（正德職業(yè)技術(shù)學(xué)院，江蘇 南京 211106）

淺析域間MPLS VPN技術(shù)的兩種方案

蔣 磊

（正德職業(yè)技術(shù)學(xué)院，江蘇 南京 211106）

本文淺析了域間MPLS VPN技術(shù)的兩種方案，即VRF-to-VRF方案和MP-EBGP方案。

域間MPLS VPN技術(shù)；方案

隨著MPLS VPN技術(shù)的日趨流行，越來越多的大型企業(yè)開始考慮如何對(duì)自己的分支機(jī)構(gòu)進(jìn)行互連，由于這些機(jī)構(gòu)在地理位置上較為分散，因此不太可能通過同一家ISP運(yùn)營(yíng)商來為其提供全部的VPN服務(wù)，換句話說就是這些機(jī)構(gòu)可能分散在不同的自治系統(tǒng)之中，如何跨越自治系統(tǒng)來實(shí)現(xiàn)MPLS VPN技術(shù)就成了運(yùn)營(yíng)商們迫切需要解決的問題。在RFC2547bis中定義了三種技術(shù)方案，分別是VRF-to-VRF方案、MP-EBGP方案以及路由反射器之間的多跳MP-EBGP方案，這三種方案簡(jiǎn)稱為Option A、Option B和Option C。本文僅介紹前兩種方案。

VRF-to-VRF方案

VRF-VRF方案在技術(shù)層面上實(shí)施起來較為簡(jiǎn)單，當(dāng)VPN客戶數(shù)量和VPN路由數(shù)量都比較少的時(shí)候可以采用這樣一種方案，目前在ISP運(yùn)營(yíng)商內(nèi)部應(yīng)用較多的也是這種方案。該方案實(shí)施的重點(diǎn)主要體現(xiàn)在ASBR的配置上，就是圖中綠色虛線包括的范圍，具體表現(xiàn)在兩方面：如何支持多客戶，因?yàn)锳SBR之間只有一根線纜，如果只讓一對(duì)VPN客戶使用，那么對(duì)于其他VPN客戶來說勢(shì)必要再增加線纜投入，對(duì)運(yùn)營(yíng)商來說成本太高；如何在ASBR之間跨域交互VPN路由。針對(duì)第一個(gè)問題，可以把ASBR之間的鏈路使用子接口連接起來，也就是將ASBR之間的物理接口劃分成多個(gè)子接口，每個(gè)子接口對(duì)應(yīng)本地不同的VRF，一對(duì)VRF使用一對(duì)子接口，這樣就很好的解決了對(duì)多客戶支持的難題。針對(duì)第二個(gè)問題，可以在兩個(gè)ASBR之間運(yùn)行動(dòng)態(tài)路由協(xié)議，比如OSPF或BGP，如果使用OSPF，則需要在ASBR-PE1上將BGP路由重分布進(jìn)OSPF進(jìn)程中，對(duì)端ASBR-PE2在學(xué)到后同樣要把OSPF路由重分布進(jìn)BGP進(jìn)程中，相對(duì)BGP來說較為繁瑣。需要注意的是，當(dāng)VPN客戶之間產(chǎn)生流量時(shí)，數(shù)據(jù)的封裝會(huì)發(fā)生一系列變化，依次為IP數(shù)據(jù)包、MPLS標(biāo)簽包、VPN標(biāo)簽包、IP數(shù)據(jù)包、MPLS標(biāo)簽包、VPN標(biāo)簽包、IP數(shù)據(jù)包，這說明流量穿越了兩條獨(dú)立的LSP。

該方案的缺點(diǎn)主要表現(xiàn)在多VRF的維護(hù)與配置上，當(dāng)VPN客戶數(shù)量和路由數(shù)量較多時(shí)，不建議使用該方案，同時(shí)由于邊界設(shè)備之間沒有運(yùn)用MPLS技術(shù)，所以擴(kuò)展性較差。

