这种方式也叫2.5层VPN。2.5层VPN功能是对二层VPN的扩展,可以提供将某种客户接口介质类型转换为另一种客户接口介质类型的功能,从而使使用不同接口介质类型的用户站点可以接入同一VPN实现互连。
在进行网络汇聚的过程中,骨干网及其用户经常需要将多个VPN站点连接起来,即使这些站点没有使用相同的二层接入技术。例如,某企业可能会希望将所有站点统一部署到一个单一帧中继二层VPN中,但又不想替换少数几个传统ATM站点上的所有电路和设备。许多网络设计人员都认为以太网是最终的接入技术,因为它简单、快速而且随处适用。然而遗憾的是,直到最近以太网才成为一种VPN技术,而且向它的转变需要很长时间。许多用户表示对逐步迁移到VPLS 很感兴趣 -- 这意味着将通过以太网连接来添加VPN新站点,但不需同时迁移他们原有的所有VPN站点,因为这将需要大量的工作。第2.5层VPN可以帮助他们实现这一目标,因为它可以支持以太网和帧中继报头之间的转换,并且转发帧内容无需进行任何修改。
因此,骨干网可以采用2.5层MPLS VPN功能来提供“二层接口转换”业务,并将其作为实现更长远的单一介质二层VPN的一个过渡步骤,或是作为全面的多介质VPN业务的一部分。
1.5.7 跨域MPLS VPN功能
Juniper Networks,Inc. Page 29 of 98
Juniper路由器实现了在RFC2547中定义的三种跨域的MPLS VPN实现方式,分别为: VRF-VRF
也称作背靠背方式。在该方式中,需要ASBR与ASBR之间的接口支持子接口, ASBR互相把对方看做自己的CE路由器。 ASBR上维护多个VPN的VRF表。 如果有多个VPN经过ASBR, 则需要多个子接口和多个VRF表。 该方式在ASBR之间传递的普通的IPv4路由。 虽然实现简单, 但是扩展能力最差。
MP-EBGP
该方式在ASBR之间的EBGP连接上做了多协议扩展 , 以支持VPN IPv4路由, 相对于VRF-VRF方式, 该方式中不需要在ASBR之间起多个子接口, 因此其扩展能力较方式A高, 但该方式仍需要在ASBR上维护多份VRF表。
MP-EBGP Multihop
在该方式中, 位于不同AS的PE之间可以直接建立MP-EBGP Multihop连接,来传送VPN IPv4路由。由于该连接对ASBR透明, ASBR上不需要维护多份VRF表,因此它是扩展能力最高的一种实现方式。但是在该方式中,需要PE路由器建立到其他AS的PE的LSP路径, 在具体实现中通过在AS边界把本自治域的PE路由器的loopback地址路由发给对方自治域。
Juniper Networks,Inc. Page 30 of 98
1.5.8 基于GRE或IPSec隧道的VPN
除了基于MPLS LSP隧道建立的MPLS VPN以外,IETF还针对MPLS网络部署不连续的YYYY系统网络环境,定义了基于GRE和IPSec的RFC2547bis VPN。Juniper路由器支持这两种VPN的实现。
这两种VPN沿用了RFC2547bis中的BGP信令控制模型,只是原有的PE到PE之间的基于IGP建立的MPLS LSP由PE间预设的GRE或IPSec隧道替代,传统的MPLS标记堆栈“VPN Lable over IGP Lable”变为了“VPN Lable over GRE封装”或“VPN Lable over IPSec封装”。
基于Juniper路由器的专门的隧道接口卡硬件,VPN报文进入PE的VRF路由表后,首先将压入一层VPN标记,然后在路由表中对端PE的BGP下一跳将解析为预设的GRE或IPSec隧道接口,VPN报文加上GRE或IPSec报头封装后,通过IP网络被路由到对端PE。途经的所有其他P路由器都不需要支持MPLS功能,仅对GRE或IPSec报文作普通的路由转发。
