¶ 定义
BGP/MPLS IP VPN是一种L3VPN(Layer 3 Virtual Private Network)。它使用BGP(Border Gateway Protocol)在服务提供商骨干网上发布VPN路由,使用MPLS(Multiprotocol Label Switch)在服务提供商骨干网上转发VPN报文。这里的IP是指VPN承载的是IP(Internet Protocol)报文。
BGP/MPLS IP VPN的基本模型如图1所示。
图1 BGP/MPLS IP VPN模型
MP-BGP(Multiprotocol Extensions for BGP-4,BGP-4的多协议扩展)
¶ 私网路由的选择规则
经过路由交叉和隧道迭代的路由并不是全部被放入VPN实例路由表。从本地CE收到的路由和本地交叉路由也不是全部被放入VPN实例路由表。
对于到同一目的地址的多条路由,如果不进行路由的负载分担,按如下规则选择其中的一条:
- 同时存在直接从CE收到的路由和交叉成功后的同一目的地址路由,则优选从CE收到的路由。
- 同时存在本地交叉路由和从其他PE接收并交叉成功后的同一目的地址路由,则优选本地交叉路由。
- 对于到同一目的地址的多条路由,如果进行路由的负载分担,则:
- 优先选择从本地CE收到的路由。只有一条从本地CE收到的路由而有多条交叉路由的情况下,也只选择从本地CE收到的路由。
- 只在从本地CE收到的路由之间分担或只在交叉路由之间分担,不会在本地CE收到的路由和交叉路由之间分担。
- 负载分担的AS_PATH属性必须完全相同。
¶ Extranet VPN
如果一个VPN用户希望访问其他VPN中的某些站点,可以使用Extranet组网方案。
对于这种组网,如果某个VPN需要访问共享站点,则该VPN的Export Target必须包含在共享站点的VPN实例的Import Target中,而其Import Target必须包含在共享站点VPN实例的Export Target中。
图2 Extranet组网方案
¶ Hub and Spoke
如果希望在VPN中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行,可以使用Hub and Spoke组网方案。其中,中心访问控制设备所在站点称为Hub站点,其他用户站点称为Spoke站点。Hub站点侧接入VPN骨干网的设备叫Hub-CE;Spoke站点侧接入VPN骨干网的设备叫Spoke-CE。VPN骨干网侧接入Hub站点的设备叫Hub-PE,接入Spoke站点的设备叫Spoke-PE。
Spoke站点需要把路由发布给Hub站点,再通过Hub站点发布给其他Spoke站点。Spoke站点之间不直接发布路由。Hub站点对Spoke站点之间的通讯进行集中控制。
对于这种组网情况,需要设置两个VPN Target,一个表示“Hub”,另一个表示“Spoke”。如图3所示。图3 Hub&Spoke组网方案
¶ 跨域VPN-OptionA方式
- 跨域VPN-OptionA(Inter-Provider Backbones Option A)方式:需要跨域的VPN在ASBR(AS Boundary Router)间通过专用的接口管理自己的VPN路由,也称为VRF-to-VRF;
•ASBR-PE1的配置文件# sysname ASBR-PE1#ip vpn-instance vpn1 ipv4-family route-distinguisher 100:2 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity# mpls lsr-id 2.2.2.9 mpls label advertise non-null #mpls ldp#interface GigabitEthernet1/0/0 ip address 172.1.1.1 255.255.255.0 mpls mpls ldp#interface GigabitEthernet2/0/0 ip binding vpn-instance vpn1 ip address 192.1.1.1 255.255.255.0#interface LoopBack1 ip address 2.2.2.9 255.255.255.255#bgp 100 peer 1.1.1.9 as-number 100 peer 1.1.1.9 connect-interface LoopBack1 # ipv4-family unicast undo synchronization import-route direct peer 1.1.1.9 enable # ipv4-family vpnv4 policy vpn-target peer 1.1.1.9 enable # ipv4-family vpn-instance vpn1 peer 192.1.1.2 as-number 200 import-route direct#ospf 1 area 0.0.0.0 network 2.2.2.9 0.0.0.0 network 172.1.1.0 0.0.0.255#return
- 跨域VPN-OptionB(Inter-Provider Backbones Option B)方式:ASBR间通过MP-EBGP发布标签VPN-IPv4路由,也称为EBGP redistribution of labeled VPN-IPv4 routes;
•ASBR-PE1的配置文件# sysname ASBR-PE1# mpls lsr-id 2.2.2.9 mpls#mpls ldp#interface GigabitEthernet1/0/0 ip address 172.1.1.1 255.255.255.0 mpls mpls ldp#interface GigabitEthernet2/0/0 ip address 192.1.1.1 255.255.255.0 mpls mpls ldp#interface LoopBack1 ip address 2.2.2.9 255.255.255.255#bgp 100 peer 192.1.1.2 as-number 200 peer 1.1.1.9 as-number 100 peer 1.1.1.9 connect-interface LoopBack1 # ipv4-family unicast undo synchronization peer 192.1.1.2 enable peer 1.1.1.9 enable # ipv4-family vpnv4 undo policy vpn-target apply-label per-nexthop peer 1.1.1.9 enable peer 192.1.1.2 enable#ospf 1 area 0.0.0.0 network 2.2.2.9 0.0.0.0 network 172.1.1.0 0.0.0.255#return ###apply-label per-nexthop该命令需要和PE上的apply-label per-instance命令配合使用###
