评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Multi-VPN-Instance CE
通过在CE上配多实例路由协议实现局域网不同业务的隔离。
应用环境
随着用户业务的不断细化和安全需求的提高,需要在网络中部署业务隔离功能。如果采用传统的BGP/MPLS IP VPN技术,需要为每个VPN部署一台CE设备与上层设备进行连接,这会导致较高的成本与部署工作的复杂度;而多个VPN共用一台CE设备与上层设备进行连接,则会由于使用同一个路由转发表,导致无法保证数据的安全性。为了解决多VPN网络带来的数据安全与网络成本之间的矛盾,此时可以在网络中配置MCE(Multi-VPN-Instance CE,多实例CE)功能。
如图7-11所示,X公司在A市的研发部和销售部属于同一个局域网,且使用同一个CE设备接入VPN骨干网。为了让A市的销售部与B市的销售部互通,让A市的研发部与C市的研发部互通,同时保证研发部与销售部的完全隔离,可以在A市的CE及其接入的PE上都配置OSPF多实例。就像在PE上使用OSPF多实例一样,在A市的CE设备上为不同的业务建立各自的OSPF实例,相当于不同的业务使用不同的虚拟CE设备,使该CE设备成为MCE设备,即MCE设备。这样,可以用较低成本实现不同业务的隔离,保证各自的安全性。
前置任务
在配置Multi-VPN-Instance CE之前,需完成以下任务:
在MCE及其接入的PE上配置VPN实例(每个业务配置一个VPN实例)
配置局域网相关接口的链路层协议和网络层协议,将局域网接入到MCE上,每个业务使用一个接口接入MCE
在MCE的每个接口及PE接入MCE的接口上都绑定相应的VPN实例,并配置IP地址,具体配置过程可以参见配置接口与VPN实例绑定
- 配置MCE上的路由协议
在MCE上需要配置各自实例的路由协议才能实现分别与PE和私网间的相互通信。 - 配置MCE接入的PE上的路由协议
在PE上配置多实例的路由协议用于与MCE相互通信。 - 检查配置结果
配置了Multi-VPN-Instance CE后,可以查看MCE上的VPN路由表中对于每一种业务,CE上都有到局域网的路由及到远端站点的路由。
