【资料名称】：L3 MPLS VPN 之Hub&Spoke 组网

【资料作者】：李懋

【资料日期】：201201

【资料语言】：中文

【资料格式】：PDF

【资料目录和简介】：

1、功能介绍
Hub&Spoke 组网是L3 VPN 的一种组网方案。如果需要基
于安全考虑，希望在VPN 中设置中心访问控制设备，其他用户
的互访只能通过中心访问控制设备进行，就可以使用Hub&Spoke
组网方案。它可以实现中心设备对两端设备之间的互访进行
监控和过滤等功能。在Hub&Spoke 组网方案中，不能直接互访
的设备称为Spoke，中心设备称为Hub，它们之间的通信方式是
通过设置L3VPN 的RT 属性来实现的。图1 为Hub&Spoke 组
网示意图。VPN 组网中Hub-PE 需要配置2 个vrf，一个vrf 的
import 与Spoke-PE export 相同，另一个vrf 的export 与Spoke-
PE import 相同。（如图1）
图中，Spoke 节点之间的通信都需要通过Hub 节点，图中箭
头所示为Site2 的路由向Site1 发布的过程：（1）Hub-PE 能够接
收所有Spoke-PE 发布的VPN-IPV4 路由；（2）Hub-PE 发布的
VPN-IPV4路由能够为所有Spoke-PE接收；（3）Hub-PE将从Spoke-
PE 学到的路由发布给其他Sopke-PE，因此Spoke 站点之间
可以通过Hub 站点互访；（4）任意Spoke-PE 的Import target 属
性不与其他Spoke-PE 的export-Targret 属性相同。因此，任意两
个Spoke-PE 之间不直接发布VPN-IPV4 路由，Spoke 站点之间
不能直接互访。
2、组网应用
Hub&Spoke 组网有以下几种组网方案：（1）Hub-CE 与Hub-
PE，Spoke-PE 与Spoke-CE 使用EBGP；（2）Hub-CE 与Hub-PE，
Spoke-PE 与Spoke-CE 使用IGP；（3）Hub-CE 与Hub-PE 使用
EBGP、Spoke-PE 与Spoke-CE 使用IGP。
下面详细介绍这几种方案：
方案一：Hub-CE 与Hub-PE，Spoke-PE 与Spoke-CE 使用
EBGP。
在Hub&Spoke 中，来自Spoke-CE 的路由需要在Hub-CE 和
Hub-PE 上转一圈再发给其他Spoke-PE。如果Hub-PE 与Hub-
CE 之间使用EBGP，Hub-PE 会对该路由进行AS-Loop 检查。此
时，Hub-PE 发现该路由已包含自己的AS 号，于是丢弃此路由。
因此，如果Hub-PE 与Hub-CE 之间使用EBGP，为了实现
Hub&Spoke，Hub-PE 上必须手工配置允许本地AS 编号重复。
方案二：Hub-CE与Hub-PE，Spoke-PE与Spoke-CE使用IGP。
由于所有的PE-CE 之间都使用IGP 交换路由信息，而IGP
路由不携带AS_PATH 属性，所以BGP VPNv4 路由的AS-Path
都为空。
方案三：Hub-CE 与Hub-PE 使用EBGP、Spoke-PE 与Spoke-
CE 使用IGP。
与方案一组网的实现方案类似，Hub-PE 从Hub-CE 接收来
自Spoke-CE 的路由时，路由的AS-Path 属性已包含该Hub-PE
所在AS 的编号。因此，必须在Hub-PE 上手工配置允许本地AS
编号重复出现。
3、配置命令
Hub&Spoke 组网主要是通过在PE 上匹配RT 属性来实
现的。
PE(config-vrf)#route-target import XXX:XXX
/*根据实际情况可配置一个或多个*/
PE(config-vrf)#route-target export XXX:XXX
/*根据实际情况可配置一个或多个*/
另外，由于BGP 的AS-Path 属性具有环路检测特性，当CE
侧的AS 编号有重复时，需要增加AS 允许重复功能alow-as 和
AS 覆盖功能as-override：
（1）BGP 路由模式vpnv4 地址族，ipv4 地址族下配置允许
AS 重复的命令：
PE(config-router-af)#neighbor <neibhbor-address> allowas-in
（2）BGP 路由模式ipv4 vrf 地址族下配置AS 覆盖命令：
PE (config-router-af)#neighbor <neibhbor-address> as-override
注意：这些配置命令需结合实际情况灵活使用。