SD-WAN
集团多分支节点智能化组网
发布时间:2022-01-14 13:00:18 作者:华为阅读:0
BGP/MPLS IP VPN的应用比较广泛,而且针对不同的应用需求和应用场景,又出现许多不同的组网方式。但总体来说, BGP/MPLS IP VPN的应用主要体现在:基本的BGP/MPLS IP VPN的组网应用、Hub and Spoke组网应用,以及VPN与Internet互联这三个方面。本节会做具体介绍。
1、基本的BGP/MPLS IP VPN应用
基本的BGP/MPLS IP VPN组网应用主要用于企业用户通过运营商的MPLS/IP骨干网连接两个IP Site。如图1-1所示为此类应用的典型组网, Site1和Site2代表处于不同城市的用户网络,这两个网络可能属于同一家企业的不同分公司,或者属于两个城市各自政府部门的网络。
图1-1 BGP/MPLS IP VPN的组网应用示例
如果这样两个网络之间要相互通信,必须满足安全性的要求,不仅Site的网络需要与其他网络隔离,还要报文在运营商骨干网传输过程中也要对骨干网透明。此时可以使用BGP/MPLS IP VPN技术达到这个目的,即通过MP-BGP协议分发私网标签使报文到达对端PE时能进入正确的VPN Site,使用MPLS协议通过隧道在骨干网上透传报文,实现数据传输的安全性。
为了实现Site1和Site2相互通信,则需要依靠运营商骨干网的PE和P设备为Site1和Site2传输路由和报文。CE是用户网络边缘设备,PE是运营商网络的边缘设备,P是运营商网络中的骨干设备,多数情况下的CE与PE组成CE双归属网络,以保证网络的高可用性。有时运营商还会在网络中部署路由反射器(RR)实现对VPNv4/v6路由进行反射。
在BGP/MPLS IP VPN组网中需要进行如下部署。
CE与PE之间需要实现路由信息交换,所以要根据实际需要部署静态路由、RIP, OSPF, IS-IS或BGP路由协议。
所有PE分别与RR1和RR2建立MP-BGP邻居关系,然后RR1和RR2指定所有PE作为客户机, RR1和RR2互为备份,以保证网络的可靠性。
PE和P上配置IGP和MPLS,建立MPLS隧道用于流量转发。调整链路间的IGP cost值,实现如下目的。
确保CE1通往CE2的链路形成主备关系,即确保网络中一条链路故障,网络可以及时调整切换到其他链路。
量转发。
调整RR与骨干网相连的链路的cost值,确保RR只用于路由反射,不进行流
对于实时性要求较高的业务,可以配置VPN FRR功能,提高网络可靠性。2. Hub and Spoke的组网应用
对于银行等金融企业,为了有效地保证了金融数据的安全,可以通过部署Hub and Spoke组网,使所有支行间必须通过总行才能进行数据交换,从而使支行间的数据传输得到有效监控。
在Hub and Spoke组网中,总行的中心访问控制设备所在站点称为Hub站点,其他支行的站点称为Spoke站点。Hub站点侧接入VPN骨干网的设备叫Hub-CE;Spoke站点侧接入VPN骨干网的设备叫Spoke-CE, VPN骨干网侧接入Hub站点的设备叫Hub-PE,接入Spoke站点的设备叫Spoke-PE
Spoke站点需要把路由发布给Hub站点,再通过Hub站点发布给其他Spoke站点。Spoke站点之间不直接发布路由。Hub站点对Spoke站点之间的通讯进行集中控制。
Hub and Spoke有以下组网方案。
Hub-CE与Hub-PE, Spoke-PE与Spoke-CE使用EBGP,即使用BGP路由。
Hub-CE与Hub-PE, Spoke-PE与Spoke-CE使用IGP。这时原IGP可以是多种方式了,如静态路由、RIP路由、OSPF路由和IS-IS路由。
Hub-CE与Hub-PE使用EBGP, Spoke-PE与Spoke-CE使用IGP.下面详细介绍这几种组网方案。
(1) Hub-CE与Hub-PE间, Spoke-PE与Spoke-CE间使用EBGP
如图1-2所示的Hub-and-Spoke中,来自Spoke-CE的路由需要在Hub-CE和Hub-PE上往返一圈再发给其他Spoke-PE。如果Hub-PE与Hub-CE之间使用EBGP, Hub-PE会对该路由进行AS-Loop (AS环路)检查,这样缺省情况下Hub-PE发现返回的路由已包含自己的AS号会直接丢弃的。所以,如果Hub-PE与Hub-CE之间使用EBGP,为了实现Hub-and-Spoke,在Hub-PE上必须手工配置允许返回的路由信息中包括本地AS编号。
图1-2 Hub-CE与Hub-PE, Spoke-PE与Spoke-CE使用EBGP组网示意
Hub-CE与Hub-PE间, Spoke-PE与Spoke-CE间使用IGP
如图1-3所示,由于所有的PE—CE之间都使用IGP交换路由信息, IGP路由不携带AS—PATH属性,所以BGP VPNv4路由的AS—PATH都为空,这时就不会出现返回路由被丢弃的现象。其他与Hub-CE与Hub-PE, Spoke-PE与Spoke-CE使用EBGP组网方案一样。
图1-3 Hub-CE与Hub-PE, Spoke-PE与Spoke-CE使用GP组网示意(3) Hub-CE与Hub-PE间使用EBGP, Spoke-PE与Spoke-CE间使用IGP
如图1-4所示,与图1-2组网的实现类似, Hub-PE从Hub-CE接收来自Spoke-CE的路由的AS—PATH属性已包含该Hub-PE所在AS的编号。因此,也必须在Hub-PE上手工配置允许返回的路由信息中包括本地AS编号。
3. VPN与Internet互联
