VPN配置实例.docx
《VPN配置实例.docx》由会员分享,可在线阅读,更多相关《VPN配置实例.docx(14页珍藏版)》请在冰豆网上搜索。
VPN配置实例
03-L3VPN配置
目 录
1 L3VPN配置
● 在以下内容的介绍中所指的路由器及路由器图标,代表了一般意义下运行了路由协议的网络路由设备,为提高可读性,在手册的描述中将不另行说明。
● U200-S、U200-CS、U200-CM不支持BGP特性。
1.1 L3VPN简介
1.1.1 L3VPN概述
L3VPN组网方式灵活、可扩展性好,并能够方便地支持MPLSQoS和MPLSTE,因此得到越来越多的应用。
L3VPN模型由两部分组成:
CE、PE和P。
● CE(CustomerEdge)设备:
用户网络边缘设备,有接口直接与SP(ServiceProvider,服务提供商)相连。
● PE(ProviderEdge)设备:
服务提供商边缘设备,是服务提供商网络的边缘设备,与用户的CE直接相连。
● P(Provider)设备:
服务提供商网络中的骨干设备,不与CE直接相连。
图1-1是一个L3VPN组网方案的示意图。
图1-1 L3VPN组网
CE和PE的划分主要是根据SP与用户的管理范围,CE和PE是两者管理范围的边界。
本例中CE设备为安全设备,当CE与直接相连的PE建立邻接关系后,CE把本站点的VPN路由发布给PE,并从PE学到远端VPN的路由。
CE与PE之间使用BGP/IGP交换路由信息,也可以使用静态路由。
PE端设备为运营商网络,负责与其他PE设备交换路由信息。
P设备只维护到PE的路由,不需要了解任何VPN路由信息。
1.1.2 L3VPN的基本概念
1. Site
在介绍VPN时经常会提到“Site”,Site(站点)的含义可以从下述几个方面理解:
● Site是指相互之间具备IP连通性的一组IP系统,并且,这组IP系统的IP连通性不需通过服务提供商网络实现;
● Site的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个Site中的设备地理位置相邻;
● 一个Site中的设备可以属于多个VPN,换言之,一个Site可以属于多个VPN;
● Site通过CE连接到服务提供商网络,一个Site可以包含多个CE,但一个CE只属于一个Site。
对于多个连接到同一服务提供商网络的Sites,通过制定策略,可以将它们划分为不同的集合(set),只有属于相同集合的Sites之间才能通过服务提供商网络互访,这种集合就是VPN。
2. 地址空间重叠
VPN是一种私有网络,不同的VPN独立管理自己使用的地址范围,也称为地址空间(AddressSpace)。
不同VPN的地址空间可能会在一定范围内重合,比如,VPN1和VPN2都使用了10.110.10.0/24网段的地址,这就发生了地址空间重叠(OverlappingAddressSpaces)。
3. VPN实例
在VPN中,不同VPN之间的路由隔离通过VPN实例(VPN-instance)实现。
PE为每个直接相连的Site建立并维护专门的VPN实例。
VPN实例中包含对应Site的VPN成员关系和路由规则。
如果一个Site中的用户同时属于多个VPN,则该Site的VPN实例中将包括所有这些VPN的信息。
为保证VPN数据的独立性和安全性,PE上每个VPN实例都有相对独立的路由表和LFIB(LabelForwardingInformationBase,标签转发表)。
具体来说,VPN实例中的信息包括:
标签转发表、IP路由表、与VPN实例绑定的接口以及VPN实例的管理信息。
VPN实例的管理信息包括RD(RouteDistinguisher,路由标识符)、路由过滤策略、成员接口列表等。
4. VPNTarget属性
L3VPN使用BGP扩展团体属性——VPNTarget(也称为RouteTarget)来控制VPN路由信息的发布。
PE设备上的VPN实例有两类VPNTarget属性:
● ExportTarget属性:
在本地PE将从与自己直接相连的Site学到的VPN-IPv4路由发布给其它PE之前,为这些路由设置ExportTarget属性;
● ImportTarget属性:
PE在接收到其它PE设备发布的VPN-IPv4路由时,检查其ExportTarget属性,只有当此属性与PE上VPN实例的ImportTarget属性匹配时,才把路由加入到相应的VPN路由表中。
也就是说,VPNTarget属性定义了一条VPN-IPv4路由可以为哪些Site所接收,PE设备可以接收哪些Site发送来的路由。
与RD类似,VPNTarget也有两种格式:
● 16bits自治系统号:
32bits用户自定义数字,例如:
100:
1。
● 32bitsIPv4地址:
16bits用户自定义数字,例如:
