于俊鋒，陳常嘉，程樹綱

（1.北京交通大學 電子信息工程學院，北京100044；2.華三通信技術有限公司 軟件部，北京100085）

MPLS L3VPN是服務提供商VPN解決方案中一種基于PE的L3VPN技術，它使用BGP在服務提供商骨干網(wǎng)上發(fā)布VPN路由，使用MPLS在服務提供商骨干網(wǎng)上轉發(fā)VPN報文。MPLS L3VPN組網(wǎng)方式靈活、可擴展性好，并能夠方便地支持MPLS QoS和MPLS TE，因此得到越來越多的應用。

1 MPLS技術概述

1.1 MPLS L3VPN模型

由3部分組成：CE、PE和P。

（1）CE（Customer Edge）設備：用戶網(wǎng)絡邊緣設備，有接口直接與SP（Service Provider，服務提供商）相連。CE“感知”不到VPN的存在，也不需要必須支持MPLS。

（2）PE（Provider Edge）路由器：服務提供商邊緣路由器，是服務提供商網(wǎng)絡的邊緣設備，與用戶的CE直接相連。在MPLS網(wǎng)絡中，對VPN的所有處理都發(fā)生在PE上。

（3）P（Provider）路由器：服務提供商網(wǎng)絡中的骨干路由器，不與CE直接相連。P設備只需要具備基本MPLS轉發(fā)能力。

1.2 MPLS L3VPN的相關術語

（1）Site：是指相互之間具備IP連通性的一組IP系統(tǒng)；

（2）VPN實例：在MPLS VPN中，通過VPN實例（VPN-instance）實現(xiàn)不同VPN之間的路由隔離。PE上每個VPN實例都有相對獨立的路由表和轉發(fā)表。

MPLS-VPN是指采用MPLS技術在骨干的寬帶IP網(wǎng)絡上構建企業(yè)IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務通信。

（3）VPN Target屬性：擴展團體屬性，用來控制VPN路由信息的發(fā)布。分2類：Export Target屬性和Import Target屬性。只有在接收到其它PE發(fā)布的VPNv4路由Export Target屬性與本地PE上VPN實例的Import Target屬性匹配時，才把路由加入到相應的VPN路由表中。

（4）LSP：標記交換路徑。轉發(fā)等價類在MPLS網(wǎng)絡中不同的節(jié)點被賦予確定的標簽，數(shù)據(jù)轉發(fā)按照這些標簽進行，數(shù)據(jù)流所走的路徑就是LSP。

（5）FIB和LFIB

FIB：由路由表所得出來的轉發(fā)信息表，指導IP轉發(fā)；

LFIB：標簽轉發(fā)信息表，指導MPLS轉發(fā)。

2 域內及域間MPLS L3VPN組網(wǎng)特點及組網(wǎng)中BGP協(xié)議標簽分配策略

FEC（轉發(fā)等價類）是指在轉發(fā)過程中以相同的規(guī)則執(zhí)行、沿相同的路徑轉發(fā)的一組或是一系列數(shù)據(jù)流，在一臺設備上，屬于同一FEC的路由分配相同的標簽。

在MPLS中并不只是一條路由對應一個FEC，也可以是一組具有相同屬性的路由對應同一個FEC。

采用路由匯聚的思想，對大量屬性相同的路由分配相同的標簽，相比于為每條路由分配一個標簽的分配方式，可以節(jié)省大量的標簽資源、簡化轉發(fā)操作。本文將通過對普通L3VPN組網(wǎng)、B類和C類跨域組網(wǎng)中路由傳播和流量轉發(fā)的具體分析，指出這些組網(wǎng)中不同設備上，BGP協(xié)議適合采用怎樣的標簽分配方式，哪些可以采用路由匯聚的標簽分配策略。

2.1 普通L3VPN組網(wǎng)

如圖1，根據(jù)PE1和PE2上的配置，CE0、CE1屬于PE1的VPN1，CE2屬于PE1的VPN2，CE3屬于PE2的VPN_A，CE4屬PE2的于VPN_B。根據(jù)RT(VPN Target屬性)匹配原則，在此組網(wǎng)中，要通過MPLS骨干網(wǎng)實現(xiàn)Site1(Site0)與Site3通信、Site2與Site4通信。

圖1 普通L3VPN組網(wǎng)圖

具體來講，要實現(xiàn)CE1(CE0)和CE3之間、CE2和CE4之間交換路由、流量正常轉發(fā)。

以CE1和CE3通信為例，從報文發(fā)送和流量轉發(fā)2個方向進行分析，CE1的路由如何被CE3學到，以及如何實現(xiàn)CE3到CE1的私網(wǎng)流量轉發(fā)。

