【導讀】RFC2547bis定義了允許服務提供商使用其IP骨干網為用戶提供VPN服務的一種機制。被稱為BGP/MPLSVPN，因為BGP被用來在提供商骨干網中發(fā)布VPN路由信息，而MPLS被用來將VPN. 使服務具有非常良好的可擴展性和靈活性、適于大規(guī)模實施。對于RFC2547bis，一個VPN是一組策略的集合，這些策略控制著一組站點間的連接?；蚨鄠€端口連接到服務提供商網絡，服務提供商將每個端口與一個VPN路由表聯(lián)合在一起。2547bis術語中，VPN路由表被稱為VPN路由及轉發(fā)表。圖1舉例說明了BGP/MPLSVPN的基。CE設備可以是一臺主機或一臺二層交換機，通常情況下，CE設備是一臺IP路由器，它與直。建立鄰接關系后，CE路由器將站點的本地路由廣播給PE路由器，并從該。每個PE路由器為其直連的站點維持一個VRF。器可與路由反射器維持IBGP會話期，將其作為維護IBPG全網狀會話期的可選方案。為確保多廠商的互操作性，要求所有PE及P路由器至少支持LDP。RSVP的LSP的遞增配置。同時，路由反射器可簡單的作為將來自入口PE路由器的路由器反射給出口PE路由器的服務器。

　　

【正文】 PE 2 的 LSP 的第一個標記（ 11）壓入數據包的標記堆棧，將其作為頂部標記。 數據包被發(fā)往從 PE 1 到 PE 2 的 LSP 的第一個傳輸路由器。 MPLS 骨干網沿 LSP 對被標記的數據包進行交換，在每一跳交換頂部標記，直到其到達 PE 2 的倒數第二跳路由器。在倒數第二跳路由器，頂部標記被彈出，具有單個標記（ 1004）的數據包被發(fā)往 PE 2。 當 PE 2 從 if_1 上接收到被標記的數據包時，其在它的 MPLS 轉發(fā)表中執(zhí)行精確匹配查詢。 MPLS 轉發(fā)表中與數據包的標記相匹配的條目入下 。 Input Output Interface Label Action Interface If_1 1004 Pop if_2 作為這次查詢的結果， PE 2 將標記彈出，并通過 if_2 將原本的 IPv4 標記轉發(fā)給 CE 4。 當原本的 IPv4 數據包到達 CE 4 時，它在其 IP 轉發(fā)表內執(zhí)行最長匹配路由查詢。 CE 4 轉發(fā)表內與數據包目的地址具有最佳匹配的條目如下。 Destination NextHop Interface 做為這次查詢的結 果， CE 4 將數據包通過 if_x 轉發(fā)給站點 4 內的服務器 。 例子 2：從站點 4 向站點 1 轉發(fā)紅色 VPN 業(yè)務 假設站點 4 的服務器 希望向站點 1 的主機 傳送一個反饋數據包（圖 15）。 圖 15：從站點 4 至站點 1 對紅色 VPN業(yè)務進行轉發(fā) 當原本的 IPv4 數據包到達 CE 4 時，其在自己的 IP 轉發(fā)表內執(zhí)行最長匹配路由查詢。 CE 4 轉發(fā)表內與數據包目的地址具有最佳匹配的條目如下。 Destination NextHop Interface 作為這次查詢的結果， CE 4 通過 if_z 將原本的 IPv4 數據包轉發(fā)給 PE 2。 PE 2 從 if_2 上接收到原本的 IPv4 數據包。由于所有從 if_2 上接收到的數據包都與紅色 VRF 相關聯(lián)， PE 2在紅色 VRF 中執(zhí)行最長匹配路由查詢。紅色 VRF 內與數據包目的地址具有最佳匹配的條目如下。 BGP Bottom Top Destination NextHop Interface Label Label 由于數據包的出境子接口（ if_1）不與本地 VRF 向關聯(lián)，數據包必須在提供商的 MPLS 骨干網中被傳送至少一跳。 PE 1 為數據包建立 MPLS 包頭，然后將標記 1001（當 PE 1 最初廣播到達 ）壓入數據包的標記堆棧，將其作為底部標記。 PE 2 接著將從 PE 2 到 PE 1的 LSP 的第一個標記（ 22）壓入數據包的標記堆棧，將其作為頂部標記。 數據包被發(fā)往從 PE 2 到 PE 1 的 LSP 的第一個傳輸路由器。 MPLS 骨干網沿 LSP 對被標記的數據包進行交換，在 每一跳交換頂部標記，直到其到達 PE 2 的倒數第二跳路由器。在倒數第二跳路由器，頂部標記被彈出，具有單個標記（ 1001）的數據包被發(fā)往 PE 1。 當 PE 1 從 if_2 上接收到被標記的數據包時，其在它的 MPLS 轉發(fā)表中執(zhí)行精確匹配查詢。 