什么是6VPE？

MPLS IPv4网络向IPv6网络演进

IPv6作为下一代的网络层协议，不仅提供了充足的地址空间，支持更多的用户和设备接入互联网，并且以其更高的服务质量与安全性受到了越来越多的重视。

随着网络从IPv4向IPv6演进，两种网络在一段时期内共存是不可避免的。在演进过程前期，IPv6网络还没有大量部署，网络仍然以IPv4为主，就会出现IPv6孤岛。6PE（IPv6 Provider Edge）技术可以提供MPLS IPv4网络实现孤立IPv6网络之间的互连，但随着IPv6网络的广泛应用，对IPv6 VPN的需求也急剧增长。

6VPE对所在网络附加了VPN技术，可以对所连接的IPv6网络进行逻辑隔离，大大提升IPv6网络的安全性。

6VPE与6PE的共同点

6VPE与6PE技术同样是基于BGP MPLS VPN原理实现的，它们有许多的共同点：

• 同属IPv6孤岛隧道技术，在IPv4骨干网中使用MPLS对IPv6隧道进行屏蔽，P（Provider）设备与其他PE（Provider Edge）设备之间仍使用IPv4的IGP来建立路由关系。
• 同样需要使用MP-BGP的多协议扩展属性为IPv6网络传播路由信息。

6VPE与6PE的不同点

6PE技术将所连接的IPv6网络视作一个VPN客户，IPv4骨干网就是为整个VPN客户提供隧道连接，无法实现逻辑隔离。同时，由于IPv6与IPv4本身就是不同的地址族，IPv6路由信息与其他IPv4路由不需要特意进行区分，因此6PE路由器上的IPv6路由表就相当于BGP/MPLS IP VPN中的一个VRF路由表。

而6VPE是一种VPN技术，对所在网络附加了VPN，保证属于不同用户的私有IPv6站点间的业务是相互隔离的。为了提供IPv6的VPN服务，6VPE网络定义了新的VPN-IPv6地址族，并且需要为每个IPv6 VPN建立独立的VRF路由表，也就实现了不同IPv6 VPN之间的逻辑隔离。

6VPE技术的优点

6VPE技术具有如下优点：

• 配置便捷：利用已有IPv4/MPLS骨干网，在改动较小的情况下，将IPv6网络连通起来。并且所有配置都在PE设备上完成，用户的IPv6网络感知不到IPv4网络的存在。
• 业务广泛：6VPE不限制骨干网所采用的IP协议版本，IPv6 VPN流量主要通过IPv4隧道进行传输，PE之间的公网隧道除LDP LSP外，还支持CR-LSP和GRE隧道。
• 更加安全：对所连接的IPv6网络进行逻辑隔离，大大提升IPv6网络的安全性。

6VPE单自治域组网

基本的单自治域6VPE组网如下图所示，PE设备需要同时支持IPv4和IPv6，而CE设备只需要运行IPv6协议即可，PE和CE间可以运行多实例IPv6协议，如BGP4+、IS-ISv6、RIPng、OSPFv3或静态路由。PE之间的公网隧道可以是LDP LSP隧道、TE隧道以及GRE隧道。

由于GRE报文中还封装了带标签的IPv6报文，如果公网隧道是GRE隧道，则同时需要在公网的各个接口上使能MPLS。

6VPE单自治域组网结构

6VPE跨域OptionA组网

跨域OptionA组网如下图所示，其主要特点为：

• ASBR（Autonomous System Boundary Router，自治系统边界路由器）间的接口绑定到IPv6 VPN实例，并配置IPv6地址，而各AS内部运行的均为IPv4协议，也就是说，ASBR和PE上都需要同时运行IPv4和IPv6协议。
• ASBR间可以使用多实例IPv6协议。
• ASBR间的数据报文转发为普通IPv6转发，没有标签，域内（PE-ASBR）的数据报文转发为带两层（或一层）标签的IPv6 VPN实例转发，最内层标签为IPv6 VPN实例的私网标签。

