现状: 目前MPLS DOMAIN中有一个vrf test需要访问internet,当然还有很多的vrf ,但是他们不需要访问internet,仅仅这个vrf test用户需要访问internet.
需求:
新增一个vrf 访问internet的出口,园区外的vrf test的用户通过
防火墙1做NAT出去,园区内的vrf test用户通过
防火墙2做NAT出去。如何实现!!!
图释:
左边3台R是MPLS DOMAIN里的PE设备,园区内设备是CE挂在MPLS 的一台PE上,这台PE上原来是连一个防火墙出去,PE上与这个与防火墙-1的接口放入vrf test,在这个PE上通过address-fam ipv4 注入一个default-information origian通过MBGP传递到各个园区外PE,同时这个PE上也应该指一个ip route vrf test 0.0.0.0 0.0.0.0 next-hope(防火墙-1接口)生成一条缺省路由出去,在GSR-1和防火墙上指静态回包,以前是这样实现的没有问题,现在有了上面的需求,大家看看如何实现。
实现思路:
1)这是一个特定的vrf test需要访问internet,但是又要用不同的链路区分开。是否可以简单看成实际上就是一个CE之间的互访,把防火墙看成一个CE,只不过他连了internet,我可以把这个用户分成两个vrf name,然后互相导入,先保证他们互访,然后再把连接防火墙的两个端口分别起两个VRF,这样共有4个VRF,把园区外的VRF导入一个防火墙的VRF,同时把这个防火墙的VRF导入到园区外的VRF,另外一个类似处理可区分园区内的从防火墙-2访问internet,园区内的从f防火墙-1访问。
这样做要新增加3个VRF,在边缘7609上。
2)是否可以先把园区外的用户和园区内的用户通过IP地址进行区分,然后做rm匹配上,区分下一跳,但是rm能不能有效果呢?我如何能触发rm的动作,能不能把以前的缺省路由改成p route vrf test 0.0.0.0 0.0.0.0 next-hope(防火墙-1接口) global来触发他去全局去找下一跳,但是显然全局是没有的,这个时候会不会触发rm的动作?
3)另外一个需求是客户没有提出,但是我想了一下,大家看看能不能实现在一条线路出问题了,所有园区内外的用户全部从另外一条线路出去,如何实现?
PS:PE和CE之间是静态。
MPLS domain IGP是OSPF。
2001-2007 Comsenz Inc.
