MPLSvpn跨域方案比较

1、作者：中国电信北京研究院王爱俊背景随着MPLS术的成熟，其应用越来越广泛，尤其是在VPN方面。电信运营商提供给用户的 MPLSVP服务主要有 MPLSLayer2 VPN和 MPLS Layer 3 VPN 两类。MPLS Layer 2 VPN 因 标准化和复杂性问题，目前还没有被大规模采用；而 MPLS Layer 3 VPN具有高度的灵活性和 扩展性，正成为取代传统专线VPN的技术。最初的MPLSLayerVPN术主要应用在一个 AS域内，为用户提供在本 AS域内的、基于 MPLS/IP技术的VPN!信。随着 MPLS VPN&一个AS域内的广泛应用，跨域间的 VPN通信需求 逐渐增加。

2、跨域MPLSLayer3VPN勺实现方法有许多种。对于大型电信运营商来说，目前需要解决 的问题是如何部署一个易扩展、易维护的跨域MPLS Layer 3 VPN。MPLSLayer3 VPN 架构典型的MPLSLayer3VPN构如图1所示。其中，PE与CE之间可以运行 Static、RIP、 OSP林口 BG邛协议来传送IP路由信息，而入口 PE与出口 PE之间则通过 MP-iBGP ( MultiProtocol extension - internal BGP )来传送 VPN-IP 路由信息。图1 MPLS-Layer-3-VPN典型的架构跨域MPLSLayer3 VPN实现方案及比较

3、跨域MPLSLayer3VPNi要解决的是 VPN的跨域实现，也就是 VPN IPv4路由信息的跨域传递。其主要的实现方案有ASBR(Autonomous System Boundary Router ,自治区系统边界路 由器）间背靠背 VRF-VRF连接、ASBR间通过MP-eBG吩发VPN-IPv4路由信息和相应的标签以 及RR间通过Multi-hop MP-eBGP 分发VPN-IPv4路由信息和相应的标签三类。下面分别介绍这 三种方案的实现原理。方案的实现原理方案一:ASBR可背靠背VRF-VRF连接方案一实现起来最简单。它通过两个AS的ASBR间建立VRF-VRF连接来实现 MPLS

4、勺跨域互通。具体做法就是每个ASBR1过直连链路或者子接口建立到对方ASBR勺VRF连接，也就是以本ASBR乍为PE、对端ASBR乍为自己的CE来进行VPNM内路由的跨域分发。下面结合图2来说明方案一的具体实现。图2 方案一实现原理示意如图2所示，VPN-A内的IP路由信息由 CE1-A通过RIP、OSP或者BG明发给PE11, PE11将其保存在对应的 VRF （VPN路由转发）表中，添加 RD （ RouteDistinguisher ,路由区分 符），将其变为 VPN-IP路由，并且为t路由分配MPLSVPNP的内层标签 V1,之后通过 MP-iBGP将该路由信息和对应的标签信息发送给同

5、一域内的对等点，也就是图2中的ASBR1此时，ASBR祚为CE,将收到的VPN-IP路由信息中的IP路由提取出来，同时保留收到的内层标 签。提取出来的IP路由（注意：非 VPN-IP路由）由ASBR1（CE）通过相应的路由协议（RIP、OSP林口 BGK?）发送给 ASBR2（PE）,由ASBR2s行类似PE11的操作，然后将其发送 给PE22,而后由PE22发送给位于 VPN-A的CE2-A。当CE2-A有数据要发送给 CE1-A时，首先 发送数据给PE22,由PE22为该数据包加上两层标签（外层MPL刖签和由ASBR吩发的内层VPNB签V2）,之后经过 MPLSLS囹达ASBR2（到达时该

6、数据包只有内层标签）。ASBR2艮据内层标签在VRF表中查找相应的链路和子接口，去除内层标签，将纯 IP数据包发送给ASBR! ASBR做据接收数据包的链路选择相应的 VRF表，之后进行类似 PE22所完成的工作 （给数据包加上两层标签），并将数据包通过MPLS LSP发送到PE1 （到达PE1时只剩内层标签），由PE1根据VRF表发送给CE1-A。上述VRF背对背连接的一个特点是 ASBM口 ASBB间的连接不需要支持 MPLS但因为 每一个VPN都需要一个独立的接入链路，所以该方案只适合在小区域内小规模部署。方案二：ASBR可通过MP-eBGP发VPN-IPv4路由信息和相应的标签在方案二

