MPLS VPN跨域實現方法及特點
隨著ALLIP趨勢的明朗,運營商建設統一的IP承載網已經勢在必行,各種業務承載在一張IP網絡上,為了保證不同業務的QOS水平,業務之間的有效隔離成為大家關注的一個焦點。MPLSVPN技術是當前發展最快、成熟度最高的技術之一,通過近幾年在一定領域的部署實施,證明了該技術在運營商網絡是切實可行的,是業務隔離的有效工具。目前在運營商網絡部署實施的MPLSVPN大部分在在一個AS內,然而,實際部署的業務,如運營商內部的語音業務,企業客戶的VPN專線業務,往往都是跨越多個AS,VPN如何有效跨越多個AS,是目前需要關注和解決的問題。
2.MPLSVPN跨域方法概述
同在單個AS內建立VPN的過程一樣,跨域VPN的建立過程也同樣關注兩個方面,一是VPN信息的傳遞方法,一是VPN隧道的建立方法,經過近幾年的實踐和快速發展,業界提出了幾種VPN跨域方法,即OPTIONA/B/C三種,不同方法采用不同的VPN信息傳遞模式和VPN隧道構建方法,具有鮮明的特點和適合不同的應用場景。
另外,MPLSVPN可以分為MPLS/BGP三層VPN和MPLSL2VPN,兩種VPN都支持上述的三種跨域方法,采用相同的跨域理念,只不過MPLS/BGPVPN由于使用較早和部署較廣,其對應的跨域方法已經標準化,MPLSL2VPN目前在標準化進程上稍微落后,其對應的跨域標準還沒有正式發布,但一些主流廠家對此已有部分或全部支持。
3.MPLS/BGP跨域
3.1OPTIONA跨域實現方法
OPTIONA跨域也叫做背靠背跨域,即兩個AS的邊界路由器ASBR互相作為PE和CE,如上圖所示,ASBR1作為AS1的PE設備,ASBR2在此看作ASBR1連接的CE設備,反之亦然。
VPN信息傳遞
同一AS的PE和ASBR之間通過正常的MBGP協議傳遞VPN路由信息,ASBR之間通過正常的PE和CE之間的路由傳遞方法傳送VPN路由信息,如上圖,VPNA2通過IGP協議把路由信息傳遞給PE2,PE2通過MBGP協議把VPNA2的信息傳遞給ASBR2,ASBR2作為ASBR1的CE設備,通過IGP協議把VPNA2的信息傳遞給ASBR1,ASBR1再通過MBGP協議把VPNA2的信息傳遞給PE1,PE1再通過IGP協議把VPNA2的信息傳遞到VPNA1,至此,VPN信息傳遞完畢。
VPN隧道構建
在OPTIONA跨域方法中,VPN隧道構建比較簡單,各個AS單獨構建PE到ASBR的LSP雙層隧道,內層標簽代表VPN信息,外層標簽代表到達VPN路由下一跳PE的公網標簽,和在單個AS內LSP隧道的建立過程和方式一樣,ASBR和ASBR之間通過裸IP轉發,沒有LSP隧道。
特點
ASBR需要處理VPN路由信息,并且需要配置VRF實例
ASBR需要為每個VPN分配一個物理或邏輯鏈路
每個AS內單獨建立雙層LSP隧道,ASBR之間依靠IP連接
適用于VPN業務開展初期,VPN數量較少的情況下
3.2OPTIONB跨域實現方法
OPTIONB跨域也叫單跳MP-EBGP跨域,AS內通過正常的MPLS/BGP傳遞VPN信息和構建LSP隧道,AS之間通過單跳的MP-EBGP協議傳遞VPN信息并構建LSP隧道。
VPN信息傳遞
如上圖所示,CE2通過IGP傳遞私網信息給PE2,PE2通過MP-IBGP傳遞VPN信息到ASBR2,ASBR2通過單跳的MP-EBGP傳遞VPN路由信息給ASBR1,然后,ASBR1再通過MP-IBGP傳遞VPN信息給PE1,PE1再通過IGP協議把私網信息傳遞給CE1,至此,CE1擁有到達CE2的路由信息。如果中間跨域多個AS,AS內部全部按照MP-IBGP協議傳遞,ASBR之間全部按照單跳的MP-EBGP傳遞。
LSP隧道構建
當使用BGP傳遞路由時,如果是EBGP傳遞,下一跳必定改變為自己,如果通過IBGP傳遞,下一跳可以改變為自己也可以不改變,另外,當采用MP-BGP傳遞VPN路由信息,下一跳更改時,那么就需要為VPN重新分配標簽。
如上圖所示,在OPTIONB跨域中,ASBR2向ASBR1傳遞VPN路由時,下一跳必定改變為自己,同時ASBR2重新為VPN分配標簽,ASBR1向PE1傳遞VPN路由信息時,分兩種情況考慮,一是ASBR1向PE1傳遞VPN路由信息時,下一跳改變為自己,一是ASBR1向PE1傳遞私網路由信息時,下一跳不改變,也就是下一跳仍然為ASBR2。
在改變路由下一跳為ASBR1的情況下,ASBR1重新為VPN分配標簽,VPN從PE1到達PE2的路徑為PE1→ASBR1→ASBR2→PE2,在AS1內,構建PE1到ASBR1的雙層LSP隧道,內層為VPN標簽(ASBR1分配的),外層為PE1到ASBR1的公網隧道,在ASBR之間構建單層LSP隧道,只攜帶VPN標簽(ASBR2分配的),在AS2內構建雙層LSP隧道,內層為VPN標簽,PE2分配的,外層為ASBR2到PE2的公網隧道。在兩個ASBR處由于VPN標簽都重新分配,所以最底層的標簽在兩個ASBR處都會有SWAP操作,也正是通過VPN標簽的SWAP,把兩個AS的VPN隧道連接起來。
如果不改變VPN路由的下一跳,那么PE1接收的VPN路由的下一跳就是AS2域內的ASBR2,則VPN從PE1到PE2的路徑為PE1→ASBR2→PE2,那么就需要構建一條從PE1一直到ASBR2的雙層LSP隧道,內層為VPN標簽(ASBR2分配的),外層為PE1到ASBR2的公網隧道,ASBR2到PE2也構建雙層LSP隧道,內層為VPN標簽(PE2分配的),外層為ASBR2到PE2的公網隧道。在這種情況下,ASBR2和ASBR1之間需要運行某種標簽分發協議,目的是分發ASBR2的公網標簽,另外,在ASBR2處LSP的內外層標簽都會進行SWAP操作,從而把兩條LSP粘結成一個端到端的LSP隧道。
特點
ASBR需要處理VPN信息,但不需要配置VRF實例
ASBR之間一條鏈路傳遞所有VPN信息
根據不同的情況,ASBR之間構建單層或雙層LSP隧道
當VPN業務發展到一定階段,ASBR之間的鏈路受限時,可以考慮OPTIONB跨域方法
3.3OPTIONC跨域實現方法
OPTIONC跨域也叫多跳MP-EBGP跨域,由于BGP只要能建立TCP連接,就能成為BGP鄰居并傳遞路由信息,因此,OPTIONC通過多跳的MP-EBGP直接在源、宿端PE之間傳遞VPN路由信息,然后在源、宿端PE之間構建LSP公網隧道。
VPN信息傳遞
OPTIONC跨域時VPN信息傳遞比較簡單,即直接在源和宿端PE間通過多跳MP-EBGP傳遞,如上圖,PE2和PE1之間建立多跳的MP-EBGP連接,VPN信息直接從PE2傳遞到PE1。
LSP隧道構建
從VPN信息傳遞的方式可以看出,VPN從PE1到PE2之間只有一跳,VPN的下一跳為PE2,PE2為VPN分配標簽,并且一直不會改變。
現在重要的是確定PE1到PE2的外層LSP怎樣建立,首先,PE2和ASBR2在一個AS,通過IGP協議,ASBR2會有PE2的路由信息,通過正常的LDP協議,ASBR2和PE2會構建一個LSP隧道,ASBR1和PE2不在一個AS,ASBR1沒有PE2的路由信息,此時可以通過EBGP協議把PE2的路由信息傳遞給ASBR1,另外,對BGP協議進行擴展(RFC3107),讓BGP在傳遞路由時同時分配標簽,這樣,ASBR1和ASBR2之間的LSP形成,并在ASBR2處形成標簽SWAP,同樣,ASBR1和PE1之間也通過擴展的IBGP傳送PE2的路由信息,同時分配標簽,并在ASBR1處形成標簽SWAP,但這一段LSP的建立和ASBR之間LSP的建立不一樣,ASBR之間是直連的,下一跳直接可達,PE1和ASBR1之間不是直連的,但PE1和ASBR1位于同一個AS,通過LDP可以構建一個LSP隧道,這樣,在PE1到ASBR1之間的LSP隧道最終包括三層標簽,最底層VPN標簽(PE2分配),中間一層為到PE2的標簽(ASBR1通過擴展BGP分配),最外層為到ASBR1的標簽(LDP分配),ASBR之間構建一個雙層LSP隧道,底層為VPN標簽(PE2分配),外層為到PE2的標簽(ASBR2通過擴展BGP分配),ASBR2到PE2之間為雙層LSP隧道,內層為VPN標簽(PE2分配),外層為到PE2的標簽(LDP分配)這三段隧道通過在ASBR處的標簽SWAP粘結起來,最終形成端到端的LSP隧道。
特點
ASBR不需要處理VPN信息,最符合VPN的要求,即中間設備不感知VPN信息
使用BGP擴展來傳遞公網標簽
在宿端AS之外的AS出現三層標簽的LSP隧道。
當VPN業務大規模發展時,可以使用OPTIONC跨域方法
3.4OPTIONA/B/C跨域方法對比
項目
方法
OPTIONA
OPTIONB
OPTIONC
備注
ASBRVPN感知
需要處理VPN信息,并配置VRF
需要處理VPN信息,不配置VRF
不感知VPN信息
ASBR負載
處理所有VPN信息,負載重
處理所有VPN信息,負載重
不處理VPN信息,負載輕
鏈路
每個VPN在ASBR之間占用一個鏈路
一個鏈路
一個鏈路
跨域VPN傳遞
ASBR通過IGP傳遞VPN
ASBR之間通過MP-EBGP傳遞VPN信息
源、宿端PE直接通過MP-EBGP傳遞
對接
對接簡單,ASBR互為PE、CE設備,IP對接
當MP-IBGP不改變下一跳為自己時,ASBR之間需要運行LDP
ASBR之間需要運行BGP擴展來傳遞公網標簽
除宿端AS外的其他AS內也要運行BGP擴展來傳送公網標簽
隧道
AS內部建立雙層LSP,ASBR之間IP轉發
ASBR之間單層或ASBR到上游PE之間建立雙層LSP
宿端AS、ASBR之間建立雙層LSP,其他AS建立三層LSP隧道
1、維護
2、簡單
3、復雜
4、場景
VPN數量少,業務開展早期
VPN數量始終,ASBR之間鏈路受限,業務開展中期
VPN數量大,業務大量開展時期
4.L2VPN跨域
L2VPN跨域理念和MPLS/BGP跨域理念類似,但L2VPN有一些自己不同的實現方法,下面主要就L2VPN跨域和MPLS/BGP跨域的不同點進行說明。
4.1傳遞VPN信息的協議不同
我們知道,目前L2VPN的實現主要包括兩種方式,即MARTINI和KOMPELLA,MARTINI通過擴展的遠程LDP會話傳送L2VPN信息,KOMPELLA通過擴展的MP-BGP來傳遞VPN信息。
4.2傳遞VPN信息的內容不同
L3VPN傳遞IP路由和VPN對應的標簽,L2VPN不包括IP路由信息,它傳遞的主要是二層相關的信息,如MARTINIL2VPN傳遞VCID、二層接口信息以及對應的標簽,KOMPELLAL2VPN傳遞CEID及標簽塊信息。
注:KOMPELLAL2VPN通過分配標簽塊,可以自動和新的CE站點建立連接,方便日后擴容,而且,通過BGP特有的RR,可以有效減少連接數目,適合較為復雜的拓撲,MARTINIL2VPN所有的連接需要手工配置,不支持自動發現站點功能,有FULLMESH的限制,適合于較為簡單的網絡拓撲。
4.3支持VPN跨域的方法
兩種L2VPN跨域都可以支持OPTIONA/C,但鑒于OPTIONB跨域逐段傳遞VPN信息的特點,KOMPELLAL2VPN天然可以支持,但MARTINIL2VPN不適合采用OPTIONB跨域。
4.4L2VPN采用OPTIONB跨域的特點
KOMPELLAL2VPN采用分配標簽塊的方法,和L3VPN在ASBR形成單個的標簽SWAP表項有所不同,參考上面OPTIONB跨域說明,PE2為CE2分配一個標簽塊,假設包括10個標簽,用于和10個其他CE建立連接,標簽塊到達ASBR2時,ASBR2會重新分配一個范圍為10的標簽塊給ASBR1,這樣,在ASBR2處就會形成一個標簽SWAP表,假設形成10個連接,就會包括10個SWAP表項,CE2和CE1的連接會對應SWAP的第一個表項,依次類推,按照CEID的不同,最終通過ASBR2的所有連接都會對應一個SWAP表項。
4.5VPLS跨域
VPLS可以看作L2VPN的特例,實現方法也主要包括MARTINI和KOMPELLA兩種,也有OPTIONA/B/C三種跨域方法(注意MARTINI和KOMPELLA支持跨域方法的不同),研究VPLS跨域時,不需要考慮VSI實例的學習轉發功能,只需要考慮PE和PE之間PW的建立,此時就和L2VPN的跨域理念和實現方法一模一樣。
4.6L2VPN跨域和MPLS/BGP跨域的比較
【編輯推薦】
