MPLS L3VPN組網中BGP協議路由匯聚的標簽分配策略

于俊鋒，陳常嘉，程樹綱

（1.北京交通大學 電子信息工程學院，北京100044；2.華三通信技術有限公司 軟件部，北京100085）

MPLS L3VPN是服務提供商VPN解決方案中一種基于PE的L3VPN技術，它使用BGP在服務提供商骨干網上發布VPN路由，使用MPLS在服務提供商骨干網上轉發VPN報文。MPLS L3VPN組網方式靈活、可擴展性好，并能夠方便地支持MPLS QoS和MPLS TE，因此得到越來越多的應用。

1 MPLS技術概述

1.1 MPLS L3VPN模型

由3部分組成：CE、PE和P。

（1）CE（Customer Edge）設備：用戶網絡邊緣設備，有接口直接與SP（Service Provider，服務提供商）相連。CE“感知”不到VPN的存在，也不需要必須支持MPLS。

（2）PE（Provider Edge）路由器：服務提供商邊緣路由器，是服務提供商網絡的邊緣設備，與用戶的CE直接相連。在MPLS網絡中，對VPN的所有處理都發生在PE上。

（3）P（Provider）路由器：服務提供商網絡中的骨干路由器，不與CE直接相連。P設備只需要具備基本MPLS轉發能力。

1.2 MPLS L3VPN的相關術語

（1）Site：是指相互之間具備IP連通性的一組IP系統；

（2）VPN實例：在MPLS VPN中，通過VPN實例（VPN-instance）實現不同VPN之間的路由隔離。PE上每個VPN實例都有相對獨立的路由表和轉發表。

MPLS-VPN是指采用MPLS技術在骨干的寬帶IP網絡上構建企業IP專網，實現跨地域、安全、高速、可靠的數據、語音、圖像多業務通信。

（3）VPN Target屬性：擴展團體屬性，用來控制VPN路由信息的發布。分2類：Export Target屬性和Import Target屬性。只有在接收到其它PE發布的VPNv4路由Export Target屬性與本地PE上VPN實例的Import Target屬性匹配時，才把路由加入到相應的VPN路由表中。

（4）LSP：標記交換路徑。轉發等價類在MPLS網絡中不同的節點被賦予確定的標簽，數據轉發按照這些標簽進行，數據流所走的路徑就是LSP。

（5）FIB和LFIB

FIB：由路由表所得出來的轉發信息表，指導IP轉發；

LFIB：標簽轉發信息表，指導MPLS轉發。

2 域內及域間MPLS L3VPN組網特點及組網中BGP協議標簽分配策略

FEC（轉發等價類）是指在轉發過程中以相同的規則執行、沿相同的路徑轉發的一組或是一系列數據流，在一臺設備上，屬于同一FEC的路由分配相同的標簽。

在MPLS中并不只是一條路由對應一個FEC，也可以是一組具有相同屬性的路由對應同一個FEC。

采用路由匯聚的思想，對大量屬性相同的路由分配相同的標簽，相比于為每條路由分配一個標簽的分配方式，可以節省大量的標簽資源、簡化轉發操作。本文將通過對普通L3VPN組網、B類和C類跨域組網中路由傳播和流量轉發的具體分析，指出這些組網中不同設備上，BGP協議適合采用怎樣的標簽分配方式，哪些可以采用路由匯聚的標簽分配策略。

2.1 普通L3VPN組網

如圖1，根據PE1和PE2上的配置，CE0、CE1屬于PE1的VPN1，CE2屬于PE1的VPN2，CE3屬于PE2的VPN_A，CE4屬PE2的于VPN_B。根據RT(VPN Target屬性)匹配原則，在此組網中，要通過MPLS骨干網實現Site1(Site0)與Site3通信、Site2與Site4通信。

