mplsvpn多角色主机解决方案.docVIP

资料编码产品名称使用对象产品版本编写部门数据通信工程部资料版本V1.0多角色主机解决方案拟 制：欧阳忠华日 期：2004-03-31审 核：高永刚日 期：2004-04-02审 核：日 期：批 准：日 期：华 为 技 术 有 限 公 司版权所有 侵权必究多角色主机解决方案文档密级：内部公开修订记录日期修订版本描述作者多角色主机解决方案文档密级：内部公开目 录第一章概 述1一、MPLS VPN概述1二、多角色主机概念的提出1第二章 组网举例21、 组网简介21.1、组网图21.2、组网简介22、IP地址规划23、配置脚本（只列出MPLS VPN相关部分）33.1、RTA配置33.2、RTB配置53.3、观察结果7华为机密，未经许可不得扩散关键词：摘 要：缩略语清单：参考资料清单：第一章 概 述一、 MPLS VPN概述 虚拟私有网VPN（Virtual Private Network）是利用公共网络构建私有网络的一种技术，在公网上建立的VPN与私有网络一样具有安全性、可靠性和可管理性的特点。 多协议标签交换MPLS（Multiprotocol Label Switching）技术非常适合组建VPN。MPLS网络可以非常容易地实现基于IP技术的VPN业务，满足VPN可扩展性和管理的需求；可以在MPLS VPN上采取安全措施，为每个VPN配置了一些策略，规定一个VPN可以接收哪些Site来的路由信息，可以向外发布哪些Site的路由信息。通过策略保证不同的VPN之间不能建立IP互通，保障了VPN的安全性。利用MPLS构造的VPN，还提供了实现增值业务的可能；通过配置，可将单一接入点形成多种VPN，每种VPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。二、 多角色主机概念的提出 MPLS VPN的网络结构框架主要由CE、PE、P三部分构成，VPN是若干个Site的集合，Site通过Route target属性可以获得VPN的成员关系。在正常的流程中，从CE进入PE的报文的VPN属性由入接口绑定的VPN决定，这样就实质上决定了由同一个接口进入PE转发的的CE设备属于同一个VPN，但是实际组网中存在一个CE设备经过一个物理端口访问多个VPN的需求，例如用户的一台服务器既想让市场部访问，又想让技术支持访问，而市场部和技术支持属于两个VPN，这可以通过在一个物理接口上划分多个逻辑接口来实现，这会增加配置的复杂度，同时也有很大的局限性。我们可以采用多角色主机的方式解决，多角色主机是通过配置针对特定IP地址的策略路由来区分报文对不同VPN的访问，而从PE到CE的下行数据流，是通过静态路由来实现的，多角色主机情形下的静态路由跟普通的不一样，是通过一个VRF里面的静态路由可以指定其他VRF中的接口作为出接口来实现的，从而达到通过一个逻辑接口访问多个VPN的目的。从私网标签的分配上看，可以看到在每一个VPN中都为多角色主机路由分配了不同标签。第二章 组网举例1、 组网简介 1.1、组网图 1.2、组网简介两台路由器RTA、RTB作为PE路由器，PC1属于VPN_B，RTA、RTB的loopback1属于VPN_A，RTA、RTB的loopback2属于VPN_B，设置PC1为多角色主机，既能访问VPN_A，又能访问VPN_B，即实现PC1访问RTB的loopback1、loopback2。2、 IP地址规划本端设备IP地址对端设备IP地址备注RTA10.10.3.1/30RTB10.10.3.2/30设备互联RTA12.12.12.1/30PC112.12.12.2/30VPN_B Loopback0：RTA:1.1.1.1/32 RTB:2.2.2.2/32Loopback1：RTA:10.10.10.10/32（VPN_A） RTB:20.20.20.20/32（VPN_A）Loopback2：RTA:11.11.11.11/32（VPN_B） RTB:30.30.30.30/32（VPN_B）3、 配置脚本（只列出MPLS VPN相关部分）3.1、RTA配置 router id 1.1.1.1 mpls lsr-id 1.1.1.1 mpls ldp ip vpn-instance VPN_A /配置VPN实例 route-distinguisher 100:1 vpn-target 100:1 both ip vpn-instance VPN_B route-distinguisher 200:1 vpn-target 200:1 both interface GigabitEthernet4/1/0 description TO_PC1 ip binding vpn-instance VPN_B ip address 12.12.12.1 255.255.255.252 ip policy route-policy bbb /应用策略路由到接口，引导多角色主机的出口路由 interface GigabitEthernet5/1/0 description TO_RTB ip address 10.10.3.1 255.255.255.252 mpls ldp enable interface LoopBack0 ip address 1.1.1.1 255.255.255.255 interface LoopBack1 ip binding vpn-instance VPN_Aip address 10.10.10.10 255.255.255.255 interface LoopBack2 ip binding vpn-instance VPN_Bip address 11.11.11.11 