MCE技术介绍

Multi-VPN-instance CE技术介绍
关键词：BGP/MPLS VPN，VPN-instance，CE
摘要：本文描述了Multi-VPN-instance CE的技术特征和应用场景。

缩略语：
缩略语英文全名中文解释
Edge 用户网络边界设备
CE Customer
PE Provider
Edge 提供商网络边界设备
CE 多实例CE
MCE Multi-VPN-instance
目录
1 概述 (3)
2 详细介绍 (4)
2.1 相关术语 (4)
2.2 技术细节 (4)
2.3 应用限制 (5)
3 典型组网案例 (6)
3.1 MCE典型组网案例 (6)
3.1.1 组网图 (6)
3.1.2 组网环境 (6)
3.1.3 注意事项 (7)
1 概述
单纯使用传统路由器很难实现局域网中不同业务的完全隔离。

LAN中业务隔离的传
统方法有两种：
z利用VLAN隔离业务，将用户划分在一个独立的VLAN中。

如图1 所示。

图1 利用VLAN隔离业务
z利用CE设备隔离业务，为每个用户部署一个独立的CE路由器。

如图2 所示。

图2 利用CE设备隔离业务
这些解决方案需要应用传统的设备，对用户来说即昂贵，又需要更多的网络管理工
作和用户站点部署。

MCE（Multi-VPN-Instance CE，多实例CE）通过多实例在CE设备上提供逻辑独
立的路由实例和地址空间，使多个用户可以共享一个CE。

MCE以较低的成本解决
了局域网的业务隔离和安全问题，提供了新的、经济的、管理简化的解决方案。

2 详细介绍
2.1 相关术语
z CE（Customer Edge）设备：用户网络边缘设备，有接口直接与SP （Service Provider，服务提供商）相连。

CE可以是路由器或交换机，也可
以是一台主机。

z PE（Provider Edge）路由器：服务提供商边缘路由器，是服务提供商网络的边缘设备，与用户的CE直接相连。

在MPLS网络中，对VPN的所有处理都
发生在PE上。

z VPN-instance：VPN实例，在BGP/MPLS VPN中，不同VPN之间的路由隔离通过VPN-instance实现。

PE为每个直连的站点建立并维护独立的
VPN-instance。

VPN-instance包含了独立的路由表和转发表。

2.2 技术细节
在局域网内的CE设备上运行VPN多实例，可以实现将一台物理路由器划分为多个
虚拟的路由器，由一台路由器完成多个传统路由器的功能。

从而，解决局域网内部
业务分离、保证业务安全性的问题。

运行了VPN多实例的CE设备称为Multi-VPN-
Instance CE，即多实例CE，如图3 所示。

图3 利用MCE隔离业务
虚拟路由器为用户维护独立的VPN路由表和转发表，实现了不同VPN间IP地址的重
叠。

每个虚拟路由器包含自己的一组接口。

在MCE的接口上将其与VPN实例关联，从
接口接收和发送的报文，被认为是关联VPN内的报文，并通过查找该VPN对应的转
发表进行转发。

如图3 所示，接口Ethernet1/0与VPN 1关联，从Ethernet1/0接收和
发送的报文均为VPN 1的报文，在VPN 1内进行转发。

每个虚拟路由器包含一组接口在简化了不同VPN内报文识别的同时，引入了如下的
问题：为了区分MCE与PE之间不同VPN的报文，需要在MCE和PE之间建立多条
物理连接。

MCE采用三层以太网子接口解决了这个问题。

在一个物理接口上创建
多个子接口，每个子接口与不同的VPN关联，使得CE和PE之间只需要一条物理链
路，就可以传递和区分不同VPN的报文。

MCE将PE功能扩展到CE设备，扩展了BGP/MPLS VPN体系。

将BGP/MPLS VPN
的私有性和安全性扩展到一个用户网络内部的分支办公室或部门，而不是局限在
PE节点，以较低的成本解决了局域网内部业务分离和安全性问题。

通过MCE，多
个用户可以共享一个CE，减少了设备使用量，简化了管理。

MCE不需要支持MPLS、BGP/OSPF互操作功能，是不支持MPLS和BGP/MPLS
VPN的低端设备上非常重要的功能。

2.3 应用限制
在MCE和PE之间可以运行多种协议，如EBGP、ISIS、RIP，这些协议的使用跟普
通BGP/MPLS VPN组网下PE跟CE之间的运行的这些协议完全一样。

比较特殊的
是OSPF协议。

在PE上，当OSPF进程跟VPN实例关联时，OSPF将执行细节检查。

在MCE上
OSPF进程跟VPN管理关联时，也将执行这些检查，这将导致路由安装时出现错
误，因此需要关闭这个检查功能。

3 典型组网案例
3.1 MCE典型组网案例
3.1.1 组网图
图4 典型组网案例
3.1.2 组网环境
一个企业用户需要两个独立的VPN：VPN 1（财务部门）和VPN 2（工程技术部
门）。

同时这个用户需要提供商提供的BGP/MPLS VPN服务，将地理位置分布的
两个站点相连。

通过MCE可以实现在局域网内区分VPN 1和VPN 2的业务。

在用户站点1和用户站点2中布署的MCE路由器（与提供商的PE设备相连的设备）
可以是一台不具有MPLS能力和不支持BGP协议的低端路由器设备。

这台设备只需
要支持Multi-VPN-instance特性。

将MCE上的物理接口Ethernet1/2与PE上的物理接口使用一条物理线路连接。

在MCE 1、MCE 2、PE 1和PE 2上分别创建两个VPN实例。

通过在MCE和PE上分别将VPN实例与子接口关联，实现将MCE 1上的VPN实例映
射到PE上的VPN实例。

例如，将MCE上的VPN 1关联到子接口Ethernet1/2.1，将
PE 1上的VPN 1关联到子接口Ethernet1/0.1，同时，保证两个子接口具有相同的
VLAN ID。

PE和MCE之间，为每个VPN实例配置独立的路由协议进程，可以使用BGP、
OSPF、ISIS或RIP。

3.1.3 注意事项
如果MCE与PE之间使用OSPF多进程，需要在PE上禁止路由环路检查。

并且，一
个OSPF进程只能属于一个VPN实例，一个VPN实例可以运行多个OSPF进程。