【導(dǎo)讀】MPLSL3VPN是一種基于PEL3VPN為服務(wù)提供者VPN解決方案的技術(shù)。商主干網(wǎng)上的VPN報(bào)文。MPLSQoS還有MPLS，它是被廣泛的使用的。用戶網(wǎng)絡(luò)邊緣設(shè)備：一個(gè)客戶邊緣設(shè)備位于一個(gè)客戶網(wǎng)絡(luò)和有著一個(gè)。它能作為一個(gè)路由器一個(gè)交換機(jī)或。它既不能感覺到VPN也不需要支持MPLS。在一個(gè)MPLS網(wǎng)絡(luò)，所有的VPN處理發(fā)生在PEs。它只需要去被裝備一個(gè)基礎(chǔ)的MPLS轉(zhuǎn)發(fā)能力。CEs和PEs標(biāo)志著在服務(wù)提供商和客戶之間的分界線。在一個(gè)CE建立鄰接直接與一個(gè)PE連接后它把它的VPN. 一個(gè)PE繼續(xù)堅(jiān)持路由信息關(guān)于只有那些直連的VPN，而不是所。一個(gè)P路由保持只有和PEs相互路由。出口LSR的作用，當(dāng)P路由器具有TransitLSR的功能。站點(diǎn)經(jīng)常在VPN被提到。一個(gè)站點(diǎn)是具有IP連通性不依賴于服務(wù)供應(yīng)商網(wǎng)絡(luò)實(shí)現(xiàn)的一組IP系統(tǒng)。24這個(gè)在網(wǎng)絡(luò)分割方面的地址，地址空間重復(fù)的情況出現(xiàn)了。一個(gè)PE創(chuàng)造和維護(hù)一個(gè)分開的VPN實(shí)例對(duì)于每個(gè)VPN有一個(gè)明確的連接點(diǎn)。VPN實(shí)例包含VPN成員資格和一致的站點(diǎn)路由表。32位自治系統(tǒng)號(hào):32位用戶自

　　

【正文】 假設(shè)圖中所有路由器屬于同一個(gè)域，即， CE 1 CE 2 CE 22屬于同一個(gè) OSPF 域（ OSPF domain）。 VPN 1路由的發(fā)布過程可以描述為：首先在 PE 1上將 CE 11的 OSPF 路由引入 BGP；然后通過 BGP 將這些 VPN 路由發(fā)布給 PE 2；在 PE 2上將 BGP 的 VPN 路由引入到 OSPF，再發(fā)布給 CE 21和 CE 22。 圖 16 OSPF 在 VPN中的使用 如果使用標(biāo)準(zhǔn)的 BGP/OSPF 交互過程， PE 2將把 BGP VPN 路由通過 Type5 LSAs（即ASE LSAs）發(fā)布給 CE 21和 CE 22。但 CE 11與 CE 2 CE 22是同一個(gè) OSPF 域，它們之間的路由發(fā)布應(yīng)該使用 Type3 LSAs，即區(qū)域間路由。 為了解決上述問題， PE 使用一種經(jīng)過修改的 BGP/OSPF 交互過程（簡(jiǎn)稱為 BGP/OSPF互操作功能），發(fā)布從一個(gè) Site到另一個(gè) Site的路由，將這種路由與真正的 ASExternal路由進(jìn)行區(qū)分。這一過程需要 BGP 使用擴(kuò)展團(tuán)體屬性，攜帶可以標(biāo)識(shí) OSPF 屬性的信息。 在實(shí)現(xiàn)中，要求每個(gè) OSPF 域有一個(gè)可配置的域 ID（ Domain ID）。一般建議：與每個(gè) VPN 實(shí)例相關(guān)的網(wǎng)絡(luò)中的所有 OSPF 實(shí)例要么配置一個(gè)相同的域 ID，要么都使用缺省的域 ID。這樣在收到 BGP 的 VPN 路由時(shí) ，域 ID 相同的是來自同一 VPN 實(shí)例的路由。 路由環(huán)的檢測(cè) 假設(shè) PE 與 CE 之間通過 OSPF 骨干區(qū)域相連，且同一個(gè) VPN 站點(diǎn)（ Site）連接到多個(gè)不同 PE。這種情況下，當(dāng)一個(gè) PE 通過 LSA 向 VPN 站點(diǎn)發(fā)布從 MPLS/BGP 學(xué)的 BGP VPN路由時(shí)， LSA 可能被另一個(gè) PE 接收到，造成路由環(huán)。 為了防止產(chǎn)生路由環(huán)，對(duì)于從 MPLS/BGP 學(xué)到的 BGP VPN 路由，無論 PE 與 CE 間是否通過 OSPF 骨干區(qū)域相連， PE 在生成 Type3 LSA 時(shí)，都會(huì)設(shè)置標(biāo)志位 DN。 PE 路由器的OSPF 進(jìn)程在進(jìn)行路由計(jì)算時(shí)，忽 略 DN 置位的 Type3 LSAs。 