淺析域間MPLS VPN技術(shù)的兩種方案

蔣磊

摘要：本文淺析了域間MPLS VPN技術(shù)的兩種方案，即VRF-to-VRF方案和MP-EBGP方案。

關(guān)鍵詞：域間MPLS VPN技術(shù)；方案

中圖分類號：TP30 文獻標識碼：A

隨著MPLS VPN技術(shù)的日趨流行，越來越多的大型企業(yè)開始考慮如何對自己的分支機構(gòu)進行互連，由于這些機構(gòu)在地理位置上較為分散，因此不太可能通過同一家ISP運營商來為其提供全部的VPN服務(wù)，換句話說就是這些機構(gòu)可能分散在不同的自治系統(tǒng)之中，如何跨越自治系統(tǒng)來實現(xiàn)MPLS VPN技術(shù)就成了運營商們迫切需要解決的問題。在RFC2547bis中定義了三種技術(shù)方案，分別是VRF-to-VRF方案、MP-EBGP方案以及路由反射器之間的多跳MP-EBGP方案，這三種方案簡稱為Option A、Option B和Option C。本文僅介紹前兩種方案。

VRF-to-VRF方案

VRF-VRF方案在技術(shù)層面上實施起來較為簡單，當VPN客戶數(shù)量和VPN路由數(shù)量都比較少的時候可以采用這樣一種方案，目前在ISP運營商內(nèi)部應(yīng)用較多的也是這種方案。該方案實施的重點主要體現(xiàn)在ASBR的配置上，就是圖中綠色虛線包括的范圍，具體表現(xiàn)在兩方面：如何支持多客戶，因為ASBR之間只有一根線纜，如果只讓一對VPN客戶使用，那么對于其他VPN客戶來說勢必要再增加線纜投入，對運營商來說成本太高；如何在ASBR之間跨域交互VPN路由。針對第一個問題，可以把ASBR之間的鏈路使用子接口連接起來，也就是將ASBR之間的物理接口劃分成多個子接口，每個子接口對應(yīng)本地不同的VRF，一對VRF使用一對子接口，這樣就很好的解決了對多客戶支持的難題。針對第二個問題，可以在兩個ASBR之間運行動態(tài)路由協(xié)議，比如OSPF或BGP，如果使用OSPF，則需要在ASBR-PE1上將BGP路由重分布進OSPF進程中，對端ASBR-PE2在學到后同樣要把OSPF路由重分布進BGP進程中，相對BGP來說較為繁瑣。需要注意的是，當VPN客戶之間產(chǎn)生流量時，數(shù)據(jù)的封裝會發(fā)生一系列變化，依次為IP數(shù)據(jù)包、MPLS標簽包、VPN標簽包、IP數(shù)據(jù)包、MPLS標簽包、VPN標簽包、IP數(shù)據(jù)包，這說明流量穿越了兩條獨立的LSP。

該方案的缺點主要表現(xiàn)在多VRF的維護與配置上，當VPN客戶數(shù)量和路由數(shù)量較多時，不建議使用該方案，同時由于邊界設(shè)備之間沒有運用MPLS技術(shù)，所以擴展性較差。

MP-EBGP方案

MP-EBGP方案如同它名字一樣是在ASBR-PE之間建立起MP-EBGP鄰居關(guān)系，然后利用這層關(guān)系來跨域傳遞VPN客戶的私網(wǎng)路由，由于ASBR-PE上不再需要實施VRF技術(shù)，因此大大簡化了對VRF的配置和維護工作，在VPN客戶較多的場合中，這種優(yōu)勢更為明顯，總的來說該方案比較適合中等規(guī)模的VPN跨域需求，它的基本模型如圖1所示。

從圖中可以看出，ASBR上并沒有配置VRF，相比VRF-to-VRF方案，該方案的配置會比較簡單，主要體現(xiàn)在兩個ASBR-PE設(shè)備上。首先，在ASBR-PE之間建立起MP-EBGP鄰居關(guān)系，然后分別關(guān)閉ASBR-PE1和ASBR-PE2上的RT過濾功能，該功能默認是開啟的，這樣做的目的是為了讓ASBR-PE收到來自MP-IBGP鄰居發(fā)來的VPN路由。其次，當鄰居關(guān)系建好以后，ASBR-PE設(shè)備會自動完成三個動作：形成一條去往對端接口的主機路由；在接口下使能MPLS BGP的轉(zhuǎn)發(fā)功能；在LFIB表中為該主機路由形成標簽。最后，當ASBR-PE設(shè)備將域外的VPN路由傳遞給它的MP-IBGP鄰居時，下一跳默認是不變的，會帶來一定的安全風險的，因此在建立MP-IBGP鄰居關(guān)系時，需要執(zhí)行next-hop-self命令以指定自己為該VPN路由的下一跳。

VPN路由經(jīng)過PE1傳給了ASBR-PE1，再通過ASBR-PE1傳給了ASBR-PE2，最后由ASBR-PE2傳給了PE2，路由的下一跳經(jīng)歷了三次變化，也就需要交換三次MPLS標簽，其中ASBR-PE間的MPLS標簽是看不見的，因為彼此都是自己的倒數(shù)第二跳，所以標簽會被彈出。同時VPN標簽也會交換三次，因為不同的下一跳都為VPN路由分配了VPN標簽。

該方案的優(yōu)點是不用為每個VPN客戶都去創(chuàng)建和維護VRF，解決了Option A方案中的擴展性問題，缺點是ASBR-PE設(shè)備需要維護大量的VPNv4路由，對其性能是一大考驗，當網(wǎng)絡(luò)規(guī)模較大時，ASBR-PE設(shè)備將會不堪重負，解決的辦法是使用多個ASBR-PE設(shè)備進行負載分擔。

二種跨域方案間的對比

兩種跨域方案對VPNv4路由的感知是相同的，Option A和Option B中的ASBR-PE可以感知VPNv4路由的存在。與此同時，不同跨域方案的擴展性、安全性以及維護性也都不相同，在實際應(yīng)用中選擇哪種方案應(yīng)根據(jù)情況而定，當VPN客戶數(shù)量和VPN路由數(shù)量較少的時候，可以選擇Option A方案，而當VPN客戶數(shù)量和VPN路由數(shù)量較為適中的時候，可以選擇Option B方案。

參考文獻

[1]薛戈麗.組建基于MPLS VPN的IP城域網(wǎng)網(wǎng)絡(luò)方案[J].中國科技信息，2005（15）：137.