MCE
定义
MCE是Multi-VPN-Instance CE(多实例CE)的简称,具有MCE功能的设备可以在BGP/MPLS IP VPN组网应用中承担多个VPN实例的CE功能,减少用户网络设备的投入。
产生背景
BGP/MPLS IP VPN以隧道的方式解决了在公网中传送私网数据的问题,但传统的BGP/MPLS IP VPN架构要求每个VPN实例单独使用一个CE与PE相连,如图1所示。
随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络内的用户需要划分成多个VPN,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置一台CE将增加用户的设备开支和维护成本;而多个VPN共用一台CE,使用同一个路由转发表,又无法保证数据的安全性。
使用MCE技术,可以有效解决多VPN网络带来的数据安全与网络成本之间的矛盾。如图2所示。
MCE将PE的部分功能扩展到CE设备,通过将不同的接口与VPN绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。
实现原理
在MCE设备上为不同的VPN创建各自的路由转发表,并绑定到对应的接口。在接收路由信息时,MCE设备根据接收报文的接口,即可判断该路由信息的来源,并将其维护到对应VPN的路由转发表中。
同时,在PE上也需要将连接MCE的接口与VPN进行绑定,绑定的方式与MCE设备一致。PE根据接收报文的接口判断报文所属的VPN,将报文在指定的隧道内传输。
如图2所示:
- MCE从VPN1学到的路由信息,存放到VRF1中
- PE从MCE学到的VRF1的路由信息,存放到VRF1中
- VPN2、VPN3的路由信息和VPN1是相互隔离的,不会存放到VRF1中
- MCE上不进行环路检查(因为MCE和有和实例绑定,所以会像PE那样进行环路检查。会拒绝PE发过来的ospf路由)
vpn-instance-capability simple
MCE的路由信息交换过程如下:
- MCE与Site间的路由交换
路由交换方式
实现过程
使用静态路由
MCE通过静态路由与VPN实例绑定的功能,将各VPN之间的静态路由进行隔离,解决多VPN间的地址空间重叠问题。
使用RIP(Routing Information Protocol)
MCE通过RIP进程与VPN实例绑定的功能,使不同VPN内的私网路由可以通过不同的RIP进程在Site和MCE间进行交互,保证了私网路由的隔离和安全。
使用OSPF(Open Shortest Path First)
MCE通过OSPF进程与VPN实例绑定的功能,在MCE上隔离不同VPN的路由。
使用IS-IS(Intermediate System to Intermediate System)
MCE和Site之间使用IS-IS传播私网路由的方式与使用OSPF时类似,将ISIS进程与VPN实例进行绑定。
使用BGP(Border Gateway Protocol)
MCE和Site之间使用BGP传播私网路由时,需要在MCE上为每个VPN实例配置BGP对等体,并引入相应VPN内的IGP路由信息。
- MCE与PE间的路由交换
由于在MCE设备上已经将路由信息与VPN实例进行了绑定,而且在MCE-PE之间,也通过接口对VPN实例的报文进行了区分。因此,MCE与PE之间只需要进行简单的路由配置,并将MCE的VPN路由表项引入到MCE-PE间的路由协议中,即可以实现私网VPN路由信息的传播。
MCE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或BGP交换路由信息。
3120
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
