（中国电信云南分公司，昆明 650000）

跨域MPLS VPN技术的实施研究

李维贤

（中国电信云南分公司，昆明 650000）

近年来，随着MPLS VPN技术的成熟，其应用越来越广泛，目前大部分的MPLS VPN技术主要应用在一个AS域内，随着MPLS VPN在同一个AS域内的广泛应用，跨域间的MPLS VPN通信需求逐渐增加，本文将通过某一跨域MPLS VPN客户的实施案例来进行研究，并提出一个可通用的跨域间的MPLS VPN实施方案。

跨域；MPLS；VPN

随着MPLS技术的成熟，其应用越来越广泛，尤其是在VPN方面。目前电信运营商提供给用户的MPLS VPN服务主要有MPLS Layer 2 VPN和 MPLS Layer 3 VPN两类，其中MPLS Layer 2 VPN因标准化和复杂性问题，目前还没有被大规模采用；而MPLS Layer 3 VPN具有高度的灵活性和扩展性，已被大规模应用，并逐步成为取代传统专线VPN的技术。

随着MPLS VPN在同一个AS域内的广泛应用，跨域间的MPLS Layer 3 VPN通信需求逐渐增加，就需要电信运营商结合现网情况进行系统研究，提出一个易扩展、易维护的跨域MPLS Layer 3 VPN的实施方案。本文将通过某一跨域MPLS VPN客户的实施案例来进行研究。

1 跨域MPLS VPN实施案例分析

1.1 客户组网需求

某工商局的机构包括省、州市、乡镇等节点，组网结构上省中心节点通过电信CN2网内MPLS VPN专线连接到各州市中心节点，州市中心节点通过本地163城域网MPLS VPN跨域接入到各乡镇节点。

1.2 组网方案

（1）本项目采用IP VPN方式组建全省工商虚拟专网，通过MPLS VPN跨域技术实现。

（2）根据工商局的省、州市、县乡机构情况，本次组网由两层网络构成，第一层为省工商局到州市工商局网络，第二层为州市工商局到县乡工商局网络，两层网络都通过MPLS VPN组网，其中第一层网络承载于CN2，第二层网络承载于163州市城域网，两个网络通过州市工商局核心路由器连接，进行数据转发。

（3）在163州市城域网内，有BRAS及SR两个业务承载平面，目前SR设备主要承载IPTV、软交换、大客户互联网专线等业务，该平面属于轻载网，对IP专线的带宽、时延等网络性能指标有较好的保障能力，考虑到省工商局对本次项目中网络质量的保障要求，建议通过SR网络平面来承载本次MPLS VPN业务，其中州市核心SR作为P/PE设备，各县分公司SR作为PE设备。

（4）各级工商机构子网的出口路由器作为CE设备，与电信侧PE设备或者PE延伸交换机对接，其中省工商局作为全省工商局业务核心节点，建议通过1 000 Mbit/s光纤专线与昆电CN2 PE延伸交换机对接；各州市工商局作为本州市核心设备，建议设置两条电路，一条通过100 Mbit/s光纤专线与州市CN2 PE延伸交换机对接，另一条通过100 Mbit/s光纤专线与163州市城域网核心SR或SR下挂L2对接；县工商局及乡镇工商局作为末级分支机构，通过10 Mbit/s光线专线与各县SR下挂的L2或大客户专线接入交换机对接。

（5）省州站点的CE与PE之间建EBGP邻居关系，CE之间建IBGP邻居关系。

（6）县、乡站点CE与PE之间根据路由器性能，可通过静态路由或EBGP方式通信。

如图1所示，某省工商局VPN组网的总体示意图。

1.3 RD规划

RD主要作用是解决客户站点间的IP地址冲突。由IP地址（32 bit）+RD（64 bit）组成VPN V4地址。在每个用户站点的VRF中配置相同的RD值。如图2所示，如一个客户有192.168.0.0/24的网段，另一个客户同时有192.168.0.0/24的网段；如果在普通的IP网中必然会产生IP地址冲突。这时在VRF中部署不同的RD值。如客户1在PE的VRF中配置RD为100：1，客户2 的RD配置为200：1。这时在P网中的VPN地址就是客户1 VPN V4地址：192.168.0.0/24+100：1；客户2 VPN V4地址：192.168.0.0/24+200：1。这样在P网中就把相同的IP地址区分了开来。

