MPLS-VPN跨域
随着MPLS VPN解决方案的广泛应用,服务的终端用户的规格和范围也在增长,在一个企业内部的站点数 目越来越大,某个地理位置与另外一个服务提供商相连的需求变得非常的普遍,例如国内运营商的不同城 域网之间,或相互协作的运营商的骨干网之间都存在着跨越不同自治域的情况。一般的MPLS VPN体系结构都是在一个自治系统AS(Autonomous System)内运行,任何VPN的路由信 息都是只能在一个AS内按需扩散,没有提供AS内的VPN信息向其他AS扩散的功能。因此,为了支持运营 商之间的VPN路由信息交换,就需要扩展现有的协议和修改MPLS VPN体系框架,提供一个不同于基本的 MPLS VPN体系结构所提供的互连模型——跨域(Inter-AS)的MPLS VPN,以便可以穿过运营商间的链 路来发布路由前缀和标签信息。RFC4364中提出了三种跨域VPN解决方案,分别是:
🎏• 跨域VPN-OptionA(Inter-Provider Backbones Option A)方式:需要跨域的VPN在ASBR(AS
Boundary Router)间通过专用的接口管理自己的VPN路由,也称为VRF-to-VRF;
🎏• 跨域VPN-OptionB(Inter-Provider Backbones Option B)方式:ASBR间通过MP-EBGP发布标签
VPN-IPv4路由,也称为EBGP redistribution of labeled VPN-IPv4 routes;
🎏• 跨域VPN-OptionC(Inter-Provider Backbones Option C)方式:PE间通过Multi-hop MP-EBGP 发布标签VPN-IPv4路由,也称为Multihop EBGP redistribution of labeled VPN-IPv4 routes。
跨域VPN-OptionA方式
🎏• 跨域VPN-OptionA概述
跨域VPN-OptionA是基本BGP/MPLS IP VPN在跨域环境下的应用,ASBR之间不需要运行MPLS,也
不需要为跨域进行特殊配置。这种方式下,两个AS的边界ASBR直接相连,ASBR同时也是各自所在自
治系统的PE。两个ASBR都把对端ASBR看作自己的CE设备,将会为每一个VPN创建VPN实例,使用
EBGP方式向对端发布IPv4路由。在图1中,对于AS100的ASBR1来说,AS200的ASBR2只是它的一台CE设备;同样,对于ASBR2,
ASBR1也只是一台接入的CE设备。图中,VPN LSP(Label Switched Path)表示私网隧道,LSP表
示公网隧道。
图1 跨域OptionA的组网图
🎏• 跨域VPN-OptionA的路由发布在PE和ASBR之间运行MP-IBGP协议交换VPN-IPv4路由信息。两个ASBR之间可以运行普通的PE-CE路由协议(BGP或IGP多实例)或静态路由来交互VPN信息;但这是不同AS之间的交互,建议使用EBGP。
例如CE1将目的地址为10.1.1.1/24的路由发布给CE2,其流程如图2所示。其中,D表示目的地址,NH表示下一跳,L1和L2表示所携带的私网标签。图中省略了公网IGP路由和标签的分配。
图2 跨域VPN-OptionA的路由信息发布
以LSP为公网隧道的报文转发流程如图3所示。其中,L1和L2表示私网标签,Lx和Ly表示公网外层隧道标签。
图3 跨域VPN-OptionA的报文转发
🎏• 跨域VPN-OptionA的特点
◾ 优点是配置简单:由于ASBR之间不需要运行MPLS,也不需要为跨域进行特殊配置。
◾ 缺点是可扩展性差:由于ASBR需要管理所有VPN路由,为每个VPN创建VPN实例。这将导致ASBR上的VPN-IPv4路由数量过大。并且,由于ASBR间是普通的IP转发,要求为每个跨域的VPN使用不同的接口,从而提高了对PE设备的要求。如果跨越多个自治域,中间域必须支持VPN业务,不仅配置量大,而且对中间域影响大。在需要跨域的VPN数量比较少的情况,可以优先考虑使用。
跨域VPN-Option B 方式
🎏• 跨域VPN-OptionB概述
如图4所示,跨域VPN-OptionB中,两个ASBR通过MP-EBGP交换它们从各自AS的PE设备接收的标签VPN-IPv4路由。图中,VPN LSP表示私网隧道,LSP表示公网隧道。
跨域VPN-OptionB方案中,ASBR接收本域内和域外传过来的所有跨域VPN-IPv4路由,再把VPNIPv4路由发布出去。但MPLS VPN的基本实现中,PE上只保存与本地VPN实例的VPN Target相匹配的VPN路由。通过对标签VPN-IPv4路由进行特殊处理,让ASBR不进行VPN Target匹配把收到的VPN路由全部保存下来,而不管本地是否有和它匹配的VPN实例。这种方案的优点是所有的流量都经过ASBR转发,使流量具有良好的可控性,但ASBR的负担重。可以同时使用BGP路由策略(如对RT的过滤),使ASBR上只保存部分VPN-IPv4路由。
