3.3.6 DMVPN之上的MPLS VPN(仅用于集中星型网络)

    在DMVPN per VRF方式中,对于每一个VRF需要创建一个单独的DMVPN覆盖。基于DMVPN上的MPLS VPN只需一个DMVPN覆盖,所以可以避免上述方法的可扩展性问题。在这类架构方式中,GRE隧道构建在VRF之外,一个单独的DMVPN覆盖可以同时连接多个VRF。

    图3-15探讨了基于DMVPN上的MPLS VPN方式的一个配置样例,中心路由器与一个mGRE隧道连接,分支路由器各自与单独的GRE隧道连接。中心路由器(例如E-P)起到P路由的作用,分支路由器(例如,E-PE1、E-PE2和E-PE3)则以PE路由模式工作。E-PE1、E-PE2和E-PE3与E-P间构建起LDP和IGP会话,如同企业DC网络中与路由反射器构建MP-iBGP会话一样。

    说明:如果分支到分支的连接不是必须的,则分支路由器可以使用P2P的GRE隧道模式,否则就需要采用mGRE方式。

    直接的分支到分支连接是不可能在基于DMVPN上的MPLS VPN模式下实现的,因为MPLS网络要求在发送至所有PE路由时都要采用标签交换方式。在这种方案中,远程分支路由(例如分支)类似PE路由,由它们完成标签排版和标签交换任务。如果在分支间能够直接建立动态的隧道,那么这样的隧道就无法实现标签排版,因此,所有的分支到分支的标签排版工作是在中心路由器完成的。尽管这种模式无法利用分支到分支动态连接的优势,它依然提供了一种更直接、更确定的分支到中心再到分支的标签交换路径(Label Switched Path,LSP),同时也更好地满足划分的要求。这类设计方案通常会被推荐给分支汇聚类场景中,即大多数连接是在中心路由与远程分支路由间,而非远程分支间直接相连。源码样例3.5给出了一个基于DMVPN上的MPLS VPN的中心路由配置模板样例。

    3.3.6 DMVPN之上的MPLS VPN(仅用于集中星型网络) - 图1

    图 3-15 DMVPN之上的MPLS VPN(仅用于集中星型网络)样例

    代码清单3.5 基于DMVPN的MPLS VPN中心路由配置模板

    3.3.6 DMVPN之上的MPLS VPN(仅用于集中星型网络) - 图2

    说明:对于隧道接口而言,最安全的(或者说最糟糕的)MTU是要避免单播数据流量以1400字节分片,组播数据流量以1376字节分片。考虑到每一个MPLS标签需要4个字节,因此一个2547oDVMPN隧道上最安全的MTU,单播应为1392字节,组播应为1368字节。

    尽管这个方案更适合集中星型连接而不是任意端到端连接模式,但对那些已经部署了DMVPN的企业,因为私有云计算或者是云IaaS提供的,又希望将它们已分段的DC扩展至远程分支,这一方案也是值得采纳的。DMVPN对于将MPLS VPN扩展至远程分支具有两个主要优势:批量封装以及更重要的是,这样的方案中只需一个DMVPN覆盖。

    冗余设计

    有两种方法可以在基于DMVPN上的MPLS VPN部署方案中引入冗余:

    ·在头端站点使用双hub路由,这将形成一对DMVPN中心路由器,就像P路由一样工作。

    ·使用多个分支路由以及第一跳冗余路由协议,包括热备份路由协议(Hot Standby Router Protocol,HSRP)、虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)、网关负载均衡协议(Gateway Load Balancing Protocol,GLBP)以及在远程分支使用增强的对象跟踪(Enhanced Object Tracking,EOT)技术。

    由于成本原因,在每一个远程分支都配置两个路由是不太现实的,一个务实的解决方案可以仅在一些大的远程分支机构实施这样的部署以获得高可靠性。在集中星型网络拓扑中,中心路由器属于单点故障易发之地,当中心路由产生故障时,将同时导致多个远程分支站点的故障。因此,在冗余设计中,每一个分支路由都必须通过GRE隧道同时连接到两个中心路由上,这些GRE隧道以主/从模式工作,可以通过控制路由器的metric参数来选择GRE隧道。尽管路由器以主/主模式工作有助于平衡网络负载,但主/从模式的隧道工作方式能够减轻分支路由工作量,更有效地管理路由器以便它们保持稳定的工作状态,也能提供更精确的网络传输路径特征。

    图3-16展示了两个远程分支站点(路由)分别连接至两个中心路由(DC-P1和DC-P2)的样例,这里DC-P1为主路由,而DC-P2为备份路由,RBO1可以被看成是一个双层分支,代表一个拥有两个WAN路由(PE1A和PE1B)和两条DMVPN隧道以实现冗余效果的大型分支机构,HSRP协议加上EOT技术中则为分支的客户端提供了可靠连接。RBO2可以理解成一个单层分支,它只拥有一个WAN路由(PE2)以及两条分别以DC-P1和DC-P2为终端的DMVPN隧道。当主隧道发生故障时,路由协议融合将使传输通过备份隧道完成。样例中还实现了两个VRF,分别为VRF-A(为租户A服务)和VRF-B(为租户B服务),路由反射器(RR1和RR2)与企业DC内所有PE设备间建立起MP-iBGP邻接,同时负责在PE设备(PE1A、PE1B、PE2和DC-PE)之间发布VPN路由信息。

    3.3.6 DMVPN之上的MPLS VPN(仅用于集中星型网络) - 图3

    图 3-16 基于DMVPN的MPLS VPN冗余设计样例