MPLS VPN的原理及構建

2019-11-03 10:23:28

字體：大中小

來源：轉載

供稿：網友

趙春華
廣東省電信規劃設計院

　　摘要從數據轉發過程、VPN路由協議等方面闡述了MPLS VPN的原理，介紹了VRF、路由區分符和路由目標等重要概念，分析了路由目標在控制VPN拓撲方面的重要作用，總結了MPLS VPN的技術特點。

　　關鍵詞 MPLS VPN VRF 路由目標

1 概述

　　傳統的VPN通常建立在ATM/DDN/FR網上，隨著ip網的大規模部署及ATM技術應用的衰落，在IP網上提供VPN業務被認為是一種非常經濟的方式，隨著MPLS技術的出現，基于MPLS的VPN技術發展迅速并已獲得商用。根據RFC 2764中對IP VPN技術的分類，IP VPN可劃分為：VLL（Virtual Leased Lines）、VPDN（Virtual PRivate Dial Networks）、VPRN（Virtual Private Routed Networks）和VPLS（Virtual Private LAN Segment）四種。MPLS VPN屬于VPRN。

2 MPLS路由器的結構

　　MPLS路由器結構與傳統的僅支持逐跳路由的路由器結構有所不同，MPLS中的標簽交換路由器（LSR）結構如圖1所示，圖中實線為傳統路由器部分，虛線為LSR增加的部分，LSR分為路由模塊和轉發模塊，路由模塊中的路由協議可以是OSPF或IS-IS，也可以是它們基于流量工程的擴展，MPLS信令可以是RSVP或CR-LDP，標簽分組根據轉發模塊中的標簽轉發表來交換標簽，IP轉發表用于傳統逐跳路由的第三層查找。MPLS通常采用拓撲驅動方式，路由器根據路由表項來建立LSP 。

3 MPLS VPN的數據轉發過程

　　MPLS VPN中的路由器有三種：P路由器、PE路由器和CE路由器。P路由器為運營商主干路由器，負責VPN分組外層標簽的交換；PE路由器為運營商邊界路由器，存放著VRF表和全局路由表，VRF中存放著VPN路由，全局路由表中存放著運營商的域內路由；CE路由器為客戶端路由器，由客戶負責維護。當CE路由器將一個VPN分組轉發給入口PE路由器后，PE路由器查找該VPN對應的VRF，從VRF中得到一個VPN標簽和下一跳出口PE路由器的地址，VPN標簽作為內層標簽打在VPN分組上，根據下一跳出口PE路由器的地址可以在全局路由表中查出到達該PE路由器應打上的域內路由的標簽，即外層標簽，于是VPN分組被打上了兩層標簽，主干網的P路由器根據外層標簽轉發VPN分組，在最后一個P路由器處，外層標簽彈出，VPN分組只剩下內層標簽（此過程被稱作次末級彈出機制），接著VPN分組被發往出口PE路由器。出口PE路由器根據內層標簽查找到相應的出口后，將VPN分組上的內層標簽刪除，將不含標簽的VPN分組轉發給正確的CE路由器，CE路由器根據自己的路由表將分組轉發到正確的目的地。

4 MP-iBGP 協議

　　在基于MP-iBGP協議的MPLS VPN體系中，存在兩個層面的路由，即域內路由和VPN路由。所有的PE路由器及P路由器上要運行主干網的域內路由（OSPF或IS-IS等），生成的路由表將觸發主干網中LSP的建立（拓撲驅動方式），通過CR-LDP或RSVP等信令協議建立LSP，產生的標簽轉發表用于VPN分組外層標簽的交換。PE路由器之間運行MP-iBGP協議，該協議跨越主干的P路由器在PE之間分發VPN標簽，形成VPN路由，MP-iBGP發布的一條VPN路由包含的信息有：IPv4地址、路由區分符（RD）、路由目標（RT）、VPN標簽和下一跳PE地址，其中RD用來消除IPv4地址的歧義，以重用IPv4地址；RT用來控制VRF的導入和導出策略，從而控制網絡的連通和拓撲；下一跳PE地址是連接域內路由和VPN路由的紐帶，在PE路由器上根據在VRF中得到的下一跳PE地址可以在全局路由表中查找到到達該地址應打上的外層標簽。

