En una red MPLS VPN, se utilizan diferentes VPN para aislar diferentes rutas para lograr muchos propósitos. Sin embargo, en algunos casos, los segmentos o sitios de red específicos en diferentes VPN deben comunicarse entre sí. Hay muchos métodos para lograr este objetivo. Hoy, me gustaría compartir con ustedes dos escenarios / soluciones diferentes.
Escenario 1: los sitios específicos en diferentes VPN deben comunicarse entre sí.
Requisito:
En la red, hay dos VPN de servicio: VPN1 y VPN2. 11.11.11.11 en VPN1 en PE1 necesita acceder al 200.200.200.200.200 en VPN2 en PE2. Pero otras direcciones IP en diferentes VPN no pueden comunicarse.
Solución:
1. Importe todas las rutas VPNv4 de la VPN de destino a la instancia de VPN.
PE1 | PE2 |
# ip vpn-instance vpn1 ipv4-family vpn-target 200:1 import-extcommunity # | # ip vpn-instance vpn2 ipv4-family vpn-target 100:1 import-extcommunity # |
2. Defina una política de ruta para filtrar las rutas requeridas.
# route-policy vpn1 permit node 10 if-match ip-prefix vpn1 if-match extcommunity-filter vpn2 # route-policy vpn1 permit node 20 if-match extcommunity-filter vpn1 # ip ip-prefix vpn1 index 10 permit 200.200.200.200 32 # ip extcommunity-filter basic vpn1 permit rt 100:1 ip extcommunity-filter basic vpn2 permit rt 200:1 # ip vpn-instance vpn1 ipv4-family import route-policy vpn1 # | # route-policy vpn2 permit node 10 if-match ip-prefix vpn2 if-match extcommunity-filter vpn1 # route-policy vpn2 permit node 20 if-match extcommunity-filter vpn2 # ip ip-prefix vpn2 index 10 permit 11.11.11.11 32 # ip extcommunity-filter basic vpn1 permit rt 100:1 ip extcommunity-filter basic vpn2 permit rt 200:1 # ip vpn-instance vpn2 ipv4-family import route-policy vpn2 # |
Resumen: el comando vpn-target import-extcommunity se ejecuta en la vista de instancia de VPN para importar rutas VPNv4 a la tabla de enrutamiento VPN. El comando import route-policy se usa para filtrar las rutas VPNv4 importadas durante la importación. Esto es similar a la importación de rutas en un IGP. Las rutas se filtran utilizando una política antes de ser importadas.
Escenario 2: acceder al servidor en otra VPN.
Requisito:
En la red, hay dos VPN de servicio: VPN1 y VPN2. Los sitios en VPN2 en PE2 necesitan acceder al servidor 11.11.11.11 en VPN1. Pero otras direcciones IP en diferentes VPN no pueden comunicarse.
Solución:
Agregue el atributo de comunidad extendida de la VPN de destino cuando PE1 anuncie la dirección del servidor de VPN1. E importe todas las rutas de VPN2 a VPN1 en PE1. De esta manera, los sitios en VPN2 pueden acceder al servidor de VPN1.
PE1 # route-policy server permit node 10 if-match ip-prefix server aplique el aditivo extcommunity rt 200: 1 // Haga coincidir la dirección del servidor y el atributo de comunidad extendida de la VPN de destino. Añadir aditivo; de lo contrario, los usuarios de la VPN no pueden acceder al servidor porque el atributo 200: 1 sobrescribe el atributo original 100: 1. # route-policy server permit node 20 # ip vpn-instance vpn1 ipv4-family route-distinguisher 2.2.2.2:100 export route-policy server vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity vpn-target 100:1 200:1 import-extcommunity # |
Resumen: cuando el comando export-route-policy se ejecuta en el extremo remoto, todos los PE en la VPN de destino pueden recibir la ruta. Preste atención a los siguientes puntos cuando ejecute el comando:
1. Se debe agregar el parámetro aditivo.
2. La política de enrutamiento de exportación debe permitir el paso de rutas en la VPN local. De lo contrario, otras rutas en la VPN no están disponibles.