摘 要：本文首先簡單介紹了MPLS VPN技術組網(wǎng)的基本分層結構，后借助NE80E/40E 路由器配置為例，具體介紹了路由器跨域MPLS L3 VPN的組織結構、配置思路和實現(xiàn)方法。

關鍵詞：MPLS VPN；路由器；配置

中圖分類號：TP393.1

MPLS VPN由于在靈活性、擴展性、QoS方面的優(yōu)勢，逐漸成為最主要的IP-VPN技術，采用MPLS VPN組建各類虛擬專網(wǎng)，首先保證了網(wǎng)絡數(shù)據(jù)流的安全性和服務質量。其次，滿足多種靈活的業(yè)務需求，此技術將會在綜合信息網(wǎng)絡虛擬專網(wǎng)建設中推廣使用。

1 MPLS VPN組織結構

目前，幾乎所有的網(wǎng)絡設計都采用分層結構，例如，骨干——核心——匯聚——接入四層模型是城域網(wǎng)典型結構，所采用設備等級依次程下降，而信息網(wǎng)絡的規(guī)模則不斷擴大。核心層與骨干層常用網(wǎng)狀拓撲結構，這樣可以增加冗余，以確保信息網(wǎng)絡具有良好的可靠性和抗毀性。在這樣的信息網(wǎng)絡中，PE節(jié)點該如何部署呢？我們可以將PE直接設置在核心層（即在骨干網(wǎng)層邊緣直接相連CE），也可以將其部署在匯聚層和接入層?，F(xiàn)在最常用的做法是將PE分為多個層，這個層分別對應整個網(wǎng)絡拓撲結構的層次，來共同負責全網(wǎng)的VPN業(yè)務的完成。同樣，在這種分層部署的MPLS VPN中，網(wǎng)絡層次越高則PE性能及容量等方面的要求就更苛刻，網(wǎng)絡層次越低則PE性能及容量等方面的要求就更寬松。同樣，這種類型MPLS VPN中網(wǎng)絡層次越靠下，則PE設備的量就越大，同時MPLS VPN用戶的接入能力也就更強。

采用分層結構設計的MPLS VPN中，網(wǎng)絡系統(tǒng)組成一般為骨干和核心節(jié)點作為P路由器，匯聚節(jié)點作為PE路由器，接入節(jié)點作為CE路由器。骨干節(jié)點作為本自治系統(tǒng)的ASBR。

1.1 跨域組網(wǎng)結構

實現(xiàn)跨域MPLS VPN服務的方式多種多樣，目前有如，OptionB跨域的VPN組網(wǎng)方式，提供域間MPLS VPN服務。使用MPLS VPN技術入網(wǎng)的用戶可以跨越多個自治系統(tǒng)，以實現(xiàn)組成MPLS VPN網(wǎng)絡，此方法是信息網(wǎng)絡組建中較為推廣使用方案。如圖3-2所示。

圖中自治系統(tǒng)的ASBR為骨干節(jié)點，其與同他直連的其它自治系統(tǒng)的ASBR之間，配置的是MP-EBGP協(xié)議，對端的直連接口地址被用作協(xié)議會話鄰居的地址。網(wǎng)絡通過域間MP-EBGP分發(fā)VPN標簽，ASBR將改變路由的下一跳屬性。ASBR與域內節(jié)點運行的OSPF、MP-IBGP（RR）和LDP等協(xié)議不變。

2 基于NE80E/40E的配置MPLS VPN

2.1 配置思路

如圖3-1為采用單跳MP-EBGP方式構建的MPLS-VPN網(wǎng)絡，該網(wǎng)絡提供域間MPLS-VPN服務。VPN用戶可以跨越任意自治系統(tǒng)，實現(xiàn)VPN組網(wǎng)。

CE1和CE2屬于同一個VPN。CE1通過AS100的PE1接入，CE2通過AS200的PE2接入。采用OptionB方式實現(xiàn)跨域的BGP/MPLS IP VPN：在骨干網(wǎng)上運行IGP協(xié)議實現(xiàn)同一AS的ASBR與PE之間的互通，并且同一AS的ASBR與PE之間要建立MPLS LDP LSP。在PE與CE之間需要建立EBGP對等體關系；PE與ASBR之間建立MP-IBGP對等體關系。在PE上需配置VPN實例（在ASBR上無需配置VPN實例）。在ASBR上與另一ASBR相連接口上分別使能MPLS，且ASBR之間建立MP-EBGP對等體關系。

2.2 設備配置方案

（1）在AS100和AS200的MPLS骨干網(wǎng)上分別配置IGP協(xié)議，實現(xiàn)各自骨干網(wǎng)PE之間的互通本例中采用OSPF，具體配置步驟略。配置完成后，同一AS的ASBR與PE之間應能建立OSPF鄰居關系，執(zhí)行display ospf peer命令可以看到鄰居狀態(tài)為Full。

（2）在AS100和AS200的MPLS骨干網(wǎng)上分別配置MPLS基本能力和MPLS LDP，建立LDP LSP。

（3）為PE1和PE2配置基本BGP/MPLS IP VPN。

（4）配置跨域VPN-OptionB方式。

# 配置ASBR1：在與ASBR2相連的接口POS2/0/0上使能MPLS。

system-view

[ASBR1] interface pos 2/0/0

[ASBR1-Pos2/0/0] ip address 192.1.1.1 24

[ASBR1-Pos2/0/0] mpls

[ASBR1-Pos2/0/0] quit

# 配置ASBR1：與ASBR2建立MP-EBGP對等體關系，并且不對接收的VPNv4路由進行VPN-target過濾，并且使能ASBR1按下一跳分標簽。

[ASBR1] bgp 100

[ASBR1-bgp] peer 192.1.1.2 as-number 200

[ASBR1-bgp] ipv4-family vpnv4

[ASBR1-bgp-af-vpnv4] peer 192.1.1.2 enable

[ASBR1-bgp-af-vpnv4] undo policy vpn-target

[ASBR1-bgp-af-vpnv4] apply-label per-nexthop

[ASBR1-bgp-af-vpnv4] quit

[ASBR1-bgp] quit

上述配置完成后，CE之間能學習到對方的接口路由，CE1和CE2能夠相互ping通。同一AS的ASBR和PE能學習到對方的Loopback地址，并能夠互相ping通。ASBR2的配置與ASBR1類似，此處不再詳述。

3 結束語

綜上所述，因為MPLS VPN具有更好的安全性、QoS、靈活性、擴展性的優(yōu)勢，較好的滿足了信息網(wǎng)絡對數(shù)據(jù)流安全性和服務質量的要求，因此MPLS VPN技術在信息網(wǎng)絡虛擬專網(wǎng)建設中被推廣使用。

參考文獻：

[1]薛戈麗.組建基于MPLS VPN的IP城域網(wǎng)網(wǎng)絡方案[J].中國科技信息，2005（15）：137.

[2]王柱.基于IP城域網(wǎng)的MPLS VPN規(guī)劃與性能分析[D].天津：天津大學，2006：31.

[3]華為NE80E/40E路由器命令手冊，2009.