VPN配置实例(1)

《VPN配置实例(1)》由会员分享，可在线阅读，更多相关《VPN配置实例(1)（17页珍藏版）》请在装配图网上搜索。

1、VPN配置实例03-L3VPN配置 目 录 1 L3VPN配置 1.1 L3VPN简介 1.1.1 L3VPN概述 1.1.2 L3VPN的基本概念 1.1.3 L3VPN的网络架构 1.1.4 OSPF VPN扩展 1.2 L3VPN配置任务简介 1.3 配置VPN实例 1.3.1 创建VPN实例 1.3.2 配置VPN实例与接口关联 1.3.3 配置VPN实例的路由相关属性 1.4 配置基本L3VPN 1.4.1 配置准备 1.4.2 配置VPN实例 1.4.3 配置PE-CE间路由交换 1.5 L3VPN显示和维护 1.5.1 复位BGP连接 1.5.2 显示L3VPN的运行状态 1.6

2、 L3VPN典型配置举例 1.6.1 配置L3VPN示例 1 L3VPN配置 l 在以下内容的介绍中所指的路由器及路由器图标，代表了一般意义下运行了路由协议的网络路由设备，为提高可读性，在手册的描述中将不另行说明。 U200-S、U200-CS、U200-CM不支持BGP特性。 l 1.1 L3VPN简介 1.1.1 L3VPN概述 L3VPN组网方式灵活、可扩展性好，并能够方便地支持MPLS QoS和MPLS TE，因此得到越来越多的应用。 L3VPN模型由两部分组成：CE、PE和P。 l CE设备：用户网络边缘设备，有接口直接与SP相连。 PE设备：服务提供商边缘设备，是服务提供商网络的边

3、缘设备，与用户的CE直接相连。 P设备：服务提供商网络中的骨干设备，不与CE直接相连。 l l 图1-1是一个L3VPN组网方案的示意图。 图1-1 L3VPN组网 CE和PE的划分主要是根据SP与用户的管理范围，CE和PE是两者管理范围的边界。 本例中CE设备为安全设备，当CE与直接相连的PE建立邻接关系后，CE把本站点的VPN路由发布给PE，并从PE学到远端VPN的路由。CE与PE之间使用BGP/IGP交换路由信息，也可以使用静态路由。 PE端设备为运营商网络，负责与其他PE设备交换路由信息。 P设备只维护到PE的路由，不需要了解任何VPN路由信息。 1.1.2 L3VPN的基本概念 1.

4、 Site 在介绍VPN时经常会提到“Site”，Site的含义可以从下述几个方面理解： l Site是指相互之间具备IP连通性的一组IP系统，并且，这组IP系统的IP连通性不需通过服务提供商网络实现； Site的划分是根据设备的拓扑关系，而不是地理位置，尽管在大多数情况下一个Site中的设备地理位置相邻； 一个Site中的设备可以属于多个VPN，换言之，一个Site可以属于多个VPN； Site通过CE连接到服务提供商网络，一个Site可以包含多个CE，但一个CE只属于一个Site。 l l l 对于多个连接到同一服务提供商网络的Sites，通过制定策略，可以将它们划分为不同的集合，只有属于

5、相同集合的Sites之间才能通过服务提供商网络互访，这种集合就是VPN。 2. 地址空间重叠 VPN是一种私有网络，不同的VPN独立管理自己使用的地址范围，也称为地址空间。 不同VPN的地址空间可能会在一定范围内重合，比如，VPN1和VPN2都使用了10.110.10.0/24网段的地址，这就发生了地址空间重叠。 3. VPN实例 在VPN中，不同VPN之间的路由隔离通过VPN实例实现。 PE为每个直接相连的Site建立并维护专门的VPN实例。VPN实例中包含对应Site的VPN成员关系和路由规则。如果一个Site中的用户同时属于多个VPN，则该Site的VPN实例中将包括所有这些VPN的信息

6、。 为保证VPN数据的独立性和安全性，PE上每个VPN实例都有相对独立的路由表和LFIB。 具体来说，VPN实例中的信息包括：标签转发表、IP路由表、与VPN实例绑定的接口以及VPN实例的管理信息。VPN实例的管理信息包括RD、路由过滤策略、成员接口列表等。 4. VPN Target属性 L3VPN使用BGP扩展团体属性VPN Target来控制VPN路由信息的发布。 PE设备上的VPN实例有两类VPN Target属性： l Export Target属性：在本地PE将从与自己直接相连的Site学到的VPN-IPv4路由发布给其它PE之前，为这些路由设置Export Target属性； I

