【正文】 VPNIPv4路由組網(wǎng)圖 為提高可擴(kuò)展性，可以在每個 AS 中指定一個路由反射器 RR（ Route Reflector），由 RR 保存所有 VPNIPv4路由，與 AS 的 PE 交換 VPNIPv4路由信息。這可以大大減少一級運(yùn)營商網(wǎng)絡(luò)中需要維護(hù)的路由數(shù)量。如圖 11所示。 實際組網(wǎng)中， VPN 用戶網(wǎng)絡(luò)復(fù)雜多樣，繁簡不同。 圖 13 嵌套 VPN組網(wǎng)應(yīng)用 、 路由信息的傳播過程 嵌套 VPN 中，路由信息的傳播過程為： 、 運(yùn)營商的 PE 設(shè)備與 VPN 用戶的 CE 設(shè)備交互 VPNv4路由， VPNv4路由攜帶用戶內(nèi)部的 VPN 信息。但在實際組網(wǎng)中，一個 CE 設(shè)備可能需要經(jīng)過一個物理接口訪問多個 VPN，這可以通過設(shè)置不同的邏輯接口來實現(xiàn)，但會增加額外的配置負(fù)擔(dān)，使用起來也有局限性。 由于 MPLS L3VPN 的平面模型與典型的分層網(wǎng)絡(luò)模型不相符，在每一個層次上部署PE 都會遇到擴(kuò)展性問題，不利于大規(guī)模部署 VPN。 SPE 維護(hù)其通過 UPE 連接的 VPN 所有路由，包括本地和遠(yuǎn)程 Site 的路由， SPE 將路由信息發(fā)布給 UPE，并攜帶標(biāo)簽。 SPEUPE SPE 和 UPE 之間運(yùn)行 MPBGP，可以是 MPIBGP，也可以是 MPEBGP，這取決于 UPE和 SPE 是否屬于同一個 AS。 16 OSPF VPN 擴(kuò)展 PE 上的 OSPF 多實例 OSPF 是應(yīng)用廣泛的一種 IGP 協(xié)議，很多情況下， VPN 客戶端通過 BGP 對等體連接，客戶端內(nèi)部則經(jīng)常以 OSPF 作為內(nèi)部路由協(xié)議。 即：如果 VPN 站點(diǎn)存在 OSPF area 0，則 CE 接入的 PE 必須通過 area 0與這個 VPN 站點(diǎn)的骨干區(qū)域相連（可以通過 Virtuallink 實現(xiàn)邏輯上的連通）。改善了網(wǎng)絡(luò)管理并使 OSPF 的應(yīng)用更為有效。 在實現(xiàn)中，要求每個 OSPF 域有一個可配置的域 ID（ Domain ID）。 、 OSPF 偽連接 通常情況下， BGP 對等體之間通過 BGP 擴(kuò)展團(tuán)體屬性在 MPLS VPN 骨干網(wǎng)上承載路由信息。 Shamlink 被看成是兩個 VPN 實例之間的鏈路，每個 VPN 實例中必須有一個Shamlink的端點(diǎn)地址，它是 PE路由器上 VPN地址空間中的一個有 32位掩碼的 Loopback接口地址。 MultiVPNInstance CE 主要用于以較低的成本解決局域網(wǎng)的安全問題。 使能了 BGP 的 AS 號替換功能后，當(dāng) PE 向指定對等體中的 CE 發(fā)布路由時，如果路由的 AS_PATH 中有與 CE 相同的 AS 號，將被替換成 PE 的 AS 號后再發(fā)布。這樣不但能夠隔離私網(wǎng)內(nèi)不同 VPN 的報文轉(zhuǎn)發(fā)路徑，而且通過與 PE 間的配合，也能夠?qū)⒚總€ VPN 的路由正確發(fā)布至對端 PE，保證 VPN 報文在公網(wǎng)內(nèi)的傳輸。 MCE 與 PE1之間通過 Trunk 鏈 路連接，并允許 VLAN2和 VLAN3的報文攜帶 VLAN Tag 傳輸，從而使 PE1在接收時可以根據(jù)報文所屬 VLAN 判別該報文屬于哪一個VPN，將報文在指定的隧道內(nèi)傳輸。