MPLS_VPN高级部署和设计

1©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109MPLS-VPN的高级部署的高级部署的高级部署的高级部署III-2©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109PE11PE2MPLSBackbonePE12CE1SiteA171.68.2.0/24SiteBCE2RRMPLSVPNServices:1.负载均衡负载均衡负载均衡负载均衡VPN（（（（CE到两个到两个到两个到两个PE之间之间之间之间））））•VPN(suchasSiteA)会会会会multihomed（（（（连接多个连接多个连接多个连接多个PE，，，，可靠连接可靠连接可靠连接可靠连接））））•客户要求流量负载均衡客户要求流量负载均衡客户要求流量负载均衡客户要求流量负载均衡，，，，loadsharedRouteAdvertisementIII-3©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109MPLSVPNServices:1.负载均衡负载均衡负载均衡负载均衡:部署部署部署部署1.配置配置配置配置uniqueRDperVRFperPE2.在接收在接收在接收在接收PE上上上上，，，，打开打开打开打开BGPmultipath（（（（BGPVRFaddress-family））））PE11PE2MPLSBackbonePE12CE1SiteA171.68.2.0/24SiteBCE2RRipvrfgreenrd300:11route-targetboth1:11ipvrfgreenrd300:12route-targetboth1:11routerbgp1address-familyipv4vrfgreenmaximum-pathseibgp22ipvrfgreenrd300:13route-targetboth1:11III-4©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109PE11PE2MPLSBackbonePE12CE1SiteA171.68.2.0/24SiteBCE2RRMPLSVPNServices:1.负载均衡负载均衡负载均衡负载均衡VPN（（（（PE到两个到两个到两个到两个PE之间之间之间之间））））•PE双上联到骨干的其他双上联到骨干的其他双上联到骨干的其他双上联到骨干的其他PE•思科的思科的思科的思科的PE设备缺省可以支持设备缺省可以支持设备缺省可以支持设备缺省可以支持‘基于标记交换的负载均衡基于标记交换的负载均衡基于标记交换的负载均衡基于标记交换的负载均衡’。。。。RouteAdvertisementPEIII-5©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109HSRP的的的的MPLSVPN冗余配置冗余配置冗余配置冗余配置•参考参考参考参考HSRP的配置样本的配置样本的配置样本的配置样本III-6©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109MPLS-VPNServices:2.HubandSpoke业务方式业务方式业务方式业务方式•尽管尽管尽管尽管MPLSVPN’s的常用连接方式是的常用连接方式是的常用连接方式是的常用连接方式是any-to-any,i.e,full-mesh的方式的方式的方式的方式,HubandSpoke的业务方式也很容的业务方式也很容的业务方式也很容的业务方式也很容易实现易实现易实现易实现通过控制通过控制通过控制通过控制import和和和和exportRT值值值值来实现来实现来实现来实现III-7©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109routerbgpASNaddress-familyipv4vrfHUB-INneighborCEallowas-in2MPLS-VPNServices:2.HubandSpoke:配置配置配置配置PE-SAPE-HubMPLSVPNBackbonePE-SBCE-SACE-SBSpokeBSpokeA171.68.1.0/24171.68.2.0/24Eth0/0.2Eth0/0.1ipvrfgreen-spoke1descriptionVRFforSPOKEArd300:111route-targetexport1:1route-targetimport2:2ipvrfgreen-spoke2descriptionVRFforSPOKEBrd300:112route-targetexport1:1route-targetimport2:2ipvrfHUB-INdescriptionVRFfortraffictoHUBrd300:12route-targetexport2:2routerbgpASNaddress-familyipv4vrfHUB-OUTneighborCEas-overrideipvrfHUB-OUTdescriptionVRFfortrafficfromHUBrd300:11route-targetimport1:1III-8©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109MPLS-VPNServices:2.HubandSpoke:配置配置配置配置•BGP的邻接只需要的邻接只需要的邻接只需要的邻接只需要spoke和和和和HUB之间建立就可以之间建立就可以之间建立就可以之间建立就可以,•在在在在PE设备上需要配