255.255.255.255 acl number 100 rule 0 permit ip source 12.12.12.2 0 /设置acl，控制只有多角色主机才允许通过 bgp 100 undo synchronization peer 2.2.2.2 as-number 100 peer 2.2.2.2 connect-interface LoopBack0 ipv4-family vpn-instance VPN_A import-route static import-route direct undo synchronization ipv4-family vpn-instance VPN_B import-route static import-route direct undo synchronization ipv4-family vpnv4 peer 2.2.2.2 enable peer 2.2.2.2 next-hop-local ospf import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.10.3.0 0.0.0.3 route-policy bbb permit node 10 if-match acl 100 apply access-vpn vrf VPN_B VPN_A /配置策略路由，引导多角色主机的出口路由，使之能访问两个VPN ip route-static vpn-instance VPN_A 12.12.12.2 255.255.255.255 vpn-instance VPN_B 12.12.12.2 /配置多角色主机的回程路由 3.2、RTB配置router id 2.2.2.2 mpls lsr-id 2.2.2.2 mpls ldp ip vpn-instance VPNA /增加VPN实例 route-distinguisher 100:1 vpn-target bothip vpn-instance VPNB route-distinguisher 200:1 vpn-target both interface GigabitEthernet5/1/0 description TO_RTB ip address 10.10.3.2 255.255.255.252 mpls ldp enable interface LoopBack0 ip address 2.2.2.2 255.255.255.255 interface LoopBack1 ip binding vpn-instance VPN_Aip address 20.20.20.20 255.255.255.255 interface LoopBack2 ip binding vpn-instance VPN_Bip address 30.30.30.30 255.255.255.255 bgp 100 undo synchronization peer 1.1.1.1 as-number 100 peer 1.1.1.1 connect-interface LoopBack0 ipv4-family vpn-instance VPNA import-route direct import-route static undo synchronization ipv4-family vpn-instance VPNB import-route direct import-route static undo synchronization ipv4-family vpnv4 peer 1.1.1.1 enable peer 1.1.1.1 next-hop-local ospf import-route direct area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 10.10.3.0 0.0.0.3 3.3、观察结果从PC1能够ping通RTB的loopback1和loopback2查看RTA的路由标签分配：dis bgp vpn all rout Flags: # - valid - active I - internal D - damped H - history S - aggregate suppressed In/out As Dest/mask Next-hop Med Local-pref label path - Route Distinguisher:100:1 Local vpn-instance:VPNA # 10.10.10.10/32 0.0.0.0 16/0 # 12.12.12.2/32 0.0.0.0 19/0 #I 20.20.20.20/32 2.2.2.2 100 0/16 Route Distinguisher:200:1 Local vpn-instance:VPNB # 11.11.11.11/32 0.0.0.0 17/0 # 12.12.12.0/30 0.0.0.0 18/0 #I 30.30.30.30/32 2.2.2.2 100 0/17 查看RTB的路由标签分配：disp bgp vpn all rout Flags: # - valid - active I - internal D - damped H - history S - aggregate suppressed In/out As Dest/mask Next-hop Med Local-pref label path - Route Distinguisher:100:1 (VPN insta