学习笔记之华为跨域***中的option A方案的原理与配置

 

MPLS无缝地集成了IP路由技术的灵活性和ATM标签交换技术的简捷性。MPLS在无连接的IP网络中增加了面向连接的控制平面，为IP网络增添了管理和运营的手段。因此，使用基于MPLS的IP网络作为骨干网的*** (MPLS ***)成为在IP网络提供增值业务的重要手段，越来越被企业及运营商看好。

 

跨域MPLS BGP ***方案的背景 

传统MPLS BGP ***的解决方案

​

引入：

随着MPLS ***解决方案的广泛应用，大型企业不同的分支站点之间，或相互协作的企业网络之间都存在着跨越不同自治域的情况。

传统的mpls ***解决方案中，一个ipv4的数据从CE传递到PE设备上，PE设备上进来之后，会加上一个mpls的标签，会把原来正常的ipv4的数据变成一个mpls标签报文，然后会在mpls的这个隧道里面进行传递，这样的好处就是数据包会以一种比较精简的方式（从左边进来就从右边出去，根据mpls标签进行转换，而不是看ip路由表了）进行传递，后来随着业务的扩展，站点（客户网络）和站点之间的区域会变得越来越大，涉及到的运营商也会越来越多，就会设计到MPLS BGP ***的跨域

举例：

一般的MPLS ***体系结构都是在一个自治系统内运行，任何***的路由信息都是只能在一个自治系统内按需扩散，没有提供自治系统内的***信息向其他自治系统扩散的功能。

如上图，基于MPLS的***可以将私有网络的不同Site连接起来，形成一个统一的网络，基于MPLS的***还支持对不同***间的互通控制。

CE（Customer Edge）是用户边缘设备；

PE（Provider Edge）是服务商边缘路由器，位于骨干网络；

P（Provider），是服务提供商网络中的骨干路由器，不与CE直接相连。

 

​

如果同一***的两个站点位于不同的AS，那么普通的MPLS BGP ***是否还合适于业务的部署？

答案是否定的。因为此时连接***的PE路由器已经无法简单地建立IBGP邻居关系了，或是与RR建立邻居关系。因此，需要一些手段通过建立EBGP邻居关系来传递***v4路由。

为了支持不同AS之间的***路由信息交换，就需要扩展现有的协议和修改MPLS ***体系框架，提供一个不同于基本的MPLS ***体系结构所提供的互连模型——跨域（Inter-AS）的MPLS ***，以便可以穿过AS间的链路来发布路由前缀和标签信息。

RR：路由反射器(Route Reflector)

跨域***-OptionA（Inter-Provider Backbones Option A）方式：需要跨域的***在ASBR间通过专用的接口管理自己的***路由，也称为VRF-to-VRF；

换句话说其实就是ASBR的互联接口属于***实例，上文中的ASBR-PE其实就是相当于把ASBR设备看出是一个PE设备，在ASBR之间更新数据时，其实是ipv4的数据在传输（不是标签），可以把它叫做背靠背的VRF，在思科里面，跨域的***-Option A方案其实是被叫做Option 1：Back to Back VRF（华为叫做VRF to VRF）

如下图所示，AS100的网络以自我为中心，认为site1是客户网络（CE），然后把AS200的网络也是客户网络，那么同样反过来，AS200的网络也是以自我为中心，看site2是客户网络，看AS100也是客户网络，

跨域***-OptionA方式

跨域***-OptionA是基本BGP/MPLS IP ***在跨域环境下的应用，ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置。这种方式下，两个AS的边界路由器ASBR直接相连，ASBR同时也是各自所在自治系统的PE。两个ASBR都把对端ASBR看作自己的CE设备，使用EBGP方式向对端发布IPv4路由。

 

跨域***-OptionA方式 - 拓扑

​

在本方案中，ASBR-PE之间直接相连。两台ASBR-PE之间用多个接口(包括子接口)互连，每个接口关联一个***，每个ASBR-PE都把对端当成CE。因此，ASBR-PE相连的接口(包括子接口)需要绑定VRF，并通过eBGP邻居关系把***v4路由转变成普通IPv4路由从一个AS传递到另一个AS。因此，两个ASBR相连，但不需要启用MPLS。此方案在MPLS BGP ***业务属性上没有做扩展。

