电子信息工程 外文资料翻译.doc

理工学院毕业设计外文资料翻译专 业： 电子信息工程 姓 名： 张毅刚 学 号： 09L0701119 外文出处： /portal/ default.htm(用外文写) 附 件： 1.外文资料翻译译文；2.外文原文。 指导教师评语： 签名： 年 月 日附件1：外文资料翻译译文MPLS L3VPNMPLS L3VPN是一种基于PE L3VPN为服务提供者VPN解决方案的技术。它使用BGP（边界网关协议）来使VPN发布路由和使用MPLS（多协议标签交换）来转发在服务提供商主干网上的VPN报文。MPLS L3VPN提供灵活的计算机网络的设计模式，有极好的可扩展性，和方便维护MPLS QoS（网络服务质量）还有MPLS TE.HENCE，它是被广泛的使用的。MPLS L3VPN Model（模型）MPLS L3VPN 模型由三种设备构成：l 用户网络边缘设备（CE）：一个客户边缘设备位于一个客户网络和有着一个或者更多的接口直接地连接与客户网络提供商。它能作为一个路由器一个交换机或者一个主机。它既不能感觉到VPN也不需要支持MPLS。l 提供商网络边缘路由（PE）：一个提供商网络边缘路由位于一个提供商网络和有着一个或者更多的CE对于网络。在一个MPLS网络，所有的VPN处理发生在PEs。l 核心路由（P）：一个核心路由是一个支柱路由在一个服务供应商网络。它不是直接地与任何一个CE连接。它只需要去被装备一个基础的MPLS转发能力。图1展示出MPLS L3VPN模型图1为MPLS L3VPN模型网络图解CEs和PEs标志着在服务提供商和客户之间的分界线。一个CE通常是一个路由器。在一个CE建立邻接直接与一个PE连接后它把它的VPN路由通知给PE然后从PE.ACE和一个PE使用BGP/IGP交换路由信息来学习到远程VPN路由。你也能在他们中间安装静态路由。在一个PE从一个CE获得路由信息之后，它使用BGP（边界网关协议）来和其他的PE交换VPN路由信息。一个PE继续坚持路由信息关于只有那些直连的VPN，而不是所有提供商网络上的VPN路由信息。一个P路由保持只有和PEs相互路由。这不需要知道关于VPN路由信息的任何东西。当在MPLS支柱网上传输VPN流量时，入口PE具有入口LSR的作用，出口PE具有出口LSR的作用，当P路由器具有Transit LSR的功能。1 MPLS L3VPN 的概念1.1站点站点经常在VPN被提到。它的意思是一下描述的内容：l 一个站点是具有IP连通性不依赖于服务供应商网络实现的一组IP系统。l 站点的分类取决于设备的拓扑结构，而不是地理位置，即使许多情况下一个站点的设备在地理上是距离彼此非常近的。l 一个站点的设备能属于多个VPN。l 一个站点被网络供应商连接起来的通过一个或者多个CE。一个站点能包含许多CE，但是一个CE只能属于一个站点。站点连接到同样的供应商网络能够被策略分类到不同的集合。只有在同一个集合里的站点能通过供应商网络进入对方。比如一个被叫做VPN的集合。2 地址空间重叠每个VPN独立的控制使用的地址。这些这样的地址的在网络分割方面的集合称为地址空间。这些地址VPN的空间也许会重复。李日，如果VPN1和VPN2都使用、24这个在网络分割方面的地址，地址空间重复的情况出现了。3 VPN实例在MPLS VPN忠，不同的VPN间路由是被VPN实例实现的。一个PE创造和维护一个分开的VPN实例对于每个VPN有一个明确的连接点。每个VPN实例包含VPN成员资格和一致的站点路由表。如果一个在一个站点的使用者在同一时间属于多个VPN，站点的VPN实例包含关于所有VPN的信息。为了VPN资料的独立和安全，每一个VPN实例在一个PE保持一个相对独立的路由表和一个单独的标记来转发基础信息（LFIB）。VPN实例信息包含三条：LFIB（标签转发表），IP路由表，接口束缚于VPN实例还有VPN实例的管理信息。VPN实例的管理信息包含路由标识（RD），路由过滤协议，和成员接口名单。4 VPN-IPv4地址传统的BGP不能处理重叠地址空间的VPN路由。例如如果VPN1和VPN2都使用/24和每个发布了一个路由给此网段，BGP智慧选择其中之一，引起另一条路由丢掉。PE使用MP-BGP来发布VPN路由，和使用VPN-IPv4地址族来解决传统的BGP问题。一个VPN-IPv4地址共有12字节，前八字节表示RD，后四字节IPv4地址前缀如图2。图2 VPN-IPv4地址结构当一个PE接收到来自CE的一个普通IPv4路由时，它一定告知这个VPN路由给对等的PE了。