基本组网

企业业务网站

选择区域/语言

Huawei Global - English

- South Africa - English
- Morocco - English
- Brazil - Português
- Mexico - Español
- Saudi Arabia - English
- United Arab Emirates - English
- Australia - English
- China - 简体中文
- Hong Kong, China - English
- India - English
- Japan - 日本語
- South Korea - English
- Kazakhstan - русский
- Malaysia - English
- Singapore - English
- Indonesia - English
- Thailand - ไทย
- Philippines - English
- Austria - Deutsch
- Czech - English
- France - Français
- Germany - Deutsch
- Greece - English
- Hungary - English
- Italy - Italiano
- Poland - English
- Sweden - English
- Russia - русский
- Spain - Español
- Turkey - Türkçe
- United Kingdom - English
- Ukraine - English

菜单
产品与服务
行业
技术支持
如何购买
合作伙伴
互动社区

热搜
交换机路由器服务器存储数据中心

S12700 V200R010C00 配置指南-VPN

本文档针对VPN特性，从配置过程和配置举例两方面对特性进行介绍。

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

基本组网

Intranet VPN

最简单的情况下，一个VPN中的所有用户形成闭合用户群，相互之间能够进行流量转发，VPN中的用户不能与任何本VPN以外的用户通信。这种组网方式的VPN叫做Intranet VPN，其站点通常是属于同一个组织。

对于这种组网，需要为每个VPN分配一个VPN Target，作为该VPN的Export Target和Import Target，并且，此VPN Target不能被其他VPN使用。

图2-9 Intranet VPN组网方案

在图2-9中，PE上为VPN1分配的VPN Target值为100:1，为VPN2分配的VPN Target值为200:1。VPN1的两个Site之间可以互访，VPN2的两个Site之间也可以互访，但VPN1和VPN2的Site之间不能互访。

Extranet VPN

如果一个VPN用户希望访问其他VPN中的某些站点，可以使用Extranet组网方案。

对于这种组网，如果某个VPN需要访问共享站点，则该VPN的Export Target必须包含在共享站点的VPN实例的Import Target中，而其Import Target必须包含在共享站点VPN实例的Export Target中。

图2-10 Extranet组网方案

在图2-10中，VPN1的Site3能够被VPN1和VPN2访问：

PE3能够接收PE1和PE2发布的VPN-IPv4路由；
PE3发布的VPN-IPv4路由能够被PE1和PE2接收。

基于以上两点，VPN1的Site1和Site3之间能够互访，VPN2的Site2和VPN1的Site3之间能够互访。

PE3不把从PE1接收的VPN-IPv4路由发布给PE2，也不把从PE2接收的VPN-IPv4路由发布给PE1，因此，VPN1的Site1和VPN2的Site2之间不能互访。

Hub and Spoke

如果希望在VPN中设置中心访问控制设备，其它用户的互访都通过中心访问控制设备进行，可以使用Hub and Spoke组网方案。其中，中心访问控制设备所在站点称为Hub站点，其他用户站点称为Spoke站点。Hub站点侧接入VPN骨干网的设备叫Hub-CE；Spoke站点侧接入VPN骨干网的设备叫Spoke-CE。VPN骨干网侧接入Hub站点的设备叫Hub-PE，接入Spoke站点的设备叫Spoke-PE。

Spoke站点需要把路由发布给Hub站点，再通过Hub站点发布给其他Spoke站点。Spoke站点之间不直接发布路由。Hub站点对Spoke站点之间的通讯进行集中控制。

对于这种组网情况，需要设置两个VPN Target，一个表示“Hub”，另一个表示“Spoke”。如图2-11所示。

图2-11 Hub&Spoke组网方案

各Site在PE上的VPN实例的VPN Target设置规则为：

Spoke-PE：Export Target为“Spoke”，Import Target为“Hub”。任意Spoke-PE的Import Route Target属性不与其它Spoke-PE的Export Route Target属性相同；
Hub-PE：Hub-PE上需要使用两个接口或子接口。
- 一个用于接收Spoke-PE发来的路由，其VPN实例的Import Target为“Spoke”；
- 另一个用于向Spoke-PE发布路由，其VPN实例的Export Target为“Hub”。

在图2-11中，Spoke站点之间的通信通过Hub站点进行（图中箭头所示为Site2的路由向Site1的发布过程）：

Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由；
Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收；
Hub-PE将从Spoke-PE学到的路由发布给Hub-CE，并将从Hub-CE学到的路由发布给所有Spoke-PE。因此，Spoke站点之间可以通过Hub站点互访；
任意Spoke-PE的Import Target属性不与其它Spoke-PE的Export Target属性相同。因此，任意两个Spoke-PE之间不直接发布VPN-IPv4路由，Spoke站点之间不能直接互访。

本地VPN互访

因业务需求，连接在同一个PE设备上不同VPN的Site站点需要进行数据互通时，可以采用本地VPN互访组网方案。

通过VPN Target属性来控制VPN路由信息在各Site之间的发布和接收可以实现该需求。一般来说，各VPN都各自规划了属于自己的VPN Target属性。以下图所示的组网为例，VPNA的Import Target和Export Target都为100:1，VPNB的Import Target和Export Target都为200:1。如果需要VPNA用户和VPNB用户实现互通，可以配置本地VPN互访，将VPNA的Import Target属性增加一条200:1，VPNB的Import Target属性增加一条100:1。这样，VPNA和VPNB的用户就可以互相访问了。

值得注意的是，如果PE设备上部署了为VPNA用户提供服务的各种服务器功能，比如FTP、DHCP等，在配置本地VPN互访功能之后，这些服务器也可以为其他互访的VPN用户提供服务。

图2-12 本地VPN互访组网方案

Intranet VPN
Extranet VPN
Hub and Spoke

翻译

English

下载文档

更新时间：2022-05-23

文档编号：EDOC1000141378

浏览量：89011

下载量：555

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具