商业虚拟专用网络技术十四 BGP/MPLS技术扩展

一、BGP/MPLS技术扩展

1、BGP/MPLS VPN企业内网使用

1.1、BGP/MPLS VPN组网的不足

1.1.1、企业内网结构

接入层：主要负责工作组的接入和访问控制，由于分散所以流量一般较小，所需要设备通常为比较低端的百兆级二层交换机。

汇聚层：所有接入层流量（星型），对流量实施管理和策略；主要负责路由路由的汇聚和流量的收敛，路由表规格较大，所需设备性能要求较高通常为千兆级的路由器或交换机。

核心层：路由转发，高速转发，nat，QOS；主要负责高速的数据交换，此层次的路由器或交换机性能最强，往往会采用万兆级的路由器或交换机。

企业内部网层次化组网，对于设备的性能要求分层次。

1.1.2、BGP/MPLS VPN在企业内部网中问题

BGP/MPLS VPN目前也广泛应用于企业内部网，优势在易于区分企业内部的不同业务，企业内部网中可以通过RT的设计，灵活的控制各个VPN之间的互访关系，这样就解决了企业内部关系复杂各业务连接，没有使用BGP/MPLS VPN内部网大量使用访问控制列表，配置维护相当复杂。而使用了这一技术可以将不同的业务分配在不同的VPN里，如人事VPN1、财务VPN2、后勤VPN3、行政VPN4等不同的划分，通过设置各业务VPN的RT值，就能控制各业务单位的互访。目前使用BGP/MPLS VPN较多的是政府、电力等行业。

由于BGP/MPLS VPN的组网模式有一个特点是网络扁平化，是指所有PE设备没有层次，PE在整个框架中是对等关系，无论处于网络中哪个位置，对性能的要求都是相同的。这也导致在企业内部网的层次化与网络扁平化的问题。因为其中某些PE存在性能和扩展性问题，实际上也制约了整个网络VPN业务的广泛覆盖能力与进一步的扩展能力。

为什么会产生以下的问题？
(1)、PE设备必须学习全网的其他PE设备的Loopback地址明细路由，并建立起起到所有PE的隧道。
有多少个PE设备就有多少条明细路由，PE与PE之间通过Loopback地址建立LSP隧道，这样PE的路由表项相当的大，并且公网不能进行路由聚合，一旦聚合后，没有具体Loopback地址，隧道将会中断。

(2)、私网路由在任一一个PE上发布后，其它PE设备都将学到这一私网的路由。
这是PE设备都在一个AS内，通过IBGP传递私网路由，私网路由进入BGP/MPLS VPN将不会进行聚合。所有PE设备都将学习到相同的私网路由。

这两项原因就是PE的路由表项过大，这样对于分层次的网络是相当不友好，低层的设备和中层设备、高层设备性能不一样，低层设备很难支撑这样大量的路由表项，导致这种由于平面化模型不能充分利用网络各层次的能力，必须采用高档次的PE设备，增加了网络建设的成本的不现实的状况。上图中接入层都要更换为三层千兆级交换机。

1.2、MCE和HoVPN两种方案

1.2.1、MCE方案

MCE（Multi-VPN-Instance CE，多实例CE）具有MCE功能的设备可以在BGP/MPLS IP VPN组网应用中承担多个VPN实例的CE功能，减少用户网络设备的投入。

MCE将PE的部分功能扩展到CE设备，通过将不同的接口与VPN绑定，并为每个VPN创建和维护独立的路由转发表（Multi-VRF）。这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。

MCE是一种特殊设备，将PE改成MCE后，MCE设备属于私网侧，性能要求降低。

将PE改成MCE后

MCE技术将原来低层接入层的PE设备改成MCE设备，由于原来的公网MPLS域改成私网用户。降低对这些设备的性能要求。图中MCE从VPN1学到的路由信息，存放到VRF1中，PE从MCE学到的VRF1的路由信息，存放到VRF1中。

MCE有以下技术特性：
(1)、MCE设备通过实现多VRF技术，可同时作为多个VPN用户的CE设备。
(2)、PE和CE之间通过划分多个逻辑通道，每个逻辑通道与不同的VPN进行绑定，对于PE设备而言，就象是每一个逻辑口都接入了一台普通的CE设备。
(３)、MCE设备实现私网用户与PE之间的私网路由交互。MCE设备也如PE设备一样运行路由多实例，将多个VPN的路由协议与对应的VPN进行绑定。

