FAQ-第5期-HVPN方案

FAQ-第5期-HVPN方案

1、Ho-VPN与H-VPN的区别

HVPN是指分层VPN(Hierarchical VPN,简称HVPN),HVPN将PE的功能分布到多个PE设备上,多个PE承担不同的角色,并形成层次结构,共同完成一个PE的功能。HVPN组网主要包括UPE、SPE和NPE三类设备。

HVPN组网角色与IPRAN组网角色对应关系:UPE——CSG、SPE——ASG、NPE——RSG

HVPN可以分为HoVPN和HVPN两种类型,对比如下:

Ho-VPN H-VPN
配置上UPE/NPE 只需与SPE建立vpnv4邻居关系 只需与SPE建立vpnv4邻居关系
配置上SPE 对UPE方向配置 peer UPE SPE上需要配置VPN实例 对UPE/NPE方向配置 peer reflect-client peer next-hop-local SPE需要undo policy vpn-target
UPE/SPE上路由 UPE上只有默认路由,SPE上需要配置路由策略,向UPE发送默认路由和向NPE发送除缺省路由外的所有路由 UPE上没有默认路由只有明细路由,SPE上无需配置路由策略
流量转发 UPE去往其他UPE或是NPE的流量都需要在SPE上查一次私网FIB NPE去往UPE方向的流量直接在SPE上做标签交换 UPE去往其他UPE或是NPE的流量直接在SPE上做标签交换 NPE去往UPE方向的流量直接在SPE上做标签交换
保护措施 SPE双归NPE时也可以使用FRR保护(SPE的VPN下配置VPN FRR) SPE双归NPE时无保护措施,只能靠硬收敛

由于HoVPN的UPE仅有缺省路由,而且保护措施更完善,所以现网IPRAN方案中所说的HVPN常指HoVPN。

2、ASG上为什么采用非强制下发默认路由方案

以下以MP-BGP为UPE方式举例:

ASG上配置peer csg upe后CSG上就无法学习到明细路由了只能通过下发默认路由引导上行流量,通过Peer csg default-originate vpn-instance ipran这种方式下发的默认路由是强制下发,如果ASG设备东西侧单板故障此时ASG无法到达RSG而CSG仍然会通过默认路由将流量送到ASG,导致路由黑洞业务中断。

如果在ASG上通过ip route-static vpn-instance ipran 0.0.0.0 0 192.168.21.21+network 0.0.0.0 非强制下发缺省路由给CSG,如果ASG东西侧单板故障ASG不会下发缺省路由给CSG,业务不受影响,这里静态路由的下一跳192.168.21.21是在多个RSG上配置相同的一个IP地址,RSG通过MP-BGP将此路由发布给ASG,所以现网如果新增RSG设备必须保证RSG与ASG之间先建立tunnel再配置这个地址,避免路由可传送无tunnel的情况可能导致ASG下发默认路由异常。

3、HVPN部署黑洞路由优化方案(默认路由下一跳指向RSG的业务VPN内loopback口地址)后peer CSG timer connect-retry是否需要配置?

先说一下peer timer connect-retry命令的含义,这条命令是用来配置指定对等体或者对等体组的连接重传时间间隔。缺省情况下,连接重传时间间隔是32秒。

当汇聚层没有独立反射器且存在多对RSG时,ASG重启后和不同的RSG建立BGP邻居的先后次序不可控,前后可能会有几十秒的时间差。如果ASG只是和其中一个RSG建立起了BGP邻居而和其他RSG的邻居关系尚未建立,这时如果就向CSG发布缺省路由,会导致归属到其他RSG的基站流量中断。基于此考虑,解决方案建议仍然保持peer csg timer connect-retry的配置,一般设置为300,也就是5分钟。

如果汇聚层部署了独立反射器,则上面的风险会降低,这种情况下,可以考虑不配置peer csg timer connect-retrypeer CSG timer connect-retry配主就可以,如果负载分担,则所有ASG都要配置),建议还是都配上。

4、ASG收CSG的路由的时候为什么要设置preferred-value值为10

说明:MP-BGP对路由发布优先级的控制方式有多种,可以采用Peer UPE+Local-preference的方式,也可以采用RR client+MED值的方式,方案建议采用RR client+MED值的方式。

(1)以MP-BGP为RR client+MED值方式举例说明:

CSG1发布路由给主备ASG。ASG3对接收的CSG1的路由优先级MED值设置为103,ASG4设置为203。ASG3对发布到RR1的路由不做路由策略,直接发布。此时备ASG从RR1学到的此路由MED值为103,优于从CSG1直接学到的业务路由的MED值203,ASG4会优选MED值为103的路由,下一跳为ASG3,这样RSG5/RSG6上看到的CSG1业务路由下一跳都是ASG3无法形成VPN FRR,为规避此问题可以通过如下方式:

ASG向CSG方向配置peer csg preferred-value值为10,这样BGP选路时preferred-value优先于local-preference,ASG会优选从CSG学到的业务路由不会优选从RR发布过来的路由。

