BGP MPLS VPN基本原理,及跨域VPN,一分鐘瞭解下

一、基本原理

1、私網標籤分配

在 BGP/MPLS IP VPN 中,PE 通過 MP-BGP 發佈私網路由給骨幹網的其他相關的 PE 前,需

要為私網路由分配 MPLS 標籤(私網標籤)。當數據包在骨幹網傳輸時,攜帶私網標籤。

PE 上分配私網標籤的方法有如下兩種:

1)、基於路由的 MPLS 標籤分配:為 VPN 路由表的每一條路由分配一個標籤(one

label per route)。這種方式的缺點是:當路由數量比較多時,設備入標籤映射表

ILM(Incoming Label Map)需要維護的表項也會增多,從而提高了對設備容量的

要求。

2)、基於 VPN 實例的 MPLS 標籤分配:為整個 VPN 實例分配一個標籤,該 VPN 實例裡

的所有路由都共享一個標籤。使用這種分配方法的好處是節約了標籤。

2、私網路由交叉

兩臺 PE 之間通過 MP-BGP 傳播的路由是 VPNv4 路由。當接收到 VPNv4 路由,PE 先進行

如下處理:

1)、 檢查其下一跳是否可達。如果下一跳不可達,該路由被丟棄。

2)、 對於 RR 發送過來的 VPNv4 路由,如果收到的路由中 cluster_list 包含自己的

cluster_id,則丟棄這條路由。

3)、 進行 BGP 的路由策略過濾,如果不通過,則丟棄該路由。

之後,PE 把沒有丟棄的路由與本地的各個 VPN 實例的 Import Target 屬性匹配。VPNv4 路

由與本地 VPN 實例的 Import VPN-Target 進行匹配的過程稱為私網路由交叉。

PE 上有種特殊的路由,即來自本地 CE 的屬於不同 VPN 的路由。對於這種路由,如果其下

一跳直接可達或可迭代成功,PE 也將其與本地的其他 VPN 實例的 Import Target 屬性匹

配,該過程稱為本地交叉。例如:CE1 所在的 Site 屬於 VPN1,CE2 所在的 Site 屬於

VPN2,且 CE1 和 CE2 同時接入 PE1。當 PE1 收到來自 CE1 的 VPN1 的路由時,也會與

VPN2 對應的 VPN 實例的 Import Target 屬性匹配。

3、公網隧道迭代

為了將私網流量通過公網傳遞到另一端,需要有一條公網隧道承載這個私網流量。因此私

網路由交叉完成後,需要根據目的 IPv4 前綴進行路由迭代,查找合適的隧道(本地交叉的

路由除外);只有隧道迭代成功,該路由才被放入對應的 VPN 實例路由表。將路由迭代到

相應的隧道的過程叫做隧道迭代。

隧道迭代成功後,保留該隧道的標識符(Tunnel ID),供後續轉發報文時使用。Tunnel ID

用於唯一標識一條隧道。VPN 報文轉發時根據 Tunnel ID 查找對應的隧道,然後從隧道上

發送出去。

4、私網路由的選擇規則

經過路由交叉和隧道迭代的路由並不是全部被放入 VPN 實例路由表。從本地 CE 收到的路

由和本地交叉路由也不是全部被放入 VPN 實例路由表。

對於到同一目的地址的多條路由,如果不進行路由的負載分擔,按如下規則選擇其中的一

條:

1)、 同時存在直接從 CE 收到的路由和交叉成功後的同一目的地址路由,則優選從 CE

收到的路由。

2)、 同時存在本地交叉路由和從其他 PE 接收並交叉成功後的同一目的地址路由,則優

選本地交叉路由。

對於到同一目的地址的多條路由,如果進行路由的負載分擔,則:

3)、 優先選擇從本地 CE 收到的路由。只有一條從本地 CE 收到的路由而有多條交叉路

由的情況下,也只選擇從本地 CE 收到的路由。

4)、 只在從本地 CE 收到的路由之間分擔或只在交叉路由之間分擔,不會在本地 CE 收

到的路由和交叉路由之間分擔。

二、 跨域 VPN

一般的 MPLS VPN 體系結構都是在一個自治系統 AS(Autonomous System)內運行,任

何 VPN 的路由信息都是隻能在一個 AS 內按需擴散,沒有提供 AS 內的 VPN 信息向其他

AS 擴散的功能。因此,為了支持運營商之間的 VPN 路由信息交換,就需要擴展現有的協

議和修改 MPLS VPN 體系框架,提供一個不同於基本的 MPLS VPN 體系結構所提供的互

連模型——跨域(Inter-AS)的 MPLS VPN,以便可以穿過運營商間的鏈路來發布路由前

綴和標籤信息。

1、跨域 VPN-OptionA(Inter-Provider Backbones Option A)方式:需要跨域的 VPN 在

ASBR(AS Boundary Router)間通過專用的接口管理自己的 VPN 路由,也稱為

VRF-to-VRF

BGP MPLS VPN基本原理,及跨域VPN,一分鐘瞭解下

跨域 VPN-OptionA 的特點

優點是配置簡單:由於 ASBR 之間不需要運行 MPLS,也不需要為跨域進行特殊配置。

缺點是可擴展性差:由於 ASBR 需要管理所有 VPN 路由,為每個 VPN 創建 VPN 實例。

這將導致 ASBR 上的 VPN-IPv4 路由數量過大。並且,由於 ASBR 間是普通的 IP 轉發,

要求為每個跨域的 VPN 使用不同的接口,從而提高了對 PE 設備的要求。如果跨越多個

自治域,中間域必須支持 VPN 業務,不僅配置量大,而且對中間域影響大。在需要跨域

的 VPN 數量比較少的情況,可以優先考慮使用。

2、跨域 VPN-OptionB(Inter-Provider Backbones Option B)方式:ASBR 間通過 MP-

EBGP 發佈標籤 VPN-IPv4 路由,也稱為 EBGP redistribution of labeled VPN-IPv4

routes

BGP MPLS VPN基本原理,及跨域VPN,一分鐘瞭解下

跨域 VPN-OptionB 的特點

不同於 OptionA,OptionB 方案不受 ASBR 之間互連鏈路數目的限制。

侷限性:VPN 的路由信息是通過 AS 之間的 ASBR 來保存和擴散的,當 VPN 路由較多

時,ASBR 負擔重,容易成為故障點。因此在 MP-EBGP 方案中,需要維護 VPN 路由信

息的 ASBR 一般不再負責公網 IP 轉發。

3、跨域 VPN-OptionC(Inter-Provider Backbones Option C)方式:PE 間通過 Multi-

hop MP-EBGP 發佈標籤 VPN-IPv4 路由,也稱為 Multihop EBGP redistribution of

labeled VPN-IPv4 routes

BGP MPLS VPN基本原理,及跨域VPN,一分鐘瞭解下

跨域 VPN-OptionC 的特點

VPN 路由在入口 PE 和出口 PE 之間直接交換,不需要中間設備的保存和轉發。

VPN 的路由信息只出現在 PE 設備上,而 P 和 ASBR 只負責報文的轉發,使得中間域的設備可以不支

持 MPLS VPN 業務,只需支持 MPLS轉發,ASBR 設備不再成為性能瓶頸。因此跨域 VPN-OptionC

更適合在跨越多個 AS 時使用。更適合支持 MPLS VPN 的負載分擔。缺點是維護一條端到端的 PE 連

接管理代價較大。


分享到:


相關文章: