MPLS VPN典型应基本组网
Intranet
VPN1和VPN1一对,VPN2和VPN2是一对
Extranet
VPN1和VPN2都能与VPN1建立连接,VPN1与VPN2之间不能建立连接
Hub&Spoke
MCE组网
多CE组网
PE是运营商设备,CE是用户侧设备,如果CE较多,那么运营商需要建很多PE和链路,投入成本较大
CE设备上开启VRF,用一根线路子接口的形式连接;现网中,CE设备由交换机充当。
从一个实例出来进入另一个实例会牵扯到放环的问题
PE-CE之间的路由选择
双归属场景会出现环路
- 如图,4产生了一条路由X,通过BGP传递给1和2
- 1设备因为某种原因先学习到了X这条路由,他会通过IGP协议传给3
- 3与2设备存在IGP邻居关系,会使用ospf协议将路由传递给设备2
- 此时设备2,可以从3去往X,也可以从4去往X,他会选择优先级高的,所以走3
- 由此产生了次有路径
- 2设备因为与1设备建立了BGP邻居关系,又把IGP引入到了BGP,2会把X通过BGP传递给设备1
- 此时对于1来说,X有两条路,分别是2和4,如果4设备断开需要向1撤销路由
- 1现在没有了4方向传来的路由,便会继续从2导入X路由,然后将X路由通过IGP传递给设备3
- 3又会把路由传递给2,2继续把路由传递给3
- 从而产生了永久的环路
如图,R4为总部,为了保证网络可靠,做了冗余链路;R4与R1,R2之间运行ISIS协议,
R2设备去往5.5.5.5路由时候走的下一跳是R4,产生了次有路径
进行Trancert,确定路由走的是次有路径
对于R1来说,去往R5的下一跳是R3,备用路由下一跳是R2,现在R3向R1的路由撤销掉了,R1仍然有一条去往X的路由,下一跳是R2;R2仍然会将路由引入到R4,R4会源源不断的把路由给R2,R2也会一直给R1,由此产生了环路。
将5.5.5.5的地址删除掉,再次Trancert
由此发现出现环路
OSPF 与ISIS本身就可以防止这种环路
对于ISIS来说,这个场景产生环路是因为从一个VRF发出去的路由,又进入了到了另一个VRF,这种场景有可能产生环路;ISIS会有一个UD位,防止环路产生,按照ISIS规定从一个VRF出来的路由UD位会置位,再进入到另一个VRF时,会检查UD位有没有置位,如果有就不接收;但是华为,思科,锐捷都没有遵守。如果使用ISIS来进行PE与CE之间互联,要用打Tag的方式。PE与CE之间尽量不用ISIS协议
对于OSPF来说,他有了天然防环手段,有一个DN位,从一个VRF出来,会DN置位,其他设备接收到路由就不会使用DN置位的LSA进行选路,DN位从一个实例出来又进入另一个实例。
Hub&spoke架构,in方向发送一个DN置位的LSA,那么out接收到后就不会使用了;可以关闭dn位携带功能(只有3类,5类和7类携带)
dn-bit-set disable summary,也就是从in方向实例发出来的时候就不带dn位了
也可以在out方向实例关闭dn位检查:dn-bit-check
OSPF为了保险起见,针对5类,7类也有VPN tag保证放环
如果VPN tag相同,那么也会放环产生,自动打的Tag
