Quidway S8016 MPLS VPN技术分析

　　S8016高端路由器交换机可基于运营的MPLS网络，为用户提供VPN服务，包括二层和三层MPLS VPN，为不同规模和不同范围的企业互联提供完善的解决方案。

　　一、S8016三层VPN功能

　　1、概述

　　MPLS/BGP VPN可为网络运营商提供一种基于网络的VPN，这种VPN具有易于管理，扩充性好，可在任意节点间连接等特点，网络用户不必关心VPN如何构造，而由网络运营商在网络层完成，特别适用于Intranet、Extranet等网络的构建。

　　2、S8016三层VPN结构

　　S8016支持符合RFC2547标准的MPLS/BGP VPN，为网络运营商提供PE设备功能，并可作为路由反射器转发自治域内的VPN报文，还可作为ASBR转发自治域间的VPN 报文。S8016支持VPN用户通过端口或VLAN方式接入，实现VPN内部互访，支持VPN用户使用相同接口访问Internet。

　　在MPLS/BGP VPN模型中，网络由运营商骨干网和各用户Site组成，VPN实际上就是对site集合的划分，一个VPN对应一个由若干site组成的集合。如果某VPN中的所有site都属于一个企业，则构成Intranet，如果VPN中的site分属不同企业，则构成Extranet，VPN组网方式如图1所示。

　　图1 S8016 VPN的组网方式

　　其中：

　　 CE（Custom Edge）： 用户Site中直接与服务提供商相连的边缘设备，一般是路由器；

　　PE（Provider Edge）： 运营商骨干网的边缘设备，直接与用户CE设备相连，支持MPLS LER 功能；

　　 P： 运营商骨干网中不与CE直接相连的设备，支持MPLS LSR功能。

　　S8016 PE设备为每个VPN建立LSP隧道，通过MP-iBGP在PE设备间扩散VPN路由，BGP/MPLS VPN LSP隧道可在自治域范围内建立，也可跨自治域建立；CE设备可以是路由器、三层交换机或二层交换机，可通过不同的PE设备实现互联，也可通过同一PE设备互联；骨干网络中只有PE才会“感知”VPN，核心层P设备不关心VPN，只负责标签转发。因此，对运营商来说，这种配置方式简单、易扩展。