当前位置：首页> 安全验证

安全验证

时间：下载该word文档

MPLSVPN原理及组网应用方案电信技术胡国辉崔可升摘要

首先对MPLSVPN技术的基本原理进行了介绍，然后结合山东移动的企业网络介绍了MPLSVPN技术在实际组网中的应用。1、引言

MPLSVPN业务近几年发展尤为迅速。Gartner公司的分析数据显示：从2004年到2006年，MPLSVPN市场的增长率将保持在15%～56%；预计到2006年，全球MPLSVPN的市场规模将达到10亿美元。可见，越来越多的人认识到采用MPLSVPN技术组网的优势。

2、MPLSVPN原理介绍

MPLSVPN一般采用图1所示的网络结构。其中VPN是由若干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。

图1MPLSVPN网络结构示意图MPLSVPN网络主要由
CE(CustomEdgeRouter，用户网络边缘路由器、PE(ProviderEdgeRouter，骨干网边缘路由器和
P(ProviderRouter，骨干网核心路由器等3部分组成。
CE设备直接与服务提供商网络(图1中的MPLS骨干网络相连，它“感知”不到VPN的存在；PE设备与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者：P负责快速转发数据，不与CE直接相连。在整个MPLSVPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。

PE是MPLSVPN网络的关键设备，根据PE路由器是否参与客户的路由，MPLSVPN分成Layer3MPLSVPN和Layer2MPLSVPN。其中Layer3MPLSVPN遵循RFC2547bis标准，使用MBGP在PE路由器之间分发路由信息，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLSVPN。本文主要阐述的是Layer3MPLSVPN。

在MPLSVPN网络中，对VPN的所有处理都发生在PE路由器上，为此，PE路由器上起用了VPNv4地址族，引入了RD(RouteDistinguisher和RT(RouteTarget等属性。RD具有
全局惟一性，通过将8byte的RD作为IPv4地址前缀的扩展，使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。PE对等体之间需要发布基于VPNv4地址族的路由，这通常是通过MBGP实现的。正常的BGP4能只传递IPv4的路由，MP-BGP在BGP的基础上定义了新的属性。

MP-iBGP在邻居间传递VPN用户路由时会将IPv4地址打上RD前缀，这样VPN用户传来的IPv4路由就转变为VPNv4路由，从而保证VPN用户的路由到了对端的PE上以后，即使存在地址空间重叠，对端PE也能够区分开分属不同VPN的用户路由。RT使用了BGP中扩展团体属性，用于路由信息的分发，具有全局惟一性，同一个RT只能被一个VPN使用，它分成ImportRT和ExportRT，分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPNRouting&Forwarding，VRF为每个site维护逻辑上分离的路由表，每个VRF都有ImportRT和ExportRT属性。当PE从VRF表中导出VPN路由时，要用ExportRT对VPN路由进行标记；当PE收到VPNv4路由信息时，只有所带RT标记与VRF表中任意一个ImportRT相符的路由才会被导入到VRF表中，而不是全网所有VPN的路由，从而形成不同的VPN，实现VPN的互访与隔离。通过对ImportRT和ExportRT的合理配置，运营商可以构建不同拓扑类型的VPN，如重叠式VPN和Hub-and-spokeVPN。

整个MPLSVPN体系结构可以分成控制面和数据面，控制面定义了LSP的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。

在控制层面，P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互，PE路由器通过维持