跨域MPLS-VPN-OptionA

泰克教育

跨域MPLS-VPN概述

随着MPLS VPN解决方案的广泛应用，服务的终端用户的规格和范围也在增长，在一个企业内部的站点数目越来越大，某个地理位置与另外一个服务提供商相连的需求变得非常的普遍，例如国内运营商的不同城域网之间，或相互协作的运营商的骨干网之间都存在着跨越不同自治域的情况。

一般的MPLS VPN体系结构都是在一个自治系统AS（Autonomous System）内运行，任何VPN的路由信息都是只能在一个AS内按需扩散，没有提供AS内的VPN信息向其他AS扩散的功能。因此，为了支持运营商之间的VPN路由信息交换，就需要扩展现有的协议和修改MPLS VPN体系框架，提供一个不同于基本的MPLS VPN体系结构所提供的互连模型——跨域（Inter-AS）的MPLS VPN，以便可以穿过运营商间的链路来发布路由前缀和标签信息。

RFC4364中提出了三种跨域VPN解决方案，分别是：

• 跨域VPN-OptionA（Inter-Provider     Backbones Option A）方式：需要跨域的VPN在ASBR（AS Boundary     Router）间通过专用的接口管理自己的VPN路由，也称为VRF-to-VRF；
• 跨域VPN-OptionB（Inter-Provider     Backbones Option B）方式：ASBR间通过MP-EBGP发布标签VPN-IPv4路由，也称为EBGP redistribution of labeled VPN-IPv4 routes；
• 跨域VPN-OptionC（Inter-Provider     Backbones Option C）方式：PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由，也称为Multihop EBGP redistribution of labeled VPN-IPv4 routes。
  

跨域MPLS-VPN-OptionA概述

跨域VPN-OptionA是基本BGP/MPLS IP VPN在跨域环境下的应用，ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置。这种方式下，两个AS的边界ASBR直接相连，ASBR同时也是各自所在自治系统的PE。两个ASBR都把对端ASBR看作自己的CE设备，将会为每一个VPN创建VPN实例，使用EBGP方式向对端发布IPv4路由。

跨域MPLS-VPN-OptionA组网图

组网需求：

Stie1和Stie2跨域不同的运营商，需实现跨域的BGP/MPLS IP VPN业务的互通

配置思路：

• 各AS内的MPLS骨干网上分别配置IGP协议，实现各自骨干网ASBR-PE和PE之间的互通。
• 各AS内的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP，建立LDP LSP。
• 各AS内，PE与ASBR-PE之间建立MP-IBGP对等体关系，交换VPN路由信息。
• 各AS内，与CE相连的PE上需配置VPN实例，并把与CE相连的接口和相应的VPN实例绑定。
• 各AS内，PE与CE之间建立EBGP对等体关系，交换VPN路由信息。
• 在两个ASBR-PE上创建VPN实例，并将此实例绑定到连接另一个ASBR-PE的接口（把一个ASBR-PE当成是自己的CE），并在ASBR-PE之间建立EBGP对等体关系传递VPN路由信息
  

跨域MPLS-VPN-OptionA的路由发布过程分析

（为方便描述，图中Label值均为假设值，实验中数值可能与图中不同）

CE1到入口PE1的路由信息交换：

在CE1的BGP IPV4单播地地址族下发布10.1.1.0/24的网段路由，通过BGPIPV4单播邻居发布标准的IPV4路由10.1.1.0/24给PE1。

PE1到ASBR1-PE1的路由信息交换：

PE1从连接CE1的接口收到标准IPV4路由10.1.1.0/24，存放到VPN实例vpn-a中。同时，为这些标准IPv4路由增加RD值100：1，形成VPN-IPv4路由.

PE1通过MP-BGP的Update报文把VPN-IPV4路由发布给RR1。Update报文中携带Export VPN Target属性100：10、MP-BGP为10.1.10/24网段路由分配置的MPLS私网标签1050、下一跳为PE1。

RR1收到PE1发送过来的MP-BGP Update报文，不对VPN-IPV4路由进行VPN-Target过滤，直接接收VPN-IPV4路由，同时重新生成MP-BGP Update报文发送给ASBR1-PE1。Update报文中携带的关键内容保持不变，Export VPN Target属性100：10、MPLS私网标签1050、下一跳为PE1。

ASBR1-PE1收到VPN-IPv4路由后，在下一跳PE1可达的情况下根据Update报文中VPN-IPV4路由的Export VPN Target属性100：10与本地的各个VPN实例的Import Target属性匹配，确定路由存放的VPN实例为vpn-a，同时根据VPN-IPV4 路由的下一跳PE1查找对应的公网LSP隧道，确定公网标签为1024，公网遂道标识符为Tunnel ID 0x1，至此才将路由才被放入vpn-a实例路由表,同时保留如下信息以供后续转发报文时使用：

