YD T 1477-2006 基于边界网关协议 多协议标记交换的虚拟专用网(BGP MPLS VPN)组网要求.pdf

《YD T 1477-2006 基于边界网关协议 多协议标记交换的虚拟专用网(BGP MPLS VPN)组网要求.pdf》由会员分享，可在线阅读，更多相关《YD T 1477-2006 基于边界网关协议 多协议标记交换的虚拟专用网(BGP MPLS VPN)组网要求.pdf（33页珍藏版）》请在麦多课文档分享上搜索。

1、YD 中华人民共和国通信行业标准YD厅1477-2006基于边界网关协议多协议标记交换的虚拟专用网BGP/MPLS VPN ）组网要求The Requirements for Constructing BGP/MPLS-based Virtual Private Network 2006-06一08发布2006-10一01实施中华人民共和国信息产业部发布YD厅14772006 目次前言. . III I 范围2规范性引用文件.3 缩略语与术语.E.2 3 I 缩略语.2 3.2 术语4组网要求. . . . . . 4 4.1概述. . . . . . . . . . 4 4.2域内组网基本要

2、求. . 4 4.3 跨域组网基本要求. .6 4.4域内组网路由反射解决方案.4.5 分层PE解决方案94.6 MPLS VPN路由聚合扩展方案. 13 4.7业务实施要求. . . .16 5 运营商业务模型.176 安全性. . . . . . . . 18 6.1 路由信息的隔离.18 6.2访问控制. . 19 6.3 用户数据保护. . 19 64运营商安全措施.20 7 VPN编址.钊8运营商间互联互通.21 9 网络接人.22 9.1 物理层链路层要求. . 22 9.2 临时接入.229 .3 Internet接入.229.4外部业务访问.26JO运营商路由.26 11 Qo

3、S支持. .27 12可扩展能力. 27 12 I VPN数量的扩展性. 27 12.2 PE数量扩展性. . . 27 12.3 VPN接口扩展性. 27 YD厅1477-2006124 VPN路由扩展性, - 川口， - . 28 12 5 LSP（隧道）数量的扩展们. . .a.- . 28 12 6 部署VPN的扩展性规划. .-.,. . 28 日BGP/MPLSVPN管理 . . . . . . . 29 II 13 I 用户管理BGPIMPLSVPN. 29 13.2运营商管理BGP/MPLSVPN . . 29 YD厅14772006 前言本标准是基于边界网关协议多协议标记交换

4、的虚拟专用网（BGP/MPLS VPN ）系列标准之本系列的标准结构和名称预计如f:1. 基于边界网关协议多协议标记交换的虚拟专用网（BGP/MPLS VPN ）技术要求2基于边界网关协议多协议标记交换的虚拟专用网（BGP/MPLS VPN ）组网要求3. 基于边界网关协议多协议标记交换的虚拟专用网（BGP/MPLS VPN ）测试方法本标准由中国通信标准化协会提出并归口。本标准起草单位：信息产业部电信研究院中国电信集团公司中兴通讯股份有限公司华为技术有限公司本标准主要起草人：吴英桦何宝宏田辉陈运清陈丹李德丰I I I 1 范围基于边界网关协议多协议标记交换的虚拟专用网（BGP/MPLS VP

5、N ）组网要求YD厅14772006 本标准规定了基于边界网关协议多协议标记交换（BGP/MPLS）组建虚拟专用网（VPN）的技术要求，包括BGP.岛ilLSVPN的要求、网络结构、拓扑、安全与访问控制、编址、互联、业务接人、路由、QoS支持、管理、非MPLS网络承载以及演进策略等。本标准适用于运营商组建基于BGP/MPLS的三层VPN网络。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本

6、适用于本标准。四川162.1-2005多协议标记交换（MPLS）技术要求YDff 1096-200 I YDff 1097-2001 RF1519 RFC 1587 RFC 1701 RFC 1702 RFC 1771 RFC 1997 RFC 2328 路由器设备技术规范低端路由器路由器设备技术规范高端路由器元类域问路由选择（CIDR）地址分配及拥塞策略OSPF的NSSA选项一般选路封装1Pv4网络上的一般选路封装边缘网关协议第4版本（BGP4)BGP团体属性开放式最短路经优先王版本2）（更新RFC2178、盯Cl583、盯1247)RF2547 BGP庄PLSVPN盯C2663E网络地址转