私有VPN路由器是被增加RD给路由实施的。一个服务提供商能独立分配RD提供独立RD是独立的。因此，一个PE能广播不同的路由给VPN即使VPN是和服务提供商和使用相同的IPv4地址空间不同的。推荐在PE上设置一个特有的RD给每个VPN实例，保证路由到相同的CE使用相同的RD。包含RD为0的VPN-IPv4地址扮演者一个全局唯一的IPv4地址。有前缀的独特的RD给一个特定的IPv4地址前缀，你得到一个全局为一的VPN IPv4地址前缀。RD能够与自主系统（AS）号相关，在这种情况下它是由AS号和任意的号组合的；或者是与IP地址相关，在此情况下，它是由一个IP地址和一个任意数组成的。一个RD能被一下两者之一格式区别：l 当Type为0时，Administrator子字段占用2字节，Assigned number 占用4字节，还有RD格式是：16bits AS：32bits 用户自定义号。例如，100:1.l 当Type是1时，Administrator子字段占用4字节，Assigned number 占用2字节，还有RD格式是：32bits IPv4地址：16bits 用户自定义号。例如，:1.为了RD的全局唯一，建议不要使Administrator子字段调整为任何一个私有AS号或者私有IP号。5 VPN target属性MPLS L3VPN使用BGP扩展团体属性被叫做VPN target属性，或者路由目标属性，来控制VPN路由信息的广播。PE支持VPN实例有VPN target属性的两种类型：l Export target属性：一个本地PE将从与自己直接向谅解的站点学到的VPN-IPv4路由发布给其他的PE之前，为这些路由设置Export target 属性；l Import Target属性：PE在接受到其他PE路由器发布的VPN-IPv4路有时，检查他的Export Target属性，只有当这个属性和PE上VPN实例的Import Target属性匹配时，才把路由加入到相应的VPN路由表中。也就是说，VPN Target属性定义了一条VPN-IPv4路由可以为哪些Site所接收，PE路由器可以接收哪些Site发送来的路由。与RD类似，VPN Target也有两种格式：l 16位自治系统号:32位用户自定义号，例如：100:1。l 32位自治系统号:32位用户自定义号，例如：：1。6 MP-BGPMP-BGP在PE路由之间传播VPN组成信息和路由。它是向后兼容和支持传统IPv4地址族和其他地址族，像VPN-IPv4地址族。使用MP-BGP能保证私人VPN路由是被广播只在VPN和在MPLS VPN成员之间实施会话。7 路由策略在增加入口和出口的扩大社区为了控制VPN路由广播，你同样可以配置VPN路由的引入和发布，可以使用入方向或出方向路由策略。入方向路由策略根据路由的VPN Target属性进一步过滤可引入到VPN实例的路由，它可以拒绝接收引入列表中的团体选定的路由，而出方向路由策略则可以拒绝发布输出列表中的团体选定的路由。VPN实例创建完成后，可以选择是否需要配置入方向或出方向路由策略。8 隧道策略隧道策略用于选择给特定VPN实例的数据包使用的隧道。在一个VPN实例被之后，你能随意的配置隧道策略。默认LSP作为隧道和不进行负载分担。默认情况下，选择LSP作为隧道和不进行平分分担（换句话说隧道负载分担条数是1）。另外，一个隧道策略只有在同一个AS区域内生效。9 MPLS L3VPN数据包转发在一个基本的AS MPLS L3VPN应用中VPN数据包转发采用两层标签模式：l 第一层：外层，用于内部骨干网标签交换。它们表明来自本地PE给遥远PE的LSP。建立在第一层基础上，VPN数据包能利用这层标签可以延LSP到达对端PE；l 第二层：内层，用于标签在从对端PE到达CE时使用指示数据包应被送到哪个站点，或者更具体一些，到达哪一个CE。一个对端PE根据内层标签可以找到转发报文的接口。如果两个站点（CE）属于同一个VPN和被链接给了同一个PE，他们的其中之一只需要知道怎么达到移动CE。下面的图3是一个例子来阐明VPN数据包转发程序。图3 VPN数据包转发9.1、Site1发怵一个目标地址为的数据包，由CE1将数据包发送至PE1.9.2、PE1根据报文到达的接口及目的地址超找VPN实例表项，匹配好将豹纹转发出去，同事打上内层和外层两个标签。9.3 MPLS网络利用报文的外层标签，将报文传送到PE 2。9.4 PE 2根据内层标签和目的地址查找VPN实例表项，确定报文的出接口，将报文转发至CE 2。9.5 CE 2根据正常的IP转发过程将报文传送到目的地。MPLS L3VPN网络构架在MPLS L3VPN网络中，通过VPN Target属性来控制VPN路由信息在各Site之间的发布和接收。VPN Export Target和Import Target的设置相互独立，并且都可以设置多个值，能够实现灵活的VPN访问控制，从而实现多种VPN组网方案。10 基本的VPN组网方案在最简单的情况下，所有用户在同一个VPN形式一个不公开的用户群。他们能互相转发流量来但是不能传达任何一个外网VPN的用户。对于这种网络体制，基础VPN网络体制，你需要来分配一个VPN Target给每个VPN来识别VPN的Export Target属性。此外，这个VPN Target不能被其他VPN使用。图4 网络图表给基础VPN网络构架在图 4中，PE上为VPN 1分配的VPN Target值为100:1，为VPN 2分配的VPN Target值为200:1。VPN 1的两个站点之间可以互访，VPN 2的两个站点之间也可以互访，但VPN 1和VPN 2的Site之间不能互访。10.1 Hub和Spoke组网方案 如果希望在VPN中设置中心访问控制设备，其它用户的互访都通过中心访问控制设备进行，可以使用Hub&Spoke组网方案，从而实现中心设备对两端设备之间的互访进行监控和过滤等功能。对于这种组网，需要设置两个VPN Target，一个表示“Hub”，另一个表示“Spoke”。各Site在PE上的VPN实例的VPN Target设置规则为：连接Spoke站点（Site 1和Site 2）的Spoke-PE：Export Target为“Spoke”，Import Target为“Hub”；连接Hub站点（Site 3）的Hub-PE：Hub-PE上需要使用两个接口或子接口，一个用于接收Spoke-PE发来的路由，其VPN实例的Import Target为“Spoke”；另一个用于向Spoke-PE发布路由，其VPN实例的Export Target为“Hub”。图 5 Hub&Spoke组网方案在图 5中，Spoke站点之间的通信通过Hub站点进行（图中箭头所示为Site 2的路由向Site 1的发布过程）：Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由；Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收；Hub-PE将从Spoke-PE学到的路由发布给其他Spoke-PE，因此，Spoke站点之间可以通过Hub站点互访。任意Spoke-PE的Import Target属性不与其它Spoke-PE的Export Target属性相同。因此，任意两个Spoke-PE之间不直接发布VPN-IPv4路由，Spoke站点之间不能直接互访。10.2、Extranet组网方案如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问，可以使用Extranet组网方案。对于这种组网，如果某个VPN需要访问共享站点，则该VPN的Export Target必须包含在共享站点的VPN实例的Import Target中，而其Import Target必须包含在共享站点VPN实例的Export Target中。图 6 Extranet组网方案在图 6中，VPN 1的Site 3能够被VPN 1和VPN 2访问：l PE 3能够接受PE 1和PE 2发布的VPN-IPv4路由；l PE 3发布的VPN-IPv4路由能够为PE 1和PE 2接受；l 基于以上两点，VPN 1的Site 1和Site 3之间能够互访，VPN 2的Site 2和VPN 1的Site 3之间能够互访。l PE 3不把从PE 1接收的VPN-IPv4路由发布给PE 2，也不把从PE 2接收的VPN-IPv4路由发布给PE 1（IBGP邻居学来的条目是不会再发送给别的IBGP邻居），因此，VPN 1的Site 1和VPN 2的Site 2之间不能互访。11 MPLS L3VPN的路由信息发布在基本MPLS L3VPN组网中，VPN路由信息的发布涉及CE和PE，P路由器只维护骨干网的路由，不需要了解任何VPN路由信息。PE路由器也只维护与它直接相连的VPN的路由信息，不维护所有VPN路由。