MPLS_vpn跨域方案比较总结( 三 ) _vpn

对于城域网之间的跨域连接，也应根据城域网内PE的数量分别设计。
（1）如果城域网没有采用RouteReflector方式建设，则其与CN2的跨域VPN连接可综合方案二、三，采用骨干网的RR与城域网的PE（ASBR）建立Multi-hopMP-eBGP邻居关系来实现VPN的跨域连通，如图5所示。但是，这种方案中城域网PE同时兼任ASBR与RR，不利于以后的配置、维护和调试，所以不建议采用。

文章插图

（2）如果城域网采用RouteReflector方式建设，则其与CN2的跨域VPN连接可直接采用方案三来实现，也就是RR间直接建立Multi-hopMP-eBGP连接。但是，正如前面分析时所说，如果直接采用方案三，则VPN两端的PE之间必须维持一条LSP，也就是参与通信的PE、P路由器都必须为源PE分配一个标签。这对于大型电信网络来说，无疑会增加维护的难度和安全方面的问题，因为不同域骨干路由器的IP地址信息最好相互隔离，除非是边界路由器。
我们不妨结合方案二和方案三各自的优点，采用图6所示的网络结构。

文章插图

该方案具有以下特点：
l同一域内的PE路由器间不直接建立MP-iBGP邻居关系，而是各自与本域内的RR建立MP-iBGP邻居关系，适合于PE数量较多的城域网，能够保证将来的扩展性（以后每新增一台PE，只需对PE和本域内的RR进行重新配置即可）。
l不同域ASBR间建立MP-eBGP邻居关系（相邻域ASBR间传送加VPN标签的IP数据包）。
l边界路由器ASBR与本域内RR建立MP-iBGP邻居关系时，使用next-hop-self将VPN-IPv4路由信息的下一跳改为自己，再将其发送给RR，而后至本域内的其他PE 。这样，同一域内的路由器只为本域内PE路由器的/32主机地址分配标签即可，方便维护且安全性大大提高。
lMPLSVPN通信两端PE间的LSP由几段起终点分别位于各自治域内的LSP组成。
l尽管同一域内所有PE都与RR建立MP-iBGP关系，但MPLSVPN数据不一定全部经过RR转发，因为RR在分发VPN-IPv4路由信息时并没有改变初始的下一跳地址。
图6中描述了在本目标网络架构下典型的数据传送过程。需要注意的是，尽管图中所有数据都通过RR，但实际中不一定是这样。只要有一条LSP能够从出口PE到达入口PE就可以。

【MPLS_vpn跨域方案比较总结】