您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

MPLS VPN跨域互联改造?

时间:2020-12-15 11:22:54  来源:  作者:

内容简介

MPLS VPN跨域互联有三种方式,分别是Option-A、Option-B、Option-C。这三种方式各自有各自的优缺点,你不能说某种跨域方式就能完全替代另外一种。但有时候,遇到两个ASBR之间的链路有特殊情况时(例如中间有防火墙),用Option-B方式跨域互联,就会使得防火墙无法识别ASBR之间的数据包。

 

本案例为大家讲解一个案例,当ASBR之间有防火墙的时候,为了能让防火墙识别IP数据包,需要将Option-B改为Option-A。在做改造的时候,需要哪些注意事项,又如何验证,本案例都会为大家一一说明。

 

二、案例前置知识点

 

2.1 MPLS VPN 跨域技术简介

 

随着MPLS VPN 部署的扩大,在提供服务的骨干网络中,跨越不同服务提供商管理边界的跨域部署成为必然的要求。跨域 VPN 的建立过程经过近几年的实践和快速发展,业界提出了几种 VPN 跨域方法,即 OPTION A/B/C 三种。

 

MPLS VPN跨域技术突破单个服务提供商管理域的限制,扩展了 MPLS VPN 架构的灵活性,使得部署方式满足了不断扩展的网络部署要求,成为一种非常成熟的 VPN业务部署架构。

 

MPLS L3VPN跨域方式包含三种可选方式:

 

  • Option A :背靠背 back to back VRF
  • Option B :单跳多协议 MP eBGP
  • Option C :多跳多协议 MP eBGP

OPTION A跨域也叫做背靠背跨域,即两个 AS 的边界路由器 ASBR 互相作为 PE和 CE 。采用这种方式,在域内各自配置 MPLS VPN 网络,对于跨越自治域的 VPN ,需要 ASBR 充当 VPN 的 PE 设备,在 ASBR 设备上要配置该 VPN 对应的 VRF ,并且为该VRF 分配一个接口(可以是逻辑接口),两个 ASBR 之间属于同一 VPN 的接口互相连接,如图所示:

「案例」MPLS VPN跨域互联改造?(二)

 

对于本端自治域的VPN ASBR 充当 PE 角色,导入该 VPN 的所有路由。对于对端自治域的 VPN ASBR 充当 CE 角色,通过与对端 ASBR 之间的 eBGP 来学习对端 VPN的路由,然后再分发到本端 VPN 的所有 PE 设备中去。当进行报文转发时,域内使用两层标签转发,到达 ASBR 后,作为普通 IP 报文发送给对端 ASBR 。

 

优点:

 

VPN 隧道构建比较简单, ASBR 之间不需要运行 MPLS ,所以 ASBR 之间的数据包是标准的 IP 数据包 。

 

缺点:

 

ASBR 要维护所有 VPN 的路由,并且要为每一个跨域的 VPN 分配一个接口,因此存在可扩展性 不强 的问题。

 

OPTION B跨域也叫单跳 MP EBGP 跨域, AS 内通过正常的 MPLS/BGP 传递 VPN信息和构建 LSP 隧道, AS 之间通过单跳的 MP EBGP 协议传递 VPN 信息并构建 LSP隧道。如图所示:

「案例」MPLS VPN跨域互联改造?(二)

 

该方式需要在ASBR 之间运行 MP eBGP ,当 ASBR 学习到本端自治域 PE 所通告的VPN 路由后,进行一个标签替换,将路由信息和新的标签通告给对端 ASBR 。在进行报文转发时,域内使用两层标签转发, ASBR 之间采用一层标签转发,并且根据实现的细节可能需要在 ASBR 上完成对内层标签的替换。

 

优点:

 

ASBR 之间一条链路传递所有 VPN 信息。不需要 ASBR 为每个 VPN 配置VRF ,不需要导入 VPN 路由,不需要为每个 VPN 分配接口。

 

缺点:

 

