汪小滟

（哈爾濱元申廣電網(wǎng)絡(luò)有限公司，黑龍江 哈爾濱150090）

1 技術(shù)簡介

在一個MPLS/VPN網(wǎng)絡(luò)中，通常在兩個PE之間建立IBGP鄰居，用來交換VPN私網(wǎng)路由，此私網(wǎng)路由的下一跳為PE設(shè)備；另外，還需要在物理直連的PE-P、P-P之間建立IGP/LDP鄰居，從而建立外層隧道。而最終VPN路由轉(zhuǎn)發(fā)表項，則需要將VPNBGP路由的遠(yuǎn)端下一跳和IGP/LDP外層隧道進(jìn)行迭代，生成最終的VPN FIB表項，以此來指導(dǎo)PE設(shè)備上VPN業(yè)務(wù)的轉(zhuǎn)發(fā)。

當(dāng)MPLS/VPN網(wǎng)絡(luò)中發(fā)生各種故障后，首先進(jìn)行公網(wǎng)IGP/LDP路由的收斂，這個收斂在使用IGP/LDP快速收斂技術(shù)后，通?？梢赃_(dá)到200ms-800ms左右的收斂速度。IGP/LDP收斂之后，新的外層隧道生成，同時原先舊的外層隧道刪除，此時所有的BGP/VPN路由需要重新迭代一次，迭代到新的外層隧道后，下發(fā)到轉(zhuǎn)發(fā)平面，此時VPN業(yè)務(wù)才能最終收斂。這個收斂迭代時間和VPN的路由數(shù)目成正比關(guān)系。在VPN路由數(shù)目比較多的情況下，通常需要幾秒甚至幾十秒鐘才能完成。

2 關(guān)鍵技術(shù)

2.1 P設(shè)備IGP/LSP更新

在MPLS/VPN網(wǎng)絡(luò)中，當(dāng)P-P鏈路發(fā)生故障時。由于先向PE發(fā)送了一個LSP撤銷消息，然后再發(fā)送新的更新的LSP。這樣的過程導(dǎo)致了PE設(shè)備公網(wǎng)LSP隧道變化，所以必然要進(jìn)行一次VPN路由迭代。

新的P設(shè)備IGP/LSP更新技術(shù)解決了這個問題。在P1設(shè)備上，由于使用了IGP/LSP更新技術(shù)，IGP/LDP收斂均使用收斂后的新路由直接替換原先的老路由，所以不再向上游的PE設(shè)備發(fā)送LSP刪除以及更新消息，上游的PE設(shè)備沒有收到影響，所以無需進(jìn)行VPN路由迭代，這樣當(dāng)P1設(shè)備上完成IGP/LDP收斂之后，VPN業(yè)務(wù)即完成收斂。這樣在P-P鏈路故障，或者P設(shè)備故障（不引發(fā)PE-P鏈路故障）的情況，VPN業(yè)務(wù)端到端收斂時間完全取決于公網(wǎng)IGP/LDP收斂速度，而這個時間通常是200ms-800ms。

2.2 VPN按需迭代

當(dāng)PE-P鏈路發(fā)生故障后（包括PE設(shè)備故障，以及P設(shè)備故障引發(fā)的PE-P鏈路故障），由于去往遠(yuǎn)端PE的LSP發(fā)生了故障，所以本地VPN路由需要重新迭代，但并不是所有本地VPN路由都需要迭代，假設(shè)PE2-P2鏈路發(fā)生故障，此時PE2至PE1、PE5、PE6的外層隧道沒有任何變化，而PE至PE3、PE4的外層隧道則需要重新計算，生成新的LSP。

針對這種情況出現(xiàn)了VPN按需迭代技術(shù)。將所有的BGP/VPN路由按照不同的遠(yuǎn)端下一跳（即不同的PE）分別建立不同的隊列，當(dāng)公網(wǎng)隧道發(fā)生變化的時候，只需要對發(fā)生變化的外層隧道的BGP/VPN路由進(jìn)行迭代即可，其他不受影響的VPN路由則無需迭代，這樣往往可以節(jié)省大量的時間，從而加快網(wǎng)絡(luò)收斂速度。

2.3 VPN按照優(yōu)選級的按需迭代

在多業(yè)務(wù)MPLS/VPN承載網(wǎng)絡(luò)中，通常會有很多VPN，這些VPN業(yè)務(wù)有實時類業(yè)務(wù)，也有非實時類業(yè)務(wù)，所以它們的收斂速度和要求是有所區(qū)別的。針對這種情況，VPN按照優(yōu)先級的按需迭代功能則能很好的適應(yīng)和滿足這種需求。