如果 PE 需要向 CE 發(fā)布一條來自其它 OSPF 域的路由，則 PE 應(yīng)表明自己是 ASBR，并將該路由作為 Type5 LSA 發(fā)布。 、 OSPF 偽連接 通常情況下， BGP 對(duì)等體之間通過 BGP 擴(kuò)展團(tuán)體屬性在 MPLS VPN 骨干網(wǎng)上承載路由信息。另一端 PE 上運(yùn)行的 OSPF 可利用這些信息來生成 PE 到 CE 的 Type3 summary LSA，這些路由是區(qū)域間路由。 如圖 17所示：在 OSPF 的 PECE 連接中，同一個(gè) OSPF 區(qū)域中有兩個(gè) Site 連接到不同的 PE，兩個(gè) Site 屬于同 一個(gè) VPN，它們之間存在一條區(qū)域內(nèi) OSPF 鏈路（ backdoor link）。這種情況下，通過 PE 連接兩個(gè) Site 的路由將作為區(qū)域間路由（ InterArea Route），由于其優(yōu)先級(jí)低于經(jīng)過 backdoor 鏈路的區(qū)域內(nèi)路由（ IntraArea Route），不會(huì)被 OSPF 優(yōu)選。 圖 17 Shamlink應(yīng)用示意圖 上述情況導(dǎo)致 VPN 流量總是通過后門路由轉(zhuǎn)發(fā)，而不走骨干網(wǎng)。為了避免這一問題，可以在 PE 路由器之間建立 OSPF 偽連接（ Shamlink），使經(jīng)過 MPLS VPN 骨干網(wǎng)的路由也成為 OSPF 區(qū)域內(nèi)路由。 Shamlink 作為區(qū)域內(nèi)的一條點(diǎn)到點(diǎn)鏈路，包含在 Type1 LSA 中發(fā)布。用戶可以通過調(diào)整度量值在 Shamlink 和 backdoor 之間進(jìn)行選路。 Shamlink 被看成是兩個(gè) VPN 實(shí)例之間的鏈路，每個(gè) VPN 實(shí)例中必須有一個(gè)Shamlink的端點(diǎn)地址，它是 PE路由器上 VPN地址空間中的一個(gè)有 32位掩碼的 Loopback接口地址。同一個(gè) OSPF 進(jìn)程的 Shamlink 可以共用端點(diǎn)地址，但不同 OSPF 進(jìn)程不能擁有兩條端點(diǎn)地址完全相同的 Shamlink。 Shamlink 的端點(diǎn)地址被 BGP 作為 VPNIPv4地址發(fā)布。如果路由經(jīng)過了 Shamlink，它就不能再以 VPNIPv4路由的形式被引入到 BGP。 Shamlink 可以在任何區(qū)域配置。 Shamlink 需要手工配置，并且，本端 VPN 實(shí)例中必須有到 Shamlink 目的地址的路由。 、 MultiVPNInstance CE OSPF 多實(shí)例通常運(yùn)行在 PE 路由器上，在局域網(wǎng)內(nèi)部運(yùn)行 OSPF 多實(shí)例的路由器稱為MultiVPNInstance CE，即多實(shí)例 CE。與 PE上的 OSPF多實(shí)例相比， MultiVPNInstance CE 不需要支持 BGP/OSPF 互操作功能。 MultiVPNInstance CE 主要用于以較低的成本解決局域網(wǎng)的安全問題。 單純使用傳統(tǒng)路由器很難實(shí)現(xiàn)局域網(wǎng)中不同業(yè)務(wù)的完全隔離。目前，在一臺(tái)路由器上可以運(yùn)行多個(gè) OSPF 進(jìn)程，這些 OSPF 進(jìn)程可以是公網(wǎng)進(jìn)程，也可以是某個(gè) VPN 實(shí)例的進(jìn)程。因此，在一臺(tái)路由器上可以運(yùn)行多個(gè) OSPF 進(jìn)程，將不同的進(jìn)程綁定到不同的 VPN實(shí)例。 在實(shí)際應(yīng)用中，通過為不同的業(yè)務(wù)建立各自的 OSPF 實(shí)例，可以實(shí)現(xiàn)不同業(yè)務(wù)的隔離，保證各自的安全性。 17 BGP 的 AS 號(hào)替換 在 MPLS L3VPN 中，如果 PE 和 CE 之間運(yùn)行 EBGP，由于 BGP 使用 AS 號(hào)檢測(cè)路由環(huán)路，為保證路由信息的正確發(fā)送，需要為物理位置不同的站點(diǎn)分配不同的 AS 號(hào)。 如果物理分散的 CE 復(fù)用相同的 AS 號(hào)，就應(yīng)該在 PE 上配置 BGP 的 AS 號(hào)替換功能。此功能是 BGP 的出口策略，在發(fā)布路由時(shí)有效。 