此時，為每個 VPN 單獨(dú)配置一臺 CE 將加大用戶的設(shè)備開支和維護(hù)成本；而多個 VPN 共用一臺 CE，使用同一個路由表項，又無法保證數(shù)據(jù)的安全性。 如果物理分散的 CE 復(fù)用相同的 AS 號，就應(yīng)該在 PE 上配置 BGP 的 AS 號替換功能。 、 MultiVPNInstance CE OSPF 多實例通常運(yùn)行在 PE 路由器上，在局域網(wǎng)內(nèi)部運(yùn)行 OSPF 多實例的路由器稱為MultiVPNInstance CE，即多實例 CE。 Shamlink 作為區(qū)域內(nèi)的一條點(diǎn)到點(diǎn)鏈路，包含在 Type1 LSA 中發(fā)布。 PE 路由器的OSPF 進(jìn)程在進(jìn)行路由計算時，忽 略 DN 置位的 Type3 LSAs。 為了解決上述問題， PE 使用一種經(jīng)過修改的 BGP/OSPF 交互過程（簡稱為 BGP/OSPF互操作功能），發(fā)布從一個 Site到另一個 Site的路由，將這種路由與真正的 ASExternal路由進(jìn)行區(qū)分。通過適當(dāng)配置，運(yùn)行 OSPF 的不同站點(diǎn)之間彼此看作是直接相連的。 在 OSPF VPN 擴(kuò)展應(yīng)用中， MPLS VPN 骨干網(wǎng)被看作是骨干區(qū)域 area 0。 MPBGP 為上層 PE 發(fā)布下層 PE 上的所有 VPN 路由，為下層 PE 發(fā)布上層 PE 的 VPN實例缺省路由或通過路由 策略的 VPN 路由。在多個層次的 PE 結(jié)構(gòu)中，上層 PE 相對于下層就是 SPE，下層 PE 相對于上 層就是 UPE。 SPE 與 UPE 的分工是： UPE 主要完成用戶接入功能。從核心層到接入層，對設(shè)備的性能要求依次下降，網(wǎng)絡(luò)的規(guī)模則依次擴(kuò)大。 嵌套 VPN 技術(shù)降低了用戶接入 VPN 網(wǎng)絡(luò)的復(fù)雜度和成本，為用戶提供多樣化的 VPN組網(wǎng)方式，實現(xiàn)了用戶對內(nèi)部 VPN 以及多層 VPN 之間的互訪權(quán)限控制管理。運(yùn)營商 PE 設(shè)備把用戶網(wǎng)絡(luò)當(dāng)作普通 VPN 用戶對待，不參與子 VPN 的劃分。 VPN 用戶通過 CE 設(shè)備與運(yùn)營商的 PE 設(shè)備互連， 接入 MPLS VPN 網(wǎng)絡(luò)，實現(xiàn)屬于用戶 VPN 的不同 Site 之間的通信。 二級運(yùn)營商是普通 ISP 時，其 PE 不需要運(yùn)行 MPLS，與 CE 之間運(yùn)行 IGP。 為保持良好的可擴(kuò)展性，一級運(yùn)營商并不引入二級運(yùn)營商的外部路由，只引入為不同站點(diǎn)的二級運(yùn)營商交換報文的路由。這樣，在入口 PE 和出口 PE 之間建立起一條LSP。 采用 MPEBGP 方式時，需要注意： ASBR 之間不對接收的 VPNIPv4路由進(jìn)行 VPN Target 過濾，因此，交換 VPNIPv4路由的各 AS 服務(wù)提供商之間需要就這種路由交換達(dá)成信任協(xié)議； VPNIPv4路由交換僅發(fā)生在私網(wǎng)對等點(diǎn)之間，不能與公網(wǎng)交換 VPNIPv4路由，也不能與沒有達(dá)成信任協(xié)議的 MPEBGP 對等體交換 VPNIPv4路由。 