跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

一.Option A

跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

  (1)路由传递

            1.各AS内部正常创建IGP邻居关系并且运行MPLS LDP;

            2.如图各PE上创建VPN实例,并与接口绑定;R2与R3、R4与R5分别建立VPNNv4邻居关系,R3与R4的两个实例之间建立IPv4的邻居关系;

            3.R1上的IPv4路由传递到R2,R2将其引入到VPNv4路由表之后,携带私网标签1、RT、下一跳等传递给R3,R3匹配RT值后,剥离RD和私网标签引入实例2中;

            4.引入实例2后以IPv4路由传递到R2,R2将其传递给R4,R4从实例3收到IPv4路由,将其引入VPNv4路由表后,携带私网标签2、RT、下一跳等传递给R5,R5匹配RT值后,剥离RD和私网标签引入实例4 

  (2)数据转发       

跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解  

            1.R6封装正常IPv4数据包转发给R5,R5收到数据包查实例的FIB,先封装私网标签2,再封装去往R4的公网标签,然后转发出去

            2.R4收到数据包之后,查找标签转发表,找到对应实例3,剥离私网标签2后转发给R3

            3.R3收到数据包查实例的FIB,先封装私网标签1,再封装私网标签1,再封装去往R2的公网标签,然后转发出去;

            4.R2收到数据包之后,查找标签转发表,找到对应实例1,剥离私网标签1后转发给R1

 

(3)跨域VPN-Option A的特点

           优点:配置简单,由于ASBR之间不需要运行MPLS,也不需要位跨域进行特殊配置

           缺点:可扩展性差,由于ASBR需要管理所有的VPN路由,位每个VPN创建实例。这将导致ASBR上的VPN-IPv4路由数量过大。并且,由于ASBR是普通的IP转发,要求为每个跨域VPN使用不同的接口,从而提高了对PE设备的要求。如果跨域多个自治域,中间域必须支持VPN业务,不仅配置量大,而且对中间域影响大。再需要跨域的VPN数量比较少的情况,可以优先考虑使用。

 

二.Option B

           跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

(1)路由传递

           1.各AS内部正常建立IGP邻居关系并且运行MPLS LDP,R3与R4之间运行MPLS即可

           2.如图,各PE上创建VPN实例,并与接口相绑定;R2与R3、R4与R5分别建立IBGP VPNv4邻居关系,R3与R4之间建立EBGP VPNv4邻居关系,且R3和R4需要undo policy vpn-target

           3.R1上的IPv4路由传递到R2,R2将其引入VPNv4路由表后,携带私网标签1、RT、下一跳等传递给R3,

              R3重新为该路由分发私网标签2,然后携带私网标签2、RT、下一跳等传递给R4;

              R4重新为该路由分发私网标签3,然后携带私网标签3、RT、下一跳等传递给R5

           4.R5匹配RT值之后,剥离RD和私网标签引入实例2中

 

(2)数据转发

跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

           1.R6封装正常IPv4数据包转发给R5,R5收到数据包查实例FIB,先封装私网标签3,再封装去往R4的公网标签,然后转发出去

           2.R4收到数据包后,根据私网标签3查找标签转发表,找到对应的出标签私网标签2,然后封装私网标签2,不封装公网标签,直接转发给R3

           3.R3收到数据包后,根据私网标签2查找标签转发表,找到对应的出标签私网标签1,然后封装私网标签1,再封装去往R2的公网标签,之后转发出去;

           4.R2收到数据包后,查找标签转发表,找到对应实例1,剥离私网标签1后转发给R1

(3)VPN-Option B特点

           优点:不受ASBR之间互连链路数目的限制

           缺点:VPN的路由信息是通过AS之间的ASBR来保存和扩散的,当VPN路由较多时,ASBR负担重,容易形成故障点。因此在MP-EBGP方案中,需要维护VPN路由信息的ASBR一般不再负责公网IP转发

 

三.Option C (方案一)

跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

(1)路由传递

           1.各AS内部正常建立IGP邻居关系并且运行MPLS LDP,R3与R4之间运行MPLS即可。

           2.各PE上创建VPN实例,并于接口相绑定;R2与R3、R4与R5分别建立IBGP IPv4邻居关系,R3与R4之间建立EBGP IPv4邻居关系

           3.在R3上把R2的loopback的32位地址宣告进BGP,并为其分配公网标签1,然后传递给EBGP IPv4邻居R4,R4收到路由后为该32位loopback地址分配公网标签2,然后单播传递给IBGP IPv4邻居R5

           4.同理,R4上宣告R5的loopback地址进BGP,然后传递给R3,之后是R2

           5.R2和R5上互相知道对端loopback地址后建立EBGP VPNv4邻居关系

           6.R1上的IPv4路由传递到R2,R2将其引入VPNv4路由表后,携带私网标签、RT、下一跳等单播传递给R5。

           7.R5匹配RT值后,剥离RD和私网标签引入实例2中

 

(2)数据转发

跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

           1.R6封装正常IPv4数据包转发给R5,R5收到数据包查实例的FIB,先封装私网标签,再封装去往R2的公网标签2,最后封装去往R4的公网标签“R4”,之后转发出去   

           2.R4收到数据包之后,根据公网标签2查找标签转发表,找到对应的出标签公网标签1,然后封装公网标签1,转发给R3;

           3.R3收到数据包之后,根据公网标签1查找转发表,找到对应的出标签公网标签R23,然后封装私网标签R23转发出去;

           4.R2收到数据包之后,查找标签转发表,找到对应实例1,剥离私网标签后转给R1

 

四.Option C (方案二)

跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

(1)路由传递

           1.各AS内部正常建立IGP邻居关系并且运行MPLS LDP,R3与R4之间运行MPLS

           2.各PE上创建VPN实例,并与接口相绑定;R3与R4之间建立EBGP IPv4邻居关系

           3.在R3上把R2的loopback的32位地址宣告进BGP,并为其分配公网标签1,然后传递给EBGP IPV4邻居R4;R4收到路由后将该32位loopback地址引入IGP中,然后逐跳传递到R2

           4.同理,R4上宣告R5的loopback地址进BGP,然后传递给R3,之后引入到IGP中,然后逐跳传递到R2

           5.R2和R5上互相知道对端loopback地址后建立EBGP VPNv4邻居关系。

           6.R1上的IPv4路由传递到R2,R2将其引入VPNv4路由表后,携带私网标签、RT、下一跳等单播传递给R5

           7.R5匹配RT后,剥离RD和私网标签引入实例2中。

(2)数据转发

跨域 VPN (Option A & Option B & Option C 方案一方案二)理论详解

           1.R6封装正常IPv4数据包转发给R5,R5收到数据包查实例的FIB,先封装私网标签1,再封装去往R5的下一跳的公网标签R9,之后转发出去

           2.R4收到数据包之后,根据公网标签查找标签转发表,找到对应的出标签公网标签1,然后封装公网标签1,直接转发给R3

           3.R3收到数据包后,根据公网标签1查找标签转发表,找到对应的出标签公网标签R23,然后封装私网标签R23,之后转发出去

           4.R2收到数据包后,查找标签转发表,找到对应实例1,剥离私网标签后转发给R1

 

(3)跨域VPN-Option C特点

           优点:VPN路由在入口PE和出口PE上直接交换不需要中间设备的保存和转发

                      VPN的路由信息只出现在PE设备上,而P和ASBR只负责报文的转发,使得中间域的设备跨域不支持MPLS VPN业务,只需支持MPLS转发,ASBR设备不再成为性能瓶颈。因此跨域VPN-OptionC更适合在跨越多个AS时使用

                      更适合支持MPLS VPN负载分担

           缺点:配置复杂;维护一条端到端的PE连接管理代价太大,

 

上一篇:2019-2020学期 20192424 《网络空间安全专业导论》 第十二周读书笔记


下一篇:android-检查VPN状态已连接或未连接