骨干网的跨域技术有Option-A、Option-B、Option-C三种。而在其中又有Option-A、Option-B较为常用。当你翻阅教材的时候,却毫无例外的告诉你:Option-A不适合用于VRF数量过多的场景,当VRF数量多时,建议首选Option-B。
这句话对不对呢?
这句话,我觉得其实是不对的。如果是能深入了解OptionA、OptionB的原理和效果,再结合实际应用的话,就不会随便说出“首选Option-B”这样的话了。
那到底什么场合适合用Option-A、什么场合适合用Option-B呢?其实这个和VRF数量真没关系,倒是和要对接的两个骨干网的VRF规划有关系。
Option-A
咱先来看看Option-A的实现方式:
Option-A的“学名”叫“背靠背连接”或“VRF-to-VRF”。其实现原理是:ASBR对等体间,通过使用多个三层链路或划分子接口方式,每个三层接口或子接口分别绑定一个VRF。然后,在每个VRF下分别建立一组eBGP邻居。
要实现Option-A有如下关键点需要设计:
1、按照需要跨域的VRF数量,在ASBR之间准备多条物理链路。如ASBR之间链路只有一条时,则可以划分子接口;若ASBR是三层交换机担任,还可以使用Trunk接口和VLANIF对接。
2、每个三层接口绑定一个VRF(若公网路由跨域,则公网跨域的三层接口不绑VRF);
3、在每个IPv4 VRF的地址族下,建立eBGP邻居即可实现跨域。有多少个VRF需要跨域,就需要建立几组eBGP邻居。这个过程如下图所示:
根据Option-A的实现原理,其实我们也可以得到这样一个结论:
因为AS#1-ASBR是用address-family ipv4 vrf XX与对端建立eBGP邻居的,而PE-CE之间使用eBGP作为路由协议时,也是在address-family ipv4 vrf XX下建立eBGP邻居。所以,当AS#1-ASBR和AS#2-ASBR使用Option-A跨域时,实际上是AS#1-ASBR把AS#2-ASBR当成自己CE的,同样,AS#2-ASBR也把AS#1-ASBR当成自己的CE。
那既然是ASBR都把对方当CE看,所以,Option-A的ASBR之间的路由,就是纯粹的IPv4/IPv6路由了。不被任何标签封装。而ASBR之间传递的数据包,也是纯IPv4/IPv6数据包,只封装了IP包头,和普通网络的数据包无异。
通过上面的图,我们可以看到。
在Option-A跨域的情况下,只有在AS内部的MPLS VPN网络域内,数据包才会有标签的封装,到ASBR上,标签就被弹出了,只封装了IPv4包头。
换句话说,LSP(Label Swap Path:标签交换路径)在ASBR之间就断了,只有数据包进入对方ASBR以后才会重新封装标签头,重新建立LSP。
正是因为Option-A跨域时,ASBR之间传递的是纯IP路由,封装的也是纯IP包头。所以,Option-A的兼容性比较好。如果有在ASBR之间串接入透明防火墙的需求,则此时跨域方式使用Option-A时,是不用担心防火墙无法识别ASBR之间传递数据包的特征值的(例如五元组信息)
另外,使用Option-A跨域时,也不用担心双方骨干网的VRF未经统一规划,Import RT和Export RT存在不对应的情况。
Option-B
再来看一下Option-B跨域方式。
Option-B的“学名”叫“单跳eBGP”。
其实现原理是:ASBR对等体间,使用一组物理接口,在VPNv4地址族下建立单跳的eBGP邻居,从而使ASBR之间传递VPNv4路由,从而实现私网路由的跨域。
换句话说,就是ASBR之间只需要一组eBGP邻居就可以实现跨域了。
Option-B跨域时,ASBR之间需要开启MPLS标签转发,但不需要运行LDP分发标签,也不需要运行IGP。
Option-B的关键点:
- ASBR之间使用一组互联地址在VPNv4地址族下建立单跳eBGP邻居;此时,ASBR之间传递的是VPNv4路由,ASBR是相互把对方当PE看的。
- 既然ASBR之间传递的是VPNv4路由,则必须保证两侧AS内的VRT的Import RT和Export RT配对
- 并且需要保证ASBR之间的内层标签连续
再来看一下Option-B跨域时,路由控制平面和数据转发平面。
如上图所示:
在使用Option-B跨域的情况下,ASBR之间的数据包有由MP-BGP分配的内层标签,这说明Option-B的ASBR之间不是纯IP数据包。
如果此时想在Option-B的ASBR之间串入透明的防火墙,则需要考虑该防火墙是不是能够支持读取标签封装的特征值信息。而且,当需要跨域对接的两个骨干网的VRF不是统一规划的,则它们VRF再多,也不适合使用Option-B进行对接。否则,就要对两个骨干网全网的PE设备上的Export RT和Import RT进行变更,这个操作面和工作量就更大了
所以,对于跨域双方骨干网都是新建,且VRF都是统一规划的场合下,可以考虑使用Option-B。
前几天,我在朋友圈里发了这样一个面试题:
如图所示,AS#2是二级骨干网,需要和AS#1的一级骨干网进行MPLS VPN跨域对接。此时,AS#2和AS#1有4个VRF的私网路由需要跨域。
已知,AS#1内的VRF和AS#2内的VRF不是统一规划的,在跨域对接之前都是各自内部规划的。
有人认为,跨域的私网路由有4个VRF,可以考虑采用Option-B,但也有人认为,此时若使用Option-B进行跨域,则会更麻烦。
那你怎么看呢?
其实这个问题里面提到了:AS#1内的VRF和AS#2内的VRF不是统一规划的,在跨域对接之前都是各自内部规划的。
这说明了,AS#1内的VRF和AS#2的VRF可能会有VRF的Export RT和Import RT不匹配的情况。如果使用Option-B跨域的话,虽然在ASBR对接的使用只需要配置一组eBGP邻居,看起来是轻松了。但是Option-B跨域需要让AS#1内的所有PE和AS#2的所有PE都检查一边VRF的RT配置,且可能对全网的PE设备的VRF的Export RT和Import RT进行重新配置。这个工作量,涉及到全部PE设备,范围大,改造的风险也会随之增加。
而用Option-A的话,虽然需要配置4组eBGP邻居,但是比起全网修改VRF来说,这个工作量要小很多。而且Option-A只需要在ASBR上变更配置,变更的范围也要小很多。
所以,这个情况,虽然VRF数量较多,但Option-A就比Option-B更适合。
综上所述:
Option-A的优点:
在ASBR之间每个VRF单独建立一个BGP邻居,思路简单清晰;
对于单个VRF出现网络故障,不会影响到其他VRF,易于排错;
对路由策略的控制比较灵活,容易实现多个ASBR之间不同VRF流量的负载均衡;
ASBR之间传递的是纯IP数据包,兼容性较好。
Option-B的优点:
扩展性好,能够以一个VPNv4的eBGP邻居实现多个VRF私网路由跨域;
如果骨干网都是统一规划,且VRF数量较多,则适合使用Option-B跨域。
这里可以看到,Option-A和OptionB在各自有各自的使用场合,两者之前只有“适合与不适合”的说法,并不存在说Option-A和OptionB孰优孰劣的说法。
而且,Option-A和Option-B有两个共同点:其一就是都是使用互联地址建立的单跳eBGP邻居;其二是,ASBR上都要同时维护公网路由和私网路由。