馮振

[摘 要] MPLS VPN是在電信運營商的公網架構上為客戶提供的私有專用網絡，文章就如何通過公網實現(xiàn)不同用戶的私網的連接，著重闡述了MPLS VPN的網絡架構、基本原理以及路由傳遞等幾個關鍵技術。

[關鍵詞] MPLS VPN；網絡架構；路由

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 19. 083

[中圖分類號] TP311 [文獻標識碼] A [文章編號] 1673 - 0194（2017）19- 0196- 02

1 引 言

VPN（Virtual Private Network）是基于公網，利用隧道、加密等技術，為用戶提供的虛擬專用網絡。虛擬是因為它并不提供端到端的物理連接，專用是因為它可以為某一團體提供一個專用的網絡，而他們并不關心公網情況如何。MPLS（Multi-Protocol Label Switch，多協(xié)議標簽交換）是新一代IP骨干網絡交換標準。它是IP技術與ATM技術的有機融合，吸收了IP路由技術靈活性和ATM交換技術簡潔性的優(yōu)點，在面向無連接的IP網絡中引入了MPLS面向連接的屬性，提供了類似于虛電路的標簽交換業(yè)務。

2 MPLS VPN的網絡架構及基本原理

MPLS VPN包含三種類型的路由器：CE路由器、PE路由器和P路由器。其中，CE路由器是用戶網絡邊緣設備，有接口直接與服務提供商網絡連接，CE可以是路由器或交換機，也可以是一臺主機。CE無需知道VPN的存在，也不需要支持MPLS；PE路由器是服務提供商邊緣路由器，也就是MPLS網絡中的標簽邊緣路由器 （LER），它根據存放的路由信息將來自CE路由器或標簽交換路徑（LSP）的VPN數據處理后進行轉發(fā)，同時負責和其他PE路由器交換路由信息；P路由器是運營商網絡主干路由器，也就是MPLS網絡中的標簽交換路由器（LSR），它根據分組的外層標簽對VPN數據進行透明轉發(fā)，P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息。

2.1 VPN Site

VPN Site即VPN用戶的站點，是VPN中的一個孤立的IP網絡，該網絡內部本身是IP互聯(lián)的，但是和其他站點（或者是子網）一般來說不通過骨干網不具有連通性。CE通常是VPN Site中的一個路由器或三層交換設備甚至是一個主機。一個CE設備總是被認為處于一個單獨的站點，但是一個站點可以同時屬于多個VPN。

在MPLS VPN的連接模型中，網絡由運營商的骨干網與用戶的各個Site組成，所謂VPN就是對Site集合的劃分，一個VPN就對應一個由若干Site組成的集合。

2.2 VRF及虛擬路由器

為了讓PE路由器能區(qū)分是哪個本地接口上送來的VPN用戶路由，在PE路由器上創(chuàng)建了大量的虛擬路由器，每個虛擬路由器都有各自的路由表和轉發(fā)表，這些路由表和轉發(fā)表統(tǒng)稱為VRF（VPN Routing and Forwarding instances）。一個VRF定義了連到PE路由器上的VPN成員。VRF中包含了IP路由表，IP轉發(fā)表，使用該IP轉發(fā)表的接口集和路由協(xié)議參數和路由導入導出規(guī)則等等。每個PE都維護和管理一系列的轉發(fā)表，其中一個轉發(fā)表叫做“缺省的轉發(fā)表”或者叫“全局轉發(fā)表”；其他的轉發(fā)表即VRF。全局的轉發(fā)表存放的是公網的路由（保證SP網絡中本身PE和PE，PE和P之間能夠互通），VRF存儲的是VPN站點的私有路由。

3 MPLS VPN的路由傳遞

3.1 CE與PE之間的路由交換

在PE上為不同的VPN站點配置VRF。PE上維護多個獨立的路由表，包括公網和私網路由表（VRF），其中：公網路由表包含到達其他PE和P的路由，由骨干網的IGP產生；私網路由表包含本VPN可到達的路由（即屬于該VPN的不同站點之間的路由）。

CE與PE之間通過采用靜態(tài)路由或動態(tài)路由協(xié)議進行路由信息的交互。當Ingress PE從某個接口接收到來自CE的路由信息時，將該路由導入對應的VRF。

3.2 PE與PE之間的路由交換

PE與PE之間的路由交換本質上就是將PE上得VRF路由注入到MP-IBGP并通過MP-IBGP在PE間交換的過程。

PE通過維持IBGP確保路由信息被分發(fā)給所有其他的PE。當Ingress PE分發(fā)路由信息時，將同時攜帶路由所在VRF的RD，即將路由的IPv4地址前綴轉化為VPN-IPv4地址。分發(fā)的具體路由信息（VPN-IPv4路由信息）包括：該路由的VPN-IPv4地址前綴、下一跳地址即Ingress PE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）、分配給該路由的VPN標簽（用來標識屬于哪個VPN或者說是哪個VRF）、該路由所在VRF的Export RT。

3.3 PE與CE之間的路由交換

PE與CE之間的路由交換即為MP-IBGP把路由注入到PE上的VRF然后通過PE與CE上運行的路由協(xié)議再分發(fā)給CE的過程。

當Egress PE收到路由信息時，將查看該路由的RT，如果RT和其任意VRF中任意一個Import RT相符時，就將該路由存入VPN-IPv4的路由表。在進行路由選擇之后，將最優(yōu)路由中的VPN-IPv4地址轉化成IPv4地址（即去掉地址中的RD）導入到相應的VRF，私網標簽保留，記錄到轉發(fā)表中，留做轉發(fā)時使用。再由本VRF的路由協(xié)議引入并傳遞給相應的CE。發(fā)給CE時下一跳為接收端PE自己的接口地址。這樣就完成了從MP-IBGP路由注入到VRF的過程。

4 總 結

MPLS VPN網絡中，可以通過RD的引入將IP-V4地址轉換成VPN-V4地址在網絡中傳播，解決私網地址重疊的困難；路由接收者可以通過RT來分辨相同的路由信息。

主要參考文獻

[1]徐聚星.MPLS VPN關鍵技術分析與研究[J].軟件導刊，2011（9）.

[2]李海華.BGP MPLS VPN安全性能分析與改進[J].微電子學與計算機，2011（11）.