因此，MPLS L3VPN网络具有良好的可扩展性。VPN路由信息的发布过程包括三部分：本地CE到入口PE.入口PE到出口PE.出口PE到远端CE。完成这三部分后，本地CE与远端CE之间将建立可达路由，VPN私网路由信息能够在骨干网上发布。下面分别对这三部分进行介绍。11.1、本地CE到入口PE的路由信息交换CE与直接相连的PE建立邻接关系后，把本站点的VPN路由发布给PE。CE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或EBGP。无论使用哪种路由协议，CE发布给PE的都是标准的IPv4路由。11.2、入口PE到出口PE的路由信息交换PE从CE学到VPN路由信息后，为这些标准IPv4路由增加RD和VPN Target属性，形成VPN-IPv4路由，存放到为CE创建的VPN实例中。入口PE通过MP-BGP把VPN-IPv4路由发布给出口PE。出口PE根据VPN-IPv4路由的Export Target属性与自己维护的VPN实例的Import Target属性，决定是否将该路由加入到VPN实例的路由表。PE之间通过IGP来保证内部的连通性。11.3、 出口PE到远端CE的路由信息交换远端CE有多种方式可以从出口PE学习VPN路由，包括静态路由、RIP、OSPF、IS-IS和EBGP，与本地CE到入口PE的路由信息交换相同。12 跨域VPN实际组网应用中，某用户一个VPN的多个Site可能会连接到使用不同AS号的多个服务提供商，或者连接到一个服务提供商的多个AS。这种VPN跨越多个自治系统的应用方式被称为跨域VPN（Multi-AS VPN）。RFC 2547bis中提出了三种跨域VPN解决方案，分别是：VRF-to-VRF：ASBR间使用子接口管理VPN路由，也称为Inter-Provider Option A；EBGP Redistribution of labeled VPN-IPv4 routes：ASBR间通过MP-EBGP发布标签VPN-IPv4路由，也称为Inter-Provider Option B；Multihop EBGP redistribution of labeled VPN-IPv4 routes：PE间通过MP-EBGP发布标签VPN-IPv4路由，也称为Inter-Provider Option C。下面逐一对这些方案进行介绍。121、ASBR间使用子接口管理VPN路由这种方式下，两个AS的PE路由器直接相连，PE路由器同时也是各自所在自治系统的边界路由器ASBR。作为ASBR的PE之间通过多个子接口相连，两个PE都把对方作为自己的CE设备对待，使用传统的EBGP方式向对端发布IPv4路由。报文在AS内部作为VPN报文，采用两层标签转发方式；在ASBR之间则采用普通IP转发方式。理想情况下，每个跨域的VPN都有一对子接口与之对应，用来交换VPN路由信息。图 7 ASBR间使用子接口管理VPN路由组网图使用子接口实现跨域VPN的优点是实现简单：两个作为ASBR的PE之间不需要为跨域进行特殊配置。缺点是可扩展性差：作为ASBR的PE需要管理所有VPN路由，为每个VPN创建VPN实例。这将导致PE上的VPN-IPv4路由数量过于庞大。并且，为每个VPN单独创建子接口也提高了对PE设备的要求。12.2、 ASBR间通过MP-EBGP发布标签VPN-IPv4路由这种方式下，两个ASBR通过MP-EBGP交换它们从各自AS的PE路由器接收的标签VPN-IPv4路由。路由发布过程可分为以下步骤：AS 100内的PE先通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 100的边界路由器PE，或发布给为ASBR PE反射路由的路由反射器；作为ASBR的PE通过MP-EBGP方式把标签VPN-IPv4路由发布给AS 200的PE（也是AS 200的边界路由器）；AS 200的ASBR PE再通过MP-IBGP方式把标签VPN-IPv4路由发布给AS 200内的PE，或发布给为PE反射路由的路由反射器。这种方式的ASBR需要对标签VPN-IPv4路由进行特殊处理，因此也称为ASBR扩展方式。图 8 ASBR间通过MP-EBGP发布标签VPN-IPv4路由组网图在可扩展性方面，通过MP-EBGP发布标签VPN-IPv4路由优于ASBR间通过子接口管理VPN。