汪小滟

（哈爾濱元申廣電網(wǎng)絡(luò)有限公司，黑龍江 哈爾濱150090）

1 技術(shù)簡(jiǎn)介

在一個(gè)MPLS/VPN網(wǎng)絡(luò)中，通常在兩個(gè)PE之間建立IBGP鄰居，用來(lái)交換VPN私網(wǎng)路由，此私網(wǎng)路由的下一跳為PE設(shè)備；另外，還需要在物理直連的PE-P、P-P之間建立IGP/LDP鄰居，從而建立外層隧道。而最終VPN路由轉(zhuǎn)發(fā)表項(xiàng)，則需要將VPNBGP路由的遠(yuǎn)端下一跳和IGP/LDP外層隧道進(jìn)行迭代，生成最終的VPN FIB表項(xiàng)，以此來(lái)指導(dǎo)PE設(shè)備上VPN業(yè)務(wù)的轉(zhuǎn)發(fā)。

當(dāng)MPLS/VPN網(wǎng)絡(luò)中發(fā)生各種故障后，首先進(jìn)行公網(wǎng)IGP/LDP路由的收斂，這個(gè)收斂在使用IGP/LDP快速收斂技術(shù)后，通?？梢赃_(dá)到200ms-800ms左右的收斂速度。IGP/LDP收斂之后，新的外層隧道生成，同時(shí)原先舊的外層隧道刪除，此時(shí)所有的BGP/VPN路由需要重新迭代一次，迭代到新的外層隧道后，下發(fā)到轉(zhuǎn)發(fā)平面，此時(shí)VPN業(yè)務(wù)才能最終收斂。這個(gè)收斂迭代時(shí)間和VPN的路由數(shù)目成正比關(guān)系。在VPN路由數(shù)目比較多的情況下，通常需要幾秒甚至幾十秒鐘才能完成。

2 關(guān)鍵技術(shù)

2.1 P設(shè)備IGP/LSP更新

在MPLS/VPN網(wǎng)絡(luò)中，當(dāng)P-P鏈路發(fā)生故障時(shí)。由于先向PE發(fā)送了一個(gè)LSP撤銷消息，然后再發(fā)送新的更新的LSP。這樣的過程導(dǎo)致了PE設(shè)備公網(wǎng)LSP隧道變化，所以必然要進(jìn)行一次VPN路由迭代。

新的P設(shè)備IGP/LSP更新技術(shù)解決了這個(gè)問題。在P1設(shè)備上，由于使用了IGP/LSP更新技術(shù)，IGP/LDP收斂均使用收斂后的新路由直接替換原先的老路由，所以不再向上游的PE設(shè)備發(fā)送LSP刪除以及更新消息，上游的PE設(shè)備沒有收到影響，所以無(wú)需進(jìn)行VPN路由迭代，這樣當(dāng)P1設(shè)備上完成IGP/LDP收斂之后，VPN業(yè)務(wù)即完成收斂。這樣在P-P鏈路故障，或者P設(shè)備故障（不引發(fā)PE-P鏈路故障）的情況，VPN業(yè)務(wù)端到端收斂時(shí)間完全取決于公網(wǎng)IGP/LDP收斂速度，而這個(gè)時(shí)間通常是200ms-800ms。

2.2 VPN按需迭代

當(dāng)PE-P鏈路發(fā)生故障后（包括PE設(shè)備故障，以及P設(shè)備故障引發(fā)的PE-P鏈路故障），由于去往遠(yuǎn)端PE的LSP發(fā)生了故障，所以本地VPN路由需要重新迭代，但并不是所有本地VPN路由都需要迭代，假設(shè)PE2-P2鏈路發(fā)生故障，此時(shí)PE2至PE1、PE5、PE6的外層隧道沒有任何變化，而PE至PE3、PE4的外層隧道則需要重新計(jì)算，生成新的LSP。

針對(duì)這種情況出現(xiàn)了VPN按需迭代技術(shù)。將所有的BGP/VPN路由按照不同的遠(yuǎn)端下一跳（即不同的PE）分別建立不同的隊(duì)列，當(dāng)公網(wǎng)隧道發(fā)生變化的時(shí)候，只需要對(duì)發(fā)生變化的外層隧道的BGP/VPN路由進(jìn)行迭代即可，其他不受影響的VPN路由則無(wú)需迭代，這樣往往可以節(jié)省大量的時(shí)間，從而加快網(wǎng)絡(luò)收斂速度。

2.3 VPN按照優(yōu)選級(jí)的按需迭代

在多業(yè)務(wù)MPLS/VPN承載網(wǎng)絡(luò)中，通常會(huì)有很多VPN，這些VPN業(yè)務(wù)有實(shí)時(shí)類業(yè)務(wù)，也有非實(shí)時(shí)類業(yè)務(wù)，所以它們的收斂速度和要求是有所區(qū)別的。針對(duì)這種情況，VPN按照優(yōu)先級(jí)的按需迭代功能則能很好的適應(yīng)和滿足這種需求。

