网络技术

本文档使用 MrDoc 发布

VPN实例应用于交换机带外管理接口

VPN实例的简单应用

基础概念

VPN实例用于BGP MPLS VPN中不同PE的site中区分不同内网实例。其实也可以用于隔离不同网络,将vlan或者接口进行隔离到私网。

VPN实例并不是我们常说的VPN(虚拟专用网),这是两个不同概念。

  • VPN(虚拟专用网)实现端到端不同网络的互通。
  • VPN实例用于划分不同业务网络,或者进行隔离使用。默认所有接口都是属于一个VRF,属于公网。

拓扑:普通业务使用VLAN20,和平常配置一样即可,创建vlan,配置地址,划分接口。然后将所有交换机的MGT口连接到带外交换机,划分到VLAN10,实现vlan10和vlan20的隔离。

配置说明

# 核心交换机
interface Vlan-interface20
 ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan 1 20
 combo enable fiber
# vpn实例
ip vpn-instance MGT  # 创建名称为MGT的vpn实例
 description MGT     # 接口描述信息
#
interface M-GigabitEthernet0/0/0 # 配置管理口地址
 ip binding vpn-instance MGT     # 绑定到上面的vpn实例,这样管理口就是只属于vpn实例MGT的私网口了
 ip address 192.168.1.1 255.255.255.0 # 一样配置地址
# 配置到带外管理交换机的路由,和普通路由有点不一样,需要带上vpn实例参数
ip route-static vpn-instance MGT 0.0.0.0 0 192.168.1.254
# 查询vpn实例的路由表项也需要指定vpn实例
[H3C]dis ip routing-table vpn-instance MGT

Destinations : 13       Routes : 13

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/0          Static  60  0           192.168.1.254   MGE0/0/0
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
192.168.1.0/24     Direct  0   0           192.168.1.1     MGE0/0/0
192.168.1.0/32     Direct  0   0           192.168.1.1     MGE0/0/0
192.168.1.1/32     Direct  0   0           127.0.0.1       InLoop0
192.168.1.255/32   Direct  0   0           192.168.1.1     MGE0/0/0
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

带外管理交换机配置

# 配置vlan以及地址等
ip vpn-instance MGT  # 创建vpn实例
#
interface Vlan-interface10 # 创建vlan 10
 ip binding vpn-instance MGT # 将vlan10绑定到vpn实例
 ip address 192.168.1.254 255.255.255.0  # 配置地址作为管理网络的网关
# 划分接口
int range g1/0/1 to g1/0/5 # 将所有交换机的接口划分到vlan10
port access vlan 10
# ping测试
[H3C]ping -vpn-instance MGT 192.168.1.254
Ping 192.168.1.254 (192.168.1.254): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.1.254: icmp_seq=0 ttl=255 time=0.000 ms
56 bytes from 192.168.1.254: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 192.168.1.254: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 192.168.1.254: icmp_seq=3 ttl=255 time=0.000 ms
56 bytes from 192.168.1.254: icmp_seq=4 ttl=255 time=1.000 ms

--- Ping statistics for 192.168.1.254 in VPN instance MGT ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/0.200/1.000/0.400 ms
[H3C]%Jul 14 11:28:13:692 2022 H3C PING/6/PING_VPN_STATISTICS: Ping statistics for 192.168.1.254 in VPN instance MGT: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 0.000/0.200/1.000/0.400 ms.

这里只是一个简单的实验测试,主要是将管理网从不同的物理链路传输,不影响业务网络。其实也可以不接带外管理交换机,就使用同一个交换机的不同VLAN进行隔离也是可以的。
划分到vpn实例之后,接口、路由等都需要指定实例。

Chuck 2022年7月14日 11:31 收藏文档