多角色主机在MPLS VPN中的实现

（辽宁工程技术大学 技术与经济学院,辽宁阜新）2007-4-13　王柱

摘要：在企业的MPLS VPN中可能存在一些特殊的主机，出于某种目的，它们需要与多个VPN进行通信。使用多角色主机的思想，通过在骨干网边缘路由器PE上配置策略路由和静态路由的方法，不但能够解决上述问题，而且配置容易、灵活性和可管理性更好。

关键词：MPLS VPN；VRF；RT；多角色主机

分类号：TP393.06 文献标识码：A

1 MPLS VPN基础知识

　　MPLS（Multi-Protocol Label Switching，多协议标签交换）是一种将具有相同转发处理方式的分组归为一类的分类转发技术[1]。其诸多优秀的组网特性非常适合组建VPN（Virtual Private Network，虚拟专网），在MPLS VPN中有CE（Custom Edge，用户接入设备）、PE（Provider Edge Router，骨干网边缘路由器）和P（Provider Router，骨干网核心路由器）三种路由器。
　　VRF（VPN Routing/Forwarding Instance，路由转发实例）：综合了各site的VPN成员关系和路由规则，包含了到达所有与本site属于同一个VPN的site路由信息，每个PE可以维护一个或多个逻辑上分离的VRF和一个公网的路由表。
　　RT（Route Target，路由目标）：用于表明一个VRF的路由属性，以实现不同VRF间的路由互通。PE中有两个RT属性集合：一个用于附加到从某个Site接收的路由上，即Export Target；另一个用于决定哪些路由可以引入此Site的路由表中，即Import Target。通过匹配路由所携带的RT属性，可以过滤PE接收的路由信息，获得VPN的成员关系。

2 多角色主机的实现

2.1 多角色主机
　　在MPLS VPN网络中，通常情况下CE是通过特定的接口与相应的VRF相关联的，这就决定了由同一个入接口接入PE的所有CE都属于同一个VPN。但在实际组网中，存在一些特殊的主机需要通过CE的一个物理接口访问多个VPN的需求（例如一些权限比较高的用户），或者被多个VPN用户访问的需求（例如一些被多个VPN用户访问的服务器）。利用多角色主机解决方案可以解决上述需求，其网络拓扑结构如图1所示：

　　在图中的MPLS VPN中，CE1通过Serial0/0/0接口接入PE1并与VPN1绑定，CE2通过Serial0/0/0接口接入PE2并与VPN2绑定，多角色主机PC1通过CE1接入，能够与VPN1和VPN2通信，而其它主机只能与所在VPN进行通信。

2.2 多角色主机的实现
　　在MPLS骨干网PE之间的基本路由交换配置完成后，以图1为例，实现多角色主机的基本思想是：一方面，为了使PE1（入口PE）能够将PC1（多角色主机）发来的报文转发给相应VPN的目的地址，需要在PE1上配置两个VRF，并为这两个VRF配置不同的RT属性，还需要配置针对PC1的IP地址的策略路由，并使用ACL（Access Control List，访问控制列表）规则对报文进行匹配，来区分报文对不同VPN的访问。这样，当PE1接收到来自VPN1中主机（包括多角色主机或其它主机）的报文后，首先根据报文的源地址识别发出报文的主机身份，如果是PC1，则根据配置的路由策略，使PC1访问不同VPN的报文同时在两个VRF中查找私网路由，获取要访问的目的VPN的信息并使用相应的VRF转发表转发该报文，最后该报文通过MPLS骨干网被送达相应VPN的目的地址。否则，根据主机所接入接口的VRF的RT属性来转发报文。需要注意的是，由于多角色主机需要访问多个VPN，因此在地址规划中要求多角色主机以及这些VPN中的地址都不能重叠。另一方面，为了使PE1下行到CE1的VPN2中主机发出的报文能够在PE1上VPN1的VRF中找到到达PC1正确的路由，需要将其路由引入到VPN1的VRF中（即在PE1上配置一条到达PC1的静态路由）。需要注意的是，多角色主机情况下的静态路由不同于普通静态路由，是通过一个VPN里面的静态路由指定其他VPN中的接口作为出接口来实现的。相应地在PE2中引入VPN2的直连路由，以便通过MP-EBGP（Multiprotocol Extensions BGP，多协议扩展BGP）向整个VPN2发布这条路由。

2.3 性能
　　使用通常做法（即在PE上设置不同的逻辑接口，然后通过对VRF属性的配置来实现特殊主机与多个VPN的通信）的缺点是：配置麻烦，会过多占用PE的资源，对使用者来说也很不方便。而利用多角色主机解决方案只需要配置一些策略路由和静态路由，具有较强的灵活性，同时对于ISP来说更容易管理。

 

 

参考文献
[1]王达等.虚拟专用网（VPN）精解[M].北京:清华大学出版社,2004.58.

作者简介：
王柱（1973-）,男,辽宁阜新市人,辽宁工程技术大学技术与经济学院讲师,天津大学计算机科学与技术学院硕士,研究方向:计算机网络应用。