开展VPN服务的几种方式

安徽中科大讯飞信息科技公司这种方式的VPN业务，企业网的VPN网关可以放置在城域网上，以便充分发挥城域网带宽高的优势。实现这种方式的VPN并不需要在城域网上进行特别的设置。在使用时VPN网关就像普通的网络节点一样。3.2VLAN业务对象是单个城市内的高速局域网互连用户。跟VLAN业务相关的是城域网上的交换机。用户可以通过城域网作为传输平台，将两个或多个局域网高速的连接起来。VLAN业务的网络用户要求必须都连接在同一个城市内的城域网上，具体的可以分为两类：1.同一个交换机下的VLAN业务这种方式最简单，对于连接在Cisco6509交换机上的用户，只要如下设置就可以了：#仓I」建一个VLAN，编号是VLAN_NUMBER，名字是VLAN_NAMEsetvlanVLAN_NUMBERnameVLAN_NAME#依次将属于该VLAN的端口加入VLANsetvlanVLAN_NUMBERMOD1/PORT1setvlanVLAN_NUMBERMOD1/PORT1对于连接在Summit48i交换机上的用户，只要如下设置就可以了：#创建一个VLAN，名字是VLAN_NAMEcreatevlanVLAN_NAME#依次将属于该VLAN的端口加入VLANconfigVLAN_NAMEaddportport1untaggedconfigVLAN_NAMEaddportport2untagged2.不同交换机下的VLAN业务这种方式稍微复杂，除了对Cisco6509交换机设置外，如果用户还连接到了Summit48i交换机上，还要对Summit48i交换机进行设置：对6509－2进行如下设置：#仓I」建一个VLAN，编号是VLAN_NUMBER，名字是VLAN_NAMEsetvlanVLAN_NUMBERnameVLAN_NAMEsettrunkMOD/PORT_to_6509-3desirableislVLAN_NUMBER#如果用户直接连接到6509－2上，需要如下设置，否则不要setvlanVLAN_NUMBEMOD1/PORT1#如果用户有连接到Summit48i上，需要如下设置，否则不要settrunkMOD/PORT_to_Summit48iondot1QVLAN_NUMBER对6509－3进行如下设置：settrunkMOD/PORT_to_6509-2desirableislVLAN_NUMBER#如果用户直接连接到6509－3上，需要如下设置，否则不要setvlanVLAN_NUMBEMOD1/PORT1#如果用户有连接到Summit48i上，需要如下设置，否则不要settrunkMOD/PORT_to_Summit48iondot1QVLAN_NUMBER如果用户连接到了Summit48i上，需要如下设置：createvlanVLAN_NAMEtagVLAN_NUMBERconfigVLAN_NAMEaddport49taggedconfigVLAN_NAMEaddport50tagged#依次将属于该VLAN的端口加入VLANconfigVLAN_NAMEaddportport1untaggedconfigVLAN_NAMEaddportport2untaggedLAN-LANMPLSVPN业务如果稍微对主干的GSR设备进行设置，让其支持MPLS协议。并在接入层增加支持MPLSVPN的PE路由器，就可以开展VPN业务。在使用时，VPN数据在一个地市的城域网内部通过VLAN接入到PE路由器，然后通过163主干传输到另一个地市的城域网。1.主干路由器（P路由器）的设置主干路由器必须要设置成支持MPLS工作方式。由于现有的主干路由器已经设置好了OSPF路由协议，因此设置相对比较简单：全局配置模式下使用命令：ipcef（如果系统支持，最好使用ipcefdistributed以达到最高性能）依次对互连接口，在接口配置子模式下使用命令：mplsip(或在旧的IOS中使用tag-switchingip)使能各个接口的MPLS协议例如：系统中有接口POS3/0POS4/0，只要输入如下命令：conftipcefdistributedintPOS3/0mplsipintPOS4/0mplsip2.边界路由器(PE路由器)的设置PE路由器是ISP对外提供服务的边界，VPN就终结到这里。连接PE的客户的CE路由器只要使用普通的路由器就可以了，并不需要支持MPLS功能°MPLSVPN中PE路由器的设置稍微复杂。对PE路由器的配置有如下步骤：确保PE路由器已经象P路由器那样设置了OSPF、ipcef(或ipcefdistributed)、各个互连接口使用了mplsip(或tag-switchingip)。对跟该PE路由器直接相连的每个VPN创建VRF(VPNRoutingandForwardingInstance),每个VRF由唯一的RouteDistinguisher识另U。命令格式为：ipvrfVRF名字rdRD标识route-target[export|import|both]VPNextendedcommunity一般情况下,VRF名字是VPN的名字,RD标识唯一识别了该VPN,VPNextendedcommunity跟RD标识一致，是BGP协议交换VPN信息的community。对连接到CE的接口，使用如下命令将该接口分配到一个VPN中：ipvrfforwardingVRF名字其中VRF名字是前面定义的。然后还要设置仅对该VPN可见的IP地址。必要的话，设置各个VPN的路由协议。可以使用静态路由，也可以使用RIPv2、OSPF、BGP等动态路由协议。配置MP-BGP。为了提高系统的扩展性，可以象普通的BGP4一样设置routereflector。这里以最简单的例子说明。配置MP-BGP有以下几步：声明各个BGP邻居。一般来说，MPLSVPN中的BGP连接都是IBGP，IBGP需要全连接，因此最好配置routereflector，关于routereflector的配置跟普通的BGP4一样。

