1、作者：中國(guó)電信北京研究院王愛俊背景隨著MPLS術(shù)的成熟，其應(yīng)用越來越廣泛，尤其是在VPN方面。電信運(yùn)營(yíng)商提供給用戶的 MPLSVP服務(wù)主要有 MPLSLayer2 VPN和 MPLS Layer 3 VPN 兩類。MPLS Layer 2 VPN 因 標(biāo)準(zhǔn)化和復(fù)雜性問題，目前還沒有被大規(guī)模采用；而 MPLS Layer 3 VPN具有高度的靈活性和 擴(kuò)展性，正成為取代傳統(tǒng)專線VPN的技術(shù)。最初的MPLSLayerVPN術(shù)主要應(yīng)用在一個(gè) AS域內(nèi)，為用戶提供在本 AS域內(nèi)的、基于 MPLS/IP技術(shù)的VPN!信。隨著 MPLS VPN&一個(gè)AS域內(nèi)的廣泛應(yīng)用，跨域間的 VPN通信需求 逐漸增加。

2、跨域MPLSLayer3VPN勺實(shí)現(xiàn)方法有許多種。對(duì)于大型電信運(yùn)營(yíng)商來說，目前需要解決 的問題是如何部署一個(gè)易擴(kuò)展、易維護(hù)的跨域MPLS Layer 3 VPN。MPLSLayer3 VPN 架構(gòu)典型的MPLSLayer3VPN構(gòu)如圖1所示。其中，PE與CE之間可以運(yùn)行 Static、RIP、 OSP林口 BG邛協(xié)議來傳送IP路由信息，而入口 PE與出口 PE之間則通過 MP-iBGP ( MultiProtocol extension - internal BGP )來傳送 VPN-IP 路由信息。圖1 MPLS-Layer-3-VPN典型的架構(gòu)跨域MPLSLayer3 VPN實(shí)現(xiàn)方案及比較

3、跨域MPLSLayer3VPNi要解決的是 VPN的跨域?qū)崿F(xiàn)，也就是 VPN IPv4路由信息的跨域傳遞。其主要的實(shí)現(xiàn)方案有ASBR(Autonomous System Boundary Router ,自治區(qū)系統(tǒng)邊界路 由器）間背靠背 VRF-VRF連接、ASBR間通過MP-eBG吩發(fā)VPN-IPv4路由信息和相應(yīng)的標(biāo)簽以 及RR間通過Multi-hop MP-eBGP 分發(fā)VPN-IPv4路由信息和相應(yīng)的標(biāo)簽三類。下面分別介紹這 三種方案的實(shí)現(xiàn)原理。方案的實(shí)現(xiàn)原理方案一:ASBR可背靠背VRF-VRF連接方案一實(shí)現(xiàn)起來最簡(jiǎn)單。它通過兩個(gè)AS的ASBR間建立VRF-VRF連接來實(shí)現(xiàn) MPLS

4、勺跨域互通。具體做法就是每個(gè)ASBR1過直連鏈路或者子接口建立到對(duì)方ASBR勺VRF連接，也就是以本ASBR乍為PE、對(duì)端ASBR乍為自己的CE來進(jìn)行VPNM內(nèi)路由的跨域分發(fā)。下面結(jié)合圖2來說明方案一的具體實(shí)現(xiàn)。圖2 方案一實(shí)現(xiàn)原理示意如圖2所示，VPN-A內(nèi)的IP路由信息由 CE1-A通過RIP、OSP或者BG明發(fā)給PE11, PE11將其保存在對(duì)應(yīng)的 VRF （VPN路由轉(zhuǎn)發(fā)）表中，添加 RD （ RouteDistinguisher ,路由區(qū)分 符），將其變?yōu)?VPN-IP路由，并且為t路由分配MPLSVPNP的內(nèi)層標(biāo)簽 V1,之后通過 MP-iBGP將該路由信息和對(duì)應(yīng)的標(biāo)簽信息發(fā)送給同

5、一域內(nèi)的對(duì)等點(diǎn)，也就是圖2中的ASBR1此時(shí)，ASBR祚為CE,將收到的VPN-IP路由信息中的IP路由提取出來，同時(shí)保留收到的內(nèi)層標(biāo) 簽。提取出來的IP路由（注意：非 VPN-IP路由）由ASBR1（CE）通過相應(yīng)的路由協(xié)議（RIP、OSP林口 BGK?）發(fā)送給 ASBR2（PE）,由ASBR2s行類似PE11的操作，然后將其發(fā)送 給PE22,而后由PE22發(fā)送給位于 VPN-A的CE2-A。當(dāng)CE2-A有數(shù)據(jù)要發(fā)送給 CE1-A時(shí)，首先 發(fā)送數(shù)據(jù)給PE22,由PE22為該數(shù)據(jù)包加上兩層標(biāo)簽（外層MPL刖簽和由ASBR吩發(fā)的內(nèi)層VPNB簽V2）,之后經(jīng)過 MPLSLS囹達(dá)ASBR2（到達(dá)時(shí)該