172.1.1.1:
1。
5. 路由策略(RoutingPolicy)
在通过入口、出口扩展团体来控制VPN路由发布的基础上,如果需要更精确地控制VPN路由的引入和发布,可以使用入方向或出方向路由策略。
入方向路由策略根据路由的VPNTarget属性进一步过滤可引入到VPN实例的路由,它可以拒绝接收引入列表中的团体选定的路由,而出方向路由策略则可以拒绝发布输出列表中的团体选定的路由。
VPN实例创建完成后,可以选择是否需要配置入方向或出方向路由策略。
1.1.3 L3VPN的网络架构
在MPLSL3VPN网络中,通过VPNTarget属性来控制VPN路由信息在各Site之间的发布和接收。
VPNExportTarget和ImportTarget的设置相互独立,并且都可以设置多个值,能够实现灵活的VPN访问控制,从而实现多种VPN组网方案。
1. 基本的VPN组网方案
最简单的情况下,一个VPN中的所有用户形成闭合用户群,相互之间能够进行流量转发,VPN中的用户不能与任何本VPN以外的用户通信。
对于这种组网,需要为每个VPN分配一个VPNTarget,作为该VPN的ExportTarget和ImportTarget,并且,此VPNTarget不能被其他VPN使用。
图1-2 基本的VPN组网方案
在图1-2中,PE上为VPN1分配的VPNTarget值为100:
1,为VPN2分配的VPNTarget值为200:
1。
VPN1的两个Site之间可以互访,VPN2的两个Site之间也可以互访,但VPN1和VPN2的Site之间不能互访。
2. Hub&Spoke组网方案
如果希望在VPN中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行,可以使用Hub&Spoke组网方案,从而实现中心设备对两端设备之间的互访进行监控和过滤等功能。
对于这种组网,需要设置两个VPNTarget,一个表示“Hub”,另一个表示“Spoke”。
各Site在PE上的VPN实例的VPNTarget设置规则为:
● 连接Spoke站点(Site1和Site2)的Spoke-PE:
ExportTarget为“Spoke”,ImportTarget为“Hub”;
● 连接Hub站点(Site3)的Hub-PE:
Hub-PE上需要使用两个接口或子接口,一个用于接收Spoke-PE发来的路由,其VPN实例的ImportTarget为“Spoke”;另一个用于向Spoke-PE发布路由,其VPN实例的ExportTarget为“Hub”。
图1-3 Hub&Spoke组网方案
在图1-3中,Spoke站点之间的通信通过Hub站点进行(图中箭头所示为Site2的路由向Site1的发布过程):
● Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由;
● Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收;
● Hub-PE将从Spoke-PE学到的路由发布给其他Spoke-PE,因此,Spoke站点之间可以通过Hub站点互访。
● 任意Spoke-PE的ImportTarget属性不与其它Spoke-PE的ExportTarget属性相同。
因此,任意两个Spoke-PE之间不直接发布VPN-IPv4路由,Spoke站点之间不能直接互访。
3. Extranet组网方案
如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问,可以使用Extranet组网方案。
对于这种组网,如果某个VPN需要访问共享站点,则该VPN的ExportTarget必须包含在共享站点的VPN实例的ImportTarget中,而其ImportTarget必须包含在共享站点VPN实例的ExportTarget中。
图1-4 Extranet组网方案
在图1-4中,VPN1的Site3能够被VPN1和VPN2访问:
● PE3能够接受PE1和PE2发布的VPN-IPv4路由;
● PE3发布的VPN-IPv4路由能够为PE1和PE2接受;
● 基于以上两点,VPN1的Site1和Site3之间能够互访,VPN2的Site2和VPN1的Site3之间能够互访。
PE3不把从PE1接收的VPN-IPv4路由发布给PE2,也不把从PE2接收的VPN-IPv4路由发布给PE1(IBGP邻居学来的条目是不会再发送给别的IBGP邻居),因此,VPN1的Site1和VPN2的Site2之间不能互访。
1.1.4 OSPFVPN扩展
本节重点介绍OSPF对VPN的扩展,如果需要了解OSPF的基本知识,请参见“IP路由分册”中的“OSPF配置”。
1. PE上的OSPF多实例