7、换的术语和考虑RFC 2694 NAT的DNS扩展（DNSALG) R配2766网络地址转换一一协议转换RFC2796 BGP路由反射器替代IBGP全连接的方法RFC2858 Multiprotocol Extensions伽BGP-4( BGP-4的多协议扩展）RFC 3022 传统的E网络地址转换RFC 3027 P地址NAT的协议关联性盯C3065 BGP的自治系统联盟RFC 3235 NAT应用设计指南Draft-ietf-ppvpn-applicability-guidelines-0 I PPVPN应用说明YD厅14772006 Drat 1etfppvpn-as2547-00.t

8、xt 基fRFC2547BIS的VPN的应用说明3 缩暗语与术语r列缩略语和术语适用于本标准。3.1 缩略语AS Autonomous System 自治系统ASBR Autonomous System Border Router 自治系统边界路由器ATM Asynchronous Transfer Mode 异步传输模式BGP Border Gateway Protocol 边界网关协议CE Customer Edge 用户网络边缘设备CIDR Classless Inter-Domain Routmg 无类域间路由DNS Domain Name Server 域名服务器El Digital

9、 Hierarchy Transmission2.048Mbit/s 2.048 Mbit/s数字同步传输EF Ex严ditedForwarding 加速转发EGP External Gateway Protocol 外部路由协议FIFO First In, First Out 先进先出FR Frame Relay 帧中继_FTP File Transfer Prototocl 文件传输协议GRE Generic Routing Encapsulation 通用路由封装GW Gateway router 网关路由器HDl元High Level Data Link Control 高级数据链路控

10、制协议HTTP Hypertext Transfer Protocol 超文本传输协议IETF Internet Engineering Task Force 因特网工程任务组IGP Interior Gateway Protocol 内部路由协议IP Internet Protocol 互联网协议!Pv4 Internet Protocol version 4 互联网协议第4版IS-IS Intermediate System to Intermedia胆Syste皿中间系统一中间系统ISP Internet Service Provider 互联网业务提供商ISDN Integrated

11、Service Data Network 综合业务数字网ISP Internet Service Provider 豆联网业务提供商U-T International Telecommumcation Umon-国际电信联盟一电信标准化部Tel配ommunicationStandardization Sector L2TP Layer 2 Tunneling Protocol 第2层隧道协议LAN Local Area Network 局域网MPLS Multi-protocol label switching 多协议标记交换2 YD/T 1477-2006 NAT Network Addr口

12、sTranslation 网络地址转换NHRP Next Hop Routing Protocol 下一跳路由协议NSP Network Service Provider 网络服务提供商ORF Outbound Route Filter 输出路由过滤OSPF Open Shortest Path First 开放最短路径优先PE Provider Edge 提供商边缘设备PHB Per hop hebavior 每跳行为QoS Quality of Service 服务质量R Router 路由器RFC Request for Comment 请求评价RSVP Resource Reser V

13、ation Protocol 资源预留协议RP Real-time Transport Prot四ol实时传输协议SLA Service Level Agr四ment服务等级协议SDH S严1chronousDigital Hierarchy 同步数字网sD S阳ndard标准TCP Transmission Control Prot倪。1传输控制协议TOS Type Of Service 业务类型TIL Time To Live 生存期UDP User Datagram阶otocol用户数据报协议VLAN Virtual Local Area Network 虚拟局域网VPN V让阳alPr

14、ivate Network 虚拟专用网VRF VPN Routing/Forwarding m白血eVPN路由转发实例3.2 术语( I ）用户边缘设备（Customer Edge一：E)用户网络中和运营商网络直接相连的设备，可以是主机或者路由器。用户边缘设备“感知”不到VPN的存在。( 2）运营商边缘设备（Provider Edge一一PE)运营商网络和用户网络直接相连的设备，在本标准中，PE设备需要支持阳山功能。PE设备负责运营商网络同VPN客户网络的交互。PE设备处理来自由设备的数据，并转发到相同VPN中的其他PE设备，PE设备也要能够处理来自网络的到所属VPN的站点的数据。PE设备能够