上图中，紫色的是ipv4的数据，里面绿色的圆柱体是vpn标签，外面绿色的圆柱体是mpls标签

 

跨域***-OptionA方式 - 控制平面

 

​

 

我们只通过单方向来解释控制平面的工作过程，同时假设在站点Site1有一***路由Client1连接，如上图，现在需要把Client1这条路由从CE1穿过AS100和AS200传递到CE2：

1.在AS100中，通过运行LDP协议，PE1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T1给P1。

2.在AS100中，通过运行LDP协议，P1分配一个与去往PE1的路由相关联的隧道标签(外层标签)T2给ASBR-PE1。

3.在AS200中，同样通过运行LDP协议，ASBR-PE2分配一个与去往ASBR-PE2的路由相关联的隧道标签(外层标签)T3给P2。

4.在AS200中，通过运行LDP协议，P2分配一个与去往ASBR-PE2的路由相关联的隧道标签(外层标签)T4给PE2。

5.CE1 通告路由Client1给PE1，路由的下一跳为CE1的接口地址。

6.PE1将IPv4路由Client1通过MP-BGP重发布为***v4路由，并且下一跳改为PE1，分配一个***标签V1，然后通告给ASBR-PE1。

7.ASBR-PE1将***v4路由变为IPv4路由，把IPv4路由Client1通告给ASBR-PE2，并且下一跳指向ASBR-PE1。

8.ASBR-PE2将IPv4路由Client1通过MP-BGP重发布为***v4路由，并且下一跳为ASBR-PE2，为该路由分配一个***标签V2，将其通告给PE2。

9.PE2将***v4路由转变为IPv4路由Client1，把路由Client1通告给CE2，并且下一跳指向PE2。

 

跨域***-OptionA方式 - 转发平面 

​

通过前文的过程分析，我们从反向来分析转发平面的工作过程，即CE2要发送一个目的地为Client1的IP报文给CE1，如上图所示：

1.CE2发送一个目的地为Client1的IP报文给PE2。

2.PE2收到IP报文后进行MPLS标签的封装，先封装***标签V2，再封装外层标签T4，然后将此报文发送给P2。

3.P2进行标签交换，把外层标签T4换成T3，然后将此报文发送给ASBR-PE2。

4.ASBR-PE2去掉所有标签，将报文(普通IP报文)转发给ASBR-PE1。

5.ASBR-PE1收到IP报文后进行MPLS标签的封装，先封装***标签V1，再封装外层标签T2，然后将此报文发送给P1。

6.P1进行标签交换，把外层标签T2换成T1，然后将此报文发送给PE1。

7.PE1收到后去掉所有标签，将报文(普通IP报文)转发给CE1。

 

跨域***-OptionA方式的特点 

优点是配置简单：由于ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置。

缺点是可扩展性差：由于ASBR需要管理所有***路由，为每个***创建***实例。这将导致ASBR上的***-IPv4路由数量过大。并且，由于ASBR间是普通的IP转发，要求为每个跨域的***使用不同的接口，从而提高了对PE设备的要求。如果跨越多个自治域，中间域必须支持***业务，不仅配置量大，而且对中间域影响大。在需要跨域的***数量比较少的情况，可以优先考虑使用。

Option A的缺点：

仅仅适合小规模流量的跨域，因为ASBR-PE设备在流量多的时候会成为性能瓶颈，因为它要负责封装MPLS 标签，负责欧通的ipv4数据包的查表转发，两端需要通信的客户站点较多的时候，需要维护对应数量的***实例，对于设备的资源消耗较大；

优点：原理上比较简单，也是所有的跨域方案中配置比较简单的。后期的维护其实是比较麻烦的。

 

跨域VPN-OptionA方式拓扑介绍

配置任务：使用跨域VPN-OptionA的方式实现两端的CE设备互访。注：本实例使用OSPF作为IGP。 

如上图所示，共分为 4 个 AS ， AS100 和 AS200 作为 ISP ， PE1 和 ASBR1 属于 AS100 ， PE2 和 ASBR2 属于 AS200 。 CE1 和 CE2 属于同一个 VPN ， CE1 通过 AS100 的 PE1 接入， CE2 通过 AS200 的 PE2 接入。

