【正文】 VPN 路由信息的 VPNv4路由，從而實現(xiàn)用戶網(wǎng)絡(luò)內(nèi)部子 VPN路由信息的傳 遞。 、 運營商的 PE 設(shè)備收到 VPNv4路由后，保留用戶內(nèi)部的 VPN 信息，并附加用戶在運營商網(wǎng)絡(luò)上的 MPLS VPN 屬性，即將該 VPNv4路由的 RD 更換為用戶所處運營商網(wǎng)絡(luò) VPN 的 RD，同時將用戶所處運營商網(wǎng)絡(luò) VPN 的 ERT（ Export Routetarget，引出路由標(biāo)識）添 加到路由的擴展團體屬性列表中。 PE 設(shè)備向其他運營商 PE 設(shè)備發(fā)布這些攜帶綜合 VPN 信息的 VPNv4路由。 、 技術(shù)優(yōu)點 嵌套 VPN 技術(shù)的主要優(yōu)點是： 實現(xiàn)了 VPN 聚合功能，可以把用戶的多個內(nèi)部 VPN 聚合成一個用戶 VPN，接入運營商的 MPLS VPN 網(wǎng)絡(luò)； 支持對稱組網(wǎng)方式和非對稱組網(wǎng)方式，即屬于同一 VPN 用戶的不同 Site 包括的用戶內(nèi)部 VPN 數(shù)目可以相同，也可以不同； 支持用戶內(nèi)部 VPN 的多層嵌套。 、 多角色主機 從 CE 進入 PE 的報文的 VPN 屬性由入接口綁定的 VPN 決定，這就決定了由同一入接口經(jīng) PE 轉(zhuǎn)發(fā)的所有 CE 設(shè)備都必須屬于同一 VPN。 多角色主機，是通過在 PE 上配置策略路由，使來自 CE 的報文可以訪問多個 VPN。 在實際應(yīng)用中，應(yīng)合理進行地址規(guī)劃， 使每個 VPN 的地址段相對集中，以提高 PE的轉(zhuǎn)發(fā)效率。 目前的網(wǎng)絡(luò)設(shè)計大多采用經(jīng)典的分層結(jié)構(gòu)，例如，城域網(wǎng)的典型結(jié)構(gòu)是三層模型：核心層、匯聚層、接入層。 而 MPLS L3VPN 是一種平面模型，對網(wǎng)絡(luò)中所有 PE 設(shè)備的性能要求相同，當(dāng)網(wǎng)絡(luò)中某些 PE 在性能和可擴展性方面存在問題時，整個網(wǎng)絡(luò)的性能和可擴展性將受到影響。 、 HoVPN 為解決可擴展性問題， MPLS L3VPN 必然要從平面模型轉(zhuǎn)變?yōu)榉謱幽Ｐ汀? HoVPN 對處于較高層次的設(shè)備的路由能力和轉(zhuǎn)發(fā)性能要求較高，而對處于較低層次的設(shè)備的相應(yīng)要求也較低，符合典型的分層網(wǎng)絡(luò)模型。 多個 UPE 與 SPE 構(gòu)成分層式 PE，共同完成傳統(tǒng)上一個 PE 的功能。 UPE 維護其直接相連的 VPN Site 的路由，但不維護 VPN中其它遠程 Site 的路由或僅維護它們的聚合路由； UPE 為其直接相連的 Site 的路由分配內(nèi)層標(biāo)簽，并通過 MPBGP 隨 VPN 路由發(fā)布此標(biāo)簽給 SPE； SPE 主要完成 VPN 路由的管理和發(fā)布。 SPE 發(fā)布的路由信息可以是 VPN 實例的缺省路由（或聚合路由），也可以是通過路由策略的路由信息。 由于分工的不同，對 SPE 和 UPE 的要求也不同： SPE 的路由表容量大，轉(zhuǎn)發(fā)性能強，但接口資源較少； UPE 的路由容量和轉(zhuǎn)發(fā)性能較低，但接入能力強。 需要說明的是， SPE 和 UPE 是相對的概念。 分層式 PE 從外部來看同傳統(tǒng)上的 PE 沒有區(qū)別，可以同普通 PE 共存于一個 MPLS 網(wǎng)絡(luò)。 采用 MPIBGP 時，為了在 IBGP 對等體之間通告路由， SPE 將作為路由反射器，把來自 IBGP 對等體 UPE 的 VPN 路由發(fā)布給 IBGP 對等體 SPE，但 SPE 不作為其它 PE 的路由反射器。 通過分層式 PE 的嵌套，理論上可以將 VPN 無限擴展與延伸。 SPE 和 MPE之間，以及 MPE 和 UPE 之間，均運行 MPBGP。 SPE 維護了這個分層式 PE 接入的所有 Site 的 VPN 路由，路由數(shù)目最多； UPE 只維護它所直接連接的 Site 的 VPN 路由，路由數(shù)目最少； MPE 的路由數(shù)目介于 SPE 和 UPE之間。如果能夠在 PECE 之間使用 OSPF，則 CE上就不需要再為到 PE 的連接支持其它路由協(xié)議，從而簡化 CE 的管理和配置。 為了在 PECE 間運行 OSPF， PE 必須支持 OSPF 多實例，每個 OSPF 實例與一個 VPN實例對應(yīng)，使用自己的接口、路由表。 PE 和 CE 間的 OSPF 區(qū)域配置 PE 與 CE 之間的 OSPF 區(qū)域可以是非骨干區(qū)域，也可以是骨干區(qū)域。由于 OSPF要求骨干區(qū)域連續(xù) ，因此，所有 VPN 站點的 area 0必須與 MPLS VPN 骨干網(wǎng)相連。 BGP/OSPF 交互 在 PECE 間運行 OSPF 后， PE 與 PE 通過 BGP 發(fā)布 VPN 路由， PE 通過 OSPF 向 CE 發(fā)布 VPN 路由。