當VPN站點跨越多個ISP時,此時需要PE設備在不同的as域之間進行vpn路由的交互,從而產(chǎn)生了跨域VPN的組建。
RFC 2547bis中提出了三種跨域VPN解決方案,分別是:
·VRF-to-VRF:ASBR間使用子接口管理VPN路由,也稱為Inter-Provider Option A;
·EBGP Redistribution of labeled VPN-IPv4 routes:ASBR間通過MP-EBGP發(fā)布標簽VPN-IPv4路由,也稱為Inter-Provider Option B;
·Multihop EBGP redistribution of labeled VPN-IPv4 routes:PE間通過MP-EBGP發(fā)布標簽VPN-IPv4路由,也稱為Inter-Provider Option C。
ps:ASBR 為as域的邊界路由。
網(wǎng)上已經(jīng)有了很多關于跨域VPN的組建介紹,這里只是摘錄了H3C文檔中的一些描述,算是自己mark一下:
1. ASBR間使用子接口管理VPN路由
這種方式下,兩個AS的PE路由器直接相連,PE路由器同時也是各自所在自治系統(tǒng)的邊界路由器ASBR。
作為ASBR的PE之間通過多個子接口相連,兩個PE都把對方作為自己的CE設備對待,使用傳統(tǒng)的EBGP方式向?qū)Χ税l(fā)布IPv4路由。報文在AS內(nèi)部作為VPN報文,采用兩層標簽轉(zhuǎn)發(fā)方式;在ASBR之間則采用普通IP轉(zhuǎn)發(fā)方式。
理想情況下,每個跨域的VPN都有一對子接口與之對應,用來交換VPN路由信息。
圖 1 ASBR間使用子接口管理VPN路由組網(wǎng)圖
使用子接口實現(xiàn)跨域VPN的優(yōu)點是實現(xiàn)簡單:兩個作為ASBR的PE之間不需要為跨域進行特殊配置。
缺點是可擴展性差:作為ASBR的PE需要管理所有VPN路由,為每個VPN創(chuàng)建VPN實例。這將導致PE上的VPN-IPv4路由數(shù)量過于龐大。并且,為每個VPN單獨創(chuàng)建子接口也提高了對PE設備的要求。
2. ASBR間通過MP-EBGP發(fā)布標簽VPN-IPv4路由
這種方式下,兩個ASBR通過MP-EBGP交換它們從各自AS的PE路由器接收的標簽VPN-IPv4路由。
路由發(fā)布過程可分為以下步驟:
(1) AS 100內(nèi)的PE先通過MP-IBGP方式把標簽VPN-IPv4路由發(fā)布給AS 100的邊界路由器PE,或發(fā)布給為ASBR PE反射路由的路由反射器;
(2) 作為ASBR的PE通過MP-EBGP方式把標簽VPN-IPv4路由發(fā)布給AS 200的PE(也是AS 200的邊界路由器);
(3) AS 200的ASBR PE再通過MP-IBGP方式把標簽VPN-IPv4路由發(fā)布給AS 200內(nèi)的PE,或發(fā)布給為PE反射路由的路由反射器。
這種方式的ASBR需要對標簽VPN-IPv4路由進行特殊處理,因此也稱為ASBR擴展方式。
圖2 ASBR間通過MP-EBGP發(fā)布標簽VPN-IPv4路由組網(wǎng)圖
在可擴展性方面,通過MP-EBGP發(fā)布標簽VPN-IPv4路由優(yōu)于ASBR間通過子接口管理VPN。
采用MP-EBGP方式時,需要注意:
ASBR之間不對接收的VPN-IPv4路由進行VPN Target過濾,因此,交換VPN-IPv4路由的各AS服務提供商之間需要就這種路由交換達成信任協(xié)議;
VPN-IPv4路由交換僅發(fā)生在私網(wǎng)對等點之間,不能與公網(wǎng)交換VPN-IPv4路由,也不能與沒有達成信任協(xié)議的MP-EBGP對等體交換VPN-IPv4路由。
3. PE間通過MP-EBGP發(fā)布標簽VPN-IPv4路由
前面介紹的兩種方式都能夠滿足跨域VPN的組網(wǎng)需求,但這兩種方式也都需要ASBR參與VPN-IPv4路由的維護和發(fā)布。當每個AS都有大量的VPN路由需要交換時,ASBR就很可能成為阻礙網(wǎng)絡進一步擴展的瓶頸。
解決上述可擴展性問題的方案是:ASBR不維護或發(fā)布VPN-IPv4路由,PE之間直接交換VPN-IPv4路由。
兩個ASBR通過MP-IBGP向各自AS內(nèi)的PE路由器發(fā)布標簽IPv4路由。
ASBR上不保存VPN-IPv4路由,相互之間也不通告VPN-IPv4路由。
ASBR保存AS內(nèi)PE的帶標簽的IPv4路由,并通告給其它AS的對等體。另一個自治系統(tǒng)中的ASBR也通告帶標簽的IPv4路由。這樣,在入口PE和出口PE之間建立起一條LSP。
不同AS的PE之間建立Multihop方式的EBGP連接,交換VPN-IPv4路由。
圖 3 PE間通過Multi-hop MP-EBGP發(fā)布標簽VPN-IPv4路由組網(wǎng)圖
為提高可擴展性,可以在每個AS中指定一個路由反射器RR(Route Reflector),由RR保存所有VPN-IPv4路由,與AS的PE交換VPN-IPv4路由信息。兩個AS的RR之間建立跨域VPNv4連接,通告VPN-IPv4路由。如圖 10所示。
圖 4 采用RR的跨域VPN OptionC方式組網(wǎng)圖
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:BGP協(xié)議之跨域VPN的組建
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112159933.html