【正文】 方式，實(shí)現(xiàn)了用戶(hù)對(duì)內(nèi)部 VPN 以及多層 VPN 之間的互訪權(quán)限控制管理。 PE 設(shè)備收到 VPNv4路由后，與本地的 VPN 進(jìn)行匹配，每個(gè) VPN接收屬于自己的路由，然后將路由擴(kuò)散到自己連接的子 VPNCE 設(shè)備（如 1. 圖 13中的 CE CE CE 5和 CE 6）：如果運(yùn)營(yíng)商 PE 和 CE 設(shè)備之間是 IPv4連接，直接擴(kuò)散 IPv4路由；如果和 CE 設(shè)備之間是 VPNv4連接，表示通過(guò)私網(wǎng)連接的是一個(gè)用戶(hù) MPLS VPN 網(wǎng)絡(luò)，向 CE 擴(kuò)散 VPNv4路由。運(yùn)營(yíng)商的 PE 設(shè)備維護(hù)用戶(hù)內(nèi)部的 VPN 信息。 圖 13 嵌套 VPN組網(wǎng)應(yīng)用 、 路由信息的傳播過(guò)程 嵌套 VPN 中，路由信息的傳播過(guò)程為： 、 運(yùn)營(yíng)商的 PE 設(shè)備與 VPN 用戶(hù)的 CE 設(shè)備交互 VPNv4路由， VPNv4路由攜帶用戶(hù)內(nèi)部的 VPN 信息。運(yùn)營(yíng)商 PE 設(shè)備把用戶(hù)網(wǎng)絡(luò)當(dāng)作普通 VPN 用戶(hù)對(duì)待，不參與子 VPN 的劃分。 嵌套 VPN 是一種更為完善的解決方案， 它的主要思想是在普通 MPLS L3VPN 的 PE 和CE 之間傳遞 VPNv4路由，由用戶(hù)管理自己內(nèi)部的 VPN 劃分，運(yùn)營(yíng)商不參與用戶(hù)內(nèi)部 VPN的管理。這種方案實(shí)現(xiàn)簡(jiǎn)單，缺點(diǎn)是將導(dǎo)致 PE 上承載的 VPN 數(shù)量急劇增加，并且，如果用戶(hù)內(nèi)部需要調(diào)整 VPN 關(guān)系，也必須通過(guò)運(yùn)營(yíng)商操作。 實(shí)際組網(wǎng)中， VPN 用戶(hù)網(wǎng)絡(luò)復(fù)雜多樣，繁簡(jiǎn)不同。 VPN 用戶(hù)通過(guò) CE 設(shè)備與運(yùn)營(yíng)商的 PE 設(shè)備互連， 接入 MPLS VPN 網(wǎng)絡(luò)，實(shí)現(xiàn)屬于用戶(hù) VPN 的不同 Site 之間的通信。 圖 12 二級(jí)運(yùn)營(yíng)商是 MPLS L3VPN 服務(wù)提供商 如果一級(jí)運(yùn)營(yíng)商和二級(jí)運(yùn)營(yíng)商之間存在等價(jià)路由，則建議在一級(jí)運(yùn)營(yíng)商和二級(jí)運(yùn)營(yíng)商之間建立對(duì)應(yīng)的等價(jià) LSP。 PE 3和 PE 4之間通過(guò) MPIBGP 會(huì)話交換二級(jí)運(yùn)營(yíng)商的 VPN 路由。如圖 11所示。 二級(jí)運(yùn)營(yíng)商是普通 ISP 時(shí)，其 PE 不需要運(yùn)行 MPLS，與 CE 之間運(yùn)行 IGP。并且， CE 上雖然有二級(jí)運(yùn)營(yíng)商的 VPN 路由，但它們并不把這些路由發(fā)布給一級(jí)運(yùn)營(yíng)商的 PE，只在二級(jí)運(yùn)營(yíng)商 PE 之間交換。MPEBGP 為 PE 與 CE 之間交換的路由分配標(biāo)簽。這可以大大減少一級(jí)運(yùn)營(yíng)商網(wǎng)絡(luò)中需要維護(hù)的路由數(shù)量。 為保持良好的可擴(kuò)展性，一級(jí)運(yùn)營(yíng)商并不引入二級(jí)運(yùn)營(yíng)商的外部路由，只引入為不同站點(diǎn)的二級(jí)運(yùn)營(yíng)商交換報(bào)文的路由。這種情況下，前者稱(chēng)為提供商運(yùn)營(yíng)商（ Provider Carrier）或一級(jí)運(yùn)營(yíng)商（ First Carrier），后者稱(chēng)為客戶(hù)運(yùn)營(yíng)商（ Customer Carrier）或二級(jí)運(yùn)營(yíng)商（ Second Carrier）。