MPLS virtual private network Internet接入
概述:
在MPLS VPN网络中,各种VPN用户或应用通常都有访问公共网络或Internet的需求。要实现这一需求,就必须要让用户能访问到运营商的全局网络,因为Internet 的路由位于运营商的全局路由表中,而PE的VPN并且默认情况下,VPN 实例路由和全局路由是互相隔离的,所以VPN客户站点不可能看到公网路由。要想VPN用户能够通过全局访问到Internet,就必须打通VPN网络和全局网络之间的路由。当然,如果具备一定条件,也可以为VPN用户站点增设一条到Internet网关的线路,这条线路独立于MPLS VPN的线路,专门用于传递到Internet的流量。当然,这种解决方案会产生额外的成本,但在配置上却是比较简单的做法。总的来说,根据网络中的情况及理论分析,MPLS VPN用户访问Internet可以采用以下三种方案。这些方案只是提供一些建议,实际组网环境可能要复杂得多,大家可以视情况作具体规划和设计。这三种方案分别如下:
- 通过全局路由表访问Internet。
- PE-CE之间单链路访问Internet。
- 使用一个中心站点作为到Internet 的连接。
一、通过全局路由表访问 Internet ( PE-CE之间双链路或使用子接口)
这种情况下,PE路由器根据用户的需求,可以通过全局的接口将Internet的全部或部分路由发布给CE,或者只发布一条默认路由给CE,或由CE手工设置一条默认路由。
如图所示,采用该方案中的一个案例,这个案例中 PE-CE之间采用了子接口互连的方式。这里假设由PE1直接通过全局接口连接到Internet的网关,PE1通过BGP学习到了Internet的全部路由。PE-CE之间采用静态路由。
这时还得注意一个问题就是,在PE上还需要将用户站点的路由通告到Internet,否则用户将接收不到从Internet返回的流量,除非在PE上做NAT。这样,当用户访问Internet的流量经过PE后,源址被转换成PE的地址了,后一种做法是我们推荐的,因为用户站点内往往使用的是私网地址,所以不能通告到公网,即便用户站点内部使用公网地址,为安全起见,也不建议将地址通告到公网。
二、PE-CE之间单链路访问Internet
第一种方案需要在PE-CE 之间至少设置两条链路,产生了额外的成本。为节省成本,产生了第二种方案,即在 PE-CE之间只用一条链路,用这条链路同时承载 MPLS VPN的业务流量和到Internet的流量。
要实现该方案,要求PE路由器从VPN实例接口收到来自用户站点的流量后,要能够将去往Internet 的流量从全局接口转发出去给Internet。但是,根据PE路由器缺省的处理行为,从 VPN实例中的接口收到的数据,只会查找该实例的路由表进行转发,不会去查找全局路由表,所以,最终因为VPN实例中的路由表中没有相关的Internet 全局路由而导致数据包被丢弃。要解决这个问题,在VPN实例中配置静态路由时,需要在下一跳后面加上 Public关键字。Public 代表全局路由表也就是说,这里配置的下一跳地址可以通过全局路由表查找到对应的路由。
所以,在PE上,为VPN实例添加一条到Internet的默认路由,下一跳指向全局。
三、使用一个中心站点作为到lnternet的连接
这种方法是将用户VPN中所有站点的Internet流量先转发给一个中心站点,然后由中心站点转发到Internet,这样做的好处在于,可以迪过集中部者阴火烟,纷目TN小站点访问Internet的流量,NAT和其他安全防护策略只需要部署一次就行了,从而减少了其他站点的配置和维护任务,比较适用于Hub-and-spoke场景。
这种情况下,用作访问Internet的中心站点既需要维护其他站点的VPN路由,还需要维护来自Internet的路由,当然也可以采用默认路由来访问Internet,如图所示:
图中的Sitel为中心站点,PE1为Site1的 PE,PE1使用两条链路或者两个子接口连接CE1,一个接口归属到用户的 VPN实例(VPN-A),用于接收和传递来自其他站点的VPN路由;另一个接口归属到用于Internet 的VPN实例,用来接收和传递来自PE-GW的Internet路由。PE2和PE-GW、PE2、PE3之间都建立MP-iBGP连接,用于传递VPNv4路由。MPLS VPN骨干网通过图中 PE-GW连接到Internet,PE-GW与Internet中的路由器运行了iBGP或eBGP,并在 PE-GW上创建了连接Internet的VPN 实例,并将连接Internet的接口划入这个实例。PE-GW接收到来自Internet 的路由后放入该VPN实例,然后引入到MP-iBGP成为VPNv4路由,进而传播到PE1,PE1再发布给CE1,CE1进一步将这些路由发布到其他站点。同时,其他站点的路由也会通过Site1 发布到 Internet。
整理资料来源:《HCIE路由交换学习指南》
MPLS virtual private network Internet接入相关推荐
- MPLS Virtual Private Network
目录 传统Virtual Private Network 1.产生 2.网络结构 3.Virtual Private Network模型 3.1.Overlay Virtual Private Net ...