6、數(shù)據(jù)包只有內(nèi)層標(biāo)簽）。ASBR2艮據(jù)內(nèi)層標(biāo)簽在VRF表中查找相應(yīng)的鏈路和子接口，去除內(nèi)層標(biāo)簽，將純 IP數(shù)據(jù)包發(fā)送給ASBR! ASBR做據(jù)接收數(shù)據(jù)包的鏈路選擇相應(yīng)的 VRF表，之后進(jìn)行類似 PE22所完成的工作 （給數(shù)據(jù)包加上兩層標(biāo)簽），并將數(shù)據(jù)包通過MPLS LSP發(fā)送到PE1 （到達(dá)PE1時(shí)只剩內(nèi)層標(biāo)簽），由PE1根據(jù)VRF表發(fā)送給CE1-A。上述VRF背對(duì)背連接的一個(gè)特點(diǎn)是 ASBM口 ASBB間的連接不需要支持 MPLS但因?yàn)?每一個(gè)VPN都需要一個(gè)獨(dú)立的接入鏈路，所以該方案只適合在小區(qū)域內(nèi)小規(guī)模部署。方案二：ASBR可通過MP-eBGP發(fā)VPN-IPv4路由信息和相應(yīng)的標(biāo)簽在方案二

7、中，ASBR間仍然是物理直連，但 VPN-IP路由信息是通過它們之間的MP-eBGP關(guān)系進(jìn)行傳送。在了解該方案之前，我們首先需要明白MPLSVPNP VPN標(biāo)簽分發(fā)的一個(gè)原則：VPN標(biāo)簽分發(fā)時(shí)，與其同時(shí)發(fā)送白下一跳地址必須是VPNB簽分發(fā)者本身，否則就需要重新分發(fā)VPN標(biāo)簽。如圖3所示，當(dāng)PE11為VPN-A中的路由分發(fā) VPN標(biāo)簽V1時(shí)，這些路由的下一跳必須是PE11本身。圖3方案二實(shí)現(xiàn)原理示意在該方案中，兩個(gè) ASBM間是e-BGP連接。這樣，當(dāng) ASBR1向ASBR2送VPN-IP路 由信息時(shí)，VPN-A中路由的下一跳就會(huì)由原來的PE11變?yōu)锳SBR1因?yàn)橄乱惶l(fā)生變化，所以ASBR1必

8、須重新為 VPN-A中的路由信息分配 VPN標(biāo)簽V2, ASBR酢收到這些 VPN-IP路由信息 后，再向其 MP-iBGP鄰居PE22進(jìn)行分發(fā)。如果不對(duì)ASBR2做任何特別的配置，那么在其向PE22分發(fā)VPN-A路由信息時(shí)，這些路由信息的下一跳仍然為 ASBR1這就要求AS2域中的其他路由器也應(yīng)該知道ASBR1的IP地址，并為這個(gè)地址分配相應(yīng)的外層標(biāo)簽。ASBR1與ASBR21立MP-eBG啷居，可以使用它們之間的直連鏈路地址，也可以使用 各自的loopback地址。如果使用后者，ASBR1和ASBR2間的關(guān)系就是 Multi-hopMP-eBGP ,不過處理方法與直連的 MP-eBGP似，

9、主要是把用來建立鄰居關(guān)系的IP地址用對(duì)應(yīng)的方法分發(fā)給對(duì)等域中的路由器即可。把本域中路由器地址分發(fā)給其他域可能有一定的安全風(fēng)險(xiǎn)。由此延伸而來的另一種解決辦法是，在配置 ASBR2與PE22的MP-iBGP鄰居關(guān)系時(shí)，通過在 ASBRZlH置next-hop-self 來人為地將 ASBR1發(fā)送來的VPN-IP路由下一跳改為自己，這樣就避免了 ASBR1的IP地 址在AS2中擴(kuò)散，從而增加一定的安全性。但因?yàn)樯婕跋乱惶刂返母淖?，所以?VPN-IP路由信息分發(fā)到 ASBR湄，ASBR器!重新為其分配 VPNfe簽V3。以上所述主要是 VPN-IP路由信息從 AS1到AS2傳送過程中的一些配置和處

