于俊鋒，陳常嘉，程樹綱

（1.北京交通大學(xué) 電子信息工程學(xué)院，北京100044；2.華三通信技術(shù)有限公司 軟件部，北京100085）

MPLS L3VPN是服務(wù)提供商VPN解決方案中一種基于PE的L3VPN技術(shù)，它使用BGP在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由，使用MPLS在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)VPN報(bào)文。MPLS L3VPN組網(wǎng)方式靈活、可擴(kuò)展性好，并能夠方便地支持MPLS QoS和MPLS TE，因此得到越來越多的應(yīng)用。

1 MPLS技術(shù)概述

1.1 MPLS L3VPN模型

由3部分組成：CE、PE和P。

（1）CE（Customer Edge）設(shè)備：用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與SP（Service Provider，服務(wù)提供商）相連。CE“感知”不到VPN的存在，也不需要必須支持MPLS。

（2）PE（Provider Edge）路由器：服務(wù)提供商邊緣路由器，是服務(wù)提供商網(wǎng)絡(luò)的邊緣設(shè)備，與用戶的CE直接相連。在MPLS網(wǎng)絡(luò)中，對VPN的所有處理都發(fā)生在PE上。

（3）P（Provider）路由器：服務(wù)提供商網(wǎng)絡(luò)中的骨干路由器，不與CE直接相連。P設(shè)備只需要具備基本MPLS轉(zhuǎn)發(fā)能力。

1.2 MPLS L3VPN的相關(guān)術(shù)語

（1）Site：是指相互之間具備IP連通性的一組IP系統(tǒng)；

（2）VPN實(shí)例：在MPLS VPN中，通過VPN實(shí)例（VPN-instance）實(shí)現(xiàn)不同VPN之間的路由隔離。PE上每個(gè)VPN實(shí)例都有相對獨(dú)立的路由表和轉(zhuǎn)發(fā)表。

MPLS-VPN是指采用MPLS技術(shù)在骨干的寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務(wù)通信。

（3）VPN Target屬性：擴(kuò)展團(tuán)體屬性，用來控制VPN路由信息的發(fā)布。分2類：Export Target屬性和Import Target屬性。只有在接收到其它PE發(fā)布的VPNv4路由Export Target屬性與本地PE上VPN實(shí)例的Import Target屬性匹配時(shí)，才把路由加入到相應(yīng)的VPN路由表中。

（4）LSP：標(biāo)記交換路徑。轉(zhuǎn)發(fā)等價(jià)類在MPLS網(wǎng)絡(luò)中不同的節(jié)點(diǎn)被賦予確定的標(biāo)簽，數(shù)據(jù)轉(zhuǎn)發(fā)按照這些標(biāo)簽進(jìn)行，數(shù)據(jù)流所走的路徑就是LSP。

（5）FIB和LFIB

FIB：由路由表所得出來的轉(zhuǎn)發(fā)信息表，指導(dǎo)IP轉(zhuǎn)發(fā)；

LFIB：標(biāo)簽轉(zhuǎn)發(fā)信息表，指導(dǎo)MPLS轉(zhuǎn)發(fā)。

2 域內(nèi)及域間MPLS L3VPN組網(wǎng)特點(diǎn)及組網(wǎng)中BGP協(xié)議標(biāo)簽分配策略

FEC（轉(zhuǎn)發(fā)等價(jià)類）是指在轉(zhuǎn)發(fā)過程中以相同的規(guī)則執(zhí)行、沿相同的路徑轉(zhuǎn)發(fā)的一組或是一系列數(shù)據(jù)流，在一臺設(shè)備上，屬于同一FEC的路由分配相同的標(biāo)簽。

在MPLS中并不只是一條路由對應(yīng)一個(gè)FEC，也可以是一組具有相同屬性的路由對應(yīng)同一個(gè)FEC。

采用路由匯聚的思想，對大量屬性相同的路由分配相同的標(biāo)簽，相比于為每條路由分配一個(gè)標(biāo)簽的分配方式，可以節(jié)省大量的標(biāo)簽資源、簡化轉(zhuǎn)發(fā)操作。本文將通過對普通L3VPN組網(wǎng)、B類和C類跨域組網(wǎng)中路由傳播和流量轉(zhuǎn)發(fā)的具體分析，指出這些組網(wǎng)中不同設(shè)備上，BGP協(xié)議適合采用怎樣的標(biāo)簽分配方式，哪些可以采用路由匯聚的標(biāo)簽分配策略。

2.1 普通L3VPN組網(wǎng)