15、理解和处理VPN用户的私网地址，并提供不同VPN用户网络之间的隔离性。( 3 ）运营商核心设备（P设备）运营商骨干网络中不和CE相连的路由器称为P设备，它是转发从PE设备发过来的VPN数据的设备，如果PE设备之间使用MPLS隧道，需要相应的P设备支持MPLS和LDP。如果PE设备之间使用其他隧道机制，P设备可以不支持MPLi和LOP，只需要按照该隧道机制的要求支持相应技术。3 YD厅1477一2006( 4）站点（Site J 站点是一个作为VPN用户的网络，并通过半个CE或多个CE连接到一个或多个PE设备上。个白白可能是由位于相同地理位置的系列主机和网络设备组成，比如一个银行的分理处，也可能

16、是个地理分布的网络，但作为一个逻辑的整体统一出口和PE设备连接。4个VPN由通过公共基础设施连接的多个Site组成。( 5 ) RD ( Route Distinguisher ) 这是一个全局惟一的8字节数值，可以为每个V盯配置一个惟的阻，也可以为每个VPN配置一个惟一的阻，在运营商骨干网络中用BGP来发布路由信息时，这些值附加到VPN的!Pv4地址前缀之前，形成一个新的地址族：VPN-!Pv4地址族，这样，即使两个VPN具备相同的重叠!Pv4地址空间，他们的VPN-!Pv4地址空间是惟一的；( 6）路由目标（Route Target ) Route Target属性标识了可以使用某路由的站

17、点的集合，即该路由可以被哪些Site所接收，PE路由器可以接收哪些Site传送来的路由。与RouteTarget中指明的Site相淫的PE路由器，都会接收到具有这种属性的路由。PE路由器接收到包含此属性的路由后，将其加入到相应的路由表中。PE路由器存在两个Route Target属性的集合：一个集合用于附加到从某个Si胆发送的路由上，称为ExportTarge臼；另一个集合用于决定哪些路由可以引人此Site的路由表中，称为ImportTargets。通过匹配路由所携带的RouteTarget 属性，可以获得VPN的成员关系。匹配Rou胆Target属性可以用来过滤PE路由器接收的路由信息。(7

18、) VPN路由转发实例（VPN routing/forwarding instance VRF) PE设备中为不同的VPN站点分别维护的路由转发表，它主要包括：P路由表、标签转发表、使用标签转发表的一系列接口以及管理信息（包括阳、路由过滤策略、成员接口列表等）。V盯中将包含从与PE相连的相应CE中通过在PE/CE链路上运行的路由协议分发的路由，并记忆从远端相同VPN其他VRF中通过MP-BGP分发的路由，然后通过标准的路由选择过程自动选择最佳路由，在V盯中静态配置是可选方案。在每个V阳中必须配置如下三个参数： Route Distinguisher (RD ); 一个或多个输出路由目标（Exp

19、ort Route Targets , Export RT ），它作为一种MP-BGP扩展团体属性，随VRF中向外发布的路由一起由MPBGP携带；个或多个输入路由目标（Import Route Targets, Import RT ），在从远端V盯学习MP-BGP路由时用来和相应路由的输出路也目标（Export Route Targets, Export RT ）相匹配以确定是否将该路由学习到本V盯中。在VPN中增加一个新的站点是将该站点的CE连接到PE路由器，并在PE上进行VRF配置，这些配置的改动自动通过MP-BGP通告到其他PE。4组网要求4.1 概述本标准针对整个MPLSVPN系统的组

20、网方式提出解决方案；第4.2节规定域内组建VPN的基本要求；第4.3节规定跨域组建VPN的基本要求；第4.4节和第4.5节是对组建VPN的附加要求；第4.4节是对域内组建VPN的路由反射要求；第4.5节是分层PE解决方案。4.2域内组网基本要求YD厅1477-2006域内VPN站点之间最简单的连接是全连接，即所有站点之间两两互连，但是SP可以通过RouteTarget （路由目标）机制控制VPN站点之间路由的分发，从而提供全网状连接、Hub-Spoke（星型）和部分网状连接。要求支持单播E数据包的转发，保证用户的E数据包在运营商网络中透明传输。可以选择提供组播E业务，但使用这些机制会对可扩展性

