Структуры сети Hub и Spoke может использоваться для включения устройства управления доступом в VPN для контроля взаимного доступа других пользователей. Сайт, на котором находится устройство управления доступом, называется сайтом Hub, при этом другие сайты называются сайтами Spoke. На сайте Hub устройство, осуществляющее доступ посредством магистральной сети VPN, называется Hub-CE; устройство, осуществляющее доступ к магистральной сети VPN на сайте Spoke, называется Spoke-CE. Устройство в магистральной сети VPN, осуществляющее доступ к сайту Hub, называется Hub-PE; при этом устройство, осуществляющее доступ к сайту Spoke, называется Spoke-PE.
Сайт Spoke объявляет о маршрутах к сайту Hub, а сайт Hub в свою очередь объявляет о маршрутах к другим сайтам Spoke. Между сайтами Spoke прямого маршрута не существует. Cайт Hub управляет обменом данными между сайтами Spoke.
В сетевой модели Hub & Spoke настраиваются два VPN target для поддержки Hub и Spoke соответственно.
Конфигурация VPN target в PE должна соответствовать следующим правилам:
RT import - export Spoke-PE на сайте Spoke являются Spoke и Hub соответственно. RT import Spoke-PE отличается от RT import других Spoke-PE.
На Hub-PE нужны два интерфейса или два саб-интерфейса. Один интерфейс или саб-интерфейс получает маршруты от Spoke-PE, и VPN RT import на интерфейсе является Spoke. Другой интерфейс или саб-интерфейс объявляет маршруты к Spoke-PE, а VPN RT export на интерфейсе является Hub.
Топология Hub и Spoke VPN
Как показано на рис. выше, есть два устройства Spoke PE и Spoke CE, а также одно Hub PE/CE.
Настроить Hub иSpoke можно как указано ниже:
RT import Spoke PE — это RT export Hub PE, а RT export — это RT import Hub PE.
Между Hub PE и Hub CE организована статическая маршрутизация, на Hub PE настраивается статический маршрут к Hub CE и далее импорт его в BGP. Hub CE также имеет статический маршрут к Hub PE.
Spoke PE1 и Spoke PE2 могут получить сведения о маршрутизации в тч и дефолт маршрут по BGP.
Spoke CE и Spoke PE могут иметь статическую или динамическую маршрутизацию, чтобы устройство Spoke CE получало сведения о маршрутах по умолчанию от Spoke PE. Затем Spoke CE1 и Spoke CE2 могут обмениваться данными.
Ниже приведен пример конфигурации Spoke PE.
# ip vpn-instance blue ipv4-family route-distinguisher 65001:3 vpn-target 65001:1000 export-extcommunity vpn-target 65001:2000 import-extcommunity # bgp 65001 ipv4-family vpn-instance blue #
Ниже приведен пример конфигурации Hub PE.
# ip vpn-instance blue ipv4-family route-distinguisher 65001:4 apply-label per-route pop-go vpn-target 65001:2000 export-extcommunity vpn-target 65001:1000 import-extcommunity # bgp 65001 ipv4-family vpn-instance blue default-route imported import-route direct import-route static # interface GigabitEthernet0/3/4.1000 vlan-type dot1q 1000 ip binding vpn-instance blue ip address 10.1.1.1 255.255.255.0 # ip route-static vpn-instance blue 0.0.0.0 0.0.0.0 10.1.1.2 #
Ниже приведен пример конфигурации HUB CE.
# ip vpn-instance blue ipv4-family route-distinguisher 65001:4 apply-label per-route pop-go vpn-target 65001:2000 export-extcommunity vpn-target 65001:1000 import-extcommunity # interface GigabitEthernet1/0/0.1000 dot1q termination vid 1000 ip binding vpn-instance blue ip address 10.1.1.2 255.255.255.0 # ip route-static vpn-instance blue 0.0.0.0 0.0.0.0 10.1.1.1 #
