跨域BGP MPLS VPN技術(shù)應(yīng)用研究

摘　要　以不同城市的城域網(wǎng)BGP MPLS VPN為基礎(chǔ)，通過在ABSR上為VPN配置VRF的Import/Export Target和BGP等，實(shí)現(xiàn)了VRF to VRF、MP-EBGP、Multi-hop MP-EBGP三種跨域的組網(wǎng)方式，分析了三種跨域組網(wǎng)方式的優(yōu)缺點(diǎn)。

關(guān)鍵詞　BGP MPLS VPN　自治系統(tǒng)邊界路由器　VRF to VRF　MP-EBGP　Multi-hop MP-EBGP

1　MPLS VPN基本原理和相關(guān)概念

MPLS（Multi-Protocol Label Switching，多協(xié)議標(biāo)簽交換）是一種將具有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類（Forwarding Equivalent Class，F(xiàn)EC，轉(zhuǎn)發(fā)等價(jià)類）的分類轉(zhuǎn)發(fā)技術(shù)。標(biāo)簽用于唯一地表示一個(gè)分組所屬的FEC。LDP（Label Distribution Protocol，標(biāo)簽分配協(xié)議）用于動(dòng)態(tài)地在具有鄰居關(guān)系的骨干網(wǎng)路由器之間發(fā)布標(biāo)簽/FEC綁定關(guān)系，自動(dòng)建立一系列的LSP（Label Switching Path，標(biāo)簽交換路徑）隧道。MPLS VPN（Virtual Private Network，虛擬專用網(wǎng)）中有CE（Custom Edge，用戶接入設(shè)備）、PE（Provider Edge Router，骨干網(wǎng)邊緣路由器）和P（Provider Router，骨干網(wǎng)核心路由器）三種路由器。

VRF（VPN Routing/Forwarding Instance，路由轉(zhuǎn)發(fā)實(shí)例）：綜合了各Site的VPN成員關(guān)系和路由規(guī)則，包含了到達(dá)所有與本Site屬于同一個(gè)VPN的Site路由信息。每個(gè)PE維護(hù)多個(gè)邏輯上分離的VRF和一個(gè)公網(wǎng)路由表，因此不同VPN的地址空間不會(huì)發(fā)生沖突。

RT（Route Target，路由目標(biāo)）：PE中有兩個(gè)RT屬性集合：Export Target用于附加到從某個(gè)Site接收的路由上，Import Target用于決定哪些路由可以引入此Site的路由表中。通過匹配路由所攜帶的RT屬性，可以過濾PE接收的路由信息，獲得VPN成員關(guān)系。

MP-BGP（Multiprotocol Extensions BGP，多協(xié)議擴(kuò)展BGP）：功能是為路由指定特定網(wǎng)絡(luò)層協(xié)議的下一跳和網(wǎng)絡(luò)層可達(dá)信息，用于承載IPv4、VPNv4路由和RD、RT屬性。

2　跨域BGP MPLS VPN組網(wǎng)技術(shù)

2.1　拓?fù)浣Y(jié)構(gòu)

在組網(wǎng)應(yīng)用中，用戶VPN的多個(gè)Site可能會(huì)連接到多個(gè)ISP的不同AS域，這種應(yīng)用方式被稱為跨域VPN�？缬騐PN要解決的是LSP不能跨域的問題，關(guān)鍵在于ASBR（Autonomous System Boundy Router，自治系統(tǒng)邊界路由器）的配置，RFC 2547bis中提出了VRF to VRF、MP-EBGP、Multi-hop MP-EBGP三種方案，其拓?fù)浣Y(jié)構(gòu)模型如圖1所示。