21、造成影响。不支持非F流量。如果希望支持非P业务，则运营商或者必须增加二层隧道服务，或者必须由用户网络使用P隧道技术。l.全网状连接也注吗乓士（：图1全网互连VPN实例图1说明了如何建立一个全网状网络运营商的VPN配置，由下列部分构成：分离的VPN客户（VPNA和VPNB）。 PE路由器，都为VPNA和VPNB提供服务，PE之间采用全网互连结构。在PE路由器之间，通过P路由器建立标记交换路径（LSP）。建立山P时可以使用山P、CR山P或RSVP-TE协议。2. Hub-Spoke连接模式H胁EI&由蟹毒面10.2SS.14.174 CE2 S萨Ice-CEIts由篱路由豁交换机E10伽255.1

22、4.180Spoko-陀路由量，交换机FI0.2SS.14.182 S阳kc-CEF自由；回2简单Hub-SpokeVPN实例图2说明如何建立一个Hub-SpokeVPN，由下列组件构成：5 YD厅1477-2006伞个HubPE路由器（路由器DJ。一个与HubPE路由器连接的HubCE路由器。为了是实现Hub-SpokeVPN拓扑的功能，在HubPE路由器和HubCE路由器之间必须有2个接口，每个接口在PE路由器必须有自己的V盯表。一个接口（接口是ge-0/0/0.0）用于广告Spoke路由到HubCE路由器。和这个接口关联的VRF表包含SpokePE路由器要广告到HubCE路由器的路由。第

23、二个接口（接口是ge-0/0/1.0）用于接收从HubCE路由器广告，为Hub和Spoke路由器定义的路由。和这个接口关联的VRF表包含从HubCE路由器广告到SpokePE路由器上的路由。 2个SpokePE路由器（路由器E和F）。2个SpokeCE路由器（CE！和CE2），每个CE路由器连接一个SpokePE路由器。 LDP作为信令协议。3.部分网状连接客户的VPN网络可能是更加复杂的类型，比如有些站点之间是Full-Mesh状连接，有些站点之间是Hub-And-Spoke状连接。这些复杂组网模式一般需要具体分析。4.3 跨域组网基本要求BGP瓜。LSVPN是P网络，因此，BGP/MPLS

24、VPN之间的互联互通与承载BGP/MPLSVPN的E网络之间的互联互通的方式相同。例如，一个VPN站点内可以包含一个VPN方案的CE路由器和另外一个VPN方案的CE路由器，而且这些CE路由器之间可以是IGP对等体，也可以是相同的CE路由器，需要进行一种类型的VPN路由重新发布到另一种类型的VPN路由。如果同一个VPN的两个Site位于不同的自治系统内，相应的PE路由器就无法使用IBGP连接来转发VPN-IPv4路由，这时必须使用EBGP来在自治系统间传播VPN-IPv4路由。目前主要有几种可行的解决方法。I. 在自治系统边界路由器（ASBR）间使用VRF到V盯连接这种方式中，ASBR在它所在的

25、自治域中充当PE的角色，在某个自治系统内的PE路由器同另一个自治系统内的另外一个PE路由器问直接建立连接，为该自治域接人的每个VPN建立一个这样的连接。当在两个自治系统间需要发布路由的VPN为多个时，这两个PE路由器需要通过多个接口（或者子接口）连接起来，每个这样的VPN需要一个接口（或者子接口）。每个ASBR都把对端ASBR当成本端ASBR（在本自治系统中承担PE的功能）的CE设备，也就是ASBR为每个这样的子接口关联一个VRF，并且在它们之间使用EBGP来发布无标记IPv4地址路曲。该解决方案不需要PE设备提供额外的支持，但是因为大量的跨自治系统VPN可能会产生大量的V盯到V即连接，对AS

