VPN实例配置任务简介

配置任务

说明

详细配置

配置交换机的工作模式为MCE模式

必选

2.1.2

创建VPN实例

必选

2.1.3

配置VPN实例与接口关联

必选

2.1.4

配置VPN实例的路由相关属性

必选

2.1.5

2.1.2 配置交换机的工作模式为MCE模式

只有将交换机的工作模式配置为MCE模式，才能实现以下的MCE功能。

表2-2配置交换机的工作模式为MCE模式

操作

命令

说明

进入系统视图

system-view

配置交换机的工作模式为MCE模式

switch-modemce

必选

缺省情况下，设备运行在缺省模式下，不支持MCE功能

2.1.3 创建VPN实例

VPN实例的创建要与Site相关联，VPN实例不是直接对应于VPN，一个VPN实例综合了和它所对应site的VPN成员关系和路由规则。

一个VPN实例只有配置了RD后才生效。

在配置RD之前，除了描述信息外，不能配置VPN实例的其他任何参数。

描述信息用于描述VPN实例，可以用来记录VPN实例与某个VPN的关系等信息。

表2-3创建VPN实例

操作

命令

说明

进入系统视图

system-view

创建VPN实例，并进入VPN实例视图

ipvpn-instancevpn-instance-name

必选

缺省情况下，没有创建VPN实例

配置VPN实例的RD

route-distinguisherroute-distinguisher

必选

缺省情况下，没有配置VPN实例的RD

配置VPN实例的描述信息

descriptiontext

可选

缺省情况下，没有配置VPN实例的描述信息

注意：

在MCE上为指定VPN实例配置的RD必须与PE上为该VPN实例配置的RD值一致。

2.1.4 配置VPN实例与接口关联

VPN实例配置完成后，还需要与连接Site和PE的接口进行关联。

表2-4配置VPN实例与接口关联

操作

命令

说明

进入系统视图

system-view

进入要关联接口的接口视图

interfaceinterface-typeinterface-number

将当前接口与VPN实例关联

ipbindingvpn-instancevpn-instance-name

必选

缺省情况下，接口没有关联任何VPN实例

& 说明：

执行ipbindingvpn-instance命令将删除接口上已经配置的IP地址，因此需要重新配置接口的IP地址。

2.1.5 配置VPN实例的路由相关属性

VPN路由的发布控制过程如下：

● 当交换机从Site内学习到一条VPN路由并引入BGP时，BGP为它关联一个VPNTarget扩展团体属性列表，通常这个列表是该VPN实例的输出路由属性列表。

● VPN实例根据VPNTarget中import-extcommunity决定可被接收并引入此VPN实例的路由。

● VPN实例根据VPNTarget中的export-extcommunity对向外发布的路由进行VPNTarget属性的修改。

表2-5配置VPN实例的路由相关属性

操作

命令

说明

进入系统视图

system-view

进入VPN实例视图

ipvpn-instancevpn-instance-name

将当前VPN实例与一个或多个VPNTarget相关联

vpn-targetvpn-target&<1-8>[both|export-extcommunity|import-extcommunity]

必选

缺省情况下，没有配置与VPN实例关联的VPNTarget

配置VPN实例支持的最大路由数

routing-tablelimitnumber{warn-threshold|simply-alert}

可选

缺省情况下，没有配置当前VPN实例支持的最多路由数

对当前VPN实例应用入方向路由策略

importroute-policyroute-policy

可选

缺省情况下，允许所有VPNTarget属性匹配的路由通过

对当前VPN实例应用出方向路由策略

exportroute-policyroute-policy

可选

缺省情况下，允许所有VPNTarget属性匹配的路由通过

& 说明：

● 只有当MCE与PE间运行BGP时，该属性才会随路由发布到PE，否则配置该属性没有意义。

● 在MCE上为指定VPN实例配置的VPNTarget必须与PE上为该VPN实例配置的VPNTarget值一致。

2.2 配置MCE与Site之间进行路由交换

2.2.1 MCE与Site间路由交换配置简介

表2-6MCE与Site间路由交换配置简介

配置任务

说明

详细配置

配置MCE与Site间使用静态路由

根据实际组网情况可以选择其中一种或多种

2.2.2

配置MCE与Site间使用RIP

2.2.3

配置MCE与Site间使用OSPF

2.2.4

配置MCE与Site间使用IS-IS

2.2.5

配置MCE与Site间使用EBGP

2.2.6

2.2.2 配置MCE与Site间使用静态路由

表2-7配置MCE与Site间使用静态路由

操作

命令

说明

进入系统视图

system-view

为指定VPN实例配置静态路由

iproute-staticvpn-instances-vpn-instance-name&<1-5>dest-address{mask|mask-length}{gateway-address[public]|interface-typeinterface-number[gateway-address]|vpn-instanced-vpn-instance-namegateway-address}[preferencepreference-value][tagtag-value][descriptiondescription-text]

必选

该配置在MCE上进行，Site上的配置方法与普通静态路由相同

2.2.3 配置MCE与Site间使用RIP

一个RIP进程只能属于一个VPN实例。

如果在启动RIP进程时不绑定到VPN实例，则该进程属于公网进程。

表2-8配置MCE与Site间使用RIP

操作

命令

说明

进入系统视图

system-view

创建MCE与Site间的RIP实例，并进入RIP视图

rip[process-id]vpn-instancevpn-instance-name

必选

该配置在MCE上进行，Site上配置普通RIP即可

& 说明：

配置RIP实例后，需要启动RIP，具体配置与普通的RIP相同。

2.2.4 配置MCE与Site间使用OSPF

一个OSPF进程只能属于一个VPN实例。

如果在启动OSPF进程时不绑定到VPN实例，则该进程属于公网进程。

表2-9配置MCE与Site间使用OSPF

操作

命令

说明

进入系统视图

system-view

创建MCE与Site间的OSPF实

展开阅读全文