這樣，在一個站點學(xué)到的路由，將被作為外部路由傳 送給另一站點。 目前的 OSPF 可以解決上述問題。這樣， PE 路由器交換 OSPF 路由信息時就好像是通過一條專線相連。 以圖 16為例， PE 1和 PE 2通過 MPLS 骨干網(wǎng)相連， CE 1 CE 21和 CE 22都屬于 VPN 1。 VPN 1路由的發(fā)布過程可以描述為：首先在 PE 1上將 CE 11的 OSPF 路由引入 BGP；然后通過 BGP 將這些 VPN 路由發(fā)布給 PE 2；在 PE 2上將 BGP 的 VPN 路由引入到 OSPF，再發(fā)布給 CE 21和 CE 22。但 CE 11與 CE 2 CE 22是同一個 OSPF 域，它們之間的路由發(fā)布應(yīng)該使用 Type3 LSAs，即區(qū)域間路由。這一過程需要 BGP 使用擴展團體屬性，攜帶可以標(biāo)識 OSPF 屬性的信息。一般建議：與每個 VPN 實例相關(guān)的網(wǎng)絡(luò)中的所有 OSPF 實例要么配置一個相同的域 ID，要么都使用缺省的域 ID。 路由環(huán)的檢測 假設(shè) PE 與 CE 之間通過 OSPF 骨干區(qū)域相連，且同一個 VPN 站點（ Site）連接到多個不同 PE。 為了防止產(chǎn)生路由環(huán)，對于從 MPLS/BGP 學(xué)到的 BGP VPN 路由，無論 PE 與 CE 間是否通過 OSPF 骨干區(qū)域相連， PE 在生成 Type3 LSA 時，都會設(shè)置標(biāo)志位 DN。 如果 PE 需要向 CE 發(fā)布一條來自其它 OSPF 域的路由，則 PE 應(yīng)表明自己是 ASBR，并將該路由作為 Type5 LSA 發(fā)布。另一端 PE 上運行的 OSPF 可利用這些信息來生成 PE 到 CE 的 Type3 summary LSA，這些路由是區(qū)域間路由。這種情況下，通過 PE 連接兩個 Site 的路由將作為區(qū)域間路由（ InterArea Route），由于其優(yōu)先級低于經(jīng)過 backdoor 鏈路的區(qū)域內(nèi)路由（ IntraArea Route），不會被 OSPF 優(yōu)選。為了避免這一問題，可以在 PE 路由器之間建立 OSPF 偽連接（ Shamlink），使經(jīng)過 MPLS VPN 骨干網(wǎng)的路由也成為 OSPF 區(qū)域內(nèi)路由。用戶可以通過調(diào)整度量值在 Shamlink 和 backdoor 之間進行選路。同一個 OSPF 進程的 Shamlink 可以共用端點地址，但不同 OSPF 進程不能擁有兩條端點地址完全相同的 Shamlink。如果路由經(jīng)過了 Shamlink，它就不能再以 VPNIPv4路由的形式被引入到 BGP。 Shamlink 需要手工配置，并且，本端 VPN 實例中必須有到 Shamlink 目的地址的路由。與 PE上的 OSPF多實例相比， MultiVPNInstance CE 不需要支持 BGP/OSPF 互操作功能。 單純使用傳統(tǒng)路由器很難實現(xiàn)局域網(wǎng)中不同業(yè)務(wù)的完全隔離。因此，在一臺路由器上可以運行多個 OSPF 進程，將不同的進程綁定到不同的 VPN實例。 17 BGP 的 AS 號替換 在 MPLS L3VPN 中，如果 PE 和 CE 之間運行 EBGP，由于 BGP 使用 AS 號檢測路由環(huán)路，為保證路由信息的正確發(fā)送，需要為物理位置不同的站點分配不同的 AS 號。此功能是 BGP 的出口策略，在發(fā)布路由時有效。 圖 18 BGP AS 號替換應(yīng)用示意圖 在圖 18中， CE 1和 CE 2都使用 AS 號 800，在 PE 2上使能針對 CE 2的 AS 號替換功能。 對于 PE 使用不同接口連接多個 CE 的情況，如上圖中的 CE 2和 CE 3，也可以使用BGP 的 AS 號替換功能。 隨著用戶業(yè)務(wù)的不斷細化和安全需求的提高，很多情況下一個私有網(wǎng)絡(luò)內(nèi)的用戶需要劃分成多個 VPN，不同 VPN 用戶間的業(yè)務(wù)需要完全隔離。 使用以太網(wǎng)交換機提供的 MCE 功能，可以有效解決多 VPN 網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用 CE設(shè)備本身的 VLAN接口編號與網(wǎng)絡(luò)內(nèi)的 VPN進行綁定 ，并為每個 VPN 創(chuàng)建和維護獨立的路由轉(zhuǎn)發(fā)表（ MultiVRF）。 MCE 工作原理 下面以圖 19為例介紹 MCE 對多個 VPN 的路由表項進行維護，并與 PE 交互 VPN 路由的過程。 通過配置 MCE 功能，可以在 MCE 設(shè)備上為 VPN1和 VPN2創(chuàng)建各自的路由轉(zhuǎn)發(fā)表，并使用 Vlaninterface2接口與 VPN1進行綁定、 Vlaninterface3與 VPN2進行綁定。 同時，在 PE1上也需要將連接 MCE 的接口（子接口）與 VPN 進行綁定，綁定的方式與 MCE 設(shè)備一致。 附件 2：外文原文 （復(fù)印件）