51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

BGP协议之跨域VPN的组建

作者:jonas_mao
网络 网络管理
作为ASBR的PE之间通过多个子接口相连,两个PE都把对方作为自己的CE设备对待,使用传统的EBGP方式向对端发布IPv4路由。报文在AS内部作为VPN报文,采用两层标签转发方式;在ASBR之间则采用普通IP转发方式。

当VPN站点跨越多个ISP时,此时需要PE设备在不同的as域之间进行vpn路由的交互,从而产生了跨域VPN的组建。

RFC 2547bis中提出了三种跨域VPN解决方案,分别是:

l VRF-to-VRF:ASBR间使用子接口管理VPN路由,也称为Inter-Provider Option A;

l EBGP Redistribution of labeled VPN-IPv4 routes:ASBR间通过MP-EBGP发布标签VPN-IPv4路由,也称为Inter-Provider Option B;

l Multihop EBGP redistribution of labeled VPN-IPv4 routes:PE间通过MP-EBGP发布标签VPN-IPv4路由,也称为Inter-Provider Option C。

ps:ASBR 为as域的边界路由。

网上已经有了很多关于跨域VPN的组建介绍,这里只是摘录了H3C文档中的一些描述,算是自己mark一下:

1. ASBR间使用子接口管理VPN路由

这种方式下,两个AS的PE路由器直接相连,PE路由器同时也是各自所在自治系统的边界路由器ASBR。

作为ASBR的PE之间通过多个子接口相连,两个PE都把对方作为自己的CE设备对待,使用传统的EBGP方式向对端发布IPv4路由。报文在AS内部作为VPN报文,采用两层标签转发方式;在ASBR之间则采用普通IP转发方式。

理想情况下,每个跨域的VPN都有一对子接口与之对应,用来交换VPN路由信息。

图 1 ASBR间使用子接口管理VPN路由组网图

使用子接口实现跨域VPN的优点是实现简单:两个作为ASBR的PE之间不需要为跨域进行特殊配置。

缺点是可扩展性差:作为ASBR的PE需要管理所有VPN路由,为每个VPN创建VPN实例。这将导致PE上的VPN-IPv4路由数量过于庞大。并且,为每个VPN单独创建子接口也提高了对PE设备的要求。

2. ASBR间通过MP-EBGP发布标签VPN-IPv4路由

这种方式下,两个ASBR通过MP-EBGP交换它们从各自AS的PE路由器接收的标签VPN-IPv4路由。

路由发布过程可分为以下步骤:

(1) AS 100内的PE先通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 100的边界路由器PE,或发布给为ASBR PE反射路由的路由反射器;

(2) 作为ASBR的PE通过MP-EBGP方式把标签VPN-IPv4路由发布给AS 200的PE(也是AS 200的边界路由器);

(3) AS 200的ASBR PE再通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 200内的PE,或发布给为PE反射路由的路由反射器。

这种方式的ASBR需要对标签VPN-IPv4路由进行特殊处理,因此也称为ASBR扩展方式。

图2 ASBR间通过MP-EBGP发布标签VPN-IPv4路由组网图

在可扩展性方面,通过MP-EBGP发布标签VPN-IPv4路由优于ASBR间通过子接口管理VPN。

采用MP-EBGP方式时,需要注意:

ASBR之间不对接收的VPN-IPv4路由进行VPN Target过滤,因此,交换VPN-IPv4路由的各AS服务提供商之间需要就这种路由交换达成信任协议;

VPN-IPv4路由交换仅发生在私网对等点之间,不能与公网交换VPN-IPv4路由,也不能与没有达成信任协议的MP-EBGP对等体交换VPN-IPv4路由。

3. PE间通过MP-EBGP发布标签VPN-IPv4路由

前面介绍的两种方式都能够满足跨域VPN的组网需求,但这两种方式也都需要ASBR参与VPN-IPv4路由的维护和发布。当每个AS都有大量的VPN路由需要交换时,ASBR就很可能成为阻碍网络进一步扩展的瓶颈。

解决上述可扩展性问题的方案是:ASBR不维护或发布VPN-IPv4路由,PE之间直接交换VPN-IPv4路由。

两个ASBR通过MP-IBGP向各自AS内的PE路由器发布标签IPv4路由。

ASBR上不保存VPN-IPv4路由,相互之间也不通告VPN-IPv4路由。

ASBR保存AS内PE的带标签的IPv4路由,并通告给其它AS的对等体。另一个自治系统中的ASBR也通告带标签的IPv4路由。这样,在入口PE和出口PE之间建立起一条LSP。

不同AS的PE之间建立Multihop方式的EBGP连接,交换VPN-IPv4路由。

图 3 PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由组网图

为提高可扩展性,可以在每个AS中指定一个路由反射器RR(Route Reflector),由RR保存所有VPN-IPv4路由,与AS的PE交换VPN-IPv4路由信息。两个AS的RR之间建立跨域VPNv4连接,通告VPN-IPv4路由。如图 10所示。

图 4 采用RR的跨域VPN OptionC方式组网图

原文博客:http://blog.chinaunix.net/uid-26421509-id-3055889.html

责任编辑:张存 来源: 博客
BGP协议VPN组建BGP
相关推荐
MPLS VPN实现方法及特点
随着ALLIP趋势的明朗,运营商建设统一的IP承载网已经势在必行,各种业务承载在一张IP网络上,为了保证不同业务的QOS水平,业务之间的有效隔离成为大家关注的一个焦点,下面我们给大家介绍一下MPLSVPN跨域实现方法及特点。