OSPF是应用广泛的一种IGP协议,很多情况下,VPN客户端通过BGP对等体连接,客户端内部则经常以OSPF作为内部路由协议。
如果能够在PE-CE之间使用OSPF,则CE上就不需要再为到PE的连接支持其它路由协议,从而简化CE的管理和配置。
并且,如果客户需要通过传统的OSPF骨干区域提供L3VPN服务,在PE和CE之间使用OSPF可以简化这种转换。
为了在PE-CE间运行OSPF,PE必须支持OSPF多实例,每个OSPF实例与一个VPN实例对应,使用自己的接口、路由表。
下面具体介绍在PE-CE间配置OSPF需要了解的知识。
(1) PE和CE间的OSPF区域配置
PE与CE之间的OSPF区域可以是非骨干区域,也可以是骨干区域。
在OSPFVPN扩展应用中,VPN骨干网被看作是骨干区域area0。
由于OSPF要求骨干区域连续,因此,所有VPN站点的area0必须与VPN骨干网相连。
即:
如果VPN站点存在OSPFarea0,则CE接入的PE必须通过area0与这个VPN站点的骨干区域相连(可以通过Virtual-link实现逻辑上的连通)。
(2) BGP/OSPF交互
在PE-CE间运行OSPF后,PE与PE通过BGP发布VPN路由,PE通过OSPF向CE发布VPN路由。
对于普通OSPF,即使两个不同站点属于同一VPN,它们也会被看作属于不同的自治系统。
这样,在一个站点学到的路由,将被作为外部路由传送给另一站点。
这种处理方式导致了比较高的OSPF路由协议流量,并带来了一些原本可以避免的网络管理问题。
目前的OSPF可以解决上述问题。
通过适当配置,运行OSPF的不同站点之间彼此看做是直接相连的。
这样,PE设备交换OSPF路由信息时就好象是通过一条专线相连。
改善了网络管理并使OSPF的应用更为有效。
以图1-5为例,PE1和PE2通过MPLS骨干网相连,CE11、CE21和CE22都属于VPN1。
假设图中所有安全设备属于同一个域,即,CE11、CE21、CE22属于同一个OSPF域(OSPFdomain)。
VPN1路由的发布过程可以描述为:
首先在PE1上将CE11的OSPF路由引入BGP;然后通过BGP将这些VPN路由发布给PE2;在PE2上将BGP的VPN路由引入到OSPF,再发布给CE21和CE22。
图1-5 OSPF在VPN中的使用
如果使用标准的BGP/OSPF交互过程,PE2将把BGPVPN路由通过Type5LSAs(即ASELSAs)发布给CE21和CE22。
但CE11与CE21、CE22是同一个OSPF域,它们之间的路由发布应该使用Type3LSAs,即区域间路由。
为了解决上述问题,PE使用一种经过修改的BGP/OSPF交互过程(简称为BGP/OSPF互操作功能),发布从一个Site到另一个Site的路由,将这种路由与真正的AS-External路由进行区分。
这一过程需要BGP使用扩展团体属性,携带可以标识OSPF属性的信息。
在实现中,要求每个OSPF域有一个可配置的域ID(DomainID)。
一般建议:
与每个VPN实例相关的网络中的所有OSPF实例要么配置一个相同的域ID,要么都使用缺省的域ID。
这样在收到BGP的VPN路由时,域ID相同的是来自同一VPN实例的路由。
(3) 路由环的检测
假设PE与CE之间通过OSPF骨干区域相连,且同一个VPN站点(Site)连接到多个不同PE。
这种情况下,当一个PE通过LSA向VPN站点发布从MPLS/BGP学的BGPVPN路由时,LSA可能被另一个PE接收到,造成路由环。
为了防止产生路由环,对于从MPLS/BGP学到的BGPVPN路由,无论PE与CE间是否通过OSPF骨干区域相连,PE在生成Type3LSA时,都会设置标志位DN。
PE设备的OSPF进程在进行路由计算时,忽略DN置位的Type3LSAs。
如果PE需要向CE发布一条来自其它OSPF域的路由,则PE应表明自己是ASBR,并将该路由作为Type5LSA发布。
1.2 L3VPN配置任务简介
表1-1 L3VPN配置任务简介
配置任务
说明
详细配置
配置VPN实例
必选
1.3
配置基本L3VPN
必选
1.4
1.3 配置VPN实例
VPN实例用于将VPN私网路由与公网路由隔离,在所有L3VPN组网方案中,都需要配置VPN实例。
VPN实例不仅可以将VPN私网路由与公网路由隔离,不同VPN实例的路由之间也是相互隔离的,这一特点使得VPN实例的使用不限于L3VPN。
1.3.1 创建VPN实例
VPN实例在实现中与Site关联。
VPN实例不是直接对应于VPN,一个VPN实例综合了和它所对应Site的VPN成员关系和路由规则。
一个VPN实例只有配置了RD后才生效。
在配置RD之前,除了描述信息外,不能配置VPN实例的其他任何参数。
描述信息用于描述VPN实例,可以用来记录VPN实例与某个VPN的关系等信息。
表1-2 创建VPN实例
操作
命令
说明