MCE与VPN站点之间、MCE与PE之间可以使用静态路由、RIP、OSPF、IS-IS、EBGP或IBGP交换路由信息。

MCE代替原来PE设备完成VPN用户接入工作。MCE设备通过实现多VRF技术，每个虚拟路由器包含自己的一组接口。在MCE的接口上将其与VPN实例关联，从接口接收和发送的报文，被认为是关联VPN内的报文，并通过查找该VPN对应的转发表进行转发。这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。

MCE技术的优点：
(1)、MCE设备的功能要求简单。仅需支持多VRF技术，无需支持MP-BGP及MPLS等作为PE设备需的技术。
(2)、MCE设备的路由等方面要求低。一是MCE设备无须学习公网路由，无须维护到其他PE的LSP；另一方面MCE上连的PE设备可以将私网路由汇聚后再发布给MCE，对路由性能要求降低。
(3)、MCE技术对实现BGP/MPLS VPN组网无须增加新技术，改造非常方便。
MCE技术的缺点：
(1)、MCE和PE之间需要开设多个逻辑通道，采用多个物理接口成本太高。
(2)、MCE设备接入的VPN数量较多时，PE和CE之间需要配置大量的逻辑通道，每一个逻辑通道都要规划互联地址，需要较多的私网地址资源，配置维护比较麻烦。
(3)、将PE改成MCE后，该设备从公网设备转变成私网设备，默认公网的网管无法管理该设备，需要在PE和CE之间开设专门的管理接口。

1.2.2、HoVPN

HoPE(Hierarchy of PE，分层PE)，可以将PE分为任意多个层次，实现无限扩展与延伸。分层VPN（Hierarchy of VPN，简称HoVPN）解决方案将PE的功能分布到多个PE设备上，多个PE承担不同的角色，并形成层次结构，共同完成一个PE的功能。因此，这种解决方案有时也被称为分层PE（Hierarchy of PE，HoPE）。

HoVPN对处于较高层次的设备的路由能力和转发性能要求较高，而对处于较低层次的设备的相应要求也较低，符合典型的分层网络模型。

直接连结用户的设备称为下层PE（Underlayer PE）或用户侧PE（User-end PE），简写为UPE；连结UPE并位于网络内部的设备称为上层PE（Superstratum PE）或运营商侧PE（Sevice Provider-end PE），简写为SPE。
多个UPE与SPE构成分层式PE，共同完成传统上一个PE的功能。

SPE可以对私网路由进行聚合，聚合后合成一条默认路由发给UPE设备，改变路由的下一跳属性，将下一跳修改为自己的Loopback地址。UPE设备收到的私网路由数量极大的减少，通常只有一条默认路由，收到私网路由的下一跳是与连接的SPE设备，UPE到SPE之间只需要一条隧道，到达SPE后解封成私网报文，再经SPE通过私网路由表进行转发。可以看到UPE上是一条汇聚后路由，不需要各个PE的Loopback地址。SPE设备负担减小。

1、SPE与UPE的分工

• UPE 的作用：
  主要是用户的接入，只维护其直接连接的 VPN 站点路由，但不维护其它远端站点的路由或仅维护它们的聚合路由。UPE 为其直接连接的站点的路由分配内层标签，并通过 MP-BGP随VPNv4 发布这个标签给 SPE。

• SPE 的作用：
  主要是 VPN 路由的维护及扩散，需要维护 VPN 的所有路由，包括本地和远程站点中的路由。SPE 不向 UPE 发布远程站点的路由，只发布VPN-instance 默认路由(携带标签的 VPNv4 路由或聚合路由)，也可以是通过路由策略的路由信息。通过后者可以实现对同一 VPN 下不同站点之间互访的控制。

• UPE和SPE之间采用标签转发
  只需要一个接口连接，SPE不需要使用大量接口来接入用户。UPE和SPE之间的接口可以是物理接口、子接口（如VLAN，PVC）或隧道接口（如LSP）。采用隧道接口时，SPE和UPE之间可以相隔一个IP网络或MPLS网络，UPE或SPE发出的标签报文经过隧道传递。

SPE和UPE的这种分工体现了不同层次PE的特点：SPE的路由表容量大，转发性能强，但接口资源较少；UPE路由和转发性能较低，但设备数量多，接入能力强，而且可以就近接入。HoPE充分利用了SPE的性能和UPE的接入能力。

需要说明的是，UPE和SPE实际上是相对的概念。在多个层次PE的结构中，上层相对于下层就是SPE，下层相对于上层就是UPE。

2、SPE与UPE的分工
SPE和UPE之间运行的MP-BGP，可以是MP-IBGP，也可以是MP-EBGP。这取决于SPE和UPE是否在一个AS内。

SPE发布给UPE的VPN-instance缺省路由可以用命令行配置发布。

3、HoPE的演进

PE初期部署在汇聚层。当汇聚层接口数目不足时，扩展到接入层，接入层充当UPE，汇聚层充当SPE；当汇聚层路由容量不够时，扩展到核心层，核心层充当SPE，汇聚层充当UPE；当两种情况都发生时，形成3层结构，汇聚层充当MPE（中间层PE）。这种演进方式非常适合城域网的结构。