6VPE跨域OptionA组网结构

6VPE跨域OptionB组网

跨域OptionB组网如下图所示，其主要特点为：

• AS域内和域间运行的均为IPv4协议，PE上需要同时运行IPv4和IPv6协议。
• ASBR通过直连接口建立MP-EBGP邻居，在VPNv6地址族下使能邻居的VPNv6能力。
• ASBR间的数据报文转发为带一层标签的IPv6 VPN实例转发，域内（PE-ASBR）的数据报文转发为带两层（或一层）标签的IPv6 VPN实例转发，最内层标签为IPv6 VPN实例的私网标签。

6VPE跨域OptionB组网结构

6VPE跨域OptionC组网

跨域OptionC组网如下图所示，其主要特点为：

• AS域内和域间运行的均为IPv4协议，PE上需要同时运行IPv4和IPv6协议。
• ASBR通过直连接口建立MP-EBGP，并配置对邻居发送带路由的标签。其中，BGP邻居之间协商的是通告带标签的IPv4路由能力。
• PE与ASBR通过环回口建立MP-EBGP邻居，并配置对邻居发送带路由的标签。其中，BGP邻居之间协商的是通告带标签的IPv4路由能力。
• PE间通过环回口建立Multihop MP-EBGP，并在VPNv6地址族下使能邻居。其中，BGP邻居之间协商的是通告带标签的VPN路由能力。
• ASBR间的数据报文转发为带二层标签的IPv6 VPN实例转发，域内（PE-ASBR）的数据报文转发为带三层（或两层）标签的IPv6 VPN实例转发，最内层标签为IPv6 VPN实例的私网标签。

6VPE跨域OptionC组网结构

6VPE的控制层面

6VPE控制层面的工作流程如下图所示，以CE1向CE2发布路由为例，CE2发布路由的过程与CE1类似：

1. CE1设备与直接相连的PE1建立邻居或者对等体后，向PE1发布本站点的IPv6路由2001:DB8:1::1/128，CE跟PE之间的使用标准的IPv6路由协议；
2. PE1设备接收到CE1的路由信息后，为路由增加RD前缀后转换为VPN-IPv6路由，通过MP-BGP将路由发布给远端PE2。PE2接收到VPN-IPv6路由后，加入到VPN-IPv6路由表中，同时存储MP-BGP Update消息中携带的MPLS标签信息；
3. PE2设备将收到的IPv6路由剥掉标签，通过IPv6路由协议（如BGP4+、ISISv6、RIPng）发送给CE2。

6VPE控制层面工作流程

6VPE的转发层面

6VPE转发层面的工作流程如下图所示，与BGP/MPLS IP VPN相似，在IPv6报文外层封装两层标签，使携带标签的IPv6报文可以穿过IPv4核心网。其中，外层为MPLS隧道标签，用来指示如何到达BGP下一跳；内层为VPN-IPv6标签，用于查找报文的出口、属于哪个VPN。由于CE与PE之间转发的是IPv6报文，而PE之间是MPLS转发，依赖IPv4路由提前建立MPLS隧道，所以PE上需要支持并开启IPv4和IPv6双栈协议。

IPv6报文通过6VPE隧道传输需要经过以下五个阶段：

1. CE1向PE1发送IPv6报文。
2. 隧道封装，IPv6报文进入PE1之后，通过IPv6 VPN的路由转发表获取到内层标签（L2）；然后根据IPv4地址获得其对应的公网隧道标签（L1）。
3. 隧道转发，报文携带两层标签通过公网隧道被转发到骨干网，P设备上是纯标签转发，并不会感知带内层的IPv6信息。
4. 隧道解封装，P设备收到封装了两层标签的IPv6报文后先进行标签交换，并利用PHP可以弹出外层标签L1’。
5. PE2收到报文后，通过内层标签（L2）识别出对应的VPN实例，剥掉内层标签。得到的就是没有标签的标准IPv6报文了，PE2根据报文的目的地址，查找VPN路由转发表信息将IPv6报文发送给CE2。

6VPE转发层面工作流程