MPLS 轉發(fā)表中與數據包的標記相匹配的條目入下。 Input Output Interface Label Action Interface If_2 1001 Pop if_1 作為這次查詢的結果， PE 1 將標記彈出，并通過 if_1 將原本的 IPv4 標記轉發(fā)給 CE 4。 當原本的 IPv4 數據包到達 CE 1 時，它在其 IP 轉發(fā)表內執(zhí)行最長匹配路由查詢。 CE 1 轉發(fā)表內與數據包目的地址具有最佳匹配的條目如下。 Destination NextHop Interface 做為這次查詢的結果， CE 1 將數據包通過 if_x 轉發(fā)給站點 1 內的服務器 。 例子 3：從站點 6 向站點 7 轉發(fā)綠色 VPN 業(yè)務 假設站點 4 的主機 希望向站點 7 的主機 傳送一個數據包（圖 16）。 圖 16：從站點 6 至站點 7 對綠色 VPN業(yè)務進行轉發(fā) 當原本的 IPv4 數據包通過 if_x 到達 CE 6 時，其在自己的 IP 轉發(fā)表內執(zhí)行最長匹配路由查詢。 CE 6 轉發(fā)表內與數據包目的地址具有最佳匹配的條目如下。 Destination NextHop Interface 作為這次查詢的結果， CE 6 通過 if_z 將原本的 IPv4 數據包轉發(fā)給 PE 3。 PE 3 從 if_2 上接收到原本的 IPv4 數據包。由于所有 從 if_2 上接收到的數據包都與綠色 VRF 相關聯(lián)， PE 2在綠色 VRF 中執(zhí)行最長匹配路由查詢。綠色 VRF 內與數據包目的地址具有最佳匹配的條目如下。 BGP Bottom Top Destination NextHop Interface Label Label 由于數據包的出境子接口與綠色 VRF 相關聯(lián)，目的站點與 PE 3 直接相連，下一跳為一個 CE 路由器，數據包不必在提供商的 MPLS 骨干網進行傳輸。作為這次查詢的結果， PE 3 通過 if_3 將 IPv4 數據包轉發(fā)給CE 7。 當原本的 IPv4 數據包到達 CE 7 時，它在其 IP 轉發(fā)表內執(zhí)行最長匹配路由查詢。 CE 7 轉發(fā)表內與數據包目的地址具有最佳匹配的條目如下。 Destination NextHop Interface 做為這次查詢的結果， CE 7 將數據包通過 if_x 轉發(fā)給站點 7 內的主機 。 從 VPN 站點訪問公共 Inter 許多 VPN站點內的主機在需要訪問其它 VPN站點的同時，還需要對公共 Inter 進行訪問。在 許多情況下，專網能夠使用私有 IP 地址空間。通常情況下， VPN 內的主機可以通過三種方式獲得全局唯一地址以和公共 Inter 上的主機進行通信。 ? 所有專網中的系統(tǒng)都能使用全局唯一的 IP 地址。 ? 只有少量專網中的系統(tǒng)可以對公共 Inter 進行訪問，這些系統(tǒng)可得到全局唯一的 Inter 地址。在一個專網中系統(tǒng)在使用私有 IP 地址的同時允許一小部分系統(tǒng)使用公共 IP 地址是非常普通的。 ? 具有網絡地址翻譯器（ NAT）服務器的專網可以允許 VPN 中分配了私有地址的系統(tǒng)訪問公共Inter。 在 BGP/MPLS VPN模型中有多種方法可以實現這一目的。方式之一是非 VRF Inter 訪問機制。 非 VRF Inter 訪問 通常，一個或多個用戶 VPN站點 可以通過 Inter 網關向服務提供商提供直接的 Inter 訪問。服務提供商可以是或者不是提供 VPN服務的相同的服務提供商。同時， Inter 網關服務可運行在 CE 路由器上的一個非 VRF 接口上，或者是用戶站點內的另外一臺路由器。提供 Inter 訪問的路由器接口通過配置使其象 Inter 防火墻或 NAT 一樣工作。在圖 17中，紅色 VPN 的 Inter 訪問通過 CE 1 上的一個非 VRF接口提供。 圖 17：非 VRF Inter 訪問 VPN 主機到公共 Inter 為允許紅色 VPN站點中的主機對公共 Inter 進行訪問，站點 1 內的 CE 1 向 PE 1 發(fā)布一條缺省路由，并被安裝到紅色 VRF 中（圖 17）。 PE 1 將該條缺省路由通過 MPIBGP 發(fā)送給 PE 2，并將它安裝到自己的紅色 VRF 內。最后， PE 2 將此缺省路由發(fā)布給站點 2 內的 CE 2 及站點 3 內的 CE 3。