【正文】 MCE 與 PE1之間通過(guò) Trunk 鏈 路連接，并允許 VLAN2和 VLAN3的報(bào)文攜帶 VLAN Tag 傳輸，從而使 PE1在接收時(shí)可以根據(jù)報(bào)文所屬 VLAN 判別該報(bào)文屬于哪一個(gè)VPN，將報(bào)文在指定的隧道內(nèi)傳輸。在接收路由信息時(shí)， MCE 設(shè)備根據(jù)接收接口的編號(hào)，即可判斷該路由信息的來(lái)源，并將其維護(hù)到對(duì)應(yīng) VPN 的路由轉(zhuǎn)發(fā)表中。 圖 19 MCE 工作原理示意圖 如圖 19所示，左側(cè)私網(wǎng)內(nèi)有兩個(gè) VPN 站點(diǎn)： Site1和 Site2，分別通過(guò) MCE 設(shè)備接入 MPLS 骨干網(wǎng)，其中 VPN1和 VPN2的用戶(hù)，需要分別 與遠(yuǎn)端 Site2內(nèi)的 VPN1用戶(hù)和 Site1內(nèi)的 VPN2用戶(hù)建立 VPN 隧道。這樣不但能夠隔離私網(wǎng)內(nèi)不同 VPN 的報(bào)文轉(zhuǎn)發(fā)路徑，而且通過(guò)與 PE 間的配合，也能夠?qū)⒚總€(gè) VPN 的路由正確發(fā)布至對(duì)端 PE，保證 VPN 報(bào)文在公網(wǎng)內(nèi)的傳輸。此時(shí)，為每個(gè) VPN 單獨(dú)配置一臺(tái) CE 將加大用戶(hù)的設(shè)備開(kāi)支和維護(hù)成本；而多個(gè) VPN 共用一臺(tái) CE，使用同一個(gè)路由表項(xiàng)，又無(wú)法保證數(shù)據(jù)的安全性。 18 MultiVPNInstance CE BGP/MPLS VPN 以隧道的方式解決了在公網(wǎng)中傳送私網(wǎng)數(shù)據(jù)的問(wèn)題，但傳統(tǒng)的BGP/MPLS VPN 架構(gòu)要求每個(gè) VPN 實(shí)例單獨(dú)使用一個(gè) CE 與 PE 相連，如圖 1所示。當(dāng) CE 1發(fā)來(lái)的 Update 信息從 PE 2發(fā)布給 CE 2時(shí)， PE 2發(fā)現(xiàn) AS_PATH 中存在與 CE 2相同的 AS 號(hào) 800，就把它替換為自己的 AS 號(hào) 100，這樣， CE 2就可以正確接收 CE 1的路 由信息。 使能了 BGP 的 AS 號(hào)替換功能后，當(dāng) PE 向指定對(duì)等體中的 CE 發(fā)布路由時(shí)，如果路由的 AS_PATH 中有與 CE 相同的 AS 號(hào)，將被替換成 PE 的 AS 號(hào)后再發(fā)布。 如果物理分散的 CE 復(fù)用相同的 AS 號(hào)，就應(yīng)該在 PE 上配置 BGP 的 AS 號(hào)替換功能。 在實(shí)際應(yīng)用中，通過(guò)為不同的業(yè)務(wù)建立各自的 OSPF 實(shí)例，可以實(shí)現(xiàn)不同業(yè)務(wù)的隔離，保證各自的安全性。目前，在一臺(tái)路由器上可以運(yùn)行多個(gè) OSPF 進(jìn)程，這些 OSPF 進(jìn)程可以是公網(wǎng)進(jìn)程，也可以是某個(gè) VPN 實(shí)例的進(jìn)程。 MultiVPNInstance CE 主要用于以較低的成本解決局域網(wǎng)的安全問(wèn)題。 、 MultiVPNInstance CE OSPF 多實(shí)例通常運(yùn)行在 PE 路由器上，在局域網(wǎng)內(nèi)部運(yùn)行 OSPF 多實(shí)例的路由器稱(chēng)為MultiVPNInstance CE，即多實(shí)例 CE。 Shamlink 可以在任何區(qū)域配置。 Shamlink 的端點(diǎn)地址被 BGP 作為 VPNIPv4地址發(fā)布。 Shamlink 被看成是兩個(gè) VPN 實(shí)例之間的鏈路，每個(gè) VPN 實(shí)例中必須有一個(gè)Shamlink的端點(diǎn)地址，它是 PE路由器上 VPN地址空間中的一個(gè)有 32位掩碼的 Loopback接口地址。 