• MP-BGP Update消息中携带的MPLS私网标签1050
• 公网隧道的标识符TunnelID 0x1
  

说明：这两个数值为假设值，实验中可能不同。

ASBR1-PE1到ASBR2-PE2的路由信息交换:

ASBR1-PE1将接收下来的VPN-IPV4路由转换成标准的IPV4路由10.1.1.0/24，通过BGP IPV4单播邻居发送给ASBR2-PE2。

ASBR2-PE2 从连接ASBR1-PE1的接口收到标准IPV4路由10.1.1.0/24，存放到VPN实例vpn-b中。同时，为这些标准IPv4路由增加RD值200：3，形成VPN-IPv4路由

ASBR2-PE2到PE2的路由信息交换：

ASBR2-PE2通过MP-BGP的Update报文把VPN-IPV4路由发布给RR2。Update报文中携带Export VPN Target属性200：30 、MP-BGP为10.1.10/24网段路由分配置的MPLS私网标签1060、下一跳为ASBR2-PE2。

RR2收到ASBR2-PE2发送过来的MP-BGP Update报文，不对VPN-IPV4路由进行VPN-Target过滤，直接接收VPN-IPV4路由，同时重新生成MP-BGP Update报文发送给PE2。Update报文中携带的关键内容保持不变，Export VPN Target属性200：30、MPLS私网标签1060、下一跳为ASBR2-PE2。

PE2收到VPN-IPv4路由后，在下一跳ASBR2-PE2可达的情况下根据Update报文中VPN-IPV4路由的Export VPN Target属性200：30与本地的各个VPN实例的Import Target属性匹配，确定路由存放的VPN实例为vpn-b，同时根据VPN-IPV4 路由的下一跳ASBR2-PE2查找对应的公网LSP隧道，确定公网标签为1026，公网遂道标识符为Tunnel ID 0x2，至此才将路由才被放入vpn-b实例路由表,同时保留如下信息以供后续转发报文时使用：

• MP-BGP Update消息中携带的MPLS私网标签1060
• 公网隧道的标识符TunnelID 0x2
  

说明：这两个数值为假设值，具体实验可能不同。

PE2到CE2的路由信息交换：

PE2将接收下来VPN-IPV4路由转换成标准IPV4路由10.1.1.0/24，通过BGP IPV4单播邻居发送给CE2。

CE2通过BGP IPV4单播邻居学习到10.1.1.0/24的路由，将其放入IPV4单播路由表，下一跳为PE2，用于指导私网报文转发。

跨域VPN-OptionA的报文转发过程分析

CE2至PE2的报文转发：

CE2发送一个VPN报文去访问10.1.1.1

PE2到ASBR2-PE2的报文转发：PE2从绑定了vpn-b实例的接口上接收VPN数据包后进行如下操作：

• 根据报文的目的IPV4地址查找vpn-a实例转发表，找到对应的内层私网标签1060，以及Tunnel ID 0X2。
• 为报文打上对应的内层私网标签1060，同时根据Tunnel-ID 0X2找到公网LSP隧道，打上外层公网标签1026。
• 将报文以两层标签方式发送给RR2
  

RR2收到VPN报文根据外层公网标签查找标签转发表（LFIB），发现出标签为3号空标签，将VPN报文外层公网标签剥离后发送给ASBR2-PE2.ASBR2-PE2收到VPN报文根据内层私网标签找到对应的VPN实例转发表vpn-b查表转发，最终VPN报文内层私网标签被剥离，以纯IP报文的形式发送给ASBR1-PE1.ASBR1-PE1到PE1的报文转发：ASBR1-PE1从绑定了vpn-a实例的接口上接收纯IP形式的VPN数据包后进行如下操作：

• 根据报文的目的IPV4地址查找vpn-a实例转发表，找到对应的内层私网标签1050，以及Tunnel ID 0X1。
• 为报文打上对应的内层私网标签1050，同时根据Tunnel-ID 0X1找到公网LSP隧道，打上外层公网标签1024。
• 将报文以两层标签方式发送给RR1。
  

RR1收到报文根据外层公网标签查找标签转发表（LFIB），发现出标签为3号空标签，将VPN报文外层公网标签剥离后发送给PE1.PE1收到VPN报文根据内层私网标签找到对应的VPN实例转发表vpn-a，查表转发，最终VPN报文内层私网标签被剥离，以纯IP报文的形式发送给CE1。

跨域MPLS-VPN-OptionA的特点总结：

• 优点是配置简单：ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置。
• 缺点是可扩展性差：由于ASBR需要管理所有VPN路由，为每个VPN创建VPN实例。这将导致ASBR上的VPN-IPv4路由数量过大。并且，由于ASBR间是普通的IP转发，要求为每个跨域的VPN使用不同的接口，从而提高了对PE设备的要求。如果跨越多个自治域，中间域必须支持VPN业务，不仅配置量大，而且对中间域影响大。在需要跨域的VPN数量比较少的情况，可以优先考虑使用。
  

呀小亮

11111

f1662

f1662