概述
MCE是 Multi-VPN-Instance-CE(多实例CE)的缩写,这个特性让CE具备PE的功能,可承载多个VPN实例,使得多个用户或业务可以共享一个CE。MCE 以较低的成本解决了大型站点中的业务隔离和安全问题。
在MPLS VPN网络环境下,一个大型站点的局域网可能有多个业务或部门,这些业务或部门需要同其他站点的各自的业务或部门通信,为保证这些业务的私密性,业务之间需要被隔离起来。当然,在局域网内,可以使用VLAN技术实现业务隔离,然后将每一个 VLAN关联到PE上的子接口。也可以让每个业务或部门独享一台CE,然而这样会增加设备数量,增加用户的设备开支和维护成本。最廉价和简单的方法就是使用MCE技术,通过CE的 VPN实例来实现业务或部门隔离。MCE可以在用户的私有网络中创建出多个VPN,一个业务或部门对应一个VPN,不同 VPN 之间相互隔离,这就满足了那些业务不断被细化,业务安全性要求高的用户的需求,如图所示:
MCE设备并不需要支持任何标签交换协议,只需要为不同的 VPN创建各自的路由转发表,并绑定到相应的接口。在接收路由信息时,MCE设备可以根据路由信息的入口判断出路由的来源,并将其安装到相应的VPN 实例转发表中。同时在PE上也需要将连接MCE 的接口与VPN实例进行绑定,绑定的方式和 MCE是一样的。
为了区分MCE与PE之间不同VPN的报文,需要在MCE和PE之间建立多条物理连接。MCE 采用三层以太网子接口解决了这个问题。在一个物理接口上创建多个子接口,每个子接口与不同的VPN实例进行关联,使得CE和PE之间只需要一条物理链路,就可以传递和区分不同VPN的报文。
由于在MCE设备上已经将路由信息与VPN实例进行了绑定,而且在 MCE-PE之间,也通过接口对VPN实例的报文进行了区分。因此,MCE与PE之间只需要配置简单的路由协议,并将MCE的VPN路由表项引入到MCE-PE间的路由协议中,即可实现私网VPN路由信息的传递。MCE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或BGP交换路由信息。但比较特殊的是OSPF 协议。在前面的章节中我们讨论到,在CE双归属环境下,PE为了防止环路,需要检查DN位和Route-tag。MCE 特性使得CE变成了PE,这时必须关闭这两种检查,才能正常计算路由。
典型拓扑
某公司需要通过MPLS VPN实现总部和分支间的互通,同时需要隔离两种不同的业务。为节省开支,希望分支通过一台CE设备接入PE,如图下图所示:
CE1、CE2连接企业总部,CE1属于vpna,CE2属于 vpnb;MCE 连接企业分支,通过CE3和CE4分别连接vpna和 vpnb。要求属于相同VPN的用户之间能互相访问,不同VPN的用户之间不能互相访问,从而实现不同业务间隔离。
部署步骤:
- PE之间配置OSPF 协议,实现PE之间的互通;配置 MP-iBGP交换VPN路由信息。
- PE上配置MPLS 基本能力和 MPLS LDP,建立LDP LSP。
- PE和MCE上创建不同的VPN实例( vpna和 vpnb),实现不同VPN间的业务隔离。
- PE1与相连的CE之间建立eBGP对等体,引入VPN 路由表中。
- MCE与Site、MCE与PE2之间配置路由,引入VPN路由信息。
整理资料来源:《HCIE路由交换学习指南》