如何在重叠的MPLS-VPN中分配路由目标？

Question

我不确定我应该在这里问这个问题还是在ServerFault中问这个问题。但由于这个问题更多的是关于网络的概念，而不是它在特定硬件中的实现，所以我决定在这里发布它。

根据我的理解，路由目标在MPLS-VPN中用于区分PE路由器中的不同VRF。

假设任何两个VPN之间没有共享站点，则导出和导入路由目标是相同的，因此PE可以将传入BGP数据包中的路由目标与其自己的导出路由目标进行比较，并将其安装在适当的VRF中。

我的疑问是，当存在属于多个VPN的站点时，如何处理路由目标的分配？

是否在所有PE中手动安装到各种VRF的路由目标？

如果是这样，它不会导致可伸缩性问题吗？

若否，如何安装VRF的路由目标？

Answer 1

根据我的理解，在

-VPN中使用路由目标是为了区分PE路由器中的不同VRF。

换句话说，路由目标用于为PE路由器上的VRF实现VRF路由导入和导出策略。

我的疑问是，当存在属于多个VPN的站点时，如何处理路由目标的分配？

如上所述，这个问题对于您所说的“属于多个虚拟专用网”的意思是模棱两可的，因为不清楚您是否只是希望保留单个站点内VRF的分离(请参阅下面示例1中的Site_C )，或者您是否希望单个站点的路由表接收来自两个不同VRF的路由(请参阅下面示例2中的Site_BB )。此答案将使用以下图表作为参考...

​

​

概念

请特别注意PE路由器附近的小方框。这些框表示接口本地的路由表和转发表；思科将这些表称为VRF。VRF_A仅处理发往/来自连接到粉红色云的CE路由器的数据包。VRF_B仅处理发往/来自连接到蓝云的CE路由器的数据包。

多协议BGP用于通过服务提供商网络(白云)通告来自每个VRF的路由。白云中的设备永远不会安装粉色和蓝色路由(即使其他ISP路由器正在运行bgp)；这是因为在PE路由器接收到它们之后，这些路由被转换为称为VPNv4的特殊BGP地址族。BGP地址族提供了一种区分来自不同客户的相似路由的方法；VPNv4还带有附加到每个路由的特殊VPNv4属性，称为route-distinguishers和路由目标，它们是扩展的BGP社区。

路由目标通常以<asn>:<custom_numer>的形式指定。路由目标被手动分配给每个PE路由器上的VRF。PE路由器从虚拟射频中的CE接收到路由后，使用路由区分符标记这些路由，使其成为服务提供商唯一的VPNv4地址，并使用路由目标标记这些路由，以实现路由导入和导出策略。

示例1

假设VPN_A有Site_AA、Site_AB和Site_C。CE_Site_AA、CE_Site_AB和粉色接口CE_Site_C在粉色链路上使用各自的PE路由器运行OSPF。PE路由器使用rt 100:1导出通过VRF_A上的OSPF接收的路由，并使用多协议BGP通告这些路由。当PE路由器收到带有rt 100:1标记的MP-BGP路由时，它们会将这些路由导入到VRF_A中，并在pink interfaces.

• Suppose上使用OSFP承载它们。VPN_B具有Site_BA和Site_BB。CE_Site_BA、CE_Site_BB和CE_Site_C上的蓝色接口通过蓝色链路使用各自的PE路由器运行OSPF。PE路由器使用rt 100:2导出通过VRF_B上的OSPF接收的路由，并使用多协议BGP通告这些路由。当PE路由器收到标记有rt 100:2的MP-BGP路由时，它们会将这些路由导入到VRF_B中，并在蓝色接口上使用OSFP传输它们。

值得注意的是，CE_Site_C必须在PE_3的两个接口/子接口上使用VRF，以将来自VRF_A和VRF_B的流量分开。

示例2

我们将扩展示例1以向Site_BB公开172.16.1.0/24。

假设我们需要从Site_AA向Site_BB中的VRF_B公开172.16.1.0/24。此时，PE_1需要使用rt 100:1和rt 100:51导出172.16.1.0/24。PE_2现在会将带有rt 100:2标记的VPNv4路由导入到VRF_B中，并将rt 100:51导入到VRF_B中以接收172.16.1.0/24。如果Site_BB需要以类似的方式将其路由暴露给Site_AA，PE_2将需要使用rt 100:52标记一个或多个相应的DMZ子网，以便可以将其导入到PE_1上的VRF_A中。

Answer 2

在对这个主题做了一些研究并与Mike进行了一些富有成效的讨论之后，我想我对如何分配路由目标有了一个很好的想法。所以我决定回答我自己的问题。

引用Mike的回答

VRF路由目标用于在PE路由器上实施

路由导入和导出策略。

当PE路由器发送从属于多个VPN的站点接收的控制平面信息时，就会出现问题。PE应该有某种方式来决定将哪个路由目标(由此用信号通知该控制信息属于哪个VPN )分配给它发送的BGP控制分组。

需要注意的重要一点是，VRF是在特定接口上配置的，而路由目标是为接口配置的。

因此，如果我们有一个属于3个VPN的站点，则该站点的CE和相应的PE应该通过3个不同的接口(或子接口)和分配给每个接口(或子接口)的特定路由Target来连接。

关于我的另一个问题

是否在所有PE中手动安装到各种VRF的路由目标？

从我从在线搜索中收集到的信息来看，路由目标确实是在路由器上手动配置的。