🎏• 跨域VPN-OptionB的路由发布
以图5为例说明路由发布过程。本例中,CE1将10.1.1.1/24的路由发布给CE2。NH表示下一跳,L1、L2和L3表示所携带的私网标签。图中省略了公网IGP路由和标签的分配。
🎏具体过程如下:
1. CE1通过BGP、OSPF或RIP方式将路由发布给AS100内的PE1。
2. AS100内的PE1先通过MP-IBGP方式把标签VPNv4路由发布给AS100的ASBR1,或发布给路由反射器RR(Route Reflector),由RR反射给ASBR1。
3. ASBR1通过MP-EBGP方式把标签VPNv4路由发布给ASBR2。由于MP-EBGP在传递路由时,需要改变路由的下一跳,ASBR1向外发布时给这些VPNv4路由信息分配新标签。
4. ASBR2通过MP-IBGP方式把标签VPNv4路由发布给AS200内的PE3,或发布给RR,由RR反射给PE3。当ASBR2向域内的MP-IBGP对等体发布路由时,将下一跳改为自己。
5. AS200内的PE3通过BGP、OSPF或RIP方式将路由发布给CE2。在ASBR1和ASBR2上都对VPNv4路由交换内层标签,域间的标签由BGP携带,因此ASBR之间不需要运行LDP(Label Distribution Protocol)或RSVP(Resource Reservation Protocol)等协议。
🎏• 跨域VPN-OptionB的报文转发
在跨域VPN-OptionB方式的报文转发中,在两个ASBR上都要对VPN的LSP做一次交换。以LSP为公网隧道的报文转发流程如图6所示。其中,L1、L2和L3表示私网标签。Lx和Ly表示公网外层隧道标签。
🎏• 跨域VPN-OptionB的特点
◾ 不同于OptionA,OptionB方案不受ASBR之间互连链路数目的限制。
◾ 局限性:VPN的路由信息是通过AS之间的ASBR来保存和扩散的,当VPN路由较多时,ASBR负担重,容易成为故障点。因此在MP-EBGP方案中,需要维护VPN路由信息的ASBR一般不再负责公网IP转发。
跨域VPN-Option C 方式
🎏• 跨域VPN-OptionC概述
前面介绍的两种方式都能够满足跨域VPN的组网需求,但这两种方式也都需要ASBR参与VPN-IPv4路由的维护和发布。当每个AS都有大量的VPN路由需要交换时,ASBR就很可能阻碍网络进一步的扩展。解决上述问题的方案是:ASBR不维护或发布VPN-IPv4路由,PE之间直接交换VPN-IPv4路由。
◾ ASBR通过MP-IBGP向各自AS内的PE设备发布标签IPv4路由,并将到达本AS内PE的标签IPv4路由通告给它在对端AS的ASBR对等体,过渡AS中的ASBR也通告带标签的IPv4路由。这样,在入口PE和出口PE之间建立一条LSP;
◾ 不同AS的PE之间建立Multihop方式的EBGP连接,交换VPN-IPv4路由;
◾ ASBR上不保存VPN-IPv4路由,相互之间也不通告VPN-IPv4路由。
图7为跨域VPN-OptionC的组网图,其中,VPN LSP表示私网隧道,LSP表示公网隧道。BGP LSP主要作用是两个PE之间相互交换Loopback信息,由两部分组成,例如图中从PE1到PE3方向建立BGPLSP1,PE3到PE1方向建立BGP LSP2。
为提高可扩展性,可以在每个AS中指定一个路由反射器RR,由RR保存所有VPN-IPv4路由,与本AS内的PE交换VPN-IPv4路由信息。两个AS的RR之间建立MP-EBGP连接,通告VPN-IPv4路由。
🎏• 跨域VPN-OptionC的路由发布
跨域VPN-OptionC关键实现是公网跨域隧道的建立。例如在CE1中有一条10.1.1.1/24的路由信息,其发布流程如图9所示。D表示目的地址,NH表示下一跳,L3表示所携带的私网标签,L9、L10表示BGP LSP的标签。图中省略了公网IGP路由和标签的分配。
🎏• 跨域
VPN-OptionC的报文转发
以LSP为公网隧道的报文转发流程如图10所示。其中,L3表示私网标签,L10和L9表示BGP LSP的标签,Lx和Ly表示域内公网外层隧道标签。
报文从PE3向PE1转发时,需要在PE3上打上三层标签,分别为VPN路由的标签、BGP LSP的标签和公网LSP的标签。到ASBR2时,只剩下两层标签,分别是VPN的路由标签和BGP LSP的标签;进入ASBR1后,BGP LSP终结,之后就是普通的MPLS VPN的转发流程。
🎏• 跨域VPN-OptionC的特点
◾ VPN路由在入口PE和出口PE之间直接交换,不需要中间设备的保存和转发。
◾ VPN的路由信息只出现在PE设备上,而P和ASBR只负责报文的转发,使得中间域的设备可以不支持MPLS VPN业务,只需支持MPLS转发,ASBR设备不再成为性能瓶颈。因此跨域VPNOptionC更适合在跨越多个AS时使用
◾ 更适合支持MPLS VPN的负载分担。
◾ 缺点是维护一条端到端的PE连接管理代价较大。
