MPLS VPN的优势、关键问题和采用BGP理由协议的理由

VPN有多种实现方式，本文列出了用MPLS实现的优势以及遇到的关键问题。

一、MPLS VPN的优势

MPLS采用一种对等体到对等体的服务模型，用户边缘设备只需要和服务商的边缘路由器形成对等关系即可，只建立一条链路，只是需要服务提供商了解用户的路由信息。VPN所要求的不同用户之间数据隔离如果通过路由策略或访问列表方式（静态VPN），手工配置复杂，而MPLS能形成一种天然的隧道，是通过LDP这种动态标签分发协议形成的。数据粘连标签在骨干网中通过隧道传输，也保证了路由的安全性。同时，MPLS可以很好地实施服务质量工程。

二、MPLS VPN面临的关键问题

VPN是一种从公共网中建立一个临时的、安全的链路。要解决的关键问题有5个：

1．方便建立链路。采用ATM那样的覆盖型VPN模型，手动配置，且在任意两个边缘用户设备间建立隧道（链路），这种静态特征的VPN方式（覆盖性VPN）无法满足要求，必须采用对等体到对等体模型，减少配置工作量，动态建立链路。
2．作为私有网络必须保证其私有性（安全性）。采用对等体到对等体VPN模型将用户的路由信息发送到了公网路由器www.luyouqiwang.com上，这种私网路由信息的安全性必须通过隧道保证。从上面两个问题分析得到，VPN必须采用对等体到对等体模型并能建立一种动态隧道。
3．不同VPN使用相同地址空间问题。服务提供商的边缘路由器（PE）可能要接入不同VPN，而这些VPN网络的地址是自己规划的，有可能相同。这首先要求PE必须为每个VPN建立一个独立的路由表（VRF，更为复杂的情况是一个VPN有多个VRF，每个VRF必须有唯一的RD），以防止不同VPN设备接收到而无安全性；其次再附加某种信息（RD）区分具有相同地址空间的本地VPN，RD和IP网络地址（VPNV4地址）一起能唯一地让所有的PE标识VPN网络。
4．VPN路由的注入问题。VPN路由传播到PE后，将VPN路由安全灵活地注入到指定的VRF中，才能完成安全正确的路由传递任务。但RD的不匹配会造成场点之间无法通信。这要求对VPN路由和VRF以某种方式进行标识匹配。实际中，采用了出RT作为路由的一种扩展属性标识VPN路由，并用入RT标识VRF对VPN的路由匹配属性，而且这种经过扩展的路由只能由BGP路由协议(MP-iBGP)在两个PE间传播。因此VPN路由的传播靠MP-BGP。
5．VPN报文在接收端PE的转发问题。VPN报文通过隧道传到PE后，需要将该报文转发给正确的CE或者说查找正确的VRF转发。这通过在报文上添加私有标签（VPN标签实现）。带有标签的报文被路由器通过查找LFIB(标签转发信息库)来去掉标签成为IP报文到CE。私有标签由MP-BGP产生，并随私网路由传播。报文粘连标签可以通过查找VRF表完成的。

三、MPLS VPN采用BGP理由协议的理由

BGP是一种具有扩展性、实施扩展策略的路由协议。对于MPLS VPN来说，

1.VPN路由数据可能非常大，BGP是唯一支持大量路由的路由协议。

2.BGP是为不直接相连的路由协议交换信息而设计的，这使得骨干路由器中无须包含VPN路由信息。

3.BGP可以运载附件在路由后的任何信息作为可选的BGP属性（RT、RD和私网标签，扩展后的BGP称为MP-BGP），而且任何不了解这些属性的BGP路由器都将透明的转发它们，这使在PE路由器间传播路由非常简单。（文/厨房大勺）