　　由于運行MP-iBGP協議的PE路由器之間必須構成全網狀網的會話（因為運行iBGP的路由器不能轉發收到的iBGP路由，這種機制用于避免路由環路），因此在大規模的網絡應用中存在可擴展性的問題，解決的方法是采用路由反射器或路由域聯合，路由反射器允許路由器轉發收到的iBGP路由，以避免全網狀的會話；采用路由域聯合可以將路由域劃分成多個區域，這樣，只有區域內的路由器需要構成全網狀的連接，減少了域內iBGP路由器的鄰接數，當然采用路由域聯合需考慮對跨域連接的規劃。

5 VPN路由轉發實例（VRF）、路由區分符（RD）和路由目標（RT）的概念

5.1 VPN路由轉發實例（VRF）

　　VPN IP路由表及相關的VPN IP轉發表被統稱為VPN路由和轉發實例。在極端的情況下，可以為連接到PE路由器上的每個站點都分配一個VRF來存放VPN路由，但連接在同一PE路由器上的站點如果滿足以下三個條件則可以共享一個VRF：（1）各站點屬于同一個VPN；（2）路由信息相同；（3）站點之間允許相互直接通信。通常PE路由器上每個用戶的端口與一個特定的VRF相關聯，從該端口輸入的VPN分組將根據各自對應的VRF查找其VPN標簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。

5.2 路由區分符（RD）

　　由于VPN數量巨大且不少原先的VPN用戶不愿修改自身的IPv4地址，因此有必要允許不同的VPN客戶使用相同的IPv4地址，對于不同VPN中相同的地址，采用RD可以實現IPv4地址的重用。PE路由器通過MP-iBGP協議通告站點的路由時，將同時攜帶各路由的RD，即將IPv4地址轉化為VPN-IPv4地址，PE路由器在收到MP-iBGP通告的路由后，將查看該路由的RD，然后將VPN-IPv4地址轉化成IPv4地址，即將地址中的RD去掉，將其導入到相應的VRF中。由于不同VPN被VRF隔離了，因此不同VPN中相同的IPv4地址，將被導入到不同的VRF中。在同一個VPN中，地址必須是唯一的；當多個VPN之間需要相互通信時（例如有公共的站點），則要求地址必須在多個VPN中是唯一的，此時多個VPN只能使用同一個RD。

5.3 路由目標（RT）

　　RT來控制VRF的導入和導出策略，以構成各種復雜的VPN拓撲。一個VPN有可能不止使用一個RT，RT的具體使用與VPN的拓撲結構密切相關, 對于全網狀相接的VPN可以用一個RT，對于非全網狀相連的VPN，一個VPN往往需要多個RT。當從PE導出VPN路由時，要用RT對VPN路由進行標記，在往VRF中導入路由時，可以使用多個RT，只要有一個VPN路由中附帶的RT與導入路由中的任意RT相同，都將被導入到該VRF中。

