问鼎OSPF(7)-联手VPN智破环,塞外扬威俱相荣

文档名称文档密级2019-12-15华为保密信息,未经授权禁止扩散第1页,共10页问鼎OSPF（7）-联手VPN智破环，塞外扬威俱相荣少年英俊潇洒，仗剑天涯，结豪侠逍遥江湖，朝生暮醉。又谁忆起，寒楼高阁红影，夜夜垂泪？弹指红颜老，郎君可期？转瞬已白首，伊人何在？一世风光荣华，到头来，却羡鸳鸯，不羡仙。富丽堂皇逍遥宫，佳肴琼浆美人伴，左右少帅掉进了红粉窟。那一日，他们一路追随青丘族长，到了边疆塞外，便被一群人请到了这里。想那时候那个人见到生人都会羞的躲在师父的背后，现如今却变成这样了么？舞娘慢慢从大殿中央退下，施施然的从偏殿走出了一众人，中间簇拥着一个面蒙轻纱，美眸慑人心魄，身披华贵貂绒外衣，姿段曼妙的佳人。“是你？！”欧少诧异不已。“呵呵，可不是我么？当日路由圣山一别，今日再见，我当称呼你是大战RIP的白衣少年，OSPF，还是图得万里江山的左少帅，欧少帅呢？”佳人声若魔音，柔媚不已。“当日，便知姑娘必是位贵人，原来不知竟是这样的人物，”欧少恢复以往的泰然自若，“啊不，称呼统管四方私网通信的VPN为姑娘，真是大不敬，还望宫主赎罪。”“呵呵，真是一如既往的伶牙俐齿。免你大不敬之罪，而且，”VPN那双美眸还挑衅似地像他眨了眨，“不许你叫我宫主，叫我V姑娘。”“呃，那么……V姑娘，”欧少还了身旁仍在云里雾里的华少一个歉意的眼神，然后道“你叫你的族人找我所为何事呢？”“愿与我联手么？不过VPN网络可不是那么简单的哦。”欧少早已了然于胸，遂笑道：“V姑娘可是担心OSPF应用于VPN场景下的环路问题？这我早已有计议。”路由破环显神威在上一期问鼎OSPF中，我们介绍了OSPF特殊区域的设立，以及这些特殊区域中可以使用的LSA。从前几期的介绍中，我们知道，OSPF拥有一个最为人津津乐道的能力，就是能够计文档名称文档密级2019-12-15华为保密信息,未经授权禁止扩散第2页,共10页算出无环的路由。不管是区域内的路由（Intra-AreaRoute）还是区域间（Inter-AreaRoute）路由，在OSPF设计之初就考虑到路由环路的问题，所以OSPF各种区域在处理Type1、Type2、Type3、Type4、Type5和Type7LSA时，能够确保路由无环。当然，在OSPF多实例场景中，也存在一套避免路由环路的方法，也就是OSPF所说的计议。介绍之前，我们先了解两个概念。1OSPF多实例1.1多实例BGP/MPLSIPVPN场景中PE和CE之间需要进行路由传递，就要得到各路由协议的支持。由于传统路由器只有一张路由表，为了不影响原来的路由信息，各路由协议必须扩展其功能才能在BGP/MPLSIPVPN场景中使用。OSPF对其自身协议进行扩展，创立OSPFVPN多实例。支持在BGP/MPLSIPVPN场景的PE和CE之间运行，进行路由的学习和发布。在多实例场景中，路由器上会存在多个独立的路由表，之间的路由信息相互隔离。1.2DomainID我们知道，BGP/MPLSIPVPN本质是通过MPLS骨干网，将本端PE与CE之间的路由传递到对端PE。这个传递过程不再详细描述，有兴趣的小伙伴可以去搜索第一期华为悦读汇有关BGP/MPLSIPVPN的介绍。这里值得指出的是，PE之间是通过MP-BGP协议传递的路由信息。那这又跟我们这里OSPF多实例有什么关系呢？从多实例的定义中，PE和CE之间运行路由协议，相互学习路由。其实这里可以使用的路由协议有很多，诸如静态路由、RIP、OSPF、BGP等协议。在OSPF多实例场景中，PE将OSPF路由引入BGP，从而传递到对端PE；当然，对端PE发过来的BGP路由，也会引入OSPF中。这样，在两端的PE设备上，分别存在一个OSPF区域，DomainID则用于区分这两个区域是否属于同一个OSPF域。如果属于同一个OSPF域，PE则把BGP传来的远端路由通过Type3OSPF路由发布给CE，否则发布Type5或Type7的OSPF路由。这里插播一下：PE和CE之间运行路由协议虽然有很多，但是最常用的还是EGBP。那么为什么还要有OSPFVPN多实例呢？也许是因为其他路由协议都支持了，OSPF不能不支持的心理在作祟；也许是网络发展进程中，PE和CE已经习惯使用OSPF了吧。对这一点感兴趣的小文档名称文档密级2019-12-15华为保密信息,未经授权禁止扩散第3页,共10页伙伴不妨跟帖回复你认为的原因，可能有意想不到的惊喜哟！2巧破OSPF多实例路由环路图1OSPF多实例典型组网上图是典型的OSPF多实例组网，从前面的原理我们知道，PE1通过BGP从PE2收到关于CE2的OSPF路由，将这些路由的产生者的地址修改成自己，然后发布相关的Type3、Type5或Type7的OSPF路由给CE1。CE1再向其他区域发布这些路由时，会将PE1作为ASBR，这样就能实现跨越MPLS骨干网的两个私网之间进行路由互通了。2.1遇到问题路由协议最怕的就是产生路由环路。不过OSPF天赋异禀，为保证区域间传递的路由不会产生环路而制定了规则：1.所有的非0区域必须与骨干区域直接相连，区域间路由需经由骨干区域中转。2.使用SPF算法。在实践中，OSPF的确达到了无环的目的。以至于一提到OSPF，就会提到OSPF能够计算出无环的路由。但是，自从加入了OSPF多实例功能之后，由于BGP/MPLSIPVPN网络改变了原有的拓扑结构，使得第一条规则不再有效。而且在跨越了MPLS/IP骨干网之后一般都是Type3、Type5或Type7类型的OSPF路由，这三种LSA实际上在OSPF计算产生路由的时候和距离矢量算法很接近，在某些场景中很有可能产生路由环路。比如下图所示的场景：文档名称文档密级2019-12-15华为保密信息,未经授权禁止扩散第4页,共10页图2OSPFVPN路由环路PE1上OSPF引入了目的地址为10.1.1.0/24的BGP路由，产生5类或7类LSA发布给CE1，CE1上学到一条目的地址为10.1.1.0/24，下一跳为PE1的OSPF路由，并发布给PE2，这样PE2上就学到一条目的地址为10.1.1.0/24，下一跳为CE1的OSPF路由。