通信人家园

标题: 华为的VPN跨域解决方案 [查看完整版帖子] [打印本页]

时间: 2007-4-18 12:01

作者: kernel008 标题: 华为的VPN跨域解决方案

内容如下：<a href="http://www.huawei.com/cn/products/datacomm/detailitem/view.do?id=1899&rid=554">http://www.huawei.com/cn/products/datacomm/detailitem/view.do?id=1899&rid=554</a>

时间: 2007-4-18 12:49

作者: siumem

请楼猪要转就转个全的！

时间: 2007-4-18 14:34

作者: kernel008

<table cellspacing="0" cellpadding="0" width="98%" align="center" border="0"><tbody><tr><td class="topic" align="center" height="40">MPLS VPN跨域浅析</td></tr></tbody></table><table cellspacing="0" cellpadding="0" width="97%" align="center" border="0"><tbody><tr><td width="100%" height="10"> 1. 前言 随着ALL IP趋势的明朗，运营商建设统一的IP承载网已经势在必行，各种业务承载在一张IP网络上，为了保证不同业务的QOS水平，业务之间的有效隔离成为大家关注的一个焦点。MPLS VPN技术是当前发展最快、成熟度最高的技术之一，通过近几年在一定领域的部署实施，证明了该技术在运营商网络是切实可行的，是业务隔离的有效工具。目前在运营商网络部署实施的MPLS VPN大部分在在一个AS内，然而，实际部署的业务，如运营商内部的语音业务，企业客户的VPN专线业务，往往都是跨越多个AS，VPN如何有效跨越多个AS，是目前需要关注和解决的问题。 2. MPLS VPN跨域方法概述 同在单个AS内建立VPN的过程一样，跨域VPN的建立过程也同样关注两个方面，一是VPN信息的传递方法，一是VPN隧道的建立方法，经过近几年的实践和快速发展，业界提出了几种VPN跨域方法，即OPTION A/B/C三种，不同方法采用不同的VPN信息传递模式和VPN隧道构建方法，具有鲜明的特点和适合不同的应用场景。 另外，MPLS VPN可以分为MPLS/BGP三层VPN和MPLS L2VPN，两种VPN都支持上述的三种跨域方法，采用相同的跨域理念，只不过MPLS/BGP VPN由于使用较早和部署较广，其对应的跨域方法已经标准化，MPLS L2VPN目前在标准化进程上稍微落后，其对应的跨域标准还没有正式发布，但一些主流厂家对此已有部分或全部支持。 3. MPLS/BGP跨域 3.1 OPTIONA跨域实现方法 <img alt="" src="http://www.huawei.com/cn/products/datacomm/datacomm/zhcn/detailitem/1899_img/1.JPG"/>OPTION A跨域也叫做背靠背跨域，即两个AS的边界路由器ASBR互相作为PE和CE，如上图所示，ASBR1作为AS1的PE设备，ASBR2在此看作ASBR1连接的CE设备，反之亦然。 </td></tr></tbody></table>