ASBR 仍需要维护所有的 VPN 路由,并且为每个标签分配新的标签,在本地安装新老标签转换的 ILM 表项,因此对于 ASBR 路由器的设备性能要求比较高。由于本案例不 涉及 Option C ,且 Option C 使用较少,所以本文就不再介绍 Option C了。需要这方面知识的小伙伴可以自行百度查找资料。

 

2.2 Option A 跨域技术关键配置

 

对于 Option A ,实现思路比较简单,也就是 ASBR 之间创建多个互联地址,每个互联地址绑定在不同的 VRF 中,然后每个 VRF 创建一个 BGP 邻居 。如果 VRF 的数量多,则需要分配的互联地址就会越多,创建 BGP 邻居的数量就越多。

「案例」MPLS VPN跨域互联改造?(二)

 

如上图,在 R1 R2 之间,有 RED 和 BLUE 两个 VRF 。RED 中的互联地址是100.12.1.0/30 BLUE 中的互联地址是 100.21.1.0/30 。所以,在 R1 和 R2 之间需要创建两个互联地址,分别是 RED VRF 和 BLUE VRF 的:

 

R1上配置互联地址

router bgp 65230
address family ipv4 vrf BLUE
neighbor 100.12.11.2 remote as 65231
neighbor 100.12.11.2 activate
exit address family
address family ipv4 vrf RED
neighbor 100.21.1.2 remote as 65231
neighbor 100.21.1.2 activate
exit address family

 

R2上配置互联地址

router bgp 65231
address family ipv4 vrf BLUE
neighbor 100.12.11.1 remote as 65230
neighbor 100.12.11.1 activate
exit address family
address fa mily ipv4 vrf RED
neighbor 100.21.1.1 remote as 65230
neighbor 100.21.1.1 activate
exit address family

 

然后, 针对每一个 VRF 创建一个 eBGP 邻居:

 

R1上的配置

router bgp 65230
address family ipv4 vrf BLUE
neighbor 100.12.11.2 remote as 65231
neighbor 100.12.11.2 activate
exit address family
address family ipv4 vrf RED
neighbor 100.21.1.2 remote as 65231
neighbor 100.21.1.2 activate
exit address family

 

R2上的配置

interface Ethernet0/0
ip address 100.12.1.1 255.255.255.252
mpls bgp forwarding
router bgp 65230
no bgp default route
label filter
neighbor 100.12.1.2 remote as 65231
address family ipv4
neighbor 100.12.1.2 activate
!
address family vpnv4
neighbor 100.12.1.2 activate
neighbor 100.12.1.2 send community extended

 

2.3 Option B 跨域技术关键配置

 

对于 Option B ASBR 之间只需要一对互联地址,然后 ASBR 之间分别创建 IPv4族的 BGP 邻居(传递公网路由), vpnv4 地址族的 BGP 邻居(传递私网路由)。但是, ASBR 之间的互联链路需要支持 MPLS 标签。

「案例」MPLS VPN跨域互联改造?(二)

 

如上图所示, R1 与 R2 两台 ASBR 之间只需要一组互联地址,而 R1 和 R2 之间需要建立 IPv4 地址族下的 eBGP 邻居和 vpnv4 地址族下的 eBGP 邻居。且互联接口需要支持标签分发。

 

R1上的配置:

interface Ethernet0/0
ip address 100.12.1.1 255.255.255.252
mpls bgp forwarding
router bgp 65230
no bgp default route
label filter
neighbor 100.12.1.2 remote as 65231
address family ipv4
neighbor 100.12.1.2 activate
!
address family vpnv4
neighbor 100.12.1.2 activate
neighbor 100.12.1.2 send community extended

 

R2上的配置:

interface Ethernet0/0
ip address 100.12.1.2 255.255. 255.252
mpls bgp forwarding
router bgp 65231
no bgp default route
label filter
neighbor 100.12.1. 1 remote as 6523 0
address family ipv4
neighbor 100.12.1. 1 activate
!
address family vpnv4
neighbor 100.12.1. 1 activate
neighbor 100.12.1. 1 send community extended