说明:preferred-value这个私有属性是本地有效的,不会在网络中进行传播。

(2)以MP-BGP为Peer UPE+Local-preference方式举例说明:

CSG1将业务路由发送给ASG3,ASG3将此路由的local-preference属性改为400后发送给RR1,这样ASG4从CSG1直接学到业务路由local是100,有从RR1学到的此路由local属性是400,ASG4优选local是400的路由,下一跳是ASG3,这样RSG5/RSG6上看到的CSG1业务路由下一跳都是ASG3无法形成VPN FRR,为规避此问题可以通过如下方式:

​ 1、ASG向CSG方向配置peer csg preferred-value值为10,这样BGP选路时preferred-value优先于local-preference,ASG会优选从CSG学到的业务路由不会优选从RR发布过来的路由。

​ 2、ASG向RR发布CSG业务路由时,local-preference值均小于100,这样可以保证ASG通过local-preference属性优选直接从CSG学习到的业务路由。

5、RSG向RR发布路由的时候为什么local-preference值不允许大于100

如上图:假设RSG5向RR发布RNC业务路由的时候local-preference为110,这样RSG6学到通过RR反射之后RNC业务路由local-preference为110,而从RNC直接学到的业务路由local-preference为100(local-preference默认为100),这样RSG6优选从RR学到的业务路由下一跳是RSG5,这样从ASG上看学到的RNC业务路由下一跳都是RSG5无法形成VPN FRR。

6、ASG向RR发布路由的时候为什么需要将默认路由过滤掉

假设ASG3为RR下挂新增汇聚节点,ASG3上配置的local-preference(500)高于其他ASG的local-preference.

如果ASG3没有过滤默认路由,默认路由向RR发布,ASG1/ASG2通过network0.0.0.0获得的默认路由local-preference是100而学到ASG3发布的默认路由local是500,ASG1/ASG2通过BGP独立选路后会优选ASG3发布的默认路由下一跳是ASG3,此时ASG1/ASG2是否发布默认路由给CSG设备取决于是否配置了tunnel-selector及是否有到ASG3的隧道,这里ASG1/ASG2没有到ASG3隧道因而导致CSG上默认路由消失,业务中断。可以通过如下2种方案进行规避:

(1)ASG向RR发布BGP VPNV4路由时过滤掉默认路由

ip ip-prefix no-default index 10 deny 0.0.0.0 0
ip ip-prefix no-default index 20 permit 0.0.0.0 0 less-equal 32
route-policy pref-rr permit node 10
 if-match ip-prefix no-default
 apply local-preference 500

(2) ASG在BGP私网实例内,修改本地preferred-value

route-policy zw-prf permit node 10
 apply preferred-value 10
ipv4-family vpn-instance zw 
 network 0.0.0.0 route-policy zw-prf

在实际的方案部署时,这两种方案都进行了配置,做到双保险。

7、如何避免BFD For TE-LSP误切换问题

BFD控制报文分正向报文跟反向报文,正向BFD报文都是封装在MPLS标签下的(很好理解,否则怎么判断LSP是好是坏?)但反向BFD报文可以是MPLS报文,也可以是IP报文。只需要和正向的BFD匹配Discriminator即可,上图中我们假设正向BFD报文走上行绿色TE-LSP,反向BFD报文走IP(红色路径),如果红色链路故障导致BFD收不到反向报文触发绿色TE-HSB切换到红色路径上引发业务中断,为了规避这种问题我们采用如下方式:

(1)静态BFD for TE-LSP:反向BFD会话有两种选择,1、反向为BFD for peer-ip会话,由于路由可能与正向LSP不共路,则当反向路径故障时,可能导致误切;2、反向也采用静态BFD for TE-LSP这样可以保证BFD反向报文也可以通过TE-LSP路径送回,通过显式路径设定反向TE-LSP与正向共路,这样正反向BFD报文均通过同一段路径收发从而避免误切问题的发生。

(2)动态BFD for TE-LSP:对于动态BFD for TE-LSP会话,反向BFD会话一定是BFD for peer-ip会话,也就是反向BFD报文查IP转发,此时需要建立反向tunnel(此tunnel与正向tunnel共路)并通过IGP Shortcut或Forwarding adjacency的方式让反向BFD报文通过此tunnel送回,这样也可以避免误切问题的发生。

说明:使能IGP Shortcut特性或转发邻接(Forwarding Adjacency)特性后,在进行SPF(Shortest Path First)计算和泛洪(flooding)时,所有TE隧道也被包括在内。


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 xumeng32@126.com

文章标题:FAQ-第5期-HVPN方案

文章字数:2.3k

本文作者:F_numen

发布时间:2020-02-17, 20:21:32

最后更新:2020-03-29, 15:01:35

原始链接:https://netheroone.cn/archives/80dc7250.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录
/*baidu统计*/