运营商的运营商

产生原因

BGP/MPLS IP VPN服务提供商的用户本身也可能是一个服务提供商。这种情况下，前者称为提供商运营商（provider carrier）或一级运营商（first carrier），后者称为客户运营商（customer carrier）或二级运营商（second carrier），如图7-19所示。这种组网模型称为运营商的运营商（carriers' carrier），低级别的服务提供商SP（Service Provider）作为更高级别SP的VPN客户。

图7-19 运营商的运营商组网示例

相关概念

为保持良好的可扩展性，二级运营商采用类似stub VPN的工作方式，即，一级运营商CE(也就是二级运营商PE)只把二级运营商内部的路由发布给一级运营商的PE，不发布二级运营商客户的路由。在本节的描述中，二级运营商内部的路由称为内部路由，二级运营商客户的路由称为外部路由。

内部路由和外部路由的区别：

• 内部路由是指二级运营商SP站点的路由。外部路由是指二级运营商客户站点的路由，即二级运营商的VPN路由。

• 内部路由需要在相关的一级运营商PE间通过BGP进行交换。外部路由不发布给一级运营商的PE设备，只在相关二级运营商PE间通过BGP进行交换。

• 客户BGP/MPLS VPN服务提供商（也就是二级运营商）的VPN-IPv4路由被看作外部路由，骨干BGP/MPLS VPN服务提供商（也就是一级运营商）并不将这些路由引入到它自己的VPN路由转发表，它只引入客户BGP/MPLS VPN服务提供商的内部路由。这样，减少了一级运营商网络中需要维护的路由数量。二级运营商需要维护内部路由和外部路由。

本章描述中的一级运营商CE设备指二级运营商接入一级运营商所使用的设备；而用户接入二级运营商的设备称为用户CE设备。

场景分类

从二级运营商，二级运营商可能只是普通SP，也可能是BGP/MPLS IP VPN服务提供商。

二级运营商是普通SP时，其PE不需要运行MPLS功能，与一级运营商CE之间运行IGP。二级运营商PE之间通过BGP会话交换外部路由。如图7-20所示。

在此场景，CE1和CE2之间需要运行BGP协议，来传递二级运营商的内部路由信息。如果CE1和CE2在同一个AS，需要在CE1和CE2之间建立IBGP邻居，同时可以将CE1和CE2配置为RR；如果CE1和CE2在不同的AS，需要在在CE1和CE2之间建立EBGP邻居。

图7-20 二级运营商是普通SP

二级运营商是BGP/MPLS IP VPN服务提供商时，其PE也需要运行MPLS，与一级运营商CE之间运行IGP和LDP。二级运营商PE之间通过MP-BGP会话交换外部路由，如图7-21所示。

由于PE3和PE4需要提供VPN服务，所以PE3和PE4之间需要建立LSP。一级运营商和二级运营商内部一般运行LDP。一级运营商CE接入到一级运营商PE这一部分有两种方案：采用LDP多实例方案建立LDP LSP，或者采用BGP标签路由方案建立BGP LSP。

图7-21 二级运营商是BGP/MPLS IP VPN服务提供商

实现方案分类

二级运营商是普通SP时，相当于IP网络叠加到BGP/MPLS IP VPN网络上，关键之处就是一级运营商的CE之间能够互通以后，再次建立BGP邻居。

二级运营商是BGP/MPLS IP VPN服务提供商时，根据一级运营商CE接入到一级运营商PE这一部分的方案不同，我们将LDP多实例方案称为运营商的运营商方案一，将BGP标签路由方案称为运营商的运营商方案二。

由于二级运营商是BGP/MPLS IP VPN服务提供商的场景使用更加普遍，而二级运营商是普通SP的使用场景较少，且配置方案相对简单，所以后面的描述主要聚焦于二级运营商是BGP/MPLS IP VPN服务提供商的场景。