采用MP-EBGP方式时，需要注意：ASBR之间不对接收的VPN-IPv4路由进行VPN Target过滤，因此，交换VPN-IPv4路由的各AS服务提供商之间需要就这种路由交换达成信任协议；VPN-IPv4路由交换仅发生在私网对等点之间，不能与公网交换VPN-IPv4路由，也不能与没有达成信任协议的MP-EBGP对等体交换VPN-IPv4路由。12.3、 PE间通过MP-EBGP发布标签VPN-IPv4路由前面介绍的两种方式都能够满足跨域VPN的组网需求，但这两种方式也都需要ASBR参与VPN-IPv4路由的维护和发布。当每个AS都有大量的VPN路由需要交换时，ASBR就很可能成为阻碍网络进一步扩展的瓶颈。解决上述可扩展性问题的方案是：ASBR不维护或发布VPN-IPv4路由，PE之间直接交换VPN-IPv4路由。两个ASBR通过MP-IBGP向各自AS内的PE路由器发布标签IPv4路由。ASBR上不保存VPN-IPv4路由，相互之间也不通告VPN-IPv4路由。ASBR保存AS内PE的带标签的IPv4路由，并通告给其它AS的对等体。另一个自治系统中的ASBR也通告带标签的IPv4路由。这样，在入口PE和出口PE之间建立起一条LSP。不同AS的PE之间建立Multihop方式的EBGP连接，交换VPN-IPv4路由。图 9 PE间通过Multi-hop MP-EBGP发布标签VPN-IPv4路由组网图为提高可扩展性，可以在每个AS中指定一个路由反射器RR（Route Reflector），由RR保存所有VPN-IPv4路由，与AS的PE交换VPN-IPv4路由信息。两个AS的RR之间建立跨域VPNv4连接，通告VPN-IPv4路由。如图 10所示。图 10 采用RR的跨域VPN OptionC方式组网图13 运营商的运营商13.1、 简介MPLS L3VPN服务提供商的用户可能也是一个服务提供商。这种情况下，前者称为提供商运营商（Provider Carrier）或一级运营商（First Carrier），后者称为客户运营商（Customer Carrier）或二级运营商（Second Carrier）。这种组网模型称为运营商的运营商（Carriers carriers），低级别的SP作为更高级别SP的CE。为保持良好的可扩展性，一级运营商并不引入二级运营商的外部路由，只引入为不同站点的二级运营商交换报文的路由。二级运营商维护的外部路由通过在相关二级运营商路由器间建立BGP会话交换。这可以大大减少一级运营商网络中需要维护的路由数量。13.2、 实现与普通MPLS L3VPN相比，配置运营商的运营商的主要区别在于一级运营商PE接入二级运营商CE这一部分：如果一级运营商PE与二级运营商CE位于同一个AS内，则它们之间配置IGP和LDP；如果一级运营商PE与二级运营商CE位于不同的AS，则它们之间配置MP-EBGP。MP-EBGP为PE与CE之间交换的路由分配标签。无论哪种情况，CE上都需要使能MPLS。并且，CE上虽然有二级运营商的VPN路由，但它们并不把这些路由发布给一级运营商的PE，只在二级运营商PE之间交换。二级运营商可能只是普通ISP，也可能是MPLS L3VPN服务提供商。二级运营商是普通ISP时，其PE不需要运行MPLS，与CE之间运行IGP。PE 3和PE 4之间通过IBGP会话交换二级运营商的VPN路由。如图 11所示。图 11 二级运营商是ISP二级运营商是MPLS L3VPN服务提供商时，其PE也需要运行MPLS，与CE之间运行IGP和LDP。PE 3和PE 4之间通过MP-IBGP会话交换二级运营商的VPN路由。如图 12所示。图 12 二级运营商是MPLS L3VPN服务提供商如果一级运营商和二级运营商之间存在等价路由，则建议在一级运营商和二级运营商之间建立对应的等价LSP。14、嵌套VPN141、 产生背景在基本的MPLS L3VPN模型中，由运营商经营MPLS VPN骨干网，通过PE设备提供VPN服务。VPN用户通过CE设备与运营商的PE设备互连，接入MPLS VPN网络，实现属于用户VPN的不同Site之间的通信。在这种情况下，用户网络是普通的IP网络，VPN用户不能再划分子VPN。实际组网中，VPN用户网络复杂多样，繁简不同。当VPN用户内部需要进一步划分多个VPN时，传统的解决方案是直接在运营商的PE设备上配置用户内部的VPN。这种方案实现简单，缺点是将导致PE上承载的VPN数量急剧增加，并且，如果用户内部需要调整VPN关系，也必须通过运营商操作。这不仅增加了网络的运营成本，也带来了管理和安全方面的问题。