MPLS 跨域

MPLS VPN跨域

MPLS VPN跨域分类：

1.optionA：

• 对于跨域的VPN在ASBR设备上创建VPN实例，管理VPN路由，将链路对端ASBR设备看作CE设备，简称VRF to VRF

• **优点：**配置简单，易于实现，ASBR间不需要运行MPLS

• **缺点：**ASBR需要维护更多的VPNv4路由与VPN实例，对ASBR设备性能需求高，负担大，不适用跨域多个域的场景

• 控制平面：

  • 1.CE1将IPV4路由传递给PE1，下一跳地址为PE1
  • 2.PE1与ASBR-PE1间建立MP-IBGP邻居关系，将IPV4路由转换成VPNv4路由传递给ASBR-PE1，下一跳地址为PE1，分发的标签为V1（内层标签）
  • 3.PE1和P设备为FEC（PE1）分别分配标签为T1和T2（外层标签）
  • 4.ASBR-PE1设备将VPNv4路由转换成IPV4路由传递给ASBR-PE2，下一跳地址为ASBR-PE1
  • 5.ASBR-PE2通过MP-IBGP将IPV4路由转换成VPNv4路由并通告给PE2，下一跳地址为ASBR-PE2，分发的标签为V2（内层标签）
  • 6.ASBR-PE2和P设备分别为FEC（ASBR-PE2）分配标签为T3和T4（外层标签）
  • 7.PE2将VPNv4路由转换成IPv4路由传递给CE2

• 转发平面：

  • 1.CE2朝目的地址NET1发送IP报文给PE2
  • 2.PE2接收到后打上内层标签V2，同时打上外层标签T4，将MPLS报文转发给P2P
  • 3.P2接收到外层标签为T4的MPLS报文后，将外层标签T4转换成T3转发给ASBR-PE2
  • 4.ASBR-PE2接收到后，去掉所有MPLS标签，将IP报文转发给ASBR—PE1
  • 5.ASBR-PE1接收到IP报文后，打上内层标签V1，同时打上外层标签T2，将封装好的MPLS报文转发给P1
  • 6.P1接收到外层标签为T2的MPLS报文后，将外层标签替换成T1转发给PE1
  • 7.PE1接收到后，去掉所有的MPLS标签，将IP报文转发给CE1

2.optionB：

• **优点：**所有流量经过ASBR转发，可以更好的对流量进行控制

• 缺点：ASBR-PE上需要负责VPNv4路由的保存和扩散，对ASBR负担大，如果需要穿越多个AS,则沿途AS中的所有ASBR-PE都需要保存和传递VPNv4路由，不适用于跨越多个AS的场景，相对于option A来讲，ASBR -PE上不需要为VPN实例，所有option B更适用于VPN数量多，跨越AS数量少的场景

• 部署RR的场景：

  • **1.直入部署：**使用一台P设备为RR，PE和ASBR-PE都与RR建立MP-IBGP邻居关系，此时RR既参与VPNv4路由转发，也参与流量转发
  • **2.旁挂式部署（常用）：**旁挂一台设备作为RR，PE和ASBR-PE都与RR建立MP-IBGP邻居关系，此时RR只负责控制平面的VPNv4路由对端的传递，不参与流量转发

• 控制平面：

  • 无RR场景：

    • 1.CE1将IPv4路由通告给PE1，下一跳地址为PE1
    • 2.PE1与ASBR-PE1间建立MP-IBGP邻居关系，将IPV4路由转换成VPNv4路由传递给ASBR-PE1，下一跳地址为PE1，分发的标签为V1（内层标签）
    • 3.ASBR-PE1通过MP-EBGP将Net1的VPNv4路由通告给ASBR-PE2，将下一跳改为ASBR-PE1，并重新分配一个VPN标签V2
    • 4.ASBR-PE2将Net1的VPNv4路由通过MP-IBGP通告给PE2，将下一跳指向自己，并重新分配一个VPN标签V3
    • 5.PE1、P1分别为去往PE1的路由分配隧道标签T1、T2
    • 6.ASBR-PE2、P2分别为去往ASBR-PE2的路由分配隧道标签T3、T4
    • 7.PE2将VPNv4路由转变为IPv4路由，通告给CE2，并且设置下一跳为PE2。