2.2　VRF to VRF組網(wǎng)方式

在VRF to VRF（VPN-Instance-to-VPN-Instance）組網(wǎng)方式中，ASBR之間通過多個(gè)子接口相連，每個(gè)子接口對(duì)應(yīng)一個(gè)VPN，ASBR互相把對(duì)方看作自己的一個(gè)本地CE，使用傳統(tǒng)的EBGP交換IPv4路由。對(duì)于每個(gè)跨域的VPN，必須在本端ASBR上配置對(duì)應(yīng)于該VPN的VRF，并將ASBR的子接口綁定在對(duì)應(yīng)的VRF下，但不需要使能MPLS。每個(gè)域內(nèi)ASBR和PE的VRF的Import/Export Target要能匹配，域間VRF的Import/Export Target不需要匹配。為了在域內(nèi)PE之間建立IBGP對(duì)等體，在PE與CE之間建立EBGP對(duì)等體，還需要配置MP-EBGP。以圖1為例，其路由發(fā)布過程是：CE1的私網(wǎng)路由到達(dá)PE1后，PE1以MP-IBGP方式把標(biāo)簽VPNv4路由發(fā)布給ASBR1，ASBR1通過傳統(tǒng)的EBGP方式把私網(wǎng)路由發(fā)布給ASBR2（此時(shí)當(dāng)作ASBR1的一個(gè)本地CE），ASBR2以MP-IBGP方式把標(biāo)簽VPNv4路由發(fā)布到PE2，PE2將私網(wǎng)路由發(fā)布給CE2，于是CE2就通過PE2學(xué)習(xí)到另一個(gè)域內(nèi)的路由。在CE1到CE2的流量中，每個(gè)域內(nèi)傳遞的是帶兩層標(biāo)簽的報(bào)文，ASBR之間傳遞的是不帶MPLS標(biāo)簽的純私網(wǎng)流量。

這種組網(wǎng)方式的優(yōu)點(diǎn)是在ASBR之間不需要運(yùn)行MPLS。但是由于ASBR需要管理所有VPN路由，為每個(gè)跨域VPN創(chuàng)建VRF并與一個(gè)子接口綁定，子接口的數(shù)量至少要和跨域VPN的數(shù)量相當(dāng)，導(dǎo)致了ASBR上的VPNv4 路由數(shù)量過于龐大，因此存在擴(kuò)展性問題。為每個(gè)VPN 單獨(dú)創(chuàng)建子接口也提高了對(duì)ASBR設(shè)備的要求。

2.3　MP-EBGP組網(wǎng)方式

在MP-EBGP（EBGP Redistribution of labeled VPN-IPv4 routes）組網(wǎng)方式中，要求每對(duì)直連的ASBR通過MP-EBGP交換它們從各自域內(nèi)PE接收的標(biāo)簽VPNv4路由。對(duì)于每個(gè)跨域的VPN，需要配置ASBR之間接口的IP地址，同一域內(nèi)ASBR與PE之間的VRF的Import/Export Target要能匹配，不同域中PE的VRF的Import/Export Target也要能匹配，但不需要在ASBR上配置VRF和接口綁定。為了在同域內(nèi)ASBR與PE之間建立IBGP對(duì)等體關(guān)系，跨域ASBR之間建立EBGP對(duì)等體關(guān)系，ASBR在向同域內(nèi)PE發(fā)布路由時(shí)需要將自身地址作為下一跳，ASBR之間也不能對(duì)接收到的VPNv4路由進(jìn)行Import/Export Targe過濾，所以交換VPNv4路由的各ISP之間必須就這種路由交換達(dá)成信任協(xié)議。需要注意的是，VPNv4路由交換僅發(fā)生在私網(wǎng)對(duì)等點(diǎn)之間，不能與公網(wǎng)交換VPNv4路由，也不能與沒有達(dá)成信任協(xié)議的MP-EBGP對(duì)等體交換VPNv4 路由。其路由發(fā)布過程與VRF to VRF不同的是：ASBR之間是以MP-EBGP方式把標(biāo)簽VPNv4路由發(fā)布給對(duì)方的。在跨域VPN的流量中，ASBR之間傳遞的是帶標(biāo)簽的VPNv4流量。

這種組網(wǎng)方式由于不需要在ASBR上為每個(gè)VPN用戶節(jié)點(diǎn)分配一個(gè)子接口，因此在擴(kuò)展性方面優(yōu)于VRF to VRF組網(wǎng)方式。而且此方案對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)變化更小，目前得到了絕大多數(shù)路由器軟件的支持，對(duì)ISP來說風(fēng)險(xiǎn)也最小。但是ASBR需要維護(hù)標(biāo)簽VPNv4路由，隨著跨域VPN用戶的增加，ASBR中會(huì)存在大量的VRF，這會(huì)占用大量的內(nèi)存空間。網(wǎng)絡(luò)也會(huì)受到用戶路由波動(dòng)的影響，因此需要與公網(wǎng)ASBR分離設(shè)置。另一個(gè)問題是，從入口PE到出口PE需要一條完整的LSP，PE上的VPN路由可能會(huì)擴(kuò)散至其它域的ASBR上，這就增加了實(shí)現(xiàn)VPN安全的難度，因此，各ISP之間必須有足夠的協(xié)調(diào)，在ASBR之間互相信任，或通過在ASBR上配置路由策略以避免VPN路由的泄漏。

2.4　Multi-hop MP-EBGP組網(wǎng)方式

在Multi-hop MP-EBGP（Multihop EBGP Redistribution of labeled VPN-IPv4 routes）組網(wǎng)方式中，ASBR上不保存也不通告VPNv4路由，PE之間是通過Multi-hop MP-EBGP直接交換標(biāo)簽VPNv4 路由的。與MP-EBGP組網(wǎng)方式不同的是：對(duì)于每個(gè)跨域的VPN，ASBR之間需要配置接口的MPLS能力。為了在ASBR之間建立EBGP對(duì)等體關(guān)系，入口PE與出口PE之間建立Multi-hop MP-EBGP對(duì)等體關(guān)系，需要在同域內(nèi)PE與ASBR、跨域ASBR之間配置能夠交換帶標(biāo)簽的IPv4路由。其路由發(fā)布過程是：每個(gè)域的PE與ASBR之間通過MP-IBGP發(fā)布帶標(biāo)簽的IPv4路由，在ASBR中保存域內(nèi)PE的帶標(biāo)簽的IPv4路由，并通告給其它域的對(duì)等體，如果VPN需要跨越多個(gè)域，過渡域中的ASBR也通告帶標(biāo)簽的IPv4路由。這樣，不同域的PE之間就可以通過EBGP方式交換VPNv4路由，建立Multi-hop方式的連接，形成一條從入口PE到出口PE的LSP。

這種組網(wǎng)方式由于ASBR不維護(hù)或發(fā)布具體用戶的VPN路由，VRF僅存在于PE中，因此擴(kuò)展性最好。另外通過現(xiàn)有公網(wǎng)提供的BGP MPLS VPN，可以安全、直接地利用兩個(gè)域間的電路疏通公網(wǎng)流量，而不需增加專用的直聯(lián)電路。但是目前路由器軟件還無(wú)法全面支持該方案，在現(xiàn)有網(wǎng)絡(luò)條件下實(shí)施此方案會(huì)有一定風(fēng)險(xiǎn)。在實(shí)際應(yīng)用中，只有IGP路由表中的前綴能夠產(chǎn)生標(biāo)簽綁定，而跨域互通要求其他域中路由器的路由表必須包含到達(dá)本域內(nèi)PE的路由，并利用該路由觸發(fā)標(biāo)簽綁定，否則VPN路由可以傳遞，流量卻無(wú)法疏通。解決的辦法是將不同域的IGP進(jìn)行有條件的融合，將本域內(nèi)PE的地址泄漏給相鄰域?qū)崿F(xiàn)上述要求。另一個(gè)問題是，為了減少域內(nèi)MP-IBGP的連接數(shù)，提高擴(kuò)展性，通常采用RR（Route Reflector，路由反射器）。RR對(duì)IBGP連接不改變其下一跳，而對(duì)EBGP連接將把下一跳改為自己，這將導(dǎo)致VPN流量直接穿過RR。解決的辦法是在EBGP連接上增設(shè)路由圖（Route Map），人為地改變RR下一跳計(jì)算結(jié)果。

3　結(jié)束語(yǔ)

BGP MPLS VPN是未來VPN技術(shù)的主流，隨著企業(yè)信息化進(jìn)程的加快，會(huì)有越來越多的用戶要求跨市、跨省甚至跨國(guó)的通信。在未來幾年，這種趨勢(shì)會(huì)加速發(fā)展，為了避免ISP網(wǎng)絡(luò)的擴(kuò)展性成為實(shí)現(xiàn)企業(yè)跨域通信的瓶頸，設(shè)備制造商、大型MPLS骨干網(wǎng)和城域網(wǎng)運(yùn)營(yíng)商之間需要緊密合作為用戶提供更好的跨域VPN服務(wù)。

由于本網(wǎng)頁(yè)不支持圖片與公式效果，如有需要請(qǐng)參閱雜志。