這個發(fā)布的結果是，任何紅色 VPN站點內的主機將公共 Inter 業(yè)務轉發(fā)給站點 1 內的 CE 1，其將這些業(yè)務通過它的 NAT接口發(fā)送到公共 Inter。 NAT 服務 獎每個私有源地址翻譯成為公共源地址。 公共 Inter至 VPN 主機 為允許公共 Inter 內的主機或服務器對紅色 VPN站點內的主機進行反應， CE 1 將廣播一個公共 IP 前綴給 Inter 路由表（圖 17）。 Inter 中的路由器將基于這一公共前綴將業(yè)務轉發(fā)給 CE 1。當一個數據包到達 CE 1 的 NAT 接口時， NAT 服務將公共目的地址翻譯回私有目的地址。如果目的主機位于站點 1 內，CE 1 將簡單的將數據包直接轉發(fā)給該主機。如果目的主機位于站點 2 或站點 3 內， CE 1 將數據包轉發(fā)給PE 1，其將數據包轉發(fā)給 PE 2。 不具有直接 Inter 接入的站點被要求使用一個 VRF 接口以訪問公共 Inter，所有進入或離開 VPN的數據包必須經過站點內的 一個提供直接 Inter 訪問的非 VRF/NAT 接口。 BGP/MPLS VPN 的可擴展性 這一部分將提供一個在 RFC 2547bis 中定義的，用來增強 BGP/MPLS VPN 可擴展性的體系結構的簡要總結。 ? BGP/MPLS VPN 并不是一個用戶站點位于服務提供商網絡之上的覆蓋型網絡。因此，通常與覆蓋型網絡聯(lián)系在一起的 N平方可擴展性問題不會出現。 ? 如果用戶站點與一臺 PE 路由器間有多條鏈路連接，所有的鏈路都將被映射到一個轉發(fā)表上去以節(jié)約 PE 路由器資源。 ? 支持交迭的地址空間，因此允許用戶有效使用私有 IP 地址空間。 ? PE 路由器被要求維護 VPN路由，但僅需維護與其直連的 VPN的路由。 ? 路由目標對路由信息的發(fā)布進行限制。 ? PE 路由器不維護遠端到達 CE 路由器的路由，僅維護到達其它 PE 路由器的路由。 ? 由于使用二級標記堆棧， P 路由器不維護任何 VPN路由信息。 ? 沒有任何服務提供商網絡中的單個系統(tǒng)被要求對所有服務提供商支持的 VPN路由信息進行維護。 ? 由于服務提供商不需要為每個用戶 VPN維護一個骨干網或虛擬骨干網，簡化了網絡管理。 ? RD 的結構確保了每個服務提供商能夠管理自己的數字空間并建立全局唯一的 RD 而 不與其它服務提供商分配的 RD 沖突。 ? ORF 減少了提供商骨干網中發(fā)布的路由信息量，也節(jié)約了 PE 路由器的數據包處理資源。 ? 可通過使用路由反射器來避免維護 MPIBPG 的全網狀結構帶來的挑戰(zhàn)。 ? 路由反射器是整個網絡中唯一被要求支持不與其直接相連的 VPN站點路由信息的系統(tǒng)。分段的路由反射器可以增強可擴展性，因為沒有任何一個路由反射器需要對服務提供商網絡中所實施的VPNIPv4 路由信息進行維護。 ? 基于 RSVP 的流量工程 LSP 可以對 PE 路由器間的鏈接進行優(yōu)化。 ? 在無需將 Inter 路由復制到 VRF 的前提 下實現對公共 Inter 的訪問。 總結 雖然 RFC 2547bis 中所描述的運行細節(jié)適于大量的用戶應用，但它們并不能滿足所有最終用戶的需求解商業(yè)目的。 BGP/MPLS VPN 非常適合于具有相對簡單的網絡的用戶。它允許用戶將路由管理的復雜性外包給它們的VPN 服務提供商，將管理站點間的全網狀連接的復雜性從用戶 CPE 路由器轉移到 PE 路由器，那里，可使用提供商的 IBGP，允許提供商使用其共享的 MPLS 基礎結構對私有及公共數據進行傳輸。 但是 BGP/MPLS VPN 并不是沒有局限的。 ? 167。 因為它基于 相對簡單的 CE 與 PE 路由器間的路由關系，因此，在處理復雜的路由情況時可能具有一定的難度。 ? 167。 在一個 PE 路由器上潛在的可能管理上百個轉發(fā)表并未被很好的理解。 ? 167。 不支持 IP 組播 ? 167。 在多廠商環(huán)境下實現端到端的服務等級或 QoS 將具有非常多的問題。 ? 167。 在多廠商環(huán)境下，網絡管理和其他運營支持工具的互連將變得極為復雜。 所有 VPN體系結構都具有許多優(yōu)勢和局限性。服務提供商應對用戶的需求進行仔細的分析，在一系列 VPN服務提供模式中為每個用戶選擇最佳的解決方案。 BGP/MPLS VPN將在任何一組提供的 VPN服務模式中扮演重要的角色