Shamlink 作為區(qū)域內(nèi)的一條點(diǎn)到點(diǎn)鏈路，包含在 Type1 LSA 中發(fā)布。 圖 17 Shamlink應(yīng)用示意圖 上述情況導(dǎo)致 VPN 流量總是通過(guò)后門(mén)路由轉(zhuǎn)發(fā)，而不走骨干網(wǎng)。 如圖 17所示：在 OSPF 的 PECE 連接中，同一個(gè) OSPF 區(qū)域中有兩個(gè) Site 連接到不同的 PE，兩個(gè) Site 屬于同 一個(gè) VPN，它們之間存在一條區(qū)域內(nèi) OSPF 鏈路（ backdoor link）。 、 OSPF 偽連接 通常情況下， BGP 對(duì)等體之間通過(guò) BGP 擴(kuò)展團(tuán)體屬性在 MPLS VPN 骨干網(wǎng)上承載路由信息。 PE 路由器的OSPF 進(jìn)程在進(jìn)行路由計(jì)算時(shí)，忽 略 DN 置位的 Type3 LSAs。這種情況下，當(dāng)一個(gè) PE 通過(guò) LSA 向 VPN 站點(diǎn)發(fā)布從 MPLS/BGP 學(xué)的 BGP VPN路由時(shí)， LSA 可能被另一個(gè) PE 接收到，造成路由環(huán)。這樣在收到 BGP 的 VPN 路由時(shí) ，域 ID 相同的是來(lái)自同一 VPN 實(shí)例的路由。 在實(shí)現(xiàn)中，要求每個(gè) OSPF 域有一個(gè)可配置的域 ID（ Domain ID）。 為了解決上述問(wèn)題， PE 使用一種經(jīng)過(guò)修改的 BGP/OSPF 交互過(guò)程（簡(jiǎn)稱(chēng)為 BGP/OSPF互操作功能），發(fā)布從一個(gè) Site到另一個(gè) Site的路由，將這種路由與真正的 ASExternal路由進(jìn)行區(qū)分。 圖 16 OSPF 在 VPN中的使用 如果使用標(biāo)準(zhǔn)的 BGP/OSPF 交互過(guò)程， PE 2將把 BGP VPN 路由通過(guò) Type5 LSAs（即ASE LSAs）發(fā)布給 CE 21和 CE 22。假設(shè)圖中所有路由器屬于同一個(gè)域，即， CE 1 CE 2 CE 22屬于同一個(gè) OSPF 域（ OSPF domain）。改善了網(wǎng)絡(luò)管理并使 OSPF 的應(yīng)用更為有效。通過(guò)適當(dāng)配置，運(yùn)行 OSPF 的不同站點(diǎn)之間彼此看作是直接相連的。這種處理方式導(dǎo)致了比較高的 OSPF 路由協(xié)議流量，并帶來(lái)了一些原本可以避免的網(wǎng)絡(luò)管理問(wèn)題。 對(duì)于普通 OSPF，即使兩個(gè)不同站點(diǎn)屬于同一 VPN，它們也會(huì)被看作屬于不同的自治系統(tǒng)。 即：如果 VPN 站點(diǎn)存在 OSPF area 0，則 CE 接入的 PE 必須通過(guò) area 0與這個(gè) VPN 站點(diǎn)的骨干區(qū)域相連（可以通過(guò) Virtuallink 實(shí)現(xiàn)邏輯上的連通）。 在 OSPF VPN 擴(kuò)展應(yīng)用中， MPLS VPN 骨干網(wǎng)被看作是骨干區(qū)域 area 0。 下面具體介紹在 PECE 間配置 OSPF 需要了解的知識(shí)。并且，如果客 戶(hù)需要通過(guò)傳統(tǒng)的 OSPF 骨干區(qū)域提供 MPLS L3VPN 服務(wù)，在 PE 和 CE 之間使用 OSPF可以簡(jiǎn)化這種轉(zhuǎn)換。 16 OSPF VPN 擴(kuò)展 PE 上的 OSPF 多實(shí)例 OSPF 是應(yīng)用廣泛的一種 IGP 協(xié)議，很多情況下， VPN 客戶(hù)端通過(guò) BGP 對(duì)等體連接，客戶(hù)端內(nèi)部則經(jīng)常以 OSPF 作為內(nèi)部路由協(xié)議。 