MPLS VPN Central services VPN模型

Technorati 标签: MPLS,VPN,CCIE,RT,Central services

Central Services VPN(中心服务VPN)

在该拓扑中,所有的客户端可以访问中心服务器.(无所谓中心有多少个PE)

服务器可以和客户端互通.

而client不能和client之间进行互通.

这就是典型的中心/分支结构.

实际上也是通过RT的控制来达到该目的的.

在不同的client，都做上不同的私有RT.例如client-1: RT both 123:101.

client-2: RT both 123:102.以此类推.

可是他们有共同的RT export和import.刚好和中心端是对应的.

所以client之间是不能互通的，但是都能和中心端进行互通.

Central Services VPN模型：

需求：

R3和R5这两个PE下面下挂的VRF Central Services需要能相互访问.

有4个Client VRF. 分别是Hank-7,10,2,9,他们之间不能互通，但是他们都能与中心服务器之间进行互通.

所用到的技术，依然是利用RT的export和import进行管理控制路由前缀.

路由导入导出的模型如下：

有了上面的RT设计，该试验就变得相当简单了。

在该拓扑中, R1和R8都是属于Cetral services的服务器.

R7,R10,R2,R9都要能和中心服务器进行访问，但是R7,10,2,9之间是不能相互访问的，因为他们属于不同的VRF.

在R7,10,2,9上面都会宣告环回口xx.1.1.1/32,中心服务器和分支机构都要能相互学习到对端的环回口路由.

通过实验结果，可以发现，R1和R8都学习到22.1.1.1/32, 77.1.1.1/32,99.1.1.1/32,110.1.1.1/32.

首先来看R1的路由表：

再来看R8的路由表：

对于其他的CE路由器，路由表中均有11.1.1.1和88.1.1.1的中心服务器的路由：

在中心端PE路由上面，可以看到，任意的CE环回口路由，都是打上了RT export 200:1,所以中心端才能接收该路由:

核心端配置：

关于CE的配置这里就不再赘述了，一个环回口，一个物理接口，IGP用OSPF.

