MPLS之路由协议多实例

小乔

思科知识点汇总贴
http://bbs.hh010.com/thread-529979-1-1.html
(出处: 鸿鹄论坛)




路由协议多实例
1.概述
所谓路由协议多实例，就是指在一个独立的VRF中，运行一个与这个VRF相配套的路由协议。因此，在同一台路由器上不同VRF之间路由协议相互隔离，配置、功能上都是相互独立的。
一般情况下，路由协议的多实例使用在PE设备上，即MPLS VPN这个场合下。在MPLS VPN需要在PE上的使用这种路由协议多实例来实现VPN之间相互隔离，并将这些路由协议多实例与MP-iBGP之间相互的重分发。
另外，VRF和路由协议的多实例完全可以作为一种手段将一个路由器分割为多个路由器，这种应用我们也称之为MultiCE。这种方式只是简单的将路由器进行划分，建立独立额路由表、接口表、以及对应的路由实例。
2.MCE技术
①概述
单纯使用传统路由器很难实现局域网中不同业务的完全隔离。LAN中业务隔离的传统方法有两种：
- 利用VLAN隔离业务，将用户划分在一个独立的VLAN中。
- 利用CE设备隔离业务，为每个用户部署一个独立的CE路由器。
这些解决方案需要应用传统的设备，对用户来说即昂贵，又需要更多的网络管理工作和用户站点部署。
MCE（Multi-VPN-Instance CE，多实例CE）通过多实例在CE设备上提供逻辑独立的路由实例和地址空间，使多个用户可以共享一个CE。MCE以较低的成本解决了局域网的业务隔离和安全问题，提供了新的、经济的、管理简化的解决方案。
②技术细节
在局域网内的CE设备上运行VPN多实例，可以实现将一台物理路由器划分为多个虚拟的路由器，由一台路由器完成多个传统路由器的功能。从而，解决局域网内部业务分离、保证业务安全性的问题。运行了VPN多实例的CE设备称为Multi-VPN-Instance CE，即多实例CE，如下图所示：

a)每个虚拟路由器为用户维护独立的VPN路由表和转发表，实现了不同VPN间IP地址的可重叠。
b)每个虚拟路由器包含自己的一组接口。在MCE的接口上将其与VPN实例关联，从接口接收和发送的报文，被认为是关联VPN内的报文，并通过查找该VPN对应的转发表进行转发。如上图所示，接口Ethernet1/0与VPN 1关联，从Ethernet1/0接收和发送的报文均为VPN 1的报文，在VPN 1内进行转发。
c)每个虚拟路由器包含一组接口在简化了不同VPN内报文识别的同时，引入了如下的问题：为了区分MCE与PE之间不同VPN的报文，需要在MCE和PE之间建立多条物理连接。MCE采用三层以太网子接口解决了这个问题。在一个物理接口上创建多个子接口，每个子接口与不同的VPN关联，使得CE和PE之间只需要一条物理链路，就可以传递和区分不同VPN的报文。例如，将MCE上的VPN 1关联到子接口Ethernet1/2.1，将PE上的VPN 1关联到子接口Ethernet1/0.1，同时，保证两个子接口具有相同的VLAN ID。
d)MCE将PE功能扩展到CE设备，扩展了BGP/MPLS VPN体系。将BGP/MPLS VPN的私有性和安全性扩展到一个用户网络内部的分支办公室或部门，而不是局限在PE节点，以较低的成本解决了局域网内部业务分离和安全性问题。通过MCE，多个用户可以共享一个CE，减少了设备使用量，简化了管理。
e)MCE不需要支持MPLS、BGP/OSPF互操作功能，是不支持MPLS和BGP/MPLS VPN的低端设备上非常重要的功能。
f)PE和MCE之间，为每个VPN实例配置独立的路由协议进程，可以使用BGP、OSPF、ISIS或RIP。
3.OSPF VPN
①简单的OSPF VPN应用

从路由层面上讲，普通路由协议多实例用在MPLS VPN中，它们与MP-iBGP之间仅仅只是简单的“引入”关系。当然，OSPF只是这样简单的应用也是可以的，那么从MP-iBGP多实例重分发到OSPF中就只能是将源站点的OSPF区域内路由转化成OSPF的外部路由后发布给其他站点学习。
如上图，在北京的华为CE设备上将10.0.0.0/16通过network命令通告到OSPF进程中，而将50.0.0.0/16这条路由重分发到OSPF中。在北京的PE节点上看到这两条路由的结果一条是OSPF区域内路由，一条是OSPF外部路由。但是不管怎么样这两条路由被MP-iBGP携带到上海PE节点并重分发到OSPF多实例后，它们都变成了OSPF的外部路由。这在OSPF看来是无法忍受的，为了使得OSPF路由的更多属性在MP-iBGP传输时不丢失，就必须随着路由携带更多的路由属性。
②OSPF VPN的扩展