每台路由器的 IP 地址规划详见拓扑图。

跨域VPN-OptionA方式配置步骤 

步骤	任务描述	参考命令
1	配置各接口的IP地址	参考基础配置
2	在公网的PE，P和ASBR上配置OSPF	参考普通OSPF配置（方便后期分配mpls标签）
3	在公网的PE，P和ASBR上配置MPLS和LDP协议	mpls mpls lsr-id lsr-id mpls ldp
4	在PE1与ASBR1，PE2与ASBR2之间配置IBGP 并在PE1与ASBR1，PE2与ASBR2之间使能MP-IBGP	参考普通BGP配置 ipv4-family vpnv4 peer { group-name | ipv4-address | ipv6-address } enable
5	在PE和ASBR上配置VPN实例。配置RD和RT	ip vpn-instance vpn-instance-name route-distinguisher route-distinguisher vpn-target vpn-target [ both |export-extcommunity | importextcommunity]
6	在PE，ASBR上配置接口与VPN 实例关联（关联完ip地址之后ip地址会消失，记得重新配置ip地址，）	ip binding vpn-instance vpn-instance-name
7	在PE与CE，ASBR1与ASBR2之间在VPN实例中配置EBGP	参考BGP配置

 跨域VPN-OptionA方式配置举例 (1)

实验拓扑如下图所示：

各个设备的参考配置：

#CE1设备上的配置
 sysname CE1
#
interface GigabitEthernet0/0/0
 ip address 10.1.1.11 255.255.255.0 
#
interface LoopBack0
 ip address 11.11.11.11 255.255.255.255 
#
bgp 65001
 peer 10.1.1.1 as-number 100 
 #
 ipv4-family unicast
  network 11.11.11.11 255.255.255.255 
  peer 10.1.1.1 enable

 

PE1上的配置：

#
 sysname PE1
#
ip vpn-instance huawei
 ipv4-family
  route-distinguisher 1:1
  vpn-target 100:1 export-extcommunity
  vpn-target 100:1 import-extcommunity
#
mpls lsr-id 1.1.1.1
mpls
#
mpls ldp
#
interface GigabitEthernet0/0/0
 ip binding vpn-instance huawei
 ip address 10.1.1.1 255.255.255.0 

#
interface GigabitEthernet0/0/1
 ip address 10.1.12.1 255.255.255.0 
 mpls
 mpls ldp
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255 
#
bgp 100
 peer 3.3.3.3 as-number 100 
 //配置PE1与ASBR1之间的IBGP邻居关系
 peer 3.3.3.3 connect-interface LoopBack0
//配置建立对等体的接口为LOOPBACK 0
 # 
 ipv4-family vpnv4
//进入BGP的VPNv4视图
  peer 3.3.3.3 enable
//使能PE1与ASBR1的MP-IBGP邻居
#
 ipv4-family vpn-instance huawei 
  peer 10.1.1.11 as-number 65001 
//配置PE1与CE1的BGP邻居关系

#
ospf 1 
 area 0.0.0.0 
  network 1.1.1.1 0.0.0.0 
  network 10.1.12.0 0.0.0.255 

P1设备上的配置：
#
 sysname P1
#
mpls lsr-id 2.2.2.2
mpls
#
mpls ldp
#
interface GigabitEthernet0/0/0
 ip address 10.1.12.2 255.255.255.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 ip address 10.1.23.2 255.255.255.0 
 mpls
 mpls ldp
#
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 
#
ospf 1 
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 10.1.12.0 0.0.0.255 
  network 10.1.23.0 0.0.0.255 
#

ASBR1上的配置：

 sysname ASBR1
#
ip vpn-instance huawei
 ipv4-family
  route-distinguisher 3:3
  vpn-target 100:1 export-extcommunity
  vpn-target 100:1 import-extcommunity
#
mpls lsr-id 3.3.3.3
mpls
#
mpls ldp
#
interface GigabitEthernet0/0/0
 ip address 10.1.23.3 255.255.255.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 ip binding vpn-instance huawei
 ip address 10.1.34.3 255.255.255.0 
#
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 
#
bgp 100
 peer 1.1.1.1 as-number 100 
 peer 1.1.1.1 connect-interface LoopBack0
 # 
 ipv4-family vpnv4
  policy vpn-target
  peer 1.1.1.1 enable
 #
 ipv4-family vpn-instance huawei 
  peer 10.1.34.4 as-number 200 
//配置ASBR1与ASBR2的BGP邻居关系

