一.简介
MPLS,称之为多协议标签交换,在九十年代中期被提出来,用于解决传统IP报文依赖查表转发而产生的瓶颈,现多用于VPN技术,MPLS报头封装在数据链路层之上,网络层之下。本文为结合了华为技术和新华三技术的大成,即结合了HCIA,HCIP,HCIE Datacom和H3CNE-RS+,H3CSE-RS+,H3CIE-RS+。本文将主要介绍MPLS VPN的部署与应用,博主将会在MPLS专栏中持续更新关于MPLS的进阶内容。
二.前言
BGP/MPLS IP VPN因其支持地址空间重叠、组网方式灵活、可扩展性好,并能够方便地支持MPLS TE等一系列优点,已经在广域IP承载网络得到了广泛的应用。针对不同客户的业务需求以及组网情况,MPLS VPN的部署方式不尽相同。本文章将介绍几种常见的MPLS VPN应用场景与这些场景下MPLS VPN的部署方法,此外还将介绍OSPF对MPLS VPN的扩展特性与功能。
三.MPLS VPN应用与组网概述
1.MPLS VPN典型应用
目前,MPLS VPN的主要应用包括企业互连和虚拟业务网络。
企业互连应用:可通过MPLS VPN将分布在各地的分支机构和合作伙伴的IP网络连接在一起;虚拟业务网络:可在同一物理网络上运行多种业务,如VoIP、IPTV等,为每个业务建立一个VPN,实现业务隔离。
2.MPLS VPN基本组网:Intranet
当采用Intranet组网方案时,一个VPN中的所有用户形成闭合用户群,相互之间能够进行流量转发,VPN中的用户不能与任何本VPN以外的用户通信,其站点通常是属于同一个组织。
3.MPLS VPN基本组网:Extranet
当采用Extranet组网方案时,VPN用户可将部分站点中的网络资源给其他VPN用户进行访问。
4.MPLS VPN基本组网:Hub&Spoke
当采用Hub&Spoke方案时,可以将多个站点中的一个站点设置为Hub站点,其余站点为Spoke站点。站点间的互访必须通过Hub站点,通过Hub站点集中管控站点间的数据传输。
从Site1到Site2的路由发布过程如下:
5.MCE组网
当一个私网需要根据业务或者网络划分VPN时,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置一台CE将增加用户的设备开支和维护成本。具有MCE(Multi-VPN-Instance,CE多实例CE)功能的CE设备可以在MPLS VPN组网应用中承担多个VPN实例的CE功能,减少用户网络设备的投入。
6.MPLS VPN跨域组网
随着MPLS VPN解决方案的广泛应用,服务的终端用户的规格和范围也在增长,在一个企业内部的站点数目越来越大,某个地理位置与另外一个服务提供商相连的需求变得非常的普遍,例如国内运营商的不同城域网之间,或相互协作的运营商的骨干网之间都存在着跨越不同自治系统(AS,Autonomous System)的情况。一般的MPLS VPN体系结构都是在一个AS内运行,任何VPN的路由信息都是只能在一个AS内按需扩散。AS之间的MPLS VPN部署需要通过跨域(Inter-AS)MPLS VPN解决方案来实现。
在BGP/MPLS IP VPN组网中,一个VPN实例仅能与其他VPN-Target相匹配的VPN实例相互通信,但是VPN实例无法与公网或其他VPN-Target不匹配的VPN实例中的用户相互通信。用户可以配置不同实例的路由相互引入功能。配置不同实例的路由相互引入功能可以分为两种类型:
公网与私网的路由相互引入功能。不同私网间的路由相互引入功能。
四.MPLS VPN典型场景部署介绍
1.Intranet场景
(1)部署Intranet场景的MPLS VPN
如图所示,客户X及Y各自有2个站点,现需要通过MPLS VPN实现站点之间的互联,分别对应VPN X和VPN Y;互联接口、AS号及IP地址信息,CE与PE通过如图的协议或方法交换路由信息;
(2)PE-CE之间部署OSPF1
(3)PE-CE之间部署OSPF2
(4)PE-CE之间部署静态路由
(5)PE-CE之间部署EBGP
(6)特殊场景下的BGP配置:AS号替换
在MPLS VPN场景中,若PE与CE之间运行EBGP交互路由信息,则可能会出现两个站点的AS号相同的情况。
若CE1通过EBGP向PE1发送一条私网路由,并经过PE2发送到CE2,则CE2会由于AS号重复丢弃这条路由导致属于同一VPN的Site 1和Site 2之间无法连通。可以在PE上执行peer substitute-as命令使能AS号替换功能,即PE用本地AS号替换收到的私网路由中CE所在VPN站点的AS号,这样对端CE就不会因为AS号重复而丢弃路由了。
(7)特殊场景下的BGP配置:SoO
在CE多归属场景,若使能了BGP的AS号替换功能,可能会引起路由环路,需要So0(Site ofOrigin)特性来避免环路。
