跨域MPLS VPN技術(shù)的實(shí)施研究

（中國(guó)電信云南分公司，昆明 650000）

跨域MPLS VPN技術(shù)的實(shí)施研究

李維賢

（中國(guó)電信云南分公司，昆明 650000）

近年來，隨著MPLS VPN技術(shù)的成熟，其應(yīng)用越來越廣泛，目前大部分的MPLS VPN技術(shù)主要應(yīng)用在一個(gè)AS域內(nèi)，隨著MPLS VPN在同一個(gè)AS域內(nèi)的廣泛應(yīng)用，跨域間的MPLS VPN通信需求逐漸增加，本文將通過某一跨域MPLS VPN客戶的實(shí)施案例來進(jìn)行研究，并提出一個(gè)可通用的跨域間的MPLS VPN實(shí)施方案。

跨域；MPLS；VPN

隨著MPLS技術(shù)的成熟，其應(yīng)用越來越廣泛，尤其是在VPN方面。目前電信運(yùn)營(yíng)商提供給用戶的MPLS VPN服務(wù)主要有MPLS Layer 2 VPN和 MPLS Layer 3 VPN兩類，其中MPLS Layer 2 VPN因標(biāo)準(zhǔn)化和復(fù)雜性問題，目前還沒有被大規(guī)模采用；而MPLS Layer 3 VPN具有高度的靈活性和擴(kuò)展性，已被大規(guī)模應(yīng)用，并逐步成為取代傳統(tǒng)專線VPN的技術(shù)。

隨著MPLS VPN在同一個(gè)AS域內(nèi)的廣泛應(yīng)用，跨域間的MPLS Layer 3 VPN通信需求逐漸增加，就需要電信運(yùn)營(yíng)商結(jié)合現(xiàn)網(wǎng)情況進(jìn)行系統(tǒng)研究，提出一個(gè)易擴(kuò)展、易維護(hù)的跨域MPLS Layer 3 VPN的實(shí)施方案。本文將通過某一跨域MPLS VPN客戶的實(shí)施案例來進(jìn)行研究。

1 跨域MPLS VPN實(shí)施案例分析

1.1 客戶組網(wǎng)需求

某工商局的機(jī)構(gòu)包括省、州市、鄉(xiāng)鎮(zhèn)等節(jié)點(diǎn)，組網(wǎng)結(jié)構(gòu)上省中心節(jié)點(diǎn)通過電信CN2網(wǎng)內(nèi)MPLS VPN專線連接到各州市中心節(jié)點(diǎn)，州市中心節(jié)點(diǎn)通過本地163城域網(wǎng)MPLS VPN跨域接入到各鄉(xiāng)鎮(zhèn)節(jié)點(diǎn)。

1.2 組網(wǎng)方案

（1）本項(xiàng)目采用IP VPN方式組建全省工商虛擬專網(wǎng)，通過MPLS VPN跨域技術(shù)實(shí)現(xiàn)。

（2）根據(jù)工商局的省、州市、縣鄉(xiāng)機(jī)構(gòu)情況，本次組網(wǎng)由兩層網(wǎng)絡(luò)構(gòu)成，第一層為省工商局到州市工商局網(wǎng)絡(luò)，第二層為州市工商局到縣鄉(xiāng)工商局網(wǎng)絡(luò)，兩層網(wǎng)絡(luò)都通過MPLS VPN組網(wǎng)，其中第一層網(wǎng)絡(luò)承載于CN2，第二層網(wǎng)絡(luò)承載于163州市城域網(wǎng)，兩個(gè)網(wǎng)絡(luò)通過州市工商局核心路由器連接，進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