（1）從路由傳播角度

在PE1和PE2之間，建立起MP-IBGP鄰居，通過VPNv4路由傳遞PE1與PE2上的私網(wǎng)路由（即從CE上學到的路由）。路由傳播分3個階段：

a.PE1從CE1和CE2上收到私網(wǎng)路由，因為屬于不同的VPN實例，會存儲到不同的VPN路由表中，最終會下發(fā)到VPN1和VPN2的FIB表中指導轉發(fā)。

b.同時PE1會將私網(wǎng)路由以VPNv4的形式發(fā)送給PE2，PE2上依據(jù)RT（VPN Target屬性）匹配的原則，將路由插入到不同的VPN路由表，來自CE1的路由會插入到VPN_A的路由表，來自CE2的路由插入到VPN_B的路由表。

c.PE2將不同VPN實例的路由轉發(fā)給不同的CE，CE1的路由被CE3學到，CE2的路由被CE4學到。

（2）從流量轉發(fā)角度

流量轉發(fā)的方向與路由傳播方向恰好相反，從CE3→PE2→P→PE1→CE1：

a.在PE1上，當有流量向私網(wǎng)轉發(fā)時（向CE1或CE2），需要根據(jù)查對應的FIB表項，找到出接口和下一跳。但由于不同的VPN對應不同的FIB表項，而且可能會發(fā)生地址空間重疊，需要通過BGP分配的私網(wǎng)標簽來判斷查詢哪個VPN的FIB表項指導轉發(fā)，為來自CE1和CE2的路由分配不同的標簽。

PE1將從CE1和CE2學到的路由以VPNv4形式向PE2發(fā)送時，會攜帶分配的標簽；而PE2將流量向PE1轉發(fā)時，將打上此標簽，PE1上則根據(jù)流量報文標簽值來指導表項查詢、流量轉發(fā)。

b.從PE2到P到PE1，流量經(jīng)公網(wǎng)MPLS轉發(fā)，所走的路徑是由LDP創(chuàng)建的公網(wǎng)LSP，外層標簽也由LDP協(xié)議分配，本文中不做具體分析。內層標簽則是由PE1上BGP分配的私網(wǎng)標簽。

c.當PE2上，有來自CE3的流量時，查找VPN_A的FIB表，對應轉發(fā)表項是要打標簽經(jīng)公網(wǎng)LSP轉發(fā)的，便打上標簽(PE1上BGP分配的私網(wǎng)標簽)，由IP轉發(fā)變?yōu)镸PLS轉發(fā)，流量經(jīng)公網(wǎng)LSP轉發(fā)到PE1。

（3）標簽分配策略

在此組網(wǎng)中，由BGP分配的標簽只有PE1上對來自CE0、CE1、CE2的私網(wǎng)路由分配的標簽。根據(jù)路由匯聚的標簽分配策略，無需為每條路由分配一個標簽，因為同一VPN的路由轉發(fā)操作是相同的，只需將VPN實例索引作為關鍵字區(qū)分不同的FEC，為同一VPN的路由分配一個標簽，CE0和CE1屬于VPN1，分一個標簽，CE2屬于VPN2，分配不同標簽。

（4）VPN POPGO技術

VPN POPGO是指流量從PE到CE轉發(fā)時，不查找對應VPN的FIB轉發(fā)表項，直接在標簽轉發(fā)表項中填入出接口和下一跳指導轉發(fā)。在此組網(wǎng)中，來自CE0和來自CE1的路由屬于同一VPN實例，但出接口和下一跳不同，對應不同的轉發(fā)操作，應對應不同標簽轉發(fā)表項，所以，對于VPN POPGO技術，對CE0和CE1的路由應分配不同的標簽，采用VPN實例+下一跳作為關鍵字為私網(wǎng)路由分配標簽。

2.2 B類跨域L3VPN組網(wǎng)

如圖2，B類跨域中，ASBR間通過MP-EBGP交換來自各PE的VPNv4路由。ASBR上無需配置VPN實例，通過配置使其接收所有擴展團體屬性的路由(不進行RT匹配的過濾)；PE和ASBR之間建立MP-IBGP交換VPNv4路由，與普通L3VPN組網(wǎng)同。

圖2 B類跨域L3VPN組網(wǎng)圖

（1）路由和流量分析

CE1的路由最終被CE3學到，以這條鏈路為例：

a.PE1學到CE1的路由以VPNv4路由的形式發(fā)送給ASBR1，為路由按VPN實例索引+下一跳分配私網(wǎng)標簽，與普通L3VPN組網(wǎng)同。

b.ASBR1將來自不同PE的VPNv4路由發(fā)送給ASBR2，ASBR1要為路由分配標簽、創(chuàng)建LFIB表項，此表項的目的：為了指導來自ASBR2的流量轉發(fā)到那個PE，即流量要走哪條公網(wǎng)LSP(PE和ASBR之間由LDP創(chuàng)建的公網(wǎng)隧道)，打上PE為不同私網(wǎng)路由分配的私網(wǎng)標簽，用來指導流量從PE轉發(fā)到那個CE。此處用下一跳+出標簽作為關鍵字為路由分配標簽。

c.ASBR2將來自不同ASBR的VPNv4路由轉發(fā)給PE，首先BGP會在ASBR之間創(chuàng)建一條域間公網(wǎng)LSP，同時會為路由分配標簽，與上一步驟分配標簽的作用一致，指導流量轉發(fā)到ASBR鄰居，同時打上不同的出標簽，此處也是用下一跳+出標簽作為關鍵字為路由分配標簽。

