Molet

VPN配置实例技巧:PE从CE中学习路由

Molet 安全防护 2023-01-16 380浏览 0

VPN配置实例技巧:PE从CE中学习路由,在接触VPN配置实例过程中会遇到很多的问题,如何解决这些麻烦成了大家的必要工作,下面将介绍有关于VPN配置实例和VPN-IPv4地址的合理协调问题。

与一VPN配置实例相连的PE路由器需要了解在该VPN配置实例的每个站点上有哪些地址。如果CE设备是一台主机或一个交换机,地址集合一般被配置到连接该设备的PE路由器中。如果CE设备是一路由器,PE路由器可以通过多种方法获得该地址集合。

PE用设定的RD把这些地址翻译成VPN-IPv4地址,把这些VPN-IPv4路由当作BGP的输入。这些路由在任何情况下都不会泄露给主干网的IGP。实际上,PE/CE路由分发技术取决于该CE是否在一个“传输VPN配置实例”中。

一个“传输VPN”包括一个从第三方(如,不在同VPN配置实例中的且不是PE的一个路由器)接收路由,并重新分发到一个PE路由器的路由器。如果不是一个“传输VPN”,一个VPN配置实例则是一个“叶VPN”stubVPN。在此意义上,大多数VPN配置实例,包括几乎所有企业网络,都希望是后者。可能的PE/CE分发技术有:

静态路由(如,配置)(这只用于stubVPN)PE和CE路由器可能是RIP对等的,而且CE可以用RIP告诉PE路由器在CE路由器上的站点的可达地址前缀。当在CE中配置RIP时,要注意确保从其它站点来的地址前缀(如,CE路由器从PE路由器处学习来的地址前缀)不被广告到PE。

更确切地说,如果一个PE路由器,如PE1,接收到了一个VPN-IPv4路由R1,处理后以R2为路由名继续向一个CE分发该IPv4路由,那么,R2不能被该CE的站点分发至一个PE路由器,如PE2,(这里,PE1和PE2可能是也可能不是同一路由器),除非PE2将R2映射为一个与R1不同的VPN-IPv4路由。(如,用一个不同的RD)

PE和CE路由器可能是OSPF对等的。这时,站点应该是一个单独的OSPF区,CE则是该区的ABR,而PE是不属于该区的一个ABR。而且,PE应该只报告连接到同一站点上的CE的路由。(这个技术只能用于stubVPN)

PE和CE路由器可能是BGP对等体,CE路由器可以用BGP(特别是EBGP)告诉PE路由器该CE路由器上的站点的可达地址前缀集合(这个技术既可用于stub VPN,也可用于传输VPN配置实例)。从纯技术的角度来说,这是迄今而言最好的技术:

◆不象IGP,它不要求PE为了与多个CE联系而运行多个路由算法实例。

◆BGP正是为了在不同管理系统之间传递路由信息而设计的

◆如果站点包括“BGP后门”,如,路由器除了与PE路由器的连接外,还有与其它路由器的BGP连接,该过程也能正常工作。其它过程是否能正常工作,要看具体的环境。

◆使用了BGP,CE可以更方便地把路由属性传递给PE。例如,CE可以根据PE认可的路由目标属性为每个路由提议一个特别的目标属性。但另一方面,如果用户本身不是一个ISP,BGP的使用对CE管理员来说是新的工作。

注意,如果一个站点并不在个传输VPN配置实例中,它并不需要一个自治系统编号ASN。站点不在一个传输VPN配置实例中的CE都可以用同一个ASN。而该ASN可以从私有的ASN空间中选择,PE将去掉这些ASN。使用源站点属性可以防止路由环路(见下)。

如果一站点集合组成了一个传输VPN,可以简单地用一个BGP联盟来代表它们,那么对该VPN以外的路由器而言,该VPN的内部结构就是不可见的。这样,VPN中的每一个站点需要两个到主干网的BGP连接,一个是到联盟内的,一个是联盟外的。

考虑到主干网和站点可能采取不同的策略,一般联盟内的处理程序会稍做修改。只在其中的一个连接上,主干网是联盟的成员之一。这种技术允许作为用户的ISP得从另一对等的ISP处得到VPN配置实例主干服务,所以该技术对作为VPN服务用户的ISP而言可能有用。

(如果一个VPN用户自身是一个ISP,而且它的CE路由器支持MPLS,可以用一个更简单的技术,此时把该ISP视作一stubVPN。见第8节)如果我们无需区分向PE通知某站点上的地址前缀的各种不同方法,我们只是简单地说PE已从该站点学习了路由。在一个PE重新分发它从一个站点处学到的VPN配置实例IPv4路由之前。

继续浏览有关 安全 的文章
发表评论