BGP協議之跨域VPN的組建
當VPN站點跨越多個ISP時,此時需要PE設備在不同的as域之間進行vpn路由的交互,從而產生了跨域VPN的組建。
RFC 2547bis中提出了三種跨域VPN解決方案,分別是:
l VRF-to-VRF:ASBR間使用子接口管理VPN路由,也稱為Inter-Provider Option A;
l EBGP Redistribution of labeled VPN-IPv4 routes:ASBR間通過MP-EBGP發布標簽VPN-IPv4路由,也稱為Inter-Provider Option B;
l Multihop EBGP redistribution of labeled VPN-IPv4 routes:PE間通過MP-EBGP發布標簽VPN-IPv4路由,也稱為Inter-Provider Option C。
ps:ASBR 為as域的邊界路由。
網上已經有了很多關于跨域VPN的組建介紹,這里只是摘錄了H3C文檔中的一些描述,算是自己mark一下:
1. ASBR間使用子接口管理VPN路由
這種方式下,兩個AS的PE路由器直接相連,PE路由器同時也是各自所在自治系統的邊界路由器ASBR。
作為ASBR的PE之間通過多個子接口相連,兩個PE都把對方作為自己的CE設備對待,使用傳統的EBGP方式向對端發布IPv4路由。報文在AS內部作為VPN報文,采用兩層標簽轉發方式;在ASBR之間則采用普通IP轉發方式。
理想情況下,每個跨域的VPN都有一對子接口與之對應,用來交換VPN路由信息。
圖 1 ASBR間使用子接口管理VPN路由組網圖
使用子接口實現跨域VPN的優點是實現簡單:兩個作為ASBR的PE之間不需要為跨域進行特殊配置。
缺點是可擴展性差:作為ASBR的PE需要管理所有VPN路由,為每個VPN創建VPN實例。這將導致PE上的VPN-IPv4路由數量過于龐大。并且,為每個VPN單獨創建子接口也提高了對PE設備的要求。
2. ASBR間通過MP-EBGP發布標簽VPN-IPv4路由
這種方式下,兩個ASBR通過MP-EBGP交換它們從各自AS的PE路由器接收的標簽VPN-IPv4路由。
路由發布過程可分為以下步驟:
(1) AS 100內的PE先通過MP-IBGP方式把標簽VPN-IPv4路由發布給AS 100的邊界路由器PE,或發布給為ASBR PE反射路由的路由反射器;
(2) 作為ASBR的PE通過MP-EBGP方式把標簽VPN-IPv4路由發布給AS 200的PE(也是AS 200的邊界路由器);
(3) AS 200的ASBR PE再通過MP-IBGP方式把標簽VPN-IPv4路由發布給AS 200內的PE,或發布給為PE反射路由的路由反射器。
這種方式的ASBR需要對標簽VPN-IPv4路由進行特殊處理,因此也稱為ASBR擴展方式。
圖2 ASBR間通過MP-EBGP發布標簽VPN-IPv4路由組網圖
在可擴展性方面,通過MP-EBGP發布標簽VPN-IPv4路由優于ASBR間通過子接口管理VPN。
采用MP-EBGP方式時,需要注意:
ASBR之間不對接收的VPN-IPv4路由進行VPN Target過濾,因此,交換VPN-IPv4路由的各AS服務提供商之間需要就這種路由交換達成信任協議;
VPN-IPv4路由交換僅發生在私網對等點之間,不能與公網交換VPN-IPv4路由,也不能與沒有達成信任協議的MP-EBGP對等體交換VPN-IPv4路由。
3. PE間通過MP-EBGP發布標簽VPN-IPv4路由
前面介紹的兩種方式都能夠滿足跨域VPN的組網需求,但這兩種方式也都需要ASBR參與VPN-IPv4路由的維護和發布。當每個AS都有大量的VPN路由需要交換時,ASBR就很可能成為阻礙網絡進一步擴展的瓶頸。
解決上述可擴展性問題的方案是:ASBR不維護或發布VPN-IPv4路由,PE之間直接交換VPN-IPv4路由。
兩個ASBR通過MP-IBGP向各自AS內的PE路由器發布標簽IPv4路由。
ASBR上不保存VPN-IPv4路由,相互之間也不通告VPN-IPv4路由。
ASBR保存AS內PE的帶標簽的IPv4路由,并通告給其它AS的對等體。另一個自治系統中的ASBR也通告帶標簽的IPv4路由。這樣,在入口PE和出口PE之間建立起一條LSP。
不同AS的PE之間建立Multihop方式的EBGP連接,交換VPN-IPv4路由。
圖 3 PE間通過Multi-hop MP-EBGP發布標簽VPN-IPv4路由組網圖
為提高可擴展性,可以在每個AS中指定一個路由反射器RR(Route Reflector),由RR保存所有VPN-IPv4路由,與AS的PE交換VPN-IPv4路由信息。兩個AS的RR之間建立跨域VPNv4連接,通告VPN-IPv4路由。如圖 10所示。
圖 4 采用RR的跨域VPN OptionC方式組網圖
原文博客:http://blog.chinaunix.net/uid-26421509-id-3055889.html