CE1与CE3处于同一个VPN站点1,CE2位于站点Site2,site1和Site2站点所在的AS号都为65001。PE与CE之间运行的都是EBGP路由协议,为了Site1和Site2之间的路由可以正常学习,需要在PE1和PE2上配置AS号替换功能。CE1传递站点内的路由给PE1,PE1传递该路由给CE3,由于配置AS号替换,CE3会接收该路由,可能会导致产生路由环路。
(8)PE-CE之间部署IS-IS
2.Hub&Spoke场景
(1)部署Hub&Spoke场景的MPLS VPN
Hub&Spoke有以下组网方案:
方式-:Hub-CE与Hub-PE,Spoke-PE与Spoke-CE使用EBGP。方式二:Hub-CE与Hub-PE,Spoke-PE与Spoke-CE使用IGP。方式三:Hub-CE与Hub-PE使用EBGP,Spoke-PE与Spoke-CE使用IGP。 无法通过Hub-CE与Hub-PE使用IGP,Spoke-PE与Spoke-CE使用EBGP来部署Hub&Spoke组网的MPLS VPN。
(2)VRF配置
Spoke-PE上创建一个VPN实例,RT配置如图。Hub-PE上创建VPN_in和VPN_out两个VPN实例,分别用于从Spoke-PE接收私网路由或向Spoke-PE发布私网路由,RT配置如图。
(3)方式一:路由发布过程
Spoke-CE与Spoke-PE之间通过EBGP交互路由信息,建立EBGP连接后,把相关的路由发布到BGP即可。Hub-PE与Hub-CE之间建立两条EBGP连接,分别用来发布和接收私网路由。
以路由从Spoke-CE1发布到Spoke-CE2为例,大体过程如下:
Spoke-CE1通过EBGP将路由发布给Spoke-PE1。Spoke-PE1通过IBGP将该路由发布给Hub-PE。Hub-PE通过VPN实例(VPN in)的lmport Target属性将该路由引入VPN _in路0由表,并通过EBGP发布给Hub-CE。Hub-CE通过EBGP连接学习到该路由,并通过另一个EBGP连接将该路由发布给0Hub-PE的VPN实例(VPN out)。Hub-PE发布携带VPN_out的Export Target属性的路由给所有Spoke-PE。Spoke-PE2通过EBGP将该路由发布给Spoke-CE2。
(4)方式一:Hub-PE与Hub-CE间配置
Hub-PE通过VPN in对应的EBGP连接将从Spoke站点学习的路由发布到Hub站点。Hub-CE通过VPN out对应的EBGP将这些路由发布到Spoke站点。
(5)方式二:路由发布过程
以选用OSPF作为IGP协议为例:
Spoke-CE与Spoke-PE之间通过OSPF(进程100)邻居关系交互路由信息。Hub-PE通过两个OSPF进程与Hub-CE建立OSPF邻居,分别负责私网路由的发送和接收。
以路由从Spoke-CE1发布到Spoke-CE2为例,大体过程如下:
Spoke-CE1通过OSPF100将路由发布给Spoke-PE1。Spoke-PE1通过IBGP将路由发布给Hub-PE。Hub-PE通过VPN实例(VPN in)的lmport Target属性将该路由引入VPN in路0由表;通过将BGP引入OSPF100的配置进而将从Spoke-PE1传递来的路由发布给Hub-CE。Hub-CE通过OSPF100接收该路由;并通过配置路由引入将路由发布到OSPF2000OSPF200再将路由发布给Hub-PE。Hub-PE的BGP-VPN实例(VPN out)引入OSPF200多实例的路由,将携带Export Target属性的路由发布给所有Spoke-PE。Spoke-PE2通过OSPF100将该路由发布给Spoke-CE2。
(6)方式二:Hub-PE与Hub-CE间配置
Hub-PE通过VPN in对应的OSPF(进程100)将从Spoke站点学习的路由发布到Hub站点。Hub-CE通过VPN_out对应的OSPF(进程200)将这些路由发布到Hub-PE,进而发布给所有Spoke站点。
(7)方式三:路由发布过程
以选用OSPF作为IGP协议为例,Spoke-CE与Spoke-PE之间通过OSPF(进程100)邻居关系交互路由信息。Hub-PE与Hub-CE之间建立两条EBGP连接,分别用来发布和接收私网路由,Hub-PE与Hub-CE的配置与方式一相同。
以路由从Spoke-CE1发布到Spoke-CE2为例,大体过程如下:
Spoke-CE1通过OSPF100将路由发布给Spoke-PE1。Spoke-PE1通过IBGP将路由发布给Hub-PE。Hub-PE通过VPN实例(VPN in)的lmport Target属性将该路由引入VPN in路0由表,并通过EBGP发布给Hub-CE。Hub-CE通过EBGP连接学习到该路由,并通过另一个EBGP连接将该路由发布给Hub-PE的VPN实例(VPN out)。Hub-PE发布携带VPN out的Export Target属性的路由给Spoke-PE2。Spoke-PE2通过OSPF100将该路由发布给Spoke-CE2。