运营商间和运营商运营商间 VPN
传统 VPN、跨运营商 VPN 和运营商运营商 VPN
随着 VPN 部署在互联网上,VPN 服务提供商的客户可能是另一个服务提供商,而不是最终客户。客户服务提供商依赖 VPN 服务提供商在客户服务提供商的网络服务提供点 (PO) 或区域网络之间提供 VPN 传输服务。
如果客户服务提供商的站点有不同的自治系统 (AS) 编号,则 VPN 传输服务提供商为跨运营商 VPN 服务支持运营商运营商 VPN 服务。如果客户服务提供商的站点具有相同的序列号AS,则 VPN 传输服务提供商会提供运营商运营商 VPN 服务。
根据 RFC 4364,支持跨供应商 VPN 有几种不同方法 BGP/MPLS IP Virtual Private Networks (VPNs)
:
跨提供商第 3 层 VPN 选项 A— AS 边界路由器 (ASBR) 上的提供商间 VRF 至 VRF 连接(可伸缩性不是很高)。
跨提供商第 3 层 VPN 选项 B— 跨提供商 EBGP 重新分配标记为 VPN-IPv4 的路由,从 AS 到邻接路由AS(有些可扩展)。
跨提供商第 3 层 VPN 选项 C— 提供商间多宿主 EBGP 在源和目标 AS 之间重新分配标记为 VPN-IPv4 的路由,其中将标记为 AS 的 IPv4 路由 EBGP 重新分配至邻接 AS(可扩展性非常可扩展)。
在传统的 IP 路由架构中,内部路由和外部路由有一个明确的区分。从互联网服务提供商 (ISP) 的角度来看,内部路由包括所有提供商的内部链路(包括下一跃点BGP)和环路接口。这些内部路由通过内部网关协议 (IGP) 与 ISP 网络内的其他路由平台交换,例如OSPF或IS-IS。在互联网对等点或客户站点学习的所有路由都分类为外部路由,通过外部网关协议 (EGP) 方式BGP。在传统的 IP 路由架构中,内部路由的数量通常比外部路由的数量少得多。
了解运营商间和运营商运营商间 VPN
所有运营商间和运营商运营商 VPN 均具有以下特征:
每个跨运营商或运营商的 VPN 客户必须区分内部和外部客户路由。
内部客户路由必须由其 PE 路由器中的 VPN 服务提供商维护。
外部客户路由仅由客户的路由平台来传送,VPN 服务提供商的路由平台无法携带。
运营商间和运营商间 VPN 之间的主要差别在于,客户站点是属于同一AS还是属于独立的 AS:
跨设备 VPN —客户站点属于不同的 AS。您需要配置 EBGP 来交换客户的外部路由。
了解载波至载波 VPN— 客户站点属于同一AS。您需要配置 IBGP 来交换客户的外部路由。
通常,VPN 层次结构中的每个服务提供商都需要在其 P 路由器中维护自己的内部路由,及其 PE 路由器中客户的内部路由。通过递归应用此规则,可以创建 VPN 的层次结构。
以下是特定于运营商间和运营商运营商 VPN 的 PE 路由器类型的定义:
该AS路由器位于AS边界,处理离开和进入网络的流量AS。
终端 PE 路由器是客户 VPN 中的 PE 路由器;连接到最终客户边缘站点的路由器
运营商间和运营商间 VPN 示例术语
bgp.l3vpn.0
提供商边缘 (PE) 路由器上的表,其中存储从另一个 PE 路由器接收的 VPN-IPv4 路由。传入路由根据在 PE 路由器上配置的所有 vrf-import
VPN 中的语句进行检查。如果存在匹配项,将 VPN-Internet 协议版本 4 (IPv4) 路由添加到 bgp.l3vpn.0 表中。要查看 bgp.l3vpn.0 表,请发出 show route table bgp.l3vpn.0
命令。
routing-instance-name.inet.0
特定路由实例的路由表。例如,称为 VPN-A 的路由实例有一个称为 VPN-A.inet.0 的路由表。路由以下列方式添加到此表中:
它们从在 VPN-A 路由实例中配置的客户边缘 (客户边缘) 路由器发送。
它们从远程 PE 路由器播发,该路由器通过 VPN-A 内配置的策略(查看路由
vrf-import
,运行show route
命令)。IPv4(非 VPN-IPv4)路由存储在此表中。
vrf-import policy-name
在 PE 路由器上的特定路由实例上配置的导入策略。配置运营商间和运营商运营商间 VPN 时,需要此策略。它适用于从另一个 PE 路由器或路由反射器学习的 VPN-IPv4 路由。
vrf-export policy-name
在 PE 路由器上的特定路由实例上配置的导出策略。需要配置运营商间和运营商运营商间 VPN。它应用于 VPN-IPv4 路由(最初从本地连接的客户边缘路由器学习为 IPv4 路由),路由通告给其他 PE 路由器或路由反射器。
MP-EBGP
多协议外部路由 (MP-EBGP) BGP通过自治系统 (AS) 边界导出 VPN-IPv4 路由。要应用此机制,请使用 labeled-unicast
层级的 [edit protocols bgp group group-name family inet]
语句。
支持的运营商运营商和跨运营商 VPN 标准
Junos OS可充分支持以下 RFC,这些 RFC 定义运营商运营商和跨运营商虚拟专用网络 (VPN) 的标准。
RFC 3107, 在 BGP-4 中承载标签信息
RFC 3916, 伪线仿真边缘到边缘 (PWE3) 的要求
在带带 SFP 的通道化 OC3/STM1(多速率)电路仿真 MIC 的 MX 系列路由器上支持。
RFC 3985, 伪线仿真边缘到边缘 (PWE3) 架构
在带带 SFP 的通道化 OC3/STM1(多速率)电路仿真 MIC 的 MX 系列路由器上支持。
RFC 4364,BGP/MPLS IP 虚拟专用网 (VPN)
RFC 5601,伪线 (PW) 管理信息库 (MIB)
RFC 5603,以太网伪线 (PW) 管理信息库 (MIB)
RFC 6368,内部BGP作为服务提供商 /客户边缘协议,BGP/MPLS IP 虚拟专用网络 (VPN)