第八章 MPLS VPN跨域
MPLS VPN跨域方案分为A方案、B方案、C1方案、C2方案
8.1 跨域Option A方案
需要跨域的VPN在ASBR间通过专用的接口管理自己的VPN路由,也称为VRF-to-VRF;配置简单,ASBR之间不需要运行MPLS。
部署思路:
- AR3是ASBR1-PE设备,AR4是ASBR2-PE设备,两个ASBR分别将对端作为本端的CE设备,在自己的接口上部署VRF。
- 路由传递过程:从AR7向AR8传递本地的192.168.10.0的路由条目
- AR7-AR1传递IPv4路由
- AR1-AR3传递VPNV4路由
- AR3-AR4传递IPv4路由(AR3收到AR1发来的VPNV4路由,根据RT值加入到对应的VPN实例中,形成IPV4路由发送给ASBR2(AR4))。
- AR4-AR6传递 VPNV4路由(AR4从实例中收到IPV4路由,形成VPNV4路由发送给RR设备反射给AR6)
- AR6-AR8传递IPV4路由(AR6根据RT值将VPNV4转化为IPv4路由加入到实例路由表中,发送给AR8)
- 隧道构建过程:构建AR8向AR6转发的隧道,数据转发延隧道转发
- AR1将私网标签发送给AR3形成私网标签隧道
- AR1向AR3建立LSP构建LDP隧道。
- AR4将私网标签发送给AR6,形成私网标签隧道
- AR4向AR6建立LSP构建LDP隧道。
- 报文标签使用:域内使用两层标签,一层LDP标签,一层私网标签。域间不使用标签,进行IP转发。
8.2 跨域Option B方案
- 跨域VPN-OptionB(Inter-Provider Backbones Option B)方式:
- ASBR间通过MP-EBGP发布标签VPNv4路由,也称为EBGP redistribution of labeled VPNv4 routes;不需要再维护IPv4私网路由
- 不需要针对每个VPN创建不同接口。
- OptionB带RR方案的网络扩展性相比于OptionA方案较好。
- 注意点:
- ASBR之间需要开启MPLS功能。
- ASBR之间不启用IGP协议,不启用BGP单播传递路由,不启用LDP协议。
- VPNV4路由从PE1发布到ASBR-PE1到ASBR-PE2到PE2,过程中VPNV4路由的下一跳自动发生改变,因此导致VPN Label(私网标签)自动进行重分配。
- 传递VPNV4路由的沿途设备没有配置ip VPN实例,没有RT值,因此都需要关闭基于RT的路由接收功能:undo policy vpn-target
- 配置思路:
- 公网IGP互通和MPLS LDP会话
- PE1和ASBR-PE1之间建立VPNV4邻居
- ASBR-PE1和ASBR-PE2之间建立VPNV4邻居(EBGP对等体,直接用物理接口建立,其他的AS内的对等体关系用环回口建立)
- ASBR-PE2和PE2之间建立VPNV4邻居
- VPN接入,两端PE设备VPN的RT值要匹配。
- ASBR-PE之间要配置MPLS功能(不启用LDP,不传递对端AS内的环回口单播路由)
- 标签使用:
- AS内部是两层标签:一层VPN Label(私网标签)、一层LDP标签。
- AS之间是一层标签:一层VPN Label(私网标签),由对端的ASBR分配的。
- 特点:
- OptionA ASBR需要维护VPNV4路由,IPV4路由
- OptionB ASBR上不需要维护IPV4路由,由于私网标签在ASBR上发生了重新分配的情况,所以所有的转发流量还需要经过该ASBR,ASBR需要维护VPNV4路由
- OptionC:ASBR不在需要维护VPNV4路由,PE与PE之间之间建立VPNV4对等体关系。
8.3 跨域Option C方案
不带RR场景:PE1和PE2之间建立VPNV4邻居关系。
