IP承載網(wǎng)MPLS VPN路由過濾優(yōu)化方案

徐華 武紅然 宋曄青

摘 要：IP承載網(wǎng)采用三層MPLS VPN方式實(shí)現(xiàn)各節(jié)點(diǎn)互通，VPN業(yè)務(wù)地址往往采用私網(wǎng)地址，業(yè)務(wù)地址各VPN復(fù)用，若不進(jìn)行vpn路由過濾，一方面是各站點(diǎn)收到的路由條目多，另一方面非常容易出現(xiàn)業(yè)務(wù)地址沖突問題，引起路由震蕩。本文從IP承載網(wǎng)PE和業(yè)務(wù)網(wǎng)絡(luò)CE兩個(gè)方面路由過濾優(yōu)化，減少網(wǎng)絡(luò)碎路由和業(yè)務(wù)地址沖突引起網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

關(guān)鍵詞：IP承載網(wǎng)；MPLS VPN；路由過濾

一、基礎(chǔ)知識(shí)概述

（一）MPLS基礎(chǔ)

MPLS，稱為多協(xié)議標(biāo)簽交換，能夠代替原有路由表轉(zhuǎn)發(fā)，使用標(biāo)簽（label）進(jìn)行轉(zhuǎn)發(fā)，MPLS標(biāo)簽插入在二層報(bào)頭之后，IP報(bào)文頭之前，它的報(bào)文結(jié)構(gòu)是一個(gè)固定長度的數(shù)值，只有4個(gè)字節(jié)，比IP報(bào)文結(jié)構(gòu)簡單，代替復(fù)雜的IP報(bào)文轉(zhuǎn)發(fā)，提高了轉(zhuǎn)發(fā)效率。

（二）L3 MPLS VPN

支持三層路由方式的MPLS VPN解決方案，使用BGP在運(yùn)營商骨干網(wǎng)上發(fā)布和轉(zhuǎn)發(fā)VPN路由。通常L3 MPLS VPN 由用戶網(wǎng)絡(luò)設(shè)備CE（Customer Edge）、運(yùn)營商接入設(shè)備PE（Provider Edge）和運(yùn)營商骨干設(shè)備P（Provider）組成。通常用戶CE設(shè)備與運(yùn)營商接入設(shè)備PE相連，但不需要配置VPN，不需要支持MPLS；運(yùn)營商PE設(shè)備需要配置VPN并支持MPLS；運(yùn)營商P設(shè)備只需要具備MPLS轉(zhuǎn)發(fā)能力，不需要維護(hù)用戶VPN。

在MPLS/BGP VPN中，同一VPN的兩個(gè)site（站點(diǎn)）之間轉(zhuǎn)發(fā)報(bào)文通常使用兩層標(biāo)簽，在網(wǎng)絡(luò)入口PE設(shè)備上為報(bào)文打上兩層標(biāo)簽，外層標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換，建立從一端PE到對(duì)端PE的一條隧道，VPN報(bào)文打上這層標(biāo)簽，就可以沿著標(biāo)簽轉(zhuǎn)發(fā)路徑到達(dá)對(duì)端PE，然后再使用內(nèi)層標(biāo)簽來區(qū)分不同的VPN。

VPN實(shí)例是由各個(gè)站點(diǎn)建立連接和維護(hù)的專門實(shí)體，通常指用戶專網(wǎng)。VPN用戶按照VPN路由轉(zhuǎn)發(fā)表，實(shí)現(xiàn)VPN路由和IP路由的隔離。運(yùn)營商通常通過PE設(shè)備接入一個(gè)或多個(gè)VPN用戶。運(yùn)營商PE上包括一個(gè)公網(wǎng)路由轉(zhuǎn)發(fā)表，一個(gè)或多個(gè)VPN路由轉(zhuǎn)發(fā)表。PE上的各VPN之間相互獨(dú)立，相互隔離。

