Построение сети MPLS VPN Hub и Spoke

Структуры сети Hub и Spoke может использоваться для включения устройства управления доступом в VPN для контроля взаимного доступа других пользователей. Сайт, на котором находится устройство управления доступом, называется сайтом Hub, при этом другие сайты называются сайтами Spoke. На сайте Hub устройство, осуществляющее доступ посредством магистральной сети VPN, называется Hub-CE; устройство, осуществляющее доступ к магистральной сети VPN на сайте Spoke, называется Spoke-CE. Устройство в магистральной сети VPN, осуществляющее доступ к сайту Hub, называется Hub-PE; при этом устройство, осуществляющее доступ к сайту Spoke, называется Spoke-PE.

Сайт Spoke объявляет о маршрутах к сайту Hub, а сайт Hub в свою очередь объявляет о маршрутах к другим сайтам Spoke. Между сайтами Spoke прямого маршрута не существует. Cайт Hub управляет обменом данными между сайтами Spoke.

В сетевой модели Hub & Spoke настраиваются два VPN target для поддержки Hub и Spoke соответственно.

Конфигурация VPN target в PE должна соответствовать следующим правилам:

• RT import - export  Spoke-PE на сайте Spoke являются Spoke и Hub соответственно. RT import Spoke-PE отличается от RT import других Spoke-PE.

• На Hub-PE нужны два интерфейса или два саб-интерфейса. Один интерфейс или саб-интерфейс получает маршруты от Spoke-PE, и VPN RT import  на интерфейсе является Spoke. Другой интерфейс или саб-интерфейс объявляет маршруты к Spoke-PE, а VPN RT export на интерфейсе является Hub.

Рисунок 1. Топология Hub и Spoke VPN

Как показано на рисунке 1, есть два устройства Spoke PE и Spoke CE, а также одно Hub PE/CE.

Настроить Hub иSpoke можно как указано ниже:

• RT import Spoke PE — это RT export Hub PE, а RT export — это RT import Hub PE.

• Между Hub PE и Hub CE организована статическая маршрутизация, на Hub PE настраивается статический маршрут к Hub CE и далее импорт его в BGP. Hub CE также имеет статический маршрут к Hub PE.

• Spoke PE1 и Spoke PE2 могут получить сведения о маршрутизации в тч и дефолт маршрут по BGP.

• Spoke CE и Spoke PE могут иметь статическую или динамическую маршрутизацию, чтобы устройство Spoke CE получало сведения о маршрутах по умолчанию от Spoke PE. Затем Spoke CE1 и Spoke CE2 могут обмениваться данными.

Ниже приведен пример конфигурации Spoke PE.

#
ip vpn-instance blue
 ipv4-family
  route-distinguisher 65001:3
  vpn-target 65001:1000 export-extcommunity
  vpn-target 65001:2000 import-extcommunity
#
bgp 65001
ipv4-family vpn-instance blue
#

Ниже приведен пример конфигурации Hub PE.

#
ip vpn-instance blue
 ipv4-family
  route-distinguisher 65001:4
  apply-label per-route pop-go
  vpn-target 65001:2000 export-extcommunity
  vpn-target 65001:1000 import-extcommunity
#
bgp 65001
ipv4-family vpn-instance blue
  default-route imported
  import-route direct
  import-route static
#
interface   GigabitEthernet0/3/4.1000
 vlan-type dot1q 1000
 ip binding vpn-instance blue
 ip address 10.1.1.1 255.255.255.0
#
ip route-static vpn-instance blue   0.0.0.0 0.0.0.0 10.1.1.2
#

Ниже приведен пример конфигурации HUB CE.

#
ip vpn-instance blue
 ipv4-family
  route-distinguisher 65001:4
  apply-label per-route pop-go
  vpn-target 65001:2000 export-extcommunity
  vpn-target 65001:1000 import-extcommunity
#
interface   GigabitEthernet1/0/0.1000
 dot1q termination vid 1000
 ip binding vpn-instance blue
 ip address 10.1.1.2 255.255.255.0
#
ip route-static vpn-instance blue 0.0.0.0 0.0.0.0 10.1.1.1
#