重新认识MPLS VPN(3)

重新认识MPLS VPN（下）

前面讨论了MPLS VPN网络转发平面的问题，尤其是它们怎样通过在每个PE上保持独立的信息表，以及通过独立的LSP来连接与每张表相关的传输流，以此来保持专用性。不过，现在还存在一个控制平台的问题——即每张信息表中包含的本地可达性信息如何分发给其他PE？

请记住，MPLS VPN的基本目的之一就是在公共的、共享的基础设施上支持多个服务，这就要求在PE之间通告本地可达性信息也应当由单一的、共享的协议来处理——这正是实际当中正在使用的BGP。

使用BGP的重叠问题

不过，一般在使用BGP在VPN之间传递所有可达性信息时，会带来一个问题：如果来自每个PE的所有可达性信息都进入共享的BGP表，并利用相同的BGP更新消息公告，那么每个VPN的信息又如何保持其专有性呢？重叠的信息又当如何呢？例如，3层VPN用户A、B和C可能都使用来自10.0.0.0/8专用地址空间的地址来寻址他们的网络。如果在PE1上，用户A、B和C每人都有一个连接的站点，每个站点的地址都来自10.1.1.0/24。那么在本地PE1内，三个重叠的地址前缀就被站点的独立连接和独立的信息表所隔离，用户A站点公告的10.1.1.0/24被保持在用户A的VRF中，用户B和C的站点公告信息也都被保持在各自的VRF中。

但是，现在PE1必须利用单一BGP过程向网络中的所有其他PE公告这三个地址前缀（这些前缀在数字上是一样的，但实际是不同的，因为它们属于三个不同的用户）。因此，前缀10.1.1.0/24被添加到来自三个不同的VRF的BGP表中；为了让事情变得更有趣，假设用户D和E也从连接在网络中其他PE的站点公告10.1.1.0/24。从BGP角度看，它只是收到了连接同样目的地（而不是5个不同目的地）的5个不同的路由。在每个PE上，BGP只选择它认为是连接到10.1.1.0/24的最佳路由的路线，并把它安装到所有本地VRF中。这显然不是我们希望见到的事情。

为了支持这些重叠的地址，我们必须满足两个要求：
（1） 我们需要一种把相同的地址前缀变成唯一的标识机制，使BGP不把它们解释为连接同样目的地的多个可达性公告；
（2） 我们需要一种围绕地址前缀设置策略的方法，这样我们可以控制什么前缀被接收到什么信息表中。

第一个要求可利用路由识别符（RD）来实现。RD是加在地址前缀前面的64位值，它将地址前缀与特定的VPN用户建立联系。VPN服务提供商为每个用户（也可能是每个用户站点）分配唯一的RD。RD被加在每个用户通告的每个地址前缀前面，然后地址前缀再被添加到BGP表中。

在我们5个公告10.1.1.0/24的不同的VPN用户的例子中，RD可以按以下方式添加：
用户A，站点1：1:1:10.1.1.0/24
用户B，站点1：2:1:10.1.1.0/24
用户C，站点1：3:1:10.1.1.0/24
用户D，站点2：4:2:10.1.1.0/24
用户E，站点3：5:3:10.1.1.0/24

你可以很容易看到由于RD，5个数字相同的地址前缀现在变成唯一的了。但是它们也不再是IPv4地址了。添加RD构成的地址属于所谓的VPN-IPv4地址族。由于BGP除了通告缺省的IPv4地址族外，还必须通告这种VPN-IPv4地址族，因此我们使用多协议BGP（即MBGP）。