概述:

在MPLS VPN网络中,各种VPN用户或应用通常都有访问公共网络或Internet的需求。要实现这一需求,就必须要让用户能访问到运营商的全局网络,因为Internet 的路由位于运营商的全局路由表中,而PE的VPN并且默认情况下,VPN 实例路由和全局路由是互相隔离的,所以VPN客户站点不可能看到公网路由。要想VPN用户能够通过全局访问到Internet,就必须打通VPN网络和全局网络之间的路由。当然,如果具备一定条件,也可以为VPN用户站点增设一条到Internet网关的线路,这条线路独立于MPLS VPN的线路,专门用于传递到Internet的流量。当然,这种解决方案会产生额外的成本,但在配置上却是比较简单的做法。总的来说,根据网络中的情况及理论分析,MPLS VPN用户访问Internet可以采用以下三种方案。这些方案只是提供一些建议,实际组网环境可能要复杂得多,大家可以视情况作具体规划和设计。这三种方案分别如下:

  1. 通过全局路由表访问Internet。
  2. PE-CE之间单链路访问Internet。
  3. 使用一个中心站点作为到Internet 的连接。

一、通过全局路由表访问 Internet ( PE-CE之间双链路或使用子接口)


这种情况下,PE路由器根据用户的需求,可以通过全局的接口将Internet的全部或部分路由发布给CE,或者只发布一条默认路由给CE,或由CE手工设置一条默认路由。

如图所示,采用该方案中的一个案例,这个案例中 PE-CE之间采用了子接口互连的方式。这里假设由PE1直接通过全局接口连接到Internet的网关,PE1通过BGP学习到了Internet的全部路由。PE-CE之间采用静态路由。

这时还得注意一个问题就是,在PE上还需要将用户站点的路由通告到Internet,否则用户将接收不到从Internet返回的流量,除非在PE上做NAT。这样,当用户访问Internet的流量经过PE后,源址被转换成PE的地址了,后一种做法是我们推荐的,因为用户站点内往往使用的是私网地址,所以不能通告到公网,即便用户站点内部使用公网地址,为安全起见,也不建议将地址通告到公网。

二、PE-CE之间单链路访问Internet

第一种方案需要在PE-CE 之间至少设置两条链路,产生了额外的成本。为节省成本,产生了第二种方案,即在 PE-CE之间只用一条链路,用这条链路同时承载 MPLS VPN的业务流量和到Internet的流量。

要实现该方案,要求PE路由器从VPN实例接口收到来自用户站点的流量后,要能够将去往Internet 的流量从全局接口转发出去给Internet。但是,根据PE路由器缺省的处理行为,从 VPN实例中的接口收到的数据,只会查找该实例的路由表进行转发,不会去查找全局路由表,所以,最终因为VPN实例中的路由表中没有相关的Internet 全局路由而导致数据包被丢弃。要解决这个问题,在VPN实例中配置静态路由时,需要在下一跳后面加上 Public关键字。Public 代表全局路由表也就是说,这里配置的下一跳地址可以通过全局路由表查找到对应的路由。

所以,在PE上,为VPN实例添加一条到Internet的默认路由,下一跳指向全局。

三、使用一个中心站点作为到lnternet的连接

这种方法是将用户VPN中所有站点的Internet流量先转发给一个中心站点,然后由中心站点转发到Internet,这样做的好处在于,可以迪过集中部者阴火烟,纷目TN小站点访问Internet的流量,NAT和其他安全防护策略只需要部署一次就行了,从而减少了其他站点的配置和维护任务,比较适用于Hub-and-spoke场景。

这种情况下,用作访问Internet的中心站点既需要维护其他站点的VPN路由,还需要维护来自Internet的路由,当然也可以采用默认路由来访问Internet,如图所示:

图中的Sitel为中心站点,PE1为Site1的 PE,PE1使用两条链路或者两个子接口连接CE1,一个接口归属到用户的 VPN实例(VPN-A),用于接收和传递来自其他站点的VPN路由;另一个接口归属到用于Internet 的VPN实例,用来接收和传递来自PE-GW的Internet路由。PE2和PE-GW、PE2、PE3之间都建立MP-iBGP连接,用于传递VPNv4路由。MPLS VPN骨干网通过图中 PE-GW连接到Internet,PE-GW与Internet中的路由器运行了iBGP或eBGP,并在 PE-GW上创建了连接Internet的VPN 实例,并将连接Internet的接口划入这个实例。PE-GW接收到来自Internet 的路由后放入该VPN实例,然后引入到MP-iBGP成为VPNv4路由,进而传播到PE1,PE1再发布给CE1,CE1进一步将这些路由发布到其他站点。同时,其他站点的路由也会通过Site1 发布到 Internet。

整理资料来源:《HCIE路由交换学习指南》

MPLS virtual private network Internet接入相关推荐

  1. MPLS Virtual Private Network

    目录 传统Virtual Private Network 1.产生 2.网络结构 3.Virtual Private Network模型 3.1.Overlay Virtual Private Net ...

