冯振

[摘 要] MPLS VPN是在电信运营商的公网架构上为客户提供的私有专用网络，文章就如何通过公网实现不同用户的私网的连接，着重阐述了MPLS VPN的网络架构、基本原理以及路由传递等几个关键技术。

[关键词] MPLS VPN；网络架构；路由

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 19. 083

[中图分类号] TP311 [文献标识码] A [文章编号] 1673 - 0194（2017）19- 0196- 02

1 引 言

VPN（Virtual Private Network）是基于公网，利用隧道、加密等技术，为用户提供的虚拟专用网络。虚拟是因为它并不提供端到端的物理连接，专用是因为它可以为某一团体提供一个专用的网络，而他们并不关心公网情况如何。MPLS（Multi-Protocol Label Switch，多协议标签交换）是新一代IP骨干网络交换标准。它是IP技术与ATM技术的有机融合，吸收了IP路由技术灵活性和ATM交换技术简洁性的优点，在面向无连接的IP网络中引入了MPLS面向连接的属性，提供了类似于虚电路的标签交换业务。

2 MPLS VPN的网络架构及基本原理

MPLS VPN包含三种类型的路由器：CE路由器、PE路由器和P路由器。其中，CE路由器是用户网络边缘设备，有接口直接与服务提供商网络连接，CE可以是路由器或交换机，也可以是一台主机。CE无需知道VPN的存在，也不需要支持MPLS；PE路由器是服务提供商边缘路由器，也就是MPLS网络中的标签边缘路由器 （LER），它根据存放的路由信息将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交換路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。

2.1 VPN Site

VPN Site即VPN用户的站点，是VPN中的一个孤立的IP网络，该网络内部本身是IP互联的，但是和其他站点（或者是子网）一般来说不通过骨干网不具有连通性。CE通常是VPN Site中的一个路由器或三层交换设备甚至是一个主机。一个CE设备总是被认为处于一个单独的站点，但是一个站点可以同时属于多个VPN。

在MPLS VPN的连接模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对Site集合的划分，一个VPN就对应一个由若干Site组成的集合。

2.2 VRF及虚拟路由器

为了让PE路由器能区分是哪个本地接口上送来的VPN用户路由，在PE路由器上创建了大量的虚拟路由器，每个虚拟路由器都有各自的路由表和转发表，这些路由表和转发表统称为VRF（VPN Routing and Forwarding instances）。一个VRF定义了连到PE路由器上的VPN成员。VRF中包含了IP路由表，IP转发表，使用该IP转发表的接口集和路由协议参数和路由导入导出规则等等。每个PE都维护和管理一系列的转发表，其中一个转发表叫做“缺省的转发表”或者叫“全局转发表”；其他的转发表即VRF。全局的转发表存放的是公网的路由（保证SP网络中本身PE和PE，PE和P之间能够互通），VRF存储的是VPN站点的私有路由。

3 MPLS VPN的路由传递

3.1 CE与PE之间的路由交换

在PE上为不同的VPN站点配置VRF。PE上维护多个独立的路由表，包括公网和私网路由表（VRF），其中：公网路由表包含到达其他PE和P的路由，由骨干网的IGP产生；私网路由表包含本VPN可到达的路由（即属于该VPN的不同站点之间的路由）。

CE与PE之间通过采用静态路由或动态路由协议进行路由信息的交互。当Ingress PE从某个接口接收到来自CE的路由信息时，将该路由导入对应的VRF。

3.2 PE与PE之间的路由交换

PE与PE之间的路由交换本质上就是将PE上得VRF路由注入到MP-IBGP并通过MP-IBGP在PE间交换的过程。

PE通过维持IBGP确保路由信息被分发给所有其他的PE。当Ingress PE分发路由信息时，将同时携带路由所在VRF的RD，即将路由的IPv4地址前缀转化为VPN-IPv4地址。分发的具体路由信息（VPN-IPv4路由信息）包括：该路由的VPN-IPv4地址前缀、下一跳地址即Ingress PE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）、分配给该路由的VPN标签（用来标识属于哪个VPN或者说是哪个VRF）、该路由所在VRF的Export RT。

3.3 PE与CE之间的路由交换

PE与CE之间的路由交换即为MP-IBGP把路由注入到PE上的VRF然后通过PE与CE上运行的路由协议再分发给CE的过程。

当Egress PE收到路由信息时，将查看该路由的RT，如果RT和其任意VRF中任意一个Import RT相符时，就将该路由存入VPN-IPv4的路由表。在进行路由选择之后，将最优路由中的VPN-IPv4地址转化成IPv4地址（即去掉地址中的RD）导入到相应的VRF，私网标签保留，记录到转发表中，留做转发时使用。再由本VRF的路由协议引入并传递给相应的CE。发给CE时下一跳为接收端PE自己的接口地址。这样就完成了从MP-IBGP路由注入到VRF的过程。

4 总 结

MPLS VPN网络中，可以通过RD的引入将IP-V4地址转换成VPN-V4地址在网络中传播，解决私网地址重叠的困难；路由接收者可以通过RT来分辨相同的路由信息。

主要参考文献

[1]徐聚星.MPLS VPN关键技术分析与研究[J].软件导刊，2011（9）.

[2]李海华.BGP MPLS VPN安全性能分析与改进[J].微电子学与计算机，2011（11）.