7、中，ASBR间仍然是物理直连，但 VPN-IP路由信息是通过它们之间的MP-eBGP关系进行传送。在了解该方案之前，我们首先需要明白MPLSVPNP VPN标签分发的一个原则：VPN标签分发时，与其同时发送白下一跳地址必须是VPNB签分发者本身，否则就需要重新分发VPN标签。如图3所示，当PE11为VPN-A中的路由分发 VPN标签V1时，这些路由的下一跳必须是PE11本身。图3方案二实现原理示意在该方案中，两个 ASBM间是e-BGP连接。这样，当 ASBR1向ASBR2送VPN-IP路 由信息时，VPN-A中路由的下一跳就会由原来的PE11变为ASBR1因为下一跳发生变化，所以ASBR1必

8、须重新为 VPN-A中的路由信息分配 VPN标签V2, ASBR酢收到这些 VPN-IP路由信息 后，再向其 MP-iBGP邻居PE22进行分发。如果不对ASBR2做任何特别的配置，那么在其向PE22分发VPN-A路由信息时，这些路由信息的下一跳仍然为 ASBR1这就要求AS2域中的其他路由器也应该知道ASBR1的IP地址，并为这个地址分配相应的外层标签。ASBR1与ASBR21立MP-eBG啷居，可以使用它们之间的直连链路地址，也可以使用 各自的loopback地址。如果使用后者，ASBR1和ASBR2间的关系就是 Multi-hopMP-eBGP ,不过处理方法与直连的 MP-eBGP似，

9、主要是把用来建立邻居关系的IP地址用对应的方法分发给对等域中的路由器即可。把本域中路由器地址分发给其他域可能有一定的安全风险。由此延伸而来的另一种解决办法是，在配置 ASBR2与PE22的MP-iBGP邻居关系时，通过在 ASBRZlH置next-hop-self 来人为地将 ASBR1发送来的VPN-IP路由下一跳改为自己，这样就避免了 ASBR1的IP地 址在AS2中扩散，从而增加一定的安全性。但因为涉及下一跳地址的改变，所以在 VPN-IP路由信息分发到 ASBR湄，ASBR器!重新为其分配 VPNfe签V3。以上所述主要是 VPN-IP路由信息从 AS1到AS2传送过程中的一些配置和处

10、理，在 VPN-IP路由信息从 AS2到AS1的传递过程中，对应的ASB嘲进行同样的配置和处理。当ASBR1与ASBR2过MP-eBGPt立邻居关系，并且各自与自己的PE通过next-hop-self 建立iBGP邻居关系时（这样就涉及 VPN标签的重新分配），典型白数据传送过程如图3所示。在此需要特别指出的是，由于在ASBRW ASBR2均进行了 next-hop-self 配置，VPN-A路由的下一跳地址在传送过程中要改变两次，因此出现了三个VPN标签（一个VPN路由下一跳生成一个标签。另外要注意此时ASBR1与ASBR2专送的是带VPN标签的IP数据包，所以要求它们之间的链路支持MPLS

11、对于本方案中的其他解决办法，也可画出类似的数据传送过程，惟一不同的就是如果ASBR环改变ASBR1发来的路由信息的下一跳，ASBR2没必要重新分配 VPNB签V3,当数据包到达ASBR2时应该包含两层标签，而后由ASBR2IIJ去外层的MPLS签，将带 VPN标签的数据包发送给ASBR1由ASBR1完成后续的加标签和发送工作。方案三：RR间通过 Multi-hopMP-eBGP分发VPN-IPv4路由信息和相应的标签对于大型电信运营商，因其网络中一般有很多PE,如果要求它们之间都相互建立iBGP连接关系，也就是fullmeshiBGP ,那么其维护或将来的扩展将会很困难。解决这个问题的办法就是

12、在自治域内部署 RR在RR间直接建立 Mult-hopMP-eBGP邻居关系。如图4所示，PE11为VPN-A中的路由分配 VPN标签V1,并将下一跳设置为自己，而后 将这些信息发送给 RR! RR1在收到PE11发来的VPN-IP路由信息时，通过 eBGP!接直接将其 发送给RR2而后由RR2发送给对应的PE22（在此处，可以对 RR1与RR2进行相应的配置，如 next-hop-unchanged ,这样RR2在收到上述信息后，下一跳地址仍保持为PE11,对应的VPN标签仍是原来PE11分发的那个标签。当然也可以不做这样的设置，这样的话RR2需要为这些路由重新分配标签）。位于各自治域的PE