26、BR的资源消耗非常大，在VPN数目增大时，有可能蒋在扩展性问题，如图3所示。6 YD厅1477-2006CE l.SPI ASBR ASBR 1 州发VPNLSP2 VPN LSPI LSP2 lll3 BGP/MPLS VPN跨域：VRF-to-VRF解决方案2.使用EBGP从一个自治系统到另一个自治系统分发有标记VPN-1Pv4路由连接VPNSi饱的PE路由器使用IBGP向该自治系统的ASBR发布（或者通过路由反射器发布）标记VPN-IPv4路白，然后ASBR使用EBGP将这些路由发布结另一个自治系统内的ASBR，如果该自治系统是目的自治系统，ASBR将路由发布给相应的PE路囱器，否则继续

27、发布结其他的ASBR，直到到达目的自治系统，如困4所示。 PE CE 6青一VPNLSPI ASBR I v附LSP2I ASBR VPNLSP3 由nr | LSPI I I LSP2 困4BGP/MPLS VPN跨域：稀VPNIPv4的MPEBGP解决方禀当使用这种方式，因GP连接的端点间只有存在信任关系才可以接受VPN-IPv4路由，如果路由来自于互联网或者是不可信任的BGP对端，这些路由不应该被发布和接受。ASBR只有在确认收到的标记报文的顶层标记是自己发布的，才允许从EBGP对端接受这个报文。如果网络上存在很多的跨自治系统的VPN，可以用多个ASBR来解决ASBR处理的瓶颈。这个方法

28、允许在跨越多个自治系统的标记交换路径，因此在路径经过的自治系统间必须存在一定程度的信任关系，并且这些自治系统间应该就哪个ASBR接受哪些RT的路由达成致。目前的同一个运营商网络内部各自治系统间存在天然的信任关系，另外本方式管理和维护简单，因此作为主要的解决方案，要求PE设备和ASBR必须支持。对于不同运营商网络之间的自治系统，需要增加网关设备之间的认证或加密机制，需要和相关的安全措施一起保证跨域VPN的安全。3. Multi-Hop EBGP分发VPN-1Pv4地址在本解决方案中，ASBR既不维护也不发布VPN-1Pv4路由，ASBR只维护它所在的自治系统内的所有PE路由器的带标记的1Pv4主

29、机路由，并使用EBGP来把这些主机路由发布结其他的自治系统。中转7 YD厅1477-2006自治系统内的ASBR也使用EBGP来传递这些主机路由，这样就在人端PE路囱器和出端PE路由器间创建了一条标记交换路径。PE就能够跨越多个自治系统建立多跳EBGP连接，并且使用这个连接来交换VPN-IPv4地址，如图5所示。CE- - - - - - - - - - - -, CE VPN LSP 守毯的I.SP图5BGP/MPLS VPN跨域：Multi-HopEBGP解决方案如果自治系统内的P路由器并不都知道PE路由器的主机路由，就要求报文的人端PE使用三层标记堆钱，底层标记由出端PE分配，对应于特定

30、VRF内的目的地址，中间标记由ASBR分配，对应于到出端路由器的主机路由，顶层标记由人端PE的IGP下一跳分配，对应于到ASBR的主机路由。该方案因为要求三层标记支持，如果网络中的ASBR不支持标记交换能力，则无法有效地使用MPLS部署VPN，并且无法使用G阳来代替标记交换路径。为提高该方案的适应能力，可以在VPN中位于一个自治域中的阳的路由反射器（RR）和位于另一个自治域中的阳的路由反射器（阻）之间建立Multi-HopEBGP，而将相应的PE和路由反射器之间以MP-IBGP连接。路由反射器在该Multi-HopEBGP连接上发布VPN路由时，它们不改变这些路由的下一跳。4.4 域内组网路囱

31、反射解决方案在组建BGP/MPLSVPN网络时，在每个PE路由器上必须运行阳BGP,BGP/MPLSVPN中PE之间使用MP-BGP( RFC 2858 ）在PE之间进行VPN路由的学习和通告，MP-BGP继承了BGP协议要求在同一个路由域中运行IBGP的对等体之间进行全连接以在路由域内通告BGP路由，当VPN中的PE数量很大时，这种IBGP全连接的数量会很大，有严重的N平方问题和可扩展性问题，为了改善这种状况，可以使用路由反射器来解决。路由反射器允许保存不直接相连接的VPN的信息的设备，但是没有必要要求网络中的任何一个路由反射器都有全网的所有VPN的所有VPN-1Pv4路由。下面列出了两种在

