小议VPN收敛：加快VPN业务收敛速度的技术

小议VPN收敛

武汉东湖学院电子信息工程学院　张人文

一、引言

随着IP技术的发展以及IP技术在成本上的优势，IP技术在NGN、IPTV、Backhaul等业务承载领域的应用以及运营商对于IP技术的了解和熟悉，IP网络也正在从一个单纯的Internet、数据业务承载网络，逐步成为一个数据、语音、视频、企业专线/虚拟私有网络的多业务承载网络。

图1　IP/MPLS VPN组网示意图

由于承载业务的多样化，不同业务会对IP承载网络提出不同的挑战，比如安全性、服务质量（Quality of Service，简称QoS）、可靠性、业务的仿真、时间和时钟的传递等各个方面提出挑战，因此在ALL IP的演进过程中，对IP网络本身也提出了越来越高的要求。其中，网络可靠性即网络在故障时的自愈时间，是我们最为关注和重视的一个方向，也是我们重点讨论的内容。

在一个IP/MPLS VPN多业务承载网络中，当网络的PE-P链路、P-P链路、P设备、PE设备发生故障后，首先需要进行公网路由和LSP的收敛，除此之外，私网路由即外部边界网关协议（BGP）/VPN路由还需要重新迭代，这个迭代的时间与迭代方法和私网路由数目都有非常大的关系。本文将主要描述这些不同网络情况下可以使用的一些技术，以此来加快VPN业务的收敛速度。

二、各种不同的路由协议在路由收敛方面区别

表1给出了路由协议的不同分类及典型的路由协议名称。各类路由协议都有各自的算法特点和不同的使用范围，在路由收敛方面的表现也是不尽相同的。

表1　路由协议的分类

1.域内和域间路由协议在路由收敛方面的比较

域内路由协议（IGP）被设计用作在单一的路由选择域内提供可达性信息。目前，网络商中通常使用3种类型的IGP，即距离矢量协议（如RIP，IGRP）、混合型协议（EIGRP）和链路状态协议（OSPF，IS-IS）。

IGP具有以下某些特性或全部特性：执行拓扑发现，尽力完成快速收敛，需要周期性更新来确保路由选择信息的准确性，受同一个管理机构的控制，采取共同的路由选择策略，提供有限的策略控制能力。这些特性决定了IGP的路由收敛时间对网络的影响是很小的。

常用的便捷网管协议（BGP）被设计成一种域间路由选择协议，两个最重要的设计目标就是策略控制能力和可扩展性。BGP是基于策略的路由（PBR），路由策略不但影响本自治系统的路由决策，还控制路由信息在ISP之间的传播。BGP不是进行简单的最短路径选择，而是综合利用LP（local preference），MED（multi-exit discriminator），Origin,Router Id等多种属性，出于商业利益、流量工程、安全等多个方面的要求进行路由控制。另外，IBGP的互连往往采用联邦（confederation）、反射器（reflector）结构，是BGP的配置和ISP之间的交互更加复杂。

由于对拓扑的变化响应慢、策略控制等因素导致BGP不适合替代IGP，也就说明BGP在路由收敛问题上存在一定缺陷。

2.距离矢量和链路状态路由协议在路由收敛方面的比较

链路状态路由选择算法将路由选择信息发送至互联网路的所有节点上，每个路由器只能传递描述其自身连接状态的那部分路由选择表，而距离向量路由选择算法（也称作Bell-Man算法）需要每个路由器将路由选择表的全部或部分传送到与其相邻的路由器中。实际上，链路状态路由选择算法只传送小部分的更新信息，而距离向量路由选择算法将大部分或全部的更新信息传送到与其相邻的路由器中。因此链路状态路由选择算法收敛速度较快，它比距离向量路由选择算法更易避免路由循环。但因链路状态路由选择算法需要占用更多的CPU和内存资源，故比距离向量路由选择算法难以支持和实现。