  2. MPLS virtual private network PE-CE之间的路由协议(OSPF)

    基础配置: OSPF 协议是PE和CE之间路由协议的另一种选择,如果要将VPN用户路由传递到其他PE,那么需要在PE上把OSPF路由引入到MP-BGP,在远端PE上需要将MP-BGP的VPNv4路由引 ...

  3. 华为数通笔记-MPLS virtual private network

    简介 BGP MPLS VPN是一种L3VPN,它使用BGP在服务提供商骨干网发布VPN路由,使用MPLS,在骨干网中传递VPN路由. CE:用户边缘设备,与PE有相连的接口,感知不到VPN路由的存在 ...

  4. MPLS virtual private network 跨域方案实现原理

    概述: 随着MPLS技术的成熟,其应用越来越流行,尤其是在VPN方面.通过运营商提供的VPN服务,将分布在各地的站点通过运营商的网络连接起来,避免了租用专线,节省了大量的成本.近年来,由于MPLS V ...

  5. MPLS virtual private network报文转发过程

    概述: 首先数据流由CE 到PE使用的是IP转发,这个很容易理解.而数据流要经过骨干网,因为骨干网内部Р路由器没有私网路由,也就是没办法使用P转发,这时就应该想到用MPLS标签转发技术.在IP报文进入 ...

  6. 企业路由器配置L2TP 站点到站点模式Virtual Private Network指南_3(外网访问内网资源)

    应用场景:  企业路由器提供多类VPN功能.其中L2TP VPN可以实现企业站点之间搭建安全的数据传输通道,将接入Internet的企业分支机构与总部网络通过安全隧道互联,实现资源.信息共享. 资源说 ...

  7. 【计算机网络学习笔记17】网络安全、加密技术、“Virtual Private Network”技术

    [计算机网络学习笔记17]网络安全.加密技术."Virtual Private Network"技术 一.网络安全概述 1.1 网络系统的安全目标: 1.可用性(Availabil ...

  8. Virtual Private Network

    VPN技术的运行机制与发展 虚拟专用网络(Virtual Private Network,VPN)是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道.用户认证和访问控制等技术实现与专用网络 ...

  9. Virtual Private Network虚拟专用网络-在Linux上搭建专用通道

    一.VPN VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络.例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问. 在传统的企业网络配置中,要进行远程访问,传统 ...

  10. 什么是Virtual Private Network?

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 @[TOC](文章目录) 前言 提示:主要介绍Virtual Private Network是什么 随着虚拟网络技术的不断发展,概念层 ...

最新文章

  1. 成为一流CSS设计师的8大技巧
  2. unity 删除子节点_【Unity文档】Realtime GI介绍(一)
  3. HDU 2833 WuKong
  4. 中国移动2016年Web应用防火墙集采:绿盟、深信服中标
  5. 西建大历年电子与通信工程复试真题_学姐分享2020年西安电子科技大学电子与通信工程考研初复试经验指导...
  6. TPL Dataflow .Net 数据流组件,了解一下?
  7. JAVA中properties基本用法
  8. opencv matlab配置,Matlab下运行c++程序的配置(包含opencv的c++程序)
  9. js中java式的类成员
  10. 【具体数学 读书笔记】1.2 Lines in the Plane
  11. 论坛之家-免费论坛申请-3分钟建立自己的个性化论坛
  12. 番茄花园xp开机音乐_抱歉,Windows XP的开机音乐骗了你20年
  13. 4.FX Blue 本地跟单软件EA参数说明
  14. asp.net 中使用正则表达式提取IMG标签的SRC地址 .
  15. 代码查重工具SIM,添加图形界面GUI,附下载链接
  16. HDU - 6438 Buy and Resell (贪心 + 优先队列)
  17. 海康摄像头的ISAPI协议
  18. DIY单片机串口打印函数print
  19. (web前端网页制作课作业)使用HTML+CSS制作非物质文化遗产专题网页设计与实现
  20. kali arp-scan网络扫描工具 扫描局域网ip地址

热门文章

  1. python3中filter、map、reduce、apply、zip函数用法总结
  2. [论文翻译]Learning Phrase Representations using RNN Encoder–Decoder for Statistical Machine Translation
  3. 距离Java开发者玩转 Serverless,到底还有多远?
  4. 软件测试的金字塔体系--从1个中心到5个要素
  5. DEP机制的保护原理
  6. 读大师的书 说自己的话——《传世经典书丛评注版》邀你来点评
  7. 《嵌入式系统Linux内核开发实战指南(ARM平台)》书评
  8. Tensorflow2.5安装
  9. VMware虚拟机设置(vmtools分辨率)
  10. linux的vi详细命令