使能了 BGP 的 AS 號(hào)替換功能后，當(dāng) PE 向指定對(duì)等體中的 CE 發(fā)布路由時(shí)，如果路由的 AS_PATH 中有與 CE 相同的 AS 號(hào)，將被替換成 PE 的 AS 號(hào)后再發(fā)布。 圖 18 BGP AS 號(hào)替換應(yīng)用示意圖 在圖 18中， CE 1和 CE 2都使用 AS 號(hào) 800，在 PE 2上使能針對(duì) CE 2的 AS 號(hào)替換功能。當(dāng) CE 1發(fā)來的 Update 信息從 PE 2發(fā)布給 CE 2時(shí)， PE 2發(fā)現(xiàn) AS_PATH 中存在與 CE 2相同的 AS 號(hào) 800，就把它替換為自己的 AS 號(hào) 100，這樣， CE 2就可以正確接收 CE 1的路 由信息。 對(duì)于 PE 使用不同接口連接多個(gè) CE 的情況，如上圖中的 CE 2和 CE 3，也可以使用BGP 的 AS 號(hào)替換功能。 18 MultiVPNInstance CE BGP/MPLS VPN 以隧道的方式解決了在公網(wǎng)中傳送私網(wǎng)數(shù)據(jù)的問題，但傳統(tǒng)的BGP/MPLS VPN 架構(gòu)要求每個(gè) VPN 實(shí)例單獨(dú)使用一個(gè) CE 與 PE 相連，如圖 1所示。 隨著用戶業(yè)務(wù)的不斷細(xì)化和安全需求的提高，很多情況下一個(gè)私有網(wǎng)絡(luò)內(nèi)的用戶需要?jiǎng)澐殖啥鄠€(gè) VPN，不同 VPN 用戶間的業(yè)務(wù)需要完全隔離。此時(shí)，為每個(gè) VPN 單獨(dú)配置一臺(tái) CE 將加大用戶的設(shè)備開支和維護(hù)成本；而多個(gè) VPN 共用一臺(tái) CE，使用同一個(gè)路由表項(xiàng)，又無法保證數(shù)據(jù)的安全性。 使用以太網(wǎng)交換機(jī)提供的 MCE 功能，可以有效解決多 VPN 網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用 CE設(shè)備本身的 VLAN接口編號(hào)與網(wǎng)絡(luò)內(nèi)的 VPN進(jìn)行綁定 ，并為每個(gè) VPN 創(chuàng)建和維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表（ MultiVRF）。這樣不但能夠隔離私網(wǎng)內(nèi)不同 VPN 的報(bào)文轉(zhuǎn)發(fā)路徑，而且通過與 PE 間的配合，也能夠?qū)⒚總€(gè) VPN 的路由正確發(fā)布至對(duì)端 PE，保證 VPN 報(bào)文在公網(wǎng)內(nèi)的傳輸。 MCE 工作原理 下面以圖 19為例介紹 MCE 對(duì)多個(gè) VPN 的路由表項(xiàng)進(jìn)行維護(hù)，并與 PE 交互 VPN 路由的過程。 圖 19 MCE 工作原理示意圖 如圖 19所示，左側(cè)私網(wǎng)內(nèi)有兩個(gè) VPN 站點(diǎn)： Site1和 Site2，分別通過 MCE 設(shè)備接入 MPLS 骨干網(wǎng)，其中 VPN1和 VPN2的用戶，需要分別 與遠(yuǎn)端 Site2內(nèi)的 VPN1用戶和 Site1內(nèi)的 VPN2用戶建立 VPN 隧道。 通過配置 MCE 功能，可以在 MCE 設(shè)備上為 VPN1和 VPN2創(chuàng)建各自的路由轉(zhuǎn)發(fā)表，并使用 Vlaninterface2接口與 VPN1進(jìn)行綁定、 Vlaninterface3與 VPN2進(jìn)行綁定。在接收路由信息時(shí)， MCE 設(shè)備根據(jù)接收接口的編號(hào)，即可判斷該路由信息的來源，并將其維護(hù)到對(duì)應(yīng) VPN 的路由轉(zhuǎn)發(fā)表中。 同時(shí)，在 PE1上也需要將連接 MCE 的接口（子接口）與 VPN 進(jìn)行綁定，綁定的方式與 MCE 設(shè)備一致。 MCE 與 PE1之間通過 Trunk 鏈 路連接，并允許 VLAN2和 VLAN3的報(bào)文攜帶 VLAN Tag 傳輸，從而使 PE1在接收時(shí)可以根據(jù)報(bào)文所屬 VLAN 判別該報(bào)文屬于哪一個(gè)VPN，將報(bào)文在指定的隧道內(nèi)傳輸。 附件 2：外文原文 （復(fù)印件）