同理，CE1上也会学到一条目的地址为10.1.1.0/24，下一跳为PE2的OSPF路由，PE1上学到一条目的地址为10.1.1.0/24，下一跳为CE1的OSPF路由。此时，CE1上存在两条等价路由，分别指向PE1和PE2，而PE1和PE2上到10.1.1.0/24的下一跳也都指向CE1，环路就产生了。2.2巧计破环既然产生了环路，总要有个破环方法。要知道，OSPF多实例场景中，PE将路由发送给CE时，使用的是Type3、Type5或Type7类型的OSPF路由。那我们就分别针对这三类路由指定破环之策。2.2.1破环良策之一——DN-bitPE在生成Type3、Type5或Type7LSA发布给CE时，都将DN位置位（值为1），其他类型LSA的DN位不置位（值为0）。PE的OSPF多实例进程在进行计算时，忽略DN置位的LSA。这样就防止了PE又从CE学到发出的LSA而引起的环路。文档名称文档密级2019-12-15华为保密信息,未经授权禁止扩散第5页,共10页2.2.2破环良策之二——VPNRouteTagVPN路由标记（VPNRouteTag），PE根据收到的BGP的私网路由产生的Type5或Type7类型LSA中必须包含这个参数。当PE发现LSA的VPN路由标记（LSA的Tag值）和自己的一样，就会忽略这条LSA，因此避免了环路。至此，CE双归属场景下的路由环路的问题消失的无影无踪。3破环虽好，偶有误伤虽然OSPF多实例场景下路由破环获得奇效。不过，待看完下面这个案例，你又有什么样的想法呢？3.1案例图3MCE组网图3.1.1组网需求如上图所示，某公司需要通过MPLSVPN实现总部和分支间的互通，同时需要通过VPN隔离多种不同的业务。为节省开支，希望分支通过一台MCE设备接入PE（此处仅以其中一个vpna为例说明问题）。3.1.2场景描述1、PE1和PE2是MPLSVPN骨干网。CE1和MCE同属于vpna，通过骨干网进行私网互通。2、PE1和CE1通过OSPF交互私网路由。文档名称文档密级2019-12-15华为保密信息,未经授权禁止扩散第6页,共10页3、PE2和MCE通过OSPF多实例交互私网路由。4、在PE的OSPF视图下引入BGP路由，发布PE的私网路由给CE或者MCE；在PE的BGP视图下引入该OSPF进程，发布私网路由信息给对端PE。3.2关键配置PE1的关键配置：#ipvpn-instancevpnaipv4-familyroute-distinguisher100:1vpn-target200:1export-extcommunityvpn-target200:1import-extcommunity#interfaceGigabitEthernet0/0/1ipbindingvpn-instancevpnaipaddress10.1.1.2255.255.255.0#bgp100peer2.2.2.2as-number100peer2.2.2.2connect-interfaceLoopBack1#ipv4-familyvpnv4policyvpn-targetpeer2.2.2.2enable#ipv4-familyvpn-instancevpnaimport-routeospf100#ospf1area0.0.0.0network1.1.1.10.0.0.0network172.1.1.00.0.0.255#ospf100vpn-instancevpnaimport-routebgparea0.0.0.0network10.1.1.00.0.0.255#PE2的关键配置：#ipvpn-instancevpnaipv4-familyroute-distinguisher100:1vpn-target200:1export-extcommunityvpn-target200:1import-extcommunity#interfaceGigabitEthernet0/0/1ipbindingvpn-instancevpnaipaddress10.2.1.2255.255.255.0#bgp100peer1.1.1.1as-number100peer1.1.1.1connect-interfaceLoopBack1#ipv4-familyvpnv4policyvpn-targetpeer1.1.1.1enable#ipv4-familyvpn-instancevpnaimport-routeospf100#ospf1area0.0.0.0network2.2.2.20.0.0.0network172.1.1.00.0.0.255#ospf100vpn-instancevpnaimport-routebgparea0.0.0.0network10.2.1.00.0.0.255#CE1的关键配置：#ospf1area0.0.0.0network10.1.1.00.0.0.255#MCE的关键配配置：#ipvpn-instancevpnaipv4-familyroute-distinguisher100:1vpn-target200:1export-extcommunityvpn-target200:1import-extcommunity#interfaceGigabitEthernet0/0/1ipbindingvpn-instancevpna文档名称文档密级2019-12-15华为保密信息,未经授权禁止扩散第7页,共10页ipaddress10.2.1.1255.255.255.0#ospf100vpn-instancevpnaarea0.0.0.0network10.2.1.00.0.0.255#3.2.1故障现象按照上述配置完成以后发现MCE侧学习不到对端的私