MPBGP 為上層 PE 發(fā)布下層 PE 上的所有 VPN 路由，為下層 PE 發(fā)布上層 PE 的 VPN實(shí)例缺省路由或通過(guò)路由 策略的 VPN 路由。 圖 15 分層式 PE的嵌套 圖 15是一個(gè)三層的分層式 PE，稱(chēng)中間的 PE 為 MPE（ Middlelevel PE）。 、 HoVPN 的嵌套與擴(kuò)展 HoVPN 支持分層式 PE 的嵌套： 一個(gè)分層式 PE 可以作為 UPE，同另一個(gè) SPE 組成新的分層式 PE； 一個(gè)分層式 PE 可以作為 SPE，同多個(gè) UPE 組成新的分層式 PE； 以上這種嵌套可以多次進(jìn)行。 SPEUPE SPE 和 UPE 之間運(yùn)行 MPBGP，可以是 MPIBGP，也可以是 MPEBGP，這取決于 UPE和 SPE 是否屬于同一個(gè) AS。在多個(gè)層次的 PE 結(jié)構(gòu)中，上層 PE 相對(duì)于下層就是 SPE，下層 PE 相對(duì)于上 層就是 UPE。 HoVPN 充分利用了SPE 的性能和 UPE 的接入能力。通過(guò)后者可以實(shí)現(xiàn)對(duì)同一 VPN 下不同站點(diǎn)之間互訪的控制。 SPE 維護(hù)其通過(guò) UPE 連接的 VPN 所有路由，包括本地和遠(yuǎn)程 Site 的路由， SPE 將路由信息發(fā)布給 UPE，并攜帶標(biāo)簽。 SPE 與 UPE 的分工是： UPE 主要完成用戶(hù)接入功能。 HoVPN 的實(shí)現(xiàn) HoVPN 的基本結(jié)構(gòu) 圖 14 HoVPN 的基本結(jié)構(gòu) 在圖 14中，直接連結(jié)用戶(hù)的設(shè)備稱(chēng)為下層 PE（ Underlayer PE）或用戶(hù)側(cè) PE（ Userend PE），簡(jiǎn)寫(xiě)為 UPE；連結(jié) UPE并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱(chēng)為上層 PE（ Superstratum PE）或運(yùn)營(yíng)商側(cè) PE（ Sevice Providerend PE），簡(jiǎn)寫(xiě)為 SPE。 在 MPLS L3VPN 領(lǐng)域，分層 VPN（ Hierarchy of VPN，簡(jiǎn)稱(chēng) HoVPN）解決方案的提出，實(shí)現(xiàn)了將 PE 的功能分布 到多個(gè) PE 設(shè)備上，多個(gè) PE 承擔(dān)不同的角色，并形成層次結(jié)構(gòu)，共同完成一個(gè) PE 的功能。 由于 MPLS L3VPN 的平面模型與典型的分層網(wǎng)絡(luò)模型不相符，在每一個(gè)層次上部署PE 都會(huì)遇到擴(kuò)展性問(wèn)題，不利于大規(guī)模部署 VPN。從核心層到接入層，對(duì)設(shè)備的性能要求依次下降，網(wǎng)絡(luò)的規(guī)模則依次擴(kuò)大。 15 HoVPN 、 產(chǎn)生背景 、 分層模型與平面模型 在 MPLS L3VPN 解決方案中， PE 設(shè)備最為關(guān)鍵，它完成兩方面的功能：首先是為用戶(hù)提供接入功能，這需要 PE 具有大量接口；然后是管理和發(fā)布 VPN 路由，處理用戶(hù)報(bào)文，這需要 PE 設(shè)備具有大容量存儲(chǔ)和高轉(zhuǎn)發(fā)能力。 為使其它 VPN 的信息能夠從 PE 發(fā)送到 CE，需要在其它 VPN 上配置靜態(tài)路由，并指定連接 CE 的接口作為下一跳。但在實(shí)際組網(wǎng)中，一個(gè) CE 設(shè)備可能需要經(jīng)過(guò)一個(gè)物理接口訪問(wèn)多個(gè) VPN，這可以通過(guò)設(shè)置不同的邏輯接口來(lái)實(shí)現(xiàn)，但會(huì)增加額外的配置負(fù)擔(dān)，使用起來(lái)也有局限性。 嵌套 VPN 技術(shù)降低了用戶(hù)接入 VPN 網(wǎng)絡(luò)的復(fù)雜度和成本，為用戶(hù)提供多樣化的 VPN組網(wǎng)