般VPN内的用户只能相互通信,不能与Internet用户通信,也不能接入Internet.但VPN的各个Site可能有访问Internet的需要。为了实现VPN与Internet互联,需要满足以下条件。
要访问Internet的用户设备必须有到达Internet目的地址的路由。
有从Internet返回的路由。
图1-4 Hub-CE与Hub-PE使用EBGP, Spoke-PE与Spoke-CE使用IGP组网示意防火墙)。
与非VPN用户与Internet互联方式相同,必须采用一定的安全机制(如使用要达到同时访问Internet的目的,有以下三种实现方法。
在骨干网边缘设备PE侧实现。该PE负责区别两种不同的数据流,并分别转发至VPN及Internet。同时,在VPN与Internet两个域之间提供防火墙功能。
—在Internet网关侧实现。这里的Internet网关是指接入Internet的运营商设备,必须具备VPN路由管理功能。例如: Internet网关可以是不接入任何VPN用户的PE设备。
在用户侧实现。此时, 由私网边缘设备CE区分两种不同的数据流,并分别引到两个不同的域:一个通过PE边缘设备接入VPN,一个通过不包含在VPN内的ISP设备接入Internet。同时, CE设备提供防火墙功能。
下面分别简单介绍这三种实现方法的基本部署。
(1)在骨干网边缘设备PE侧实现
在PE侧实现VPN与Internet互联的典型网络结构如图1-5所示,一般采用静态缺省路由的方式来实现,具体如下。
图1-5 PE侧实现VPN与Internet互联的典型网络结构
PE设备向CE发出一条去往Internet的缺省路由。
在VPN实例路由表添加一条缺省路由,指向Internet网关。
要实现从Internet返回的路由,则需要将去往CE接口的静态路由加入到公网路由表中,并发布到Internet。这可以通过在PE公网路由表中添加一条静态路由来实现,其目的地址为VPN用户地址,出接口为PE上连接CE侧的接口;并将该路由通过IGP发布到Internet上。
(2)在Internet网关侧实现
在Internet网关侧实现与Internet互联的典型网络结构如图1-6所示。具体方法是在Internet网关上为每个VPN配置一个VPN实例,且使用单独的接口接入Internet,在该接口上关联VPN实例,就像接入CE设备一样。
图1-6 在Internet网关侧实现与Internet互联的典型网络结构
(3)在用户侧实现
在用户侧实现与Internet互联有两种方法。
直接将CE接入Internet,如图1-7所示。直接将CE接入Internet又可分为两种方式:
将用户其中一个站点(如中心站点)接入Internet。在中心站点的CE上配置到Internet的缺省路由;然后使用VPN骨干网将该缺省路由发布给其他站点。只在中心站点部署防火墙。这种方式中,除中心站点的用户外,其他用户访问Internet的流量都经过VPN骨干网。典型的应用是在Hub-and-Spoke组网中,将Hub站点接AInternet
将每个用户站点单独接入Internet,即每个站点的CE都配置到Internet的缺省路由。在每个站点都部署防火墙进行安全保护。所有用户访问Internet的流量都不需要经过VPN骨干网。
图1-7 直接将CE接入Internet实现VPN与Internet互联的典型网络结构
使用单独的接口或子接口接入PE,由PE将CE上的路由注入到公网路由表中,并发布到Internet,并将缺省路由或者Internet路由发布到CE。此时这个接口不属于任何VPN,即不关联任何VPN实例。也就是说,该用户既以VPN用户的角色接入PE,又以普通非VPN用户接入PE,如图1-8所示。
图1-8 使用独立接口接入PE实现VPN与Internet互联的典型网络结构
建议在接入Internet的VPN骨干网设备与接入CE的PE之间建立隧道,使Internet路由通过隧道传递, P节点不接收Internet路由。
以上介绍的三种与Internet互联的方法中,采用在PE侧实现时的优点是,与VPN接入使用同一个接口,节约接口资源,并且不同的VPN可以共享一个公网IP地址;缺点是在PE上实现复杂,且存在安全隐患: PE设备可能受到Internet的Dos (Denial of Service)攻击,来自Internet的恶意的大流量攻击会使得PE-CE 链路饱和,从而使得正常的VPN数据包无法传输。
采用在Internet网关处实现时的优点是,比在PE侧实现安全性高,但Internet网关要创建多个VPN实例,负担重。且Internet网关要使用多个接口接入Internet,每个接口占用一个公网IP地址,每个VPN使用一个接口和一个公网IP地址。
采用在用户侧实现时的优点是,实现方法简单,公网和私网路由隔离,安全可靠;缺点是需使用单独的接口,占用接口资源,并且每个VPN都需要单独使用一个公网IP地址。表1-2是以上三种方法的综合比较
表12"三种VPN与Internet联的实现方法比较
以上就是BGP/MPLS IP VPN主要应用的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望VeCloud的专业的解决方案,可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、MPLS专线接入、SD-WAN组网等方面的专业服务,资源覆盖全球。欢迎咨询。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
标题:BGP/MPLS IP主要应用
地址:https://www.kd010.com/hyzs/588.html
全天服务支持
资源覆盖全球
专属优质服务
技术全线支持