內容簡介
MPLS VPN跨域互聯有三種方式,分別是Option-A、Option-B、Option-C。這三種方式各自有各自的優缺點,你不能說某種跨域方式就能完全替代另外一種。但有時候,遇到兩個ASBR之間的鏈路有特殊情況時(例如中間有防火墻),用Option-B方式跨域互聯,就會使得防火墻無法識別ASBR之間的數據包。
本案例為大家講解一個案例,當ASBR之間有防火墻的時候,為了能讓防火墻識別IP數據包,需要將Option-B改為Option-A。在做改造的時候,需要哪些注意事項,又如何驗證,本案例都會為大家一一說明。
二、案例前置知識點
2.1 MPLS VPN 跨域技術簡介
隨著MPLS VPN 部署的擴大,在提供服務的骨干網絡中,跨越不同服務提供商管理邊界的跨域部署成為必然的要求。跨域 VPN 的建立過程經過近幾年的實踐和快速發展,業界提出了幾種 VPN 跨域方法,即 OPTION A/B/C 三種。
MPLS VPN跨域技術突破單個服務提供商管理域的限制,擴展了 MPLS VPN 架構的靈活性,使得部署方式滿足了不斷擴展的網絡部署要求,成為一種非常成熟的 VPN業務部署架構。
MPLS L3VPN跨域方式包含三種可選方式:
- Option A :背靠背 back to back VRF
- Option B :單跳多協議 MP eBGP
- Option C :多跳多協議 MP eBGP
OPTION A跨域也叫做背靠背跨域,即兩個 AS 的邊界路由器 ASBR 互相作為 PE和 CE 。采用這種方式,在域內各自配置 MPLS VPN 網絡,對于跨越自治域的 VPN ,需要 ASBR 充當 VPN 的 PE 設備,在 ASBR 設備上要配置該 VPN 對應的 VRF ,并且為該VRF 分配一個接口(可以是邏輯接口),兩個 ASBR 之間屬于同一 VPN 的接口互相連接,如圖所示:
對于本端自治域的VPN ASBR 充當 PE 角色,導入該 VPN 的所有路由。對于對端自治域的 VPN ASBR 充當 CE 角色,通過與對端 ASBR 之間的 eBGP 來學習對端 VPN的路由,然后再分發到本端 VPN 的所有 PE 設備中去。當進行報文轉發時,域內使用兩層標簽轉發,到達 ASBR 后,作為普通 IP 報文發送給對端 ASBR 。
優點:
VPN 隧道構建比較簡單, ASBR 之間不需要運行 MPLS ,所以 ASBR 之間的數據包是標準的 IP 數據包 。
缺點:
ASBR 要維護所有 VPN 的路由,并且要為每一個跨域的 VPN 分配一個接口,因此存在可擴展性 不強 的問題。
OPTION B跨域也叫單跳 MP EBGP 跨域, AS 內通過正常的 MPLS/BGP 傳遞 VPN信息和構建 LSP 隧道, AS 之間通過單跳的 MP EBGP 協議傳遞 VPN 信息并構建 LSP隧道。如圖所示:
該方式需要在ASBR 之間運行 MP eBGP ,當 ASBR 學習到本端自治域 PE 所通告的VPN 路由后,進行一個標簽替換,將路由信息和新的標簽通告給對端 ASBR 。在進行報文轉發時,域內使用兩層標簽轉發, ASBR 之間采用一層標簽轉發,并且根據實現的細節可能需要在 ASBR 上完成對內層標簽的替換。
優點:
ASBR 之間一條鏈路傳遞所有 VPN 信息。不需要 ASBR 為每個 VPN 配置VRF ,不需要導入 VPN 路由,不需要為每個 VPN 分配接口。
缺點:
ASBR 仍需要維護所有的 VPN 路由,并且為每個標簽分配新的標簽,在本地安裝新老標簽轉換的 ILM 表項,因此對于 ASBR 路由器的設備性能要求比較高。由于本案例不 涉及 Option C ,且 Option C 使用較少,所以本文就不再介紹 Option C了。需要這方面知識的小伙伴可以自行百度查找資料。
2.2 Option A 跨域技術關鍵配置
對于 Option A ,實現思路比較簡單,也就是 ASBR 之間創建多個互聯地址,每個互聯地址綁定在不同的 VRF 中,然后每個 VRF 創建一個 BGP 鄰居 。如果 VRF 的數量多,則需要分配的互聯地址就會越多,創建 BGP 鄰居的數量就越多。
如上圖,在 R1 R2 之間,有 RED 和 BLUE 兩個 VRF 。RED 中的互聯地址是100.12.1.0/30 BLUE 中的互聯地址是 100.21.1.0/30 。所以,在 R1 和 R2 之間需要創建兩個互聯地址,分別是 RED VRF 和 BLUE VRF 的:
R1上配置互聯地址
router bgp 65230
address family ipv4 vrf BLUE
