06-第6章-VPN-Instance的应用

QuidwayNetEngine20系列路由器操作手册VPN分册目录i目录第6章VPN-Instance的应用..................................................................................................6-16.1简介....................................................................................................................................6-16.1.1VPN-Instance..........................................................................................................6-16.1.2VPN-Instance用于本地流量转发............................................................................6-16.2配置举例.............................................................................................................................6-2QuidwayNetEngine20系列路由器操作手册VPN分册第6章VPN-Instance的应用6-1第6章VPN-Instance的应用6.1简介6.1.1VPN-InstanceVPN-Instance的概念最初是在BGP/MPLSVPN中引入的，其主要作用是隔离VPN路由与公网路由，以及隔离不同VPN的路由。VPN-Instance的这一功能使它在非BGP/MPLSVPN的环境中也可以有广泛的应用，使用VPN-Instance，可以在一台路由器上虚拟出多台相互独立的路由器，在IP网络中实现路由隔离。在VRP中，多种软件特性都实现对VPN-Instance的支持，通过绑定到不同的VPN-Insatnce提供“多实例”功能，例如：各种路由协议的多实例（RIP多实例、OSPF多实例、IS-IS多实例、BGP多实例）。6.1.2VPN-Instance用于本地流量转发图6-1是一种常见的本地流量转发组网方案：ISP1、ISP2、ISP3接入到一个提供高速交换能力的二层网络；五个本地网络NetworkA、B、C、D、E分别连接到ISP1、ISP2和ISP3；五个本地网络各自有接入Internet的专用链路，本地网络之间的流量互访通过二层网络进行。QuidwayNetEngine20系列路由器操作手册VPN分册第6章VPN-Instance的应用6-2RouterXRouterBRouterCRouterAISP1ISP2ISP3InternetAccessInternetAccessInternetAccessRouterDRouterEInternetAccessInternetAccessNetworkANetworkBNetworkCNetworkDNetworkELayer2Network图6-1本地流量转发组网方案为了提高网络的安全性和降低对ISP路由器的容量要求，二层网络连接到一台大容量路由器RouterX。RouterX与所有ISP路由器分别建立EBGP邻居关系，不同ISP路由器之间不建立任何BGP邻居关系。这样，RouterX可以学到所有网络的路由，再由RouterX将路由下发给各ISP路由器，指导对本地流量的转发。在图6-1中，ISP1为三个本地网络提供到二层网络的连接。由于通常情况下，同一路由器的不同接口不能配置相同网段的IP地址，而ISP1到二层网络可能只有一个网段的地址，这样，ISP1必须配备三台路由器分别接入，设备的投资比较高。VPN-Instance可以实现在一台路由器的不同接口上配置同一网段的IP地址，从而节省ISP1的建设成本。6.2配置举例1.组网需求NetworkA和NetworkB是两个相互独立的网络，各自有途径连接Internet。它们通过ISP1由一个公共机构的二层网络实现本地流量互访。要求ISP1通过一台路由器RouterB，使用同一网段的两个地址192.168.1.11/24和192.168.1.12/24分别将NetworkA和NetworkB上连到二层网络。QuidwayNetEngine20系列路由器操作手册VPN分册第6章VPN-Instance的应用6-32.组网图ISP1AS:200RouterAEthernet1/0/0192.168.1.11/24Ethernet3/0/0192.168.1.12/24Serial2/0/010.1.1.1/24Serial4/0/020.1.1.1/24AS:100Ethernet1/0/0:192.168.1.1/24r1r2RouterBLayer2NetworkNetworkBNetworkA图6-2地址重叠组网图3.配置步骤(1)配置VPN-Instance#在RouterB上为NetworkA创建VPN-Instance，并绑定上行接口Ethernet1/0/0和下行Serial2/0/0。