跨域的 MPLS VPN 解决方案

随着 MPLS VPN 的技术不断成熟，应用场景也逐渐扩大，使得应用所涉及的网络架构越来越大，越来越多的企业选择使用 MPLS VPN 。之前所描述的都是在同一个自治区域内传递的 MPLS VPN 。企业间的网络所属可能跨区域、跨运营商、甚至还有跨国家的情况出现，对于大型电信运营商来说，目前收到需要解决的问题就是如何快速部署一个易扩展、易维护的跨区域 MPLS L3 VPN 。 跨域 VPN 有两种常见的形式

• 一种情况是对于一个大型的电信运营商网络，一般会为一个省分配一个 AS ，要求为跨省的用户提供 MPLS VPN 的业务；或者是省内为每个地市县的网络分配一个 AS ，然后为客户提供跨地市县的 MPLS VPN 业务。
• 另一个情况就是 VPN 用户网络穿越了多个不同的运营商网络，运营商之间互相合作。

普通的 MPLS VPN 体系结构都是在一个 AS 内运行的，任何 VPN 路由信息都是只能在一个 AS 内按需扩散的，没有提供 AS 内的 VPN 信息向其他 AS 扩散的功能。

实现方式

目前主流跨域 MPLS VPN 互通的方案有三种，这种解决方案由 RFC4364 定义。

• 跨域 VPN-OptionA（Inter-Provider Backbones Option A），需要跨域 VPN 在 ASBR 间通过专用的接口管理自己的 VPN 路由，也称为 VRF-to-VRF 。
• 跨域 VPN-OptionB 的方式，ASBR 间通过 MP-eBGP 发布标签 VPNv4 的路由，也称 eBGP redistribution of labeled VPN-IPv4 routes 。
• 跨域 VPN-OptionC 的方式，PE 间通过 Multi-hopMP-eBGP 发布标签 VPNv4 的路由，也称 Multihop eBGP redistribution of labeled vpn-IPv4 routes 。

VPN-OptionA

OptionA 基本知识

OptionA 又称 VRF-to-VRF 方式，ASBR 和 ASBR 通过背靠背的方式互联，ASBR 同时也是各自所在 AS 的 PE 。两个 ASBR 都把对端当成自己的 CE 设备，将会为每一个 VPN 创建一个 VPN 实例，通过划分子接口的方式，每个子接口分别绑定一个 VPN 实例。 因为 OptionA 的 ASBR 之间互为 CE 的关系，所以 ASBR 之间不需要任何的标签，不需要运行 LDP 。ASBR 之间可以运行多种路由协议，包括 BGP 、OSPF、静态等。目前在实际网络中使用的静态路由配置居多。两个 ASBR 之间的数据传递其实传递的数据包是纯 IP 的数据报文，不携带任何的标签。

OptionA 路由发布

如上图所示，VPN1 访问 VPN2 时都需要穿过 AS100 和 AS200 。ASBR-1 和 ASBR-2 背靠背建立建立关系，并建立 eBGP 邻居关系。 这里以 VPN1 去访问 VPN2 为例，当 VPN1-CE1 传递一条 IPv4 路由通告给 PE1 时，PE1 接收到路由后会为其打上一个内网标签，使其变成一条 VPNv4 路由进行传递。然后路由通告传递到 ASBR-1 ，ASBR-1 会将其恢复成 IPv4 的路由后继续进行通告给 ASBR-2 ，这个时候 ASBR-2 收到的路由是一条没有任何标签的 IPv4 路由，ASBR-2 从 VPN 实例接收到这个路由，会为其分配一个内网标签使其变成 VPNv4 路由，然后在 AS200 中继续传递给 PE3 ，PE3 收到这个路由条目后再次把路由恢复成 IPv4 路由条目，并发给 VPN1-CE2 设备。至此就是 VPN1 跨域访问 VPN2 的完整路由传递过程。

OptionA 的特点

优点： 简单实用，因为 ASBR 之间不需要运行 MPLS ，所以不需要扩展协议和做特殊配置，属于天然的支持。在需要跨域 VPN 数量较少的情况下可以使用。 缺点： ASBR 需要为每一个 VPN 创建一个实例，需要管理和维护所有的 VPN 路由，如果 VPN 数量较大，将导致 ASBR 的 VPNv4 路由条目过于庞大，设备资源开销较大。如果跨多个域，配置工作量较大，且扩展性较低。

VPN-OptionB

OptionB 基本知识

OptionB 又称单跳 MP-eBGP 方案，也叫做 eBGP 再分配方式。在该方案中，ASBR 不需要为每个 VPN 创建实例，ASBR 和 AS 内部的 iBGP 会话会学习到 PE 上的 VPNv4 路由，然后 ASBR 之间通过 eBGP 进行 VPNv4 路由的传递，将 VPNv4 路由传递给其他 AS 区域。但在 MPLS VPN 的基本现实中，PE 上只保存了本地 VPN 实例的 RT 值相匹配的路由。通过对标签 VPNv4 路由进行特殊的处理，让 ASBR 不再进行 RT 只匹配的动作，这样就会把收到的 VPNv4 路由全部保存下来，而不管本地是否有和他匹配的 VPN 实例。 针对某个特定的 VPN 报文在两台 ASBR 之间传输是带有一层标签的，这一层标签是 MP-eBGP 所决定的。