- MPLS virtual private network PE-CE之间的路由协议(OSPF)
基础配置: OSPF 协议是PE和CE之间路由协议的另一种选择,如果要将VPN用户路由传递到其他PE,那么需要在PE上把OSPF路由引入到MP-BGP,在远端PE上需要将MP-BGP的VPNv4路由引 ...
- 华为数通笔记-MPLS virtual private network
简介 BGP MPLS VPN是一种L3VPN,它使用BGP在服务提供商骨干网发布VPN路由,使用MPLS,在骨干网中传递VPN路由. CE:用户边缘设备,与PE有相连的接口,感知不到VPN路由的存在 ...
- MPLS virtual private network 跨域方案实现原理
概述: 随着MPLS技术的成熟,其应用越来越流行,尤其是在VPN方面.通过运营商提供的VPN服务,将分布在各地的站点通过运营商的网络连接起来,避免了租用专线,节省了大量的成本.近年来,由于MPLS V ...
- MPLS virtual private network报文转发过程
概述: 首先数据流由CE 到PE使用的是IP转发,这个很容易理解.而数据流要经过骨干网,因为骨干网内部Р路由器没有私网路由,也就是没办法使用P转发,这时就应该想到用MPLS标签转发技术.在IP报文进入 ...
- 企业路由器配置L2TP 站点到站点模式Virtual Private Network指南_3(外网访问内网资源)
应用场景: 企业路由器提供多类VPN功能.其中L2TP VPN可以实现企业站点之间搭建安全的数据传输通道,将接入Internet的企业分支机构与总部网络通过安全隧道互联,实现资源.信息共享. 资源说 ...
- 【计算机网络学习笔记17】网络安全、加密技术、“Virtual Private Network”技术
[计算机网络学习笔记17]网络安全.加密技术."Virtual Private Network"技术 一.网络安全概述 1.1 网络系统的安全目标: 1.可用性(Availabil ...
- Virtual Private Network
VPN技术的运行机制与发展 虚拟专用网络(Virtual Private Network,VPN)是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道.用户认证和访问控制等技术实现与专用网络 ...
- Virtual Private Network虚拟专用网络-在Linux上搭建专用通道
一.VPN VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络.例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问. 在传统的企业网络配置中,要进行远程访问,传统 ...
- 什么是Virtual Private Network?
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 @[TOC](文章目录) 前言 提示:主要介绍Virtual Private Network是什么 随着虚拟网络技术的不断发展,概念层 ...
最新文章
- 成为一流CSS设计师的8大技巧
- unity 删除子节点_【Unity文档】Realtime GI介绍(一)
- HDU 2833 WuKong
- 中国移动2016年Web应用防火墙集采:绿盟、深信服中标
- 西建大历年电子与通信工程复试真题_学姐分享2020年西安电子科技大学电子与通信工程考研初复试经验指导...
- TPL Dataflow .Net 数据流组件,了解一下?
- JAVA中properties基本用法
- opencv matlab配置,Matlab下运行c++程序的配置(包含opencv的c++程序)
- js中java式的类成员
- 【具体数学 读书笔记】1.2 Lines in the Plane
- 论坛之家-免费论坛申请-3分钟建立自己的个性化论坛
- 番茄花园xp开机音乐_抱歉,Windows XP的开机音乐骗了你20年
- 4.FX Blue 本地跟单软件EA参数说明
- asp.net 中使用正则表达式提取IMG标签的SRC地址 .
- 代码查重工具SIM,添加图形界面GUI,附下载链接
- HDU - 6438 Buy and Resell (贪心 + 优先队列)
- 海康摄像头的ISAPI协议
- DIY单片机串口打印函数print
- (web前端网页制作课作业)使用HTML+CSS制作非物质文化遗产专题网页设计与实现
- kali arp-scan网络扫描工具 扫描局域网ip地址
热门文章
- python3中filter、map、reduce、apply、zip函数用法总结
- [论文翻译]Learning Phrase Representations using RNN Encoder–Decoder for Statistical Machine Translation
- 距离Java开发者玩转 Serverless,到底还有多远?
- 软件测试的金字塔体系--从1个中心到5个要素
- DEP机制的保护原理
- 读大师的书 说自己的话——《传世经典书丛评注版》邀你来点评
- 《嵌入式系统Linux内核开发实战指南(ARM平台)》书评
- Tensorflow2.5安装
- VMware虚拟机设置(vmtools分辨率)
- linux的vi详细命令