- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-MCE配置
本章节下载: 01-MCE配置 (453.13 KB)
目 录
MCE(Multi-VPN-Instance Customer Edge,多VPN实例用户网络边界设备)特性用于MPLS L3VPN网络。它通过路由隔离实现业务隔离的组网方案,在允许多个VPN共享CE的同时,提供用户数据的安全性。
MPLS L3VPN是一种三层VPN技术,它使用BGP在服务提供商骨干网上发布用户站点的私网路由,使用MPLS在服务提供商骨干网上转发用户站点之间的私网报文,从而实现通过服务提供商的骨干网连接属于同一个VPN、位于不同地理位置的用户站点。
传统的MPLS L3VPN架构要求每个用户站点单独使用一个CE与PE相连。随着用户业务的不断细化和安全需求的提高,一个私有网络内的用户可能需要划分成多个VPN,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置一台CE将加大用户的设备开支和维护成本;而多个VPN共用一台CE,使用同一个路由表项,又无法保证数据的安全性。
MCE功能通过在CE设备上建立VPN实例,为不同的VPN提供逻辑独立的路由转发表和地址空间,使多个VPN可以共享一个CE。该CE设备称为MCE设备。MCE功能有效地解决了多VPN网络带来的用户数据安全与网络成本之间的矛盾。
MPLS L3VPN的基本网络架构如图1-1所示。MPLS L3VPN网络中设备的角色分为以下几种:
· CE(Customer Edge,用户网络边缘)设备:直接与服务提供商网络相连的用户网络侧设备。CE“感知”不到VPN的存在,也不需要支持MPLS。
· PE(Provider Edge,服务提供商网络边缘)设备:与CE相连的服务提供商网络侧设备。在MPLS L3VPN网络中,对VPN的所有处理都发生在PE上。
· P(Provider,服务提供商网络)设备:服务提供商网络中的骨干设备,不与CE直接相连。P只需要在骨干网中将用户网络报文转发给正确的远端PE,不需要维护和处理VPN信息。
图1-1 MPLS L3VPN基本网络架构
Site(站点)的含义可以从下述几个方面理解:
· 站点是指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过服务提供商网络实现;
· 站点的划分是根据设备的拓扑关系,而不是地理位置,尽管在大多数情况下一个站点中的设备地理位置相邻;
· 一个站点中的设备可以属于多个VPN,换言之,一个站点可以属于多个VPN;
· 站点通过CE连接到服务提供商网络,一个站点可以包含多个CE,但一个CE只属于一个站点。
对于多个连接到同一服务提供商网络的站点,通过制定策略,可以将它们划分为不同的集合(set),只有属于相同集合的站点之间才能通过服务提供商网络互访,这种集合就是VPN。
在MPLS L3VPN中,不同VPN之间的路由隔离通过VPN实例(VPN-instance)实现,VPN实例又称为VRF(Virtual Routing and Forwarding,虚拟路由和转发)实例。PE上每个VPN实例都有相对独立的路由表和LFIB(Label Forwarding Information Base,标签转发信息库),确保VPN数据的独立性和安全性。
PE通过将与站点连接的接口与VPN实例关联,实现该站点与VPN实例的关联。一个站点只能与一个VPN实例关联;不同的站点可以关联同一个VPN实例。VPN实例中包含了与其关联的站点所属的所有VPN的成员关系和路由规则等信息。
VPN实例中的信息包括:LFIB、IP路由表、与VPN实例关联的接口以及VPN实例的管理信息。VPN实例的管理信息包括RD(Route Distinguisher,路由标识符)、VPN Target属性、路由过滤策略等。
VPN是一种私有网络,不同的VPN独立管理自己使用的地址范围,也称为地址空间(Address Space)。不同VPN的地址空间可能会在一定范围内重合,比如,VPN 1和VPN 2都使用了10.110.10.0/24网段的地址,这就发生了地址空间重叠(Overlapping Address Spaces)。
MPLS L3VPN使用VPN-IPv4地址(又称为VPNv4地址)来解决上述问题。
图1-2 VPN-IPv4地址结构
如图1-2所示,VPN-IPv4地址共有12个字节,包括8字节的RD和4字节的IPv4地址前缀。其中,RD的作用是将其添加到一个IPv4地址前缀前,使之成为全局唯一的VPN-IPv4地址前缀。
RD有三种格式,通过2字节的Type字段区分:
· Type为0时,Administrator子字段占2字节,Assigned number子字段占4字节,格式为:16位自治系统号:32位用户自定义数字,例如:100:1。
· Type为1时,Administrator子字段占4字节,Assigned number子字段占2字节,格式为:32位IPv4地址:16位用户自定义数字,例如:172.1.1.1:1。