如圖1，根據(jù)PE1和PE2上的配置，CE0、CE1屬于PE1的VPN1，CE2屬于PE1的VPN2，CE3屬于PE2的VPN_A，CE4屬PE2的于VPN_B。根據(jù)RT(VPN Target屬性)匹配原則，在此組網(wǎng)中，要通過MPLS骨干網(wǎng)實(shí)現(xiàn)Site1(Site0)與Site3通信、Site2與Site4通信。

圖1 普通L3VPN組網(wǎng)圖

具體來講，要實(shí)現(xiàn)CE1(CE0)和CE3之間、CE2和CE4之間交換路由、流量正常轉(zhuǎn)發(fā)。

以CE1和CE3通信為例，從報(bào)文發(fā)送和流量轉(zhuǎn)發(fā)2個(gè)方向進(jìn)行分析，CE1的路由如何被CE3學(xué)到，以及如何實(shí)現(xiàn)CE3到CE1的私網(wǎng)流量轉(zhuǎn)發(fā)。

（1）從路由傳播角度

在PE1和PE2之間，建立起MP-IBGP鄰居，通過VPNv4路由傳遞PE1與PE2上的私網(wǎng)路由（即從CE上學(xué)到的路由）。路由傳播分3個(gè)階段：

a.PE1從CE1和CE2上收到私網(wǎng)路由，因?yàn)閷儆诓煌腣PN實(shí)例，會存儲到不同的VPN路由表中，最終會下發(fā)到VPN1和VPN2的FIB表中指導(dǎo)轉(zhuǎn)發(fā)。

b.同時(shí)PE1會將私網(wǎng)路由以VPNv4的形式發(fā)送給PE2，PE2上依據(jù)RT（VPN Target屬性）匹配的原則，將路由插入到不同的VPN路由表，來自CE1的路由會插入到VPN_A的路由表，來自CE2的路由插入到VPN_B的路由表。

c.PE2將不同VPN實(shí)例的路由轉(zhuǎn)發(fā)給不同的CE，CE1的路由被CE3學(xué)到，CE2的路由被CE4學(xué)到。

（2）從流量轉(zhuǎn)發(fā)角度

流量轉(zhuǎn)發(fā)的方向與路由傳播方向恰好相反，從CE3→PE2→P→PE1→CE1：

a.在PE1上，當(dāng)有流量向私網(wǎng)轉(zhuǎn)發(fā)時(shí)（向CE1或CE2），需要根據(jù)查對應(yīng)的FIB表項(xiàng)，找到出接口和下一跳。但由于不同的VPN對應(yīng)不同的FIB表項(xiàng)，而且可能會發(fā)生地址空間重疊，需要通過BGP分配的私網(wǎng)標(biāo)簽來判斷查詢哪個(gè)VPN的FIB表項(xiàng)指導(dǎo)轉(zhuǎn)發(fā)，為來自CE1和CE2的路由分配不同的標(biāo)簽。

PE1將從CE1和CE2學(xué)到的路由以VPNv4形式向PE2發(fā)送時(shí)，會攜帶分配的標(biāo)簽；而PE2將流量向PE1轉(zhuǎn)發(fā)時(shí)，將打上此標(biāo)簽，PE1上則根據(jù)流量報(bào)文標(biāo)簽值來指導(dǎo)表項(xiàng)查詢、流量轉(zhuǎn)發(fā)。

b.從PE2到P到PE1，流量經(jīng)公網(wǎng)MPLS轉(zhuǎn)發(fā)，所走的路徑是由LDP創(chuàng)建的公網(wǎng)LSP，外層標(biāo)簽也由LDP協(xié)議分配，本文中不做具體分析。內(nèi)層標(biāo)簽則是由PE1上BGP分配的私網(wǎng)標(biāo)簽。

c.當(dāng)PE2上，有來自CE3的流量時(shí)，查找VPN_A的FIB表，對應(yīng)轉(zhuǎn)發(fā)表項(xiàng)是要打標(biāo)簽經(jīng)公網(wǎng)LSP轉(zhuǎn)發(fā)的，便打上標(biāo)簽(PE1上BGP分配的私網(wǎng)標(biāo)簽)，由IP轉(zhuǎn)發(fā)變?yōu)镸PLS轉(zhuǎn)發(fā)，流量經(jīng)公網(wǎng)LSP轉(zhuǎn)發(fā)到PE1。

（3）標(biāo)簽分配策略

在此組網(wǎng)中，由BGP分配的標(biāo)簽只有PE1上對來自CE0、CE1、CE2的私網(wǎng)路由分配的標(biāo)簽。根據(jù)路由匯聚的標(biāo)簽分配策略，無需為每條路由分配一個(gè)標(biāo)簽，因?yàn)橥籚PN的路由轉(zhuǎn)發(fā)操作是相同的，只需將VPN實(shí)例索引作為關(guān)鍵字區(qū)分不同的FEC，為同一VPN的路由分配一個(gè)標(biāo)簽，CE0和CE1屬于VPN1，分一個(gè)標(biāo)簽，CE2屬于VPN2，分配不同標(biāo)簽。