  • 有RR场景：

    • 1.当VPN实例数量较多时，可以部署专门的RR设备。如图，AS内的PE和ASBR设备只与RR设备建立MP-BGP邻居关系，由RR负责路由的反射传递，PE和ASBR之间无需建立BGP邻居
    • 2.RR只负责控制平面的VPNv4路由传递，数据转发时，流量不经过RR

• 转发平面：

  • 1.CE2发送一个目的地为Net1的IP报文给PE2
  • 2.PE2收到IP报文后，先封装VPN标签V3，再封装外层标签T4，然后将此报文发送给P2
  • 3.P2把外层标签T4换成T3，然后将此报文发送给ASBR-PE2
  • 4.ASBR-PE2去掉外层标签，将VPN标签V3交换为V2，再将其转发给ASBR-PE1（此时报文仅带有一层私网标签）
  • 5.ASBR-PE1交换VPN标签V2成V1，再加一个外层标签T2，并将报文转发给P1
  • 6.P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1
  • 7.PE1收到后去掉所有标签，将报文（普通IP报文）转发给CE1。

3.optionC：

• 相对于A和B来说，option C中的ASBR上不保存和传递VPNv4路由，为了解决ASBR的路由黑洞的问题，由PE设备之间搭建内层隧道（MPLS，由MP-BGP分配），所以ASBR需要运行MPLS，来搭建外层隧道（由LDP分配）

  外层隧道搭建的方式

  • 方案一： ASBR设备将去往其他AS的PE路由通过带标签通告给本地的PE设备
    • 1.VPNv4路由直接在PE设备之间通过多跳MP-EBGP传递
    • 2.ASBR不再参与VPNv4路由的保存和扩散，只负责传递PE路由，通过EBGP将本地带标签的PE路由通告给对端ASBR设备，对端的ASBR通过BGP继续为该路由分配标签，并通告给本地AS设备
    • 在有RR场景中，由RR与远端的RR之间建立多跳的MP-EBGP对等体关系传递VPNv4路由，此时ASBR之间传递的是带标签的RR路由，为了使RR只负责VPNv4路由的传递，不参与数据流量的转发，首先需要ASBR之间传递带标签的PE路由，其次需要本地RR与远端RR之间，RR到指向PE时配置下一跳不改变
  • 方案二：ASBR设备将去往其他AS 的带标签的PE路由通过IGP通告给本地PE设备，同时使用LDP继续为PE设备分配标签
    • 1.VPNv4路由直接在PE设备之间通过多跳MP-EBGP传递
    • 2.ASBR不再参与VPNv4路由的保存和扩散，只负责传递PE路由，通过EBGP将本地带标签的PE路由通告给对端ASBR设备，对端的ASBR通过将BGP路由引入IGP，触发LDP继续为该路由分配标签，并通告给本地AS设备
    • 在有RR场景中，由RR与PE之间建MP-IBGP，与远端的RR之间建立多跳的MP-EBGP对等体关系传递VPNv4路由，此时ASBR之间传递的是带标签的RR路由，为了使RR只负责VPNv4路由的传递，不参与数据流量的转发，首先需要ASBR之间传递带标签的PE路由，其次需要本地RR与远端RR之间，RR到指向PE时配置下一跳不改变

