淺析域間MPLS VPN技術的兩種方案
2014-08-08 15:00:38蔣磊
中國新技術新產品 2014年9期
蔣磊
摘要:本文淺析了域間MPLS VPN技術的兩種方案,即VRF-to-VRF方案和MP-EBGP方案。
關鍵詞:域間MPLS VPN技術;方案
中圖分類號:TP30 文獻標識碼:A
隨著MPLS VPN技術的日趨流行,越來越多的大型企業開始考慮如何對自己的分支機構進行互連,由于這些機構在地理位置上較為分散,因此不太可能通過同一家ISP運營商來為其提供全部的VPN服務,換句話說就是這些機構可能分散在不同的自治系統之中,如何跨越自治系統來實現MPLS VPN技術就成了運營商們迫切需要解決的問題。在RFC2547bis中定義了三種技術方案,分別是VRF-to-VRF方案、MP-EBGP方案以及路由反射器之間的多跳MP-EBGP方案,這三種方案簡稱為Option A、Option B和Option C。本文僅介紹前兩種方案。
VRF-to-VRF方案
VRF-VRF方案在技術層面上實施起來較為簡單,當VPN客戶數量和VPN路由數量都比較少的時候可以采用這樣一種方案,目前在ISP運營商內部應用較多的也是這種方案。該方案實施的重點主要體現在ASBR的配置上,就是圖中綠色虛線包括的范圍,具體表現在兩方面:如何支持多客戶,因為ASBR之間只有一根線纜,如果只讓一對VPN客戶使用,那么對于其他VPN客戶來說勢必要再增加線纜投入,對運營商來說成本太高;如何在ASBR之間跨域交互VPN路由。針對第一個問題,可以把ASBR之間的鏈路使用子接口連接起來,也就是將ASBR之間的物理接口劃分成多個子接口,每個子接口對應本地不同的VRF,一對VRF使用一對子接口,這樣就很好的解決了對多客戶支持的難題。針對第二個問題,可以在兩個ASBR之間運行動態路由協議,比如OSPF或BGP,如果使用OSPF,則需要在ASBR-PE1上將BGP路由重分布進OSPF進程中,對端ASBR-PE2在學到后同樣要把OSPF路由重分布進BGP進程中,相對BGP來說較為繁瑣。需要注意的是,當VPN客戶之間產生流量時,數據的封裝會發生一系列變化,依次為IP數據包、MPLS標簽包、VPN標簽包、IP數據包、MPLS標簽包、VPN標簽包、IP數據包,這說明流量穿越了兩條獨立的LSP。
該方案的缺點主要表現在多VRF的維護與配置上,當VPN客戶數量和路由數量較多時,不建議使用該方案,同時由于邊界設備之間沒有運用MPLS技術,所以擴展性較差。
MP-EBGP方案
MP-EBGP方案如同它名字一樣是在ASBR-PE之間建立起MP-EBGP鄰居關系,然后利用這層關系來跨域傳遞VPN客戶的私網路由,由于ASBR-PE上不再需要實施VRF技術,因此大大簡化了對VRF的配置和維護工作,在VPN客戶較多的場合中,這種優勢更為明顯,總的來說該方案比較適合中等規模的VPN跨域需求,它的基本模型如圖1所示。
從圖中可以看出,ASBR上并沒有配置VRF,相比VRF-to-VRF方案,該方案的配置會比較簡單,主要體現在兩個ASBR-PE設備上。首先,在ASBR-PE之間建立起MP-EBGP鄰居關系,然后分別關閉ASBR-PE1和ASBR-PE2上的RT過濾功能,該功能默認是開啟的,這樣做的目的是為了讓ASBR-PE收到來自MP-IBGP鄰居發來的VPN路由。其次,當鄰居關系建好以后,ASBR-PE設備會自動完成三個動作:形成一條去往對端接口的主機路由;在接口下使能MPLS BGP的轉發功能;在LFIB表中為該主機路由形成標簽。最后,當ASBR-PE設備將域外的VPN路由傳遞給它的MP-IBGP鄰居時,下一跳默認是不變的,會帶來一定的安全風險的,因此在建立MP-IBGP鄰居關系時,需要執行next-hop-self命令以指定自己為該VPN路由的下一跳。
VPN路由經過PE1傳給了ASBR-PE1,再通過ASBR-PE1傳給了ASBR-PE2,最后由ASBR-PE2傳給了PE2,路由的下一跳經歷了三次變化,也就需要交換三次MPLS標簽,其中ASBR-PE間的MPLS標簽是看不見的,因為彼此都是自己的倒數第二跳,所以標簽會被彈出。同時VPN標簽也會交換三次,因為不同的下一跳都為VPN路由分配了VPN標簽。
該方案的優點是不用為每個VPN客戶都去創建和維護VRF,解決了Option A方案中的擴展性問題,缺點是ASBR-PE設備需要維護大量的VPNv4路由,對其性能是一大考驗,當網絡規模較大時,ASBR-PE設備將會不堪重負,解決的辦法是使用多個ASBR-PE設備進行負載分擔。
二種跨域方案間的對比
兩種跨域方案對VPNv4路由的感知是相同的,Option A和Option B中的ASBR-PE可以感知VPNv4路由的存在。與此同時,不同跨域方案的擴展性、安全性以及維護性也都不相同,在實際應用中選擇哪種方案應根據情況而定,當VPN客戶數量和VPN路由數量較少的時候,可以選擇Option A方案,而當VPN客戶數量和VPN路由數量較為適中的時候,可以選擇Option B方案。
參考文獻
[1]薛戈麗.組建基于MPLS VPN的IP城域網網絡方案[J].中國科技信息,2005(15):137.