未完待续



Tags:MPLS VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1 MPLS提出的意义传统的IP数据转发是基于逐跳式的,每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原因是两个...【详细内容】
2021-05-10  Tags: MPLS VPN  点击:(254)  评论:(0)  加入收藏
内容简介MPLS VPN跨域互联有三种方式,分别是Option-A、Option-B、Option-C。这三种方式各自有各自的优缺点,你不能说某种跨域方式就能完全替代另外一种。但有时候,遇到两个ASBR...【详细内容】
2020-12-15  Tags: MPLS VPN  点击:(305)  评论:(0)  加入收藏
随着MPLS VPN解决方案的广泛应用,服务的终端用户的规格和范围也在增长,在一个企业内部的站点数目越来越大,某个地理位置与另外一个服务提供商相连的需求变得非常的普遍,例如国内...【详细内容】
2020-08-17  Tags: MPLS VPN  点击:(129)  评论:(0)  加入收藏
一、了解MPLS背景1、传统的 IP 数据转发是基于逐跳式的,每个转发数据的路由器都要根据 IP 包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原...【详细内容】
2019-11-25  Tags: MPLS VPN  点击:(749)  评论:(0)  加入收藏
▌简易百科推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  K佬食古    Tags:shell   点击:(1)  评论:(0)  加入收藏
步骤1、配置 /etc/sysconfig/network-scripts/ifcfg-eth0 里的文件。it动力的CentOS下的ifcfg-eth0的配置详情:[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifc...【详细内容】
2021-12-24  忆梦如风    Tags:网卡   点击:(9)  评论:(0)  加入收藏
1、查找当前目录下所有以.tar结尾的文件然后移动到指定目录find . -name “*.tar” -execmv {}./backup/ ;注解:find –name 主要用于查找某个文件名字,-exec 、xargs可...【详细内容】
2021-12-17  郭主任    Tags:运维   点击:(19)  评论:(0)  加入收藏
对于经常上网的朋友来说,除了手机购物上网,pc端玩网页游戏还是很多小伙伴首选的,但是有时候明明宽带链接上了,打开浏览器却出现上不了网的现象,下面小编要来跟大家说说电脑有网络...【详细内容】
2021-12-16  小白系统    Tags:网页无法打开   点击:(28)  评论:(0)  加入收藏
在访问像github、gitlab这样的外国网站时,很有可能会出现页面加载不出来或找不到页面的错误。这时候有的朋友就会以为是网络的问题,于是把Wifi断掉连上自己手机的热点,结果却还...【详细内容】
2021-12-15  启施技术IT狼叔    Tags:外网   点击:(14)  评论:(0)  加入收藏
网络地址来源:获取公网IP地址 https://ipip.yy.com/get_ip_info.phphttp://pv.sohu.com/cityjson?ie=utf-8http://www.ip168.com/json.do?view=myipaddress...【详细内容】
2021-12-15  韦廷华12    Tags:外网ip   点击:(14)  评论:(0)  加入收藏
准备好软件IPOP、用ENSP模拟一下华为交换机 启动交换机 <Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname FTPClient[FTPClient]interface vla...【详细内容】
2021-12-15  思源Edward    Tags:交换机   点击:(22)  评论:(0)  加入收藏
我们经常用到netstat命令查看主机连接状况,包括连接ip、端口、状态等,今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里,格式如下:Pro...【详细内容】
2021-12-14  K佬食古    Tags:netstat   点击:(19)  评论:(0)  加入收藏
什么是滑动窗口?窗口是操作系统开辟的一块缓存空间,发送方在收到接收方ACK应答之前,必须在缓冲区保留已发送的数据,如果按期收到确认应答,数据就可以从缓冲区移除。什么是滑动窗...【详细内容】
2021-12-14  DifferentJava    Tags:TCP   点击:(28)  评论:(0)  加入收藏
概述日常管理华为路由设备过程中,难为会忘记设备登录密码,那么该如何重置设备登录密码吗?本期文章将全面向各位小伙伴总结分享。重置华为设备登录密码思路先行 采用console登录...【详细内容】
2021-12-10  onme0    Tags:   点击:(27)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条