13、只需跟本域的RR建立iBGP邻居关系即可。1图4 方案三实现原理示意需要特别指出的是，由于 RR1与RR2采用next-hop-unchanged 来建立 Multi-hopMP- eBGP4B居关系，VPN-A中路由信息的下一跳在传送过程中一直未发生变化，因此整个过程仅有 一个VPN标签被使用。另外，ASBRW ASBR2可传送的是加上两层标签（外层MPLSf签和VPN标签）的IP数据包，自然要求它们之间的链路支持MPLS而且，分别位于两个 AS中的PE11和PE22之间需要有一条LSP存在，也就是说 PE22需要为PE11分配外层MPL的签（如图4中的L4）,这 可能给大规模部署后的维护带

14、来一些困难。方案比较上述三个方案的优缺点比较见表1。4对中国电信开展 MPLSLayer3 VPN部署的建议中国电信的CN2骨干网目前全面支持 MPLSLayer3VPN勺部署，在骨干网上直接进行 MPLS VPN勺部署相对来说比较容易，但其欲采用MPLS VPNt持的业务，如软交换业务、大客户数据业务等主要来自各城域网。因此，要实现全网对MPLS VPN勺支持，首先要对各城域网进行改造，使其支持 MPLS Layer 3 VPN。改造后的城域网除了支持在本城域网内开展MPLSLayer3VPNlk务外，还需要与 CN2骨干网对接，实现跨地区、跨省的 MPLS Layer 3 VPN业务。这就

15、需要部署跨域 MPLS VPN考虑到中国电信目前城域网数量众多，骨干网上与城域网对接的PE路由器数量约是城域网数量的两倍，因此骨干网内PE之间的iBGP连接只能采用 RouteReflector 或者BGPConfederation方式。从规划和管理方面考虑，采用 RouteReflector 建立骨干网内各 PE 间的iBGP连接更加合适。如果城域网内的 PE数量较少，则它们之间可以直接建立iBGP邻居关系；如果城域网内的PE数量较多或者考虑到将来扩展的需要，建议采用RouteReflector 方式建设。对于城域网之间的跨域连接，也应根据城域网内PE的数量分别设计。(1)如果城域网没有采用

16、 RouteReflector 方式建设，则其与 CN2的跨域VPN连接可 综合方案二、三，采用骨干网的 RR与城域网的PE (ASBR建立Multi-hopMP-eBGP邻居关系 来实现VPN的跨域连通，如图 5所示。但是，这种方案中城域网 PE同时兼任ASBRW RR不 利于以后的配置、维护和调试，所以不建议采用。图5 中国电信MPLS夸域VPN连接方案(2)如果城域网采用 RouteReflector 方式建设，则其与 CN2的跨域VPN连接可直接 采用方案三来实现，也就是RR间直接建立 Multi-hopMP-eBGP连接。但是，正如前面分析时所说，如果直接采用方案三，则VPN两端的P

17、E之间必须维持一条 LSP,也就是参与通信的 PE、路由器都必须为源 PE分配一个标签。这对于大型电信网络来说，无疑会增加维护的难度和安 全方面的问题，因为不同域骨干路由器的IP地址信息最好相互隔离，除非是边界路由器。我们不妨结合方案二和方案三各自的优点，采用图6所示的网络结构。图6中国电信跨域 MPLS-Layer 3 VPN目标网络结构及实现流程示意该方案具有以下特点:l同一域内的PE路由器间不直接建立 MP-iBGP邻居关系，而是各自与本域内的RR建立MP-iBGP邻居关系，适合于 PE数量较多的城域网，能够保证将来的扩展性（以后每新增一 台PE,只需对PE和本域内的RR进行重新配置即可）。l不同域ASBR可建立MP-eBGF4B居关系（相邻域 ASBR可传送加VPNB签的IP数据 包）。l边界路由器 ASBR与本域内RR1立MP-iBGP邻居关系时，使用 next-hop-self 将 VPN-IPv4路由信息的下一跳改为自己，再将其发