1.4 RT规划

图1 某省工商局VPN组网的总体示意图

RT用来控制MPLS VPN的Import、Outport的策略。通过匹配Import、Outport的RT值来进行控制MPLS VPN站点间的访问控制。例如有客户1、客户2、客户3，这3个客户间要实现客户1能完全访问客户2，而客户1不能访问客户3。在VRF下分配客户1RT值为100：1（和RD值格式一样），方向为BOTH；客户2RT值为100：1（和客户1RT值匹配），方向为BOTH；客户3RT值为300：1（单独定义一个不同的RT值）。这是一个简单的例子，实际部署中可根据需求定义RT策略。

2 跨域MPLS VPN技术的实施研究

图2 某省工商局VPN组网RD规划图

跨域MPLS Layer3 VPN主要解决的是VPN的跨域实现，也就是VPN-IPv4路由信息的跨域传递。其主要的实现方案有自治区系统边界路由器（ASBR，Autonomous System Boundary Router）间背靠背VRF-VRF连接、ASBR间通过MP-eBGP分发VPNIPv4路由信息和相应的标签以及RR间通过Multi-hop MP-eBGP分发VPN-IPv4路由信息和相应的标签3类。

3 跨域MPLS VPN技术方案对比

3.1 Option A方式

优点：VPN隧道构建比较简单，ASBR之间不需要运行MPLS。

缺点：ASBR要维护所有VPN的路由，并且要为每一个跨域的VPN分配一个接口，因此存在可扩展性的问题。

特点：仅当ASBR、VRF数量相对较小且VPN相对较稳定（不会随时增加新的VPN）时，这种方式是一种合适的选择，特别是网络建设的初期。

3.2 Option B方式

优点：ASBR之间一条链路传递所有VPN信息。不需要ASBR为每个VPN配置VRF，不需要导入VPN路由，不需要为每个VPN分配接口。

缺点：ASBR仍需要维护所有的VPN路由，并且为每个标签分配新的标签，在本地安装新老标签转换的ILM表项，因此对于ASBR路由器的设备性能要求比较高。

特点：当VPN业务发展到一定阶段，ASBR之间的链路受限时，可以考虑Option B跨域方法。对于一些超大型网络不太适合，但对于一般中型或大型网络是合适的。

3.3 Option C方式

优点：ASBR不需要处理VPN信息，最符合VPN的要求，即中间设备不感知VPN信息。

缺点：这种方式需要在域之间互相通告环回接口的路由，造成所谓的路由泄漏问题。同时由于需要建立跨域的LSP，在管理上带来较大的麻烦。另外，由于跨域同一VPN的所有PE之间都要建立eBGP连接，存在严重的扩展性问题。

特点：这种方式主要针对B方式的不足加以解决，不需要在ASBR上维护具体用户的VPN路由信息，将VPN路由的处理压力分散到PE上，它适合于大型的网络。当VPN业务大规模发展时，可以使用Option C跨域方法。

Study on the implementation of cross domain MPLS VPN technology

LI Wei-xian
(China Telecom Yunnan Branch, Kunming 650000, China)

In recent years, along with the MPLS VPN technology matures, its application is more and more widely. Most of the MPLS VPN technology is mainly applied in an AS domain, with the wide application of MPLS VPN in the same domain of AS, across MPLS VPN communication requirements of inter domain gradually increase. This article will through the implementation of the case of a cross domain MPLS VPN customer to carry on research, and propose a cross domain MPLS VPN implementation scheme in general.

cross domain; MPLS; VPN

TN929.5

A

1008-5599（2014）08-0066-03

2014-06-03