带RR场景:PE1和RR1、RR1和RR2、RR2和PE2之间建立VPNV4邻居关系。
两种方案:
- C1方案:通过BGP IPV4标签路由构建LSP
- C2方案:ASBR1将本端的环回口路由发布到对端的ASBR2中,ASBR2在将这些环回口路由引入到IGP中,LDP默认可以给IGP的32主机路由分配标签形成LSP。
8.4 跨域OptionC1方案
跨域VPN-OptionC(Inter-Provider Backbones Option C)方式:
PE或RR间通过Multi-hop MP-EBGP发布标签VPNv4路由,也称为Multihop EBGP redistribution of labeled VPNv4 routes;
ASBR不维护或发布VPNv4路由,配置较为复杂。
8.4.1不带RR场景配置思路:
- 公网IGP和MPLS LDP会话
- VPN接入
- 创建IP VPN实例,绑定接口
- 创建IGP协议绑定实例(双向引入)
- 在本端ASBR1上要向对端ASBR2通告本端的PE设备的环回口X地址。
- 本端ASBR1上向对端ASBR2通告环回口X路由时要携带IPV4路由的标签。通过route-policy实现
- 对端的ASBR2向PE2通告环回口X路由,需要根据易携带的标签,更换一个标签。通过route-policy
- 配置完以上两条route-policy调用,就会形成PE2到达ASBR1的BGP LSP
- 双向都需要完成,PE1和PE2相互学习到对端的环回口地址,且可达。
- 在PE1和PE2上建立VPNV4邻居关系,直接传递VPNV4路由
8.4.2 不带RR场景路由传递
1、CE1和PE1之间传递IPV4路由
2、PE1和PE2之间直接传递VPNV4路由
3、PE2和CE2之间传递IPV4路由
8.4.3 不带RR场景数据转发过程
从CE2向CE1转发数据的过程:
- CE2向PE2进行IP转发
- PE2迭代进入隧道:
- 根据VPNV4路由的私网标签封装v1标签
- 根据VPNV4路由的下一跳(本端的ASBR2)封装BGP策略提供的标签X1(为了让报文能够到达对端的ASBR1)
- 根据VPNV4路由的下一跳(本端的ASBR2)封装 LDP 提供的公网标签L1(为了让报文能够到达本端的ASBR2)
- 当报文根据L1标签到到达本端的ASBR2之后,再次根据X1标签跟换标签X2,转发到对端的ASBR1
- 当报文到达对端的ASBR1,弹出X2(改标签就是本地分配的),重新封装L2标签(LDP分配的,为了让报文能够到达对端的PE1设备。)
- 当报文到达对端的PE1设备,此时公网标签均弹出,剩余私网标签v1,根据该标签将数据转发进入到正确的VPN实例中。
8.4.4 标签的使用
- 本端的PE2设备上向对端转发,此时使用三层标签:
- PE1提供的私网标签V1,MP BGP提供
- BGP IPV4单播路由提供的标签X1,BGP LSP
- LDP 提供的域内LSP的标签
- 对端PE1所在域内,是通过LDP LSP将报文携带至 PE1设备。
8.4.5 不带RR场景,注意点
- PE1和PE2之间建立VPNV4邻居关系
- PE1和ASBR1、ASBR1和ASBR2、ASBR2和PE2之间要构建BGP的单播IPV4邻居,通过BGP传递PE1和PE2设备的环回口路由。
- ASBR之间需要启用MPLS功能
- 域内和域间的BGP单播邻居关系是需要传递IPV4标签路由,因此需要开启标签路由交换功能
8.5 OptionC1带RR场景
8.5.1 配置思路:
- 公网IGP互通和MPLS LDP会话建立(环回口地址的LSP构建)
- 单播BGP邻居的建立,要注意传递的是标签IPv4单播路由,需要开启标签路由通告能力。
- ASBR1和ASBR2建立单播BGP邻居,通告IPV4标签路由(开启标签路由的通告能力,MPLS能力,通过策略使通告的路由携带标签)
