淺析域間MPLS VPN技術的兩種方案

蔣磊

摘要：本文淺析了域間MPLS VPN技術的兩種方案，即VRF-to-VRF方案和MP-EBGP方案。

關鍵詞：域間MPLS VPN技術；方案

中圖分類號：TP30 文獻標識碼：A

隨著MPLS VPN技術的日趨流行，越來越多的大型企業開始考慮如何對自己的分支機構進行互連，由于這些機構在地理位置上較為分散，因此不太可能通過同一家ISP運營商來為其提供全部的VPN服務，換句話說就是這些機構可能分散在不同的自治系統之中，如何跨越自治系統來實現MPLS VPN技術就成了運營商們迫切需要解決的問題。在RFC2547bis中定義了三種技術方案，分別是VRF-to-VRF方案、MP-EBGP方案以及路由反射器之間的多跳MP-EBGP方案，這三種方案簡稱為Option A、Option B和Option C。本文僅介紹前兩種方案。

VRF-to-VRF方案

VRF-VRF方案在技術層面上實施起來較為簡單，當VPN客戶數量和VPN路由數量都比較少的時候可以采用這樣一種方案，目前在ISP運營商內部應用較多的也是這種方案。該方案實施的重點主要體現在ASBR的配置上，就是圖中綠色虛線包括的范圍，具體表現在兩方面：如何支持多客戶，因為ASBR之間只有一根線纜，如果只讓一對VPN客戶使用，那么對于其他VPN客戶來說勢必要再增加線纜投入，對運營商來說成本太高；如何在ASBR之間跨域交互VPN路由。針對第一個問題，可以把ASBR之間的鏈路使用子接口連接起來，也就是將ASBR之間的物理接口劃分成多個子接口，每個子接口對應本地不同的VRF，一對VRF使用一對子接口，這樣就很好的解決了對多客戶支持的難題。針對第二個問題，可以在兩個ASBR之間運行動態路由協議，比如OSPF或BGP，如果使用OSPF，則需要在ASBR-PE1上將BGP路由重分布進OSPF進程中，對端ASBR-PE2在學到后同樣要把OSPF路由重分布進BGP進程中，相對BGP來說較為繁瑣。需要注意的是，當VPN客戶之間產生流量時，數據的封裝會發生一系列變化，依次為IP數據包、MPLS標簽包、VPN標簽包、IP數據包、MPLS標簽包、VPN標簽包、IP數據包，這說明流量穿越了兩條獨立的LSP。

該方案的缺點主要表現在多VRF的維護與配置上，當VPN客戶數量和路由數量較多時，不建議使用該方案，同時由于邊界設備之間沒有運用MPLS技術，所以擴展性較差。

MP-EBGP方案

MP-EBGP方案如同它名字一樣是在ASBR-PE之間建立起MP-EBGP鄰居關系，然后利用這層關系來跨域傳遞VPN客戶的私網路由，由于ASBR-PE上不再需要實施VRF技術，因此大大簡化了對VRF的配置和維護工作，在VPN客戶較多的場合中，這種優勢更為明顯，總的來說該方案比較適合中等規模的VPN跨域需求，它的基本模型如圖1所示。

從圖中可以看出，ASBR上并沒有配置VRF，相比VRF-to-VRF方案，該方案的配置會比較簡單，主要體現在兩個ASBR-PE設備上。首先，在ASBR-PE之間建立起MP-EBGP鄰居關系，然后分別關閉ASBR-PE1和ASBR-PE2上的RT過濾功能，該功能默認是開啟的，這樣做的目的是為了讓ASBR-PE收到來自MP-IBGP鄰居發來的VPN路由。其次，當鄰居關系建好以后，ASBR-PE設備會自動完成三個動作：形成一條去往對端接口的主機路由；在接口下使能MPLS BGP的轉發功能；在LFIB表中為該主機路由形成標簽。最后，當ASBR-PE設備將域外的VPN路由傳遞給它的MP-IBGP鄰居時，下一跳默認是不變的，會帶來一定的安全風險的，因此在建立MP-IBGP鄰居關系時，需要執行next-hop-self命令以指定自己為該VPN路由的下一跳。

VPN路由經過PE1傳給了ASBR-PE1，再通過ASBR-PE1傳給了ASBR-PE2，最后由ASBR-PE2傳給了PE2，路由的下一跳經歷了三次變化，也就需要交換三次MPLS標簽，其中ASBR-PE間的MPLS標簽是看不見的，因為彼此都是自己的倒數第二跳，所以標簽會被彈出。同時VPN標簽也會交換三次，因為不同的下一跳都為VPN路由分配了VPN標簽。

該方案的優點是不用為每個VPN客戶都去創建和維護VRF，解決了Option A方案中的擴展性問題，缺點是ASBR-PE設備需要維護大量的VPNv4路由，對其性能是一大考驗，當網絡規模較大時，ASBR-PE設備將會不堪重負，解決的辦法是使用多個ASBR-PE設備進行負載分擔。

二種跨域方案間的對比

兩種跨域方案對VPNv4路由的感知是相同的，Option A和Option B中的ASBR-PE可以感知VPNv4路由的存在。與此同時，不同跨域方案的擴展性、安全性以及維護性也都不相同，在實際應用中選擇哪種方案應根據情況而定，當VPN客戶數量和VPN路由數量較少的時候，可以選擇Option A方案，而當VPN客戶數量和VPN路由數量較為適中的時候，可以選擇Option B方案。

參考文獻

[1]薛戈麗.組建基于MPLS VPN的IP城域網網絡方案[J].中國科技信息，2005（15）：137.