7、mport Target属性：PE在接收到其它PE设备发布的VPN-IPv4路由时，检查其Export Target属性，只有当此属性与PE上VPN实例的Import Target属性匹配时，才把路由加入到相应的VPN路由表中。 l 也就是说，VPN Target属性定义了一条VPN-IPv4路由可以为哪些Site所接收，PE设备可以接收哪些Site发送来的路由。 与RD类似，VPN Target也有两种格式： l l 16bits自治系统号:32bits用户自定义数字，例如：100:1。 32bits IPv4地址:16bits用户自定义数字，例如：172.1.1.1:1。 5. 路由策略

8、在通过入口、出口扩展团体来控制VPN路由发布的基础上，如果需要更精确地控制VPN路由的引入和发布，可以使用入方向或出方向路由策略。 入方向路由策略根据路由的VPN Target属性进一步过滤可引入到VPN实例的路由，它可以拒绝接收引入列表中的团体选定的路由，而出方向路由策略则可以拒绝发布输出列表中的团体选定的路由。 VPN实例创建完成后，可以选择是否需要配置入方向或出方向路由策略。 1.1.3 L3VPN的网络架构 在MPLS L3VPN网络中，通过VPN Target属性来控制VPN路由信息在各Site之间的发布和接收。VPN Export Target和Import Target的设置相互

9、独立，并且都可以设置多个值，能够实现灵活的VPN访问控制，从而实现多种VPN组网方案。 1. 基本的VPN组网方案 最简单的情况下，一个VPN中的所有用户形成闭合用户群，相互之间能够进行流量转发，VPN中的用户不能与任何本VPN以外的用户通信。 对于这种组网，需要为每个VPN分配一个VPN Target，作为该VPN的Export Target和Import Target，并且，此VPN Target不能被其他VPN使用。 图1-2 基本的VPN组网方案 在图1-2中，PE上为VPN 1分配的VPN Target值为100:1，为VPN 2分配的VPN Target值为200:1。VPN 1的

10、两个Site之间可以互访，VPN 2的两个Site之间也可以互访，但VPN 1和VPN 2的Site之间不能互访。 2. Hub&Spoke组网方案 如果希望在VPN中设置中心访问控制设备，其它用户的互访都通过中心访问控制设备进行，可以使用Hub&Spoke组网方案，从而实现中心设备对两端设备之间的互访进行监控和过滤等功能。 对于这种组网，需要设置两个VPN Target，一个表示“Hub”，另一个表示“Spoke”。 各Site在PE上的VPN实例的VPN Target设置规则为： l 连接Spoke站点的Spoke-PE：Export Target为“Spoke”，Import Targe

11、t为“Hub”； 连接Hub站点的Hub-PE：Hub-PE上需要使用两个接口或子接口，一个用于接收Spoke-PE发来的路由，其VPN实例的Import Target为“Spoke”；另一个用于向Spoke-PE发布路由，其VPN实例的Export Target为“Hub”。 l 图1-3 Hub&Spoke组网方案 在图1-3中，Spoke站点之间的通信通过Hub站点进行： l l l Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由； Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收； Hub-PE将从Spoke-PE学到的路由发布给其他Spoke-

12、PE，因此，Spoke站点之间可以通过Hub站点互访。 任意Spoke-PE的Import Target属性不与其它Spoke-PE的Export Target属性相同。因此，任意两个Spoke-PE之间不直接发布VPN-IPv4路由，Spoke站点之间不能直接互访。 l 3. Extranet组网方案 如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问，可以使用Extranet组网方案。 对于这种组网，如果某个VPN需要访问共享站点，则该VPN的Export Target必须包含在共享站点的VPN实例的Import Target中，而其Import Target必须包含在

13、共享站点VPN实例的Export Target中。 图1-4 Extranet组网方案 在图1-4中，VPN 1的Site 3能够被VPN 1和VPN 2访问： l l l PE 3能够接受PE 1和PE 2发布的VPN-IPv4路由； PE 3发布的VPN-IPv4路由能够为PE 1和PE 2接受； 基于以上两点，VPN 1的Site 1和Site 3之间能够互访，VPN 2的Site 2和VPN 1的Site 3之间能够互访。 PE 3不把从PE 1接收的VPN-IPv4路由发布给PE 2，也不把从PE 2接收的VPN-IPv4路由发布给PE 1，因此，VPN 1的Site 1和VPN 2

