基于 IP-IP 隧道的 BGP 第 3 层 VPN 概述

传统的 VPN 服务使用 MPLS 基于标签的转发技术。某些网络可能会从 MPLS 网络过渡到 IP 交换矩阵核心网络。IP 交换矩阵核心网络不支持 VPN 标签。

我们引入了对 BGP 第 3 层 IP over IP VPN （IP-IP） 隧道的支持，以创建新的传输服务，该服务不需要 VPN 标签来标识出口 PE 上的 VRF。此产品/服务使用相同的基础架构和相同的 BGP 拓扑结构，并通过 IP-IP 网络实现 RD 和路由目标，承载不同类型的流量。IP-IP 隧道终止到服务层 VRF，因此您无需使用服务标签。此功能允许新 VRF 和传统 VRF 之间的互操作性，因此两种类型的叠加可以在您的网络中共存。您可以使用此功能从 MPLS 网络过渡到 IP 交换矩阵核心网络，并保护您的网络免受分布式拒绝服务 （DDoS） 攻击。

在图 1 中，PE1 是同时支持传统隧道和新型隧道的出口 PE，因此它将在其 L3VPN 路由中通告这两种类型的隧道。PE2 是使用新型隧道到达 CE1 的入口 PE，PE3 是使用传统隧道到达 CE1 的入口 PE。如果选择 IP-IP 隧道来转发流量，则会忽略应用程序服务标签，并使用防火墙过滤器对流量进行多路分离。L3VPN 流量被解封装，然后在 VRF 中进行路由查找，同时对 IPv4/IPv6 流量进行解封装，并在 inet.0/inet6.0 表中执行路由查找。

威胁缓解系统前缀通过 BGP inetvpn 或 inet6vpn 单播更新进行交换。这些 BGP 更新带有隧道封装属性。BGP L3VPN 将威胁缓解前缀与互联网路由分开，不会影响互联网路由的最佳路径选择，从而最大限度地降低形成路由环路的可能性。在 Junos OS 20.3R1 及更高版本中，您可以选择使用 VPN over MPLS 传输或根据隧道属性切换到 IP over IP 隧道。如果接收方路由器在 Junos OS 20.2 或更早版本上运行，则 path 属性将被忽略，并使用传统的 MPLS 传输服务。

要通过 IP-IP 隧道使用 VPN，您需要配置隧道属性。直接从 VRF 表播发路由时，可以使用 BGP 或 VRF 导出策略附加隧道属性。启用 from-main-vpn-tables 通告语句时，或者当设备充当路由反射器或 AS 边界路由器时，您必须在 BGP 下使用 BGP 导出策略附加隧道属性。

您可以将接收方配置为使用隧道属性对动态隧道进行编程，以便在可信的 BGP 对等方上启用隧道属性。路由反射器能够反映具有隧道属性的路由，即使未配置。