1.5.9 Juniper提高MPLS VPN性能的BGP扩展功能
MPLS VPN技术出现以后,针对其主要可扩展性的限制 – BGP协议,IETF定义了几种手段,增强其灵活性。Juniper支持这些功能。
MPLS VPN技术出现以后,针对其主要可扩展性的限制 – BGP协议,IETF定义了几种手段,增强其灵活性。Juniper支持这些功能。
1.5.10 VPN路由的刷新 (BGP Route Refresh)
当由于创建一个新的VRF或为一个已有VRF增加一个或多个新的输入目标策略时,PE路由器的配置将发生改变,PE路由器可能需要获得其以前丢弃的VPN-IPv4路由。使用传统BGP4提供更新的路由信息可能产生一定问题,因为它是一个基于状态的协议,并不支持路由刷新请求信息的交换及并发路由重广播。一旦BGP对等体将它们的路由表同步,它们在路由信息发生更改之前不会交换路由信息。
对于这种设计功能的一个解决方案是使用BGP路由刷新。在建立MP-BGP会话的过程中,一个运行BGP的设备希望从其对等体或路由反射器接收到一条路由刷新消息,该对等体或路由反射器使用BGP能力广播对BGP路由刷新能力进行广播。BGP路由刷新能力表
Juniper Networks,Inc. Page 31 of 98
明,只有当一个运行BGP的设备已经从对等体或路由反射器接收到了路由刷新能力广播,其才能向对等体或路由反射器发送一个路由刷新消息。任何时候,当PE路由器的配置发生改变时,PE路由器可以要求其MP-IBGP对等体重新发送以前丢弃的路由信息。当路由被重新广播时,更新的输入目标策略在PE路由器广播其VRF时被使用。
1.5.11 出境路由过滤器(ORF)
在处理发布VRF的过程中,运行BGP的设备经常从其对等体接收到不希望的路由,并基于每个VRF的输入目标策略将它们过滤掉。由于产生、传输及处理路由更新消耗骨干网带宽及路由器数据包处理资源,这些资源可通过避免传输不必要的路由更新来节约。
BGP路由更新的数量可以通过使能新的BGP合作路由过滤能力来降低。在建立MP-BGP会话期过程中,希望从其对等体或路由反射器发送或接收出境路由过滤器(ORF)的BGP设备使用BGP能力广播来广播合作路由过滤能力。运行BGP的设备向其对等体发送以BGP共同体表达的一组ORF。ORF条目是BGP路由刷新信息中承载的一组VPN Route Target。对等体在实施其本地配置的输出目标属性外,还实施接收到的ORF。需要注意的是,一个BGP对等体可能采用或者不采用从其它运行BGP的设备接收到的ORF。通过实施这种机制,BGP合作路由过滤可被用于节约服务提供商骨干网传送BGP报文的带宽,更主要的是节省PE路由器的额外BGP协议处理资源。
1.5.12 VPN路由反射器
VPN路由反射器的部署可以消除PE间Full-Mesh的BGP会话要求,大大减少了PE的BGP会话数量,减轻了每台PE路由器的符合。
但是,路由反射器依然需要同大量的PE路由器建立BGP会话关系,路由反射器本身的可扩展性受到了限制。可以通过VPN路由反射器的分割(VPN RR Partitioning)来解决问题。
采用多台VPN路由反射器,让每个RR管理一部分VPN路由, 每个VPN路由反射器不需要处理全网所有的VPN路由,从而保证VPN RR有足够的扩展性。VPN RR间建立普通的Peer关系,各RR同PE间建立RR Server -- RR Client的关系。
1.5.13 MPLS DiffServ TE
由于DiffServ和MPLS在所支持的QoS方面有某种相似性(如数据包分类),因此将
Juniper Networks,Inc. Page 32 of 98
相关推荐:
loading