PE-3配置：

ip vrf Central-service

description ###Central-server-VRF###

rd 3:3

route-target export 200:1

route-target export 200:2

route-target import 200:1

ip cef

mpls label range 300 399

mpls label protocol ldp

mpls ldp router-id Loopback0 force

interface Loopback0

ip address 33.1.1.1 255.255.255.255

interface Ethernet0/2

ip address 35.1.1.3 255.255.255.0

mpls ip

interface Ethernet0/3

ip address 34.1.1.3 255.255.255.0

mpls ip

interface Ethernet1/0

ip vrf forwarding Central-service

ip address 13.1.1.3 255.255.255.0

router ospf 100 vrf Central-service

redistribute bgp 65000 subnets

network 13.1.1.3 0.0.0.0 area 10

router ospf 1

router-id 33.1.1.1

network 33.1.1.1 0.0.0.0 area 0

network 34.1.1.3 0.0.0.0 area 0

network 35.1.1.3 0.0.0.0 area 0

router bgp 65000

bgp router-id 33.1.1.1

bgp log-neighbor-changes

no bgp default ipv4-unicast

neighbor IBGP peer-group

neighbor IBGP remote-as 65000

neighbor IBGP update-source Loopback0

neighbor 44.1.1.1 peer-group IBGP

neighbor 55.1.1.1 peer-group IBGP

neighbor 66.1.1.1 peer-group IBGP

address-family ipv4

neighbor 44.1.1.1 activate

neighbor 55.1.1.1 activate

neighbor 66.1.1.1 activate

exit-address-family

address-family vpnv4

neighbor IBGP send-community extended

neighbor 44.1.1.1 activate

neighbor 55.1.1.1 activate

neighbor 66.1.1.1 activate

exit-address-family

address-family ipv4 vrf Central-service

redistribute ospf 100 match internal external 1 external 2

exit-address-family

PE-5配置：

ip vrf Central-service

description ###Central-server-VRF###

rd 5:5

route-target export 200:1

route-target export 200:2

route-target import 200:1

ip cef

no ipv6 cef

mpls label range 500 599

mpls label protocol ldp

mpls ldp router-id Loopback0 force

interface Loopback0

ip address 55.1.1.1 255.255.255.255

interface Ethernet0/0

ip vrf forwarding Central-service

ip address 58.1.1.5 255.255.255.0

interface Ethernet0/1

ip address 56.1.1.5 255.255.255.0

mpls ip

interface Ethernet0/2

ip address 35.1.1.5 255.255.255.0

mpls ip

router ospf 101 vrf Central-service

domain-id 0.0.0.100

redistribute bgp 65000 subnets

network 58.1.1.5 0.0.0.0 area 20

router ospf 1

router-id 55.1.1.1

network 35.1.1.5 0.0.0.0 area 0

network 55.1.1.1 0.0.0.0 area 0

network 56.1.1.5 0.0.0.0 area 0

router bgp 65000

bgp router-id 55.1.1.1

bgp log-neighbor-changes

no bgp default ipv4-unicast

neighbor IBGP peer-group

neighbor IBGP remote-as 65000

neighbor IBGP update-source Loopback0

neighbor 33.1.1.1 peer-group IBGP

neighbor 44.1.1.1 peer-group IBGP

neighbor 66.1.1.1 peer-group IBGP

address-family ipv4

neighbor 33.1.1.1 activate

neighbor 44.1.1.1 activate

neighbor 66.1.1.1 activate

exit-address-family

address-family vpnv4

neighbor IBGP send-community extended

neighbor 33.1.1.1 activate

neighbor 44.1.1.1 activate

neighbor 66.1.1.1 activate

exit-address-family

address-family ipv4 vrf Central-service

redistribute ospf 101 match internal external 1 external 2

exit-address-family

PE-4配置：

ip vrf Hank-2

rd 2:2

route-target export 200:1

route-target import 200:2

ip vrf Hank-9

rd 9:9

route-target export 200:1

route-target import 200:2

ip cef

mpls label range 400 499

mpls label protocol ldp

mpls ldp router-id Loopback0 force

interface Loopback0

ip address 44.1.1.1 255.255.255.255

interface Ethernet0/3

ip address 34.1.1.4 255.255.255.0

mpls ip

interface Ethernet1/0

ip address 46.1.1.4 255.255.255.0

mpls ip

interface Ethernet1/1

ip vrf forwarding Hank-2

ip address 24.1.1.4 255.255.255.0

interface Ethernet1/2

ip vrf forwarding Hank-9

ip address 49.1.1.4 255.255.255.0

