Chinaunix首页 | 论坛 | 博客
  • 博客访问: 947628
  • 博文数量: 276
  • 博客积分: 4182
  • 博客等级: 上校
  • 技术积分: 4486
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-17 21:14
文章分类

全部博文(276)

文章存档

2014年(9)

2013年(132)

2012年(135)

分类:

2013-01-08 11:50:09

PE还是CE上internet?
两种方式都可以。
通过集中式上internet还是分布式上internet?
两者方式都可以。
PE分布式上internet
每台PE都与internet直接相连,在PE的VRF中配置指向global的缺省路由。
在PE上配置静态路由(目的网段为NAT转换后的公网),下一跳指向VRF的接口。
在PE的VRF中做NAT转换。
PE集中式上internet
在每台PE上的VRF中配置指向global地址的缺省路由。
在PE上配置静态路由(目的网段为私网地址),下一跳指向VRF的接口。
所有的访问internet的流量通过缺省路由发给连接internet的那台PE,由它统一做NAT转换。
由于所有的私网路由泄漏到所有的PE上,会导致不同的VPN通过PE互访,需要在每台PE上配置ACL,丢弃源地址和目的地址都是私网的流量。
CE分布式上internet
每个VRF中选择一台CE连接internet,并且做NAT转换。
由该CE发布一条缺省路由给本VPN内的所有CE。
CE集中式上internet
选择一台健壮的CE连接internet,并且做地址转换。
将该CE所属的VRF配置成与所有VRF都可以互通的超级VPN(How can do that?)
由该CE发布一条缺省路由给全网的所有VPN的所有CE。
由于有超级VPN以及缺省路由的存在,会导致不同的VPN通过超级VPN互访,需要在该PE连接超级VPN的VRF上配置 ACL,丢弃源地址和目的地址都是私网的流量。
选择哪种方式?
PE分布式是运营商常用的(因为运营商的每台PE都直接与internet相连),企业网不会使用。
PE集中式太繁琐(每台PE上都要配置ACL),且不支持VPN地址重叠。
CE分布式无需ACL,且支持VPN地址重叠。
CE集中式只需配置一条ACL,但不支持VPN地址重叠。
希望节省资源,选择CE集中式;希望支持VPN地址重叠,选择CE分布式
阅读(983) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~