MP-EBGP方案

MP-EBGP方案如同它名字一樣是在ASBR-PE之間建立起MP-EBGP鄰居關(guān)系，然后利用這層關(guān)系來跨域傳遞VPN客戶的私網(wǎng)路由，由于ASBR-PE上不再需要實(shí)施VRF技術(shù)，因此大大簡(jiǎn)化了對(duì)VRF的配置和維護(hù)工作，在VPN客戶較多的場(chǎng)合中，這種優(yōu)勢(shì)更為明顯，總的來說該方案比較適合中等規(guī)模的VPN跨域需求，它的基本模型如圖1所示。

從圖中可以看出，ASBR上并沒有配置VRF，相比VRF-to-VRF方案，該方案的配置會(huì)比較簡(jiǎn)單，主要體現(xiàn)在兩個(gè)ASBR-PE設(shè)備上。首先，在ASBR-PE之間建立起MP-EBGP鄰居關(guān)系，然后分別關(guān)閉ASBR-PE1和ASBR-PE2上的RT過濾功能，該功能默認(rèn)是開啟的，這樣做的目的是為了讓ASBR-PE收到來自MP-IBGP鄰居發(fā)來的VPN路由。其次，當(dāng)鄰居關(guān)系建好以后，ASBR-PE設(shè)備會(huì)自動(dòng)完成三個(gè)動(dòng)作：形成一條去往對(duì)端接口的主機(jī)路由；在接口下使能MPLS BGP的轉(zhuǎn)發(fā)功能；在LFIB表中為該主機(jī)路由形成標(biāo)簽。最后，當(dāng)ASBR-PE設(shè)備將域外的VPN路由傳遞給它的MP-IBGP鄰居時(shí)，下一跳默認(rèn)是不變的，會(huì)帶來一定的安全風(fēng)險(xiǎn)的，因此在建立MPIBGP鄰居關(guān)系時(shí)，需要執(zhí)行next-hopself命令以指定自己為該VPN路由的下一跳。

VPN路由經(jīng)過PE1傳給了ASBRPE1，再通過ASBR-PE1傳給了ASBRPE2，最后由ASBR-PE2傳給了PE2，路由的下一跳經(jīng)歷了三次變化，也就需要交換三次MPLS標(biāo)簽，其中ASBR-PE間的MPLS標(biāo)簽是看不見的，因?yàn)楸舜硕际亲约旱牡箶?shù)第二跳，所以標(biāo)簽會(huì)被彈出。同時(shí)VPN標(biāo)簽也會(huì)交換三次，因?yàn)椴煌南乱惶紴閂PN路由分配了VPN標(biāo)簽。

該方案的優(yōu)點(diǎn)是不用為每個(gè)VPN客戶都去創(chuàng)建和維護(hù)VRF，解決了Option A方案中的擴(kuò)展性問題，缺點(diǎn)是ASBRPE設(shè)備需要維護(hù)大量的VPNv4路由，對(duì)其性能是一大考驗(yàn)，當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，ASBR-PE設(shè)備將會(huì)不堪重負(fù)，解決的辦法是使用多個(gè)ASBR-PE設(shè)備進(jìn)行負(fù)載分擔(dān)。

二種跨域方案間的對(duì)比

兩種跨域方案對(duì)VPNv4路由的感知是相同的，Option A和Option B中的ASBR-PE可以感知VPNv4路由的存在。與此同時(shí)，不同跨域方案的擴(kuò)展性、安全性以及維護(hù)性也都不相同，在實(shí)際應(yīng)用中選擇哪種方案應(yīng)根據(jù)情況而定，當(dāng)VPN客戶數(shù)量和VPN路由數(shù)量較少的時(shí)候，可以選擇Option A方案，而當(dāng)VPN客戶數(shù)量和VPN路由數(shù)量較為適中的時(shí)候，可以選擇Option B方案。

[1]薛戈麗.組建基于MPLS VPN的IP城域網(wǎng)網(wǎng)絡(luò)方案[J].中國(guó)科技信息，2005（15）：137.

TP30

A