- 跨域VPN-OptionC(Inter-Provider Backbones Option C)方式:PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由,也称为Multihop EBGP redistribution of labeled VPN-IPv4 routes。
C1方案•PE1的配置文件# sysname PE1#ip vpn-instance vpn1 ipv4-family route-distinguisher 100:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity# mpls lsr-id 1.1.1.9 mpls#mpls ldp#interface GigabitEthernet1/0/0 ip address 172.1.1.2 255.255.255.0 mpls mpls ldp#interface GigabitEthernet2/0/0 ip binding vpn-instance vpn1 ip address 10.1.1.2 255.255.255.0#interface LoopBack1 ip address 1.1.1.9 255.255.255.255#bgp 100 peer 2.2.2.9 as-number 100 peer 2.2.2.9 connect-interface LoopBack1 peer 4.4.4.9 as-number 200 peer 4.4.4.9 ebgp-max-hop 10 peer 4.4.4.9 connect-interface LoopBack1 # ipv4-family unicast undo synchronization peer 2.2.2.9 enable peer 2.2.2.9 label-route-capability peer 4.4.4.9 enable # ipv4-family vpnv4 policy vpn-target peer 2.2.2.9 enable peer 4.4.4.9 enable # ipv4-family vpn-instance vpn1 peer 10.1.1.1 as-number 65001 import-route direct#ospf 1 area 0.0.0.0 network 1.1.1.9 0.0.0.0 network 172.1.1.0 0.0.0.255#return •ASBR-PE1的配置文件# sysname ASBR-PE1# mpls lsr-id 2.2.2.9 mpls#mpls ldp#interface GigabitEthernet1/0/0 ip address 172.1.1.1 255.255.255.0 mpls mpls ldp#interface GigabitEthernet2/0/0 ip address 192.1.1.1 255.255.255.0 mpls#interface LoopBack1 ip address 2.2.2.9 255.255.255.255#bgp 100 peer 192.1.1.2 as-number 200 peer 1.1.1.9 as-number 100 peer 1.1.1.9 connect-interface LoopBack1 # ipv4-family unicast undo synchronization network 1.1.1.9 255.255.255.255 peer 192.1.1.2 enable peer 192.1.1.2 route-policy policy1 export peer 192.1.1.2 label-route-capability peer 1.1.1.9 enable peer 1.1.1.9 route-policy policy2 export peer 1.1.1.9 label-route-capability # ipv4-family vpnv4 policy vpn-target peer 1.1.1.9 enable#ospf 1 area 0.0.0.0 network 2.2.2.9 0.0.0.0 network 172.1.1.0 0.0.0.255#route-policy policy1 permit node 1 apply mpls-labelroute-policy policy2 permit node 1 if-match mpls-label apply mpls-label#return C2方案•PE1的配置文件# sysname PE1#ip vpn-instance vpn1 ipv4-family route-distinguisher 100:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity# mpls lsr-id 1.1.1.9 mpls#mpls ldp#interface GigabitEthernet1/0/0 ip address 172.1.1.2 255.255.255.0 mpls mpls ldp#interface GigabitEthernet2/0/0 ip binding vpn-instance vpn1 ip address 10.1.1.2 255.255.255.0#interface LoopBack1 ip address 1.1.1.9 255.255.255.255#bgp 100 peer 4.4.4.9 