（3）在163州市城域網(wǎng)內(nèi)，有BRAS及SR兩個(gè)業(yè)務(wù)承載平面，目前SR設(shè)備主要承載IPTV、軟交換、大客戶互聯(lián)網(wǎng)專線等業(yè)務(wù)，該平面屬于輕載網(wǎng)，對(duì)IP專線的帶寬、時(shí)延等網(wǎng)絡(luò)性能指標(biāo)有較好的保障能力，考慮到省工商局對(duì)本次項(xiàng)目中網(wǎng)絡(luò)質(zhì)量的保障要求，建議通過SR網(wǎng)絡(luò)平面來承載本次MPLS VPN業(yè)務(wù)，其中州市核心SR作為P/PE設(shè)備，各縣分公司SR作為PE設(shè)備。

（4）各級(jí)工商機(jī)構(gòu)子網(wǎng)的出口路由器作為CE設(shè)備，與電信側(cè)PE設(shè)備或者PE延伸交換機(jī)對(duì)接，其中省工商局作為全省工商局業(yè)務(wù)核心節(jié)點(diǎn)，建議通過1 000 Mbit/s光纖專線與昆電CN2 PE延伸交換機(jī)對(duì)接；各州市工商局作為本州市核心設(shè)備，建議設(shè)置兩條電路，一條通過100 Mbit/s光纖專線與州市CN2 PE延伸交換機(jī)對(duì)接，另一條通過100 Mbit/s光纖專線與163州市城域網(wǎng)核心SR或SR下掛L2對(duì)接；縣工商局及鄉(xiāng)鎮(zhèn)工商局作為末級(jí)分支機(jī)構(gòu)，通過10 Mbit/s光線專線與各縣SR下掛的L2或大客戶專線接入交換機(jī)對(duì)接。

（5）省州站點(diǎn)的CE與PE之間建EBGP鄰居關(guān)系，CE之間建IBGP鄰居關(guān)系。

（6）縣、鄉(xiāng)站點(diǎn)CE與PE之間根據(jù)路由器性能，可通過靜態(tài)路由或EBGP方式通信。

如圖1所示，某省工商局VPN組網(wǎng)的總體示意圖。

1.3 RD規(guī)劃

RD主要作用是解決客戶站點(diǎn)間的IP地址沖突。由IP地址（32 bit）+RD（64 bit）組成VPN V4地址。在每個(gè)用戶站點(diǎn)的VRF中配置相同的RD值。如圖2所示，如一個(gè)客戶有192.168.0.0/24的網(wǎng)段，另一個(gè)客戶同時(shí)有192.168.0.0/24的網(wǎng)段；如果在普通的IP網(wǎng)中必然會(huì)產(chǎn)生IP地址沖突。這時(shí)在VRF中部署不同的RD值。如客戶1在PE的VRF中配置RD為100：1，客戶2 的RD配置為200：1。這時(shí)在P網(wǎng)中的VPN地址就是客戶1 VPN V4地址：192.168.0.0/24+100：1；客戶2 VPN V4地址：192.168.0.0/24+200：1。這樣在P網(wǎng)中就把相同的IP地址區(qū)分了開來。

1.4 RT規(guī)劃

圖1 某省工商局VPN組網(wǎng)的總體示意圖

RT用來控制MPLS VPN的Import、Outport的策略。通過匹配Import、Outport的RT值來進(jìn)行控制MPLS VPN站點(diǎn)間的訪問控制。例如有客戶1、客戶2、客戶3，這3個(gè)客戶間要實(shí)現(xiàn)客戶1能完全訪問客戶2，而客戶1不能訪問客戶3。在VRF下分配客戶1RT值為100：1（和RD值格式一樣），方向?yàn)锽OTH；客戶2RT值為100：1（和客戶1RT值匹配），方向?yàn)锽OTH；客戶3RT值為300：1（單獨(dú)定義一個(gè)不同的RT值）。這是一個(gè)簡(jiǎn)單的例子，實(shí)際部署中可根據(jù)需求定義RT策略。