#
ospf 1 
 area 0.0.0.0 
  network 3.3.3.3 0.0.0.0 
  network 10.1.23.0 0.0.0.255

 

ASBR2上的配置;

sysname ASBR2
#
ip vpn-instance huawei
 ipv4-family
  route-distinguisher 4:4
  vpn-target 100:1 export-extcommunity
  vpn-target 100:1 import-extcommunity
#
mpls lsr-id 4.4.4.4
mpls
#
mpls ldp
#
interface GigabitEthernet0/0/0
 ip binding vpn-instance huawei
 ip address 10.1.34.4 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.45.4 255.255.255.0 
 mpls
 mpls ldp
#
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255 
#
bgp 200
 peer 6.6.6.6 as-number 200 
 peer 6.6.6.6 connect-interface LoopBack0
 # 
 ipv4-family vpnv4
  peer 6.6.6.6 enable
 #
 ipv4-family vpn-instance huawei 
  peer 10.1.34.3 as-number 100 
#
ospf 1 
 area 0.0.0.0 
  network 4.4.4.4 0.0.0.0 
  network 10.1.45.0 0.0.0.255 

 

P2设备上的配置：
#
 sysname P2
#
mpls lsr-id 5.5.5.5
mpls
#
mpls ldp
#
#
interface GigabitEthernet0/0/0
 ip address 10.1.45.5 255.255.255.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 ip address 10.1.56.5 255.255.255.0 
 mpls
 mpls ldp
#
interface LoopBack0
 ip address 5.5.5.5 255.255.255.255 
#
ospf 1 
 area 0.0.0.0 
  network 5.5.5.5 0.0.0.0 
  network 10.1.45.0 0.0.0.255 
  network 10.1.56.0 0.0.0.255 
 

PE2设备上的配置：

 sysname PE2
#
ip vpn-instance huawei
 ipv4-family
  route-distinguisher 6:6
  vpn-target 100:1 export-extcommunity
  vpn-target 100:1 import-extcommunity
#
mpls lsr-id 6.6.6.6
mpls
#
mpls ldp
#
interface GigabitEthernet0/0/0
 ip address 10.1.56.6 255.255.255.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 ip binding vpn-instance huawei
 ip address 20.1.1.6 255.255.255.0 
#
interface LoopBack0
 ip address 6.6.6.6 255.255.255.255 
#
bgp 200
 peer 4.4.4.4 as-number 200 
 peer 4.4.4.4 connect-interface LoopBack0
 #
 ipv4-family vpnv4
  policy vpn-target
  peer 4.4.4.4 enable
 #
 ipv4-family vpn-instance huawei 
  peer 20.1.1.22 as-number 65002 
#
ospf 1 
 area 0.0.0.0 
  network 6.6.6.6 0.0.0.0 
  network 10.1.56.0 0.0.0.255 
#

CE2设备上的配置：

<CE2>dis cu
[V200R003C00]
#
 sysname CE2
#
interface GigabitEthernet0/0/0
 ip address 20.1.1.22 255.255.255.0 
#
interface LoopBack0
 ip address 22.22.22.22 255.255.255.255 
#
bgp 65002
 peer 20.1.1.6 as-number 200 
 #
 ipv4-family unicast
  network 22.22.22.22 255.255.255.255 
#
 

结果展示：

在CE1设备上用环回口作为源地址去访问AS65002的CE2设备上的环回口，如下所示，尽管，中间间隔了两个AS，但是他们之间通过跨域的OPTION A方案可以实现通信

 

也可以通过其他的方式进行检验：

[PE1]display bgp vpnv4 vpn-instance huawei peer 

[PE1]display bgp vpnv4 all peer

[P1]display mpls ldp session 

 

参考文档:华为官网产品文档、华为HedEx文档。