嵌套VPN是一种更为完善的解决方案，它的主要思想是在普通MPLS L3VPN的PE和CE之间传递VPNv4路由，由用户管理自己内部的VPN划分，运营商不参与用户内部VPN的管理。如图 13所示，用户在运营商MPLS VPN网络上所属的VPN为VPN A，在用户网络内部划分子VPN：VPN A-1和VPN A-2。运营商PE设备把用户网络当作普通VPN用户对待，不参与子VPN的划分。VPN用户的CE设备（CE 1、CE 2、CE 7和CE 8）和运营商PE设备之间传递包括子VPN路由信息的VPNv4路由，从而实现用户网络内部子VPN路由信息的传递。图 13 嵌套VPN组网应用14.2、 路由信息的传播过程嵌套VPN中，路由信息的传播过程为：14.2.1、运营商的PE设备与VPN用户的CE设备交互VPNv4路由，VPNv4路由携带用户内部的VPN信息。14.2.2、运营商的PE设备收到VPNv4路由后，保留用户内部的VPN信息，并附加用户在运营商网络上的MPLS VPN属性，即将该VPNv4路由的RD更换为用户所处运营商网络VPN的RD，同时将用户所处运营商网络VPN的ERT（Export Route-target，引出路由标识）添加到路由的扩展团体属性列表中。运营商的PE设备维护用户内部的VPN信息。14.2.3运营商的PE设备向其他运营商PE设备发布这些携带综合VPN信息的VPNv4路由。14.2.4其他的运营商PE设备收到VPNv4路由后，与本地的VPN进行匹配，每个VPN接收属于自己的路由，然后将路由扩散到自己连接的子VPNCE设备（如1. 图 13中的CE 3、CE 4、CE 5和CE 6）：如果运营商PE和CE设备之间是IPv4连接，直接扩散IPv4路由；如果和CE设备之间是VPNv4连接，表示通过私网连接的是一个用户MPLS VPN网络，向CE扩散VPNv4路由。14.3、 技术优点嵌套VPN技术的主要优点是：实现了VPN聚合功能，可以把用户的多个内部VPN聚合成一个用户VPN，接入运营商的MPLS VPN网络；支持对称组网方式和非对称组网方式，即属于同一VPN用户的不同Site包括的用户内部VPN数目可以相同，也可以不同；支持用户内部VPN的多层嵌套。嵌套VPN技术降低了用户接入VPN网络的复杂度和成本，为用户提供多样化的VPN组网方式，实现了用户对内部VPN以及多层VPN之间的互访权限控制管理。14.4、多角色主机从CE进入PE的报文的VPN属性由入接口绑定的VPN决定，这就决定了由同一入接口经PE转发的所有CE设备都必须属于同一VPN。但在实际组网中，一个CE设备可能需要经过一个物理接口访问多个VPN，这可以通过设置不同的逻辑接口来实现，但会增加额外的配置负担，使用起来也有局限性。多角色主机，是通过在PE上配置策略路由，使来自CE的报文可以访问多个VPN。为使其它VPN的信息能够从PE发送到CE，需要在其它VPN上配置静态路由，并指定连接CE的接口作为下一跳。在实际应用中，应合理进行地址规划，使每个VPN的地址段相对集中，以提高PE的转发效率。15 HoVPN15.1、 产生背景15.1.1、 分层模型与平面模型在MPLS L3VPN解决方案中，PE设备最为关键，它完成两方面的功能：首先是为用户提供接入功能，这需要PE具有大量接口；然后是管理和发布VPN路由，处理用户报文，这需要PE设备具有大容量存储和高转发能力。目前的网络设计大多采用经典的分层结构，例如，城域网的典型结构是三层模型：核心层、汇聚层、接入层。从核心层到接入层，对设备的性能要求依次下降，网络的规模则依次扩大。而MPLS L3VPN是一种平面模型，对网络中所有PE设备的性能要求相同，当网络中某些PE在性能和可扩展性方面存在问题时，整个网络的性能和可扩展性将受到影响。由于MPLS L3VPN的平面模型与典型的分层网络模型不相符，在每一个层次上部署PE都会遇到扩展性问题，不利于大规模部署VPN。15.1.2、 HoVPN为解决可扩展性问题，MPLS L3VPN必然要从平面模型转变为分层模型。在MPLS L3VPN领域，分层VPN（Hierarchy of VPN，简称HoVPN）解决方案的提出，实现了将PE的功能分布到多个PE设备上，多个PE承担不同的角色，并形成层次结构，共同完成一个PE的功能。HoVPN对处于较高层次的设备的路由能力和转发性能要求较高，而对处于较低层次的设备的相应要求也较低，符合典型的分层网络模型。