本站已运行

攻城狮论坛

作者: IT邓邓爱踢
查看: 2673|回复: 44

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

[其他考试] 泰涨知识 | 跨域MPLS-VPN分享

  [复制链接]
查看: 2673|回复: 44
开通VIP 免金币+免回帖+批量下载+无广告

+ r1 b. o4 M9 C( H. [0 u, J' R& n1 Z/ F- J
前言
" w; Q& Q) m9 \0 {+ T跨域MPLS-VPN作为目前数通方向的重中之重,熟知跨域MPLS-VPN的工作原理应该是每位工程师必修的课程,今天我们就重点了解一下跨域MPLS-VPN。
; b! i% H: s  X  ?% S/ D 简介% u+ V) m( B. ~
首先,我们要先了解一下什么是跨域VPN。* H* p' y* d2 s0 e# a
随着MPLS VPN解决方案的广泛应用,服务的终端用户的规格和范围也在增长,在一个企业内部的站点数目越来越大,某个地理位置与另外一个服务提供商相连的需求变得非常的普遍,例如国内运营商的不同城域网之间,或相互协作的运营商的骨干网之间都存在着跨越不同自治域的情况。
* @9 P% B% j6 H& n6 H# |+ D一般的MPLS VPN体系结构都是在一个自治系统AS(Autonomous System)内运行,任何VPN的路由信息都是只能在一个AS内按需扩散,没有提供AS内的VPN信息向其他AS扩散的功能。因此,为了支持运营商之间的VPN路由信息交换,就需要扩展现有的协议和修改MPLS VPN体系框架,提供一个不同于基本的MPLS VPN体系结构所提供的互连模型——跨域(Inter-AS)的MPLS VPN,以便可以穿过运营商间的链路来发布路由前缀和标签信息。
' }' [- Z' {& R% P) k  j4 aRFC4364中提出了三种跨域VPN解决方案,分别是:
1 h5 f0 ^/ e6 i  V* {; X9 k  e7 n跨域VPN-OptionA(Inter-Provider Backbones Option A)方式:需要跨域的VPN在ASBR(AS Boundary Router)间通过专用的接口管理自己的VPN路由,也称为VRF-to-VRF;% F* f0 j, v/ D. G/ v, V5 F' B* S
跨域VPN-OptionB(Inter-Provider Backbones Option B)方式:ASBR间通过MP-EBGP发布标签VPN-IPv4路由,也称为EBGP redistribution of labeled VPN-IPv4 routes;% \9 H9 _6 {- Y% Y# e
跨域VPN-OptionC(Inter-Provider Backbones Option C)方式:PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由,也称为Multihop EBGP redistribution of labeled VPN-IPv4 routes。 详细解读
3 r" F+ ~! g/ c" L在跨域VPN中,我们熟知的有三种解决方案,分别是:OptionA、OptionB、OptionC。无论是哪种解决方案,其实我们需要解决重点的问题就两个:一是VPN的路由怎样从当前自己的AS传递到另一个AS中;二是访问时需要使用的标签应该如何获取。* ?0 i8 i/ Z! N5 a2 b5 v+ h; J
我们简单的看一下各种解决办法的区别。
9 q( K  O( y9 Y4 HOptionA的解决方案比较容易理解,简单来说就是两个同域的MPLS-VPN拼接在一起。而精髓就是把ASBR当做PE设备,对端整个AS当做CE设备。0 Y9 j) s" L. `9 z

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享
- r6 i8 q2 r; z+ m( ~5 L5 ]7 g
如图所示,一张标准的跨域VPN的物理拓扑图,而OptionA的解决方案就是把对端的AS当做自己的CE设备,ASBR当做PE设备,通过在ASBR上绑定实例,将VPNV4的路由变成IPV4的路由传递给对端,在ASBR之间传递的是IPV4的路由,所以无需运行MPLS,解决了我们提到的两个问题。

3 v  Q2 W  V; L$ @+ ]) S8 z
那为什么说OptionA是两个同域的MPLS-VPN拼接在一起呢?我们看一下OptionA的逻辑拓扑。
: O0 n: Y; y. A( w  _- v

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享

" a! Z3 N- h% W7 c' M- f* u- k) b
如图所示,我们可以将ASBR1当做PE设备,而包含ASBR2在内整个右边所有的设备当做一个大的逻辑路由器,将这个逻辑路由器当做一个普通的CE设备,这时其实就可以发现,这个逻辑拓扑其实就相当于我们同域的MPLS-VPN,包括配置几乎和同域的VPN配置相同,在PE1与ASBR1之间建立MP-IBGP的邻居关系,在ASBR1的下行接口绑定实例,AS234内运行MPLS与LDP协议。

