访问外网的几种方式.ppt

MPLS/VPN规划-互联
?
两种方式都可以。
?
两者方式都可以。
直接相连,在PE的VRF中配置指向global地址的缺省路由。
在PE上配置静态路由(目的网段为NAT转换后的公网),下一跳指向VRF的接口。
在PE的VRF中做NAT转换。
在每台PE上的VRF中配置指向global地址的缺省路由。
在PE上配置静态路由(目的网段为私网地址),下一跳指向VRF的接口。
的那台PE,由它统一做NAT转换。
由于所有的私网路由泄漏到所有的PE上,会导致不同的VPN通过PE互访,需要在每台PE上配置ACL,丢弃源地址和目的地址都是私网的流量。
MPLS/VPN规划-互联
,并且做NAT转换。
由该CE发布一条缺省路由给本VPN内的所有CE。
,并且做地址转换。
将该CE所属的VRF配置成与所有VRF都可以互通的超级VPN(How can do that?)
由该CE发布一条缺省路由给全网的所有VPN的所有CE。
由于有超级VPN以及缺省路由的存在,会导致不同的VPN通过超级VPN互访,需要在该PE连接超级VPN的VRF上配置 ACL,丢弃源地址和目的地址都是私网的流量。
选择哪种方式?
PE分布式是运营商常用的(相连),企业网不会使用。
PE集中式太繁琐(每台PE上都要配置ACL),且不支持VPN地址重叠。
CE分布式无需ACL,且支持VPN地址重叠。
CE集中式只需配置一条ACL,但不支持VPN地址重叠。
希望节省资源,选择CE集中式;希望支持VPN地址重叠,选择CE分布式。
MPLS/VPN规划-互联
PE分布式的疑问:
1、如果该PE是支持多实例NAT的设备(如SR88),就不用在PE的每个VRF中做NAT转换,可以统一的在出接口根据VPN来做多实例NAT;
这样就不用做这一个配置“在PE上配置静态路由(目的网段为NAT转换后的公网),下一跳指向VRF的接口”
如:/Service/Document%5FCenter/IP%work%5FProduct/Routers/SR8800/SR8800/Upgrade/Feature%5FManual/SR8800%5FNAT%5FNFM%28Release3223%29%2DAW101/#_Toc202839668
MPLS/VPN规划-互联
PE集中式的疑问:
1、的流量进入该PE的时候是通过标签转发的,所以不可能在该PE的入接口做NAT,的出接口做NAT,所以该PE一定要是支持NAT多实例的设备;
当然还有一个解决办法,就是在每个PE连接CE的入接口就做NAT,但这样就带来配置上极大的复杂化。
2、在1的假设基础上,采用NAT多实例,的出接口做NAT,有以下疑问:
(1)“在每台PE上的VRF中配置指向global地址的缺省路由”
就不需要这样做了,只要在该PE的每个VRF中配置指向global地址的缺省路由,并在BGP相应的每个VPN实例里import static
就可以让每个PE都有访问公网的路由了;
(2)同“PE分布式的疑问”2 ,应该也不需要做这一步“在PE上配置静态路由(目的网段为私网地址),下一跳指向VRF的接口”了
(3)“由于所有的私网路由泄漏到所有的PE上,会导致不同的VPN通过PE互访,需要在每台PE上配置ACL,丢弃源地址和目的地址都是私网 的流量。”
该PE发布的只是一条缺省路由,的出接口上,这样私网之间互访的流量会被转发到该PE上,然后在
出接口做NAT,继续被转发到运营商的网关上,但因为源地址是私网地址,发出去的流量必然没有回应,不会造成私网之间互通的结果;
坏处就是会造成链路带宽的极大浪费,出于这个考虑要在每个PE上配置ACL,禁止不同VPN之间的访问。
验证
PE1
PE2
CE1
CE2




Loop 1 :Vpn1

Loop 2 :Vpn2

Vpn1:
Vpn2:


主要配置
CE1:(CE2和CE1相同)
interface Serial0/2/0
link-protocol ppp
ip address
#
ip route-static
:
interface Serial0/2/0
link-protocol ppp
ip address 25