OSPF Sham-li
Catalyst 650
Apr
3
MPLS VPN访问Internet(MPLS VPN Internet Access Route Leaking&NAT) 
MPLS VPN Internet Access Route Leaking&NAT 路由渗漏
为了能让MPLS VPN客户可以访问Internet,有很多方法可以实现,比如采用Separate (Sub)interface的方式,或者采用Route Leaking和NAT的方式。
Separate (Sub)interface这种方式主要的原理就是在CE与PE之间再做出一条单独的非VRF的链路,CE通过这条链路去访问Internet,技术难度不大,但是需要投入额外的一些费用。这里不再叙述。
采用Route Leaking&NAT结合的方法还是比较常用的,不需要单独在PE和CE之间做一条链路,Internet流量和VPN流量都走VRF的链路。所以投入小,但是技术实现稍微有点难度。
PC---CE1------PE1----P----Internet
|
PE2
|
CE2
简单画个拓扑如上图,P和Internet路由器互联,P路由器有去往Internet的路由,而PE和P之间运行IGP或者BGP,也有去往Internet的路由(可能是默认路由到P),这个时候关键点在与CE客户连接的PE上,首先要解决两个问题:
1、CE必须有默认路由到PE(当然你也可以将Internet的路由发布给CE,但不推荐这样做);
2、CE必须知道什么流量去激活NAT到Internet,不能将MPLS VPN互访的流量给NAT了;
3、一般VPN都是私有网络,在做NAT后的地址PE和P必须知道回程路由;
4、PE和CE之间由于采用的是VRF互联,而Internet流量是采用全局路由表路由,因此必须解决全局路由到VRF路由的导入问题。
加入CE1做NAT的地址池为121.5.5.1/24和121.5.5.2/24 VPN的网段为10.1.1.0/24那么必须的在CE1上做这样的设置
ip access-list extended vpn-to-internet
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
ip nat pool vpn-to-internet 121.5.5.1 121.5.5.2 prefix-length 24
ip nat inside source list vpn-to-internet pool vpn-to-internet overload
那么连PE的口就是Outside,连内网的口就是Inside
必须解决去往Internet的路由
ip route 0.0.0.0 0.0.0.0 PE1-IP 下一跳为PE1的地址
接下来就必须解决如何让PE和P知道去往121.5.5.1和2的路由,方法很多,不再叙述。
在知道回程路由后,PE如何把回程的数据包回送到VRF接口的CE呢,收到数据包是从全局来的,如何进入VRF呢?
在PE可以做如下设置:
1、ip route 121.5.5.0 255.255.255.0 Serial1/0 CE1IP
这是PE回送给CE数据用的路由,是在全局下做的路由,但是下一跳确实CE1的IP地址,该IP地址在VRF中,这就造成下一跳不可达,所以必须人为制造出一个FIB转发表,因此我们做这条路由的时候采用接口加下一跳IP地址的形式来做。
2、ip route vrf vpna 0.0.0.0 0.0.0.0 P路由器IP global
由于PE去网互联网必须是以P作为下一跳,但是P的IP又不在VRF表里,所以这里面采用关键字global,用了这个关键字后,PE就知道了下一跳采用的是全局路由表中的路由,所以它会用全局路由表的路由去路由VRF去往Internet的数据。
以上做完后,CE就可以访问互联啦!!!说的有点乱,但是大致的思想就是这些了!
作者:Tony Liu(admin#myccie.net)
地址:http://myccie.net/read.php?127
版权所有。转载时必须链接形式注明作者和原始出处及本声明!
为了能让MPLS VPN客户可以访问Internet,有很多方法可以实现,比如采用Separate (Sub)interface的方式,或者采用Route Leaking和NAT的方式。
Separate (Sub)interface这种方式主要的原理就是在CE与PE之间再做出一条单独的非VRF的链路,CE通过这条链路去访问Internet,技术难度不大,但是需要投入额外的一些费用。这里不再叙述。
采用Route Leaking&NAT结合的方法还是比较常用的,不需要单独在PE和CE之间做一条链路,Internet流量和VPN流量都走VRF的链路。所以投入小,但是技术实现稍微有点难度。
PC---CE1------PE1----P----Internet
|
PE2
|
CE2
简单画个拓扑如上图,P和Internet路由器互联,P路由器有去往Internet的路由,而PE和P之间运行IGP或者BGP,也有去往Internet的路由(可能是默认路由到P),这个时候关键点在与CE客户连接的PE上,首先要解决两个问题:
1、CE必须有默认路由到PE(当然你也可以将Internet的路由发布给CE,但不推荐这样做);
2、CE必须知道什么流量去激活NAT到Internet,不能将MPLS VPN互访的流量给NAT了;
3、一般VPN都是私有网络,在做NAT后的地址PE和P必须知道回程路由;
4、PE和CE之间由于采用的是VRF互联,而Internet流量是采用全局路由表路由,因此必须解决全局路由到VRF路由的导入问题。
加入CE1做NAT的地址池为121.5.5.1/24和121.5.5.2/24 VPN的网段为10.1.1.0/24那么必须的在CE1上做这样的设置
ip access-list extended vpn-to-internet
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
ip nat pool vpn-to-internet 121.5.5.1 121.5.5.2 prefix-length 24
ip nat inside source list vpn-to-internet pool vpn-to-internet overload
那么连PE的口就是Outside,连内网的口就是Inside
必须解决去往Internet的路由
ip route 0.0.0.0 0.0.0.0 PE1-IP 下一跳为PE1的地址
接下来就必须解决如何让PE和P知道去往121.5.5.1和2的路由,方法很多,不再叙述。
在知道回程路由后,PE如何把回程的数据包回送到VRF接口的CE呢,收到数据包是从全局来的,如何进入VRF呢?
在PE可以做如下设置:
1、ip route 121.5.5.0 255.255.255.0 Serial1/0 CE1IP
这是PE回送给CE数据用的路由,是在全局下做的路由,但是下一跳确实CE1的IP地址,该IP地址在VRF中,这就造成下一跳不可达,所以必须人为制造出一个FIB转发表,因此我们做这条路由的时候采用接口加下一跳IP地址的形式来做。
2、ip route vrf vpna 0.0.0.0 0.0.0.0 P路由器IP global
由于PE去网互联网必须是以P作为下一跳,但是P的IP又不在VRF表里,所以这里面采用关键字global,用了这个关键字后,PE就知道了下一跳采用的是全局路由表中的路由,所以它会用全局路由表的路由去路由VRF去往Internet的数据。
以上做完后,CE就可以访问互联啦!!!说的有点乱,但是大致的思想就是这些了!
相关日志
IP Sec和SSL VPN
Cisco ASA K8升级K9(DES-3DES/AES)
Cisco 2811 NAT Timeout导致丢包!
Creating Site-to-Site VPNs with Pre-Shared Keys
ASA Site-to-Site VPN基本配置
IP Sec和SSL VPN
Cisco ASA K8升级K9(DES-3DES/AES)
Cisco 2811 NAT Timeout导致丢包!
Creating Site-to-Site VPNs with Pre-Shared Keys
ASA Site-to-Site VPN基本配置
作者:Tony Liu(admin#myccie.net)
地址:http://myccie.net/read.php?127
版权所有。转载时必须链接形式注明作者和原始出处及本声明!
2009/05/05 14:20 789stiff2
能说下下如果是pe分布式上internet,如何来控制pe上的私网路由泄露的问题,
分页: 1/1 
1 
1
, Skin by