7 B+ x! z6 a) y' f
AS234的配置完成后,以AS567为中心的逻辑拓扑如下:
7 n- y, P; _) S. u8 \1 s

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享
$ _+ @1 W0 U, F( B$ f

" U7 h* r$ W) s- I5 ]
如图所示,同理,也是将对方的整个AS当做自己的一个逻辑上的CE设备去处理,以同域的方式配置AS567,同样的配置MP-IBGP邻居,绑定实例,以及MPLS和LDP。
  ]9 L. F: G/ u' Q; P
所以,跨域OptionA的解决方案很简单,唯一要注意的是,既然要把ASBR当做PE去使用,ASBR就要有处理VPN路由的能力,在ASBR之间绑定实例,传递IPV4的路由,那么ASBR上的RT值的配置就要注意,PE1出入方向的RT,要和ASBR1出入方向的RT相同,ASBR2出入方向的RT要和PE2的出入方向的RT相同。

3 c0 C0 [/ u2 E# U. H/ o
最后总结一下OptionA的特点:
# `. g) m. l! ]/ e  H" ]" X: ^
优点是配置简单:由于ASBR之间不需要运行MPLS,也不需要为跨域进行特殊配置。

# g2 Z: l! _$ p% R6 ^0 z* q
缺点是可扩展性差:由于ASBR需要管理所有VPN路由,为每个VPN创建VPN实例。这将导致ASBR上的VPN-IPv4路由数量过大。并且,由于ASBR间是普通的IP转发,要求为每个跨域的VPN使用不同的接口,从而提高了对PE设备的要求。如果跨越多个自治域,中间域必须支持VPN业务,不仅配置量大,而且对中间域影响大。在需要跨域的VPN数量比较少的情况,可以优先考虑使用。
接下来,我们看一下OptionB的解决方案。

9 _9 r" N% K' S2 u0 B4 H
OptionB的解决方案对比OptionA的解决方案更加的取巧一些,在OptionA的基础上进行了更改,在OptionA中,ASBR之间使用的是实例,传递IPV4路由的方式,这种方式需要在ASBR上参与路由计算,而OptionB在ASBR之间建立MP-EBGP的邻居关系,使ASBR只作为一个传递者,从本端PE收到VPNV4路由后,直接通过与对端ASBR的MP-EBGP的邻居关系传递给对端,再通过对端ASBR与对端PE的MP-IBGP的邻居关系而进行接收。
1 N1 E2 C0 x7 Y* i. y& i
那OptionB怎样简单的去处理呢?如同OptionA一样,也是简单的两个同域的逻辑拓扑,只不过将当做PE的ASBR设备没有连接任何的CE设备:

) x% C! E: P  Y; z7 U6 |8 x: h

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享

& \% K( ]3 J% H, U* m如图所示,先将两个AS内的设备配置成同域的方式,ASBR当做PE使用,在PE与ASBR之间运行MP-IBGP,AS内运行MPLS与LDP。但ASBR上无需配置实例。然后将AS234整个AS当做一台PE设备,AS567当做另一台PE设备,在两个逻辑上的PE设备间建立MP-EBGP的邻居关系传递VPNV4的路由。
3 g2 y1 N9 ^3 c, u
' r1 l5 f  t: i2 D( z3 O2 C

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享
0 k4 n! w% c  `+ `
如图所示,蓝色的逻辑路由器PE10和红色逻辑路由器PE20,之间建立MP-EBGP的邻居关系。

: H: j# O  K9 q4 J: Q* z; y$ b
其实最后我们虚拟的这个PE10和PE20所组成的拓扑,和基础的同域VPN的概念没有任何区域,两台设备之间建立VPN的邻居关系,只不过两个ASBR之间是EBGP而已。
1 M7 g$ W; X) ^, n1 T
而OptionB要注意的是,由于ASBR间传递的是VPNV4的路由,所以在ASBR之间需要运行MPLS传递私网标签,并且ASBR设备只作为传递者,无法直接处理带着RT值的VPNV4路由,所以当收到PE传来的路由时,需要在ASBR上配置忽略RT值检查的命令:在BGP的ipv4-family vpnv4进程下undo policy vpn-target,并且保证PE1出入方向的RT要和PE2出入方向的RT相同。

. z+ @! ?2 m7 p( d6 ~& [1 e+ r
最后总结一下OptionB的特点:
$ J3 [! X, x6 {& K' q" ~9 Q0 B
优点是不同于OptionA,OptionB方案不受ASBR之间互连链路数目的限制。

. r# c& e  Q& x5 [! q. T
缺点是局限性:VPN的路由信息是通过AS之间的ASBR来保存和扩散的,当VPN路由较多时,ASBR负担重,容易成为故障点。因此在MP-EBGP方案中,需要维护VPN路由信息的ASBR一般不再负责公网IP转发。
接下来,我们看一下OptionC的解决方案。