圖1 普通L3VPN組網圖

具體來講，要實現CE1(CE0)和CE3之間、CE2和CE4之間交換路由、流量正常轉發。

以CE1和CE3通信為例，從報文發送和流量轉發2個方向進行分析，CE1的路由如何被CE3學到，以及如何實現CE3到CE1的私網流量轉發。

（1）從路由傳播角度

在PE1和PE2之間，建立起MP-IBGP鄰居，通過VPNv4路由傳遞PE1與PE2上的私網路由（即從CE上學到的路由）。路由傳播分3個階段：

a.PE1從CE1和CE2上收到私網路由，因為屬于不同的VPN實例，會存儲到不同的VPN路由表中，最終會下發到VPN1和VPN2的FIB表中指導轉發。

b.同時PE1會將私網路由以VPNv4的形式發送給PE2，PE2上依據RT（VPN Target屬性）匹配的原則，將路由插入到不同的VPN路由表，來自CE1的路由會插入到VPN_A的路由表，來自CE2的路由插入到VPN_B的路由表。

c.PE2將不同VPN實例的路由轉發給不同的CE，CE1的路由被CE3學到，CE2的路由被CE4學到。

（2）從流量轉發角度

流量轉發的方向與路由傳播方向恰好相反，從CE3→PE2→P→PE1→CE1：

a.在PE1上，當有流量向私網轉發時（向CE1或CE2），需要根據查對應的FIB表項，找到出接口和下一跳。但由于不同的VPN對應不同的FIB表項，而且可能會發生地址空間重疊，需要通過BGP分配的私網標簽來判斷查詢哪個VPN的FIB表項指導轉發，為來自CE1和CE2的路由分配不同的標簽。

PE1將從CE1和CE2學到的路由以VPNv4形式向PE2發送時，會攜帶分配的標簽；而PE2將流量向PE1轉發時，將打上此標簽，PE1上則根據流量報文標簽值來指導表項查詢、流量轉發。

b.從PE2到P到PE1，流量經公網MPLS轉發，所走的路徑是由LDP創建的公網LSP，外層標簽也由LDP協議分配，本文中不做具體分析。內層標簽則是由PE1上BGP分配的私網標簽。

c.當PE2上，有來自CE3的流量時，查找VPN_A的FIB表，對應轉發表項是要打標簽經公網LSP轉發的，便打上標簽(PE1上BGP分配的私網標簽)，由IP轉發變為MPLS轉發，流量經公網LSP轉發到PE1。

（3）標簽分配策略

在此組網中，由BGP分配的標簽只有PE1上對來自CE0、CE1、CE2的私網路由分配的標簽。根據路由匯聚的標簽分配策略，無需為每條路由分配一個標簽，因為同一VPN的路由轉發操作是相同的，只需將VPN實例索引作為關鍵字區分不同的FEC，為同一VPN的路由分配一個標簽，CE0和CE1屬于VPN1，分一個標簽，CE2屬于VPN2，分配不同標簽。

（4）VPN POPGO技術

VPN POPGO是指流量從PE到CE轉發時，不查找對應VPN的FIB轉發表項，直接在標簽轉發表項中填入出接口和下一跳指導轉發。在此組網中，來自CE0和來自CE1的路由屬于同一VPN實例，但出接口和下一跳不同，對應不同的轉發操作，應對應不同標簽轉發表項，所以，對于VPN POPGO技術，對CE0和CE1的路由應分配不同的標簽，采用VPN實例+下一跳作為關鍵字為私網路由分配標簽。

2.2 B類跨域L3VPN組網

如圖2，B類跨域中，ASBR間通過MP-EBGP交換來自各PE的VPNv4路由。ASBR上無需配置VPN實例，通過配置使其接收所有擴展團體屬性的路由(不進行RT匹配的過濾)；PE和ASBR之間建立MP-IBGP交換VPNv4路由，與普通L3VPN組網同。

圖2 B類跨域L3VPN組網圖

（1）路由和流量分析

CE1的路由最終被CE3學到，以這條鏈路為例：

a.PE1學到CE1的路由以VPNv4路由的形式發送給ASBR1，為路由按VPN實例索引+下一跳分配私網標簽，與普通L3VPN組網同。

b.ASBR1將來自不同PE的VPNv4路由發送給ASBR2，ASBR1要為路由分配標簽、創建LFIB表項，此表項的目的：為了指導來自ASBR2的流量轉發到那個PE，即流量要走哪條公網LSP(PE和ASBR之間由LDP創建的公網隧道)，打上PE為不同私網路由分配的私網標簽，用來指導流量從PE轉發到那個CE。此處用下一跳+出標簽作為關鍵字為路由分配標簽。

c.ASBR2將來自不同ASBR的VPNv4路由轉發給PE，首先BGP會在ASBR之間創建一條域間公網LSP，同時會為路由分配標簽，與上一步驟分配標簽的作用一致，指導流量轉發到ASBR鄰居，同時打上不同的出標簽，此處也是用下一跳+出標簽作為關鍵字為路由分配標簽。

