BGP/MPLS VPN标准化进展

    1999年3月，因特网任务工作组(IETF)发布了由Cisco公司提出的RFC2547，描述了一种运营商通过IP骨干网为用户提供虚拟专用网(VPN)业务的方法。该方法使用扩展的BGP(边界路由协议)作为通过运营商的骨干网分发VPN路由信息，使用多协议标记交换(MPLS)在VPN用户站点之间转发VPN流量。提出该方法的主要目的是为了运营商向企业提供企业网外包服务。这种方式对企业非常简单，同时对运营商是可扩展的和灵活的，在提供IP业务的同时提供VPN业务，从而增加收入。
    PPVPN(Provider Provisioned VPN)指由运营商参与管理和实施的VPN，IETF PPVPN工作组正在致力于这方面的研究工作，包括以下三种方式的VPN：基于RFC2547的BGP/MPLS VPN(RFC2547bis，将废止RFC2547)，虚拟路由器（VR）以及基于端口的VPN (比如运营商在IP上提供ATM/FR/Ethernet等二层接口)。另外，该工作组也正在研究跨自制域(AS)或跨运营商的VPN的互联问题。
    与RFC2547相比，RFC2547bis(截止2002年7月的draft)主要变化在于完善了通过BGP分发VPN路由的说明，增加了维护正确的路由隔离、运营商的运营商、跨运营商、VPN的管理、Internet接入等内容。本文将介绍的重点放在用户目前最关心的几个问题上：如何跨自治系统；如何接入Internet；安全性；可扩展性。

一、 结构模型
    BGP/MPLS VPN是一种基于网络的VPN，运营商为用户提供的是三层IP路由服务，适用于以下情形。
    对客户而言：
    客户不希望管理路由骨干网。客户在它的站点内可能使用路由，但希望把站点间的路由外包给运营商。
    客户希望运营商组建骨干网，并且它的路由对用户路由完全透明。如果客户在它的站点内有一个路由基础设施，那么他不希望它的站点的路由算法需要知道运营商骨干网的任何一部分，除非是该站点连接的PE路由器。特别是客户并不希望它的路由器了解运营商骨干网的结构，或是穿越运营商骨干网时用的隧道拓扑。
    客户希望在自己完全专用的VPN内发送IP包。
    对运营商而言：
    运营商拥有IP骨干网，可能是支持MPLS的。
    运营商希望提供满足客户以上要求的一种业务。
    运营商不希望为每个VPN用户维护完全不同的隧道重叠拓扑。
    1. CE设备
    假设每个用户站点拥有一个或多个客户边缘(CE)设备。通过某种形式的数据链路( 如PPP、ATM、Ethernet、FR以及GRE等)，每个CE设备连接到一个或多个运营商边缘(PE)路由器上。把运营商网络中不与CE相联的设备称为“P路由器”。
    CE路由器只与和它直接连接的PE建立路由对等关系，并彼此传播VPN路由信息。CE不与其他站点中的CE路由器建立路由邻接关系，也不直接交换路由信息。
    如果某站点只有一台主机，那么该主机可以就是CE设备。如果某站点只有一个子网，那么CE设备可以是一台交换机。一般而言，可以认为CE是一台路由器，能够与和它直接相联的PE路由器建立邻接关系。建立邻接关系后，CE把VPN本地站点的路由信息通告给PE，并从PE学习该VPN其它站点的路由信息。
    2. PE路由器
    PE路由器与CE设备连接，连接的一端是PE的接口或子接口(PVC、VLAN、GRE隧道等)，另外一端是CE设备。每个PE为每个与它直接相连的站点维护一个虚拟路由转发表(VRF)，并把每个客户的连接映射到一个特定的VRF。当一个PE维护路由信息时，只需维护与它直接连接的VPN的路由。当PE从CE接收到一个包时，因为它知道该包到达的接口或子接口，因此可以据此确定处理该包时应该使用的是哪个VRF。
    PE路由器与CE路由器交换路由信息的方式可以是静态路由、RIPv2、OSPF或EBGP等。PE路由器在从CE路由器学习到本地VPN路由后，使用内部BGP(IBGP)与其他PE路由器交换VPN路由信息。部署路由反射器能够增强该模型的可扩展性。
    3. P路由器
    P路由器是运营商网络中的不与CE设备连接的任何路由器。当在PE路由器之间转发VPN数据流量时，P路由器作为MPLS转接LSR。因为通过MPLS骨干网转发流量使用的是两级标记栈，因此P路由器只需要维护到该运营商的PE路由器的路由，不需要为每个客户站点维护特定的VPN路由信息。