) ?1 b6 S. B! @9 `
前面介绍的两种方式都能够满足跨域VPN的组网需求,但这两种方式也都需要ASBR参与VPN-IPv4路由的维护和发布。当每个AS都有大量的VPN路由需要交换时,ASBR就很可能阻碍网络进一步的扩展。
/ k/ d6 I6 m, |5 c6 L& ~
解决上述问题的方案是:ASBR不维护或发布VPN路由,PE之间直接交换VPN路由。ASBR通过MP-IBGP向各自AS内的PE设备发布标签IPv4路由,并将到达本AS内PE的标签IPv4路由通告给它在对端AS的ASBR对等体,过渡AS中的ASBR也通告带标签的IPv4路由。这样,在入口PE和出口PE之间建立一条LSP;不同AS的PE之间建立Multihop方式的EBGP连接,交换VPN-IPv4路由;ASBR上不保存VPN-IPv4路由,相互之间也不通告VPN-IPv4路由。

) d6 r2 U; `  d+ r$ q

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享
) o3 o# k( @" |( q( Q# a- T
如图所示,OptionC的解决方案在邻居建立和路由传递上面都比较简单,直接在两个PE之间建立多跳的MP-EBGP的邻居关系,传递VPN的路由,这样中间的设备就不需要处理VPN路由。如果在有RR的场景下,也可以直接在RR上建立多跳的MP-EBGP的邻居关系,但如果在RR场景下,则需要在BGP的IPV4-family vpnv4进程下配置peer x.x.x.x next-hop-invariable,不改变VPNV4路由的下一跳,不然会影响访问时的LSP。
; a0 Y% b- Y+ s. n
在OptionC方案中的路由传递问题很好的得到了解决,但是另一个标签产生传递的问题才是OptionC的重点。
8 n2 i% `! L# [/ V; r
由于邻居关系是在PE间直接建立,PE在收到发来的VPNV4路由的下一跳是对端的PE,收到的私网标签也是由对端PE发送,所以我们需要构建一条两台PE之间的LSP。由于两台PE处于不同的AS,所以ASBR中间的部分无法使用LDP来进行标签分配,所以需要在ASBR上通过策略的方式使用BGP协议来进行标签分配。并且在ASBR收到对端发来的标签后,也要向本端的PE进行标签分配。

; @! i( n" _" `1 `: I& z  S" E, l

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享

" ?% G: f' z7 a* f" A
如图所示,ASBR间需要通过策略来进行标签分配,在收到对端ASBR发来的标签后,再向本端的PE分配标签。但在向本端PE分配标签时,有两种分配方式,一种是使用策略通过BGP分配标签,另一种是通过LDP使能lsp-trigger  bgp-label-route 的方式分配。同时这两种分配方式也对应着OptionC的两种解决方案:OptionC(方案一)与OptionC(方案二)。
; [7 s) `9 }: E6 Y7 S% {
这两种方案在传递VPN路由,ASBR间分配标签没有任何区别,唯一的区别在于各自AS内部的底层协议的使用,OptionC(方案一)中AS内部的底层协议使用的是BGP,那么在收到对端PE的路由时,则可以直接使用ASBR之间传递的BGP路由,那么在ASBR向本端的PE生成标签时就需要通过策略的方式使用BGP协议分配标签。而在OptionC(方案二)中,AS背部的底层协议使用的是OSPF/1SlS之类的IGP协议,在收到收到对端PE的路由时,则需要在ASBR上将对端ASBR传来的BGP的路由引入到IGP中,那么则需要在ASBR上通过LDP使能lsp-trigger  bgp-label-route 的方式分配标签,这样内部的PE通过LDP的方式收到标签,则可以直接使用LDP的LSP迭代到对端。
: j) j, J  }0 D0 Q) P9 l; u

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享
! ]5 d+ q" ^0 V: F( |& z
跨域VPN-OptionC的特点

+ i( M8 |3 Q# o7 u# k
VPN路由在入口PE和出口PE之间直接交换,不需要中间设备的保存和转发。VPN的路由信息只出现在PE设备上,而P和ASBR只负责报文的转发,使得中间域的设备可以不支持MPLS VPN业务,只需支持MPLS转发,ASBR设备不再成为性能瓶颈。因此跨域VPN-OptionC更适合在跨越多个AS时使用。更适合支持MPLS VPN的负载分担。缺点是维护一条端到端的PE连接管理代价较大。
& Z5 D' h0 k, @; Z3 e+ ]! Q
最后附一张访问的路径图给大家参考。

% \( m2 @; E! N- n; p0 H  I

泰涨知识 | 跨域MPLS-VPN分享

泰涨知识 | 跨域MPLS-VPN分享
, p/ }& v+ ^2 G: c! Q  `
" n% T9 b' F  m% w4 A0 n
希望大家能够有所收获。
- K- o  o- T0 I3 u( H

评分

参与人数 1技术 +1 金币 +1 收起 理由
ccna7025 + 1 + 1 不用怀疑,楼主就是活雷锋, 资深网络技术大.

查看全部评分

CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:10:32 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:10:52 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:11:12 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:11:25 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:11:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:12:22 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:13:03 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

liyunfei [禁止访问] 发表于 2021-12-31 08:13:36 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

111111111111111111111111111111111111111111111111111111111
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2026-7-5 16:12 , Processed in 0.107095 second(s), 15 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn