www.xahztx.com
?
同时存在直接从CE收到的路由和交叉成功后的同一目的地址路由,则优选从CE收到的路由。
同时存在本地交叉路由和从其他PE接收并交叉成功后的同一目的地址路由,则优选本地交叉路由。
优先选择从本地CE收到的路由。只有一条从本地CE收到的路由而有多条交叉路由的情况下,也只选择从本地CE收到的路由。
只在从本地CE收到的路由之间分担或只在交叉路由之间分担,不会在本地CE收到的路由和交叉路由之间分担。
选择了交叉路由进行负载分担后,一旦从本地CE收到VPN路由,PE选择从本地CE收到的路由之间进行负载分担。 负载分担的AS-PATH属性必须完全相同。
?
对于到同一目的地址的多条路由,如果进行路由的负载分担,则:
?
?
?
?
六.VPNv4路由发布
PE设备通过MP-BGP发布给对端PE的VPNv4路由分为两种情况:
?
从本地CE接收的IPv4路由
?
没有配置负载分担时,从CE收到的路由直接转换为VPNv4的路由发送所有对等体
配置了负载分担后,从CE收到的路由优选后条数发生了变化,但发送给对等体的只有一条,下一跳为本PE设备。配置负载分担和取消负载分担的配置都会使PE重新发布这条VPNv4路由。
?
?
从其他对等体接收过来的VPNv4路由
PE把VPNv4路由向别的对等体发送前,需要检查是否从该对等体收到了RD相同的同一条路由:如果没有收到就发送给该对等体;如果收到了,则不再发送。
MP-BGP的VPN-IPv4路由发布策略仍与普通BGP相同:
? ? ?
存在多条有效路由时,BGP Speaker只将最优的路由发布给对等体。 BGP Speaker只把自己使用的路由发布给对等体。
BGP Speaker从EBGP获得的路由会向它所有BGP对等体发布(包括EBGP对等体和IBGP对等体)。 BGP Speaker从IBGP获得的路由不向它的IBGP对等体发布。
BGP Speaker从IBGP获得的路由发布给它的EBGP对等体(在不使能BGP与IGP同步特性的情况下)。 连接一旦建立,BGP Speaker把自己所有BGP路由发布给新对等体。
? ?
?
七.应用于BGP/MPLS IP VPN的隧道
BGP/MPLS IP VPN中常用的隧道有:
?
LSP隧道
使用标签转发,是应用于BGP/MPLS IP VPN中常见的隧道。使用LSP隧道作为BGP/MPLS IP VPN的公网隧道,骨干网在转发VPN数据转发时,只在PE设备分析IP报文头,而不用在VPN报文经过的每一台设备都分析IP报文头。这样,节约了对VPN报文的处理时间,可降低VPN报文时延。另外,标签能够被任意的链路层所支持。LSP在功能上与ATM和帧中继的虚电路相同,其安全性与ATM和帧
www.xahztx.com
中继网络相当。因此,如果传输BGP/MPLS IP VPN报文的骨干网设备都支持MPLS,建议使用LSP或MPLS TE(Traffic Engineered)作为公网隧道。
?
GRE隧道
如果网络边缘的PE路由器具备MPLS功能,但骨干网核心路由器(P路由器)只提供纯IP功能,不具备MPLS功能。这样,就不能使用LSP作为公网隧道。此时,可以使用GRE隧道替代LSP作为VPN骨干网隧道。GRE的详细介绍请参见“GRE协议”。
?
L2TP隧道
对于出差用户,不可能总是可以直接接入到MPLS骨干网的PE设备上。这样就无法通过Internet或者是IP骨干网直接访问MPLS VPN内部的站点。此时可以采用L2TP协议来解决此问题。这种技术也称为L2TP接入三层VPN技术。详细介绍请参见“L2TP协议”。
?
MPLS TE隧道
MPLS TE是MPLS技术与TE流量工程相结合的技术,通过建立到达指定路径的LSP隧道进行资源预留,使网络流量绕开拥塞节点,达到平衡网络流量的目的。MPLS TE中用到的这种LSP隧道就称为MPLS TE隧道,也是应用于BGP/MPLS IP VPN中常见的隧道。
除了具备LSP隧道的优势外,MPLS TE隧道在解决网络拥塞问题方面有着自己的优势。利用MPLS TE隧道,服务提供商能够充分利用现有的网络资源,提供多样化的服务。同时可以优化网络资源,进行科学的网络管理。
在MPLS VPN业务中,运营商往往需要为VPN用户的各种业务类型(如语音业务、视频业务、关键数据业务、普通上网业务)提供端到端的QoS保证。为满足用户需求,可以使用MPLS TE隧道,为用户创建具有QoS保证的隧道。
此外,使用MPLS TE隧道,运营商还可以根据VPN用户的不同服务要求,通过一定的策略构建各种有QoS保证的VPN服务,具体请参见十三.VPN QoS。
八.MP-BGP标签分配
在BGP/MPLS IP VPN中,PE通过MP-BGP发布给骨干网的其他相关的PE前,需要将私网路由与MPLS标签关联。当用户数据包在骨干网传输时,携带MPLS标签。
每个PE在分配标签前,需要发布一个标识自己的路由。该路由需要通过IGP发布给骨干网的其他PE节点,使其他节点根据该路由为PE分配标签。为了减少全网LSP数量,推荐使用只对32位掩码的Loopback接口的路由分配标签,一般与BGP会话使用同一个Loopback接口。 PE分配标签的方法有多种。VRP实现如下两种方法:
?
基于路由的MPLS标签分配:默认情况下,VRP为VPN路由表的每一条路由分配一个标签(one label per route)。这种方式的缺点是:当路由数量比较多时,路由器入标签映射表ILM(Incoming Label Map)需要维护的表项也会增多,从而提高了对路由器容量的要求。
基于VPN的MPLS标签分配:为整个VPN实例分配一个标签,该VPN实例里的所有路由都共享一个标签。使用这种分配方法的好处是节约了标签。
?
运营商的运营商(Carriers' Carrier)中采用基于路由的MPLS标签分配方式,在目前的VRP版本中,不能在运营商的运营商组网中使用基于VPN的MPLS标签分配。
www.xahztx.com
九基本BGP/MPLS IP VPN的路由发布
概述
在基本BGP/MPLS IP VPN组网中,VPN路由信息的发布涉及CE和PE,P路由器只维护骨干网的路由,不需要了解任何VPN路由信息。PE路由器一般只维护自身接入的VPN的路由信息,不维护所有VPN路由。
VPN路由信息的发布过程包括三部分:
? ? ?
本地CE到入口PE 入口PE到出口PE 出口PE到远端CE
完成这三部分后,本地CE与远端CE之间建立可达路由,VPN路由信息能够在骨干网上发布。 下面分别对这三部分进行介绍。
本地CE到入口PE的路由信息交换
CE与直接相连的PE建立邻居或对等体关系后,把本站点的VPN路由发布给PE。CE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或BGP。无论使用哪种路由协议,CE发布给PE的都是标准的IPv4路由。 PE上的各VPN路由转发表之间相互隔离,并与公网路由转发表相互独立。PE从CE学习路由信息时,PE需要区分该路由应注入哪个路由转发表。通常的静态路由和路由协议自身并不具备这种区分能力,必须使用手工配置实现:
1.如果CE与PE之间使用静态路由,需要在配置静态路由时指定VPN实例(使用命令ip route-static vpn-instance)。 通常情况下,静态路由用于stub VPN的CE与PE间交换路由,或者CE是个主机或者交换机的情况。如果CE是台主机或者交换机,通常在与之相连的PE上配置到该CE所在site的静态路由,无需使用路由协议。
说明:如果一个VPN接收本VPN以外的、非PE发布的路由,并将这些路由发布给PE,这类VPN称为过渡VPN(transit VPN)。 只接收本VPN路由以及PE发布的路由的VPN称为stub VPN。
PE与CE之间采用静态路由的好处是配置简单,并且可以避免因CE设备的路由振荡影响骨干网PE设备的BGP VPNv6路由的稳定性。
2.如果CE与PE之间使用IGP,每个VPN单独使用一个进程,不同的VPN使用不同的进程。此时需要在配置IGP进程时指定VPN实例(例如,ospf process-id vpn-instance vpn-instance-name)。 当CE与PE之间使用IGP交换路由信息时,如果站点内包括后门连接(backdoor link)时,处理相对复杂,具体请参见错误!未找到引用源。。另外,在Hub&Spoke组网中IGP在CE与PE之间的使用也有一定的限制,具体请参见错误!未找到引用源。。
说明后门连接是指两个Site之间的连接,该连接不经过VPN骨干网。这两个site的流量主要通过VPN骨干网的链路传输,后门连接作为备份链路。
3.如果CE与PE之间运行EBGP,需要在相应的BGP VPN实例视图下使能MP-EBGP对等体。 从技术角度看,使用BGP是较好的选择:
?
BGP是一种外部网关协议,可以用来实现不同AS之间传递路由信息。
www.xahztx.com
? ? ?
使用BGP,CE更易于传递路由属性(如AS-PATH)给PE。
BGP提供了丰富的路由策略,能够对VPN路由实现灵活的过滤和选择。 如果站点内包括backdoor,BGP也能正确处理,而使用IGP的处理相对复杂。
如果PE和CE之间运行EBGP,由于BGP使用AS号检测路由环路,为保证路由信息的正确发送,需要为物理位置不同的节点分配不同的AS号。但VPN站点使用的是私有AS号,不同VPN的站点可能使用相同的AS号。Transit VPN站点使用的AS号要求全局唯一。
Stub VPN站点可以复用相同的私有AS号,此时需要在PE上使用十一.BGP的AS号替换功能。
入口PE到出口PE的路由信息交换
入口PE到出口PE的路由信息交换过程可分为三部分:
1.PE从CE学到VPN路由信息后,为这些标准IPv4路由增加RD和VPN Target属性,形成VPN-IPv4路由,存放到VPN实例中。
2.入口PE通过MP-BGP的Update报文把VPN-IPv4路由发布给出口PE。Update报文中还携带RD、VPN-Target属性及MPLS标签。
BGP发布的VPN-IPv4路由,首先通过策略路由的过滤,然后通过BGP路由策略的过滤,才能被下一跳PE接收到。
出口PE收到VPN-IPv4路由后,进行本地交叉、隧道迭代和路由优选,决定是否将该路由加入到VPN实例的路由表。从其他PE接收的并被加入到VPN路由表的路由,本地PE为其保留如下信息以供后续转发报文时使用:
? ?
MP-BGP Update消息中携带的MPLS标签值 隧道迭代成功后的Tunnel ID
出口PE到远端CE的路由信息交换
远端CE有多种方式可以从出口PE学习VPN路由,包括静态路由、RIP、OSPF、IS-IS和BGP,与本地CE到入口PE的路由信息交换相同。此处不再赘述。值得注意的是,出口PE发布给远端CE的路由是普通IPv4路由。
VPN路由发布过程举例
下面以图1-6(PE-CE之间使用BGP,公网隧道为LSP)为例,说明将CE2的一条路由发送到CE1的过程。
www.xahztx.com
图1-6 CE2->CE1的路由发布过程
CE1 Ingress PEP Egress PECE2IGP路由表引入BGP路由表BGPUpdateVPN实例路由表VPN backbone引入IGP路由表BGP路由表VPN实例路由表BGPUpdate路由交叉&隧道迭代BGPUpdate携带Label、RD和Export-RT表示路由表表示消息报文
1.在CE2的BGP IPv4单播地址族下引入IGP路由。
2.CE2将该路由随EBGP的Update消息一起发布给Egress PE。Egress PE从连接CE2的接口收到Update消息,把该路由转化为VPN IPv4路由,加入对应的VPN实例路由表。如果Egress上有其他VPN实例的路由表,比较其Import RT是否与该路由的Export RT一样。如果一样,将该路由加入相应的VPN实例的路由表。
3.同时,Egress PE为该路由分配MPLS标签,并将标签和VPNI IPv4路由信息加入MP-IBGP的Update消息中的NLRI,Export-RT属性加入MP-BGP Update消息的扩展团体属性字段中,将Update消息发送给Ingress PE。
4.Ingress PE先要对该路由进行BGP的路由策略过滤。如果不通过,则拒绝接收;如果通过,则Ingress PE对该路由进行路由交叉。交叉成功则根据路由目的IPv4地址进行隧道迭代,查找合适的隧道。如果迭代成功,则保留该隧道的Tunnel ID和标签,并将路由加入该VPN实例路由表。
5.Ingress PE把该路由通过BGP Update消息发布给CE2。此时路由是普通IPv4路由。
6.CE2收到该路由后,把该路由加入BGP路由表。通过在IGP中引入BGP路由的方法可使CE把该路由加入IGP路由表。
上面过程只是将CE2的路由发布给CE1。要实现CE1与CE2的互通,还需要将CE1的路由发布给CE2,其过程与上面的步骤类似,此处不再赘述。
十.基本BGP/MPLS IP VPN报文转发
在BGP/MPLS IP VPN骨干网中,P路由器并不知道VPN路由信息,VPN报文通过隧道在PE之间转发。以图1-6为例说明BGP/MPLS IP VPN报文的转发过程。图1-7是CE1发送报文给CE2的过程。其中,I-L表示内层标签,O-L表示外层标签。