• 优点：ASBR不再成为性能瓶颈，适用于需要跨越多个AS的场景

• 缺点：配置复杂，后期维护难度大，维护一条端到端的BPG LSP，管理代价大

• 控制平面：

  方案一

  • 无RR场景

    • 1.CE1通告IPv4路由给PE1
    • 2.PE1将IPv4路由转化为VPNv4路由发送给PE2，并且设置下一跳为PE1，分配VPN标签V1
    • 3.ASBR1通过EBGP会话通告一条去往PE1的带标签的IPv4路由给ASBR2，其中下一跳为ASBR1，标签为BGP标签，值为B1
    • 4.ASBR2通过BGP会话通告一条去往PE1的带标签的IPv4路由给PE2，其中下一跳为ASBR2，标签为BGP标签，值为B2
    • 5.PE1、P1分别为去往PE1的路由分配隧道标签T1、T2
    • 6.ASBR2、P2分别为去往ASBR2的路由分配隧道标签T3、T4
    • 7.PE2将VPNv4路由转变为IPv4路由，通告给CE2，并且设置下一跳为PE2

  方案二：

  • 无RR场景

    • 1.CE1通告IPv4路由给PE1。
    • 2.PE1将IPv4路由转化为VPNv4路由发送给PE2，并且设置下一跳为PE1，分配VPN标签V1
    • 3.PE1、P1分别为去往PE1的路由分配隧道标签T1、T2
      • 4.ASBR1通过EBGP会话通告一条去往PE1的带标签的IPv4路由给ASBR2，其中下一跳为ASBR1，标签为BGP标签，值为B1。
    • 5.ASBR2、P2分别为去往PE1的路由分配隧道标签T3、T4
    • 6.E2将VPNv4路由转变为IPv4路由，通告给CE2，并且设置下一跳为PE2

• 转发平面：

  方案一

  • 无RR场景

    • 1.CE2发送一个目的地为Net1的IP报文给PE2
    • 2.PE2收到IP报文后先封装VPN标签V1，然后添加ASBR2分配的BGP标签B2做为中间标签，最后封装上外层标签T4
    • 3.P2把外层标签T4换成T3，然后将此报文发送给ASBR2
    • 4.ASBR2去掉外层标签，将BGP标签B2交换为B1，再将其转发给ASBR1
    • 5.当ASBR1收到报文后，去掉B1进一步查表转发，发现此时去往PE1的路由有一个关联的标签T2，因此ASBR1将其加在栈顶，并转发给P1
    • 6.P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1
    • 7.PE1收到后去掉所有标签，将报文转发给CE1

  方案二：

  • 无RR场景

    • 1.CE2发送一个目的地为Net1的IP报文给PE2
    • 2.PE2收到IP报文后先封装VPN标签V1，由于去往Net1的下一跳PE1不是直连邻居，通过查表发现去往PE1的标签为T4，打上T4
    • 3.P2把外层标签T4换成T3，然后将此报文发送给ASBR2
    • 4.ASBR2去掉外层标签，将T3交换为B1，再将其转发给ASBR1
    • 5.当ASBR1收到报文后，去掉B1进一步查表转发，发现此时去往PE1的路由有一个关联的标签T2，因此，ASBR1将其加在栈顶，并转发给P1
    • 6.P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1
    • 7.PE1收到后去掉所有标签，将报文转发给CE1

部分配置命令：

optionA:
当VPNv4路由引入到OSPF协议中，形成的3类、5类、7类LSA，DN比特位（防环）将会置1；PE在VPN-instance中收到DN比特置1的LSA，不进行路由计算
	dn-bit-chek disable （3,5,7）-------不检查dn比特位
	dn-bit-set disable（3,5,7）----------不设置dn比特位
  
optionB:
	policy vpn-target---------命令用来对接受到的vpnv4路由使能vpn-target过滤功能
	undo policy vpn-target------------取消VPN-target过滤功能
	//缺省情况下，PE上只保存与本地VPN实例的VPN Target相匹配的VPN路由；因此，可以在ASBR上配置不做RT过滤来传递路由
	apply-label per-nexthop----------ASBR为具有相同路由下一跳和出标签的路由分配一个标签
	//缺省情况下，ASBR在向其他的MP-BGP对等体发布VPNv4路由时，同时为每一条路由分配一个标签
    
optionC:
	lsp-trigger bgp-label-route————命令用来配置LDP为带标签的公网BGP路由分标签的能力
	label-route-capability————开启bgp路由的标签功能
	next-hop-invariable————下一跳不改变

总结三种跨域方式的对比：