二、 跨越不同的运营商
    由于我们国家地域广阔，因此目前的全国性的IP骨干网络通常被划分为多个自治系统(AS)。AS是同一个技术管理下的一组路由器，共享同一路由选择策略的一组路由器。
    当一个VPN的两个站点连接在不同的AS上时，连接到该VPN的PE路由器无法维护彼此之间(或通过一个公用路由反射器)的IBGP连接，因此需要使用外部BGP(EBGP)以某种方式分发VPN-IPv4地址。RFC2547bis提出了以下三种方案可供选择，其可扩展性依次增加。根据我们的了解和测试，目前大多数设备厂商已经能够支持选项2。
    1． 在AS边界路由器上的VRF-to-VRF连接
    在这种方案中，把一个AS中的一台PE路由器直接连接到另外一个AS中的一台PE上。这两台PE路由器将通过多个子接口连接，需要把路由在AS之间传递的每个VPN至少有一个子接口。每个PE都把对方看做是一个CE路由器。也就是说，PE把这种子接口与一个VRF关联起来，并使用EBGP彼此分发未标记的IPv4地址。这种方案的优点是不要求两个AS之间的边界路由器都支持MPLS，但其可扩展性不好，因为每个PE都需要装载进对方PE中的路由，PE的负担很大。
    2．在邻接的AS间使用EBGP 分发标记的VPN-IPv4路由
    在这种方式中，PE路由器使用IBGP，把标记后的VPN-IPv4路由重新分发到一个AS边界路由器(ASBR)或到一个路由反射器(这时ASBR是一个客户)。该ASBR接着使用EBGP把这些标记后的路由重新分发到另一个AS中的ASBR，这个ASBR接着把它所收到的路由分发给该AS中的PE路由器或给另外一个ASBR，在后一种情况下另一个ASBR会继续分发这些路由。
    该过程要求从一个包的入口PE到它的出口PE之间存在一条LSP。因此，沿着此路径的AS组之间必须存在信任关系。同样，这组运营商之间必须签有合同，规定哪个边界路由器应该接收哪个路由目标(RT)路由。
    3． 在源和目的地AS之间使用多跳EBGP重新分发带标记的VPN-IPv4路由
    在该过程中，ASBR既不维护也不分发VPN-IPv4路由。ASBR必须维护它的AS中的到PE路由器的已标记的IPv4/32路由。它使用EBGP把这些路由分发给其他AS。任何做转接的ASBR同样必须使用EBGP传递已标记的/32路由。这将导致产生从入口PE路由器到出口PE路由器的一条标记交换路径(LSP)。这时不同AS中的PE路由器能够建立起彼此之间的多跳EBGP连接，并且能够在这些连接上交换VPN-IPv4路由。
    为了改善可扩展性，可以让多跳EBGP连接只存在于不同的AS的路由反射器之间（但当路由反射器通过该连接分发路由时，他们并不修改该路由的BGP Next-Hop属性）。PE路由器将只具有到其自己的AS路由反射器的IBGP连接。该过程非常类似于“运营商的运营商”的情形，要求在一个包的入口PE和出口PE之间存在一条 LSP.

三、 支持Internet接入
    很多VPN站点需要同时接入公用Internet和其他VPN站点，下面介绍一些可选方案。这里必须强调的是在默认情况下，VRF和默认转发表之间没有路由的交换；只有在一个客户和Internet服务提供商(ISP)签署合同，并且满足该客户的策略要求时才会发生。
    1． 非VRF接入方式
    为了让一个VPN中的站点访问Internet，可以在该VPN中的一个或多个站点上设置“Internet网关(如防火墙)”，一端通过非VRF接口与VPN站点连接，另一端连接到一个ISP。提供Internet接入服务的ISP与提供VPN业务的运营商可以不是一个。往返于Internet网关的流量将根据PE路由器的默认路由做转发。
    在这种方式中，具有Internet接入能力的站点向各自的PE分发一个默认路由，这些PE接着将该默认路由分发给该VPN中的其他PE，从而进入该VPN的其他站点。这样就可以实现向该VPN的所有站点提供Internet接入的功能。
    2． VRF 默认路由表接入方式
    有些VPN可能会希望通过一个VRF接口获得Internet接入。如果一个PE从一个VRF接口上收到一个包，并且该包的目的地址与该VRF中的任何路由都不匹配，那么PE可以把该包与其默认转发表做匹配。如果有匹配，就把该包直接转发到Internet上，不需要通过MPLS做转发。
    为了使流量能够从反方向的 Internet进入VRF接口，必须把部分VRF的路由输出给Internet转发表。当然，任何这种路由都必须对应于全局唯一的地址。在这种策略中，默认转发表可能具有全部的Internet路由，或它可能只有一条指向另外一个在其默认路由表中拥有全部Internet路由的路由器。
    3． VRF存贮“非VPN路由”
    假设PE具有在一个VRF中存贮“非VPN路由”的能力。如果一个包的目的地址与一个“非 VPN路由”匹配，那么直接转发该包，而不通过MPLS做转发。如果该VRF包含一个非VPN默认路由，把到公开Internet的所有包与之匹配，并且直接转发给该默认路由的下一跳。在该下一跳，在默认路由表中查找该包的目的地址，并且可能与更特殊的路由匹配。该技术只适用于所有CE路由器都不分发任何默认路由的情形。
    4． VRF包含Internet路由
    让VRF包含Internet路由，通过VRF接口访问Internet。与模型2相比，这种方法免除了第二步查询，但缺点是要求在每个这种VRF中都保存Internet路由。
    如果使用该技术，运营商将可能希望使其到Internet的接口是一个VRF接口，并且使用IBGP技术分发Internet路由（作为VPN-IPv4路由）到其他VRF。

