mplsvpn多角色主机解决方案

icemer
1 ℃
2020-01-10

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

资料编码产品名称使用对象产品版本编写部门数据通信工程部资料版本V1.0多角色主机解决方案拟制：欧阳忠华日期：2004-03-31审核：高永刚日期：2004-04-02审核：日期：批准：日期：华为技术有限公司版权所有侵权必究多角色主机解决方案文档密级：内部公开修订记录日期修订版本描述作者多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散目录第一章概述..........................................................................................................................1一、MPLSVPN概述...............................................................................................................1二、多角色主机概念的提出.....................................................................................................1第二章组网举例.......................................................................................................................21、组网简介............................................................................................................................21.1、组网图..........................................................................................................................21.2、组网简介......................................................................................................................22、IP地址规划.......................................................................................................................23、配置脚本（只列出MPLSVPN相关部分）..........................................................................33.1、RTA配置.....................................................................................................................33.2、RTB配置.....................................................................................................................53.3、观察结果......................................................................................................................7多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散关键词：摘要：缩略语清单：参考资料清单：多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散第一章概述一、MPLSVPN概述虚拟私有网VPN（VirtualPrivateNetwork）是利用公共网络构建私有网络的一种技术，在公网上建立的VPN与私有网络一样具有安全性、可靠性和可管理性的特点。多协议标签交换MPLS（MultiprotocolLabelSwitching）技术非常适合组建VPN。MPLS网络可以非常容易地实现基于IP技术的VPN业务，满足VPN可扩展性和管理的需求；可以在MPLSVPN上采取安全措施，为每个VPN配置了一些策略，规定一个VPN可以接收哪些Site来的路由信息，可以向外发布哪些Site的路由信息。通过策略保证不同的VPN之间不能建立IP互通，保障了VPN的安全性。利用MPLS构造的VPN，还提供了实现增值业务的可能；通过配置，可将单一接入点形成多种VPN，每种VPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。二、多角色主机概念的提出MPLSVPN的网络结构框架主要由CE、PE、P三部分构成，VPN是若干个Site的集合，Site通过Routetarget属性可以获得VPN的成员关系。在正常的流程中，从CE进入PE的报文的VPN属性由入接口绑定的VPN决定，这样就实质上决定了由同一个接口进入PE转发的的CE设备属于同一个VPN，但是实际组网中存在一个CE设备经过一个物理端口访问多个VPN的需求，例如用户的一台服务器既想让市场部访问，又想让技术支持访问，而市场部和技术支持属于两个VPN，这可以通过在一个物理接口上划分多个逻辑接口来实现，这会增加配置的复杂度，同时也有很大的局限性。我们可以采用多角色主机的方式解决，多角色主机是通过配置针对特定IP地址的策略路由来区分报文对不同VPN的访问，而从PE到CE的下行数据流，是通过静态路由来实现的，多角色主机情形下的静态路由跟普通的不一样，是通过一个VRF里面的静态路由可以指定其他VRF中的接口作为出接口来实现的，从而达到通过一个逻辑接口访问多个VPN的目的。从私网标签的分配上看，可以看到在每一个VPN中都为多角色主机路由分配了不同标签。多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散第二章组网举例1、组网简介1.1、组网图1.2、组网简介两台路由器RTA、RTB作为PE路由器，PC1属于VPN_B，RTA、RTB的loopback1属于VPN_A，RTA、RTB的loopback2属于VPN_B，设置PC1为多角色主机，既能访问VPN_A，又能访问VPN_B，即实现PC1访问RTB的loopback1、loopback2。2、IP地址规划本端设备IP地址对端设备IP地址备注RTA10.10.3.1/30RTB10.10.3.2/30设备互联RTA12.12.12.1/30PC112.12.12.2/30VPN_BLoopback0：RTA:1.1.1.1/32RTB:2.2.2.2/32Loopback1：RTA:10.10.10.10/32（VPN_A）RTB:20.20.20.20/32（VPN_A）Loopback2：RTA:11.11.11.11/32（VPN_B）RTB:30.30.30.30/32（VPN_B）多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散3、配置脚本（只列出MPLSVPN相关部分）3.1、RTA配置routerid1.1.1.1mplslsr-id1.1.1.1mplsldpipvpn-instanceVPN_A//配置VPN实例route-distinguisher100:1vpn-target100:1bothipvpn-instanceVPN_Broute-distinguisher200:1vpn-target200:1bothinterfaceGigabitEthernet4/1/0descriptionTO_PC1ipbindingvpn-instanceVPN_Bipaddress12.12.12.1255.255.255.252ippolicyroute-policybbb//应用策略路由到接口，引导多角色主机的出口路由interfaceGigabitEthernet5/1/0descriptionTO_RTBipaddress10.10.3.1255.255.255.252mplsldpenableinterfaceLoopBack0ipaddress1.1.1.1255.255.255.255interfaceLoopBack1ipbindingvpn-instanceVPN_Aipaddress10.10.10.10255.255.255.255多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散interfaceLoopBack2ipbindingvpn-instanceVPN_Bipaddress11.11.11.11255.255.255.255aclnumber100rule0permitipsource12.12.12.20//设置acl，控制只有多角色主机才允许通过bgp100undosynchronizationpeer2.2.2.2as-number100peer2.2.2.2connect-interfaceLoopBack0ipv4-familyvpn-instanceVPN_Aimport-routestaticimport-routedirectundosynchronizationipv4-familyvpn-instanceVPN_Bimport-routestaticimport-routedirectundosynchronizationipv4-familyvpnv4peer2.2.2.2enablepeer2.2.2.2next-hop-localospfimport-routedirectarea0.0.0.0network1.1.1.10.0.0.0network10.10.3.00.0.0.3route-policybbbpermitnode10多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散if-matchacl100applyaccess-vpnvrfVPN_BVPN_A//配置策略路由，引导多角色主机的出口路由，使之能访问两个VPNiproute-staticvpn-instanceVPN_A12.12.12.2255.255.255.255vpn-instanceVPN_B12.12.12.2//配置多角色主机的回程路由3.2、RTB配置routerid2.2.2.2mplslsr-id2.2.2.2mplsldpipvpn-instanceVPNA//增加VPN实例route-distinguisher100:1vpn-targetbothipvpn-instanceVPNBroute-distinguisher200:1vpn-targetbothinterfaceGigabitEthernet5/1/0descriptionTO_RTBipaddress10.10.3.2255.255.255.252mplsldpenableinterfaceLoopBack0ipaddress2.2.2.2255.255.255.255interfaceLoopBack1ipbindingvpn-instanceVPN_Aipaddress20.20.20.20255.255.255.255interfaceLoopBack2多角色主机解决方案文档密级：内部公开华为机密，未经许可不得扩散ipbindingvpn-instanceVPN_Bipaddress30.30.30.30255.255.255.255bgp100undosynchronizationp