馮振

[摘 要] MPLS VPN是在電信運(yùn)營(yíng)商的公網(wǎng)架構(gòu)上為客戶提供的私有專用網(wǎng)絡(luò)，文章就如何通過(guò)公網(wǎng)實(shí)現(xiàn)不同用戶的私網(wǎng)的連接，著重闡述了MPLS VPN的網(wǎng)絡(luò)架構(gòu)、基本原理以及路由傳遞等幾個(gè)關(guān)鍵技術(shù)。

[關(guān)鍵詞] MPLS VPN；網(wǎng)絡(luò)架構(gòu)；路由

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 19. 083

[中圖分類號(hào)] TP311 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2017）19- 0196- 02

1 引 言

VPN（Virtual Private Network）是基于公網(wǎng)，利用隧道、加密等技術(shù)，為用戶提供的虛擬專用網(wǎng)絡(luò)。虛擬是因?yàn)樗⒉惶峁┒说蕉说奈锢磉B接，專用是因?yàn)樗梢詾槟骋粓F(tuán)體提供一個(gè)專用的網(wǎng)絡(luò)，而他們并不關(guān)心公網(wǎng)情況如何。MPLS（Multi-Protocol Label Switch，多協(xié)議標(biāo)簽交換）是新一代IP骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn)。它是IP技術(shù)與ATM技術(shù)的有機(jī)融合，吸收了IP路由技術(shù)靈活性和ATM交換技術(shù)簡(jiǎn)潔性的優(yōu)點(diǎn)，在面向無(wú)連接的IP網(wǎng)絡(luò)中引入了MPLS面向連接的屬性，提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù)。

2 MPLS VPN的網(wǎng)絡(luò)架構(gòu)及基本原理

MPLS VPN包含三種類型的路由器：CE路由器、PE路由器和P路由器。其中，CE路由器是用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與服務(wù)提供商網(wǎng)絡(luò)連接，CE可以是路由器或交換機(jī)，也可以是一臺(tái)主機(jī)。CE無(wú)需知道VPN的存在，也不需要支持MPLS；PE路由器是服務(wù)提供商邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽邊緣路由器 （LER），它根據(jù)存放的路由信息將來(lái)自CE路由器或標(biāo)簽交換路徑（LSP）的VPN數(shù)據(jù)處理后進(jìn)行轉(zhuǎn)發(fā)，同時(shí)負(fù)責(zé)和其他PE路由器交換路由信息；P路由器是運(yùn)營(yíng)商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽交換路由器（LSR），它根據(jù)分組的外層標(biāo)簽對(duì)VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)，P路由器只維護(hù)到PE路由器的路由信息而不維護(hù)VPN相關(guān)的路由信息。

2.1 VPN Site

VPN Site即VPN用戶的站點(diǎn)，是VPN中的一個(gè)孤立的IP網(wǎng)絡(luò)，該網(wǎng)絡(luò)內(nèi)部本身是IP互聯(lián)的，但是和其他站點(diǎn)（或者是子網(wǎng)）一般來(lái)說(shuō)不通過(guò)骨干網(wǎng)不具有連通性。CE通常是VPN Site中的一個(gè)路由器或三層交換設(shè)備甚至是一個(gè)主機(jī)。一個(gè)CE設(shè)備總是被認(rèn)為處于一個(gè)單獨(dú)的站點(diǎn)，但是一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。

在MPLS VPN的連接模型中，網(wǎng)絡(luò)由運(yùn)營(yíng)商的骨干網(wǎng)與用戶的各個(gè)Site組成，所謂VPN就是對(duì)Site集合的劃分，一個(gè)VPN就對(duì)應(yīng)一個(gè)由若干Site組成的集合。