3.从具体案例中得到体现

在武钢集团公司人力资源网的组建过程中，就出现了VPN延时时间很长的问题。具体体现在以下方面。

（1）组建人力资源网的时候，因为武钢集团公司下属分支机构和二级厂矿分散在全国各个地域，在没有办法完全统一接入网络的前提下，只有利用不同地域的不同ISP，了解和分析具体到每个点的VPN接入网络环境。

（2）按照CS结构统一登陆到集团公司的VPN服务器，然后在各个接入支点架设VPN客户端是比较经济和快速的解决方案。

（3）起初受接入点数目的限制，速度还不错，但是到工程接近尾声的时候，VPN接入的速度就很难保证，有时经常连接不上，即便是连接上了，也打不开具体的数据。问题的现象就好比网络带宽很窄，或者登陆人数太多的情况。

后来经过网络分析和技术团队的仔细研究，将问题的原因归结到VPN收敛问题。

4.正常收敛技术分类

这些技术我们主要可以分为三类：

（1） 加快收敛迭代时间的技术，如IGP/LSP更新、VPN按需迭代、VPN下一跳分离、BGP全事件驱动；

（2）为P设备或者公网链路提供临时保护的技术，如TE FRR、Best-Effort Tunnel、APS；

（3）有些是为能同时为P设备以及PE设备提供临时保护的技术，如VPN FRR、E-APS。

下面我们就这些技术分别详细地解释和说明一下。

（1）IGP/LDP更新(www.xing528.com)

在MPLS/VPN网络中，当P-P链路发生故障时，如图2所示，由于先向PE发送了一个LSP撤销消息，然后再发送更新的LSP。这样的过程导致了PE设备公网LSP隧道变化，所以必然要进行一次VPN路由迭代。

图2　P设备间链路故障引发的PE设备VPN重新迭代示意图

IGP/LDP更新技术解决了这个问题，方法如图3所示。在P1设备上，由于使用了IGP/LDP更新技术，公网IGP/LDP协议在进行公网IGP/LDP的收敛时会使用收敛后的新路由直接替换原先的老路由，所以不再向上游的PE设备（如PE1）发送LSP删除以及更新消息，上游的PE设备（如PE1）没有受到影响，从而无需重新进行VPN路由迭代，这样，当P1设备上IGP/LDP协议完成收敛之后，VPN业务即完成收敛。这样在P-P链路故障，或者P设备故障（不引发PE-P链路故障）的情况下，VPN业务端到端收敛时间完全取决于公网IGP/LDP收敛速度，而这个时间通常是200～800ms。

图3　P设备IGP/LDP更新技术示意图

（2）VPN按需迭代

当PE-P链路发生故障后，由于去往远端PE的LSP发生了故障，所以本地VPN路由需要重新迭代，但很多时候PE-P链路发生故障后，只是到达部分远端PE的LSP发生了故障，并不是去往所有远端PE的LSP发生故障，因此并不是所有本地VPN路由都需要迭代。以图1中的网络拓扑为例，假设PE2-P2链路发生故障，此时PE2至PE1、PE5、PE6的外层隧道没有任何变化，而PE2至PE3、PE4的外层隧道则需要重新计算，生成新的LSP。

针对这种情况出现了VPN按需迭代技术，此技术如下图7所示。以PE1设备为例进行说明。

①PE1从PE2、PE3、PEx收到BGP/VPN路由，将所有的BGP/VPN路由按照不同的远端下一跳（即不同的PE）分别建立不同的队列。

②假如从PE1到PE2的隧道发生了变化，VPN按需迭代技术只需要为所有远端下一跳为PE2的路由重新迭代隧道即可，而远端下一跳为PE3、PEx的路由无需做任何处理。这样往往可以节省大量时间，从而加快网络收敛速度。

