详细讲解接入主干网的VPN配置实例,向大家介绍VPN配置实例的方法,可能好多人还不了解怎么对VPN配置实例进行优化,没有关系,看完本文你肯定有不少收获,希望本文能教会你更多东西。
站点和CE
从主干网的角度看,如果一系列IP系统相互连接且它们之间的通信无需主干网参与,则这些IP系统组成了一个站点。一般来说,一个站点由一些地理位置相近的系统组成,当然并非总是这样。如果地理位置较远的两地间用一根运行OSPF的专线相连,也可以组成一个站点,因为两地间的通信无须主干网的参与。
一个CE设备常被视为在一个单独的站点上(但一个站点可能由多个“虚拟站点”组成)。而一个站点可能在多个VPN配置实例中。一个PE路由器可能与多个站点中的CE设备相连,无论它们是否在同一个VPN配置实例中。出于鲁棒性的考虑,一个CE设备也可能与多个PE路由器相连,这些路由器可能属于同一个或不同的服务提供商。
如果这个CE设备是路由器,则它与相连的PE路由器互为邻接路由器。如果互连的基本单元是站点,这里描述的体系结构可以实现更为精细的互连控制粒度。例如,一个站点上的某个系统可能是一个内联网的成员,同时也是一个或多个外联网的成员,而该站点上的其它系统却只限于是内联网的成员。
PE中基于站点的转发表
每个PE路由器维护一个或多个“站点转发表”,与PE相连的每个站点都对应于其中的一个表。当从某站点接收到一个包时,从与该站点相应的转发表中查找该包的目的地址。站点转发表是如何产生的呢?如,PE1,PE2,PE3是三个PE路由器,CE1,CE2,CE3是三个CE路由器。
PE1从CE1了解站点CE1可达的路由信息。如果PE2和PE3分别与CE2、CE3相连,且VPN配置实例V包括CE1、CE2、CE3,PE1用BGP向PE2、PE3分发它从CE1得到的路由信息。PE2,PE3使用这些路由信息产生与CE2、CE3相应的转发表。来源于VPN配置实例V以外站点的路由不出现在这些转发表中,也就是说,CE2,CE3发出的包不会发送到VPN配置实例以外的站点。
如果一个站点在多个VPN配置实例中,其对应的转发表将包含其在所有VPN配置实例中的路由信息。一般,一个PE只为每个站点维护一个转发表,即使它与该站点间有多个连接。如果几个不同的站点共用相同的路由,它们共享同一个转发表。假设一个PE路由器从一直接相连的站点收到一个包,但在相应的站点转发表中找不到这个包的目的地址。
如果SP在该站点处并不提供Internet接入服务,那么该包因为无法发送而被丢弃。否则,将会查询PE的Internet转发表。也就是说,即使提供Internet接入,一般每个PE也只需要维护一个Internet路由转发表。要保持VPN配置实例间的隔离,重要的一点就是主干网中的路由器不接收来自于邻接的非主干设备的带标签的包,除非:
◆标签栈顶的标签是主干网路由器分配给该设备的;
◆主干网路由器能确定由于该标签的使用,这个包在离开主干网之前,不会检查IP包头和标签栈中的其余标签。
这些限制对于防止包进入其它VPN配置实例相当有必要。PE中的站点转发表只用于那些从PE直接相连的站点发来的包,而不用于来自于SP主干网的包。因此,到同一系统可能有多个不同的路由。
包从哪一个站点接入主干网,就由哪一个站点决定选用何种路由。如,你可以为由外联网发往指定系统的包指定一个路由(通向防火墙),为内联网发往同一系统的包(包括那些已经通过防火墙的包)指定另一路由。