La red Hub & Spoke se puede usar para habilitar un dispositivo de control de acceso en una VPN para controlar el acceso mutuo de otros usuarios. El sitio donde se localiza el dispositivo de control de acceso se denomina sitio de Hub y otros sitios se denominan sitios de Spoke. En el sitio de Hub, un dispositivo que accede a la red troncal de VPN se llama Hub-CE; en un sitio de Spoke, un dispositivo que accede a la red troncal de VPN se llama Spoke-CE. En la red troncal VPN, un dispositivo que accede al sitio de Hub se llama Hub-PE; un dispositivo que accede a un sitio de Spoke se llama Spoke-PE.

Un sitio de Spoke anuncia rutas al sitio de Hub, y el sitio de Hub luego anuncia las rutas a otros sitios de Spoke. No existe una ruta directa entre los sitios de Spoke. El sitio de Hub controla la comunicación entre los sitios de Spoke.

En el modelo de red Hub & Spoke, dos destinos VPN están configurados para representar a Hub y Spoke respectivamente.

La configuración de un objetivo VPN en un PE debe cumplir con las siguientes reglas:

l  El destino de exportación y el destino de importación de Spoke-PE en un sitio de Spoke son Spoke y Hub respectivamente. El objetivo de importación de un Spoke-PE es diferente de los objetivos de exportación de otros Spoke-PE.

l  Un Hub-PE requiere dos interfaces o subinterfaces. Una interfaz o sub-interfaz recibe rutas de Spoke-PE y el objetivo de importación de la instancia de VPN en la interfaz es Spoke. La otra interfaz o sub-interfaz anuncia las rutas a Spoke-PE y el destino de exportación de la instancia de VPN en la interfaz es Hub.

Como se muestra en la figura anterior, hay dos Spoke PE y Spoke CE, y un Hub PE / CE.

Podemos configurar el Hub & Spoke de la siguiente manera:

l  La RT de importación de Spoke PE es la RT de exportación de Hub PE, y la RT de exportación es la RT de importación de Hub PE.

l  Entre el Hub PE y el Hub CE que ejecutan el enrutamiento estático, el Hub PE configura el enrutamiento estático predeterminado al Hub CE y lo importa al BGP. El Hub CE también configura un enrutamiento estático predeterminado al Hub PE.

l  Spoke PE1 y Spoke PE2 pueden aprender el enrutamiento predeterminado del BGP.

l  Spoke CE y Spoke PE pueden configurar el enrutamiento estático o dinámico, asegurándose de que Spoke CE pueda aprender el enrutamiento predeterminado de Spoke PE. Luego, Spoke CE1 y Spoke CE2 pueden comunicarse entre sí.

La plantilla de configuración de Spoke PE es la siguiente:

#

ip vpn-instance blue

ipv4-family

  route-distinguisher 65001:3

  vpn-target 65001:1000   export-extcommunity

  vpn-target 65001:2000   import-extcommunity

#

bgp 65001

ipv4-family vpn-instance blue

#

La plantilla de configuración de Hub PE es la siguiente:

#

ip vpn-instance blue

ipv4-family

  route-distinguisher 65001:4

  apply-label per-route   pop-go

  vpn-target 65001:2000   export-extcommunity

  vpn-target 65001:1000   import-extcommunity

#

bgp 65001

ipv4-family vpn-instance blue

  default-route imported

  import-route direct

  import-route static

#

interface GigabitEthernet0/3/4.1000

vlan-type dot1q 1000

ip binding vpn-instance   blue

ip address 10.1.1.1   255.255.255.0

#

ip route-static vpn-instance blue 0.0.0.0 0.0.0.0 10.1.1.2

#

La plantilla de configuración de Hub CE es la siguiente:

#

ip vpn-instance blue

ipv4-family

  route-distinguisher 65001:4

  apply-label per-route   pop-go

  vpn-target 65001:2000   export-extcommunity

  vpn-target 65001:1000   import-extcommunity

#

interface GigabitEthernet1/0/0.1000

dot1q termination vid 1000

ip binding vpn-instance   blue

ip address 10.1.1.2   255.255.255.0

#

ip route-static vpn-instance blue 0.0.0.0 0.0.0.0 10.1.1.1

#