· Type为2时,Administrator子字段占4字节,Assigned number子字段占2字节,格式为:32位自治系统号:16位用户自定义数字,其中的自治系统号最小值为65536,例如:65536:1。
为了保证VPN-IPv4地址全球唯一,建议不要将Administrator子字段的值设置为私有AS号或私有IP地址。
MPLS L3VPN使用BGP扩展团体属性——VPN Target(也称为Route Target)来控制VPN路由信息的发布。
VPN Target属性分为如下两类:
· Export Target属性:本地PE从与自己直接相连的站点学习到IPv4路由后,将其转换为VPN-IPv4路由,为VPN-IPv4路由设置Export Target属性并发布给其它PE。
· Import Target属性:PE在接收到其它PE发布的VPN-IPv4路由时,检查其Export Target属性。只有当此属性与PE上某个VPN实例的Import Target属性匹配时,才把路由加入到该VPN实例的路由表中。
VPN Target属性定义了一条VPN-IPv4路由可以为哪些站点所接收,PE可以接收哪些站点发送来的路由。
与RD类似,VPN Target也有三种格式:
· 16位自治系统号:32位用户自定义数字,例如:100:1。
· 32位IPv4地址:16位用户自定义数字,例如:172.1.1.1:1。
· 32位自治系统号:16位用户自定义数字,其中的自治系统号最小值为65536,例如:65536:1。
如图1-3所示,MCE组网的关键是在MCE与用户站点之间、MCE与PE之间交互私网路由,并将其正确学习到相应VPN实例的路由表中。其他处理与传统的MPLS L3VPN相同,此处不再赘述。
· MCE与用户站点之间的私网路由交互:在MCE设备上为VPN 1和VPN 2创建VPN实例,并使用Vlan-interface2接口与VPN 1进行绑定、Vlan-interface3接口与VPN 2进行绑定。在接收路由信息时,MCE设备根据路由的接收接口,即可判断该路由信息的来源,并将其维护到对应VPN实例的路由表中。
· MCE与PE之间的私网路由交互:MCE与PE 1之间通过Trunk链路连接,并允许VLAN 2和VLAN 3的报文携带VLAN Tag传输。在PE 1上为VPN 1和VPN 2创建VPN实例,并将连接MCE的VLAN接口(Vlan-interface2接口和Vlan-interface3接口)与VPN实例绑定,绑定的方式与MCE设备一致。从而,使得MCE与PE之间交互的私网路由可以准确地学习到对应VPN实例的路由表中。
MCE与VPN站点之间、MCE与PE之间可以使用静态路由、RIP交换路由信息。
图1-3 MCE工作原理示意图
MCE设备上可以配置DHCP服务器或DHCP中继功能,实现为私网内的DHCP客户端动态分配IP地址。MCE作为DHCP服务器时,不同私网的IP地址空间不能重叠。
在MCE组网方案中,路由计算时需要关闭MCE上的路由环路检测功能,防止路由丢失;同时禁止各路由协议互操作功能,以节省系统资源。
MCE配置任务如下:
(1) 配置VPN实例
配置VPN实例的操作是在PE和MCE设备上进行的。
a. 创建VPN实例
c. (可选)配置VPN实例的路由相关属性
(2) 配置MCE与站点之间的路由交换
(3) 配置MCE与PE之间的路由交换
VPN实例在实现中与站点关联。VPN实例不是直接对应于VPN,一个VPN实例综合了和它所对应站点的VPN成员关系和路由规则。
(1) 进入系统视图。
system-view
(2) 创建VPN实例,并进入VPN实例视图。
ip vpn-instance vpn-instance-name
(3) 配置VPN实例的RD。
route-distinguisher route-distinguisher
缺省情况下,未配置VPN实例的RD。
(4) (可选)配置VPN实例的描述信息。
description text
缺省情况下,未配置VPN实例的描述信息。
(5) (可选)配置VPN实例的ID。
vpn-id vpn-id
缺省情况下,未配置VPN实例的ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
本接口为连接CE的接口。
(3) 配置接口与指定VPN实例关联。
ip binding vpn-instance vpn-instance-name
缺省情况下,接口未关联VPN实例,接口属于公网。
配置或取消接口与VPN实例关联后,该接口上的IP地址、路由协议等配置将被删除。
执行本命令将删除接口上已经配置的IP地址,因此需要重新配置接口的IP地址。
IPv4 VPN的路由相关属性既可以在VPN实例视图下,也可以在VPN实例IPv4地址族视图下配置。如果同时在两个视图下配置了路由相关属性,则IPv4 VPN采用VPN实例IPv4地址族视图下配置的路由相关属性。
配置VPN实例路由策略属性时,需要创建路由策略。路由策略的详细介绍,请参见“三层技术-IP路由配置指导”中的“路由策略”。
(1) 进入系统视图。
system-view
(2) 进入VPN实例视图或VPN实例IPv4地址族视图。
¡ 进入VPN实例视图。
ip vpn-instance vpn-instance-name