15.2 HoVPN的实现15.2.1 HoVPN的基本结构图 14 HoVPN的基本结构在图 14中，直接连结用户的设备称为下层PE（Underlayer PE）或用户侧PE（User-end PE），简写为UPE；连结UPE并位于网络内部的设备称为上层PE（Superstratum PE）或运营商侧PE（Sevice Provider-end PE），简写为SPE。多个UPE与SPE构成分层式PE，共同完成传统上一个PE的功能。SPE与UPE的分工是：UPE主要完成用户接入功能。UPE维护其直接相连的VPN Site的路由，但不维护VPN中其它远程Site的路由或仅维护它们的聚合路由；UPE为其直接相连的Site的路由分配内层标签，并通过MP-BGP随VPN路由发布此标签给SPE；SPE主要完成VPN路由的管理和发布。SPE维护其通过UPE连接的VPN所有路由，包括本地和远程Site的路由，SPE将路由信息发布给UPE，并携带标签。SPE发布的路由信息可以是VPN实例的缺省路由（或聚合路由），也可以是通过路由策略的路由信息。通过后者可以实现对同一VPN下不同站点之间互访的控制。由于分工的不同，对SPE和UPE的要求也不同：SPE的路由表容量大，转发性能强，但接口资源较少；UPE的路由容量和转发性能较低，但接入能力强。HoVPN充分利用了SPE的性能和UPE的接入能力。需要说明的是，SPE和UPE是相对的概念。在多个层次的PE结构中，上层PE相对于下层就是SPE，下层PE相对于上层就是UPE。分层式PE从外部来看同传统上的PE没有区别，可以同普通PE共存于一个MPLS网络。15.2.2 SPE-UPESPE和UPE之间运行MP-BGP，可以是MP-IBGP，也可以是MP-EBGP，这取决于UPE和SPE是否属于同一个AS。采用MP-IBGP时，为了在IBGP对等体之间通告路由，SPE将作为路由反射器，把来自IBGP对等体UPE的VPN路由发布给IBGP对等体SPE，但SPE不作为其它PE的路由反射器。15.2.3、 HoVPN的嵌套与扩展HoVPN支持分层式PE的嵌套：一个分层式PE可以作为UPE，同另一个SPE组成新的分层式PE；一个分层式PE可以作为SPE，同多个UPE组成新的分层式PE；以上这种嵌套可以多次进行。通过分层式PE的嵌套，理论上可以将VPN无限扩展与延伸。图 15 分层式PE的嵌套图 15是一个三层的分层式PE，称中间的PE为MPE（Middle-level PE）。SPE和MPE之间，以及MPE和UPE之间，均运行MP-BGP。MP-BGP为上层PE发布下层PE上的所有VPN路由，为下层PE发布上层PE的VPN实例缺省路由或通过路由策略的VPN路由。SPE维护了这个分层式PE接入的所有Site的VPN路由，路由数目最多；UPE只维护它所直接连接的Site的VPN路由，路由数目最少；MPE的路由数目介于SPE和UPE之间。16 OSPF VPN扩展16.1 PE上的OSPF多实例OSPF是应用广泛的一种IGP协议，很多情况下，VPN客户端通过BGP对等体连接，客户端内部则经常以OSPF作为内部路由协议。如果能够在PE-CE之间使用OSPF，则CE上就不需要再为到PE的连接支持其它路由协议，从而简化CE的管理和配置。并且，如果客户需要通过传统的OSPF骨干区域提供MPLS L3VPN服务，在PE和CE之间使用OSPF可以简化这种转换。为了在PE-CE间运行OSPF，PE必须支持OSPF多实例，每个OSPF实例与一个VPN实例对应，使用自己的接口、路由表。下面具体介绍在PE-CE间配置OSPF需要了解的知识。16.1.1 PE和CE间的OSPF区域配置PE与CE之间的OSPF区域可以是非骨干区域，也可以是骨干区域。在OSPF VPN扩展应用中，MPLS VPN骨干网被看作是骨干区域area 0。由于OSPF要求骨干区域连续，因此，所有VPN站点的area 0必须与MPLS VPN骨干网相连。即：如果VPN站点存在OSPF area 0，则CE接入的PE必须通过area 0与这个VPN站点的骨干区域相连（可以通过Virtual-link实现逻辑上的连通）。16.1.2 BGP/OSPF交互在PE-CE间运行OSPF后，PE与PE通过BGP发布VPN路由，PE通过OSPF向CE发布VPN路由。对于普通OSPF，即使两个不同站点属于同一VPN，它们也会被看作属于不同的自治系统。这样，在一个站点学到的路由，将被作为外部路由传送给另一站点。