运营商的运营商方案一（LDP多实例）

当一级运营商CE采用LDP多实例方案建立LDP LSP接入到一级运营商PE时，路由信息交互过程如图7-22。其中，D表示路由的目的地址；N表示下一跳；L表示标签。

图7-22 运营商的运营商方案一路由信息交互过程

以PE4发布VPN路由10.1.1.1/32到PE3为例，说明VPN路由在二级运营商PE之间的交互过程：

1. PE4通过二级运营商的IGP将到自己的路由发布给CE2。同时分配标签L''1给IGP下一跳并在PE4与CE2之间建立公网LSP隧道。

2. CE2通过和PE2之间的IGP将到PE4的路由信息发布给PE2。同时通过LDP协议为该路由分配标签L1（PE2上连接CE2的接口需要配置LDP多实例）。

3. PE2为到PE4的路由分配标签L2，并通过MP-IBGP将该路由信息和标签发布给PE1。在此之前，PE2已通过一级运营商骨干网的IGP将到自己的路由发布给PE1，同时为到自己的路由分配公网标签L'，在PE2与PE1之间建立了一条公网LSP。

4. PE1通过和CE1之间的LDP多实例邻居关系为到PE4的路由分配标签L3，并将该路由信息和标签L3发布给CE1。

5. CE1通过IGP连接将到PE4的路由信息发布给PE3。

   在此之前，CE1已通过二级运营商骨干网的IGP将到自己的路由发布给PE3，同时为到自己的路由分配公网标签L''2，在CE1与PE3之间建立了一条二级运营商的公网LSP。

6. 此时完成了将到PE4的路由发布给PE3；当到PE3的路由信息也成功发布给PE4时，PE3与PE4之间就可以成功建立MP-IBGP连接。

7. PE4通过该MP-IBGP连接为VPN路由10.1.1.1/32分配私网标签I-L给PE3。

   PE3将VPN路由发布给PE4的过程与此类似，此处不再赘述。

VPN报文在运营商网络的传输过程如图7-23。其中，I-L表示MP-BGP分配的私网标签；L'表示一级运营商公网标签；L''1和L''2表示二级运营商公网标签；L1、L2和L3表示到PE4的标签。

图7-23 运营商的运营商方案一报文转发过程

以目的地址为10.1.1.1/32的VPN报文从PE3传输到CE4的过程为例，说明VPN报文在运营商网络上的传输过程：

1. PE3收到目的地址为10.1.1.1/32的VPN报文后，为其打上私网标签I-L，并通过二级运营商公网LSP隧道将VPN报文透明传输给CE1。

   将报文传给CE1之前，CE1的上一跳LSR将外层公网标签弹出。

2. CE1为该报文打上标签L3，转发给PE1。

3. PE1进行标签交换，弹出标签L3，并打上标签L2，接着打上公网标签L'，通过公网隧道LSP将报文传输给PE2。公网标签L'在PE2的上一跳LSR上被弹出。

4. PE2也进行标签交换，弹出标签L2，打上标签L1，并将报文转发给CE2。

5. CE2弹出标签L1，接着打上二级运营商公网标签L''1，通过二级运营商的LSP的隧道将报文透明传输给PE4。

   将报文传给PE4之前，PE4的上一跳LSR将二级运营商公网标签弹出。

6. PE4弹出标签I-L，并根据标签I-L将报文转发给CE4。

运营商的运营商方案二（BGP标签路由方案）

当一级运营商CE采用BGP标签路由方案建立BGP LSP接入到一级运营商PE时，路由信息交互过程如图7-24。其中，D表示路由的目的地址；N表示下一跳；L表示标签。