router ospf 104 vrf Hank-2

domain-id 0.0.0.100

redistribute bgp 65000 subnets

network 24.1.1.4 0.0.0.0 area 20

router ospf 105 vrf Hank-9

domain-id 0.0.0.100

redistribute bgp 65000 subnets

network 49.1.1.4 0.0.0.0 area 90

router ospf 1

router-id 44.1.1.1

network 34.1.1.4 0.0.0.0 area 0

network 44.1.1.1 0.0.0.0 area 0

network 46.1.1.4 0.0.0.0 area 0

router bgp 65000

bgp router-id 44.1.1.1

bgp log-neighbor-changes

no bgp default ipv4-unicast

neighbor IBGP peer-group

neighbor IBGP remote-as 65000

neighbor IBGP update-source Loopback0

neighbor 33.1.1.1 peer-group IBGP

neighbor 55.1.1.1 peer-group IBGP

neighbor 66.1.1.1 peer-group IBGP

address-family ipv4

neighbor 33.1.1.1 activate

neighbor 55.1.1.1 activate

neighbor 66.1.1.1 activate

exit-address-family

address-family vpnv4

neighbor IBGP send-community extended

neighbor 33.1.1.1 activate

neighbor 55.1.1.1 activate

neighbor 66.1.1.1 activate

exit-address-family

address-family ipv4 vrf Hank-2

redistribute ospf 104 match internal external 1 external 2

exit-address-family

address-family ipv4 vrf Hank-9

redistribute ospf 105 match internal external 1 external 2

exit-address-family

PE-6配置：

ip vrf Hank-10

rd 10:10

route-target export 200:1

route-target import 200:2

ip vrf Hank-7

rd 7:7

route-target export 200:1

route-target import 200:2

ip cef

mpls label range 600 699

mpls label protocol ldp

mpls ldp router-id Loopback0 force

interface Loopback0

ip address 66.1.1.1 255.255.255.255

interface Ethernet0/0

ip vrf forwarding Hank-7

ip address 67.1.1.6 255.255.255.0

interface Ethernet0/1

ip address 56.1.1.6 255.255.255.0

mpls ip

interface Ethernet0/2

ip vrf forwarding Hank-10

ip address 106.1.1.6 255.255.255.0

interface Ethernet1/0

ip address 46.1.1.6 255.255.255.0

mpls ip

router ospf 102 vrf Hank-7

domain-id 0.0.0.100

redistribute bgp 65000 subnets

network 67.1.1.6 0.0.0.0 area 70

router ospf 103 vrf Hank-10

domain-id 0.0.0.100

redistribute bgp 65000 subnets

network 106.1.1.6 0.0.0.0 area 100

router ospf 1

router-id 66.1.1.1

network 46.1.1.6 0.0.0.0 area 0

network 56.1.1.6 0.0.0.0 area 0

network 66.1.1.1 0.0.0.0 area 0

router bgp 65000

bgp router-id 66.1.1.1

bgp log-neighbor-changes

no bgp default ipv4-unicast

neighbor IBGP peer-group

neighbor IBGP remote-as 65000

neighbor IBGP update-source Loopback0

neighbor 33.1.1.1 peer-group IBGP

neighbor 44.1.1.1 peer-group IBGP

neighbor 55.1.1.1 peer-group IBGP

address-family ipv4

neighbor 33.1.1.1 activate

neighbor 44.1.1.1 activate

neighbor 55.1.1.1 activate

exit-address-family

address-family vpnv4

neighbor IBGP send-community extended

neighbor 33.1.1.1 activate

neighbor 44.1.1.1 activate

neighbor 55.1.1.1 activate

exit-address-family

address-family ipv4 vrf Hank-10

redistribute ospf 103 match internal external 1 external 2

exit-address-family

address-family ipv4 vrf Hank-7

redistribute ospf 102 match internal external 1 external 2

exit-address-family

时间： 2024-11-05 07:12:40

MPLS VPN Central services VPN模型的相关文章

MPLS VPN与IPSec VPN对比分析

转:http://www.xzbu.com/8/view-7456625.htm 1 引言互联网的快速发展大大促进了信息资源的交流,与此同时,人们对频繁出现的安全保密问题也愈加关注.通过传统的方式构建企业内部或企业之间的安全通信环境,必须通过自建通信干道或租用电缆和光缆,利用ISDN(Integrated Services Digital Network,综合业务数字网)或DDN(Digital Data Network,数字数据网)等技术构建企业专用网,若想在安全性和可靠性上得到保障,获得

C++实现VPN工具之VPN错误代码大全

该篇文章转自:<VPN问题全攻略>http://home.51.com/h012359/diary/item/10008457.html 以下是使用VPN版软件中常见的一些错误代码: 1.错误代码(691):由于域上的用户名或密码无效而拒绝访问. 如果是使用的易游提供的VPN服务器,请在帐务系统确认使用的帐号是否状态正常,刚设置好的帐号需要等5分钟才能使用.如果是外部VPN服务器请直接找VPN服务器提供商. 2.错误代码(721):远程计算机没反应. 请使用Easy2Game VPN1.2版本

