馮振

[摘 要] MPLS VPN是在電信運營商的公網(wǎng)架構(gòu)上為客戶提供的私有專用網(wǎng)絡(luò)，文章就如何通過公網(wǎng)實現(xiàn)不同用戶的私網(wǎng)的連接，著重闡述了MPLS VPN的網(wǎng)絡(luò)架構(gòu)、基本原理以及路由傳遞等幾個關(guān)鍵技術(shù)。

[關(guān)鍵詞] MPLS VPN；網(wǎng)絡(luò)架構(gòu)；路由

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 19. 083

[中圖分類號] TP311 [文獻標識碼] A [文章編號] 1673 - 0194（2017）19- 0196- 02

1 引 言

VPN（Virtual Private Network）是基于公網(wǎng)，利用隧道、加密等技術(shù)，為用戶提供的虛擬專用網(wǎng)絡(luò)。虛擬是因為它并不提供端到端的物理連接，專用是因為它可以為某一團體提供一個專用的網(wǎng)絡(luò)，而他們并不關(guān)心公網(wǎng)情況如何。MPLS（Multi-Protocol Label Switch，多協(xié)議標簽交換）是新一代IP骨干網(wǎng)絡(luò)交換標準。它是IP技術(shù)與ATM技術(shù)的有機融合，吸收了IP路由技術(shù)靈活性和ATM交換技術(shù)簡潔性的優(yōu)點，在面向無連接的IP網(wǎng)絡(luò)中引入了MPLS面向連接的屬性，提供了類似于虛電路的標簽交換業(yè)務。

2 MPLS VPN的網(wǎng)絡(luò)架構(gòu)及基本原理

MPLS VPN包含三種類型的路由器：CE路由器、PE路由器和P路由器。其中，CE路由器是用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與服務提供商網(wǎng)絡(luò)連接，CE可以是路由器或交換機，也可以是一臺主機。CE無需知道VPN的存在，也不需要支持MPLS；PE路由器是服務提供商邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的標簽邊緣路由器 （LER），它根據(jù)存放的路由信息將來自CE路由器或標簽交換路徑（LSP）的VPN數(shù)據(jù)處理后進行轉(zhuǎn)發(fā)，同時負責和其他PE路由器交換路由信息；P路由器是運營商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的標簽交換路由器（LSR），它根據(jù)分組的外層標簽對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā)，P路由器只維護到PE路由器的路由信息而不維護VPN相關(guān)的路由信息。

2.1 VPN Site

VPN Site即VPN用戶的站點，是VPN中的一個孤立的IP網(wǎng)絡(luò)，該網(wǎng)絡(luò)內(nèi)部本身是IP互聯(lián)的，但是和其他站點（或者是子網(wǎng)）一般來說不通過骨干網(wǎng)不具有連通性。CE通常是VPN Site中的一個路由器或三層交換設(shè)備甚至是一個主機。一個CE設(shè)備總是被認為處于一個單獨的站點，但是一個站點可以同時屬于多個VPN。

在MPLS VPN的連接模型中，網(wǎng)絡(luò)由運營商的骨干網(wǎng)與用戶的各個Site組成，所謂VPN就是對Site集合的劃分，一個VPN就對應一個由若干Site組成的集合。

2.2 VRF及虛擬路由器

為了讓PE路由器能區(qū)分是哪個本地接口上送來的VPN用戶路由，在PE路由器上創(chuàng)建了大量的虛擬路由器，每個虛擬路由器都有各自的路由表和轉(zhuǎn)發(fā)表，這些路由表和轉(zhuǎn)發(fā)表統(tǒng)稱為VRF（VPN Routing and Forwarding instances）。一個VRF定義了連到PE路由器上的VPN成員。VRF中包含了IP路由表，IP轉(zhuǎn)發(fā)表，使用該IP轉(zhuǎn)發(fā)表的接口集和路由協(xié)議參數(shù)和路由導入導出規(guī)則等等。每個PE都維護和管理一系列的轉(zhuǎn)發(fā)表，其中一個轉(zhuǎn)發(fā)表叫做“缺省的轉(zhuǎn)發(fā)表”或者叫“全局轉(zhuǎn)發(fā)表”；其他的轉(zhuǎn)發(fā)表即VRF。全局的轉(zhuǎn)發(fā)表存放的是公網(wǎng)的路由（保證SP網(wǎng)絡(luò)中本身PE和PE，PE和P之間能夠互通），VRF存儲的是VPN站點的私有路由。

3 MPLS VPN的路由傳遞

3.1 CE與PE之間的路由交換

在PE上為不同的VPN站點配置VRF。PE上維護多個獨立的路由表，包括公網(wǎng)和私網(wǎng)路由表（VRF），其中：公網(wǎng)路由表包含到達其他PE和P的路由，由骨干網(wǎng)的IGP產(chǎn)生；私網(wǎng)路由表包含本VPN可到達的路由（即屬于該VPN的不同站點之間的路由）。

CE與PE之間通過采用靜態(tài)路由或動態(tài)路由協(xié)議進行路由信息的交互。當Ingress PE從某個接口接收到來自CE的路由信息時，將該路由導入對應的VRF。

3.2 PE與PE之間的路由交換

PE與PE之間的路由交換本質(zhì)上就是將PE上得VRF路由注入到MP-IBGP并通過MP-IBGP在PE間交換的過程。

PE通過維持IBGP確保路由信息被分發(fā)給所有其他的PE。當Ingress PE分發(fā)路由信息時，將同時攜帶路由所在VRF的RD，即將路由的IPv4地址前綴轉(zhuǎn)化為VPN-IPv4地址。分發(fā)的具體路由信息（VPN-IPv4路由信息）包括：該路由的VPN-IPv4地址前綴、下一跳地址即Ingress PE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）、分配給該路由的VPN標簽（用來標識屬于哪個VPN或者說是哪個VRF）、該路由所在VRF的Export RT。

3.3 PE與CE之間的路由交換

PE與CE之間的路由交換即為MP-IBGP把路由注入到PE上的VRF然后通過PE與CE上運行的路由協(xié)議再分發(fā)給CE的過程。

當Egress PE收到路由信息時，將查看該路由的RT，如果RT和其任意VRF中任意一個Import RT相符時，就將該路由存入VPN-IPv4的路由表。在進行路由選擇之后，將最優(yōu)路由中的VPN-IPv4地址轉(zhuǎn)化成IPv4地址（即去掉地址中的RD）導入到相應的VRF，私網(wǎng)標簽保留，記錄到轉(zhuǎn)發(fā)表中，留做轉(zhuǎn)發(fā)時使用。再由本VRF的路由協(xié)議引入并傳遞給相應的CE。發(fā)給CE時下一跳為接收端PE自己的接口地址。這樣就完成了從MP-IBGP路由注入到VRF的過程。

4 總 結(jié)

MPLS VPN網(wǎng)絡(luò)中，可以通過RD的引入將IP-V4地址轉(zhuǎn)換成VPN-V4地址在網(wǎng)絡(luò)中傳播，解決私網(wǎng)地址重疊的困難；路由接收者可以通過RT來分辨相同的路由信息。

主要參考文獻

[1]徐聚星.MPLS VPN關(guān)鍵技術(shù)分析與研究[J].軟件導刊，2011（9）.

[2]李海華.BGP MPLS VPN安全性能分析與改進[J].微電子學與計算機，2011（11）.