网络应用知识 News

BGP协议之跨域VPN的组建

来源:本站 作者:管理员 日期:2013-07-16 17:44

当VPN站点跨越多个ISP时,此时需要PE设备在不同的as域之间进行vpn路由的交互,从而产生了跨域VPN的组建。

RFC 2547bis中提出了三种跨域VPN解决方案,分别是:

l VRF-to-VRF:ASBR间使用子接口管理VPN路由,也称为Inter-Provider Option A;

l EBGP Redistribution of labeled VPN-IPv4 routes:ASBR间通过MP-EBGP发布标签VPN-IPv4路由,也称为Inter-Provider Option B;

l Multihop EBGP redistribution of labeled VPN-IPv4 routes:PE间通过MP-EBGP发布标签VPN-IPv4路由,也称为Inter-Provider Option C。

ps:ASBR 为as域的边界路由。

网上已经有了很多关于跨域VPN的组建介绍,这里只是摘录了H3C文档中的一些描述,算是自己mark一下:

1. ASBR间使用子接口管理VPN路由

这种方式下,两个AS的PE路由器直接相连,PE路由器同时也是各自所在自治系统的边界路由器ASBR。

作为ASBR的PE之间通过多个子接口相连,两个PE都把对方作为自己的CE设备对待,使用传统的EBGP方式向对端发布IPv4路由。报文在AS内部作为VPN报文,采用两层标签转发方式;在ASBR之间则采用普通IP转发方式。

理想情况下,每个跨域的VPN都有一对子接口与之对应,用来交换VPN路由信息。

图 1 ASBR间使用子接口管理VPN路由组网图

使用子接口实现跨域VPN的优点是实现简单:两个作为ASBR的PE之间不需要为跨域进行特殊配置。

缺点是可扩展性差:作为ASBR的PE需要管理所有VPN路由,为每个VPN创建VPN实例。这将导致PE上的VPN-IPv4路由数量过于庞大。并且,为每个VPN单独创建子接口也提高了对PE设备的要求。

2. ASBR间通过MP-EBGP发布标签VPN-IPv4路由

这种方式下,两个ASBR通过MP-EBGP交换它们从各自AS的PE路由器接收的标签VPN-IPv4路由。

路由发布过程可分为以下步骤:

(1) AS 100内的PE先通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 100的边界路由器PE,或发布给为ASBR PE反射路由的路由反射器;

(2) 作为ASBR的PE通过MP-EBGP方式把标签VPN-IPv4路由发布给AS 200的PE(也是AS 200的边界路由器);

(3) AS 200的ASBR PE再通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 200内的PE,或发布给为PE反射路由的路由反射器。

这种方式的ASBR需要对标签VPN-IPv4路由进行特殊处理,因此也称为ASBR扩展方式。

图2 ASBR间通过MP-EBGP发布标签VPN-IPv4路由组网图

在可扩展性方面,通过MP-EBGP发布标签VPN-IPv4路由优于ASBR间通过子接口管理VPN。

采用MP-EBGP方式时,需要注意:

ASBR之间不对接收的VPN-IPv4路由进行VPN Target过滤,因此,交换VPN-IPv4路由的各AS服务提供商之间需要就这种路由交换达成信任协议;

VPN-IPv4路由交换仅发生在私网对等点之间,不能与公网交换VPN-IPv4路由,也不能与没有达成信任协议的MP-EBGP对等体交换VPN-IPv4路由。

3. PE间通过MP-EBGP发布标签VPN-IPv4路由

前面介绍的两种方式都能够满足跨域VPN的组网需求,但这两种方式也都需要ASBR参与VPN-IPv4路由的维护和发布。当每个AS都有大量的VPN路由需要交换时,ASBR就很可能成为阻碍网络进一步扩展的瓶颈。

解决上述可扩展性问题的方案是:ASBR不维护或发布VPN-IPv4路由,PE之间直接交换VPN-IPv4路由。

两个ASBR通过MP-IBGP向各自AS内的PE路由器发布标签IPv4路由。

ASBR上不保存VPN-IPv4路由,相互之间也不通告VPN-IPv4路由。

ASBR保存AS内PE的带标签的IPv4路由,并通告给其它AS的对等体。另一个自治系统中的ASBR也通告带标签的IPv4路由。这样,在入口PE和出口PE之间建立起一条LSP。

不同AS的PE之间建立Multihop方式的EBGP连接,交换VPN-IPv4路由。

图 3 PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由组网图

为提高可扩展性,可以在每个AS中指定一个路由反射器RR(Route Reflector),由RR保存所有VPN-IPv4路由,与AS的PE交换VPN-IPv4路由信息。两个AS的RR之间建立跨域VPNv4连接,通告VPN-IPv4路由。如图 10所示。

图 4 采用RR的跨域VPN OptionC方式组网图


上一篇:BGP网络性能优化浅析
下一篇:子网掩码、反掩码以及ospf network命令误区