10、理，在 VPN-IP路由信息從 AS2到AS1的傳遞過程中，對(duì)應(yīng)的ASB嘲進(jìn)行同樣的配置和處理。當(dāng)ASBR1與ASBR2過MP-eBGPt立鄰居關(guān)系，并且各自與自己的PE通過next-hop-self 建立iBGP鄰居關(guān)系時(shí)（這樣就涉及 VPN標(biāo)簽的重新分配），典型白數(shù)據(jù)傳送過程如圖3所示。在此需要特別指出的是，由于在ASBRW ASBR2均進(jìn)行了 next-hop-self 配置，VPN-A路由的下一跳地址在傳送過程中要改變兩次，因此出現(xiàn)了三個(gè)VPN標(biāo)簽（一個(gè)VPN路由下一跳生成一個(gè)標(biāo)簽。另外要注意此時(shí)ASBR1與ASBR2專送的是帶VPN標(biāo)簽的IP數(shù)據(jù)包，所以要求它們之間的鏈路支持MPLS

11、對(duì)于本方案中的其他解決辦法，也可畫出類似的數(shù)據(jù)傳送過程，惟一不同的就是如果ASBR環(huán)改變ASBR1發(fā)來的路由信息的下一跳，ASBR2沒必要重新分配 VPNB簽V3,當(dāng)數(shù)據(jù)包到達(dá)ASBR2時(shí)應(yīng)該包含兩層標(biāo)簽，而后由ASBR2IIJ去外層的MPLS簽，將帶 VPN標(biāo)簽的數(shù)據(jù)包發(fā)送給ASBR1由ASBR1完成后續(xù)的加標(biāo)簽和發(fā)送工作。方案三：RR間通過 Multi-hopMP-eBGP分發(fā)VPN-IPv4路由信息和相應(yīng)的標(biāo)簽對(duì)于大型電信運(yùn)營(yíng)商，因其網(wǎng)絡(luò)中一般有很多PE,如果要求它們之間都相互建立iBGP連接關(guān)系，也就是fullmeshiBGP ,那么其維護(hù)或?qū)淼臄U(kuò)展將會(huì)很困難。解決這個(gè)問題的辦法就是

12、在自治域內(nèi)部署 RR在RR間直接建立 Mult-hopMP-eBGP鄰居關(guān)系。如圖4所示，PE11為VPN-A中的路由分配 VPN標(biāo)簽V1,并將下一跳設(shè)置為自己，而后 將這些信息發(fā)送給 RR! RR1在收到PE11發(fā)來的VPN-IP路由信息時(shí)，通過 eBGP!接直接將其 發(fā)送給RR2而后由RR2發(fā)送給對(duì)應(yīng)的PE22（在此處，可以對(duì) RR1與RR2進(jìn)行相應(yīng)的配置，如 next-hop-unchanged ,這樣RR2在收到上述信息后，下一跳地址仍保持為PE11,對(duì)應(yīng)的VPN標(biāo)簽仍是原來PE11分發(fā)的那個(gè)標(biāo)簽。當(dāng)然也可以不做這樣的設(shè)置，這樣的話RR2需要為這些路由重新分配標(biāo)簽）。位于各自治域的PE

13、只需跟本域的RR建立iBGP鄰居關(guān)系即可。1圖4 方案三實(shí)現(xiàn)原理示意需要特別指出的是，由于 RR1與RR2采用next-hop-unchanged 來建立 Multi-hopMP- eBGP4B居關(guān)系，VPN-A中路由信息的下一跳在傳送過程中一直未發(fā)生變化，因此整個(gè)過程僅有 一個(gè)VPN標(biāo)簽被使用。另外，ASBRW ASBR2可傳送的是加上兩層標(biāo)簽（外層MPLSf簽和VPN標(biāo)簽）的IP數(shù)據(jù)包，自然要求它們之間的鏈路支持MPLS而且，分別位于兩個(gè) AS中的PE11和PE22之間需要有一條LSP存在，也就是說 PE22需要為PE11分配外層MPL的簽（如圖4中的L4）,這 可能給大規(guī)模部署后的維護(hù)帶

