浅析域间MPLS VPN技术的两种方案
2014-08-08蒋磊
蒋磊
摘要:本文浅析了域间MPLS VPN技术的两种方案,即VRF-to-VRF方案和MP-EBGP方案。
关键词:域间MPLS VPN技术;方案
中图分类号:TP30 文献标识码:A
随着MPLS VPN技术的日趋流行,越来越多的大型企业开始考虑如何对自己的分支机构进行互连,由于这些机构在地理位置上较为分散,因此不太可能通过同一家ISP运营商来为其提供全部的VPN服务,换句话说就是这些机构可能分散在不同的自治系统之中,如何跨越自治系统来实现MPLS VPN技术就成了运营商们迫切需要解决的问题。在RFC2547bis中定义了三种技术方案,分别是VRF-to-VRF方案、MP-EBGP方案以及路由反射器之间的多跳MP-EBGP方案,这三种方案简称为Option A、Option B和Option C。本文仅介绍前两种方案。
VRF-to-VRF方案
VRF-VRF方案在技术层面上实施起来较为简单,当VPN客户数量和VPN路由数量都比较少的时候可以采用这样一种方案,目前在ISP运营商内部应用较多的也是这种方案。该方案实施的重点主要体现在ASBR的配置上,就是图中绿色虚线包括的范围,具体表现在两方面:如何支持多客户,因为ASBR之间只有一根线缆,如果只让一对VPN客户使用,那么对于其他VPN客户来说势必要再增加线缆投入,对运营商来说成本太高;如何在ASBR之间跨域交互VPN路由。针对第一个问题,可以把ASBR之间的链路使用子接口连接起来,也就是将ASBR之间的物理接口划分成多个子接口,每个子接口对应本地不同的VRF,一对VRF使用一对子接口,这样就很好的解决了对多客户支持的难题。针对第二个问题,可以在两个ASBR之间运行动态路由协议,比如OSPF或BGP,如果使用OSPF,则需要在ASBR-PE1上将BGP路由重分布进OSPF进程中,对端ASBR-PE2在学到后同样要把OSPF路由重分布进BGP进程中,相对BGP来说较为繁琐。需要注意的是,当VPN客户之间产生流量时,数据的封装会发生一系列变化,依次为IP数据包、MPLS标签包、VPN标签包、IP数据包、MPLS标签包、VPN标签包、IP数据包,这说明流量穿越了两条独立的LSP。
该方案的缺点主要表现在多VRF的维护与配置上,当VPN客户数量和路由数量较多时,不建议使用该方案,同时由于边界设备之间没有运用MPLS技术,所以扩展性较差。
MP-EBGP方案
MP-EBGP方案如同它名字一样是在ASBR-PE之间建立起MP-EBGP邻居关系,然后利用这层关系来跨域传递VPN客户的私网路由,由于ASBR-PE上不再需要实施VRF技术,因此大大简化了对VRF的配置和维护工作,在VPN客户较多的场合中,这种优势更为明显,总的来说该方案比较适合中等规模的VPN跨域需求,它的基本模型如图1所示。
从图中可以看出,ASBR上并没有配置VRF,相比VRF-to-VRF方案,该方案的配置会比较简单,主要体现在两个ASBR-PE设备上。首先,在ASBR-PE之间建立起MP-EBGP邻居关系,然后分别关闭ASBR-PE1和ASBR-PE2上的RT过滤功能,该功能默认是开启的,这样做的目的是为了让ASBR-PE收到来自MP-IBGP邻居发来的VPN路由。其次,当邻居关系建好以后,ASBR-PE设备会自动完成三个动作:形成一条去往对端接口的主机路由;在接口下使能MPLS BGP的转发功能;在LFIB表中为该主机路由形成标签。最后,当ASBR-PE设备将域外的VPN路由传递给它的MP-IBGP邻居时,下一跳默认是不变的,会带来一定的安全风险的,因此在建立MP-IBGP邻居关系时,需要执行next-hop-self命令以指定自己为该VPN路由的下一跳。
VPN路由经过PE1传给了ASBR-PE1,再通过ASBR-PE1传给了ASBR-PE2,最后由ASBR-PE2传给了PE2,路由的下一跳经历了三次变化,也就需要交换三次MPLS标签,其中ASBR-PE间的MPLS标签是看不见的,因为彼此都是自己的倒数第二跳,所以标签会被弹出。同时VPN标签也会交换三次,因为不同的下一跳都为VPN路由分配了VPN标签。
该方案的优点是不用为每个VPN客户都去创建和维护VRF,解决了Option A方案中的扩展性问题,缺点是ASBR-PE设备需要维护大量的VPNv4路由,对其性能是一大考验,当网络规模较大时,ASBR-PE设备将会不堪重负,解决的办法是使用多个ASBR-PE设备进行负载分担。
二种跨域方案间的对比
两种跨域方案对VPNv4路由的感知是相同的,Option A和Option B中的ASBR-PE可以感知VPNv4路由的存在。与此同时,不同跨域方案的扩展性、安全性以及维护性也都不相同,在实际应用中选择哪种方案应根据情况而定,当VPN客户数量和VPN路由数量较少的时候,可以选择Option A方案,而当VPN客户数量和VPN路由数量较为适中的时候,可以选择Option B方案。
参考文献
[1]薛戈丽.组建基于MPLS VPN的IP城域网网络方案[J].中国科技信息,2005(15):137.