7.对跟该PE路由器直接相连的每个VPN配置BGP协议，这一步可以包括路由信息的重分布，必要的话包括激活跟CE路由器的BGP连接。命令格式为address-familyipv4rvfVRF名字exit-address-family8.激活vpnv4的BGP，这一步包括激活BGP邻居、指明必须使用扩展community。命令格式为：address-familyvpnv4exit-address-family以上图为例，如果VPNA的RD为100:100,VPNB的RD为100:200。RouterA的配置如下：hostnameRouterA!ipcef!ipvrfVPN_Ard100:100route-targetboth100:100ipvrfVPN_Brd100:200route-targetboth100:200!!interfaceLoopback0ipaddress10.10.10.4255.255.255.255!interfacefastethernet0ipvrfforwardingVPN_Aipaddress200.0.4.1255.255.255.0noipdirected-broadcast!interfacefastethernet1ipvrfforwardingVPN_Bipaddress200.0.4.1255.255.255.0noipdirected-broadcast!interfacefastethernet2descriptionlinktoMPLScoreipaddress10.1.1.14255.255.255.252noipdirected-broadcasttag-switchingip!routerospf100network0.0.0.0255.255.255.255area0!routerbgp100bgplog-neighbor-changesneighbor10.10.10.6remote-as100neighbor10.10.10.6update-sourceLoopback0!address-familyvpnv4neighbor10.10.10.6activateneighbor10.10.10.6send-communitybothexit-address-family!address-familyipv4vrfVPN_Bredistributeconnectednoauto-summarynosynchronizationexit-address-family!address-familyipv4vrfVPN_Aredistributeconnectednoauto-summarynosynchronizationexit-address-family!ipclassless!endRouterB的配置如下：hostnameRouterB!ipcef!ipvrfVPN_Ard100:100route-targetboth100:100!ipvrfVPN_Brd100:200route-targetboth100:200!!interfaceLoopback0ipaddress10.10.10.6255.255.255.255!interfacefastethernet0ipvrfforwardingVPN_Aipaddress200.0.6.1255.255.255.0noipdirected-broadcast!interfacefastethernet1ipvrfforwardingVPN_Bipaddress200.0.6.1255.255.255.0noipdirected-broadcast!interfacefastethernet2descriptionlinktoMPLScoreipaddress10.1.1.22255.255.255.252noipdirected-broadcasttag-switchingip!routerospf100network0.0.0.0255.255.255.255area0!routerbgp100bgplog-neighbor-changesneighbor10.10.10.4remote-as100neighbor10.10.10.4update-sourceLoopback0!address-familyvpnv4neighbor10.10.10.4activateneighbor10.10.10.4send-communitybothexit-address-family!address-familyipv4vrfVPN_Bredistributeconnectednoauto-summarynosynchronizationexit-address-family!address-familyipv4vrfVPN_Aredistributeconnectednoauto-summarynosynchronizationexit-address-family!ipclassless!endLAN-LANIPSecVPN业务对象是省内的局域网互连用户，isp仅仅提供高速的ip传输通道。城域网中不需要进行特别的设置，仅仅把用户当作普通用户就可以了。用户端需要VPN设备，如VPN网关、支持VPN的路由器等。四、VPN业务展望由于Internet最初的设计不保证网络服务质量QoS,所以现