講解VPN配置中關於虛擬站點屬性

　　　深入講解VPN配置例項中關於虛擬站點屬性，向大家介紹VPN配置例項的方法，可能好多人還不瞭解VPN配置例項是如何的，沒有關係，看完本文你肯定有不少收穫，希望本文能教會你更多東西。

控制路由分發

在這一部分，我們討論控制VPN-IPv4路由分發的方法。

目標VPN配置例項屬性

每個站點轉發表都與一個或多個“目標VPN”屬性相關。當一個PE路由器產生一個VPN-IPv4路由時，該路由就與一個或多個“目標VPN 配置例項”屬性相關。這些資訊作為路由屬性由BGP攜帶。任何與目標VPN配置例項　T有關的路由都必須分發到每一個存有與目標VPN配置例項有關的轉發表的PE路由器上。

當一個PE路由器收到這樣一個路由時，應當將其安裝到每個與目標VPN配置例項有關的站點轉發表中（實際是否安裝取決於BGP決定處理的結果）。一般來說，目標VPN配置例項屬性代表一系列站點。因為路由與某一目標VPN配置例項屬性相關，路由可置於站點轉發表中，為來自相應站點的業務流尋路。

PE路由器用一個目標VPN配置例項屬性集合表明來自站點S的路由，用另一個目標VPN配置例項屬性集合來決定是否將一個從其它PE路由器接收到的路由資訊加入到與站點S有關的轉發表中。這兩個集合是不一樣的，也無需相同。目標VPN屬性的功能類似於BGP群體屬性。

不過，因為後者只有兩位元組的編號空間，格式不夠多。擴充套件BGP群體屬性以提供一個更大的編號空間相當簡單，也是可能的，類似於我們對RD的描述（見4.1節），因此類別域定義了管理者域的長度，屬性的其餘部分是一個從指定管理者的編號空間得到的編號。

當一個BGP傳播者收到對同一VPN-IPv4地址字首的兩條路由時，它根據BGP關於路由優先順序的規則選擇其中的一個。注意一個路由只能有一個RD，但它可以有多個目標VPN配置例項。在BGP中，如果單一路由有多個屬性，可擴充套件性就得到了提高。

可以透過產生更多路由（用更多的RD）的方法去掉目標VPN配置例項，但擴充套件性就差了。PE如何確定哪個目標VPN屬性與一路由相關呢？有許多可能的方法。PE可以配置通向某一站點的所有路由都與某一目標VPN屬性相關，也可以配置通向某一站點的部分路由與一目標VPN屬性相關，其餘的與另一目標VPN屬性相關。

還可以由CE路由器在向PE分發路由時（見第6節），為每一路由指定一個或多個目標VPN屬性。後一方法把VPN策略執行機制的控制權從SP轉移到了客戶方。即使使用這種方法，也希望PE能根據自身的配置減少目標VPN配置例項。

或者/並且強制性地新增一些目標VPN屬性。更確切地說，應該稱這種屬性為“路由目標”屬性而不是“VPN目標”屬性。它只確定一些能使用該路由的站點，而並不關心這些站點是否組成了一個VPN配置例項。

用BGP在PE中分發路由

如果一個VPN的兩個站點所連線的PE在同一自治系統中，PE可以透過它們之間的IBGP連線分發VPN-IPv4路由。或者，它們可以分別與一個路由反射器RR有一個IBGP連線。如果VPN的兩個站點在不同的自治系統中（例如他們連線到不同的SP）。

那麼一個PE路由器要使用IBGP把VPN-IPv4路由重新分發到一個自治系統邊界路由器ASBR或是以一ASBR為客戶的路由反射器RR上。ASBR使用EBGP把路由重新分發到另一自治系統的ASBR上。這樣，就可以連線到不同SP的不同VPN站點。

不過，作為SP間互相信任協議的一部分，VPN-IPv4路由只能被專用對等點間的EBGP連線所接受。VPN-IPv4路由不能在公共 Internet上分發或被公共Internet接受。如果許多VPN配置例項的站點連線在不同的自治系統中，不同自治系統間並不需要有一個存有所有 VPN路由的ASBR，可以有多個ASBR，每個ASBR只儲存VPN的部分路由。

當一個PE路由器用BGP分發一個VPN-IPv4路由時，它使用自己的地址作為“BGP下一跳”地址，並指定和分發一個MPLS標籤（事實上，PE路由器分發的並不是VPN-IPv4路由，而是帶標籤的VPN-IPv4路由，參見[8]）。

當PE接收到一個標籤棧頂是MPLS標籤的包時，PE會彈出該標籤，直接把該包傳送到路由指定的站點。這意味著它只把包傳送到它學習路由的那個CE路由器。標籤也可以決定資料鏈路的封裝。一般，接收帶標籤的包的PE並不在轉發表中查詢包的目的地址，而是利用另一PE指定的標籤把包直接傳送到 CE。

當然PE指定的標籤也可能隱含地指定了某轉發表。這種情況下，PE接收到這個包後，會根據標籤到該轉發表中查詢包的目的地址。在某些情況下這種方法很有用，但我們在本文中不做詳述。注意，這種方法分發的MPLS標籤只在安裝該路由的路由器和該路由的BGP下一跳之間存在標籤交換路徑LSP時才有用。

我們不對標籤交換路徑LSP的建立過程做任何假定，LSP可能是預先建立，或是在需要時才建立。它可能是個“盡力而為”路由，也可能是個經過流量工程的路由。在某路由的一個PE路由器和它的BGP下一跳之間可能有一個或多個具有不同QoS特性的LSP。

與VPN配置例項體系結構有關的是路由器及其BGP下一跳之間的一些LSP。使用路由反射器一般是為了提高可擴充套件性，如利用路由反射器的層次結構。使用時並不需要某個路由反射器掌握由主幹網所支援的所有VPN的全部VPN-IPv4路由，可以使用若干分離的彼此間無通訊的路由反射器，每個都只支援部分VPN。

如果一個PE路由器不連線到一路由的任何一個目標VPN，它就不必接收那個路由。傳送該路由給它的PE或路由反射器應該採取出口過濾措施以免繼續傳送給它無用的路由。當然，如果一個PE路由器透過BGP接收了一個路由，但它並不連線到該路由的任何一個目標VPN，PE也應該對該路由採取入口過濾措施，不安裝也不進行重新分發。

一個不連線到任何VPN配置例項的路由器，如一個P路由器，無需安裝任何VPN-IPv4路由。這樣的分發規則確保了沒有一個裝置需要掌握主幹網所支援的所有VPN-IPv4路由。因此，主幹網支援的VPN-IPv4路由總數不受任何一個裝置容量所限，也就可以不受限地增加。