这种处理方式导致了比较高的OSPF路由协议流量，并带来了一些原本可以避免的网络管理问题。目前的OSPF可以解决上述问题。通过适当配置，运行OSPF的不同站点之间彼此看作是直接相连的。这样，PE路由器交换OSPF路由信息时就好像是通过一条专线相连。改善了网络管理并使OSPF的应用更为有效。以图 16为例，PE 1和PE 2通过MPLS骨干网相连，CE 11、CE 21和CE 22都属于VPN 1。假设图中所有路由器属于同一个域，即，CE 11、CE 21、CE 22属于同一个OSPF域（OSPF domain）。VPN 1路由的发布过程可以描述为：首先在PE 1上将CE 11的OSPF路由引入BGP；然后通过BGP将这些VPN路由发布给PE 2；在PE 2上将BGP的VPN路由引入到OSPF，再发布给CE 21和CE 22。图 16 OSPF在VPN中的使用如果使用标准的BGP/OSPF交互过程，PE 2将把BGP VPN路由通过Type5 LSAs（即ASE LSAs）发布给CE 21和CE 22。但CE 11与CE 21、CE 22是同一个OSPF域，它们之间的路由发布应该使用Type3 LSAs，即区域间路由。为了解决上述问题，PE使用一种经过修改的BGP/OSPF交互过程（简称为BGP/OSPF互操作功能），发布从一个Site到另一个Site的路由，将这种路由与真正的AS-External路由进行区分。这一过程需要BGP使用扩展团体属性，携带可以标识OSPF属性的信息。在实现中，要求每个OSPF域有一个可配置的域ID（Domain ID）。一般建议：与每个VPN实例相关的网络中的所有OSPF实例要么配置一个相同的域ID，要么都使用缺省的域ID。这样在收到BGP的VPN路由时，域ID相同的是来自同一VPN实例的路由。16.1.3 路由环的检测假设PE与CE之间通过OSPF骨干区域相连，且同一个VPN站点（Site）连接到多个不同PE。这种情况下，当一个PE通过LSA向VPN站点发布从MPLS/BGP学的BGP VPN路由时，LSA可能被另一个PE接收到，造成路由环。为了防止产生路由环，对于从MPLS/BGP学到的BGP VPN路由，无论PE与CE间是否通过OSPF骨干区域相连，PE在生成Type3 LSA时，都会设置标志位DN。PE路由器的OSPF进程在进行路由计算时，忽略DN置位的Type3 LSAs。如果PE需要向CE发布一条来自其它OSPF域的路由，则PE应表明自己是ASBR，并将该路由作为Type5 LSA发布。16.2、 OSPF伪连接通常情况下，BGP对等体之间通过BGP扩展团体属性在MPLS VPN骨干网上承载路由信息。另一端PE上运行的OSPF可利用这些信息来生成PE到CE的Type3 summary LSA，这些路由是区域间路由。如图 17所示：在OSPF的PE-CE连接中，同一个OSPF区域中有两个Site连接到不同的PE，两个Site属于同一个VPN，它们之间存在一条区域内OSPF链路（backdoor link）。这种情况下，通过PE连接两个Site的路由将作为区域间路由（Inter-Area Route），由于其优先级低于经过backdoor链路的区域内路由（Intra-Area Route），不会被OSPF优选。图 17 Sham-link应用示意图上述情况导致VPN流量总是通过后门路由转发，而不走骨干网。为了避免这一问题，可以在PE路由器之间建立OSPF伪连接（Sham-link），使经过MPLS VPN骨干网的路由也成为OSPF区域内路由。Sham-link作为区域内的一条点到点链路，包含在Type1 LSA中发布。用户可以通过调整度量值在Sham-link和backdoor之间进行选路。Sham-link被看成是两个VPN实例之间的链路，每个VPN实例中必须有一个Sham-link的端点地址，它是PE路由器上VPN地址空间中的一个有32位掩码的Loopback接口地址。同一个OSPF进程的Sham-link可以共用端点地址，但不同OSPF进程不能拥有两条端点地址完全相同的Sham-link。Sham-link的端点地址被BGP作为VPN-IPv4地址发布。如果路由经过了Sham-link，它就不能再以VPN-IPv4路由的形式被引入到BGP。Sham-link可以在任何区域配置。Sham-link需要手工配置，并且，本端VPN实例中必须有到Sham-link目的地址的路由。16.3、 Multi-VPN-Instance CEOSPF多实例通常运行在PE