四、 安全性
    安全性是VPN 运营商和客户特别关心的一个问题，也是有些安全专家批评BGP/MPLS VPN的存在的“致命”缺点之一。安全性包括三个方面的内容：数据平面的安全、控制平面的安全和设备安全。
    1． 数据平面
    数据平面的安全性是指提供下列保护： 从一个VPN内的包传递到该VPN站点外的另外一个，除非是以遵守了该VPN的策略的方式；来自一个VPN外部的包进入了该VPN的某站点，除非是以遵守了该VPN的策略的方式。由于在下列情况下：
    （1） 骨干网路由器并不从特定链路上接受标记后的包，除非它知道该数据链路只连接到了它值得信任的网络，或除非它知道该包将在检查IP头或任何更低层标记之前会离开骨干网。并且
    （2） 不从为获得信任的或不可靠的路由对等体接受标记后的VPN-IPv4路由，并且
    （3） 没有在控制平面成功安装攻击机制。
    因此，该机制在数据平面提供的安全性事实上等价于FR或ATM骨干网提供的VPN的安全性。如果正确配置了运营商控制下的设备，那么数据不会进入或离开一个VPN，除非得到授权可以这样做。
    2． 控制平面
    数据平面的安全性取决于控制平面的安全性。为了保证安全性，在任何情况下，都不能与不受信任的对等体建立BGP或标记分发协议(LDP)连接。应该对这两个协议同时使用TCP/IP MD5认证选项，也应该采取类似的方式保护运营商网络中的路由协议。
    3． P和PE设备的安全性
    如果这些设备的物理安全性遭到破坏，数据平面的安全性也会受到破坏。因此应采用常规的步骤，以保证来自公开Internet的IP流量不会被用于修改这些设备的配置，或在这些设备上安装DOS攻击。

五、 可扩展性
    可扩展性是VPN 运营商特别关心的一个问题，也是有些专家批评BGP/MPLS VPN的存在的另外一个“致命”缺点。这里对该模型的可扩展性概括如下：
    该模型在运营商骨干网中由 (a)PE路由器， (b)BGP路由反射器，(c)P路由器，并且在多运营商 VPN时的(d)ASBR组成。BGP/MPLS VPN是一种对等模型，不是作为重叠模型覆盖在运营商的网络之上，因此不存在一般重叠模型所固有的n平方问题。
    P路由器并不维护任何VPN路由。为了正确转发VPN流量，P路由器只需要维护到PE路由器和ASBR的路由。使用两级标记使得P路由器不需要保持VPN路由。
    要求PE路由器维护VPN路由，但只维护与它直接相联的那些VPN的路由，不维护到远程CE路由器的路由。
    可以使用路由反射器来隔离VPN，以便每个隔离部分承载运营商所支持的VPN路由的一部分，免去了维护全网状IBGP连接的问题。路由反射器是网络中唯一不与VPN直接相连，但却需要维护VPN路由信息的系统。但因为隔离的原因，不要求任何一个路由反射器维护运营商网络中的所有VPN的路由。
    对于跨运营商的VPN，如果ASBR维护和分发VPN-IPv4路由，那么ASBR能够以相似的方式用于隔离VPN，结果是不要求任何一个ASBR维护所有跨运营商的VPN。如果使用多跳EBGP方式，那么ASBR根本就不需要维护和分发VPN-IPv4路由。
因此，运营商网络中没有一个组件需要维护所有VPN的所有路由，网络支持不断增长的VPN数目的整个能力不会受到任何单个组成部分的限制。

六、 标准化动态
    ITU-T的SG13组正在起草Y.1311.1建议，主要内容是描述MPLS网络中基于网络的IP VPN的业务需求和体系结构模型，但也同时适用于采用其它技术的IP VPN业务。Y.1331.1中也定义了对基于网络的MPLS VPN的业务体系结构的基本要求，实现方式包括BGP背载和虚拟路由两种。
    IETF PPVPN工作组目前已经提出的草案包括：PPVPN框架、PPVPN业务要求、二层VPN体系结构、基于PFC2547的BGP/MPLS VPN以及PE-PE的IPSec VPN等。IETF PWE3工作组正在致力于“ATM/FR/SDH/DWDM over IP”，“Ethernet over IP”等VPN技术的研究，该研究的目的是在IP包交换网络上提供比如ATM/FR电路的仿真业务和VLAN业务。
    中国IP标准研究组目前已经起草完成《基于网络的IP VPN框架体系》。该标准以IETF 的RFC2764 和ITU-T 的Y.IPVPN 草案为基础，制定了一个基于网络的IP VPN 的框架体系，以确保设备具有基于每个VPN 粒度的路由、转发、QoS、业务管理和业务提供等能力。目前中国IP标准研究组正在已相关国际和国内标准为依据，制订BGP/MPLS VPN的技术以及测试的通信行业规范，计划于2003年上半年完成。