浅析MPLS二层三层VPN技术.docVIP

浅析MPLS二层三层VPN技术 　引言?　　从BGP/MPLS?VPN的方案（RFC2547）在1999年被提出后，各种类似的PP?VPN方案也陆续出场，其出发点都是希望改进RFC2547的可扩展性、安全性、易用性、可管理性等，这包括VR-VPN、BGP/IPSec?VPN和BGP/GRE?VPN，其中最具有 竞争力的是MPLS的二层VPN，包括Kompella和Martini两个草案和三层的BGP/MPLS?VPN。因此，在此对这三种方式进行简单的介绍，以便在具体环境下灵活应用。?　　?　　1　概述?　　1.1　BGP/MPLS?VPN?　　BGP扩展实现的MPLS三层VPN包含下列组件：?　　PE：Provider?Edge?Router，骨干网边缘路由器，存储VRF（Virtual?Routing?Forwarding?Instance），处理VPN-IPv4路由，是MPLS三层VPN的主要实现者。?　　CE：Custom?Edge?Router，用户网边缘路由器，分布用户网络路由。?　　Prouter：Provider?Router，骨干网核心路由器，负责MPLS转发。??　　RR：Route?Reflector，BGP路由反射器。?　　ASBR：自治系统边界路由器，当实现跨自治系统的VPN时，同其它自治系统交换VPN路由。?　　MP-BGP：多协议扩展BGP，承载携带 标签的IPv4/VPN路由，有MP-IBGP和MP-EBGP之分。?　　PE-CE路由协议：在PE和CE之间传递用户网络路由，可以是静态路由、也可以是RIP、OSPF、ISIS或BGP。?　　LDP：在PE之间建立Best-effort的LSP，经过P路由器，所有PE和P路由器均需要支持。?　　RSVP-TE：在PE之间建立具有QoS能力的ER-LSP，当VPN需要QoS时使用。?　　VRF：Virtual?Routing?Forwarding?Table，虚拟路由转发表。它包含了同一个site相关的路由表、转发表、接口（子接口）、路由实例以及路由策略等。在PE设备上，属于同一个VPN的物理端口或逻辑端口对应一个VRF。VRF通过命令行或网管工具来配置，主要的参数包括RD（Route?Distinguish）、import?route-targets、export?route-targets、接口（子接口）表等。?　　VPN用户站点（site）：是VPN中的一个孤立的IP网络，一般来说，不通过骨干网，不具有连通性，公司总部、分支机构都是site的具体例子。CE路由器通常是VPN?Site中的一个路由器或交换设备，Site是通过一个单独的物理端口或逻辑端口（通常是VLAN端口）连接到PE设备上。? 　　?MPLS?BGP三层VPN适用于固定的Intranet/Extranet用户，每个site代表了Intranet/Extranet中的总部、分支机构等。?　　?MPLS三层VPN的CE设备与PE设备之间只需要一条物理或逻辑的链路，但PE设备需要保存多个路由表。在CE与PE之间如果运行动态路由协议时，PE还要支持多实例，对PE性能要求较高。?　　?MPLS?BGP三层VPN通过和Internet路由之间配置一些静态路由的方式，可以实现VPN的Internet上网服务。MPLS?BGP?VPN还可以为跨不同地域的、属于同一个AS的、但是没有自己的骨干网的 运营上提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连。?　　?1.2　Kompella?MPLS?L2?VPN?　　?简单来说，MPLS?L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。以ATM为例，每一个用户边缘设备（CE）配置一个ATM虚电路，通过MPLS网络与远端的另一个CE设备相连，与通过ATM网络实现互联是完全一样的。? 　　在MPLS?L2VPN中，CE、PE、P的概念与BGP/MPLS?VPN一样，原理也很相似：它也是利用标记栈来实现用户报文在MPLS网络中的透明传送：外层标记（称为tunnel标记）用于将报文从一个PE传递到另一个PE，内层标记（在MPLS?L2VPN中，称为VC标记）用于区分不同的VPN中的不同连接，接收方的PE根据VC标记决定将报文传递给哪个CE。?　　Kompella方式的L2VPN目前通过MP-BGP来实现，它不直接对CE与CE之间的连接进行操作，而是在整个SP网络中划分不同的VPN，在VPN内部对CE进行编号。要建立两个CE之间的连接时，只需在P