用戶要通過VPN發(fā)布自己的私網(wǎng)路由，多個(gè)VPN用戶IP地址可以復(fù)用，那么PE通過什么方式來區(qū)分不同的VPN呢？PE VPN實(shí)例通過路由標(biāo)識(shí)符RD（Route Distinguisher）實(shí)現(xiàn)地址隔離，由64bit的固定標(biāo)識(shí)RD和用戶IP地址組成VPNv4的地址來區(qū)分不同的用戶路由。通過64bit VPN target屬性標(biāo)識(shí)路由喜好，實(shí)現(xiàn)相同vpn的路由互通，不同vpn的路由隔離。

（三）承載網(wǎng)vpn結(jié)構(gòu)

如圖所示：用戶接入設(shè)備CEA1（中心端）連接至運(yùn)營商IP承載網(wǎng)PE-A設(shè)備，通過IP承載網(wǎng)PE-A-P-B——PE-C網(wǎng)絡(luò)連接至CEA2（分點(diǎn)）和CEA3（分點(diǎn)）。PE與CE之間運(yùn)行BGP、ospf或靜態(tài)路由等，并建立vpna，將vpnv4的路由在IP承載網(wǎng)IP路由中傳遞，實(shí)現(xiàn)CEA1與CEA2，CEA1與CEA3的互通。我們?nèi)绾芜M(jìn)行路由過濾，實(shí)現(xiàn)PE-A收到的路由條目盡量少，僅收到中心端指定的路由，收到各分點(diǎn)的匯總路由，且CEA2和CEA3僅收到CEA1中心端的路由，不收對(duì)方分點(diǎn)的路由呢？

二、路由優(yōu)化

針對(duì)減少IP承載網(wǎng)收到的業(yè)務(wù)vpn碎路由，減少路由條目，提出了以下解決方法：

（一）IP承載網(wǎng)路由過濾優(yōu)化

（1）PE設(shè)備路由過濾列表建議改成不收業(yè)務(wù)網(wǎng)絡(luò)（CE）中廣播的小于一個(gè)C的路由，且僅收指定地址的路由。

通過定義白名單前綴列表，指定業(yè)務(wù)IP地址，定義BGP路由策略（不收業(yè)務(wù)網(wǎng)絡(luò)中廣播的小于一個(gè)C的路由）、匹配前綴列表，在vrf的鄰居CE中入方向引用策略。

（2）PE設(shè)備不接收業(yè)務(wù)網(wǎng)絡(luò)中直連路由。

（二）CE側(cè)路由過濾優(yōu)化

（1）CE對(duì)本地業(yè)務(wù)地址的明細(xì)路由進(jìn)行匯聚后再發(fā)到IP承載網(wǎng)上。采用定義策略路由，僅允許匯聚后的路由，在PE鄰居出方向引入。

（2）CE對(duì)從IP承載網(wǎng)上接收的路由進(jìn)行過濾，只接收中心端路由。定義策略路由，在PE鄰居入方向引入。

三、分析總結(jié)

本文從IP承載網(wǎng)PE和業(yè)務(wù)網(wǎng)絡(luò)CE兩個(gè)方面路由過濾優(yōu)化，減少網(wǎng)絡(luò)碎路由和業(yè)務(wù)地址沖突引起網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)安全性和穩(wěn)定性。我們?cè)谕ǔ？梢圆捎貌呗月酚蛇^濾法（Route Maps）實(shí)現(xiàn)特定路由重分布（Redistribution）和策略路由轉(zhuǎn)發(fā)（Policy Routing）及BGP實(shí)現(xiàn)；通過分布列表過濾法（Distribute-list），控制路由條目的分發(fā)及路由的重發(fā)布，建立路由防火墻，控制通告/接收的路由條目；通過前綴列表過濾法（Prefix-list），過濾特定路由協(xié)議分發(fā)的Routes；通過AS-Path過濾法，根據(jù)BGP的AS-Path屬性過濾BGP分發(fā)的路由條目等等。充分利用路由器的路由過濾策略，防止路由器選擇非最佳路由，防止路由回饋——被重分布出去的路由又被重新分布回來，控制路由重發(fā)布，減少網(wǎng)絡(luò)中垃圾路由的條目，減少路由收發(fā)沖突引起的故障。