Hub and Spoke的组网应用
业务描述
对于银行等金融企业,为了有效地保证了金融数据的安全,可以通过部署Hub and Spoke组网使所有支行间必须通过总行才能进行数据交换,从而使支行间的数据传输得到有效监控。
在Hub and Spoke组网中,总行的中心访问控制设备所在站点称为Hub站点,其他支行的站点称为Spoke站点。Hub站点侧接入VPN骨干网的设备叫Hub-CE;Spoke站点侧接入VPN骨干网的设备叫Spoke-CE。VPN骨干网侧接入Hub站点的设备叫Hub-PE,接入Spoke站点的设备叫Spoke-PE。
Spoke站点需要把路由发布给Hub站点,再通过Hub站点发布给其他Spoke站点。Spoke站点之间不直接发布路由。Hub站点对Spoke站点之间的通讯进行集中控制。
组网描述
Hub and Spoke有以下组网方案:
Hub-CE与Hub-PE、Spoke-PE与Spoke-CE使用EBGP。
Hub-CE与Hub-PE、Spoke-PE与Spoke-CE使用IGP。
Hub-CE与Hub-PE使用EBGP,Spoke-PE与Spoke-CE使用IGP。
下面详细介绍这几种方案:
Hub-CE与Hub-PE,Spoke-PE与Spoke-CE使用EBGP
如图2-33所示,Hub and Spoke中,来自Spoke-CE的路由需要在Hub-CE和Hub-PE上转一圈再发给其他Spoke-PE。如果Hub-PE与Hub-CE之间使用EBGP,Hub-PE会对该路由进行AS-Loop检查。此时,Hub-PE发现该路由已包含自己的AS号,于是丢弃此路由。因此,如果Hub-PE与Hub-CE之间使用EBGP,为了实现Hub and Spoke,Hub-PE上必须手工配置允许本地AS编号重复。
Hub-CE与Hub-PE,Spoke-PE与Spoke-CE使用IGP
如图2-34所示,由于所有的PE-CE之间都使用IGP交换路由信息,IGP路由不携带AS_PATH属性,所以BGP VPNv4路由的AS_PATH都为空。
Hub-CE与Hub-PE使用EBGP、Spoke-PE与Spoke-CE使用IGP
如图2-35所示,与图2-33组网的实现类似,Hub-PE从Hub-CE接收来自Spoke-CE的路由的AS_PATH属性已包含该Hub-PE所在AS的编号。因此,必须在Hub-PE上手工配置允许本地AS编号重复出现。