¡ 请依次执行以下命令进入VPN实例IPv4地址族视图。
ip vpn-instance vpn-instance-name
address-family ipv4
(3) 配置VPN实例的VPN Target。
vpn-target vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ]
缺省情况下,未配置VPN实例的VPN Target。
(4) 配置VPN实例支持的最大激活路由前缀数。
routing-table limit number { warn-threshold | simply-alert }
缺省情况下,未限制VPN实例支持的最多激活路由前缀数。
配置一个VPN实例可以支持的最大激活路由前缀数,可以防止设备上保存过多的激活路由前缀信息。
(5) 对当前VPN实例应用入方向路由策略。
import route-policy route-policy
缺省情况下,允许所有VPN Target属性匹配的路由通过。
(6) 对当前VPN实例应用出方向路由策略。
export route-policy route-policy
缺省情况下,不对发布的路由进行过滤。
MCE可以通过静态路由与站点连接。传统CE配置的静态路由对全局生效,无法解决多VPN间的地址重叠问题。MCE功能可以将静态路由与VPN实例相绑定,将各VPN之间的静态路由进行隔离。
该配置在MCE上进行,站点上的配置方法与普通静态路由相同。
(1) 进入系统视图。
system-view
(2) 为指定VPN实例配置静态路由。
ip route-static vpn-instance s-vpn-instance-name dest-address { mask-length | mask } { interface-type interface-number [ next-hop-address ] | next-hop-address [ public ] | vpn-instance d-vpn-instance-name next-hop-address }
(3) (可选)配置静态路由的缺省优先级。
ip route-static default-preference default-preference
缺省情况下,静态路由的缺省优先级为60。
通过在MCE上将RIP进程与VPN实例绑定,可以使不同VPN内的私网路由通过不同的RIP进程在站点和MCE间进行交互,保证了私网路由的隔离和安全。RIP的介绍和详细配置,请参见“三层技术-IP路由配置指导”中的“RIP”。
本配置在MCE上进行,站点上配置普通RIP即可。
(1) 进入系统视图。
system-view
(2) 创建MCE与站点间的RIP实例,并进入RIP视图。
rip [ process-id ] vpn-instance vpn-instance-name
一个RIP进程只能属于一个VPN实例。
(3) 在指定网段接口上使能RIP。
network network-address [ wildcard-mask ]
缺省情况下,接口上的RIP功能处于关闭状态。
(4) 引入由PE发布的远端站点的路由。
import-route protocol [ as-number ] [ process-id | all-processes ] [ allow-direct | cost cost-value | route-policy route-policy-name | tag tag ] *
缺省情况下,RIP未引入其它路由。
由于在MCE设备上已经将站点内的私网路由信息与VPN实例进行了绑定,因此,只需要在MCE与PE之间将接口与VPN实例进行绑定、进行简单的路由配置、并将MCE上维护的站点内的VPN路由引入到MCE-PE间的路由协议中,便可以实现私网VPN路由信息的传播。
本节中的配置均在MCE上进行,PE上的配置请参见PE设备配套手册。
(1) 进入系统视图。
system-view
(2) 为指定VPN实例配置静态路由。
ip route-static vpn-instance s-vpn-instance-name dest-address { mask-length | mask } { interface-type interface-number [ next-hop-address ] | next-hop-address [ public ] | vpn-instance d-vpn-instance-name next-hop-address }
(3) (可选)配置静态路由的缺省优先级。
ip route-static default-preference default-preference
缺省情况下,静态路由的缺省优先级为60。
(1) 进入系统视图。
system-view
(2) 创建MCE与PE间的RIP实例,并进入RIP视图。
rip [ process-id ] vpn-instance vpn-instance-name
(3) 在指定网段接口上使能RIP。
network network-address [ wildcard-mask ]
