01-07_VPN_Instance的应用

QuidwayNetEngine80E操作手册VPN分册目录文档版本03(2007-03-01)华为技术有限公司i目录7VPN-Instance的应用.................................................................................................................7-17.1简介.................................................................................................................................................................7-27.1.1VPN-Instance..........................................................................................................................................7-27.1.2VPN-Instance用于本地流量转发.........................................................................................................7-27.2配置举例.........................................................................................................................................................7-47.2.1配置同一路由器上地址重叠示例.......................................................................................................7-4插图目录QuidwayNetEngine80E操作手册VPN分册ii华为技术有限公司文档版本03(2007-03-01)插图目录图7-1本地流量转发组网方案...........................................................................................................................7-3图7-2地址重叠组网图........................................................................................................................................7-4QuidwayNetEngine80E操作手册VPN分册7VPN-Instance的应用文档版本03(2007-03-01)华为技术有限公司7-17VPN-Instance的应用关于本章本章描述内容如下表所示。标题内容7.1简介介绍VPN-Instance概念和作用7.2配置举例利用VPN-Instance来实现本地流量转发举例：配置同一路由器上地址重叠示例7VPN-Instance的应用QuidwayNetEngine80E操作手册VPN分册7-2华为技术有限公司文档版本03(2007-03-01)7.1简介本节介绍VPN-Instance在非BGP/MPLSVPN的环境中的应用，主要内容包括：zVPN-InstancezVPN-Instance用于本地流量转发7.1.1VPN-InstanceVPN-Instance的概念最初是在BGP/MPLSVPN中引入的，其主要作用是隔离VPN路由与公网路由，以及隔离不同VPN的路由。VPN-Instance的这一功能使它在非BGP/MPLSVPN的环境中也可以有广泛的应用，使用VPN-Instance，可以在一台路由器上虚拟出多台相互独立的路由器，在IP网络中实现路由隔离。在NE80E中，多种软件特性都实现对VPN-Instance的支持，通过绑定到不同的VPN-Instance提供“多实例”功能。例如：各种路由协议的多实例（RIP多实例、OSPF多实例、IS-IS多实例）。7.1.2VPN-Instance用于本地流量转发图7-1是一种常见的本地流量转发组网方案。zISP1、ISP2、ISP3接入到一个提供高速交换能力的二层网络。z五个本地网络NetworkA、B、C、D、E分别连接到ISP1、ISP2和ISP3。z五个本地网络各自有接入Internet的专用链路，本地网络之间的流量互访通过二层网络进行。QuidwayNetEngine80E操作手册VPN分册7VPN-Instance的应用文档版本03(2007-03-01)华为技术有限公司7-3图7-1本地流量转发组网方案InternetaccessInternetaccessRouterXRouterBRouterCRouterAISP1ISP2ISP3InternetaccessRouterDRouterEInternetaccessInternetaccessNetworkANetworkBNetworkCNetworkDNetworkELayer2network:Dataflow:Networkconnection为了提高网络的安全性和降低对ISP路由器的容量要求，二层网络连接到一台大容量路由器RouterX。RouterX与所有ISP路由器分别建立EBGP邻居关系，不同ISP路由器之间不建立任何BGP邻居关系。