當(dāng)VPN站點(diǎn)跨越多個(gè)ISP時(shí)，此時(shí)需要PE設(shè)備在不同的as域之間進(jìn)行vpn路由的交互，從而產(chǎn)生了跨域VPN的組建。

RFC 2547bis中提出了三種跨域VPN解決方案，分別是：

l VRF-to-VRF：ASBR間使用子接口管理VPN路由，也稱為Inter-Provider Option A;

l EBGP Redistribution of labeled VPN-IPv4 routes：ASBR間通過(guò)MP-EBGP發(fā)布標(biāo)簽VPN-IPv4路由，也稱為Inter-Provider Option B;

l Multihop EBGP redistribution of labeled VPN-IPv4 routes：PE間通過(guò)MP-EBGP發(fā)布標(biāo)簽VPN-IPv4路由，也稱為Inter-Provider Option C。

ps:ASBR 為as域的邊界路由。

網(wǎng)上已經(jīng)有了很多關(guān)于跨域VPN的組建介紹，這里只是摘錄了H3C文檔中的一些描述，算是自己mark一下：

1. ASBR間使用子接口管理VPN路由

這種方式下，兩個(gè)AS的PE路由器直接相連，PE路由器同時(shí)也是各自所在自治系統(tǒng)的邊界路由器ASBR。

作為ASBR的PE之間通過(guò)多個(gè)子接口相連，兩個(gè)PE都把對(duì)方作為自己的CE設(shè)備對(duì)待，使用傳統(tǒng)的EBGP方式向?qū)Χ税l(fā)布IPv4路由。報(bào)文在AS內(nèi)部作為VPN報(bào)文，采用兩層標(biāo)簽轉(zhuǎn)發(fā)方式;在ASBR之間則采用普通IP轉(zhuǎn)發(fā)方式。

理想情況下，每個(gè)跨域的VPN都有一對(duì)子接口與之對(duì)應(yīng)，用來(lái)交換VPN路由信息。

圖 1 ASBR間使用子接口管理VPN路由組網(wǎng)圖

使用子接口實(shí)現(xiàn)跨域VPN的優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單：兩個(gè)作為ASBR的PE之間不需要為跨域進(jìn)行特殊配置。

缺點(diǎn)是可擴(kuò)展性差：作為ASBR的PE需要管理所有VPN路由，為每個(gè)VPN創(chuàng)建VPN實(shí)例。這將導(dǎo)致PE上的VPN-IPv4路由數(shù)量過(guò)于龐大。并且，為每個(gè)VPN單獨(dú)創(chuàng)建子接口也提高了對(duì)PE設(shè)備的要求。

2. ASBR間通過(guò)MP-EBGP發(fā)布標(biāo)簽VPN-IPv4路由

這種方式下，兩個(gè)ASBR通過(guò)MP-EBGP交換它們從各自AS的PE路由器接收的標(biāo)簽VPN-IPv4路由。

路由發(fā)布過(guò)程可分為以下步驟：

(1) AS 100內(nèi)的PE先通過(guò)MP-IBGP方式把標(biāo)簽VPN-IPv4路由發(fā)布給AS 100的邊界路由器PE，或發(fā)布給為ASBR PE反射路由的路由反射器;

(2) 作為ASBR的PE通過(guò)MP-EBGP方式把標(biāo)簽VPN-IPv4路由發(fā)布給AS 200的PE(也是AS 200的邊界路由器);

(3) AS 200的ASBR PE再通過(guò)MP-IBGP方式把標(biāo)簽VPN-IPv4路由發(fā)布給AS 200內(nèi)的PE，或發(fā)布給為PE反射路由的路由反射器。

這種方式的ASBR需要對(duì)標(biāo)簽VPN-IPv4路由進(jìn)行特殊處理，因此也稱為ASBR擴(kuò)展方式。

圖2 ASBR間通過(guò)MP-EBGP發(fā)布標(biāo)簽VPN-IPv4路由組網(wǎng)圖

在可擴(kuò)展性方面，通過(guò)MP-EBGP發(fā)布標(biāo)簽VPN-IPv4路由優(yōu)于ASBR間通過(guò)子接口管理VPN。

采用MP-EBGP方式時(shí)，需要注意：

ASBR之間不對(duì)接收的VPN-IPv4路由進(jìn)行VPN Target過(guò)濾，因此，交換VPN-IPv4路由的各AS服務(wù)提供商之間需要就這種路由交換達(dá)成信任協(xié)議;

VPN-IPv4路由交換僅發(fā)生在私網(wǎng)對(duì)等點(diǎn)之間，不能與公網(wǎng)交換VPN-IPv4路由，也不能與沒(méi)有達(dá)成信任協(xié)議的MP-EBGP對(duì)等體交換VPN-IPv4路由。

3. PE間通過(guò)MP-EBGP發(fā)布標(biāo)簽VPN-IPv4路由

前面介紹的兩種方式都能夠滿足跨域VPN的組網(wǎng)需求，但這兩種方式也都需要ASBR參與VPN-IPv4路由的維護(hù)和發(fā)布。當(dāng)每個(gè)AS都有大量的VPN路由需要交換時(shí)，ASBR就很可能成為阻礙網(wǎng)絡(luò)進(jìn)一步擴(kuò)展的瓶頸。

解決上述可擴(kuò)展性問(wèn)題的方案是：ASBR不維護(hù)或發(fā)布VPN-IPv4路由，PE之間直接交換VPN-IPv4路由。

兩個(gè)ASBR通過(guò)MP-IBGP向各自AS內(nèi)的PE路由器發(fā)布標(biāo)簽IPv4路由。

ASBR上不保存VPN-IPv4路由，相互之間也不通告VPN-IPv4路由。

ASBR保存AS內(nèi)PE的帶標(biāo)簽的IPv4路由，并通告給其它AS的對(duì)等體。另一個(gè)自治系統(tǒng)中的ASBR也通告帶標(biāo)簽的IPv4路由。這樣，在入口PE和出口PE之間建立起一條LSP。

不同AS的PE之間建立Multihop方式的EBGP連接，交換VPN-IPv4路由。

圖 3 PE間通過(guò)Multi-hop MP-EBGP發(fā)布標(biāo)簽VPN-IPv4路由組網(wǎng)圖

為提高可擴(kuò)展性，可以在每個(gè)AS中指定一個(gè)路由反射器RR(Route Reflector)，由RR保存所有VPN-IPv4路由，與AS的PE交換VPN-IPv4路由信息。兩個(gè)AS的RR之間建立跨域VPNv4連接，通告VPN-IPv4路由。如圖 10所示。

圖 4 采用RR的跨域VPN OptionC方式組網(wǎng)圖

原文博客：http://blog.chinaunix.net/uid-26421509-id-3055889.html