2.2 VRF及虛擬路由器

為了讓PE路由器能區(qū)分是哪個(gè)本地接口上送來(lái)的VPN用戶路由，在PE路由器上創(chuàng)建了大量的虛擬路由器，每個(gè)虛擬路由器都有各自的路由表和轉(zhuǎn)發(fā)表，這些路由表和轉(zhuǎn)發(fā)表統(tǒng)稱為VRF（VPN Routing and Forwarding instances）。一個(gè)VRF定義了連到PE路由器上的VPN成員。VRF中包含了IP路由表，IP轉(zhuǎn)發(fā)表，使用該IP轉(zhuǎn)發(fā)表的接口集和路由協(xié)議參數(shù)和路由導(dǎo)入導(dǎo)出規(guī)則等等。每個(gè)PE都維護(hù)和管理一系列的轉(zhuǎn)發(fā)表，其中一個(gè)轉(zhuǎn)發(fā)表叫做“缺省的轉(zhuǎn)發(fā)表”或者叫“全局轉(zhuǎn)發(fā)表”；其他的轉(zhuǎn)發(fā)表即VRF。全局的轉(zhuǎn)發(fā)表存放的是公網(wǎng)的路由（保證SP網(wǎng)絡(luò)中本身PE和PE，PE和P之間能夠互通），VRF存儲(chǔ)的是VPN站點(diǎn)的私有路由。

3 MPLS VPN的路由傳遞

3.1 CE與PE之間的路由交換

在PE上為不同的VPN站點(diǎn)配置VRF。PE上維護(hù)多個(gè)獨(dú)立的路由表，包括公網(wǎng)和私網(wǎng)路由表（VRF），其中：公網(wǎng)路由表包含到達(dá)其他PE和P的路由，由骨干網(wǎng)的IGP產(chǎn)生；私網(wǎng)路由表包含本VPN可到達(dá)的路由（即屬于該VPN的不同站點(diǎn)之間的路由）。

CE與PE之間通過(guò)采用靜態(tài)路由或動(dòng)態(tài)路由協(xié)議進(jìn)行路由信息的交互。當(dāng)Ingress PE從某個(gè)接口接收到來(lái)自CE的路由信息時(shí)，將該路由導(dǎo)入對(duì)應(yīng)的VRF。

3.2 PE與PE之間的路由交換

PE與PE之間的路由交換本質(zhì)上就是將PE上得VRF路由注入到MP-IBGP并通過(guò)MP-IBGP在PE間交換的過(guò)程。

PE通過(guò)維持IBGP確保路由信息被分發(fā)給所有其他的PE。當(dāng)Ingress PE分發(fā)路由信息時(shí)，將同時(shí)攜帶路由所在VRF的RD，即將路由的IPv4地址前綴轉(zhuǎn)化為VPN-IPv4地址。分發(fā)的具體路由信息（VPN-IPv4路由信息）包括：該路由的VPN-IPv4地址前綴、下一跳地址即Ingress PE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）、分配給該路由的VPN標(biāo)簽（用來(lái)標(biāo)識(shí)屬于哪個(gè)VPN或者說(shuō)是哪個(gè)VRF）、該路由所在VRF的Export RT。

3.3 PE與CE之間的路由交換

PE與CE之間的路由交換即為MP-IBGP把路由注入到PE上的VRF然后通過(guò)PE與CE上運(yùn)行的路由協(xié)議再分發(fā)給CE的過(guò)程。

當(dāng)Egress PE收到路由信息時(shí)，將查看該路由的RT，如果RT和其任意VRF中任意一個(gè)Import RT相符時(shí)，就將該路由存入VPN-IPv4的路由表。在進(jìn)行路由選擇之后，將最優(yōu)路由中的VPN-IPv4地址轉(zhuǎn)化成IPv4地址（即去掉地址中的RD）導(dǎo)入到相應(yīng)的VRF，私網(wǎng)標(biāo)簽保留，記錄到轉(zhuǎn)發(fā)表中，留做轉(zhuǎn)發(fā)時(shí)使用。再由本VRF的路由協(xié)議引入并傳遞給相應(yīng)的CE。發(fā)給CE時(shí)下一跳為接收端PE自己的接口地址。這樣就完成了從MP-IBGP路由注入到VRF的過(guò)程。

4 總 結(jié)

MPLS VPN網(wǎng)絡(luò)中，可以通過(guò)RD的引入將IP-V4地址轉(zhuǎn)換成VPN-V4地址在網(wǎng)絡(luò)中傳播，解決私網(wǎng)地址重疊的困難；路由接收者可以通過(guò)RT來(lái)分辨相同的路由信息。

主要參考文獻(xiàn)

[1]徐聚星.MPLS VPN關(guān)鍵技術(shù)分析與研究[J].軟件導(dǎo)刊，2011（9）.

[2]李海華.BGP MPLS VPN安全性能分析與改進(jìn)[J].微電子學(xué)與計(jì)算機(jī)，2011（11）.