这样，RouterX可以学到所有网络的路由，再由RouterX将路由下发给各ISP路由器，指导对本地流量的转发。在图7-1中，ISP1为三个本地网络提供到二层网络的连接。由于通常情况下，同一路由器的不同接口不能配置相同网段的IP地址，而ISP1到二层网络可能只有一个网段的地址，这样，ISP1必须配备三台路由器分别接入，设备的投资比较高。VPN-Instance可以实现在一台路由器的不同接口上配置同一网段的IP地址，从而节省ISP1的建设成本。7VPN-Instance的应用QuidwayNetEngine80E操作手册VPN分册7-4华为技术有限公司文档版本03(2007-03-01)7.2配置举例7.2.1配置同一路由器上地址重叠示例组网需求如图7-2所示，NetworkA和NetworkB是两个相互独立的网络，各自有途径连接Internet。它们通过ISP1由一个公共机构的二层网络实现本地流量互访。要求ISP1通过一台路由器RouterB，使用同一网段的两个地址192.168.1.11/24和192.168.1.12/24分别将NetworkA和NetworkB上连到二层网络。图7-2地址重叠组网图ISP1AS:200GE1/0/0192.168.1.11GE3/0/0192.168.1.12POS2/0/010.1.1.1/24POS4/0/020.1.1.1/24GE1/0/0192.168.1.1r1r2RouterBLayer2networkNetworkBNetworkARouterAAS:100配置步骤步骤1配置VPN-Instance#在RouterB上为NetworkA创建VPN-Instance，并绑定上行接口GigabitEthernet1/0/0和下行POS2/0/0。Quidwaysystem-view[Quidway]sysnameISP1[ISP1]ipvpn-instancer1[ISP1-vpn-instance-r1]route-distinguisher100:1[ISP1-vpn-instance-r1]quit[ISP1]interfacegigabitethernet1/0/0[ISP1-GigabitEthernet1/0/0]ipbindingvpn-instancer1[ISP1-GigabitEthernet1/0/0]ipaddress192.168.1.1124[ISP1-GigabitEthernet1/0/0]quit[ISP1]interfacepos2/0/0[ISP1-Pos2/0/0]ipbindingvpn-instancer1QuidwayNetEngine80E操作手册VPN分册7VPN-Instance的应用文档版本03(2007-03-01)华为技术有限公司7-5[ISP1-Pos2/0/0]ipaddress10.1.1.124[ISP1-Pos2/0/0]quit#在RouterB上为NetworkB创建VPN-Instance，并绑定上行接口GigabitEthernet3/0/0和下行POS4/0/0。[ISP1]ipvpn-instancer2[ISP1-vpn-instance-r2]route-distinguisher100:2[ISP1-vpn-instance-r2]quit[ISP1]interfacegigabitethernet3/0/0[ISP1-GigabitEthernet3/0/0]ipbindingvpn-instancer2[ISP1-GigabitEthernet3/0/0]ipaddress192.168.1.1224[ISP1-GigabitEthernet3/0/0]quit[ISP1]interfacepos4/0/0[ISP1-Pos4/0/0]ipbindingvpn-instancer2[ISP1-Pos4/0/0]ipaddress20.1.1.124[ISP1-Pos4/0/0]quit#在RouterB上为两个VPN-Instance配置静态路由：[ISP1]iproute-staticvpn-instancer10.0.0.00192.168.1.1[ISP1]iproute-staticvpn-instancer20.0.0.00192.168.1.1步骤2配置RouterA与RouterB的两个上行接口分别建立EBGP邻居关系#配置RouterB。[ISP1]bgp200[ISP1-bgp]ipv4-familyvpn-instancer1[ISP1-bgp-r1]peer192.168.1.1as-number100[ISP1-bgp-r1]import-routedirect[ISP1-bgp-r1]quit[ISP1-bgp]ipv4-familyvpn-instancer2[ISP1-bgp-r2]peer192.168.1.1as-number100[ISP1-bgp-r2]import-routedirect[ISP1-bgp-r2]quit#配置RouterA。Quidwaysystem-view[Quidway]sysnameRouterA[RouterA]interfacegigabitethernet1/0/0[RouterA-GigabitEthernet1/0/0]ipaddress192.168.1.124[RouterA-GigabitEthernet1/0/0]quit[RouterA]bgp100[RouterA-bgp]peer192.168.1.11as-number200[RouterA-bgp]peer192.168.1.12as-number200[RouterA-bgp]quit步骤3验证配置结果完成上述配置后，在RouterB上查看私网路由表，可以看到ISP1接入的两个本地网络的路由分别位于VPN-Instancer1和r2中，实现了路由的隔离。[ISP1]di