概述原理
在 OptionB 中:
1)两个 ASBR 通过 MP-EBGP 交换它们从各自 AS 的 PE 设备接收的 VPNv4-Route;
2)相比 OptionA 方式,OptionB 无需在 ASBR-PE 中创建 VRF-Instance,无需绑定任何接口。即在 ASBR 不与 CE 直接相连时,无需创建 VRF-Instance;
/4.3.4_MPLS_IP_VPN_(with_MP-BGP,_Inter_AS)/Option_B/pasted_image.png)
拓扑说明
PE 通过 MP-IBGP 将 VPNv4-Route 通告给域内的 ASBR-PE 或是 VPN RR(其中 ASBR-PE 是其客户机);
ASBR-PE 再通过 MP-EBGP 将 VPNv4 通告给另个 AS 的 ASBR-PE;
再由该 ASBR-PE 将 VPNv4-Route 通告给该 AS 内的 PE 设备;
/4.3.4_MPLS_IP_VPN_(with_MP-BGP,_Inter_AS)/Option_B/pasted_image001.png)
缺省情况,鉴于 PE 上只保存与本地 VRF-Instance 的 RT 相匹配的 VPNv4-Route,所以在 ASBR 上需要关闭 RT 过滤,以完成路由传递;
配置“undo policy vpn-target”,取消对接收的 VPN 路由进行 VPN-Target 过滤;
ASBR 之间的互联接口需要支持 MPLS 转发:在华为设备中,当设备学习到路由后,如果递归路由得到的出接口未配置 MPLS 协议,则路由不会被传递;
原因是,如果不能承载 MPLS 报文,即使传递路由也无法进行数据转发,所以华为设备针对此的优化;
当网络规模较大时,可部署 RR 设备,专门负责客户侧 VPNv4-Route 的传递;
但是,该 RR 是与 ASBR 建立连接,RR=(IBGP)=>ASBR=(MP-EBGP)=>ASBR=(IBGP)=>RR;
细节说明
控制平面:无 RR 场景
/4.3.4_MPLS_IP_VPN_(with_MP-BGP,_Inter_AS)/Option_B/pasted_image002.png)
CE1 通告 IPv4 路由给 PE1;
PE1 将 IPv4 路由转化为 VPNv4-Route 发送给 ASBR-PE1,并且设置下一跳为 PE1,分配 VPN 标签 V1;
ASBR-PE1 通过 MP-EBGP 将 Net1 的 VPNv4-Route 通告给 ASBR-PE2,将下一跳改为 ASBR-PE1,并重新分配一个 VPN 标签 V2;
ASBR-PE2 将 Net1 的 VPNv4-Route 通过 MP-IBGP 通告给 PE2,将下一跳指向自己(自动,next hop local),并重新分配一个 VPN 标签 V3;
PE1、P1 分别为去往 PE1 的路由分配隧道标签 T1、T2;
ASBR-PE2、P2 分别为去往 ASBR-PE2 的路由分配隧道标签 T3、T4;
PE2 将 VPNv4-Route 转变为 IPv4 路由,通告给 CE2,并且设置下一跳为 PE2;
补充说明:
1)当 NextHop 发生变化时,MP-BGP 将重新分配标签;
2)如果中间链路未开启 MPLS 报文转发能力,则 MP-BGP 将不会继续向下传递 VPNv4-Route。这是华为设备的特性,因为即使传递路由,没有 MPLS 功能,依旧无法进行数据转发,所以华为不会传递来自上游未开启 MPLS 转发的路由;
控制平面:带 RR 场景
/4.3.4_MPLS_IP_VPN_(with_MP-BGP,_Inter_AS)/Option_B/pasted_image003.png)
当 VPN 实例数量较多时,可以部署专门的 RR 设备。如图,AS 内的 PE 和 ASBR 设备只与 RR 设备建立 MP-BGP 邻居关系,由 RR 负责路由的反射传递,PE 和 ASBR-PE 之间无需建立 BGP 邻居;
补充说明:
1)在 VPN 跨域场景下,建议部署独立的 RR 设备,只负责路由传递,不转发流量;RR 只负责控制平面的 VPNv4-Route 传递,数据转发时,流量不经过 RR;
转发平面:数据转发
/4.3.4_MPLS_IP_VPN_(with_MP-BGP,_Inter_AS)/Option_B/pasted_image004.png)
CE2 发送一个目的地为 Net1 的 IP 报文给 PE2;
PE2 收到 IP 报文后,先封装 VPN 标签 V3,再封装外层标签 T4,然后将此报文发送给 P2;
P2 把外层标签 T4 换成 T3,然后将此报文发送给 ASBR-PE2;
ASBR-PE2 去掉外层标签,将 VPN 标签 V3 交换为 V2,再将其转发给 ASBR-PE1(此时报文仅带有一层私网标签);
ASBR-PE1 交换 VPN 标签 V2 成 V1,再加一个外层标签 T2,并将报文转发给 P1;
P1 进行标签交换,把外层标签 T2 换成 T1,然后将此报文发送给 PE1;
PE1 收到后去掉所有标签,将报文(普通 IP 报文)转发给 CE1;
特性特征(总结)
优点
所有的流量都经过 ASBR 转发,使流量具有良好的可控性
相比于 OptionA,当需要支持大量 VRF 互通的时候,此解决方案优于 OptionA;
不同于 OptionA,OptionB 方案不受 ASBR 之间互连链路数目的限制;
缺点
局限性:VPN 的路由信息是通过 AS 之间的 ASBR 路由器来保存和扩散的,当 VPN 路由较多时,ASBR 负担重,容易成为瓶颈点。因此在 MP-EBGP 方案中,需要维护 VPN 路由信息的 ASBR 一般不再负责公网 IP 转发;
VPN 的路由信息是通过 AS 之间的 ASBR 来保存和扩散的,当 VPN 路由较多时,ASBR 需要保存大量 VPNv4-Route,因此负担较重,ASBR 负担重,容易成为瓶颈点。解决方案是:(1)同时使用 BGP 路由策略(如对 RT 的过滤),使 ASBR 上只保存部分 VPNv4-Route;(2)或者所以在 MP-EBGP 中,需要维护 VPN 路由信息的 ASBR 一般不再负责公网 IP 转发;