如圖 10所示。 圖 9 PE 間通過(guò) Multihop MPEBGP 發(fā)布標(biāo)簽 VPNIPv4路由組網(wǎng)圖 為提高可擴(kuò)展性，可以在每個(gè) AS 中指定一個(gè)路由反射器 RR（ Route Reflector），由 RR 保存所有 VPNIPv4路由，與 AS 的 PE 交換 VPNIPv4路由信息。這樣，在入口 PE 和出口 PE 之間建立起一條LSP。 ASBR 保存 AS 內(nèi) PE 的帶標(biāo)簽的 IPv4路由，并通告給其它 AS 的對(duì)等體。 兩個(gè) ASBR 通過(guò) MPIBGP 向各自 AS 內(nèi)的 PE 路由器發(fā)布標(biāo)簽 IPv4路由。當(dāng)每個(gè) AS 都有大量的 VPN 路由需要交換時(shí)， ASBR 就很可能成為阻礙網(wǎng)絡(luò)進(jìn)一步擴(kuò)展的瓶頸。 采用 MPEBGP 方式時(shí)，需要注意： ASBR 之間不對(duì)接收的 VPNIPv4路由進(jìn)行 VPN Target 過(guò)濾，因此，交換 VPNIPv4路由的各 AS 服務(wù)提供商之間需要就這種路由交換達(dá)成信任協(xié)議； VPNIPv4路由交換僅發(fā)生在私網(wǎng)對(duì)等點(diǎn)之間，不能與公網(wǎng)交換 VPNIPv4路由，也不能與沒(méi)有達(dá)成信任協(xié)議的 MPEBGP 對(duì)等體交換 VPNIPv4路由。 這種方式的 ASBR 需要對(duì)標(biāo)簽 VPNIPv4路由進(jìn)行特殊處理，因此也稱(chēng)為 ASBR 擴(kuò)展方式。 、 ASBR 間通過(guò) MPEBGP 發(fā)布標(biāo)簽 VPNIPv4路由 這種方式下，兩個(gè) ASBR 通過(guò) MPEBGP 交換它們從各自 AS 的 PE 路由器接收的標(biāo)簽VPNIPv4路由。這將導(dǎo)致 PE 上的 VPNIPv4路由數(shù)量過(guò)于龐大。 圖 7 ASBR 間使用子接口管理 VPN 路由組網(wǎng)圖 使用子接口實(shí)現(xiàn)跨域 VPN 的優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單：兩個(gè)作為 ASBR 的 PE 之間不需要為跨域進(jìn)行特殊配置。報(bào)文在 AS 內(nèi)部作為 VPN 報(bào)文，采用兩層標(biāo)簽轉(zhuǎn)發(fā)方式；在 ASBR 之間則采用普通 IP 轉(zhuǎn)發(fā)方式。 12． ASBR 間使用子接口管理 VPN 路由 這種方式下，兩個(gè) AS 的 PE 路由器直接相連， PE 路由器同時(shí)也是各自所在自治系統(tǒng)的邊界路由器 ASBR。 RFC 2547bis 中提出了三種跨域 VPN 解決方案，分別是： VRFtoVRF： ASBR 間使用子接口管理 VPN 路由，也稱(chēng)為 InterProvider Option A； EBGP Redistribution of labeled VPNIPv4 routes： ASBR 間通過(guò) MPEBGP 發(fā)布標(biāo)簽 VPNIPv4路由，也稱(chēng)為 InterProvider Option B； Multihop EBGP redistribution of labeled VPNIPv4 routes： PE 間通過(guò) MPEBGP發(fā)布標(biāo)簽 VPNIPv4路由，也稱(chēng)為 InterProvider Option C。 12 跨域 VPN 實(shí)際組網(wǎng)應(yīng)用中，某用戶(hù)一個(gè) VPN 的多個(gè) Site 可能 會(huì)連接到使用不同 AS 號(hào)的多個(gè)服務(wù)提供商，或者連接到一個(gè)服務(wù)提供商的多個(gè) AS。 PE 之間通過(guò) IGP 來(lái)保證內(nèi)部的連通性。 