企业网VPN应用

【摘 要】MPLS L3VPN是一种基于L3的MPLS VPN技术，它使用BGP在企业骨干网上本集团的业务路由，使集团不同业务有了良好的隔离性，并能够方便地支持 QoS和，因此在企业网应用良好。

【关键词】VPN；VRF；RD；RT

1. MPLS L3VPN概述

CE（Customer Edge）设备：用户网络边缘设备，有接口直接与SP（Service Provider，服务提供商）相连。CE可以是路由器或交换机，也可以是一台主机。CE“感知”不到VPN的存在，也不需要必须支持MPLS。

PE（Provider Edge）路由器：服务提供商边缘路由器，是服务提供商网络的边缘设备，与用户的CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上。

P（Provider）路由器：服务提供商网络中的骨干路由器，不与CE直接相连。P设备只需要具备基本MPLS转发能力。

图 1是一个MPLS L3VPN组网方案的示意图。

2.技术要点

2.1VRF（VPN Routing&Forwarding，VPN路由转发实例）

在同一个PE设备中，通过配置不同VRF来实现不同VPN之间的路由隔离。PE为每个独立的VPN业务建立并维护专属区域用于保存相对独立的路由表项。当然，如果一个站点中的用户同时属于多个VPN，则该站点的VPN实例中将包括所有这些VPN的信息。

2.2VPN-IPv4地址及RD（Route Distinguisher，路由标识符）

传统BGP无法正确处理地址空间重叠的VPN的路由。单独的VPN代表单独运行的业务，相互间独立，也就意味着各VPN间可使用相同私有地址段，假设VPN A和VPN B都使用了10.1.1.0/24网段的地址，并各自了一条去往此网段的路由，BGP将只会选择其中一条路由，从而导致去往另一个VPN的路由丢失。 PE路由器之间使用MP-BGP来VPN路由，并使用VPN-IPv4地址族来解决上述问题。

VPN-IPv4地址共有12个字节，包括8字节的RD和4字节的IPv4地址前缀，如图 2所示。

图2 VPNV4 地址结构

PE从CE接收到普通IPv4路由后，需要将这些私网VPN路由给对端PE。

为PE上每个VPN实例配置专门的RD，以保证到达同一CE的路由都使用相同的RD。RD或者是与自治系统号（ASN）相关的，在这种情况下，RD是由一个自治系统号和一个任意的数组成。

2.3RT （Router Target，路由控制）

MPLS L3VPN使用BGP扩展团体属性——Route Target来控制VPN路由信息的。

PE路由器上的VPN实例有两类VPN Target属性：

Export Target属性：在本地PE将从与自己直接相连的Site学到的VPN-IPv4路由给其它PE之前，为这些路由设置Export Target属性；

Import Target属性：PE在接收到其它PE路由器的VPN-IPv4路由时，检查其Export Target属性，只有当此属性与PE上VPN实例的Import Target属性匹配时，才把路由加入到相应的VPN路由表中。

3.业务转发流程

在基本MPLS L3VPN应用中（不包括跨域的情况），VPN报文转发采用两层标签方式：

第一层（外层）标签在骨干网内部进行交换，由MPLS中的LDP协议分配。VPN报文利用这层标签，可以沿LSP到达对端PE；

第二层（内层）标签在PE到达CE时使用，由MPBGP指定送到哪个Site。这样，对端PE根据内层标签可以找到转发报文的接口。如图3所示：

图 3 MPLS L3VPN业务流程

4.航运网中部分测试配置案例

PE1（config）#ip vrf test1

PE1（config-vrf）#rd 100：1

PE1（config-vrf）#address-family ipv4

PE1（config-vrf-af）#route-target import 100：1

PE1（config-vrf-af）#route-target export 100：1

PE1（config）#router bgp 100

PE1（config-bgp）#neighbor 10.10.3.3 remote-as 100

PE1（config-bgp）#address-family ipv4 vrf test1

PE1（config-bgp-af）#neighbor 10.1.1.2 remote-as 200

PE1（config-bgp）#address-family vpnv4

PE1（config-bgp-af）#neighbor 10.10.3.3 activate

5.总结

实际组网中，VPN用户网络复杂多样，繁简不同。当本企业网用户内部需要进一步划分多个VPN时，传统的解决方案是直接在运营商的PE设备上配置用户内部的VPN。这种方案实现简单，缺点是将导致PE上承载的VPN数量急剧增加，并且，如果用户内部需要调整VPN关系，也必须通过运营商操作。这不仅增加了网络的运营成本，也带来了管理和安全方面的问题。嵌套VPN是一种更为完善的解决方案，它的主要思想是在普通MPLS L3VPN的PE和CE之间传递VPNv4路由，由用户管理自己内部的VPN划分，运营商不参与用户内部VPN的管理。

作者简介：

刘桂成，重庆海事局信息中心，研究方向：通信网络。