缺省情况下,接口上的RIP功能处于关闭状态。
(4) 引入站点内的VPN路由。
import-route protocol [ as-number ] [ process-id | all-processes ] [ allow-direct | cost cost-value | route-policy route-policy-name | tag tag ] *
缺省情况下,RIP未引入其它路由。
在完成上述配置后,在任意视图下执行display命令可以显示配置后MCE的运行情况,通过查看显示信息验证配置的效果。
表1-1 MCE显示和维护
|
操作 |
命令 |
|
显示指定VPN实例信息 |
display ip vpn-instance [ instance-name vpn-instance-name ] |
VPN实例中路由表的命令请参见“三层技术-IP路由命令参考”中的“IP路由基础命令”。
IPv6 MCE应用于IPv6 MPLS L3VPN,它通过路由隔离实现业务隔离的组网方案,在允许多个VPN共享CE的同时,提供用户数据的安全性。
IPv6 MPLS L3VPN利用BGP在服务提供商骨干网上发布VPN的IPv6路由,利用MPLS在服务提供商骨干网上转发VPN的IPv6报文。
IPv6 MCE的原理与MCE相同,IPv6 MCE在内网和PE之间发布IPv6路由,并交互IPv6报文。
在IPv6 MCE组网方案中,路由计算时需要关闭MCE上的路由环路检测功能,防止路由丢失;同时禁止各路由协议互操作功能,以节省系统资源。
IPv6 MCE配置任务如下:
(1) 配置VPN实例
配置VPN实例的操作是在PE和MCE设备上进行的。
a. 创建VPN实例
c. (可选)配置VPN实例的路由相关属性
(2) 配置MCE与站点之间的路由交换
(3) 配置MCE与PE之间的路由交换
VPN实例在实现中与站点关联。VPN实例不是直接对应于VPN,一个VPN实例综合了和它所对应站点的VPN成员关系和路由规则。
(1) 进入系统视图。
system-view
(2) 创建VPN实例,并进入VPN实例视图。
ip vpn-instance vpn-instance-name
(3) 配置VPN实例的RD。
route-distinguisher route-distinguisher
缺省情况下,未配置VPN实例的RD。
(4) (可选)配置VPN实例的描述信息。
description text
缺省情况下,未配置VPN实例的描述信息。
描述信息用于描述VPN实例,可以用来记录VPN实例与某个VPN的关系等信息。
(5) (可选)配置VPN实例的ID。
vpn-id vpn-id
缺省情况下,未配置VPN实例的ID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
本接口为连接CE的接口。
(3) 配置接口与指定VPN实例关联。
ip binding vpn-instance vpn-instance-name
缺省情况下,接口未关联VPN实例,接口属于公网。
配置或取消接口与VPN实例关联后,该接口上的IP地址、路由协议等配置将被删除。
执行本命令将删除接口上已经配置的IPv6地址,因此需要重新配置接口的IPv6地址。
IPv6 VPN的路由相关属性既可以在VPN实例视图下,也可以在VPN实例IPv6地址族视图下配置。如果同时在两个视图下配置了路由相关属性,则IPv6 VPN采用VPN实例IPv6地址族视图下配置的路由相关属性。
配置VPN实例路由策略属性时,需要创建路由策略。路由策略的详细介绍,请参见“三层技术-IP路由配置指导”中的“路由策略”。
(1) 进入系统视图。
system-view
(2) 进入VPN实例视图或VPN实例IPv6地址族视图。
¡ 进入VPN实例视图
ip vpn-instance vpn-instance-name
¡ 请依次执行以下命令进入VPN实例IPv6地址族视图
ip vpn-instance vpn-instance-name
address-family ipv6
(3) 配置VPN Target。
vpn-target vpn-target&<1-8> [ both | export-extcommunity | import-extcommunity ]
缺省情况下,未配置VPN实例的VPN Target。
(4) 配置支持的最大激活路由前缀数。
routing-table limit number { warn-threshold | simply-alert }
缺省情况下,未限制VPN实例支持的最多激活路由前缀数。
配置一个VPN实例可以支持的最大激活路由前缀数,可以防止设备上保存过多的激活路由前缀信息。
(5) 应用入方向路由策略。
import route-policy route-policy
缺省情况下,接收所有VPN Target属性匹配的路由。
(6) 应用出方向路由策略。
export route-policy route-policy
缺省情况下,不对发布的路由进行过滤。
MCE可以通过IPv6静态路由与站点连接。传统CE配置的IPv6静态路由对全局生效,无法解决多VPN间的地址重叠问题。以太网交换机提供的MCE功能可以将IPv6静态路由与VPN实例相绑定,将各IPv6 VPN之间的IPv6静态路由进行隔离。
该配置在MCE上进行,站点上的配置方法与普通IPv6静态路由相同。
(1) 进入系统视图。
system-view
(2) 为指定VPN实例配置IPv6静态路由。
ipv6 route-static vpn-instance s-vpn-instance-name ipv6-address prefix-length { interface-type interface-number [ next-hop-address ] | nexthop-address [ public ] | vpn-instance d-vpn-instance-name nexthop-address }
(3) (可选)配置IPv6静态路由的缺省优先级。
ipv6 route-static default-preference default-preference
缺省情况下,IPv6静态路由的缺省优先级为60。
通过在MCE上将RIPng进程与IPv6 VPN实例绑定,可以使不同IPv6 VPN内的私网路由通过不同的RIPng进程在站点和MCE间进行交互,保证了私网路由的隔离和安全。有关RIPng的介绍和详细配置,请参见“三层技术-IP路由配置指导”中的“RIPng”。
该配置在MCE上进行,站点上配置普通RIPng即可。
(1) 进入系统视图。
system-view
(2) 创建MCE与站点间的RIPng实例,并进入RIPng视图。
ripng [ process-id ] vpn-instance vpn-instance-name
一个RIPng进程只能属于一个IPv6 VPN实例。
(3) 引入由PE发布的远端站点的路由。
import-route protocol [ as-number | process-id ] [ allow-direct | cost cost-value | route-policy route-policy-name ] *
缺省情况下,RIPng未引入其它路由。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 在接口上使能RIPng路由协议。
ripng process-id enable
缺省情况下,接口禁用RIPng路由协议。
由于在MCE设备上已经将站点内的私网路由信息与IPv6 VPN实例进行了绑定,因此,只需要在MCE与PE之间将接口与IPv6 VPN实例进行绑定、进行简单的路由配置、并将MCE上维护的站点内的IPv6 VPN路由引入到MCE-PE间的路由协议中,便可以实现私网VPN路由信息的传播。
本节中的配置均在MCE上进行,PE上的配置请参见PE设备配套手册。
(1) 进入系统视图。
system-view
(2) 为指定VPN实例配置IPv6静态路由。
ipv6 route-static vpn-instance s-vpn-instance-name ipv6-address prefix-length { interface-type interface-number [ next-hop-address ] | nexthop-address [ public ] | vpn-instance d-vpn-instance-name nexthop-address }
(3) (可选)配置IPv6静态路由的缺省优先级。
ipv6 route-static default-preference default-preference
缺省情况下,IPv6静态路由的缺省优先级为60。
(1) 进入系统视图。
system-view
(2) 创建MCE与PE间的RIPng实例,并进入RIPng视图。
ripng [ process-id ] vpn-instance vpn-instance-name
(3) 引入站点内的VPN路由。
import-route protocol [ as-number | process-id ] [ allow-direct | cost cost-value | route-policy route-policy-name ] *
缺省情况下,RIPng未引入其它路由。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 在指定的网络接口上使能RIPng。
ripng process-id enable
缺省情况下,接口禁用RIPng。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPv6 MCE的运行情况,通过查看显示信息验证配置的效果。
表2-1 IPv6 MCE显示和维护
|
操作 |
命令 |
|
显示指定VPN实例信息 |
display ip vpn-instance [ instance-name vpn-instance-name ] |
VPN实例中路由表的命令请参见“三层技术-IP路由命令参考”中的“IP路由基础命令”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