Quidwaysystem-view[Quidway]sysnameISP1[ISP1]ipvpn-instancer1[ISP1-vpn-instance-r1]route-distinguisher100:1[ISP1-vpn-instance-r1]quit[ISP1]interfaceethernet1/0/0[ISP1-Ethernet1/0/0]ipbindingvpn-instancer1[ISP1-Ethernet1/0/0]ipaddress192.168.1.1124[ISP1-Ethernet1/0/0]quit[ISP1]interfaceserial2/0/0[ISP1-Serial2/0/0]ipbindingvpn-instancer1[ISP1-Serial2/0/0]ipaddress10.1.1.124[ISP1-Serial2/0/0]quit#在RouterB上为NetworkB创建VPN-Instance，并绑定上行接口Ethernet3/0/0和下行Serial4/0/0。[ISP1]ipvpn-instancer2[ISP1-vpn-instance-r2]route-distinguisher100:2[ISP1-vpn-instance-r2]quit[ISP1]interfaceethernet3/0/0QuidwayNetEngine20系列路由器操作手册VPN分册第6章VPN-Instance的应用6-4[ISP1-Ethernet3/0/0]ipbindingvpn-instancer2[ISP1-Ethernet3/0/0]ipaddress192.168.1.1224[ISP1]interfaceserial4/0/0[ISP1-Serial4/0/0]ipbindingvpn-instancer2[ISP1-Serial4/0/0]ipaddress20.1.1.124[ISP1-Serial4/0/0]quit#在RouterB上为两个VPN-Instance配置静态路由：[ISP1]iproute-staticvpn-instancer10.0.0.00192.168.1.1[ISP1]iproute-staticvpn-instancer20.0.0.00192.168.1.1(2)配置RouterA与RouterB的两个上行接口分别建立EBGP邻居关系#配置RouterB：[ISP1]bgp200[ISP1-bgp]ipv4-familyvpn-instancer1[ISP1-bgp-r1]peer192.168.1.1as-number100[ISP1-bgp-r1]import-routedirect[ISP1-bgp-r1]quit[ISP1-bgp]ipv4-familyvpn-instancer2[ISP1-bgp-r2]peer192.168.1.1as-number100[ISP1-bgp-r2]import-routedirect[ISP1-bgp-r2]quit#配置RouterA：Quidwaysystem-view[Quidway]sysnameRouterA[RouterA]interfaceethernet1/0/0[RouterA-Ethernet1/0/0]ipaddress192.168.1.124[RouterA-Ethernet1/0/0]quit[RouterA]bgp100[RouterA-bgp]peer192.168.1.11as-number200[RouterA-bgp]peer192.168.1.12as-number200[RouterA-bgp]quit(3)配置后的检验完成上述配置后，在RouterB上查看私网路由表，可以看到ISP1接入的两个本地网络的路由分别位于VPN-Instancer1和r2中，实现了路由的隔离：[ISP1]displayiprouting-tablevpn-instancer1RoutingTables:r1Destinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface0.0.0.0/0Static600192.168.1.1Ethernet1/0/010.1.1.0/24Direct0010.1.1.1Serial2/0/010.1.1.1/32Direct00127.0.0.1InLoopBack0QuidwayNetEngine20系列路由器操作手册VPN分册第6章VPN-Instance的应用6-510.1.1.2/32Direct0010.1.1.2Serial2/0/0192.168.1.0/24Direct00192.168.1.11Ethernet1/0/0192.168.1.11/32Direct00127.0.0.1InLoopBack0[ISP1]displayiprouting-tablevpn-instancer2RoutingTables:r2Destinations:6Routes:6Destination/MaskProtoPreCostNextHopInterface0.0.0.0/0Static600192.168.1.1Ethernet3/0/020.1.1.0/24Direct0020.1.1.1Serial4/0/020.1.1.1/32Direct00127.0.0.1InLoopBack020.1.1.2/32Direct0020.1.1.2Serial4/0/0192.168.1.0/24Direct00192.168.1.12Ethernet3/0/0192.168.1.12/32Direct00127.0.0.1InLoopBack0在RouterA上执行displayiprouting-table命令，可以看到RouterA的公网路由表中有去往两个本地网络的路由：[RouterA]displayiprouting-tableRoutingTables:PublicDestinations:8Routes:8Destination/MaskProtoPreCostNextHopInterface10.1.1.0/24BGP2550192.168.1.11Ethernet1/0/010.1.1.2/32BGP2550192.168.1.11Et