（2）標簽分配策略

B類跨域中，ASBR為來自PE的路由和來自ASBR的路由，都按下一跳+出標簽作為關鍵字分配標簽，用來指導流量轉發到哪個PE/ASBR及打上什么私網標簽，其實是對相同Site的路由進行匯聚，為不同Site的路由分配了不同的標簽。

2.3 C類跨域L3VPN組網

如圖3，相對于B類跨域ASBR上要存儲來自PE的所有VPNv4路由，路由的存儲和標簽轉發對ASBR造成了較大的負擔，C類跨域組網中則通過2端PE建立多跳VPNv4 EBGP鄰居，直接交換VPNv4路由，在ASBR上無需VPNv4路由的存儲與傳播。

圖3 C類跨域L3VPN組網圖

（1）PE1和PE3之間要建立多跳MP-EBGP連接，需要將PE1的公網路由帶標簽發布給PE2，建立一條貫穿的公網LSP。

a.將PE1用來建立多跳MP-EBGP鄰居的LOOPBACK口IP地址通過IGP(OSPF等)被ASBR1學到，并建立起PE與ASBR之間的域內公網LSP，由LDP完成。

b.ASBR1上，BGP協議引入IGP路由(PE的LOOPBACK口地址)，并發送給ASBR2，ASBR1要為路由分配公網標簽，同時下發LFIB表項，指導從ASBR2來的流量轉發到哪個PE。

此處不能按下一跳分配標簽，PE0和PE2的LOOPBACK口IP地址通過IGP被ASBR1學到，2條路由的下一跳是相同的，按下一跳分配標簽則無法區別這2條鏈路。因為每個LOOPBACK口IP地址代表了一個域內公網LSP的目的地，在ASBR1向ASBR2發送路由時，按每路由的方式分配標簽，關鍵字為引入路由的IP前綴。

c.ASBR2上收到ASBR1的BGP公網帶標簽路由，BGP會創建到PE1的公網LSP，是流量從ASBR2轉發到PE1所經的路徑。

ASBR2向域內PE3轉發BGP帶標簽路由時，也是按每路由方式分配標簽，標簽的作用便是指導流量由哪條LSP轉發，目的地是哪個PE。

d.PE3收到IPv4帶標簽路由，會創建到另一端PE1的公網LSP，從CE3有流量到CE1時，打上PE1為VPNv4路由分配的私網標簽，直接經這條LSP便可到達PE1。

流量由PE3向ASBR2轉發時有3層標簽：最內層是PE1上BGP分配的私網標簽，決定PE1上如何向私網轉發，查詢PE3上VPN_A實例的FIB表項可知，從CE3到CE1的流量要先打上此標簽，然后經LSP(目的地為PE1)轉發；第2層標簽是ASBR2向PE3發送IPv4帶標簽路由時BGP分配的，目的是流量到達ASBR2時指導流量經LSP2到達PE1；最外層標簽是指導流量到達ASBR2，由LDP分配。

（2）標簽分配策略

C類跨域組網分配標簽的特別之處是發送IPv4標簽路由時的標簽分配，此標簽的目的是指導流量到達哪個PE。因為PE的IP地址是公網地址，全球唯一，而且到達不同PE的轉發操作是不同的，所以此時不能用路由匯聚的標簽分配方式，而用公網帶標簽路由的IP前綴作為關鍵字，采用為每條路由分配一個標簽的策略。

3 結束語

本文詳細分析了MPLS L3VPN的普通域間組網及B類C類跨域組網中，流量轉發的具體操作及每層標簽在轉發中的作用和意義。提出路由匯聚的思想在標簽分配中的運用，對同一子網具有相同屬性的路由，分配相同的標簽、執行相同的轉發操作，節省了標簽資源、簡化了轉發操作。

[1] 巨丹. 對MPLS MP—BGP VPN的理解[J] . 通信科技，2010（3）.

[2] 韓海雯，張瀟元. 基于BGP協議的MPLS VPN構建機制分析[J] . 計算機工程與設計，2008（3）.