as-number 200 peer 4.4.4.9 ebgp-max-hop 10 peer 4.4.4.9 connect-interface LoopBack1 # ipv4-family unicast undo synchronization peer 4.4.4.9 enable # ipv4-family vpnv4 policy vpn-target peer 4.4.4.9 enable # ipv4-family vpn-instance vpn1 peer 10.1.1.1 as-number 65001 import-route direct#ospf 1 area 0.0.0.0 network 1.1.1.9 0.0.0.0 network 172.1.1.0 0.0.0.255#return •ASBR-PE1的配置文件# sysname ASBR-PE1# mpls lsr-id 2.2.2.9 mpls lsp-trigger bgp-label-route#mpls ldp#interface GigabitEthernet1/0/0 ip address 172.1.1.1 255.255.255.0 mpls mpls ldp#interface GigabitEthernet2/0/0 ip address 192.1.1.1 255.255.255.0 mpls#interface LoopBack1 ip address 2.2.2.9 255.255.255.255#bgp 100 peer 192.1.1.2 as-number 200 # ipv4-family unicast undo synchronization network 1.1.1.9 255.255.255.255 peer 192.1.1.2 enable peer 192.1.1.2 route-policy policy1 export peer 192.1.1.2 label-route-capability#ospf 1 import-route bgp area 0.0.0.0 network 2.2.2.9 0.0.0.0 network 172.1.1.0 0.0.0.255#route-policy policy1 permit node 1 apply mpls-label#return
¶ 三者区别
¶ 注释
¶ apply-label per-nexthop
应用场景
- 在跨域VPN-OtpionB场景或者分层VPN的场景,ASBR或者SPE上需要发送的VPNv4路由数量过多,导致设备的MPLS标签资源不足时,配置该命令可以节省设备上的MPLS标签资源。
- 缺省情况下,ASBR或者SPE在向其他的MP-BGP对等体发布VPNv4路由时,同时为每一条路由分配一个标签。配置该命令后,ASBR或者SPE为具有相同路由下一跳和出标签的路由分配一个标签。为使从相同下一跳学到的路由的出标签相同,该命令需要和PE上的apply-label per-instance命令配合使用,否则起不到节省标签资源的效果。
- 可以通过执行命令display fib statistics查看私网VPN路由条数。
- 注意事项:使能或者去使能按下一跳分标签时,ASBR或者SPE上分配的标签会发生变化,会导致VPN流量的短暂中断。
¶ apply-label per-instance
- 应用场景
- 在BGP/MPLS IP VPN组网中,当PE上的VPN路由数量很多导致MPLS标签资源不足时,配置该命令可以节省PE上的标签资源。
- 缺省情况下,VPN实例地址族下的路由按照每条路由分配一个标签的方式申请标签的,如果要将VPN实例地址族的标签分配方式改成:VPN实例地址族下的路由都使用同一个标签的分配方式,就需要执行apply-label per-instance命令进行标签分配方式的修改。举例说明:PE上配置有两个VPN实例,总共有2万条路由,按照缺省情况,将占用PE上的2万个标签,在两个实例中分别配置该命令后,只占用PE上的两个标签。
- 对于VPN实例地址族中有大量路由需要申请标签的情况,执行apply-label per-instance命令可以节省PE上的标签资源,降低对PE设备容量的要求。
- 可以通过执行命令display fib statistics查看私网VPN路由条数。
¶ policy vpn-target
- 应用场景
- 在BGP/MPLS IP VPN组网中,VPN-Target属性用来对接收到的VPN路由或者标签块进行过滤。如果不配置VPN-Target,则会丢弃接收到的VPN路由或者标签块。
- 但在如下场景的特定设备上:•BGP/MPLS IP VPN骨干网上部署的反射器RR。
- •BGP/MPLS IP VPN跨域OptionB方式中的ASBR(不兼做PE)。
- 不会在其上创建VPN,也就不配置VPN-Target,这样会造成RR或者ASBR上不会保存VPN路由或者标签块。
- 但RR或者ASBR又需要保存所有PE发来的VPN路由或者标签块,为解决这个问题,需要在RR或者ASBR上配置undo policy vpn-target命令,不对VPN路由或者标签块进行VPN-Target过滤。
- 注意事项
- 配置undo policy vpn-target命令将会接收所有PE发来的VPN路由或者标签块,故该命令一般只应用在特定角色的设备上(RR或者ASBR)。
¶ lsp-trigger bgp-label-route
- lsp-trigger bgp-label-route和lsp-trigger命令都用于配置LDP LSP的触发建立策略。前者仅适用于带标签的公网BGP路由;后者适用于静态路由和IGP路由。
- label-route-capability
- 应用场景
- 使能或禁止发送标签路由能力时,BGP连接会自动断开,然后重新进行邻居能力协商。
- check-tunnel-reachable功能只能用来检查IPv4公网隧道是否可达。•如果使能check-tunnel-reachable功能,则当路由隧道不可达时向邻居发布IPv4单播路由,当隧道可达时发布标签路由。在VPN场景下,这样可以防止出现PE间建立MP-EBGP对等体成功而其中一段LSP建立失败,造成数据转发失败的情况。
- •如果不使能check-tunnel-reachable功能,则不论引入路由隧道是否可达均发布标签路由。