VPN配置實例技巧:PE從CE中學習路由
VPN配置實例技巧:PE從CE中學習路由,在接觸VPN配置實例過程中會遇到很多的問題,如何解決這些麻煩成了大家的必要工作,下面將介紹有關(guān)于VPN配置實例和VPN-IPv4地址的合理協(xié)調(diào)問題。
與一VPN配置實例相連的PE路由器需要了解在該VPN配置實例的每個站點上有哪些地址。如果CE設(shè)備是一臺主機或一個交換機,地址集合一般被配置到連接該設(shè)備的PE路由器中。如果CE設(shè)備是一路由器,PE路由器可以通過多種方法獲得該地址集合。
PE用設(shè)定的RD把這些地址翻譯成VPN-IPv4地址,把這些VPN-IPv4路由當作BGP的輸入。這些路由在任何情況下都不會泄露給主干網(wǎng)的IGP。實際上,PE/CE路由分發(fā)技術(shù)取決于該CE是否在一個“傳輸VPN配置實例”中。
一個“傳輸VPN”包括一個從第三方(如,不在同VPN配置實例中的且不是PE的一個路由器)接收路由,并重新分發(fā)到一個PE路由器的路由器。如果不是一個“傳輸VPN”,一個VPN配置實例則是一個“葉VPN”stubVPN。在此意義上,大多數(shù)VPN配置實例,包括幾乎所有企業(yè)網(wǎng)絡(luò),都希望是后者。可能的PE/CE分發(fā)技術(shù)有:
靜態(tài)路由(如,配置)(這只用于stubVPN)PE和CE路由器可能是RIP對等的,而且CE可以用RIP告訴PE路由器在CE路由器上的站點的可達地址前綴。當在CE中配置RIP時,要注意確保從其它站點來的地址前綴(如,CE路由器從PE路由器處學習來的地址前綴)不被廣告到PE。
更確切地說,如果一個PE路由器,如PE1,接收到了一個VPN-IPv4路由R1,處理后以R2為路由名繼續(xù)向一個CE分發(fā)該IPv4路由,那么,R2不能被該CE的站點分發(fā)至一個PE路由器,如PE2,(這里,PE1和PE2可能是也可能不是同一路由器),除非PE2將R2映射為一個與R1不同的VPN-IPv4路由。(如,用一個不同的RD)
PE和CE路由器可能是OSPF對等的。這時,站點應(yīng)該是一個單獨的OSPF區(qū),CE則是該區(qū)的ABR,而PE是不屬于該區(qū)的一個ABR。而且,PE應(yīng)該只報告連接到同一站點上的CE的路由。(這個技術(shù)只能用于stubVPN)
PE和CE路由器可能是BGP對等體,CE路由器可以用BGP(特別是EBGP)告訴PE路由器該CE路由器上的站點的可達地址前綴集合(這個技術(shù)既可用于stub VPN,也可用于傳輸VPN配置實例)。從純技術(shù)的角度來說,這是迄今而言最好的技術(shù):
◆不象IGP,它不要求PE為了與多個CE聯(lián)系而運行多個路由算法實例。
◆BGP正是為了在不同管理系統(tǒng)之間傳遞路由信息而設(shè)計的
◆如果站點包括“BGP后門”,如,路由器除了與PE路由器的連接外,還有與其它路由器的BGP連接,該過程也能正常工作。其它過程是否能正常工作,要看具體的環(huán)境。
◆使用了BGP,CE可以更方便地把路由屬性傳遞給PE。例如,CE可以根據(jù)PE認可的路由目標屬性為每個路由提議一個特別的目標屬性。但另一方面,如果用戶本身不是一個ISP,BGP的使用對CE管理員來說是新的工作。
注意,如果一個站點并不在個傳輸VPN配置實例中,它并不需要一個自治系統(tǒng)編號ASN。站點不在一個傳輸VPN配置實例中的CE都可以用同一個ASN。而該ASN可以從私有的ASN空間中選擇,PE將去掉這些ASN。使用源站點屬性可以防止路由環(huán)路(見下)。
如果一站點集合組成了一個傳輸VPN,可以簡單地用一個BGP聯(lián)盟來代表它們,那么對該VPN以外的路由器而言,該VPN的內(nèi)部結(jié)構(gòu)就是不可見的。這樣,VPN中的每一個站點需要兩個到主干網(wǎng)的BGP連接,一個是到聯(lián)盟內(nèi)的,一個是聯(lián)盟外的。
考慮到主干網(wǎng)和站點可能采取不同的策略,一般聯(lián)盟內(nèi)的處理程序會稍做修改。只在其中的一個連接上,主干網(wǎng)是聯(lián)盟的成員之一。這種技術(shù)允許作為用戶的ISP得從另一對等的ISP處得到VPN配置實例主干服務(wù),所以該技術(shù)對作為VPN服務(wù)用戶的ISP而言可能有用。
(如果一個VPN用戶自身是一個ISP,而且它的CE路由器支持MPLS,可以用一個更簡單的技術(shù),此時把該ISP視作一stubVPN。見第8節(jié))如果我們無需區(qū)分向PE通知某站點上的地址前綴的各種不同方法,我們只是簡單地說PE已從該站點學習了路由。在一個PE重新分發(fā)它從一個站點處學到的VPN配置實例IPv4路由之前。