32、几个路由反射器间划分VPN-1Pv4路由职责的办法：I.每个路由反射器都预先配置一系列的RT出于冗余和可靠性考虑，对于相同的RT集合，可以配置多个路由反射器。路由反射器使用这些预先配置的RT做人路由过滤，路由反射器可以使用BGP输出路由过滤（ORF）技术，这样它就可以为其对端（包括PE路由器和其他路由反射器）加入包括预先配置RT的输出路囱过滤。在这里路由反射器应该能够接收来自其他路由反射器的输出路由过滤，也就是说路由反射器应该向其他路由器通报ORF能8 YD厅1477-2006力。路由反射器上的RT可以通过配置来修改，此时，路由反射器需要修改反射器为它的IBGP对端安装的ORF。为了减少路由反

33、射器自己置变更的频率，每个路由反射器可以预先配置些暂时闲置的RT，这样当个新VPN需要配置新的RT，就可以直接使用这些闲置的RT，路由反射器就不需要再加入这个配置。当一个VPN加到一个PE，如果该PE还不是所有维护该VPN路由的路由反射器的客户，则该PE应该成为这些路由反射器的客户。类似地，一个VPN从一个PE删除，如果该PE对于每个相关的路由反射器不是其他VPN的客户，也要求该PE不再是这些路由反射器的客户。在上面的两种情况下，都要求这些操作是非破坏性的。这里VPN加入一个PE，是指给一个VRF增加个新的hnportRT，或者是增加一个VRF，该V町有一个该PE上其他VRF没有的hnport

34、RT。2.每个PE路由器都是网络上路由反射器的某个子集的客户这种情况下，路由反射器不再预先配置一系列的RT，路由反射器也不对它的客户（PE）发来的路由做人路由过滤，而是接受所有这些路由。路由反射器跟踪所有收到的路由的RT，当发现一个RT不在它跟踪到的RT集合内，路由反射器立即把这个RT加入这个集合。反之，当路由反射器所保存的某个RT不再在路由反射器上有相关联的路由，路由反射器经过定的延时（几个h）后从集合中删除该RT，延时删除可以有效预防RT只是临时消失所带来的状态变化。路由反射器使用这个RT集合来组成人路由过滤并应用到从其他路由反射器发来的路由，路由反射器使用O盯来给其他路由反射器安装适当的

35、出路由过滤。同第一个方法相同，路由反射器应该从其他的路由反射器接收ORF，这样就需要路由反射器向其他路由反射器通告ORF能力。当路由反射器改变了盯集合，它应该立即改变它的人路由过滤。此外，如果它使用ORF,0盯应该立即得到改变来反映这个变化。如果路由反射器不使用O盯，那么当它增加一个新的RT，它更新ORF后应该立即向其他路由反射器发出路由刷新通报。在这两种方法中，都要求连接到特定VPN的PE路由器自动发现连接到这个VPN的其他PE路由器，当一个VPN增加了一个新PE路由器，或者一个存在的PE路由器刚连接到一个存在的VPN，系统要保证不需要其他的PE路由器重新配置。每个路由反射器并不需要保存骨干

36、网络上存在的所有的VPN的路由信息，这样任何一个设备的容量限制就不会成为限制网络支持VPN数量的瓶颈。4.5 分层PE解决方案接入层的PE设备容量较小，但仍然要维护该PE设备所属VPN的所有的VPN路由，随着网络规模的扩大，容易形成瓶颈，可以采用分层PE(HoPE ）的办法解决这个问题。4.5.1 框架结构在分层PE解决方案中，PE设备所连接的设备不仅仅是CE设备，也可以是PE设备，它们可以通过MPLS网络间接连接。互联的PE形成一种层次关系，直接连接CE设备的称为底层PE（四日，连接底层PE的路由器称为上层PE(SPE）。这种框架结构称为PE的分层结构（Hierarchy of PE ），简

