MPLS的工作过程

　　MPLS骨干网络主要由标签交换路由器（LSR）、标签边缘路由器（LER，位于IP网络与MPLS网络之间的LSR）、标签分发协议（LDP或MP-iBGP）和IGP等构成。在每台LSR上，IGP根据所获得的路由信息建立路由表，然后由相关的标签分发协议据此创建转发等价类（FEC），绑定到本地标签并将FEC和关联标签通告给相邻LSR，再与相邻LSR协商建立标签转发信息库（LFIB），最后得到基于每个FEC的LSP，即在LER之间建立了虚链路，使带上标签的报文可以按LSP规定的路径穿越MPLS网络。一个报文穿越MPLS网络的过程可概括为如下步骤：

　　1.在MPLS入口，入站LER接收到一个报文，根据其路由所属的FEC，在LFIB中找到对应的标签并添加到该报文上，然后转发给下游LSR；

　　2.在MPLS域内，LSR只需根据报文所携带的标签，以基于LFIB交换顶层标签方式转发报文；若LFIB的对应出站标签为空标签，则会去掉报文的顶层标签后，再转发报文；

　　3.在MPLS出口，出站LER接收来自上游的报文，可能是IP报文，也可能是MPLS标签报文。

　　需要说明的是，为提高报文转发效率，凡是与直连路由和汇总路由相关的LSR会创建空标签，使其上游LSR在逻辑上成为倒数第二跳LSR。倒数第二跳LSR不作顶层标签交换，而直接去掉顶层标签，然后转发报文。若不是LER接收该报文，可能因没有路由而被丢弃。

　　MPLS VPN的工作过程

　　如图2所示，在MPLS VPN网络中，有三种类型的路由器：P（LSR）为骨干网核心路由器，负责MPLS报文的转发，不需了解VPN路由信息；CE为客户边缘设备，负责收发用户网络的IPv4路由，不必考虑MPLS标签；PE（LER）为提供商边缘路由器，负责处理VPN路由信息。PE拥有骨干网的路由信息和每一个VPN的路由信息（VRF），而且还相互隔离。

　　基于MPLS交换技术构建VPN时，PE除了运行LDP，还要运行MP-iBGP，其作用是在BGP对等体之间通告VPN路由信息和相应的标签，以及在VPN之间传送IPv4报文。

　　首先来看PE之间的路由与标签通告。在PE上创建VRF，并将PE指向CE的三层接口划入该VRF，再基于VRF配置RD和RT。从出站PE到入站PE之间的路由通告过程是：

　　1.一端VPN站点的IPv4路由经CE到达出站PE，结合RD构成VPNv4路由，为其绑定一个本地标签，若对应VRF指定了RT输出值，就将VPNv4路由重分布进MP-iBGP的环境中；

　　2.MP-iBGP通过MPLS骨干网LER之间的虚链路，将VPNv4路由信息和关联标签等通告给所有对等体；

　　3.入站PE接收到这些信息后，将绑定VPNv4路由的标签作为远程标签来处理，若接收到的RT输出值等于某个本地VRF的RT输入值，就将IPv4路由从MP-iBGP重分布到该VRF路由表中，最后这些IPv4路由经入站PE到达CE后通告到另一端VPN站点。

　　再来看VPN之间的报文转发。从入站PE到出站PE之间的报文转发过程如下：

　　1.当一个IP报文从CE进入入站PE时，该PE会根据接收该报文的接口来确定VRF，利用LFIB表查找其目的IPv4网络，将关联的远程标签（VPN标签）添加到IP报文上；

　　2.入站PE还要根据其MP-iBGP的下一跳IPv4地址，为该IP报文打上第二层标签（IGP标签），然后基于该标签穿越MPLS骨干网，到达出站PE；

　　3.在到达出站PE之前，IGP标签已被移除，MP-iBGP再去掉VPN标签，根据VRF路由表，以IPv4报文的形式从出站PE指向CE的VRF接口转发出去。

　　MPLS VPN规划设计

　　为了全网统一部署与实施，需要根据校园网的具体情况进行组网规划。

　　拓扑规划

　　在现有的校园网上进行MPLS VPN组网，由图1所示，可以将核心层和校区骨干层设备定义为P（LSR），区域汇聚层设备定义为PE（LER），楼栋汇聚层设备定义为CE。

　　地址规划

　　在三层MPLS VPN网络中不必刻意去考虑VPN的地址重叠问题，仍建议继续沿用校园网原有的地址规划方案进行实施。普通上网业务的地址规划是按楼栋（小区）为单位进行的，网关就近设在楼栋汇聚交换机上，可以认为是纵向部署的。而MPLS VPN业务是横向部署的，即一个业务分布到多个物理位置，如一卡通业务。但考虑到这些业务在每个楼栋汇聚层节点上的网络规模都较小，可以采用28位掩码为单位来分配网段（较大的节点就多给几个网段）。

　　在MPLS设备互连接口上启用LDP建立邻居关系时，需用到环回地址作为LSR的路由器ID。为了简化路由控制策略，将环回地址作为LDP会话源地址和MP-BGP更新源地址，为其专门分配一段地址，且不与校园网IGP中的环回地址同段。

　　以校内业务为主的网络，一般只分配“私网”地址，如要访问Internet可经NAT实现。

　　路由规划

　　1.LDP需要通过IGP建立TCP连接，用于在LSR之间生成LSP。目前校园网部署的IGP为OSPF，骨干区域涉及校园网的核心层和校区骨干层，非骨干区域按校区划分，ABR设在校区骨干层上，而且每个校区都设置成TotalNSSA特殊区域，以限制各类LSA穿越ABR，进而减少路由条目。但在这种OSPF配置模式下，不满足MPLS网络部署的要求，这是因为在ABR（LER的上游）已经过滤了所有路由，只有一条下发的默认路由用于区域间的访问，所以无法在MPLS网络中建立虚链路。解决方法是：将校区的TotalNSSA区域改为NSSA区域，允许LSA3通过，使作为LDP会话源地址和MP-BGP更新源地址的环回地址的路由在LER之间可达，保证彼此间生成LSP。

　　2.MP-iBGP采用私有的AS号64512，在PE之间建立BGP邻接关系。由于区域汇聚层设备较多，任意PE之间都要建立BGP邻接关系，所以不便于维护，而且可扩展性不好。解决方法是多部署一台BGP反射路由器，使所有PE只需与反射路由器建立邻接关系。

　　3.PE和CE之间运行的是eBGP时，eBGP与MP-iBGP可以自动进行双向重分布，而PE和CE之间运行的是IGP时，IGP与MP-iBGP需要手动进行双向重分布，IGP可以采用静态路由或OSPF等，并为每个VRF进行路由配置。