BGP/MPLS IP VPN 中 MPLS 标签的反欺骗支持（AS 间选项 B）

Junos OS 16.1 及更高版本解决了选项 B 造成的安全缺陷。新功能提供基于策略的 RD 过滤（防范 MPLS 标签欺骗），以确保仅接受在服务提供商域内生成的 RD。同时，该过滤还可用于过滤 PIM Rosen 实施从思科 PE 生成的环回 VPN-IPv4 地址，如果将其导入到客户虚拟路由和转发 （VRF） 表中，可能会导致路由问题和流量丢失。使用 MPC1、MPC2 和 MPC3D MPC 时，M、MX 和 T 系列路由器支持这些功能。

AS 间选项 B 使用 BGP 在 ASBR 之间发出 VPN 标签信号。基本 MPLS 隧道是每个 AS 的本地隧道，堆叠隧道在不同 AS VPN 路由上的 PE 路由器之间端到端运行。对选项 B 实施的 Junos OS 反欺骗支持通过创建不同的 MPLS 转发表上下文来工作。将为每组 VPN ASBR 对等方创建一个单独的 mpls.0 表。因此，每个 MPLS 转发表仅包含播发给 AS 间选项 B 对等方组的相关标签。使用不同 MPLS 标签接收的数据包将被丢弃。可通过配置为 MFI（一种为需要 MPLS 欺骗保护的 AS 间 BGP 邻接方创建的新型路由实例）一部分的本地接口访问选项 B 对等方，因此从选项 B 对等方到达的 MPLS 数据包将在特定于实例的 MPLS 转发表中解析。

要启用对 MPLS 标签的反欺骗支持，请在所有启用 MPLS 的 AS 间链路（必须运行受支持的 MPC）上配置新路由实例类型的 mpls-forwarding单独实例。然后将每个选项 B 对等方配置为将此路由实例用作其 forwarding-context BGP 下实例。这将形成与对等方的传输会话，并对来自对等方的流量执行转发功能。欺骗检查发生在具有不同 mpls-forwarding MFI 的任何对等方之间。对于具有相同 forwarding-context，欺骗检查是不必要的，因为对等方共享相同的MFI.mpls.0表。

请注意，只要启用了 MPLS 的 AS 间链路位于受支持的 MPC 上，混合网络（即包含未运行受支持的 MPC 的瞻博网络设备）也支持对 MPLS 标签的反欺骗支持。网络中的任何现有标签交换接口 （LSI） 功能（如 vrf-table-label）将继续照常工作。

AS 间选项 B 支持平滑 RE 切换 （GRES）、不间断主动路由 （NSR） 和服务内软件升级（统一 ISSU）。