- ASBR2向RR2通告ipv4路由添加路由策略(使得接收到携带标签的IPV4路由,进一步更换标签发送给RR2设备)
- RR2收到ipv4标签路由,反射给PE2设备(不需要配置路由策略,直接将ASBR2分配给RR的标签同步反射给PE2设备)。
- 双向都按照以上三步进行配置,完成PE1和PE2的环回口互相学习,RR1和RR2的会回扣互相学习。
- 建立VPNV4对等体关系,VPNV4路由在传递过程中,如果下一跳发生改变,则路由携带的私网标签会发生改变(C1方案中,需要配置向对等体发布路由的下一跳不变规则)
- PE1和RR1之间建立VPNV4邻居关系(IBGP)
- RR1和RR2之间建立VPNV4邻居关系(EBGP,配置EBGP多跳)
- RR2和PE2之间建立VPNV4邻居关系
- VPN接入(配置实例,配置IGP绑定实例,IGP和BGP实例引入互操作)
8.5.2 路由传递过程
- 单播路由传递:本端ASBR通告本端AS内的PE设备和RR设备的环回口路由,并携带通过路由策略,使得路由携带标签。
- VPNV4路由:PE1的BGP 实例学习到ipv4路由自动形成VPNV4路由,传递路径:PE1传递给RR1,传递给RR2,传递给PE2,传递过程中配置下一跳不变,使得PE2学习到VPNV4路由的下一跳仍然为PE1
8.5.3 数据转发过程和标签使用
与OptionC1不带RR场景相同,如果不配置下一跳不变则不同,要求要配置。
不配置VPNV4路由的下一跳不变,则转发流量一定会经过RR,造成RR设备的负担。
8.6 Option C2方案
C2方案与C1方案的思路是相同的,都是PE与PE之间建立VPNV4邻居关系,带RR场景,PE1和RR1、RR1和RR2、RR2和PE2之间建立VPNV4邻居关系。
不同是构建LSP的方式不同:
C1方案通过BGP 构建从本端PE2到达对端ASBR1(PE1)的BGP LSP
C2方案通过LDP构建从本端PE2到达对端ASBR1(PE1)的LDP LSP
8.6.1 配置思路带RR场景
- 公网MPLS 域 IGP互通,MPLS LDP 会话建立,单域内环回口之间LSP构建。
- BGP单播路由的传递。
- ASBR1上将本端的PE1和RR1的环回口路由通告给对端AS,同时使用BGP策略为路由打上标签(不是路由标记),形成标签IPv4路由。
- ASBR2上收到对端环回口路由,引入到IGP中,同时配置MPLS LSP的构建策略,参考命令:lsp-trigger bgp-label-route //当本设备收到BGP标签路由,继续向上游分发LDP标签。
- ASBR之间还需要配置标签路由通告能力,开启MPLS 能力
- BGP VPNV4路由传递
- PE1-RR1、RR1-RR2、RR2-PE2,配置下一跳不变,注意RR之间是多跳的EBGP邻居关系
- VPN接入:VPN实例配置,绑定IGP,绑定接口,IGP和BGP引入互操作。
8.6.2 报文转发
从CE2到CE1的过程:
- CE2到PE2,采用IP转发
- PE2到RR2,封装私网标签,外层封装LDP标签,共两层标签
- RR2到ASBR2,RR2更换外层LDP标签发往ASBR2
- ASBR2-ASBR1,ASBR2更换外层的LDP标签为BGP 路由策略提供的标签,后发给 ASBR1
- ASBR1-PE1,将BGP路由策略提供的标签弹出,迭代进入到LDP隧道发往PE1(操作动作是PoPGO)。
- PE1收到报文之后,根据私网标签(外层LDP标签已倒数第二跳弹出),将流量导入到对应的VPN实例中,发往CE1。单向通信结束。
8.6.3 OptionC2的标签使用
整个过程中不排除LDP倒数第二跳弹出的话,使用两层标签,内存是私网标签,外层是LDP标签,ASBR之间的外层标签是BGP路由策略提供。