「BGP/MPLS-IP-VPN」- 组网场景

  CREATED BY JENKINSBOT

问题描述

BGP/MPLS IP VPN因其支持地址空间重叠、组网方式灵活、可扩展性好,并能够方便地支持 MPLS TE 等系列优点,已经在广域 IP 承载网络得到了广泛的应用。
针对不同客户的业务需求以及组网情况,MPLS VPN 的部署方式不尽相同。我们将学习几种常见的MPLS VPN应用场景与这些场景下MPLS VPN的部署方法。

解决方案

Intranet

在该组网方案中,具有如下特性:
1)内部互联:同个 VPN 实例中的所有用户形成闭合用户群,相互之间能够进行流量转发,其站点通常是属于同一个组织;
2)隔离外部:在 VPN 示例中的用户不能与任何本 VPN 实例以外的用户通信;

实现方式:
1)PE 需要为每个站点创建 VPN 实例,并配置全网唯一的 RD 参数;
2)PE 通过配置 IRT 和 ERT 来控制不同 VPN-Site 来实现无法互访;

Extranet

在该组网方案中,具有如下特性:
1)VPN 用户可将站点的部分网络资源给其他 VPN 实例的用户进行访问。

实现方式:
1)同样是通过 RT 来控制通告的路由信息;

如图,Site 2 作为能被 VPN1 和 VPN2 访问的共享站点,需要保证:
1)PE2 能够接收 PE1 和 PE3 发布的 VPNv4 路由;
2)PE2 发布的 VPNv4 路由能够被 PE1 和 PE3 接收;
3)PE2 不把从 PE1 接收的 VPNv4 路由发布给 PE3,也不把从 PE3 接收的 VPNv4 路由发布给 PE1;

Hub & Spoke

在该组网方案中,具有如下特性:
1)能够将多个站点中的某个站点设置为 Hub-Site,其余站点为 Spoke-Site;
2)站点间的互访必须通过 Hub-Site,通过 Hub-Site 集中管控站点间的数据传输。

实现方式:
1)Spoke-Site 需要把路由发布给 Hub-Site,再通过 Hub-Site 发布给其他 Spoke-Site,而 Spoke-Site 间不直接交互路由信息;
2)Spoke-PE 需要设置 ERT 为“Spoke”,IRT 为“Hub”;
3)Hub-PE上需要使用两个接口或子接口(创建两个 VRF-INST):一个用于接收Spoke-PE发来的路由,其VPN实例的Import Target为“Spoke”;另一个用于向Spoke-PE发布路由,其VPN实例的Export Target为“Hub”;

Q:为什么需要两个 VRF-INST 来实现 Hub & Spoke 组网?
A:需要进一步查阅资料来确认,我们认为是为了防止 Spoke-Site 间直接访问。如果不采用 VRF-Inst 实现,那么在 VPNv4 里引入的诸如 RD RT 等等概念无法被接收端处理,进而导致 VPNv4 无法正常工作。如果采用单个 VRF-Inst 实现,则路由发布到 Hub-PE 的同张路由表里,此时路由又会被传递给 Spoke-PE,进而导致 Spoke-PE 间能够直接互访,而不再需要通过 Hub-CE 进行中转。

1)Spoke-CE1发布路由给Spoke-PE1。
2)Spoke-PE1通过IBGP将该路由发布给Hub-PE。
3)Hub-PE通过VPN实例(VPN_in)的Import Target属性将该路由引入VPN_in路由表,并发布给Hub-CE。
4)Hub-CE 学习到该路由,并将该路由发布给 Hub-PE 的 VPN 实例(VPN_out),这样 Hub-CE 为路由的下一跳,才能实现 Hub 为流量的中心,这也是使用两个 VRF-Inst 的原因;
5)Hub-PE通过VPN_out发布该路由给Spoke-PE2(携带VPN_out的Export Target属性)。
6)Spoke-PE2该路由发布给Spoke-CE2。

MCE, Multi-CE

问题描述:当某个私网,需要根据业务或网络划分 VPN 时,不同 VPN 用户间的业务需要完全隔离,即同个企业具有多个 MPLS VPN 实例。但是为每个 MPLS VPN 实例配置独立的 CE 将增加用户的设备开支和维护成本。

解决方案:具有 MCE(Multi-VPN-Instance,CE多实例CE)功能的 CE 设备可以在 MPLS VPN 组网应用中承担多个 VPN 实例的 CE功 能,减少用户网络设备的投入成本。

MCE将PE的部分功能扩展到CE设备,通过将不同的接口与VPN绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF)。
MCE与对应的PE之间可以通过物理接口、子接口或者逻辑接口进行互联,PE上需要将这些接口绑定到对应的VPN实例。

MPLS VPN Inter-AS Options

通常的 MPLS VPN 体系结构都是在同个 AS 内运行,任何 VPN 的路由信息都是只能在一个AS内按需扩散。

但是,随着 MPLS VPN 解决方案的广泛应用,服务的终端用户的规格和范围也在增长,在一个企业内部的站点数目越来越大,某个地理位置与另外一个服务提供商相连的需求变得非常的普遍,例如国内运营商的不同城域网之间,或相互协作的运营商的骨干网之间都存在着跨越不同 AS 的情况。

AS 之间的MPLS VPN部署需要通过跨域(Inter-AS) MPLS VPN解决方案来实现。

RFC2547中提出了三种跨域VPN解决方案,分别是:
1)跨域VPN-OptionA(Inter-Provider Backbones Option A)方式:需要跨域的VPN在ASBR(AS Boundary Router)间通过专用的接口管理自己的VPN路由,也称为VRF-to-VRF;
2)跨域VPN-OptionB(Inter-Provider Backbones Option B)方式:ASBR间通过MP-EBGP发布标签VPN-IPv4路由,也称为EBGP redistribution of labeled VPN-IPv4 routes;
3)跨域VPN-OptionC(Inter-Provider Backbones Option C)方式:PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由,也称为Multihop EBGP redistribution of labeled VPN-IPv4 routes。