图7-24 运营商的运营商方案二路由信息交互过程

以PE4发布VPN路由10.1.1.1/32到PE3为例，说明VPN路由在二级运营商PE之间的交互过程：

1. PE4通过二级运营商SP的IGP将到自己的路由发布给CE2。同时分配标签L''1给IGP下一跳并在PE4与CE2之间建立公网LSP隧道。

2. CE2通过和PE2之间MP-BGP邻居关系为到PE4的路由分配标签L1，并将该标签路由发布给PE2。

3. PE2为到PE4的路由分配标签L2，并通过MP-IBGP将该路由信息和标签发布给PE1。

   在此之前，PE2已通过一级运营商骨干网的IGP将到自己的路由发布给PE1，同时为到自己的路由分配公网标签L'，在PE2与PE1之间建立了一条公网LSP。

4. PE1通过和CE1之间的MP-BGP邻居关系为到PE4的路由分配标签L3，并将该路由信息和标签L3发布给CE1。

5. CE1为到PE4的路由分配标签L4，并通过和PE3之间的MP-IBGP邻居关系将该路由信息和标签L4发布给PE3。

   在此之前，CE1已通过二级运营商骨干网的IGP将到自己的路由发布给PE3，同时为到自己的路由分配公网标签L''2，在CE1与PE3之间建立了一条二级运营商的公网LSP。

6. 此时完成了将到PE4的路由和标签发布给PE3；在CE2与PE3之间形成了一条BGP LSP。

   当到PE3的路由信息也成功发布给PE4时，PE3与PE4之间就可以成功建立MP-BGP连接。

7. PE4通过该MP-EBGP连接为VPN路由10.1.1.1/32分配私网标签I-L给PE3。

PE3将VPN路由发布给PE4的过程与此类似，此处不再赘述。

VPN报文在运营商网络的传输过程如图7-25。其中，I-L表示MP-BGP分配的私网标签；L'表示一级运营商公网标签；L''1和L''2表示二级运营商公网标签；L1、L2、L3、L4表示到PE4的标签。

图7-25 运营商的运营商方案二报文转发过程

以目的地址为10.1.1.1/32的VPN报文从PE3传输到CE4的过程为例，说明VPN报文在运营商网络上的传输过程：

1. PE3收到目的地址为10.1.1.1/32的VPN报文后，为其打上私网标签I-L和BGP LSP的隧道标签L4，并通过二级运营商公网LSP隧道将VPN报文透明传输给CE1。

   将报文传给CE1之前，CE1的上一跳LSR将外层公网标签弹出。

2. CE1上对BGP LSP进行标签交换，弹出L4，打上L3，转发给PE1。

3. PE1也进行标签交换，弹出标签L3，并打上标签L2，接着打上公网标签L'，通过公网隧道LSP将报文传输给PE2。公网标签L'在PE2的上一跳LSR上被弹出。

4. PE2也进行标签交换，弹出标签L2，打上标签L1，并将报文转发给CE2。

5. CE2弹出标签L1，接着打上二级运营商公网标签L''1，通过二级运营商的LSP的隧道将报文透明传输给PE4。

   将报文传给PE4之前，PE4的上一跳LSR将二级运营商公网标签弹出。

6. PE4弹出标签I-L，并根据标签I-L将报文转发给CE4。

使用价值

运营商的运营商组网方案具有以下优势：

• 可以减轻二级运营商的配置、管理和维护的负担，交由一级运营商来承担。

• 二级运营商使用的地址独立于其客户及一级运营商，便于二级运营商的地址规划。

• 一级运营商可以使用一个骨干网就可以为多个二级运营商提供VPN服务，同时提供其他的VPN服务和Internet服务，增加了一级运营商的收益。

• 一级运营商不必为每个二级运营商维护单独的骨干网，使用同样的方式管理和维护每个二级运营商的VPN业务，从而简化一级运营商的操作。

运营商的运营商也有其不足之处，它是一种严格的对称组网方式，要求用户分布在相同层次上。只有相同层次上的VPN用户之间才能互访；不同层次之间的VPN用户之间不能互访。

在同一层次的VPN用户之间直接交互VPN路由信息。因此，需要确保同一层次的路由可达，处于一个层次的用户必须维护该层面的路由信息。并且，同一层次的PE设备之间需要直接交互VPNv4路由信息。