圖 7 ASBR 間使用子接口管理 VPN 路由組網(wǎng)圖 使用子接口實現(xiàn)跨域 VPN 的優(yōu)點(diǎn)是實現(xiàn)簡單：兩個作為 ASBR 的 PE 之間不需要為跨域進(jìn)行特殊配置。 12 跨域 VPN 實際組網(wǎng)應(yīng)用中，某用戶一個 VPN 的多個 Site 可能 會連接到使用不同 AS 號的多個服務(wù)提供商，或者連接到一個服務(wù)提供商的多個 AS。 、 本地 CE 到入口 PE 的路由信息交換 CE 與直接相連的 PE 建立鄰接關(guān)系后，把本站點(diǎn)的 VPN 路由發(fā)布給 PE。 圖 6 Extra 組網(wǎng)方案 在圖 6中， VPN 1的 Site 3能夠被 VPN 1和 VPN 2訪問： ? PE 3能夠接受 PE 1和 PE 2發(fā)布的 VPNIPv4路由； ? PE 3發(fā)布的 VPNIPv4路由能夠為 PE 1和 PE 2接受； ? 基于以上兩點(diǎn)， VPN 1的 Site 1和 Site 3之間能夠互訪， VPN 2的 Site 2和VPN 1的 Site 3之間能夠互訪。 對于這種組網(wǎng)，需要設(shè)置兩個 VPN Target，一個表示 “Hub” ，另一個表示“Spoke” 。 10 基本的 VPN組網(wǎng)方案 在最簡單的情況下，所有用戶在同一個 VPN 形式一個不公開的用戶群。 如果兩個站點(diǎn)（ CE）屬于同一個 VPN 和被鏈接給了同一個 PE，他們的其中之一只需要知道怎么達(dá)到移動 CE。 在一個 VPN 實例被之后，你能隨意的配置隧道策略。 ? 32位 自治系統(tǒng)號 :32位 用戶自定義 號 ，例如： ： 1。 RD 能夠與自主系統(tǒng)（ AS）號相關(guān)，在這種情況下它是由 AS 號和任意的號組合的；或者是與 IP 地址相關(guān)，在此情況下，它是由一個 IP 地址和一個任意數(shù)組成的。 一個 VPNIPv4 地址共有 12 字節(jié)，前八字節(jié)表示 RD，后四字節(jié) IPv4 地址前綴如圖2。每個VPN 實例包含 VPN 成員資格和一致的站點(diǎn)路由表。只有在同一個集合里的站點(diǎn)能通過供應(yīng)商網(wǎng)絡(luò)進(jìn)入對方。 當(dāng)在 MPLS 支柱網(wǎng)上傳輸 VPN 流量時，入口 PE 具有入口 LSR 的作用，出口 PE 具有出口 LSR 的作用，當(dāng) P 路由器具有 Transit LSR 的功能。 圖 1 展示出 MPLS L3VPN 模型 圖 1為 MPLS L3VPN 模型網(wǎng)絡(luò)圖解 CEs 和 PEs 標(biāo)志著在服務(wù)提供商和客戶之間的分界線。 MPLS L3VPN Model（模型） MPLS L3VPN 模型由三種設(shè)備構(gòu)成： ? 用戶網(wǎng)絡(luò)邊緣設(shè)備（ CE）：一個客戶邊緣設(shè)備位于一個客戶網(wǎng)絡(luò)和有著一個或者更多的接口直接地連接與客戶網(wǎng)絡(luò)提供商。 MPLS L3VPN 提供靈活 的計算機(jī)網(wǎng)絡(luò)的設(shè)計模式，有極好的可擴(kuò)展性，和方便維護(hù)MPLS QoS（網(wǎng)絡(luò)服務(wù)質(zhì)量）還有 MPLS ，它是被廣泛的使用的。它只需要去被裝備一個基礎(chǔ)的 MPLS 轉(zhuǎn)發(fā)能力。這不需要知道關(guān)于 VPN路由信息的任何東西。 站點(diǎn)連接到同樣的供應(yīng)商網(wǎng)絡(luò)能夠被策略分類到不同的集合。 一個 PE 創(chuàng)造和