3、HoVPN的嵌套与扩展
HoVPN支持分层式PE的嵌套：

• 一个分层式PE可以作为UPE，同另一个SPE组成新的分层式PE；
• 一个分层式PE可以作为SPE，同多个UPE组成新的分层式PE；
• 以上这两种嵌套可以多次进行。
  通过分层式PE的嵌套，理论上可以将VPN无限扩展。
  ![HoVPN的嵌套与扩展]](https://img-blog.csdnimg.cn/551799432b1c4fb39cd9291f29c9ade2.png#pic_center)

2、MPLS VPN跨域技术

MPLS的体系结构中有一个重要的假设：MPLS域与路由的自治系统域是重叠的。但实际组网中，例如企业网络以一个省为一个自治系统，要求跨省提供MPLS VPN业务;又如企业分支之间相互合作，特别是国际业务与国外运营商之间的合作，经常有MPLS域跨越多个自治系统的情况。当MPLS域跨越多个自治系统时，就会出现跨域问题。对于BGP MPLS VPN来说，跨域问题有两个方面：首先是一个技术问题，如何 把VPN路由和VPN标签扩散到另一个AS;其次是管理问题：一般不允许跨域建立LSP。

• VRF-to-VRF跨域：
  在ASBR(AS Border Router，自治域边界路由器)上为每个VPN创建VRF，在每个VRF中，把对方的ASBR看作CE。这样，报文在每个域中是两层标签转发，在ASBR之间则是IP转发。这种方法的优点是域间不需要运行MPLS，不需要跨域建立LSP，良好地解决了管理问 题。其缺点是每个跨域的VPN需要在ASBR上创建VRF，同时还要占用一个子接口，扩展性不足。
  
  在PE和ASBR之间运行MP-IBGP协议交换VPN-IPv4路由信息。ASBR上创建VRF，为每个VPN创建一个VPN实例和一个逻辑接口。两个ASBR之间可以运行普通的PE-CE路由协议（BGP或IGP多实例）或静态路由来交互VPN信息；但这是不同AS之间的交互，建议使用EBGP。

• MP-EBGP跨域：
  通过直接相连的ASBR传播VPN路由，并且为VPN路 由分配标签。这种方法的优点是不需要为每个VPN分配子接口;缺点 是ASBR也需要维护VPN路由，并且跨域需要建立LSP。
  

ASBR接收本域内和域外传过来的所有跨域VPN-IPv4路由，再把VPN-IPv4路由发布出去。但MPLS VPN的基本实现中，PE上只保存与本地VPN实例的VPN Target相匹配的VPN路由。通过对标签VPN-IPv4路由进行特殊处理，让ASBR不进行VPN Target匹配把收到的VPN路由全部保存下来，而不管本地是否有和它匹配的VPN实例。

这种方案的优点是所有的流量都经过ASBR转发，使流量具有良好的可控性，但ASBR的负担重。可以同时使用BGP路由策略（如对RT的过滤），使ASBR上只保存部分VPN-IPv4路由。

• Multi-Hop MP-EBGP跨域：
  这种方式在跨域的VPN入口/出口PE 之间直接建立Multi-Hop MP-EBGP对等体，通过这种连接传递 VPN路由信息。这种方法不占用ASBR子接口，也不需要维护VPN路由， 但跨域建立了LSP，需要相互信任。
  
  BGP LSP主要作用是两个PE之间相互交换Loopback信息，由两部分组成，例如图中从PE1到PE3方向建立BGP LSP1，PE3到PE1方向建立BGP LSP2。为提高可扩展性，可以在每个AS中指定一个路由反射器RR，由RR保存所有VPN-IPv4路由，与本AS内的PE交换VPN-IPv4路由信息。两个AS的RR之间建立MP-EBGP连接，通告VPN-IPv4路由。

从理论上讲，MPLS VPN采用路由隔离、地址隔离和信息隐藏等手段抗攻击和标记欺骗，达到了FR/ATM级别的安全性。2003年前， 但是由于缺乏大量的实际运营例证，以及人们谈到IP就觉得不安全的 固有惯性，MPLS VPN的安全性还是遭到很多置疑。但随着应用的逐步广泛，同时很多客户对低成本、大带宽、便于扩展的VPN的需求越 来越明显，MPLS VPN逐渐成为一种基本的数据业务。