2.4 VPN下一跳分離

VPN下一跳分離技術(shù)的實(shí)現(xiàn)原理在轉(zhuǎn)發(fā)平面，將VPN路由轉(zhuǎn)發(fā)表按照VPN路由的遠(yuǎn)端下一跳做分離，將原先的一個(gè)VPN路由表分離成兩張表，首先查找VPN路由表，查找出遠(yuǎn)端下一跳，然后再通過遠(yuǎn)端下一跳查出直連下一跳。當(dāng)公網(wǎng)發(fā)生故障后，公網(wǎng)IGP/LDP收斂，針對(duì)每個(gè)遠(yuǎn)端下一跳，直接將原先老的LSP1刪除，替換為新的LSP2，這樣所有的VPN都會(huì)按照新的LSP2進(jìn)行轉(zhuǎn)發(fā)。這樣VPN路由不再需要迭代，當(dāng)IGP/LSP收斂后VPN路由可以立即收斂，即使得VPN路由的收斂速度提升到IGP/LSP收斂的級(jí)別上來(lái)。

2.5 VPNFRR

VPNFRR技術(shù)實(shí)現(xiàn)原理如下：對(duì)于同一個(gè)VPN路由前綴在轉(zhuǎn)發(fā)平面同時(shí)安裝了主用路由和備用路由，同時(shí)使用快速檢測(cè)機(jī)制檢測(cè)主用路由外層隧道狀態(tài)。一旦檢測(cè)到某個(gè)外層隧道失效，則直接使用備用路由進(jìn)行報(bào)文轉(zhuǎn)發(fā)。由于備用路由已經(jīng)安裝在轉(zhuǎn)發(fā)表中，所以VPN路由的收斂時(shí)間主要取決與外層隧道狀態(tài)的檢測(cè)時(shí)間。其中對(duì)于外層隧道狀態(tài)檢測(cè)技術(shù)的不同，VPNFRR又可以分為BFD觸發(fā)的VPNFRR和IGP觸發(fā)的VPNFRR。其中BFD觸發(fā)的VPNFRR技術(shù)，使用BFD進(jìn)行外層隧道狀態(tài)檢測(cè)，這種方法的優(yōu)點(diǎn)是檢測(cè)速度比較快，通?？梢宰龅?00ms-500ms，不足點(diǎn)在于，需要整網(wǎng)配置多跳BFD；IGP觸發(fā)的VPNFRR技術(shù)中，當(dāng)網(wǎng)絡(luò)發(fā)生故障后，IGP/LDP重新收斂，收斂之后即可得知原先的外層隧道失效，此時(shí)即可將轉(zhuǎn)發(fā)平面中的外層隧道狀態(tài)置為無(wú)效，觸發(fā)VPN路由切換到備用路由上去。

VPNFRR技術(shù)除了可以用來(lái)進(jìn)行PE節(jié)點(diǎn)故障保護(hù)之外，同時(shí)也可以進(jìn)行PE-P鏈路、P-P鏈路、以及P設(shè)備故障保護(hù)。假設(shè)在PE1上部署VPNFRR，其中主用外層隧道為L(zhǎng)SP1（去往主用PE3），備用隧道為L(zhǎng)SP2（去往備用PE4）。當(dāng)P1和P2之間鏈路故障后，檢測(cè)到LSP1故障，觸發(fā)VPNFRR切換，流量切換到LSP2上。此后VPN重新迭代，重新迭代生成主用LSP3、備用LSP2的新的VPN路由，流量重新切回到LSP3上來(lái)。其中從LSP1切換到LSP2是一個(gè)VPNFRR切換過程，而LSP2切回到LSP3是一個(gè)路由更新不會(huì)造成丟包。因此VPN FRR技術(shù)完全可以做到端到端的VPN業(yè)務(wù)的保護(hù)。

2.6 BGP/VPN快速收斂技術(shù)總結(jié)

下面用一個(gè)表格，將這些技術(shù)使用的場(chǎng)景、需要的收斂時(shí)間，以及需要的網(wǎng)絡(luò)拓?fù)渥鲆粋€(gè)綜合比較。

BGP/VPN快速收斂比較表

結(jié)束語(yǔ)

MPLSVPN作為多業(yè)務(wù)承載網(wǎng)絡(luò)的基礎(chǔ)，其中BGP/VPN路由的收斂速度當(dāng)前已經(jīng)成為端到端業(yè)務(wù)收斂的瓶頸，而一系列BGP/VPN快速收斂技術(shù)的提供必然會(huì)大大提高業(yè)務(wù)保護(hù)能力，提高網(wǎng)絡(luò)的可靠性。使MPLSVPN網(wǎng)絡(luò)成為語(yǔ)音、視頻、數(shù)據(jù)業(yè)務(wù)的可靠、高效、易擴(kuò)展的多業(yè)務(wù)承載網(wǎng)絡(luò)。

[1]鐘曉莉,馬躍,王煒.MPLS/BGPVPN 體系結(jié)構(gòu)關(guān)鍵特性的研究.中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2003年年會(huì)論文集，2003-09-01.