mplsvpn中网管方式探讨参考.docVIP

MPLS VPN中网管方式探讨  目 录 一、项目与背景： 3 二、现有方式简介： 3 三、现有方式比较： 5 四、新的解决方法： 5 五、结束语： 7  一、项目与背景： 城域网替换工程即将开展，未来的城域网上SR与BAS将具备提供三层MPLS VPN的能力以及VPLS的能力。MPLS VPN灵活的组网方式、强大且灵活的控制能力以及对QoS的保障能力，使得MPLS VPN必将成为我们接入同城或异地VPN互联的主要方式，未来将来必定会取代L2TP、IPSEC等方式成为VPN的主要方式。虽然MPLS VPN简化了客户端的配置与维护，但是对于MPLS VPN的网管将成为一个问题（不同于传统全公网地址的网管），本文将对MPLS VPN（特指三层）环境下如何对CE进行网管进行探讨。 二、现有方式简介： 目前业内主要有三种方式实现MPLS VPN的网管，下面将就这两种方式简单的介绍： （一）方式一： （图一） 方式A网络结构如图一所示，组网结构采用HUB-SPOKE结构，建立一个管理SITE GROUP（站点组），对需要进行网管的客户端CE以SPOKE方式加入SITE GROUP，网管的CE以HUB方式加入SITE GROUP。所有相同站点（SITE）之间的访问通过HUB CE控制。 所有的MPLS VPN网络中，都是通过设置VPN的Route Target属性来控制VPN路由在各个SITE之间的发布与接受。对于HUB-SPOKE的组网，需要在HUB－PE上设置两个Route Target，一个接受从SPOKE发布的路由，另一向SPOKE发布路由。 设置原则大致为： SPOKE-PE上设置Import Target和Export TargetHub-PE上使用两个接口，用来接收SPOKE-PE发布的路由信息，来向SPOKE-PE发布路由信息，与SPOKE-PE上的Import和Export Route Target正好相反。 SPOKE SITE之间的通信通过Hub SITE进行Hub-PE能够接收所有SPOKE-PE发布的VPN-IPv4路由信息Hub-PE发布的VPN-IPv4路由能够为所有SPOKE-PE接收Hub-PE将从SPOKE-PE学到的路由信息发布给其他SPOKE-PE，因此SPOKE SITE之间可以通过Hub SITE互访，而Hub SITE通过在设置互访控制策略对SPOKE SITE之间的互访进行控制和管理 （图二） 方式三按照有一个客户的SITE GROUP，就建立一个管理VPN，每个网管CE等同于该SITE GROUP的一个SITE，与本SITE GROUP中其他所有SITE相通。 三、现有方式比较： 方式一和方式二只需要建立一个管理VPN的SITE GROUP，但是前两种方式都存在同一缺陷，即需管理的客户端CE不能地址重复。此外采用HUB－SPOKE方式如配置错误会使得不同SITE GROUP的客户之间相通，存在一定的安全隐患，而且客户端之间的相通需通过HUB SITE，造成HUB SITE 负荷增大，因此不建议采用方式一。采用第三种方式需建立多个管理VPN SITE GROUP，需增加多台CE设备以及多台管理终端，非常浪费。 四、新的解决方法： 通过以上对比，可看出以上三种方式都存在一定的缺陷，因而考虑将三种方式进行整合来达到既节省投资，又能够网管的目的。 具体做法如下： 根据需管理的SITE GROUP进行分类，对于没有地址重叠的SITE GROUP采用第二种方式进行管理，地址重叠的按照方式三进行管理； Manager CE与Manager PE之间的连接采用公网连接与私网连接，管理终端的地址也采用公网地址，这样通过公网连接（普通IPV4）可以管理公网P与PE，通过私网连接（VPNV4）可管理CE； 在Manager PE与Manager CE之间启用TRUNK，Manager PE上启用VLAN子接口，CE用三层交换机，上联口配置为TRUNK，其余端口根据PE的子接口划分VLAN；在PE上将不同的子接口划入不同的VRF，一个VRF用于做方式二的网管，其余的用于方式三的网管； 对于采用方式三的网管，一个SITE就需要至少一台服务器，因为SITE GROUP中地址存在重叠，因而不可以采用一台服务器多块网卡的方式（路由不好加）。目前借助于最新的服务器虚拟化技术（建议采用VMWARE SERVER 版），可以解决此问题，将一台服务器虚拟为多台独立工作的服务器，将不同的物理网卡划入不同的虚拟机器，将不同的机器接到不同的VPN SITE中，这样可以有效节省网管服务器。扩容也极为简单，只需再增加机器即可。 以下举例对第二种方式的Route Target配置做简单的介绍，第三种方式为