BGP/MPLS IP VPN的应用比较广泛,也对应有多种不同的组网结构,本节介绍一些典型组网结构供大家在实际部署中应用。
1、Intranet VPN
典型情况下,一个VPN中的用户相互之间能够进行流量转发,但VPN中的用户不能与任何本VPN以外的用户通信。这种组网方式的VPN叫做Intranet VPN,其站点通常是属于同一个组织。
对于这种组网,需要为每个VPN分配一个VPN Target,同时作为该VPN的Export Target和Import Target,并且各VPN的VPN Target唯一。
如图1-1所示, PE上为VPN1分配的VPN Target值为100:1,为VPN2分配的VPN Target值为200:1. VPN1的两个Site之间可以互访, VPN2的两个Site之间也可以互访,但VPN1和VPN2的Site之间不能互访。
图1-1 Intranet VPN组网结构示意
2、Extranet VPN
如果一个VPN用户希望访问其他VPN中的某些站点,可以使用Extranet组网方案。对于这种组网,如果某个VPN需要访问共享站点,则该VPN的ExportTarget必须包含在共享站点的VPN实例的Import Target中,其Import Target必须 包含在共享站点VPN实例的Export Target中。在这种情形下,不同VPN实例的VPN Target没有唯一性要求。
如图1-2所示,VPN1的Site3能够同时被VPN1和VPN2访问,因为Site3所连接的PE3的Import Target同时包含了VPN1的PE1中的Export Target 100:1和VPN2的 PE2中的Export Target 200:1。
图1-2 Extranet组网示意
另外, Site3也可同时访问VPN1的Site1和VPN2的Site2,因为Site3所连接的PE3的Export Target同时包含了VPN1的PE1中的Import Target 100:1和VPN2的PE2中的Import Target 200:1,但VPN1的Site1和VPN2的Site1之间不能够互访,因为他们中一端的Export Target与另一端的Import Target没有任何包含关系。
这样一来, PE3能够同时接收PE1和PE2发布的VPN—IPv4路由; PE3发布的VPN—IPv4路由也能够同时被PE1和PE2接收。但PE3不把从PE1接收的VPN—IPV4路由发布给PE2,也不把从PE2接收的VPN—IPv4路由发布给PE1
3、 Hub and Spoke
如果希望在VPN中设置中心访问控制设备,其他用户的互访都通过中心访问控制设备进行,可以使用Hub and Spoke组网方案。其中,中心访问控制设备所在站点称为Hub站点,其他用户站点称为Spoke站点。Hub站点侧接入VPN骨干网的设备叫Hub-CE, Spoke站点侧接入VPN骨干网的设备叫Spoke-CE.VPN骨干网侧 接入Hub站点的设备叫Hub-PE,接入Spoke站点的设备叫Spoke-PE, Spoke站点 需要把路由发布给Hub站点,再通过Hub站点发布给其他Spoke站点。Spoke站点之间不直接发布路由。Hub站点对Spoke站点之间的通讯进行集中控制。
对于这种组网情况,需要在各PE上设置两个VPN Target,一个表示“Hub”,另一个表示“Spoke”,如图1-3所示。各PE上的VPN实例的VPN Target设置规则如下。”
.Spoke-PE: Export Target为"Spoke" (代表VPN路由从Spoke发出) , Import Target为"Hub" (代表VPN路由来自Hub) 。任意Spoke-PE的Import Route Target属性不与其他Spoke-PE的Export Route Target属性相同,其目的是 使任意两个Spoke—PE之间不直接发布VPN路由,不让这些Spoke间直接互通
Hub—PE: Hub—PE上需要使用两个接口或子接口分别属于不同的VPN实例,一个用于接收Spoke—PE发来的路由,其VPN实例的Import Target为“Spoke”(代表VPN路由来自Spoke) ;另一个用于向Spoke—PE发布路由,其VPN实例的Export Target为“Hub” (代表VPN路由从Hub发出) 。
图1-3 Hub&Spoke组网结构示意
在Hub—and—Spoke组网方案中,最终实现的结果如下。.Hub—PE能够接收所有Spoke—PE发布的VPN—IPv4路由。.Hub—PE发布的VPN—IPV4路由能够为所有Spoke—PE接收。
Hub—PE将从Spoke—PE学到的路由发布给Hub—CE,并将从Hub—CE学到的路由发布给所有Spoke—PE,因此, Spoke站点之间可以通过Hub站点互访。
任意Spoke—PE的Import Target属性不与其他Spoke—PE的Export Target属性相同。因此,任意两个Spoke—PE之间不直接发布VPN—IPv4路由, Spoke站点之间不能直接互访。
下面以图1-3中的Site1向Site2发布路由为例介绍Spoke站点之间的路由发布过程(步骤对应图中的序号) 。
(1) Site1中的Spoke—CE1将站点内的私网路由发布给Spoke—PE 10
(2) Spoke-PE 1将该路由转变为VPN-IPv4路由后通过MP-BGP发布给Hub-PE
(3) Hub—PE将该路由学习到VPN 1-in的路由表中,并将其转变为普通IPv4路由发布给Hub—CE.
(4) Hub—CE通过VPN实例路由再将该路由返回发布给Hub—PE, Hub—PE将其学习到VPN1-out的路由表中。
(5) Hub—PE将VPN 1-out路由表中的私网路由转变为VPN—IPv4路由,通过MP-BGP发布给Spoke-PE2
(6) Spoke—PE 2将VPN—IPV4路由转变为普通IPv4路由发布到站点24,本地VPN互访
因业务需求,连接在同一个PE设备上不同VPN的Site站点需要进行数据互通时,可以采用本地VPN互访组网方案。目前只有s系列交换机部分机型支持,具体参见产品手册说明。
通过VPN Target属性来控制VPN路由信息在各site之间的发布和接收,可以实现本地VPN互访需求。一般来说,每个VPN都各自规划了属于自己的VPNTarget属性。如图1-4的组网为例进行介绍。
假设最初图1-4中VPNA的Import Target和 Export Target都为100:1,VPNB 的Import Target和Export Target都为200:1。如果需要VPNA用户和VPNB用户实 现互通,可以配置本地VPN互访,将VPNA的Import Target属性增加一条200:1,VPNB的Import Target属性增加一条100:1。这样,VPNA和VPNB的用户就可以互 相访问了。
以上就是BGP/MPLS IP VPN典型组网结构的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望Vecloud的专业的解决方案,可以解决你目前遇到的问题。Vecloud提供全球主机托管、服务器租用、MPLS专线接入、SD-WAN组网等方面的专业服务,资源覆盖全球。欢迎咨询。