OptionB 路由发布

这里以 VPN1-CE1 传递路由到 VPN1-CE2 为例阐述，路由的发布转发路径。 第一步：VPN1-CE1 通过 BGP 、OSPF 或者 RIP 方式讲路由发布给 AS100 内的 PE1 。 第二步：AS100 内的 PE1 先通过 MP-iBGP 方式把 VPNv4 路由以及私网标签发布给 AS100 内的 ASBR1。 第三步：ASBR1 通过 MP-eBGP 方式把 VPNv4 的路由以及标签发布给 ASBR2。由于 MP-eBGP 在传递路由时，需要改变路由的下一跳，ASBR1 向外发布时会为 VPNv4 路由信息重新分配标签。 第四步：ASBR2 通过 MP-iBGP 方式把 VPNv4 路由和私网标签发布给 AS200 内的 PE3 。由于传递的路由下一跳以及更改为 ASBR2 自己，所以这个时候 ASBR2 需要重新给 VPNv4 路由分配标签。 第五步：AS200 内的 PE3 将 VPNv4 路由发布进 VPN 实例中，然后通过 BGP 、OSPF 或者 RIP 的方式将 IPv4 路由发布给 VPN1-CE2. 由上面的传递方式看，跨 AS 区域的标签都是都是由两个 ASBR 给分配并传递的，并不需要额外再配置 LDP 协议。

OptionB 特点

优点： 不需要在 ASBR 上为每个 VPN 创建一个 VPN 实例，不需要跨域扩展协议，容易管理和配置。 缺点： VPN 的路由信息是通过 AS 之间的 ASBR 来保存和扩散的，当 VPN 路由较多时 ASBR 负担较大，容易造成故障节点，因此在 MP-eBGP 的方案中，需要维护 VPN 路由信息的 ASBR 不做公网 IP 传递。

VPN-OptionC

OptionC 基本知识

OptionC 也叫作 Multi-Hop EBGP 方案，这种方案是不同 AS 和 PE 之间直接建立 MP-eBGP 连接，以交换 VPNv4 路由，与前两种方案不同的是，ASBR 之间不需要维护和交换 VPNv4 路由了，减轻了 ASBR 设备负担的同时，也增强了网络的扩展性。为了提高扩展性可以在每个 AS 中指定一个路由反射器 RR ，由 RR 保存所有的 VPNv4 路由与本 AS 内的 PE 交换 VPNv4 路由信息。两个 AS 的 RR 之间建立 MP-eBGP 连接，通告 VPNv4 路由。 从转发层面看，这种方案需要在不同的 PE 之间直接建立公网隧道，这就要求 PE 必须具有到对方的 Loopback 地址的路由和标签，一种方式是在 ASBR 上，将 BGP 学习到的 PE 路由引入到本地的 IGP 中，使得 LDP 能为其分配标签。另外由于 ASBR 之间运行的 BGP ，LDP 协议通过 IGP 路由建立的 LSP 会在 ASBR 之间中断，需要在 ASBR 之间利用 eBGP 来传递 IPV4 路由的标签，使得针对 PE 的 Loopback 地址的 LSP 得以贯通。此时，针对某个特定 VPN ，从 PE 发出的数据包通常带有三层标签，最里面的标签是对方 AS 的 PE 为特定 VPN 分配的 VPN 标签，中间标签是本 ASBR 为对方 AS 的 PE 路由器分配的标签，最外面的标签是本 AS 为 IGP 路由器分配的 LDP 标签。

OptionC 路由发布

不同 AS 的 PE 之间必须要能学到对方 PE 的 Loopback 地址路由，以建立 MP-eBGP 连接，交换 VPNv4 路由。 ASBR1 通过 eBGP 将 PE1 的 Loopback 地址以 IPv4 路由的形式给通告给 ASBR2 ，并且为该路由分配了一个标签，ASBR2 随后讲路由通告给 PE3 ，因为修改了下一跳，所以为路由重新分配一个标签。这里的重新分配的标签是建立 PE3 到 ASBR1 的 BGP LSP 使用的。 PE1 接收到 CE1 的私网路由后，通过 MP-iBGP 以 VPNv4 的形式直接通告到了 PE3 ，该 VPNv4 路由携带了一个 VPN 私网标签，PE3 再以 IPv4 路由的形式发布到 CE2 。 报文从 PE3 向 PE1 转发时，需要在 PE3 上打上三层标签，分别为 VPN 路由的标签、BGP LSP 的标签和公网 LSP 标签。到 ASBR2 时，只剩下两层标签，分别是 VPN 的路由标签和 BGP LSP 的标签；进入 ASBR1 后 ，BGP LSP 终结，之后就是普通的 MPLS VPN 的转发流程。

OptionC 特点

优点： 它符合 MPLS VPN 的体系结构，只有 PE 知道 VPN 路由信息，而 P 路由器只负责转发报文，这样就使得中间域的设备可以不支持 MPLS VPN 业务。尤其是在跨越多个域时优势更明显，而且这个方案支持负载分担功能。

缺点： 需要对 BGP 做扩展，而且隧道的生成也是有别与普通的 MPLS VPN 结构，维护和理解起来难度较大，不适合用于企业网的环境。