文/黄山

多协议标签交换三层虚拟专用网（MPLS L3VPN，Multiprotocol Label Switching Layer 3 Virtual Private Network）是一种基于边界网关协议（BGP，Border Gateway Protocol）和MPLS扩展技术实现的VPN。MPLS L3VPN由运营商骨干网络和用户的各个站点（Site）组成，各个站点之间彼此独立，只有借助骨干网络才能实现互通。

在如图所示的典型组网环境中，如果CE设备下挂的主机属于不同VPN，则CE设备以及其连接的PE设备需要配置多实例组播VPN业务。但是CE和PE设备之间仅通过一个物理链路连接，因此实现多实例组播VPN业务时，需要在CE设备和PE设备上配置多个逻辑子接口或多个VLAN虚接口，将各逻辑子接口/VLAN虚接口与各VPN分别绑定。

已有多个VPN实例组播业务方案实现时，通常需要更换CE设备或修改CE设备的配置信息。由于CE设备为底层设备，更换CE设备或修改CE设备配置信息都可能会影响到底层网络业务稳定，因此现有技术基本是在PE上做相应的配置，但PE设备连接CE设备的一个物理端口只能配置一个VPN实例，无法实施多个VPN实例的组播传输业务。

本文介绍一种实现多虚拟专用网实例的专利，用以在如图所示的网络环境中，根据报文属性，实现基于单接口的多个VPN实例组播业务。该专利内容为如下。

站点1的CE（以下称为CE1）下连接了分属于两个VPN的主机A1和B1；其中，属于VPN1的主机A1的IP地址属于网段10.5.×.×，属于VPN2的主机B2的IP地址属于网段10.6.×.×。连接CE1的PE（下文称PE1）上，连接CE1的物理端口为g1/1/1。

PE1上进行如下的配置：

（1）在PE1配置与VPN数目相同的逻辑子接口，即配置2个子接口，各子接口的编号分别为：g1/1/1.1和g1/1/1.2。子接口g1/1/1.1与VPN1对应，子接口g1/1/1.2与VPN2对应。为了保证组播RPF处理时有正确的IP地址信息，为两个子接口分别配置与其对应的VPN处于同一网段的IP地址。

（2）在PE1配置分别对应于入方向（CE1－PE1－骨干网络）和出方向（骨干网络－PE1－CE1）的访问控制列表（ACL）。其中，入方向的ACL中保存IP地址与IP地址所属的VPN之间的对应关系，如表1所示，出方向的ACL中保存子接口与子接口所属的物理端口之间的对应关系，如表2所示。

表 1

表 2

基于上述配置，PE1对PIM协议报文和组播业务报文的处理如下：

（1）PIM协议报文经过物理端口g1/1/1进入PE1的NP转发芯片，匹配协议使能表项转发到CPU时，驱动转发模块通过协议属性标识判断该PIM协议报文是PIM Hello报文还是PIM JP报文。如果是PIM Hello报文，则复制2份后上送到PE1的平台协议处理程序；如果是PIM JP报文，则驱动软件解析出其中的GIP，通过GIP与VPN之间的对应关系获得与该VPN对应的子接口信息，例如与解析出的GIP对应的是VPN1，则对应的子接口为g1/1/1.1，将获得的子接口信息上送到PE1的平台协议处理程序。平台协议处理程序根据所接收的信息按照现有的方式生成VPN组播转发表。

（2）对于从物理端口g1/1/1进入的组播报文，这里假设该组播报文是由属于VPN1的主机A1发送的，其源IP地址为10.5.×.×，PE1的NP转发芯片根据该组播报文的源IP地址10.5.×.×匹配如表1所示的入ACL重定向到相应的VPN1，将VPN1对应的子接口编号g1/1/1.1作为Tag封装到该组播报文的头部中，并将该组播报文发往NP特定的内部环回口。这里由于子接口编号g1/1/1.1中即包含了子接口的编号1，又包含了其所属的物理端口的端口号g1/1/1，因此无需额外再将物理端口号封装到报文头部中。组播报文从内部环回口再次进入NP，NP重新解析报文，通过Tag和物理端口号，认为该报文从子接口g1/1/1.1进入的。则根据子接口g1/1/1.1查找VPN组播转发表，将组播报文从所查找到的组播隧道接口转发。

（3）相应地，对于从骨干网络中的组播隧道到达PE1的组播报文，PE1的NP进行隧道终结，当发现该组播报文的私网组播成员出接口是逻辑的子接口时，例如出接口为g1/1/1.1时，根据g1/1/1.1查找如表2所示的出ACL，得到对应的物理端口是g1/1/1，则将该组播报文重定向到物理端口g1/1/1进行转发。

专利点评：

该专利巧妙地利用了同一站点下各VPN中主机IP地址属于不同网段且各VPN内主机IP地址不重叠的特性，将PE设备收到的组播报文根据其源地址重定向到不同的VPN进行组播，实现了多个VPN实例组播业务，而不需要在CE设备上建立子接口或虚拟VLAN接口或修改CE设备的配置信息，确保底层网络业务稳。

PE，Provider Edge，服务提供商边缘设备，是运营商骨干网络中的边缘设备，与用户站点侧的用户边缘设备直接相连，负责VPN路由的处理，是MPLS L3VPN的主要实现者。

CE，Customer Edge，用户网络边缘设备，负责用户网络路由的转发。

http://www.h3c.com.cn/res/201203/13/20120313_1332284_image001_740881_30008_0.png图 基于MPLS L3VPN的组播VPN的组网示意