2.4 VPN下一跳分離

VPN下一跳分離技術(shù)的實現(xiàn)原理在轉(zhuǎn)發(fā)平面，將VPN路由轉(zhuǎn)發(fā)表按照VPN路由的遠(yuǎn)端下一跳做分離，將原先的一個VPN路由表分離成兩張表，首先查找VPN路由表，查找出遠(yuǎn)端下一跳，然后再通過遠(yuǎn)端下一跳查出直連下一跳。當(dāng)公網(wǎng)發(fā)生故障后，公網(wǎng)IGP/LDP收斂，針對每個遠(yuǎn)端下一跳，直接將原先老的LSP1刪除，替換為新的LSP2，這樣所有的VPN都會按照新的LSP2進(jìn)行轉(zhuǎn)發(fā)。這樣VPN路由不再需要迭代，當(dāng)IGP/LSP收斂后VPN路由可以立即收斂，即使得VPN路由的收斂速度提升到IGP/LSP收斂的級別上來。

2.5 VPNFRR

VPNFRR技術(shù)實現(xiàn)原理如下：對于同一個VPN路由前綴在轉(zhuǎn)發(fā)平面同時安裝了主用路由和備用路由，同時使用快速檢測機(jī)制檢測主用路由外層隧道狀態(tài)。一旦檢測到某個外層隧道失效，則直接使用備用路由進(jìn)行報文轉(zhuǎn)發(fā)。由于備用路由已經(jīng)安裝在轉(zhuǎn)發(fā)表中，所以VPN路由的收斂時間主要取決與外層隧道狀態(tài)的檢測時間。其中對于外層隧道狀態(tài)檢測技術(shù)的不同，VPNFRR又可以分為BFD觸發(fā)的VPNFRR和IGP觸發(fā)的VPNFRR。其中BFD觸發(fā)的VPNFRR技術(shù)，使用BFD進(jìn)行外層隧道狀態(tài)檢測，這種方法的優(yōu)點是檢測速度比較快，通?？梢宰龅?00ms-500ms，不足點在于，需要整網(wǎng)配置多跳BFD；IGP觸發(fā)的VPNFRR技術(shù)中，當(dāng)網(wǎng)絡(luò)發(fā)生故障后，IGP/LDP重新收斂，收斂之后即可得知原先的外層隧道失效，此時即可將轉(zhuǎn)發(fā)平面中的外層隧道狀態(tài)置為無效，觸發(fā)VPN路由切換到備用路由上去。

VPNFRR技術(shù)除了可以用來進(jìn)行PE節(jié)點故障保護(hù)之外，同時也可以進(jìn)行PE-P鏈路、P-P鏈路、以及P設(shè)備故障保護(hù)。假設(shè)在PE1上部署VPNFRR，其中主用外層隧道為LSP1（去往主用PE3），備用隧道為LSP2（去往備用PE4）。當(dāng)P1和P2之間鏈路故障后，檢測到LSP1故障，觸發(fā)VPNFRR切換，流量切換到LSP2上。此后VPN重新迭代，重新迭代生成主用LSP3、備用LSP2的新的VPN路由，流量重新切回到LSP3上來。其中從LSP1切換到LSP2是一個VPNFRR切換過程，而LSP2切回到LSP3是一個路由更新不會造成丟包。因此VPN FRR技術(shù)完全可以做到端到端的VPN業(yè)務(wù)的保護(hù)。

2.6 BGP/VPN快速收斂技術(shù)總結(jié)

下面用一個表格，將這些技術(shù)使用的場景、需要的收斂時間，以及需要的網(wǎng)絡(luò)拓?fù)渥鲆粋€綜合比較。

BGP/VPN快速收斂比較表

結(jié)束語

MPLSVPN作為多業(yè)務(wù)承載網(wǎng)絡(luò)的基礎(chǔ)，其中BGP/VPN路由的收斂速度當(dāng)前已經(jīng)成為端到端業(yè)務(wù)收斂的瓶頸，而一系列BGP/VPN快速收斂技術(shù)的提供必然會大大提高業(yè)務(wù)保護(hù)能力，提高網(wǎng)絡(luò)的可靠性。使MPLSVPN網(wǎng)絡(luò)成為語音、視頻、數(shù)據(jù)業(yè)務(wù)的可靠、高效、易擴(kuò)展的多業(yè)務(wù)承載網(wǎng)絡(luò)。

[1]鐘曉莉,馬躍,王煒.MPLS/BGPVPN 體系結(jié)構(gòu)關(guān)鍵特性的研究.中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2003年年會論文集，2003-09-01.