10. Multi-AS Backbones (Dorsali multi-AS)
10. Multi-AS Backbones (Dorsali multi-AS)
Cosa succede se due siti di una VPN sono collegati a diversi Autonomous System (Sistemi Autonomi, AS) (ad esempio perché i siti sono collegati a diversi SP)? I router PE collegati a quella VPN non saranno in grado di mantenere una connessione IBGP tra loro o con un route reflector comune. Piuttosto, è necessario un modo per utilizzare EBGP per distribuire indirizzi VPN-IPv4.
Esistono diversi modi per gestire questo caso, che presentiamo in ordine crescente di scalabilità.
a) Connessioni VRF-a-VRF presso i router di confine AS.
In questa procedura, un router PE in un AS si connette direttamente a un router PE in un altro. I due router PE sono collegati tramite più sotto-interfacce, almeno una per ogni VPN le cui route devono passare da AS ad AS. Ogni PE tratterà l'altro come se fosse un router CE. Cioè, i PE associano ciascuna sotto-interfaccia a una VRF e utilizzano EBGP per distribuire indirizzi IPv4 non etichettati l'uno all'altro.
Questa è una procedura che "funziona e basta" e non richiede MPLS al confine tra AS. Tuttavia, non è scalabile come le altre procedure discusse di seguito.
b) Ridistribuzione EBGP di route VPN-IPv4 etichettate da AS ad AS vicino.
In questa procedura, i router PE utilizzano IBGP per ridistribuire route VPN-IPv4 etichettate o a un Autonomous System Border Router (ASBR), o a un route reflector di cui l'ASBR è un client. L'ASBR utilizza quindi EBGP per ridistribuire quelle route VPN-IPv4 etichettate a un ASBR in un altro AS, che a sua volta le distribuisce ai router PE in quell'AS, o forse a un altro ASBR che a sua volta le distribuisce, e così via.
Quando si utilizza questa procedura, le route VPN-IPv4 dovrebbero essere accettate sulle connessioni EBGP solo nei punti di peering privati, come parte di un accordo fiduciario tra SP. Le route VPN-IPv4 non dovrebbero essere distribuite né accettate dall'Internet pubblico, né da peer BGP non fidati. Un ASBR non dovrebbe mai accettare un pacchetto etichettato da un peer EBGP a meno che non abbia effettivamente distribuito l'etichetta superiore a quel peer.
Se ci sono molte VPN con siti collegati a diversi sistemi autonomi, non è necessario che esista un singolo ASBR tra i due AS che detiene tutte le route per tutte le VPN; possono esserci più ASBR, ognuno dei quali detiene solo le route per un particolare sottoinsieme di VPN.
Questa procedura richiede che esista un percorso a commutazione di etichetta che porta dal PE in ingresso di un pacchetto al suo PE in uscita. Pertanto, le appropriate relazioni di fiducia devono esistere tra e all'interno dell'insieme di AS lungo il percorso. Inoltre, deve esserci accordo tra l'insieme di SP su quali router di confine devono ricevere route con quali Route Target.
c) Ridistribuzione EBGP multihop di route VPN-IPv4 etichettate tra AS sorgente e destinazione, con ridistribuzione EBGP di route IPv4 etichettate da AS ad AS vicino.
In questa procedura, le route VPN-IPv4 non sono né mantenute né distribuite dagli ASBR. Un ASBR deve mantenere route IPv4 /32 etichettate verso i router PE all'interno del suo AS. Utilizza EBGP per distribuire queste route ad altri AS. Gli ASBR in qualsiasi AS di transito devono anche utilizzare EBGP per passare le route /32 etichettate. Ciò si traduce nella creazione di un percorso a commutazione di etichetta dal router PE in ingresso al router PE in uscita. Ora, i router PE in AS diversi possono stabilire connessioni EBGP multihop tra loro e possono scambiare route VPN-IPv4 su tali connessioni.
Se le route /32 verso i router PE sono note ai router P di ciascun AS, tutto funziona correttamente. Se le route /32 verso i router PE **NON (NOT)** sono note ai router P (diversi dagli ASBR), allora questa procedura richiede che il PE in ingresso di un pacchetto posizioni una pila di tre etichette su di esso. L'etichetta inferiore è distribuita dal PE in uscita e corrisponde all'indirizzo di destinazione del pacchetto in una particolare VRF. L'etichetta centrale è distribuita dall'ASBR e corrisponde alla route /32 verso il PE in uscita. L'etichetta superiore è distribuita dal next hop IGP del PE in ingresso e corrisponde alla route /32 verso l'ASBR.
Per migliorare la scalabilità, si può fare in modo che le connessioni EBGP multihop esistano solo tra un route reflector in un AS e un route reflector in un altro. (Tuttavia, quando i route reflector distribuiscono route su questa connessione, non modificano l'attributo BGP next hop delle route.) I router PE effettivi avrebbero solo connessioni IBGP con il route reflector nel proprio AS.
Questa procedura è molto simile alla procedura "carrier's carrier" descritta nella Sezione 9. Come la procedura precedente, richiede che esista un percorso a commutazione di etichetta che porta dal PE in ingresso di un pacchetto al suo PE in uscita.