6 通過RT控制網絡的拓撲

　　下面的例子可以看出RT在控制VPN的連通性和拓撲結構中的重要作用。

　　VPN A和VPN B的邏輯結構如圖2所示，它們擁有共同的站點C，這種結構被稱作重疊VPN，VPN A中各站點之間均可以相互通信，VPN B中的兩個站點B1、B2只能和中心站點C通信，對應這種拓撲結構。圖3給出了各PE路由器上的VRF導入導出策略和包含的站點路由。由于兩個VPN之間存在站點間的通信，因此這兩個VPN中的站點地址必須唯一，它們可以使用一個統一的RD，以區分其他VPN中重用的地址。站點A2和A3同屬一個VPN，其路由信息相同且可以相互通信，因此可以共用一個VRFA23；其他站點分別都有各自的VRF，本拓撲中共使用了三個RT，即100:1、100:2和100:3。PE2通過MP-iBGP協議通告A2、A3和B2的路由（因為這三個站點與其相連），其中A2和A3的路由標記為RT=100:1，B2的路由標記為RT=100:3；PE3通告C的路由，標記為RT=100:2；PE1收到這些通告后，發現VRF A1 允許導入標記RT=100:1和100:2的路由，于是PE1將A2、A3和C的路由導入到VRF A1中，而不會將B2的路由導入到VRF A1中；PE1上的VRF B1只允許導入RT=100:2的路由，因此VRF B1拒絕導入A2、A3和B2的路由而只導入C的路由；PE2和PE3上的VRF所包含的路由可以用類似的方法分析出來。最后看一看各VRF中所包含的路由，由于C站點可以訪問任何一個站點，因此VRF C上具有所有站點的路由，當然，各站點也都可以訪問C站點，因此C站點的路由也出現在所有的VRF中；B1、B2站點除了可以訪問站點C外，不能訪問其他任何站點，它們相互之間也不能訪問，因此其VRF中只包含站點C的路由和自己的路由；站點A1、A2、A3和C可以兩兩互相訪問，因此他們各自的VRF中均包含了A1、A2、A3和C的路由。從這個例子可以看出，利用RT可以非常方便地控制VPN的拓撲結構，構成各種結構的VPN。

7 MPLS VPN的技術特點

　　MPLS VPN技術具有如下四個方面的技術特點。

7.1 能提供QoS或CoS的保證

　　主干的MPLS網絡可以通過RSVP以面向連接的方式提供集成服務，也可以通過劃分類以面向無連接的方式提供差分服務，另外，還可以通過流量工程技術間接地為QoS的實現提供一定的資源保障。基于流的集成服務因其需要信令的支持造成可擴展性較差，不適合在骨干網上應用，MPLS骨干網上服務質量的保證主要依靠基于類的差分服務和流量工程來滿足，另外在傳統的盡力而為的IP網上的專線技術IPSec/GRE等也可以構建VPN，但這些技術無法保證QoS。

7.2 安全性較高

　　MPLS骨干不負責維護任何VPN路由，只進行標簽交換，因此其安全性與二層的ATM技術相當。在PE路由器上，各VPN路由通過VRF來隔離，也具有良好的安全性。

7.3 可擴展性好

　　MPLS VPN的路由只存在于PE路由器上，PE路由器只保存與之相連的客戶站點的VPN路由，骨干的P路由器無需任何VPN路由的知識，這大大減少了VPN路由的維護量。另外，MPLS VPN通過二層標簽棧區分域內路由和VPN路由，使網絡具有較好的可擴展性。

7.4 減輕客戶的維護負擔

　　MPLS VPN技術中的VPN路由存在于運營商的PE路由器上，由運營商替客戶維護路由，其初衷是為了減輕用戶的管理和維護負擔，以利于將VPN業務向各類高中低端客戶大規模推廣，然而在網絡安全性越來越重要的今天，這個最初看來是優點的初衷卻成為發展高端大客戶的障礙，通常銀行等金融系統的客戶更信賴ATM/FR/DDN等二層專線技術，他們不可能將與安全相關的路由功能讓運營商來維護，因此三層的MPLS VPN技術很難吸引傳統的大客戶，這種情況最終導致了二層MPLS VPN的出現，二層的VPN只提供連接（類似傳統的ATM/DDN/FR專線），VPN路由仍由客戶維護，運營商與客戶責任明確。僅提供二層連接的MPLS VPN技術更容易被高端客戶理解并接受。不過，對于多數自己不具備維護力量的中小企業客戶來說，三層的MPLS VPN卻是一種頗具魅力的解決方案。

8 結束語

　　MPLS VPN技術為運營商提供了一種面向未來的解決方案，鑒于IP技術在未來信息網絡中的統治地位，MPLS VPN技術必將得到不斷的發展，獲得更為廣泛的應用。

　　趙春華，高級工程師，1998年畢業于浙江大學物理電子學與光電子學專業，獲工學博士學位。現為廣東省電信規劃設計院副總工程師，主要從事傳送網規劃設計方面的技術及管理工作。

----《中國數據通信》