进入系统视图
system-view
-
创建VPN实例,并进入VPN实例视图
ip vpn-instance vpn-instance-name
必选
配置VPN实例的RD
route-distinguisher route-distinguisher
必选
配置VPN实例的描述信息
description text
可选
1.3.2 配置VPN实例与接口关联
VPN实例配置完成后,还需要与接口进行关联。
表1-3 配置VPN实例与接口关联
操作
命令
说明
进入系统视图
system-view
-
进入要关联接口的接口视图
interface interface-typeinterface-number
-
将当前接口与VPN实例关联
ip binding vpn-instance vpn-instance-name
必选
缺省情况下,接口不关联任何VPN实例
执行ip binding vpn-instance命令将删除接口上已经配置的IP地址,因此需要重新配置接口的IP地址。
1.3.3 配置VPN实例的路由相关属性
VPN路由的发布控制过程如下:
● 当从CE学习到的一条VPN路由引入BGP时,BGP为它关联一个VPNTarget扩展团体属性列表,通常这个列表是与CE相关联的VPN实例的输出路由属性列表。
● VPN实例根据VPNTarget中import-extcommunity决定可被接受并引入此VPN实例的路由。
● VPN实例根据VPNTarget中的export-extcommunity对向外发布的路由进行VPNTarget属性的修改。
表1-4 配置VPN实例的路由相关属性
操作
命令
说明
进入系统视图
system-view
-
进入VPN实例视图
ip vpn-instance vpn-instance-name
必选
将当前VPN实例与一个或多个VPNTarget相关联
vpn-target vpn-target&<1-8>[ both |export-extcommunity | import-extcommunity ]
必选
配置VPN实例支持的最大路由数
routing-table limit number { warn-threshold | simply-alert }
可选
对当前VPN实例应用入方向路由策略
import route-policy route-policy
可选
缺省情况下,允许所有VPNTarget属性匹配的路由通过
对当前VPN实例应用出方向路由策略
export route-policy route-policy
可选
缺省情况下,允许所有VPNTarget属性匹配的路由通过
● 命令vpn-target最多可以配置8个VPNTarget;一个VPN实例最多可以配置16个VPNTarget。
● 可以配置一个VPN实例可以支持的最大路由数,以防止安全设备的入接口有过多的路由。
● 为VPN实例配置路由策略之前必须已经创建了路由策略,否则将采用缺省路由策略。
1.4 配置基本L3VPN
本节介绍比较简单的L3VPN组网配置:
只包括一个运营商,MPLS骨干网不跨域,PE、P、CE设备都不兼具其它功能(没有一台设备既是PE,又是CE)。
PE-CE间的路由交换可以采用静态路由、RIP、OSPF、也可以采用EBGP。
根据实际组网情况选择一种进行配置即可。
1.4.1 配置准备
在配置基本L3VPN之前,需完成以下任务:
● 在CE上配置接入PE的接口的IP地址
1.4.2 配置VPN实例
表1-5 配置VPN实例
操作
命令
说明
进入系统视图
system-view
-
创建VPN实例,并进入VPN实例视图
ip vpn-instance vpn-instance-name
必选
缺省情况下,无VPN实例
配置VPN实例的RD
route-distinguisher route-distinguisher
必选
将当前VPN实例与一个或多个VPNTarget相关联
vpn-target vpn-target&<1-8>[ both | export-extcommunity | import-extcommunity ]
必选
退回到系统视图
Quit
-
进入要关联接口的接口视图
interface interface-typeinterface-number
-
将当前接口与VPN实例关联
ip binding vpn-instance vpn-instance-name
必选
缺省情况下,无接口关联任何VPN实例
1.4.3 配置PE-CE间路由交换
配置PE-CE间路由交换可以使用静态路由、RIP、OSPF和EBGP路由协议。
具体采用哪种协议请根据配置的实际需要。
1. 配置PE-CE间使用静态路由
表1-6 配置PE-CE间使用静态路由
操作
命令
说明
进入系统视图
system-view
-
升级会员 