（4）VPN POPGO技術(shù)

VPN POPGO是指流量從PE到CE轉(zhuǎn)發(fā)時(shí)，不查找對應(yīng)VPN的FIB轉(zhuǎn)發(fā)表項(xiàng)，直接在標(biāo)簽轉(zhuǎn)發(fā)表項(xiàng)中填入出接口和下一跳指導(dǎo)轉(zhuǎn)發(fā)。在此組網(wǎng)中，來自CE0和來自CE1的路由屬于同一VPN實(shí)例，但出接口和下一跳不同，對應(yīng)不同的轉(zhuǎn)發(fā)操作，應(yīng)對應(yīng)不同標(biāo)簽轉(zhuǎn)發(fā)表項(xiàng)，所以，對于VPN POPGO技術(shù)，對CE0和CE1的路由應(yīng)分配不同的標(biāo)簽，采用VPN實(shí)例+下一跳作為關(guān)鍵字為私網(wǎng)路由分配標(biāo)簽。

2.2 B類跨域L3VPN組網(wǎng)

如圖2，B類跨域中，ASBR間通過MP-EBGP交換來自各PE的VPNv4路由。ASBR上無需配置VPN實(shí)例，通過配置使其接收所有擴(kuò)展團(tuán)體屬性的路由(不進(jìn)行RT匹配的過濾)；PE和ASBR之間建立MP-IBGP交換VPNv4路由，與普通L3VPN組網(wǎng)同。

圖2 B類跨域L3VPN組網(wǎng)圖

（1）路由和流量分析

CE1的路由最終被CE3學(xué)到，以這條鏈路為例：

a.PE1學(xué)到CE1的路由以VPNv4路由的形式發(fā)送給ASBR1，為路由按VPN實(shí)例索引+下一跳分配私網(wǎng)標(biāo)簽，與普通L3VPN組網(wǎng)同。

b.ASBR1將來自不同PE的VPNv4路由發(fā)送給ASBR2，ASBR1要為路由分配標(biāo)簽、創(chuàng)建LFIB表項(xiàng)，此表項(xiàng)的目的：為了指導(dǎo)來自ASBR2的流量轉(zhuǎn)發(fā)到那個(gè)PE，即流量要走哪條公網(wǎng)LSP(PE和ASBR之間由LDP創(chuàng)建的公網(wǎng)隧道)，打上PE為不同私網(wǎng)路由分配的私網(wǎng)標(biāo)簽，用來指導(dǎo)流量從PE轉(zhuǎn)發(fā)到那個(gè)CE。此處用下一跳+出標(biāo)簽作為關(guān)鍵字為路由分配標(biāo)簽。

c.ASBR2將來自不同ASBR的VPNv4路由轉(zhuǎn)發(fā)給PE，首先BGP會在ASBR之間創(chuàng)建一條域間公網(wǎng)LSP，同時(shí)會為路由分配標(biāo)簽，與上一步驟分配標(biāo)簽的作用一致，指導(dǎo)流量轉(zhuǎn)發(fā)到ASBR鄰居，同時(shí)打上不同的出標(biāo)簽，此處也是用下一跳+出標(biāo)簽作為關(guān)鍵字為路由分配標(biāo)簽。

（2）標(biāo)簽分配策略

B類跨域中，ASBR為來自PE的路由和來自ASBR的路由，都按下一跳+出標(biāo)簽作為關(guān)鍵字分配標(biāo)簽，用來指導(dǎo)流量轉(zhuǎn)發(fā)到哪個(gè)PE/ASBR及打上什么私網(wǎng)標(biāo)簽，其實(shí)是對相同Site的路由進(jìn)行匯聚，為不同Site的路由分配了不同的標(biāo)簽。

2.3 C類跨域L3VPN組網(wǎng)

如圖3，相對于B類跨域ASBR上要存儲來自PE的所有VPNv4路由，路由的存儲和標(biāo)簽轉(zhuǎn)發(fā)對ASBR造成了較大的負(fù)擔(dān)，C類跨域組網(wǎng)中則通過2端PE建立多跳VPNv4 EBGP鄰居，直接交換VPNv4路由，在ASBR上無需VPNv4路由的存儲與傳播。