neighbor 100.12.11.2 remote as 65231
neighbor 100.12.11.2 activate
exit address family
address family ipv4 vrf RED
neighbor 100.21.1.2 remote as 65231
neighbor 100.21.1.2 activate
exit address family
R2上配置互聯地址
router bgp 65231
address family ipv4 vrf BLUE
neighbor 100.12.11.1 remote as 65230
neighbor 100.12.11.1 activate
exit address family
address fa mily ipv4 vrf RED
neighbor 100.21.1.1 remote as 65230
neighbor 100.21.1.1 activate
exit address family
然后, 針對每一個 VRF 創建一個 eBGP 鄰居:
R1上的配置
router bgp 65230
address family ipv4 vrf BLUE
neighbor 100.12.11.2 remote as 65231
neighbor 100.12.11.2 activate
exit address family
address family ipv4 vrf RED
neighbor 100.21.1.2 remote as 65231
neighbor 100.21.1.2 activate
exit address family
R2上的配置
interface Ethernet0/0
ip address 100.12.1.1 255.255.255.252
mpls bgp forwarding
router bgp 65230
no bgp default route
label filter
neighbor 100.12.1.2 remote as 65231
address family ipv4
neighbor 100.12.1.2 activate
!
address family vpnv4
neighbor 100.12.1.2 activate
neighbor 100.12.1.2 send community extended
2.3 Option B 跨域技術關鍵配置
對于 Option B ASBR 之間只需要一對互聯地址,然后 ASBR 之間分別創建 IPv4族的 BGP 鄰居(傳遞公網路由), vpnv4 地址族的 BGP 鄰居(傳遞私網路由)。但是, ASBR 之間的互聯鏈路需要支持 MPLS 標簽。
如上圖所示, R1 與 R2 兩臺 ASBR 之間只需要一組互聯地址,而 R1 和 R2 之間需要建立 IPv4 地址族下的 eBGP 鄰居和 vpnv4 地址族下的 eBGP 鄰居。且互聯接口需要支持標簽分發。
R1上的配置:
interface Ethernet0/0
ip address 100.12.1.1 255.255.255.252
mpls bgp forwarding
router bgp 65230
no bgp default route
label filter
neighbor 100.12.1.2 remote as 65231
address family ipv4
neighbor 100.12.1.2 activate
!
address family vpnv4
neighbor 100.12.1.2 activate
neighbor 100.12.1.2 send community extended
R2上的配置:
interface Ethernet0/0
ip address 100.12.1.2 255.255. 255.252
mpls bgp forwarding
router bgp 65231
no bgp default route
label filter
neighbor 100.12.1. 1 remote as 6523 0
address family ipv4
neighbor 100.12.1. 1 activate
!
address family vpnv4
neighbor 100.12.1. 1 activate
neighbor 100.12.1. 1 send community extended
未完待續
