ＢＧＰ／ＭＰＬＳ　ＶＰＮ原理及安全實施

陳淑瑜

摘要：從應用的角度探討了BGP/MPLS VPN的方案實施和性能。

關鍵詞：MPLSVPN服務質量

1BGP/MPLS VPN網絡結構和原理

BGP/MPLS VPN的實現使用雙層標簽技術實現隧道，內部標簽由邊緣設備完成與用戶站點的映射，控制在出口路由器上的轉發，一般通過BGP分發。外層標簽完成在MPI.S域中的轉發，標識著本標簽報文需要哪個邊緣設備處理，一般通過LDP分發，或者在運營商希望實施流量工程時通過使用RSVP-TE或CR-LDP分發，核心層的設備P不需要也不可能知道內層標簽的存在，只是按照棧頂標簽來交換VPN分組，不會查看非棧頂標簽。

1．1 BGP/MPLS VPN網絡結構

網絡體系結構如圖1所示，由三種路由器P、PE、CE和用戶站點組成。

P：是運營商核心的路由器，是運營商網絡中的不與CE設備連接的任何路由器，相當于核心部分的標簽交換路由器(LSR)，負責MPLS包的轉發。

PE：服務提供商核心網邊緣路由設備，相當于核心部分的標簽邊緣路由器(LER)。

CE：通常為VPN用戶站點中的一個路由器或交換設備，接收和分發用戶網絡路由，CE路由器只與和它直接連接的PE建立路由對等關系，并彼此傳播VPN路由信息。

用戶站點：是VPN中的一個孤立的IP網絡。如果某站點只有一臺主機，那么該主機可以就是CE設備。

1．2 BGPAMPLS VPN的工作原理

(1)路由信息分發：因為采用了兩層標簽棧結構，所以P路由器并不參與VPN路由信息的交互，客戶路由器通過CE和PE路由器之問、PE路由器之間的路由交互知道屬于某個VPN的網絡拓撲信息。CE-PE路由器之間通過采用靜態/缺省路由，或采用IGP(RIPv2、OSPF)等動態路由協議，或建立EBGP連接等方式進行路由信息的交互。PE-PE之間通過采用MP-BGP進行路由信息的交互。正常的BGP(Border GatewayPmtoc01)協議能只傳遞IPv4的路由，它的擴展性好，可以在原來的基礎上再定義新的屬性，通過對BGP修改，把BGP4擴展成MP-BGP。PE路由器通過維持BGP網狀連接或使用路由反射器來確保路由信息被分發給所有的PE路由器。

(2)數據轉發：在MPKS網絡中傳輸的VPN數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構，它們分別對應于兩個層面的路由：域內路由和VPN路由。域內路由即MPI.S中的LSP是由PE路由器和P路由器通過運行LDP或RSVP(Resource Reservation Protoc01)建立的，它所產生的標簽轉發表用于VPN分組外層標簽的交換。VPN路由是由PE路由器之間通過運行MP-BGP建立的，該協議跨越骨干網的P路由器分發VPN標簽形成VPN路由。

2BGP/MPLS VPN應用方案分析

某金融企業擁有若干業務網點，可以完成儲蓄、清算、轉帳等業務，各網點之間的業務需要實時聯系，各種業務需要進行隔離的特點，在企業內部建立業務相互隔離的內部網絡。本文僅以儲蓄和清算業務為例討論其解決方案的網絡結構和配置，如圖2所示。

2．1具體方案

企業主干網是MPLS網絡，不同的業務網屬于不同的VPN，可以用不同的RD來標識，圖中假設RD：1010屬于儲蓄業務用戶，而RD：99屬于清算業務用戶。然后具體配置PE，需要定義并且配置VRF、RD、RT，配置導入導出策略，配置MP-BGP協議、PE到CE的路由協議、配置連接CE的接口，將該接口和前面定義的VRF聯系起來。圖2中CEl、CE2組成一個VPN，CE3、CE4組成一個VPN，由于使用了VPN-IPv4地址，兩個VPN可以使用相同的地址段，主機l和主機2分別使用地址10.1.1.0,8和10.1.1.1/8，主機3和主機4也可以使用地址10.1.1.0'8和10.1.1.1/8。則PEl的配置為：net=10.1.1.0/8，RD=1010:1，RT=100:1，label=18，Next_hop=PE2。