图4　VPN按需迭代示意图

（3）VPN下一跳分离

上节提到的按需迭代，其本质是迭代过程的一个优化。如果能够跳过迭代过程，则收敛时间就能进一步缩短。那么有没有办法将迭代过程完全不做呢？答案是肯定的，那就是VPN下一跳分离技术。

VPN下一跳分离技术的实现原理如图5所示。在转发平面，将VPN路由转发表按照VPN路由的远端下一跳做分离，将原先的一个VPN路由表分离成两张表，首先查找VPN路由表，查找出远端下一跳，然后再通过远端下一跳查出直连下一跳。当公网发生故障后，公网IGP/LSP先收敛，然后触发VPN路由进行收敛，针对每个远端下一跳，直接将原先老的LSP1删除，替换为新的LSP2，这样所有的VPN都会按照新的LSP2进行转发。由此，VPN路由不再需要迭代，在公网IGP/LSP收敛后，VPN路由就可以立即收敛，即使得VPN路由的收敛速度提升到IGP/LDP收敛的级别上来。

图5　VPN下一跳分离示意图

VPN下一跳分离技术可以很好地解决PE-P链路、P-P链路、以及P设备故障，但对于PE故障则无能为力。

（4）VPN FRR

从MPLS TE FRR技术原理来看，TE FRR可以保护PE或者P设备之间的链路故障和节点故障，但是这种技术不能解决作为隧道起始点和终结点的PE设备的故障。一旦PE节点发生故障，只能通过端到端的路由收敛、LSP收敛来恢复业务，其业务收敛时间与MPLS VPN内部路由的数量、承载网的跳数密切相关，在典型组网中一般在5s左右，无法达到节点故障端到端业务收敛小于1s的要求。VPN FRR利用基于VPN的私网路由快速切换技术，通过预先在远端PE中设置指向主用PE和备用PE的主备用转发项，并结合PE故障快速探测，旨在解决CE双归PE的MPLS VPN网络中，PE节点故障导致的端到端业务收敛时间长（大于1s）的问题。

在图6中，假设CE1访问CE2的路径为CE1-PE1-P1-PE3-CE2 ，当PE3节点故障之后，CE1访问CE2的路径收敛为CE1-PE1-PE2-P2-PE4-CE2，按照标准的MPLS L3 VPN技术，PE3和PE4都会向PE1发布指向CE2的路由，并分配私网标签；在传统技术中，PE1根据策略优选一个MBGP邻居发送的VPNv4路由，在这个例子中，优选的是PE3发布的路由，并且只把PE3发布的路由信息（包括转发前缀、内层标签、选中的外层LSP隧道）填写在转发引擎使用的转发项中，指导转发。当PE3节点故障时，PE1感知到PE3的故障（BGP邻居DOWN或者外层LSP隧道不可用），重新优选PE4发布的路由，并重新下发转发项，完成业务的端到端收敛。在PE1重新下发PE4发布的路由对应的转发项之前，由于转发引擎的转发项指向的外层LSP隧道的终点是PE3，而PE3节点故障，这段时间之内，CE1是无法访问CE2的，端到端业务中断。

图6　VPN FRR保护技术示意图

在以上传统技术中，端到端业务收敛的时间包括：

①PE1感知到PE3故障；

②PE1重新优选PE4发布的VPNv4路由；

③PE1将新的转发项下刷到转发引擎中。

三、结合不同VPN收敛的特点具体调整

在结合不同VPN收敛特点的情况下，综合利用不同地域的不同ISP进行路由表的调整，下一跳的端口自学习功能修改，并且区分主次通道、备份通道，将各种不同技术综合应用于不同区域，以实现快速的作用，让隧道从狭窄型成功转型成为快速隧道。

四、总结

作为多业务承载网络的基础，以一种（BGP/VPN）路由收敛已经完全不能满足现如今的语音、视频、数据业务，并且需要可靠、高效、易扩展的多业务承载的网络。只有综合利用各项VPN收敛技术的优势，并且根据自身不同特点才能完成具体的需求。

附录：缩略语