14、來一些困難。方案比較上述三個(gè)方案的優(yōu)缺點(diǎn)比較見表1。4對(duì)中國(guó)電信開展 MPLSLayer3 VPN部署的建議中國(guó)電信的CN2骨干網(wǎng)目前全面支持 MPLSLayer3VPN勺部署，在骨干網(wǎng)上直接進(jìn)行 MPLS VPN勺部署相對(duì)來說比較容易，但其欲采用MPLS VPNt持的業(yè)務(wù)，如軟交換業(yè)務(wù)、大客戶數(shù)據(jù)業(yè)務(wù)等主要來自各城域網(wǎng)。因此，要實(shí)現(xiàn)全網(wǎng)對(duì)MPLS VPN勺支持，首先要對(duì)各城域網(wǎng)進(jìn)行改造，使其支持 MPLS Layer 3 VPN。改造后的城域網(wǎng)除了支持在本城域網(wǎng)內(nèi)開展MPLSLayer3VPNlk務(wù)外，還需要與 CN2骨干網(wǎng)對(duì)接，實(shí)現(xiàn)跨地區(qū)、跨省的 MPLS Layer 3 VPN業(yè)務(wù)。這就

15、需要部署跨域 MPLS VPN考慮到中國(guó)電信目前城域網(wǎng)數(shù)量眾多，骨干網(wǎng)上與城域網(wǎng)對(duì)接的PE路由器數(shù)量約是城域網(wǎng)數(shù)量的兩倍，因此骨干網(wǎng)內(nèi)PE之間的iBGP連接只能采用 RouteReflector 或者BGPConfederation方式。從規(guī)劃和管理方面考慮，采用 RouteReflector 建立骨干網(wǎng)內(nèi)各 PE 間的iBGP連接更加合適。如果城域網(wǎng)內(nèi)的 PE數(shù)量較少，則它們之間可以直接建立iBGP鄰居關(guān)系；如果城域網(wǎng)內(nèi)的PE數(shù)量較多或者考慮到將來擴(kuò)展的需要，建議采用RouteReflector 方式建設(shè)。對(duì)于城域網(wǎng)之間的跨域連接，也應(yīng)根據(jù)城域網(wǎng)內(nèi)PE的數(shù)量分別設(shè)計(jì)。(1)如果城域網(wǎng)沒有采用

16、 RouteReflector 方式建設(shè)，則其與 CN2的跨域VPN連接可 綜合方案二、三，采用骨干網(wǎng)的 RR與城域網(wǎng)的PE (ASBR建立Multi-hopMP-eBGP鄰居關(guān)系 來實(shí)現(xiàn)VPN的跨域連通，如圖 5所示。但是，這種方案中城域網(wǎng) PE同時(shí)兼任ASBRW RR不 利于以后的配置、維護(hù)和調(diào)試，所以不建議采用。圖5 中國(guó)電信MPLS夸域VPN連接方案(2)如果城域網(wǎng)采用 RouteReflector 方式建設(shè)，則其與 CN2的跨域VPN連接可直接 采用方案三來實(shí)現(xiàn)，也就是RR間直接建立 Multi-hopMP-eBGP連接。但是，正如前面分析時(shí)所說，如果直接采用方案三，則VPN兩端的P

17、E之間必須維持一條 LSP,也就是參與通信的 PE、路由器都必須為源 PE分配一個(gè)標(biāo)簽。這對(duì)于大型電信網(wǎng)絡(luò)來說，無疑會(huì)增加維護(hù)的難度和安 全方面的問題，因?yàn)椴煌蚬歉陕酚善鞯腎P地址信息最好相互隔離，除非是邊界路由器。我們不妨結(jié)合方案二和方案三各自的優(yōu)點(diǎn)，采用圖6所示的網(wǎng)絡(luò)結(jié)構(gòu)。圖6中國(guó)電信跨域 MPLS-Layer 3 VPN目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)及實(shí)現(xiàn)流程示意該方案具有以下特點(diǎn):l同一域內(nèi)的PE路由器間不直接建立 MP-iBGP鄰居關(guān)系，而是各自與本域內(nèi)的RR建立MP-iBGP鄰居關(guān)系，適合于 PE數(shù)量較多的城域網(wǎng)，能夠保證將來的擴(kuò)展性（以后每新增一 臺(tái)PE,只需對(duì)PE和本域內(nèi)的RR進(jìn)行重新配置即可）。l不同域ASBR可建立MP-eBGF4B居關(guān)系（相鄰域 ASBR可傳送加VPNB簽的IP數(shù)據(jù) 包）。l邊界路由器 ASBR與本域內(nèi)RR1立MP-iBGP鄰居關(guān)系時(shí)，使用 next-hop-self 將 VPN-IPv4路由信息的下一跳改為自己，再將其發(fā)