（2）標簽分配策略

B類跨域中，ASBR為來自PE的路由和來自ASBR的路由，都按下一跳+出標簽作為關鍵字分配標簽，用來指導流量轉發(fā)到哪個PE/ASBR及打上什么私網(wǎng)標簽，其實是對相同Site的路由進行匯聚，為不同Site的路由分配了不同的標簽。

2.3 C類跨域L3VPN組網(wǎng)

如圖3，相對于B類跨域ASBR上要存儲來自PE的所有VPNv4路由，路由的存儲和標簽轉發(fā)對ASBR造成了較大的負擔，C類跨域組網(wǎng)中則通過2端PE建立多跳VPNv4 EBGP鄰居，直接交換VPNv4路由，在ASBR上無需VPNv4路由的存儲與傳播。

圖3 C類跨域L3VPN組網(wǎng)圖

（1）PE1和PE3之間要建立多跳MP-EBGP連接，需要將PE1的公網(wǎng)路由帶標簽發(fā)布給PE2，建立一條貫穿的公網(wǎng)LSP。

a.將PE1用來建立多跳MP-EBGP鄰居的LOOPBACK口IP地址通過IGP(OSPF等)被ASBR1學到，并建立起PE與ASBR之間的域內公網(wǎng)LSP，由LDP完成。

b.ASBR1上，BGP協(xié)議引入IGP路由(PE的LOOPBACK口地址)，并發(fā)送給ASBR2，ASBR1要為路由分配公網(wǎng)標簽，同時下發(fā)LFIB表項，指導從ASBR2來的流量轉發(fā)到哪個PE。

此處不能按下一跳分配標簽，PE0和PE2的LOOPBACK口IP地址通過IGP被ASBR1學到，2條路由的下一跳是相同的，按下一跳分配標簽則無法區(qū)別這2條鏈路。因為每個LOOPBACK口IP地址代表了一個域內公網(wǎng)LSP的目的地，在ASBR1向ASBR2發(fā)送路由時，按每路由的方式分配標簽，關鍵字為引入路由的IP前綴。

c.ASBR2上收到ASBR1的BGP公網(wǎng)帶標簽路由，BGP會創(chuàng)建到PE1的公網(wǎng)LSP，是流量從ASBR2轉發(fā)到PE1所經(jīng)的路徑。

ASBR2向域內PE3轉發(fā)BGP帶標簽路由時，也是按每路由方式分配標簽，標簽的作用便是指導流量由哪條LSP轉發(fā)，目的地是哪個PE。

d.PE3收到IPv4帶標簽路由，會創(chuàng)建到另一端PE1的公網(wǎng)LSP，從CE3有流量到CE1時，打上PE1為VPNv4路由分配的私網(wǎng)標簽，直接經(jīng)這條LSP便可到達PE1。

流量由PE3向ASBR2轉發(fā)時有3層標簽：最內層是PE1上BGP分配的私網(wǎng)標簽，決定PE1上如何向私網(wǎng)轉發(fā)，查詢PE3上VPN_A實例的FIB表項可知，從CE3到CE1的流量要先打上此標簽，然后經(jīng)LSP(目的地為PE1)轉發(fā)；第2層標簽是ASBR2向PE3發(fā)送IPv4帶標簽路由時BGP分配的，目的是流量到達ASBR2時指導流量經(jīng)LSP2到達PE1；最外層標簽是指導流量到達ASBR2，由LDP分配。

（2）標簽分配策略

C類跨域組網(wǎng)分配標簽的特別之處是發(fā)送IPv4標簽路由時的標簽分配，此標簽的目的是指導流量到達哪個PE。因為PE的IP地址是公網(wǎng)地址，全球唯一，而且到達不同PE的轉發(fā)操作是不同的，所以此時不能用路由匯聚的標簽分配方式，而用公網(wǎng)帶標簽路由的IP前綴作為關鍵字，采用為每條路由分配一個標簽的策略。

3 結束語

本文詳細分析了MPLS L3VPN的普通域間組網(wǎng)及B類C類跨域組網(wǎng)中，流量轉發(fā)的具體操作及每層標簽在轉發(fā)中的作用和意義。提出路由匯聚的思想在標簽分配中的運用，對同一子網(wǎng)具有相同屬性的路由，分配相同的標簽、執(zhí)行相同的轉發(fā)操作，節(jié)省了標簽資源、簡化了轉發(fā)操作。

[1] 巨丹. 對MPLS MP—BGP VPN的理解[J] . 通信科技，2010（3）.

[2] 韓海雯，張瀟元. 基于BGP協(xié)議的MPLS VPN構建機制分析[J] . 計算機工程與設計，2008（3）.