2 跨域MPLS VPN技術(shù)的實(shí)施研究

圖2 某省工商局VPN組網(wǎng)RD規(guī)劃圖

跨域MPLS Layer3 VPN主要解決的是VPN的跨域?qū)崿F(xiàn)，也就是VPN-IPv4路由信息的跨域傳遞。其主要的實(shí)現(xiàn)方案有自治區(qū)系統(tǒng)邊界路由器（ASBR，Autonomous System Boundary Router）間背靠背VRF-VRF連接、ASBR間通過MP-eBGP分發(fā)VPNIPv4路由信息和相應(yīng)的標(biāo)簽以及RR間通過Multi-hop MP-eBGP分發(fā)VPN-IPv4路由信息和相應(yīng)的標(biāo)簽3類。

3 跨域MPLS VPN技術(shù)方案對(duì)比

3.1 Option A方式

優(yōu)點(diǎn)：VPN隧道構(gòu)建比較簡(jiǎn)單，ASBR之間不需要運(yùn)行MPLS。

缺點(diǎn)：ASBR要維護(hù)所有VPN的路由，并且要為每一個(gè)跨域的VPN分配一個(gè)接口，因此存在可擴(kuò)展性的問題。

特點(diǎn)：僅當(dāng)ASBR、VRF數(shù)量相對(duì)較小且VPN相對(duì)較穩(wěn)定（不會(huì)隨時(shí)增加新的VPN）時(shí)，這種方式是一種合適的選擇，特別是網(wǎng)絡(luò)建設(shè)的初期。

3.2 Option B方式

優(yōu)點(diǎn)：ASBR之間一條鏈路傳遞所有VPN信息。不需要ASBR為每個(gè)VPN配置VRF，不需要導(dǎo)入VPN路由，不需要為每個(gè)VPN分配接口。

缺點(diǎn)：ASBR仍需要維護(hù)所有的VPN路由，并且為每個(gè)標(biāo)簽分配新的標(biāo)簽，在本地安裝新老標(biāo)簽轉(zhuǎn)換的ILM表項(xiàng)，因此對(duì)于ASBR路由器的設(shè)備性能要求比較高。

特點(diǎn)：當(dāng)VPN業(yè)務(wù)發(fā)展到一定階段，ASBR之間的鏈路受限時(shí)，可以考慮Option B跨域方法。對(duì)于一些超大型網(wǎng)絡(luò)不太適合，但對(duì)于一般中型或大型網(wǎng)絡(luò)是合適的。

3.3 Option C方式

優(yōu)點(diǎn)：ASBR不需要處理VPN信息，最符合VPN的要求，即中間設(shè)備不感知VPN信息。

缺點(diǎn)：這種方式需要在域之間互相通告環(huán)回接口的路由，造成所謂的路由泄漏問題。同時(shí)由于需要建立跨域的LSP，在管理上帶來較大的麻煩。另外，由于跨域同一VPN的所有PE之間都要建立eBGP連接，存在嚴(yán)重的擴(kuò)展性問題。

特點(diǎn)：這種方式主要針對(duì)B方式的不足加以解決，不需要在ASBR上維護(hù)具體用戶的VPN路由信息，將VPN路由的處理壓力分散到PE上，它適合于大型的網(wǎng)絡(luò)。當(dāng)VPN業(yè)務(wù)大規(guī)模發(fā)展時(shí)，可以使用Option C跨域方法。

Study on the implementation of cross domain MPLS VPN technology

LI Wei-xian
(China Telecom Yunnan Branch, Kunming 650000, China)

In recent years, along with the MPLS VPN technology matures, its application is more and more widely. Most of the MPLS VPN technology is mainly applied in an AS domain, with the wide application of MPLS VPN in the same domain of AS, across MPLS VPN communication requirements of inter domain gradually increase. This article will through the implementation of the case of a cross domain MPLS VPN customer to carry on research, and propose a cross domain MPLS VPN implementation scheme in general.

cross domain; MPLS; VPN

TN929.5

A

1008-5599（2014）08-0066-03

2014-06-03