应用技巧：理解MPLS VPN（第二部分）

• 关 键 词：
• ipv4
• ip地址
• vpn

     应用技巧：理解MPLS VPN（第一部分）

    上一篇文章讨论了MPLS VPN网络的转发层面，特别是如何通过在每一个服务提供商端(PE)保持单独的信息表和把有关的通讯经过单独的LSP(分层服务提供程序)协议连接到每一个表以保持隐密性。

　　还有控制层面：每一个信息表中包含的本地可达信息是如何传播到其它服务提供商的?

　　要记住，MPLS VPN和MPLS的基本目标之一是在一个通用的、共享的基础设施上支持多项服务，本地可达信息在服务提供商之间的传播还应该由一个单独的和共享的协议处理。

　　它确实如此，使用GBP(边界网关协议)。(对于2层VPN和VPLS来说，你有使用LDP(标签分发协议)的替代方法。但是，在我的头脑中，这只是不必要地增加了一个协议。使用BGP支持所有的VPN功能对我更有意义。也许对于这个问题的支持和反对的讨论将成为以后的好文章)。

　　然而，普遍使用BGP在所有的VPN之间传送全部可达信息提出了一个令人担心的问题：如果每一个服务提供商端的全部可达信息进入一个共享的BGP表并且使用相同的BGP更新消息进行传播，如何保证每一个VPN信息的秘密呢?

　　重叠的信息会出现什么情况呢?例如，3层VPN用户A、用户B和用户C可能都使用10.0.0.0/8专用地址空间作为自己的网络地址。我们说，PE_1用户A、B和C每个用户都有一个连接的网站，没一个网站的地址是在10.1.1.0/24的范围之内并且是单独传送的。在本地的PE_1，通过网站分开的连接和分开的信息表把这三个重叠的前缀分开。因此，用户A网站播出的10.1.1.0/24地址保存在用户A的VRF(VPN路由转发)中。用户B播出的10.1.1.0/24地址保存在用户B的VRF中。用户C播出的10.1.1.0/24地址保存在用户C的VRF中。

　　但是，PE-1现在必须要播出数字相同、但是实际上却不同的这三个前缀，因为它们属于三个不同的用户，都属于在这个网络上使用一个BGP处理的其它服务提供商。因此，10.1.1.0/24前缀将通过三个不同的VRF添加到BGP表。更有趣的是，用户D和用户E也播出连接到这个网络上的其它服务提供商的网站的10.1.1.0/24地址。从BGP的观点看，它只是得到了通向同一个目的地的五个不同的路由，而不是五个不同的目的地。在服务提供商端，BGP仅选择它认为通向10.1.1.0/24地址的最佳路由，并且把它安装到所有本地的VRF。这显然不是我们要的东西。

　　要支持这些重叠的地址，我们需要满足两个要求：

　　(1)我们需要一个识别机制识别相同的前缀，并且把它们变成唯一的前缀，这样，BGP就不会把它们简单地解释为通向同一个目的地的多个可达通知。

　　(2)我们需要一个围绕前缀制定政策的方法，这样，我们就能够控制什么前缀能够进入什么信息表。

　　使用路由标识(RD，Route Distinguisher)能够满足第一个要求。路由标识是一个预先把一个前缀与一个具体的VPN用户关联起来的64位值。这个VPN服务提供商为每一个用户分配一个唯一的路由标识，并且可能为每一个用户网站分配一个路由标识。在这个前缀添加到BGP表的时候，这个路由标识将预先计划每一个用户发出的每一个前缀。

　　在我们提供的五个不同的VPN用户发出的10.1.1.0/24地址的例子中，路由标识可以按照下列情况预先计划：

　　- 用户A, 在站点1: 1:1:10.1.1.0/24

　　- 用户B, 在站点1: 2:1:10.1.1.0/24

　　- 用户C, 在站点1: 3:1:10.1.1.0/24

　　- 用户D, 在站点2: 4:2:10.1.1.0/24

　　- 用户E, 在站点3: 5:3:10.1.1.0/24

　　由于这些路由标识，你能够方便地看到这五个在数字上相似的前缀现在都是唯一的。

　　但是，这些地址的长度不能超过IPv4地址。通过预先计划路由标识创建的地址属于VPN-IPv4地址家族。由于除了默认的IPv4地址家族之外BGP必须要发送这种VPN-IPv4系列地址，我们要使用多协议BGP(MBGP)。