ASBR1与ASBR2建立MP-eBGP邻居,可以使用它们之间的直连链路地址,也可以使用各自的loopback地址 。如果使用后者,ASBR1和ASBR2之间的关系就是Multi-hopMP-eBGP,不过处理方法与直连的MP-eBGP类似,主要是把用来建立邻居关系的IP地址用对应的方法分发给对等域中的路由器即可 。
把本域中路由器地址分发给其他域可能有一定的安全风险 。由此延伸而来的另一种解决办法是,在配置ASBR2与PE22的MP-iBGP邻居关系时,通过在ASBR2上配置next-hop-self来人为地将ASBR1发送来的VPN-IP路由下一跳改为自己,这样就避免了ASBR1的IP地址在AS2中扩散,从而增加一定的安全性 。但因为涉及下一跳地址的改变,所以在VPN-IP路由信息分发到ASBR2后,ASBR2需重新为其分配VPN标签V3 。
以上所述主要是VPN-IP路由信息从AS1到AS2传送过程中的一些配置和处理,在VPN-IP路由信息从AS2到AS1的传递过程中,对应的ASBR需进行同样的配置和处理 。
当ASBR1与ASBR2通过MP-eBGP建立邻居关系,并且各自与自己的PE通过next-hop-self建立iBGP邻居关系时(这样就涉及VPN标签的重新分配),典型的数据传送过程如图3所示 。
在此需要特别指出的是,由于在ASBR1与ASBR2上均进行了next-hop-self配置,VPN-A路由的下一跳地址在传送过程中要改变两次,因此出现了三个VPN标签(一个VPN路由下一跳生成一个标签) 。另外要注意此时ASBR1与ASBR2传送的是带VPN标签的IP数据包,所以要求它们之间的链路支持MPLS 。
对于本方案中的其他解决办法,也可画出类似的数据传送过程,惟一不同的就是如果ASBR2不改变ASBR1发来的路由信息的下一跳,ASBR2就没必要重新分配VPN标签V3,当数据包到达ASBR2时应该包含两层标签,而后由ASBR2剥去外层的MPLS标签,将带VPN标签的数据包发送给ASBR1,由ASBR1完成后续的加标签和发送工作 。
3.1.3方案三:RR间通过Multi-hopMP-eBGP分发VPN-IPv4路由信息和相应的标签
对于大型电信运营商,因其网络中一般有很多PE,如果要求它们之间都相互建立iBGP连接关系,也就是fullmeshiBGP,那么其维护或将来的扩展将会很困难 。解决这个问题的办法就是在自治域内部署RR,在RR间直接建立Mult-hopMP-eBGP邻居关系 。
如图4所示,PE11为VPN-A中的路由分配VPN标签V1,并将下一跳设置为自己,而后将这些信息发送给RR1 。RR1在收到PE11发来的VPN-IP路由信息时,通过eBGP连接直接将其发送给RR2,而后由RR2发送给对应的PE22(在此处,可以对RR1与RR2进行相应的配置,如next-hop-unchanged,这样RR2在收到上述信息后,下一跳地址仍保持为PE11,对应的VPN标签仍是原来PE11分发的那个标签 。当然也可以不做这样的设置,这样的话RR2需要为这些路由重新分配标签) 。位于各自治域的PE只需跟本域的RR建立iBGP邻居关系即可 。
文章插图
需要特别指出的是,由于RR1与RR2采用next-hop-unchanged来建立Multi-hopMP-eBGP邻居关系,VPN-A中路由信息的下一跳在传送过程中一直未发生变化,因此整个过程仅有一个VPN标签被使用 。
另外,ASBR1与ASBR2间传送的是加上两层标签(外层MPLS标签和VPN标签)的IP数据包,自然要求它们之间的链路支持MPLS 。而且,分别位于两个AS中的PE11和PE22之间需要有一条LSP存在,也就是说PE22需要为PE11分配外层MPLS标签(如图4中的L4),这可能给大规模部署后的维护带来一些困难 。
3.2方案比较
上述三个方案的优缺点比较见表1 。
4 对中国电信开展MPLSLayer3 VPN部署的建议
中国电信的CN2骨干网目前全面支持MPLSLayer3VPN的部署,在骨干网上直接进行MPLS VPN的部署相对来说比较容易,但其欲采用MPLS VPN支持的业务,如软交换业务、大客户数据业务等主要来自各城域网 。因此,要实现全网对MPLS VPN的支持,首先要对各城域网进行改造,使其支持MPLS Layer 3 VPN 。
改造后的城域网除了支持在本城域网内开展MPLSLayer3VPN业务外,还需要与CN2骨干网对接,实现跨地区、跨省的MPLS Layer 3 VPN业务 。这就需要部署跨域MPLS VPN 。
考虑到中国电信目前城域网数量众多,骨干网上与城域网对接的PE路由器数量约是城域网数量的两倍,因此骨干网内PE之间的iBGP连接只能采用RouteReflector或者BGPConfederation方式 。从规划和管理方面考虑,采用RouteReflector建立骨干网内各PE间的iBGP连接更加合适 。
如果城域网内的PE数量较少,则它们之间可以直接建立iBGP邻居关系;如果城域网内的PE数量较多或者考虑到将来扩展的需要,建议采用RouteReflector方式建设 。
推荐阅读
- BGP EVPN方式VXLAN实验
- MPLS VPN跨域互联改造?
- 华为防火墙设置VPN通过隧道分离技术同时访问企业内网及外网
- 多出口如何建立IPSec VPN?两种配置方式实现高可用性
- IPSec VPN中如何传输动态路由协议?理论知识分析实现原理
- OpenVPN搭建部署
- 物联网网关搭建VPN客户端,来实现PLC远程下载
- 一篇文章实现vue集成axios、调用、跨域、配置多个跨域
- MPLS基础及MPLS静态LSP配置
- 免费的虚拟专用网络VPN安全吗?