置设备上需要配置设备上需要配置设备上需要配置as-override和和和和allowas-inBGP属属属属性以防止路由的循环性以防止路由的循环性以防止路由的循环性以防止路由的循环•也可以在也可以在也可以在也可以在‘核心核心核心核心CE’设备上实现同样的效果设备上实现同样的效果设备上实现同样的效果设备上实现同样的效果*ConfigurationisshownonthepreviousslideIII-9©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109MPLS-VPNServices:2.HubandSpokeService:ControlPlane•所有所有所有所有spokesite之间的流量必须通过之间的流量必须通过之间的流量必须通过之间的流量必须通过hubsite，，，，Hubsite可以提供一些集中实现的服务可以提供一些集中实现的服务可以提供一些集中实现的服务可以提供一些集中实现的服务，，，，比如比如比如比如FireWall,NATlikeapplicationsPE-SAMPLSBackbonePE-SBCE-SACE-SBSpokeBSpokeAVRFHUB-INVRFHUB-OUTVRFHUB-OUTRTandLFIBDestinationNextHopLabel171.68.1.0/24PE-SA40171.68.2.0/24PE-SB50171.68.1.0/24PE-HubMP-iBGP171.68.2.0/24Label50Route-Target1:1MP-iBGP171.68.1.0/24Label40Route-Target1:1VRFRTandLFIBatPE-SA171.68.0.0/16PE-Hub35171.68.1.0/24CE-SAVRFRTandLFIBatPE-SB171.68.0.0/16PE-Hub35171.68.2.0/24CE-SB171.68.2.0/24VRFHUB-INRoutingTableDestinationNextHop171.68.0.0/16CE-H1MP-iBGP171.68.0.0/16Label35Route-Target2:2III-10©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109PE-SAPE-HubMPLSBackboneMPLS-VPNServices:2.HubandSpokeService:ForwardingPlanePE-SBCE-SACE-SBSpokeBSpokeAVRFHUB-INVRFHUB-OUT171.68.1.0/24171.68.2.0/24171.68.1.1L135171.68.1.1L240171.68.1.1171.68.1.1L1isthelabeltogettoPE-HubL2isthelabeltogettoPE-SAThisishowthespoke-to-spoketrafficflows-III-11©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109VPN_BSite#1180.1.0.0/163.MPLS-VPNServices:ExtranetVPN目标目标目标目标:只有只有只有只有VPN_Asite#1可以与可以与可以与可以与VPN_B互通互通互通互通171.68.0.0/16PE1PE2MPLSBackboneVPN_ASite#2SOPVPN_ASite#1ipvrfVPN_Ard3000:111exportmapVPN_A_ExportimportmapVPN_A_Importroute-targetimport3000:111route-targetexport3000:111route-targetimport3000:1!route-mapVPN_A_Exportpermit10matchipaddress1setextcommunityrt3000:2!route-mapVPN_A_Importpermit10matchipaddress2!access-list1permit171.68.0.00.0.0.0access-list2permit180.1.0.00.0.0.0ipvrfVPN_Brd3000:222exportmapVPN_B_ExportimportmapVPN_B_Importroute-targetimport3000:222route-targetexport3000:222route-targetimport3000:2!route-mapVPN_B_Exportpermit10matchipaddress2setextcommunityrt3000:1!route-mapVPN_B_Importpermit10matchipaddress1!access-list1permit171.68.0.00.0.0.0access-list2permit180.1.0.00.0.0.0192.6.0.0/16通过通过通过通过Export-maporimport-map对对对对RT的控制来实现的控制来实现的控制来实现的控制来实现III-12©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialRST-3109MPLSVPNService4.基于策略的基于策略的基于策略的基于策略的VRF-Selection•传统的传统的传统的传统的VRF是根据不同的是根据不同的是根据不同的是根据不同的interface来区分的来区分的来区分的来区分的•“VRF-selection”可以实现在同一个可以实现在同一个可以实现在同一个