CEl、CE2具體數據轉發過程如下：

①CEl接收到發往10.1.1.的IP數據包，查詢路由表，把該IP數據包發送到PEl：

②PEl收到IP數據包后，根據其對應的VRF，給數據包打上標簽18，該標簽就是通過MP-BGP協議傳來的。PEl繼續查詢全局轉發表，獲知要把數據發往10.1.1.1，必須先發送到PE2，而要發送到PE2，則必須打上由Pl告知的標簽2。所以該lP包被打上了兩個標簽；

③P1接收到標簽包后，分析頂層的標簽，把項層標簽換成4，繼續發送到P2：

④P2和Pl一樣做同樣的操作，由于末次中繼彈出機制，P2去掉標簽4，直接把只帶有一個標簽的標簽包發送到PE2；

⑤PE2收到標簽包后，分析標簽頭，由于該標簽8是它本地產生的，而且是本地唯一的，所以PE2很容易查出帶有標簽8的標簽包應該去掉標簽，恢復IP包原貌發出。CE2獲得IP數據包后，進行路由查找，把數據發送到10.1.1.1/8網段上。

2．2該應用方案具有的性能特點

(1)BGP/MPLS VPN安全性采用尋址空間分離、路由隔離和信息隱藏等多種機制來實現的，提供了抗攻擊和標簽欺騙的手段。

尋址空間分離：MPLS核心采用VPN-IPv4地址路由，通過在IPv4路由上添加一個路由區分符(RD)，確保在VPN中獨一無二的地址在MPLS核心中同樣是獨一無二的。通過地址隔離，使得屬于某個VPN的用戶只可能攻擊他自己的網絡，而無法攻擊別人的網絡。

路由分離：PE路由器為每一個VPN保持一個分離的路由表(VRF)。這些VRF不僅彼此獨立，而且與全局路由表獨立。即使有VPN用戶網絡使用相同的地址空間，也是完全隔離的。

核心隱藏：在MPLS內部連接到VPN的接口是PE，沒有必要透露關于核心的任何信息給用戶站點和CE。如果在PE和CE之間使用動態路由協議，CE唯一知道的信息是PE路由器的地址；如果不需要此信息，可以在PE和CE之間配置靜態路由，徹底隱藏MPLS核心。CE路由器不知MPLS核心的存在，所有“標簽”工作都應由PE完成。

(2)在OoS方面有良好的表現

MPLS最重要的優勢能夠為ISP提供現有傳統IP路由技術所不能支持的要求保證QoS的業務。通過MPLS技術，sP可以提供各種新興的增值業務，有效實施流量工程和計費管理措施，擴展和完善更高等級的基礎服務。

目前比較成熟的解決方案是采用DiffServ(差分服務)，即在網絡的邊緣對IP業務流進行流量監控及分類，并且根據分類的結果對報文進行標記，在MPLS邊緣設備上將IP的DSCP映射拷貝到MPLS標簽的EXP域中，在中間KSR設備上，根據MPLS標簽中的EXP域所指明的優先級進行隊列調度。在PE設備與骨干網絡之間的QoS控制可以基于隧道實現，目前已有幾種MPLS差分服務方案如E-LSP、L-LSP等。

MPLS利用顯式路由功能同時通過帶有QoS參數的信令協議建立受約束標簽交換路徑(CR-LSP)，因而能夠有效地實施流量工程。流量工程是基于業務流所需的資源和網絡中的可用資源為業務流在穿越網絡時進行選路，MPLS采用受約束的選路方式，控制網上的特定路由，減少阻塞。實質上是通過平衡QoS與網絡中非QoS資源的使用來實現網絡性能的優化，保證端到端的QoS。

對于一個VPN的業務而言，不同的站點之間傳遞的數據在骨干網絡中采用隧道的方式通過，因此在PE設備與骨干網絡之間的QoS控制可以基于隧道實現。該方案中用戶可以將VPN的管理完全托管給骨干網絡管理機構，自己不需要了解VPN的構造和連接。

3結束語

BGP/MPLS VPN采用MPLS作為隧道機制實現透明報文傳輸，具備安全、高速交換、可靠性和高性能，支持QoS和流量工程等優點，有利于部署一些新型服務。其適用范圍是高效運作、商務活動頻繁、數據通信量大、對網絡依靠程度高、有較多分支機構，如IT公司、金融業、貿易行業、新聞機構等，企業網的節點數較多，通常將達到幾十個以上。