Hub & Spoke Service
Hub / Spoken模型的部署要點:
在Hub端PE設備上啟用兩個VRF分別關聯不同的子接口
一個用於導入Spoken端客戶路由
一個用於導出一條默認路由供Spoken端使用
(可不可以只用一個物理接口? / 可以)
PE-SA:
ip vrf green-spoke1
rd 300:111
route-target export 1:1
route-target import 2:2
PE-SB:
ip vrf green-spoke2
rd 300:112
route-target export 1:1
route-target import 2:2
在Hub上用e0/0.100導出RT,使用e0/0.200導入RT,使得導入導出不再集成在一個PE設備上
PE-Hub:
ip vrf IN
rd 300:11
route-target import 1:1
int e0/0.1
ip vrf forwarding IN
ip address 100.1.1.1 255.255.255.0
roueter bgp 100
address-family ipv4 vrf IN
neighbor 100.1.1.2
ip vrf OUT
rd 300:12
route-target export 2:2
int e0/0.2
ip vrf forwarding OUT
ip route vrf OUT 0.0.0.0 0.0.0.0 e0/0.2 200.1.1.2 (下發默認路由給SPOKE-CE設備)
router bgp 100
address-family ipv4 vrf OUT
network 0.0.0.0
r1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 12.1.1.2 to network 0.0.0.0
B* 0.0.0.0/0 [20/0] via 12.1.1.2, 00:13:30
1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback0
12.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 12.1.1.0/24 is directly connected, Ethernet0/0.12
L 12.1.1.1/32 is directly connected, Ethernet0/0.12
171.68.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 171.68.1.0/24 is directly connected, Loopback1
L 171.68.1.1/32 is directly connected, Loopback1
r1#traceroute 171.68.2.6 source 171.68.1.1
Type escape sequence to abort.
Tracing the route to 171.68.2.6
1 12.1.1.2 [AS 100] 4 msec 4 msec 0 msec
2 23.1.1.3 [AS 100] [MPLS: Label 3002 Exp 0] 8 msec 8 msec 4 msec
3 100.1.1.1 [AS 100] 4 msec 4 msec 0 msec
4 200.1.1.2 [AS 100] 4 msec 4 msec 4 msec
5 56.1.1.5 [AS 100] [MPLS: Label 5006 Exp 0] 4 msec 4 msec 4 msec
6 56.1.1.6 [AS 100] 8 msec * 8 msec
Lab
Cisco Hub-Spoke三層VPN配置指導
在BGP/MPLS三層VPN網絡中,通過VPN的Route Target屬性來控制VPN路由信息在各Site 之間的發布和接收。VPN Export Route Target和Import Route Target的設置相互獨立,並且可以通過設置多個值,可以實現靈活的VPN間的互訪控制,這里我首先通過Cisco的設備講解Hub-Spoke方式的三層VPN的配置以及一些關鍵點。
Hub-Spoke VPN的核心思想是在VPN中設置中心訪問控制設備,其它用戶的互訪都通過中心訪問控制設備進行。上圖是一個典型的Hub-Spoke網絡,其中的元素分別為Hub-PE、Hub-CE、Spoke-PE和Spoke-CE,一般情況下Spoke-PE均與Hub-PE互聯,Spoke-PE之間無需互聯。在這里Hub-PE看上去有點類似於路由反射器RR的功能,其實並不是這樣的,可以通過后面的配置中我們可以看到,在Hub-PE上並沒有配置任何RR的功能,這里是通過Hub-PE和Spoke-PE互聯,組成以Hub-PE為核心的星形網絡,然后通過Hub-CE將兩個VPN之間的路由信息導通,並且進行互訪控制,在這里,我就不對具體做那些互訪控制進行詳細的闡述了,在配好Hub-Spoke的VPN之后,通過Hub-CE進行互訪控制其實是件很簡單的事情。
Hub-Spoke組網的優點主要體現在可以方便的實現VPN間的受限訪問,比如不同企業間的互訪,不可能是完全互訪的,所以受限訪問是很典型並且很實際的應用,這也是基於安全這一前提的。
配置要點
對於Hub-Spoke的組網,需要設置兩個Route Target,其一表示用於接收從Spoke-PE發布的路由信息,其二表示用於向Spoke-PE發布路由信息。各Site在PE上的vrf的Route Target設置原則大致為:
Spoke-PE上設置Import Target和Export Target分別對應上面提到的兩個Route Target;
Hub-PE上需要使用兩個接口(可以是一個CE,也可以是兩個或多個CE),其一只用來接收Spoke-PE發布的路由信息,其二只用來向Spoke-PE發布路由信息,與Spoke-PE上的Import和Export Route Target正好相反。
從上圖可以看出:Spoke Site之間的通信通過Hub Site進行:
Hub-PE能夠接收所有Spoke-PE發布的VPN-IPv4路由信息;
Hub-PE發布的VPN-IPv4路由能夠為所有Spoke-PE接收;
Hub-PE將從Spoke-PE學到的路由信息發布給其他Spoke-PE,因此,Spoke Site之間可以通過Hub Site互訪,而Hub Site正好通過在自身上設置互訪控制策略對Spoke Site之間的互訪進行控制和管理;
任意Spoke-PE的Import Route Target屬性不與其它Spoke-PE的Export Route Target屬性相同。因此,任意兩個Spoke-PE之間不直接發布VPN-IPv4路由,Spoke Site之間不能直接互訪。這里我們配置的是域內三層VPN,由於Spoke-PE均是只和Hub-PE建立IBGP鄰居關系,故根據BGP路由信息發布的原則,IBGP鄰居不會把自己從IBGP鄰居學到的路由信息向其他IBGP鄰居發布,所以從這一點上來看Spoke-PE之間也不會直接發布VPN-IPv4路由。
由於在PE-CE之間互聯會采用EBGP的方式,那么Hub-Spoke組網中就會出現as-path有環的問題,所以這里我們在配置時必須在Hub-PE和Spoke-PE上配置可以接收自治系統號重復的路由通過。
數據設計
由於一般的跨域VPN配置示例都是兩個AS,這里我故意調整成了三個AS,其實也沒什么變化,就是多配置一些EBGP鄰居而已。