如上图，为了保证尽可能的还原OSPF的拓扑结构，就需要扩展MP-iBGP的团体属性以携带更多的OSPF路由属性。但是，如果OSPF多实例不去伪造拓扑结构，那么通过MP-iBGP传递而来的OSPF路由最多只能还原成OSPF区域间路由。因此，OSPF多实例在MPLS VPN的应用中我们可以把它看成一个具有三层结构的体系，即各个站点里可以有骨干区域，但是MPLS骨干区域则像一个更高层次的骨干区域，我们称之为Super BackBone Area，PE设备就是这个Super BackBone Area的区域边界路由器（ABR）。它的路由交换就变成了Super ABR在把site路由（的普通区域或骨干区域）注入到Super BackBone Area的同时也会把Super BackBone Area区域内的路由注入到site中（的普通区域或骨干区域），并且根据原来路由类别的不同还原成区域间路由或外部路由，这就是所谓的OSPF三层结构。
③OSPF VPN中的扩展属性
a)OSPF Domain ID：必选属性
OSPF Domain ID是一个在OSPF VPN中新增的概念，其目的就是将各个site的OSPF实例划分到同一个OSPF域内。这样就可以将OSPF域内路由与OSPF外部路由区分开来。每个site的OSPF都必须配置一个域ID，域ID相同额站点之间路由可以还原成OSPF内部路由（只可能是区域间路由），而域ID不同的site之间路由只能还原成OSPF外部路由。
b)Area Number：必选属性
Area Number即源路由所在的区域号。对于一般的路由类型来说，这个Area Number的意义并不大（最终都只能还原成区域间路由），但是对于Sham-Link Endpoint Address类型的路由就需要用到这个Area Number属性。因为Sham-Link是跨越运营商网络的一条区域内链路，Sham-Link的两端一定要在同一个区域内才能建立Sham-Link连接。
c)OSPF路由类型：必选属性
目标site会根据这个属性来决定还原成什么样的LSA，其主要取值有：1、2、3（还原成区域间路由）；5（ASE还原成外部路由）；7（还原成NSSA外部路由）；129（Sham-Link端点地址的路由，Sham-Link连接建立所使用的地址）。
d)OSPF Router ID：可选属性
Router ID作为一个扩展的团体属性被MP-iBGP传递到对端并无太大实际作用，因为不管对端PE将路由还原成哪个类型的LSA，其Router ID都会被替换成对端PE的Router ID。
④CE双归属与BackDoor链路网络的环路避免
a)外部路由的VPN Tag
外部路由避免路由环路的主要方式，就是在ASE LSA泛洪的整个过程中不更改其发布者的Router ID。但是当PE在将通过MP-iBGP学习到的VPN路由重分发到OSPF多实例中时，这些LSA的Adv Router ID就变成了PE上这个OSPF实例的Router ID，这条路由的最初发布者信息就丢失了。当然这种情况在物理上没有环路的网络，并不会造成什么问题。但是，当网络中存在CE双归属与BackDoor链路时，就很容易产生路由环路。
为了避免这种情况下产生路由环路，PE上在将MP-iBGP路由重分发到OSPF多实例中时，将产生一个VPN Tag携带在ASE LSA的Tag字段中。PE设备如果收到ASE LSA的VPN Tag和本地OSPF实例的VPN Tag一致，此LSA就不参与路由计算。
b)区域间路由的Down Bit
同样的，在CE双归属与BackDoor链路网络环境中，直接将MP-iBGP路由还原成type 3 LSA，不做任何相应处理也是同样很容易产生路由环路。因此，在PE产生type 3 LSA的时候都在LSA中设置Down Bit，如果PE收到type 3 LSA携带了Down Bit就不参与路由计算。
⑤Sham-Link

配置Sham-Link：
router(config)#int loopback 100          #在PE上单独创建/32位的地址并将这个接口放入相应的VRF。在PE之间使用这个地址来建立Sham-Link。
router(config-if)#ip vrf forwarding vpn
router(config-if)#ip add 100.1.1.1 255.255.255.255
router(config)#router bgp 100
router(config-router)#address-family ipv4 vrf vpn
router(config-router-af)#network 100.1.1.1 mask 255.255.255.255          #这个/32位地址必须在BGP里发布，而不能在OSPF里发布。
router(config)#router ospf 2 vrf vpn
router(config-router)#area 1 sham-link 100.1.1.1 100.1.1.2 cost 10          #配置sham-link所属区域以及sham-link端点路由。另外可以通过制定cost值来控制CE的选路。我们只需要在每个PE设备上配置sham-link端点路由，sham-link全连接就可以自动建立起来并且互相交换OSPF路由信息。
注：OSPF VPN中关于的区域零的设计需要特别注意尽量不要再site内部部署骨干区域，如果site内部署了骨干区域，那么PE和CE之间的链路必须在区域零；在CE双归属或者BackDoor链路环境中，最好所有的链路都在区域零，否则备份功能可能失效。

cc321

先看看

cc321

先看看

cc321

先看看

Rockyw

感谢楼主分享！

hmxaur

好东西谢谢楼主分享

q466265670

学习

IT小白888

谢谢

wjlovezzd

感谢楼主分享！

scogh589

thanks

star78152

感谢楼主分享

jack378957

感谢楼主分享

matt6116

感谢楼主分享！

淼渺淼渺

感谢楼主分享

jacck741011