2011-11-07 11:15:31

VPNOptionA配置深入介绍
CE1和CE2属于同一个跨域VPN。CE1通过AS100的PE1接入,CE2通过AS200的PE2接入。采用OptionA方式实现跨域的BGPMPLSIPVPN,即,采用VRFtoVRF方式管理VPN路由。

2009-12-28 14:21:44

WatchGuard组建大型VPN 网络
作为全球知名企业,尚德公司在企业内部网络通讯方面投入了巨资,采购多台WatchGuard设备组建公司的VPN网络。

2010-06-29 16:56:48

WatchGuard组建大型VPN网络
某公司于2004年被PhotonInternational评为全球前十位太阳电池制造商,2005年位居世界同行第八。作为全球知名企业,该公司在企业内部网络通讯方面投入了巨资,采购多台WatchGuard设备组建公司的VPN网络。

2010-05-11 10:22:28

虚拟路由技术 在IP城域网中组建VPN应用
目前,大多数城市都已经建设了IP宽带城域网,许多城市的城域网还进行了二次或三次扩容。其比较流行的建设方式是利用路由器加交换机组成骨干通信网络,再配置一些宽带接入服务器来终结宽带用户。而城域网上用户的需求各种各样,VPN就是其中的一个热点问题。

2009-04-14 10:59:00

城域网虚拟路由VPN
虚拟路由技术 在IP城域网中组建VPN应用
充分利用现有宽带接入服务器,利用虚拟路由域技术实现VPN是一个比较切合实际和可行的方法。

2009-04-17 09:16:44

IP城域网组建VPN
CCNP配置实验CCNP-BGP/MPLS VPN配置
本文分步详细讲解了CCNP配置实验之CCNPBGPMPLSVPN配置实验,分为配置接口和IGP,定义VPN,配置PEPE的路由会话,配置PECE的路由会话,配置CE路由器几部分。

2009-09-02 16:24:44

CCNP配置实验MPLS
Web前端“神秘”方式
JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。那什么是跨域呢,简单地理解就是因为JavaScript同源策略的限制,a.com域名下的js无法操作b.com或是c.a.com域名下的对象。

2018-11-26 14:52:12

Web前端跨域
校园无线局域网组建实例协议分析
802.11协议、蓝牙标准和HomeRF工业标准是无线局域网所有标准中最主要的竞争对手。它们各有优劣,各有自己擅长的应用领域,有的适合于办公环境,有的适合于个人应用,有的则一直被家庭用户所推崇。

2011-08-17 14:12:15

无线局域网
简单介绍BGP协议
BGP协议是一种路由协议,这个协议知道的人并不是很多。因为这种协议使用的比较困难,尤其在检验方面更是不容易。今天我们先来简单认识一下它。

2010-06-12 14:44:54

BGP协议
BGP路由协议规划问题
BGP路由协议的相关部署内容我们在文章中来简单讨论一下。希望对大家有所帮助,那么请大家浏览文章内容,了解BGP路由协议的部署问题。

2010-07-05 16:28:18

BGP路由协议
BGP路由协议同步特点
下面我们来对BGP路由协议的同步特性进行一下分析。那么这个路由协议的一些特点以及和其他路由协议的区别我们做了简单地介绍。

2010-07-12 16:07:14

BGP路由协议
BGP/MPLS VPN几个关键性概念
BGPMPLSVPN的安全举措之一就是路由隔离和信息隔离,它是通过VPN路由转发(VPNRouting&&Forwarding:VRF)表和MPLS中的LSP来实现的。

2012-01-04 10:32:09

组建宿舍网相关协议简介
组建宿舍网是为只需要与别的在同一个网络上的计算机会话这一目的话设计的。在win9x&me中,当你在IPXSPX中选定“希望在IPXSPX启用NetBIOS”后,在TCPIP的设置中可以选定“通过TCPIP启用NetBIOS”。

2009-12-18 17:05:01

组建宿舍网
IPsec VPN基础:IPsec VPN相关概念与协议
本篇文章主要讲解了IPsecVPN的一些基础概念和有关的协议,希望对网管员们能够有所帮助。

2011-11-25 13:34:56

IPsec VPNIPsec VPN协议
Cors(二):实现Cookie共享三要素
本文主角是大家耳熟能详的Cookie,聊聊它在跨域情况下如何实现“共享”大家都知道Cookie是需要遵守同源策略(SameSite)的,本文将以跨域Cookie信息共享为场景,进一步加深对Cors的了解。

2021-06-15 07:32:59

Cookie和Sess实现跨域
迁移学习与推荐,以及解决推荐方法
迁移学习(TransferLearning,TL)是属于机器学习的一种研究领域。本文主要是详细介绍一下跨域推荐

2021-04-27 15:20:41

人工智能机器学习技术
Web安全技术浏览器访问
对于Web应用来说,浏览器是最重要的客户端。目前浏览器五花八门多得不得了,除了Chrome、IE、Firefox、Safari、Opera这些国外的浏览器外,百度、腾讯、360、淘宝、搜狗、傲游之类的,反正能做的都做了。

2015-04-24 10:37:40

Web安全浏览器跨域访问
IKE协议不保VPN安全
IKE协议是用于交换和管理在VPN中使用的加密密钥的,但是IETF认为IKE过于复杂,而这种复杂性可能会带来某些安全漏洞。因此,IETF就有关IKE协议(InternetKeyExchange)的前景问题进行了专门的讨论。

2009-09-02 15:05:06

VPN安全
BGP路由协议“优”和“患”
互联网中,少不了协议的支持。下面我们主要讲述了BGP路由协议这个标准的一些特点。在使用中,还会有些问题值得注意。下面我们就来详细分析下。

2010-06-25 15:07:10

BGP路由协议
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服