时间: 2007-4-18 14:48

作者: kernel008

VPN信息传递 同一AS的PE和ASBR之间通过正常的MBGP协议传递VPN路由信息，ASBR之间通过正常的PE和CE之间的路由传递方法传送VPN路由信息，如上图，VPNA2通过IGP协议把路由信息传递给PE2，PE2通过MBGP协议把VPNA2的信息传递给ASBR2，ASBR2作为ASBR1的CE设备，通过IGP协议把VPNA2的信息传递给ASBR1，ASBR1再通过MBGP协议把VPNA2的信息传递给PE1，PE1再通过IGP协议把VPNA2的信息传递到VPNA1，至此，VPN信息传递完毕。 VPN隧道构建 在OPTIONA跨域方法中，VPN隧道构建比较简单，各个AS单独构建PE到ASBR的LSP双层隧道，内层标签代表VPN信息，外层标签代表到达VPN路由下一跳PE的公网标签，和在单个AS内LSP隧道的建立过程和方式一样，ASBR和ASBR之间通过裸IP转发，没有LSP隧道。 特点 ASBR需要处理VPN路由信息，并且需要配置VRF实例 ASBR需要为每个VPN分配一个物理或逻辑链路 每个AS内单独建立双层LSP隧道，ASBR之间依靠IP连接 适用于VPN业务开展初期，VPN数量较少的情况下 3.2 OPTION B跨域实现方法 <img alt="" src="http://www.huawei.com/cn/products/datacomm/datacomm/zhcn/detailitem/1899_img/2.JPG"/>OPTION B跨域也叫单跳MP-EBGP跨域，AS内通过正常的MPLS/BGP传递VPN信息和构建LSP隧道，AS之间通过单跳的MP-EBGP协议传递VPN信息并构建LSP隧道。 VPN信息传递 如上图所示，CE2通过IGP传递私网信息给PE2，PE2通过MP-IBGP传递VPN信息到ASBR2，ASBR2通过单跳的MP-EBGP传递VPN路由信息给ASBR1，然后，ASBR1再通过MP-IBGP传递VPN信息给PE1，PE1再通过IGP协议把私网信息传递给CE1，至此，CE1拥有到达CE2的路由信息。如果中间跨域多个AS，AS内部全部按照MP-IBGP协议传递，ASBR之间全部按照单跳的MP-EBGP传递。 LSP隧道构建 当使用BGP传递路由时，如果是EBGP传递，下一跳必定改变为自己，如果通过IBGP传递，下一跳可以改变为自己也可以不改变，另外，当采用MP-BGP传递VPN路由信息，下一跳更改时，那么就需要为VPN重新分配标签。 如上图所示，在OPTION B跨域中，ASBR2向ASBR1传递VPN路由时，下一跳必定改变为自己，同时ASBR2重新为VPN分配标签，ASBR1向PE1传递VPN路由信息时，分两种情况考虑，一是ASBR1向PE1传递VPN路由信息时，下一跳改变为自己，一是ASBR1向PE1传递私网路由信息时，下一跳不改变，也就是下一跳仍然为ASBR2。

时间: 2007-4-18 14:51

作者: kernel008

在改变路由下一跳为ASBR1的情况下，ASBR1重新为VPN分配标签，VPN从PE1到达PE2的路径为PE1→ASBR1→ASBR2→PE2，在AS1内，构建PE1到ASBR1的双层LSP隧道，内层为VPN标签（ASBR1分配的），外层为PE1到ASBR1的公网隧道，在ASBR之间构建单层LSP隧道，只携带VPN标签（ASBR2分配的），在AS2内构建双层LSP隧道，内层为VPN标签，PE2分配的，外层为ASBR2到PE2的公网隧道。在两个ASBR处由于VPN标签都重新分配，所以最底层的标签在两个ASBR处都会有SWAP操作，也正是通过VPN标签的SWAP，把两个AS的VPN隧道连接起来。 如果不改变VPN路由的下一跳，那么PE1接收的VPN路由的下一跳就是AS2域内的ASBR2，则VPN从PE1到PE2的路径为PE1→ASBR2→PE2，那么就需要构建一条从PE1一直到ASBR2的双层LSP隧道，内层为VPN标签（ASBR2分配的），外层为PE1到ASBR2的公网隧道，ASBR2到PE2也构建双层LSP隧道，内层为VPN标签（PE2分配的），外层为ASBR2到PE2的公网隧道。在这种情况下，ASBR2和ASBR1之间需要运行某种标签分发协议，目的是分发ASBR2的公网标签，另外，在ASBR2处LSP的内外层标签都会进行SWAP操作，从而把两条LSP粘结成一个端到端的LSP隧道。 特点 ASBR需要处理VPN信息，但不需要配置VRF实例 ASBR之间一条链路传递所有VPN信息 根据不同的情况，ASBR之间构建单层或双层LSP隧道 当VPN业务发展到一定阶段，ASBR之间的链路受限时，可以考虑OPTION B跨域方法

时间: 2007-4-18 14:54

作者: kernel008

太长，转起来太费劲。还是自己到华为数通网站上去看吧，里面还有其他很多好东西。

时间: 2007-5-28 00:05

作者: huasai

IP城域网组网方案分析

通信人家园 (https://www.txrjy.com/)