如何远程访问VPN之easy VPN

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 前言:前面已经详细介绍了L2L ipsec VPN,本章将深入探讨远程访问VPN的内容.首先我们对比在建立ipsec连接方面二者之间的区别,从而引出XAUTH.组策略.动态crypto map等概念,以路由器这个搭建最熟悉的环境为载体,详细介绍远程VPN的原理及配置.之后,我们会类比路由器的配置,详细讲解cisco asa防火墙如何实现远

vpn服务器搭建vpn服务器多少钱国外的vpn服务器多少钱

vpn服务器搭建vpn服务器多少钱国外的vpn服务器多少钱服务器租用价格表:?没有性价比更高的配置:香港服务器双核 4G内存独享国际带宽5M 399元 L5640 12核 8G内存独享国际带宽5M 899元 E5 2670 16核 8G内存独享国际带宽5M 1200元 QQ: 2727453595借助VPN,企业外出人员可随时连到企业的VPN服务器,进而连接到企业内部网络.借助windows2003的“路由和远程访问” 服务,可以实现基于软件的VPN. VPN(Virtual Priva

SSL vpn vs IPSEC vpN

ssl VPN网关作为一种新兴的VPN技术,与传统的IPSec VPN技术各具特色,各有千秋.SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势.这两种产品将在VPN市场上长期共存,优势互补.在产品的表现形式上,两者有以下几大差异: 1.IPsec VPN多用于"网-网"连接,SSL VPN用于"移动客户-网"连接.SSL VPN的移动用户使用标准的浏览器,无需安装

企业专用软件VPN——派克斯VPN

派克斯VPN主要用与企业间的VPN连接,比如分部和总部的办公室在不同地点.通过派克斯VPN建立连接,分部就可以访问总部的数据库.ERP系统.OA系统.视频电话.内部邮箱.共享文件等等资源. 外出办公人员,在电脑上安装派克斯VPN客户端,就可以与总部网络建立VPN连接,访问总部的各类资源. 派克斯VPN是纯软件的,分为服务器端.站点端.客户端三部分.传输速度快,安全性高,部署简单快捷. 最新版的派克斯 VPN 4.0增加手机VPN连接功能,手机不用越狱,不用安装客户端,这位移动办公带来了无限可能.

WIN10连接VPN后无法上网解决办法-WIN10,VPN,PPTP,连接VPN后无法上网，VPN连接右键属性--网络--IPV4，点属性没反应不会弹出对话框

WIN10连接VPN后无法上网解决办法 1.C盘搜索框内搜索rasphone.pbk 2.打开rasphone.pbk(字节不为0的那个文件) 3.IpPrioritizeRemote值全部替换成0(有2个) 重新连接VPN看看亲测有效!!! 微软官方的文档:http://answers.microsoft.com/zh-hans/windows/forum/windows_10-networking/win10vpnpptp%E8%BF%9E%E6%8E%A5vpn%E5%90%8E/c48

通过SoftEther VPN自建VPN服务器

SoftEther VPN是日本政府的研究和开发项目的一项工作,由日本的经济.贸易和工业部资助,由信息化推进机构管理.SoftEther VPN在日本筑波大学开发的免费软件.具有终极兼容许多设备的高性能VPN.支持Windows.Mac.智能手机.平板电脑(iPhone\iPad\Android\WindowsRT)和思科或其他VPN路由器.SoftEther VPN也接受OpenVPN和MS-SSTP VPN客户端. 可以从http://www.softether-download.com/(

windows10 vpn无法设置vpn dns 的BUG处理

无法点开属性,以前win7.win8.1都可以设置属性,然后设置dns相关选项,为啥,win10无法设置,是微软BUG吗?还是微软故意逗我们玩呢? 目前,解决办法,建立一个bat命令,以管理员身份运行. vpn.bat @ECHO OFF netsh interface ip set dns "VPN 连接" static 114.114.114.114 114.114.114.114是DNS地址.