內(nèi)容簡(jiǎn)介
MPLS VPN跨域互聯(lián)有三種方式,分別是Option-A、Option-B、Option-C。這三種方式各自有各自的優(yōu)缺點(diǎn),你不能說某種跨域方式就能完全替代另外一種。但有時(shí)候,遇到兩個(gè)ASBR之間的鏈路有特殊情況時(shí)(例如中間有防火墻),用Option-B方式跨域互聯(lián),就會(huì)使得防火墻無法識(shí)別ASBR之間的數(shù)據(jù)包。
本案例為大家講解一個(gè)案例,當(dāng)ASBR之間有防火墻的時(shí)候,為了能讓防火墻識(shí)別IP數(shù)據(jù)包,需要將Option-B改為Option-A。在做改造的時(shí)候,需要哪些注意事項(xiàng),又如何驗(yàn)證,本案例都會(huì)為大家一一說明。
二、案例前置知識(shí)點(diǎn)
2.1 MPLS VPN 跨域技術(shù)簡(jiǎn)介
隨著MPLS VPN 部署的擴(kuò)大,在提供服務(wù)的骨干網(wǎng)絡(luò)中,跨越不同服務(wù)提供商管理邊界的跨域部署成為必然的要求。跨域 VPN 的建立過程經(jīng)過近幾年的實(shí)踐和快速發(fā)展,業(yè)界提出了幾種 VPN 跨域方法,即 OPTION A/B/C 三種。
MPLS VPN跨域技術(shù)突破單個(gè)服務(wù)提供商管理域的限制,擴(kuò)展了 MPLS VPN 架構(gòu)的靈活性,使得部署方式滿足了不斷擴(kuò)展的網(wǎng)絡(luò)部署要求,成為一種非常成熟的 VPN業(yè)務(wù)部署架構(gòu)。
MPLS L3VPN跨域方式包含三種可選方式:
- Option A :背靠背 back to back VRF
- Option B :?jiǎn)翁鄥f(xié)議 MP eBGP
- Option C :多跳多協(xié)議 MP eBGP
OPTION A跨域也叫做背靠背跨域,即兩個(gè) AS 的邊界路由器 ASBR 互相作為 PE和 CE 。采用這種方式,在域內(nèi)各自配置 MPLS VPN 網(wǎng)絡(luò),對(duì)于跨越自治域的 VPN ,需要 ASBR 充當(dāng) VPN 的 PE 設(shè)備,在 ASBR 設(shè)備上要配置該 VPN 對(duì)應(yīng)的 VRF ,并且為該VRF 分配一個(gè)接口(可以是邏輯接口),兩個(gè) ASBR 之間屬于同一 VPN 的接口互相連接,如圖所示:
對(duì)于本端自治域的VPN ASBR 充當(dāng) PE 角色,導(dǎo)入該 VPN 的所有路由。對(duì)于對(duì)端自治域的 VPN ASBR 充當(dāng) CE 角色,通過與對(duì)端 ASBR 之間的 eBGP 來學(xué)習(xí)對(duì)端 VPN的路由,然后再分發(fā)到本端 VPN 的所有 PE 設(shè)備中去。當(dāng)進(jìn)行報(bào)文轉(zhuǎn)發(fā)時(shí),域內(nèi)使用兩層標(biāo)簽轉(zhuǎn)發(fā),到達(dá) ASBR 后,作為普通 IP 報(bào)文發(fā)送給對(duì)端 ASBR 。
優(yōu)點(diǎn):
VPN 隧道構(gòu)建比較簡(jiǎn)單, ASBR 之間不需要運(yùn)行 MPLS ,所以 ASBR 之間的數(shù)據(jù)包是標(biāo)準(zhǔn)的 IP 數(shù)據(jù)包 。
缺點(diǎn):
ASBR 要維護(hù)所有 VPN 的路由,并且要為每一個(gè)跨域的 VPN 分配一個(gè)接口,因此存在可擴(kuò)展性 不強(qiáng) 的問題。
OPTION B跨域也叫單跳 MP EBGP 跨域, AS 內(nèi)通過正常的 MPLS/BGP 傳遞 VPN信息和構(gòu)建 LSP 隧道, AS 之間通過單跳的 MP EBGP 協(xié)議傳遞 VPN 信息并構(gòu)建 LSP隧道。如圖所示:
該方式需要在ASBR 之間運(yùn)行 MP eBGP ,當(dāng) ASBR 學(xué)習(xí)到本端自治域 PE 所通告的VPN 路由后,進(jìn)行一個(gè)標(biāo)簽替換,將路由信息和新的標(biāo)簽通告給對(duì)端 ASBR 。在進(jìn)行報(bào)文轉(zhuǎn)發(fā)時(shí),域內(nèi)使用兩層標(biāo)簽轉(zhuǎn)發(fā), ASBR 之間采用一層標(biāo)簽轉(zhuǎn)發(fā),并且根據(jù)實(shí)現(xiàn)的細(xì)節(jié)可能需要在 ASBR 上完成對(duì)內(nèi)層標(biāo)簽的替換。
優(yōu)點(diǎn):
ASBR 之間一條鏈路傳遞所有 VPN 信息。不需要 ASBR 為每個(gè) VPN 配置VRF ,不需要導(dǎo)入 VPN 路由,不需要為每個(gè) VPN 分配接口。
缺點(diǎn):
ASBR 仍需要維護(hù)所有的 VPN 路由,并且為每個(gè)標(biāo)簽分配新的標(biāo)簽,在本地安裝新老標(biāo)簽轉(zhuǎn)換的 ILM 表項(xiàng),因此對(duì)于 ASBR 路由器的設(shè)備性能要求比較高。由于本案例不 涉及 Option C ,且 Option C 使用較少,所以本文就不再介紹 Option C了。需要這方面知識(shí)的小伙伴可以自行百度查找資料。
2.2 Option A 跨域技術(shù)關(guān)鍵配置