14、的Site 2之间不能互访。 1.1.4 OSPF VPN扩展 本节重点介绍OSPF对VPN的扩展，如果需要了解OSPF的基本知识，请参见“IP路由分册”中的“OSPF配置”。 1. PE上的OSPF多实例 OSPF是应用广泛的一种IGP协议，很多情况下，VPN客户端通过BGP对等体连接，客户端内部则经常以OSPF作为内部路由协议。如果能够在PE-CE之间使用OSPF，则CE上就不需要再为到PE的连接支持其它路由协议，从而简化CE的管理和配置。并且，如果客户需要通过传统的OSPF骨干区域提供L3VPN服务，在PE和CE之间使用OSPF可以简化这种转换。 为了在PE-CE间运行OSPF，PE必须

15、支持OSPF多实例，每个OSPF实例与一个VPN实例对应，使用自己的接口、路由表。 下面具体介绍在PE-CE间配置OSPF需要了解的知识。 (1) PE和CE间的OSPF区域配置 PE与CE之间的OSPF区域可以是非骨干区域，也可以是骨干区域。 在OSPF VPN扩展应用中，VPN骨干网被看作是骨干区域area 0。由于OSPF要求骨干区域连续，因此，所有VPN站点的area 0必须与VPN骨干网相连。 即：如果VPN站点存在OSPF area 0，则CE接入的PE必须通过area 0与这个VPN站点的骨干区域相连。 (2) BGP/OSPF交互 在PE-CE间运行OSPF后，PE与PE通过B

16、GP发布VPN路由，PE通过OSPF向CE发布VPN路由。 对于普通OSPF，即使两个不同站点属于同一VPN，它们也会被看作属于不同的自治系统。这样，在一个站点学到的路由，将被作为外部路由传送给另一站点。这种处理方式导致了比较高的OSPF路由协议流量，并带来了一些原本可以避免的网络管理问题。 目前的OSPF可以解决上述问题。通过适当配置，运行OSPF的不同站点之间彼此看做是直接相连的。这样，PE设备交换OSPF路由信息时就好象是通过一条专线相连。改善了网络管理并使OSPF的应用更为有效。 以图1-5为例，PE 1和PE 2通过MPLS骨干网相连，CE 11、CE 21和CE 22都属于VPN

17、1。假设图中所有安全设备属于同一个域，即，CE 11、CE 21、CE 22属于同一个OSPF域。 VPN 1路由的发布过程可以描述为：首先在PE 1上将CE 11的OSPF路由引入BGP；然后通过BGP将这些VPN路由发布给PE 2；在PE 2上将BGP的VPN路由引入到OSPF，再发布给CE 21和CE 22。 图1-5 OSPF在VPN中的使用 如果使用标准的BGP/OSPF交互过程，PE 2将把BGP VPN路由通过Type5 LSAs发布给CE 21和CE 22。但CE 11与CE 21、CE 22是同一个OSPF域，它们之间的路由发布应该使用Type3 LSAs，即区域间路由。 为

18、了解决上述问题，PE使用一种经过修改的BGP/OSPF交互过程，发布从一个Site到另一个Site的路由，将这种路由与真正的AS-External路由进行区分。这一过程需要BGP使用扩展团体属性，携带可以标识OSPF属性的信息。 在实现中，要求每个OSPF域有一个可配置的域ID。一般建议：与每个VPN实例相关的网络中的所有OSPF实例要么配置一个相同的域ID，要么都使用缺省的域ID。这样在收到BGP的VPN路由时，域ID相同的是来自同一VPN实例的路由。 (3) 路由环的检测 假设PE与CE之间通过OSPF骨干区域相连，且同一个VPN站点连接到多个不同PE。这种情况下，当一个PE通过LSA向V

19、PN站点发布从MPLS/BGP学的BGP VPN路由时，LSA可能被另一个PE接收到，造成路由环。 为了防止产生路由环，对于从MPLS/BGP学到的BGP VPN路由，无论PE与CE间是否通过OSPF骨干区域相连，PE在生成Type3 LSA时，都会设置标志位DN。PE设备的OSPF进程在进行路由计算时，忽略DN置位的Type3 LSAs。 如果PE需要向CE发布一条来自其它OSPF域的路由，则PE应表明自己是ASBR，并将该路由作为Type5 LSA发布。 1.2 L3VPN配置任务简介 表1-1 L3VPN配置任务简介 配置任务 配置VPN实例 配置基本L3VPN 必选 必选 说明 详细配

20、置 1.3 1.4 1.3 配置VPN实例 VPN实例用于将VPN私网路由与公网路由隔离，在所有L3VPN组网方案中，都需要配置VPN实例。 VPN实例不仅可以将VPN私网路由与公网路由隔离，不同VPN实例的路由之间也是相互隔离的，这一特点使得VPN实例的使用不限于L3VPN。 1.3.1 创建VPN实例 VPN实例在实现中与Site关联。VPN实例不是直接对应于VPN，一个VPN实例综合了和它所对应Site的VPN成员关系和路由规则。 一个VPN实例只有配置了RD后才生效。在配置RD之前，除了描述信息外，不能配置VPN实例的其他任何参数。 描述信息用于描述VPN实例，可以用来记录VPN实例与

21、某个VPN的关系等信息。 表1-2 创建VPN实例 操作 进入系统视图 system-view 命令 - 说明 操作 创建VPN实例，并进入VPN实例视图 配置VPN实例的RD 配置VPN实例的描述信息 命令 ip vpn-instance vpn-instance-name route-distinguisher route-distinguisher description text 必选 必选 可选 说明 1.3.2 配置VPN实例与接口关联 VPN实例配置完成后，还需要与接口进行关联。 表1-3 配置VPN实例与接口关联 操作 进入系统视图 进入要关联接口的接口视图 system-vi

22、ew interface interface-type interface-number 命令 - - 必选 将当前接口与VPN实例关联 ip binding vpn-instance vpn-instance-name 缺省情况下，接口不关联任何VPN实例 说明 执行ip binding vpn-instance命令将删除接口上已经配置的IP地址，因此需要重新配置接口的IP地址。 1.3.3 配置VPN实例的路由相关属性 VPN路由的发布控制过程如下： l 当从CE学习到的一条VPN路由引入BGP时，BGP为它关联一个VPN Target扩展团体属性列表，通常这个列表是与CE相关联的VPN实

23、例的输出路由属性列表。 VPN实例根据VPN Target中import-extcommunity决定可被接受并引入此VPN实例的路由。 VPN实例根据VPN Target中的export-extcommunity对向外发布的路由进行VPN Target属性的修改。 l l 表1-4 配置VPN实例的路由相关属性 操作 进入系统视图 system-view 命令 - 说明 操作 进入VPN实例视图 将当前VPN实例与一个或多个VPN Target相关联 配置VPN实例支持的最大路由数 命令 ip vpn-instance vpn-instance-name 必选 说明 vpn-target v

24、pn-target& both |export-extcommunity | import-extcommunity 必选 routing-table limit number warn-threshold | simply-alert 可选 可选 对当前VPN实例应用入方向路由策略 import route-policy route-policy 缺省情况下，允许所有VPN Target属性匹配的路由通过 可选 对当前VPN实例应用出方向路由策略 export route-policy route-policy 缺省情况下，允许所有VPN Target属性匹配的路由通过 l 命令vpn-ta

25、rget最多可以配置8个VPN Target；一个VPN实例最多可以配置16个VPN Target。 可以配置一个VPN实例可以支持的最大路由数，以防止安全设备的入接口有过多的路由。 为VPN实例配置路由策略之前必须已经创建了路由策略，否则将采用缺省路由策略。 l l 1.4 配置基本L3VPN 本节介绍比较简单的L3VPN组网配置：只包括一个运营商，MPLS骨干网不跨域，PE、P、CE设备都不兼具其它功能。 PE-CE间的路由交换可以采用静态路由、RIP、OSPF、也可以采用EBGP。根据实际组网情况选择一种进行配置即可。 1.4.1 配置准备 在配置基本L3VPN之前，需完成以下任务： l

26、 在CE上配置接入PE的接口的IP地址 1.4.2 配置VPN实例 表1-5 配置VPN实例 操作 进入系统视图 system-view 命令 - 必选 创建VPN实例，并进入VPN实例视图 ip vpn-instance vpn-instance-name 缺省情况下，无VPN实例 配置VPN实例的RD 将当前VPN实例与一个或多个VPN Target相关联 退回到系统视图 进入要关联接口的接口视图 route-distinguisher route-distinguisher vpn-target vpn-target& both | export-extcommunity | import-extcommunity Quit 必选 说明 必选 - interface interface-type interface-number - 必选 将当前接口与VPN实例关联 ip binding vpn-instance vpn-instance-name 缺省情况下，无接口关联任何VPN实例 1.4.3 配置PE-CE间路由交换 配置PE-CE间路由交换可以使用静态路由、RIP、OSPF和EBGP路由协议。具体采用哪种协议请根据配置的实际需要。 1. 配置PE-CE间使用静态路由 表1-6 配置PE-CE间使用静态路由 操作 进入系统视图 system-view 命令 - 说明