入口 PE 通過(guò) MPBGP 把 VPNIPv4路由發(fā)布給出口 PE。無(wú)論使用哪種路由協(xié)議， CE 發(fā)布給 PE 的都是標(biāo)準(zhǔn)的 IPv4路由。 、 本地 CE 到入口 PE 的路由信息交換 CE 與直接相連的 PE 建立鄰接關(guān)系后，把本站點(diǎn)的 VPN 路由發(fā)布給 PE。 完成這三部分后，本地 CE 與遠(yuǎn)端 CE 之間將建立可達(dá)路由， VPN 私網(wǎng)路由信 息能夠在骨干網(wǎng)上發(fā)布。因此， MPLS L3VPN 網(wǎng)絡(luò)具有良好的可擴(kuò)展性。 11 MPLS L3VPN 的路由信息發(fā)布 在基本 MPLS L3VPN 組網(wǎng)中， VPN 路由信息的發(fā)布涉及 CE 和 PE， P 路由器只維護(hù)骨干網(wǎng)的路由，不需要了解任何 VPN 路由信息。 圖 6 Extra 組網(wǎng)方案 在圖 6中， VPN 1的 Site 3能夠被 VPN 1和 VPN 2訪問(wèn)： ? PE 3能夠接受 PE 1和 PE 2發(fā)布的 VPNIPv4路由； ? PE 3發(fā)布的 VPNIPv4路由能夠?yàn)?PE 1和 PE 2接受； ? 基于以上兩點(diǎn)， VPN 1的 Site 1和 Site 3之間能夠互訪， VPN 2的 Site 2和VPN 1的 Site 3之間能夠互訪。 、 Extra 組網(wǎng)方案 如果一個(gè) VPN 用戶(hù)希望提供部分本 VPN 的站點(diǎn)資源給非本 VPN 的用戶(hù)訪問(wèn)，可以使用 Extra 組網(wǎng)方案。 任意 SpokePE 的 Import Target 屬性不與其它 SpokePE 的 Export Target 屬性相同。 圖 5 Hubamp。 對(duì)于這種組網(wǎng)，需要設(shè)置兩個(gè) VPN Target，一個(gè)表示 “Hub” ，另一個(gè)表示“Spoke” 。 Hub 和 Spoke 組網(wǎng)方案 如果希望在 VPN 中設(shè)置中心訪問(wèn)控制設(shè)備，其它用戶(hù)的互訪都通過(guò)中心訪問(wèn)控制設(shè)備進(jìn)行，可以使用 Hubamp。 圖 4 網(wǎng)絡(luò)圖表給基礎(chǔ) VPN網(wǎng)絡(luò)構(gòu)架 在圖 4中， PE 上為 VPN 1分配的 VPN Target 值為 100:1，為 VPN 2分配的 VPN Target值為 200:1。 對(duì)于這種網(wǎng)絡(luò)體制，基礎(chǔ) VPN 網(wǎng)絡(luò)體制，你需要來(lái)分配一個(gè) VPN Target 給每個(gè) VPN來(lái)識(shí)別 VPN 的 Export Target 屬性。 10 基本的 VPN組網(wǎng)方案 在最簡(jiǎn)單的情況下，所有用戶(hù)在同一個(gè) VPN 形式一個(gè)不公開(kāi)的用戶(hù)群。 MPLS L3VPN 網(wǎng)絡(luò)構(gòu)架 在 MPLS L3VPN 網(wǎng)絡(luò)中，通過(guò) VPN Target 屬性來(lái)控制 VPN 路由信息在各 Site 之間的發(fā)布和接收。 PE 2根據(jù)內(nèi)層標(biāo)簽和目的地址查找 VPN 實(shí)例表項(xiàng)，確定報(bào)文的出接口，將報(bào)文轉(zhuǎn)發(fā)至 CE 2。 圖 3 VPN數(shù)據(jù)包轉(zhuǎn)發(fā) 、 Site1發(fā)怵一個(gè)目標(biāo)地址為 ，由 CE1將數(shù)據(jù)包發(fā)送至 PE1. 、 PE1根據(jù)報(bào)文到達(dá)的接口及目的地址超找 VPN 實(shí)例表項(xiàng)，匹配好將豹紋轉(zhuǎn)發(fā)出去，同事打上內(nèi)層和 外層兩個(gè)標(biāo)簽。 如果兩個(gè)站點(diǎn)（ CE）屬于同一個(gè) VPN 和被鏈接給了同一個(gè) PE，他們的其中之一只需要知道怎么達(dá)到移動(dòng) CE。 建立在第一層基礎(chǔ)上， VPN