對(duì)于 Option A ,實(shí)現(xiàn)思路比較簡(jiǎn)單,也就是 ASBR 之間創(chuàng)建多個(gè)互聯(lián)地址,每個(gè)互聯(lián)地址綁定在不同的 VRF 中,然后每個(gè) VRF 創(chuàng)建一個(gè) BGP 鄰居 。如果 VRF 的數(shù)量多,則需要分配的互聯(lián)地址就會(huì)越多,創(chuàng)建 BGP 鄰居的數(shù)量就越多。
如上圖,在 R1 R2 之間,有 RED 和 BLUE 兩個(gè) VRF 。RED 中的互聯(lián)地址是100.12.1.0/30 BLUE 中的互聯(lián)地址是 100.21.1.0/30 。所以,在 R1 和 R2 之間需要?jiǎng)?chuàng)建兩個(gè)互聯(lián)地址,分別是 RED VRF 和 BLUE VRF 的:
R1上配置互聯(lián)地址
router bgp 65230
address family ipv4 vrf BLUE
neighbor 100.12.11.2 remote as 65231
neighbor 100.12.11.2 activate
exit address family
address family ipv4 vrf RED
neighbor 100.21.1.2 remote as 65231
neighbor 100.21.1.2 activate
exit address family
R2上配置互聯(lián)地址
router bgp 65231
address family ipv4 vrf BLUE
neighbor 100.12.11.1 remote as 65230
neighbor 100.12.11.1 activate
exit address family
address fa mily ipv4 vrf RED
neighbor 100.21.1.1 remote as 65230
neighbor 100.21.1.1 activate
exit address family
然后, 針對(duì)每一個(gè) VRF 創(chuàng)建一個(gè) eBGP 鄰居:
R1上的配置
router bgp 65230
address family ipv4 vrf BLUE
neighbor 100.12.11.2 remote as 65231
neighbor 100.12.11.2 activate
exit address family
address family ipv4 vrf RED
neighbor 100.21.1.2 remote as 65231
neighbor 100.21.1.2 activate
exit address family
R2上的配置
interface Ethernet0/0
ip address 100.12.1.1 255.255.255.252
mpls bgp forwarding
router bgp 65230
no bgp default route
label filter
neighbor 100.12.1.2 remote as 65231
address family ipv4
neighbor 100.12.1.2 activate
!
address family vpnv4
neighbor 100.12.1.2 activate
neighbor 100.12.1.2 send community extended
2.3 Option B 跨域技術(shù)關(guān)鍵配置
對(duì)于 Option B ASBR 之間只需要一對(duì)互聯(lián)地址,然后 ASBR 之間分別創(chuàng)建 IPv4族的 BGP 鄰居(傳遞公網(wǎng)路由), vpnv4 地址族的 BGP 鄰居(傳遞私網(wǎng)路由)。但是, ASBR 之間的互聯(lián)鏈路需要支持 MPLS 標(biāo)簽。
如上圖所示, R1 與 R2 兩臺(tái) ASBR 之間只需要一組互聯(lián)地址,而 R1 和 R2 之間需要建立 IPv4 地址族下的 eBGP 鄰居和 vpnv4 地址族下的 eBGP 鄰居。且互聯(lián)接口需要支持標(biāo)簽分發(fā)。
R1上的配置:
interface Ethernet0/0
ip address 100.12.1.1 255.255.255.252
mpls bgp forwarding
router bgp 65230
no bgp default route
label filter
neighbor 100.12.1.2 remote as 65231
address family ipv4
neighbor 100.12.1.2 activate
!
address family vpnv4
neighbor 100.12.1.2 activate
neighbor 100.12.1.2 send community extended
R2上的配置:
interface Ethernet0/0
ip address 100.12.1.2 255.255. 255.252
mpls bgp forwarding
router bgp 65231
no bgp default route
label filter
neighbor 100.12.1. 1 remote as 6523 0
address family ipv4
neighbor 100.12.1. 1 activate
!
address family vpnv4
neighbor 100.12.1. 1 activate
neighbor 100.12.1. 1 send community extended
未完待續(xù)
