VPN配置实例技巧:PE从CE中学习路由

安全
如果不是一个“传输VPN”,一个VPN配置实例则是一个“叶VPN”stubVPN。在此意义上,大多数VPN配置实例,包括几乎所有企业网络,都希望是后者。可能的PE/CE分发技术有:

VPN配置实例技巧:PE从CE中学习路由,在接触VPN配置实例过程中会遇到很多的问题,如何解决这些麻烦成了大家的必要工作,下面将介绍有关于VPN配置实例和VPN-IPv4地址的合理协调问题。

与一VPN配置实例相连的PE路由器需要了解在该VPN配置实例的每个站点上有哪些地址。如果CE设备是一台主机或一个交换机,地址集合一般被配置到连接该设备的PE路由器中。如果CE设备是一路由器,PE路由器可以通过多种方法获得该地址集合。

PE用设定的RD把这些地址翻译成VPN-IPv4地址,把这些VPN-IPv4路由当作BGP的输入。这些路由在任何情况下都不会泄露给主干网的IGP。实际上,PE/CE路由分发技术取决于该CE是否在一个“传输VPN配置实例”中。

一个“传输VPN”包括一个从第三方(如,不在同VPN配置实例中的且不是PE的一个路由器)接收路由,并重新分发到一个PE路由器的路由器。如果不是一个“传输VPN”,一个VPN配置实例则是一个“叶VPN”stubVPN。在此意义上,大多数VPN配置实例,包括几乎所有企业网络,都希望是后者。可能的PE/CE分发技术有:

静态路由(如,配置)(这只用于stubVPN)PE和CE路由器可能是RIP对等的,而且CE可以用RIP告诉PE路由器在CE路由器上的站点的可达地址前缀。当在CE中配置RIP时,要注意确保从其它站点来的地址前缀(如,CE路由器从PE路由器处学习来的地址前缀)不被广告到PE。

更确切地说,如果一个PE路由器,如PE1,接收到了一个VPN-IPv4路由R1,处理后以R2为路由名继续向一个CE分发该IPv4路由,那么,R2不能被该CE的站点分发至一个PE路由器,如PE2,(这里,PE1和PE2可能是也可能不是同一路由器),除非PE2将R2映射为一个与R1不同的VPN-IPv4路由。(如,用一个不同的RD)

PE和CE路由器可能是OSPF对等的。这时,站点应该是一个单独的OSPF区,CE则是该区的ABR,而PE是不属于该区的一个ABR。而且,PE应该只报告连接到同一站点上的CE的路由。(这个技术只能用于stubVPN)

PE和CE路由器可能是BGP对等体,CE路由器可以用BGP(特别是EBGP)告诉PE路由器该CE路由器上的站点的可达地址前缀集合(这个技术既可用于stub VPN,也可用于传输VPN配置实例)。从纯技术的角度来说,这是迄今而言最好的技术:

◆不象IGP,它不要求PE为了与多个CE联系而运行多个路由算法实例。

◆BGP正是为了在不同管理系统之间传递路由信息而设计的

◆如果站点包括“BGP后门”,如,路由器除了与PE路由器的连接外,还有与其它路由器的BGP连接,该过程也能正常工作。其它过程是否能正常工作,要看具体的环境。

◆使用了BGP,CE可以更方便地把路由属性传递给PE。例如,CE可以根据PE认可的路由目标属性为每个路由提议一个特别的目标属性。但另一方面,如果用户本身不是一个ISP,BGP的使用对CE管理员来说是新的工作。

注意,如果一个站点并不在个传输VPN配置实例中,它并不需要一个自治系统编号ASN。站点不在一个传输VPN配置实例中的CE都可以用同一个ASN。而该ASN可以从私有的ASN空间中选择,PE将去掉这些ASN。使用源站点属性可以防止路由环路(见下)。

如果一站点集合组成了一个传输VPN,可以简单地用一个BGP联盟来代表它们,那么对该VPN以外的路由器而言,该VPN的内部结构就是不可见的。这样,VPN中的每一个站点需要两个到主干网的BGP连接,一个是到联盟内的,一个是联盟外的。

考虑到主干网和站点可能采取不同的策略,一般联盟内的处理程序会稍做修改。只在其中的一个连接上,主干网是联盟的成员之一。这种技术允许作为用户的ISP得从另一对等的ISP处得到VPN配置实例主干服务,所以该技术对作为VPN服务用户的ISP而言可能有用。

(如果一个VPN用户自身是一个ISP,而且它的CE路由器支持MPLS,可以用一个更简单的技术,此时把该ISP视作一stubVPN。见第8节)如果我们无需区分向PE通知某站点上的地址前缀的各种不同方法,我们只是简单地说PE已从该站点学习了路由。在一个PE重新分发它从一个站点处学到的VPN配置实例IPv4路由之前。

责任编辑:佟健 来源: chinaunix
相关推荐

2011-11-01 15:37:30

VPNMPLSCE

2009-12-29 10:04:27

2009-11-30 10:39:40

路由器配置

2009-12-31 10:28:16

VPN配置实例

2012-09-27 09:51:00

2009-12-31 10:28:20

VPN配置实例

2009-12-28 14:21:44

2009-12-30 10:24:57

vpn配置实例

2009-08-17 09:39:40

C# Windows

2009-12-31 10:03:58

VPN配置实例

2009-03-26 09:16:34

微软裁员职位

2009-02-20 10:17:00

2009-12-01 09:17:42

路由器配置

2011-11-07 13:30:19

2009-11-11 13:56:20

PE路由器

2014-07-21 09:38:54

2020-06-14 15:09:00

JavaScript开发技术

2010-07-30 15:59:44

配置

2009-12-02 14:05:44

VPN路由配置

2009-12-31 10:09:59

点赞
收藏

51CTO技术栈公众号