BGP协议之跨域VPN的组建

来源：塔塔 更新时间：2013-07-11

更多

当VPN站点跨越多个ISP时，此时需要PE设备在不同的as域之间进行vpn路由的交互，从而产生了跨域VPN的组建。

RFC 2547bis中提出了三种跨域VPN解决方案，分别是：

l VRF-to-VRF：ASBR间使用子接口管理VPN路由，也称为Inter-Provider Option A;

l EBGP Redistribution of labeled VPN-IPv4 routes：ASBR间通过MP-EBGP发布标签VPN-IPv4路由，也称为Inter-Provider Option B;

l Multihop EBGP redistribution of labeled VPN-IPv4 routes：PE间通过MP-EBGP发布标签VPN-IPv4路由，也称为Inter-Provider Option C。

ps:ASBR 为as域的边界路由。

网上已经有了很多关于跨域VPN的组建介绍，这里只是摘录了H3C文档中的一些描述，算是自己mark一下：

1. ASBR间使用子接口管理VPN路由

这种方式下，两个AS的PE路由器直接相连，PE路由器同时也是各自所在自治系统的边界路由器ASBR。

作为ASBR的PE之间通过多个子接口相连，两个PE都把对方作为自己的CE设备对待，使用传统的EBGP方式向对端发布IPv4路由。报文在AS内部作为VPN报文，采用两层标签转发方式;在ASBR之间则采用普通IP转发方式。

理想情况下，每个跨域的VPN都有一对子接口与之对应，用来交换VPN路由信息。

图 1 ASBR间使用子接口管理VPN路由组网图

使用子接口实现跨域VPN的优点是实现简单：两个作为ASBR的PE之间不需要为跨域进行特殊配置。

缺点是可扩展性差：作为ASBR的PE需要管理所有VPN路由，为每个VPN创建VPN实例。这将导致PE上的VPN-IPv4路由数量过于庞大。并且，为每个VPN单独创建子接口也提高了对PE设备的要求。

2. ASBR间通过MP-EBGP发布标签VPN-IPv4路由

这种方式下，两个ASBR通过MP-EBGP交换它们从各自AS的PE路由器接收的标签VPN-IPv4路由。

路由发布过程可分为以下步骤：

(1) AS 100内的PE先通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 100的边界路由器PE，或发布给为ASBR PE反射路由的路由反射器;

(2) 作为ASBR的PE通过MP-EBGP方式把标签VPN-IPv4路由发布给AS 200的PE(也是AS 200的边界路由器);

(3) AS 200的ASBR PE再通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 200内的PE，或发布给为PE反射路由的路由反射器。

这种方式的ASBR需要对标签VPN-IPv4路由进行特殊处理，因此也称为ASBR扩展方式。

图2 ASBR间通过MP-EBGP发布标签VPN-IPv4路由组网图

在可扩展性方面，通过MP-EBGP发布标签VPN-IPv4路由优于ASBR间通过子接口管理VPN。

采用MP-EBGP方式时，需要注意：

ASBR之间不对接收的VPN-IPv4路由进行VPN Target过滤，因此，交换VPN-IPv4路由的各AS服务提供商之间需要就这种路由交换达成信任协议;

VPN-IPv4路由交换仅发生在私网对等点之间，不能与公网交换VPN-IPv4路由，也不能与没有达成信任协议的MP-EBGP对等体交换VPN-IPv4路由。

3. PE间通过MP-EBGP发布标签VPN-IPv4路由

前面介绍的两种方式都能够满足跨域VPN的组网需求，但这两种方式也都需要ASBR参与VPN-IPv4路由的维护和发布。当每个AS都有大量的VPN路由需要交换时，ASBR就很可能成为阻碍网络进一步扩展的瓶颈。

解决上述可扩展性问题的方案是：ASBR不维护或发布VPN-IPv4路由，PE之间直接交换VPN-IPv4路由。

两个ASBR通过MP-IBGP向各自AS内的PE路由器发布标签IPv4路由。

ASBR上不保存VPN-IPv4路由，相互之间也不通告VPN-IPv4路由。

ASBR保存AS内PE的带标签的IPv4路由，并通告给其它AS的对等体。另一个自治系统中的ASBR也通告带标签的IPv4路由。这样，在入口PE和出口PE之间建立起一条LSP。

不同AS的PE之间建立Multihop方式的EBGP连接，交换VPN-IPv4路由。

图 3 PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由组网图

为提高可扩展性，可以在每个AS中指定一个路由反射器RR(Route Reflector)，由RR保存所有VPN-IPv4路由，与AS的PE交换VPN-IPv4路由信息。两个AS的RR之间建立跨域VPNv4连接，通告VPN-IPv4路由。如图 10所示。

图 4 采用RR的跨域VPN OptionC方式组网图

深圳塔塔咨询服务有限公司（简称塔塔IT）专注于IT前沿技术的传播与应用。公司与微软、Cisco、Oracle、IBM、Vmware、Citrix、EMC、HP、SAP等全球著名IT厂商建立长期合作伙伴关系，提供思科CCNA\CCNP\CCIE培训,微软MCSE\MCITP培训,Office培训,Oracle培训,JAVA培训,ITIL培训,PMP培训、CompTIA培训等多种IT认证培训以及IT服务、企业内训业务，是一家以IT高端培训、咨询服务、技术支持以及国际IT认证考试为核心业务的专业服务商。联系方式：深圳 0755-29152000