37、写为HoPE,如图6所示。9 YD厅1477-2006VPNI Sncl VPN2 Sncl 一，、I / -. ，、，、，飞，f、”,. , 一二J,:._！ . 飞.- VPNI S11c3 VPNI Sicc2 VPN2 Snc2 MPLS网络；PEl -_ J.iM:Jj;_ - - VPN2 Si1c3 困6PE的分层结构HoPE多个UPE同SPE构成分层式PE，共同完成传统上一个PE的功能。它们之间的分工如下。UPE维护其直接连接的VPNSite的路由，但不维护VPN中其他远程Si饨的路囱或仅维护它们的聚合路配SPE维护其通过UPE所连接的Site所在的VPN中的所有路由，包括本地

38、和远程Site中的路囱。UPE为其直接连接的Site的路由分配内层标签，并通过MP剖P随VPN路由发布这个标签给SPE;SPE不发布远程Site中的路由给UPE，而是只发布V町默认路由或聚合路由给UPE，并携带标签。四E和SPE之间可以采用MP-IBGP，也可以采用MP-EBGP。在采用MP-IBGP时，SPE作为各个UPE的路血反射器（阻），归E作为路由反射器的客户端（RRClient ），但SPE不作为其他陀的路由反射器。在采用MP-EBGP时，UPE一般使用私有自治系统号。UPE和SPE之间采用标签转发，因而只需要一个（子）接口相互连接。这个接口可以是物理接口、子接口（如VLAN,PVC

39、）或者隧道接口（如G阻、山P）。在采用隧道接口的时候，SPE和UPE之间可以相隔一个P网络或是MPLS网络。分层式PE从外部来看同传统上的PE没有任何区别，因此它可以同其他PE在一个MPLS网络中共存。4.5.2 分层PE的嵌毒一个分层式PE还可以作为一个UPE，同一个SPE组成新的分层式阻，同样一个分层式PE可以作为一个SPE，同多个UPE组成新的分层式PE。这种嵌套可以是无穷的。一个SPE在连接一个分层式PE作为UPE的同时，还可以连接单个的UPE设备。图7是一个3层的分层式PE，为了表述方便，称中间的PE为MPE( Middle-level PE ) o SPE W默MPE UPE UP

40、E | VPNI VPN2 Sicel Sicel 图7MJUS- wg伽md耐1il vsp 层分10 YD厅1477-2006SPE和MPE，以及MPE和UPE之间，均运行MP-BGP协议。如果是MP-IBGP协议，则SPE是各个MPE的路由反射器，而MPE是各个UPE的路由反射器。MP-BGP为上层PE发布下层PE上的所有VPN路由，而只为F层PE发布上层PE的VRF默认路由或聚合路由。因此，SPE上维护了这个分层式陀所接人的所有Site的VPN路由，路由数目最多；MPE上维护了一部分路由，数目较多；而UPE上只维护它所直接连接的Site的VPN路由，数目最少。与典型网络中设备的能力相匹

41、配，具有良好的可扩展性。4.5.3分层PE的扩展应用一一分层的BGP/MPLSVPN 对于不同层次的网络，可以分别组建适合自身设备性能和容量的VPN，同时可以将不同层次的BGP.局1PLSVPN （这些不同层次的BGP，瓜。LSVPN在所在网络层次是能完整地、独立地工作的）通过分层PE连接起来，并将不同层次的BGP/MPLSVPN组合成一个跨网络层次并且包含各种不同性能、容量的PE设备的分层VPN，如图8所示。图8分层PE的扩展应用4.5.4 数据流和控制流图9说明了从分层式PE所连接的Sitel访问远程Site2的数据流和控制流的路由。其中010表示默认路由，Des刷ask表示具体路由，U、Lo分别表示内部标签和外部标签。I 1 YD厅1477-2006UPEJ，（由ilk认SPEI iL伽VPNI.I!认路tl1!LSVPN转发流程，PUSH内外层标签进行转发。对于来自PE3b和PE2a的路由，不进行路由聚合转发，而是直接打上二层标签进行转发。4.6.2 在路由反射器上进行聚合为了减少在路由反射器上需要维护的VPN路出数量，可以将网络