圖3 C類跨域L3VPN組網(wǎng)圖

（1）PE1和PE3之間要建立多跳MP-EBGP連接，需要將PE1的公網(wǎng)路由帶標(biāo)簽發(fā)布給PE2，建立一條貫穿的公網(wǎng)LSP。

a.將PE1用來建立多跳MP-EBGP鄰居的LOOPBACK口IP地址通過IGP(OSPF等)被ASBR1學(xué)到，并建立起PE與ASBR之間的域內(nèi)公網(wǎng)LSP，由LDP完成。

b.ASBR1上，BGP協(xié)議引入IGP路由(PE的LOOPBACK口地址)，并發(fā)送給ASBR2，ASBR1要為路由分配公網(wǎng)標(biāo)簽，同時(shí)下發(fā)LFIB表項(xiàng)，指導(dǎo)從ASBR2來的流量轉(zhuǎn)發(fā)到哪個(gè)PE。

此處不能按下一跳分配標(biāo)簽，PE0和PE2的LOOPBACK口IP地址通過IGP被ASBR1學(xué)到，2條路由的下一跳是相同的，按下一跳分配標(biāo)簽則無法區(qū)別這2條鏈路。因?yàn)槊總€(gè)LOOPBACK口IP地址代表了一個(gè)域內(nèi)公網(wǎng)LSP的目的地，在ASBR1向ASBR2發(fā)送路由時(shí)，按每路由的方式分配標(biāo)簽，關(guān)鍵字為引入路由的IP前綴。

c.ASBR2上收到ASBR1的BGP公網(wǎng)帶標(biāo)簽路由，BGP會創(chuàng)建到PE1的公網(wǎng)LSP，是流量從ASBR2轉(zhuǎn)發(fā)到PE1所經(jīng)的路徑。

ASBR2向域內(nèi)PE3轉(zhuǎn)發(fā)BGP帶標(biāo)簽路由時(shí)，也是按每路由方式分配標(biāo)簽，標(biāo)簽的作用便是指導(dǎo)流量由哪條LSP轉(zhuǎn)發(fā)，目的地是哪個(gè)PE。

d.PE3收到IPv4帶標(biāo)簽路由，會創(chuàng)建到另一端PE1的公網(wǎng)LSP，從CE3有流量到CE1時(shí)，打上PE1為VPNv4路由分配的私網(wǎng)標(biāo)簽，直接經(jīng)這條LSP便可到達(dá)PE1。

流量由PE3向ASBR2轉(zhuǎn)發(fā)時(shí)有3層標(biāo)簽：最內(nèi)層是PE1上BGP分配的私網(wǎng)標(biāo)簽，決定PE1上如何向私網(wǎng)轉(zhuǎn)發(fā)，查詢PE3上VPN_A實(shí)例的FIB表項(xiàng)可知，從CE3到CE1的流量要先打上此標(biāo)簽，然后經(jīng)LSP(目的地為PE1)轉(zhuǎn)發(fā)；第2層標(biāo)簽是ASBR2向PE3發(fā)送IPv4帶標(biāo)簽路由時(shí)BGP分配的，目的是流量到達(dá)ASBR2時(shí)指導(dǎo)流量經(jīng)LSP2到達(dá)PE1；最外層標(biāo)簽是指導(dǎo)流量到達(dá)ASBR2，由LDP分配。

（2）標(biāo)簽分配策略

C類跨域組網(wǎng)分配標(biāo)簽的特別之處是發(fā)送IPv4標(biāo)簽路由時(shí)的標(biāo)簽分配，此標(biāo)簽的目的是指導(dǎo)流量到達(dá)哪個(gè)PE。因?yàn)镻E的IP地址是公網(wǎng)地址，全球唯一，而且到達(dá)不同PE的轉(zhuǎn)發(fā)操作是不同的，所以此時(shí)不能用路由匯聚的標(biāo)簽分配方式，而用公網(wǎng)帶標(biāo)簽路由的IP前綴作為關(guān)鍵字，采用為每條路由分配一個(gè)標(biāo)簽的策略。

3 結(jié)束語

本文詳細(xì)分析了MPLS L3VPN的普通域間組網(wǎng)及B類C類跨域組網(wǎng)中，流量轉(zhuǎn)發(fā)的具體操作及每層標(biāo)簽在轉(zhuǎn)發(fā)中的作用和意義。提出路由匯聚的思想在標(biāo)簽分配中的運(yùn)用，對同一子網(wǎng)具有相同屬性的路由，分配相同的標(biāo)簽、執(zhí)行相同的轉(zhuǎn)發(fā)操作，節(jié)省了標(biāo)簽資源、簡化了轉(zhuǎn)發(fā)操作。

[1] 巨丹. 對MPLS MP—BGP VPN的理解[J] . 通信科技，2010（3）.

[2] 韓海雯，張瀟元. 基于BGP協(xié)議的MPLS VPN構(gòu)建機(jī)制分析[J] . 計(jì)算機(jī)工程與設(shè)計(jì)，2008（3）.