基于負載分離的跨域虛擬專用網解決方案

陶志勇,王如龍,張 錦,3

(1.長沙民政學院軟件學院,長沙410004;2.湖南大學軟件學院,長沙410082; 3.湖南師范大學數學與計算機科學學院,長沙410012)

基于負載分離的跨域虛擬專用網解決方案

陶志勇1,2,王如龍2,張 錦2,3

(1.長沙民政學院軟件學院,長沙410004;2.湖南大學軟件學院,長沙410082; 3.湖南師范大學數學與計算機科學學院,長沙410012)

利用多協議標簽交換和邊界網關協議構建的虛擬專用網(VPN),在跨域平臺中存在無法生成標簽路徑和邊界設備負載過重的問題。為此,從標簽分配原理和數據轉發層面分析產生上述問題的根源,并提出背靠背方案和基于單跳EBGP的方案處理承載標簽轉發問題,但這些方案無法解決邊界設備負載過重問題。進而基于多跳EBGP提出負載分離的VPN解決方案。通過擴展現有協議和修改系統架構,對傳統VPN方案進行改進,并針對不同的網絡環境給出具體配置方案。為評估方案性能,通過多項指標對比不同的解決方案。分析結果表明,基于負載分離的VPN解決方案能夠解決標簽問題和負載問題,是實現跨域VPN的有效方案。

多協議標簽交換;邊界網關協議;標簽;自治系統;域;虛擬專用網

1 概述

因特網工程任務組(Internet Engineering Task Force,IETF)發布的RFC-2547描述了一種運營商通過IP骨干網為用戶提供虛擬專用網(Virtual Private Network,VPN)[1]業務的方法。該方法通過擴展邊界網關協議(Border Gateway Protocol,BGP)[2]為通過骨干網的私網數據分發VPN路由信息,并使用多協議標簽交換 (Multiprotocol Label Switching, MPLS)[3]在VPN用戶站點之間轉發VPN流量。這種組網方式靈活性好、擴展性強,已越來越受運營商、電力、教育、政府部門的青睞[4-5]。

隨著用戶網絡規模范圍成倍增長,需要與另外一個服務提供商或另外的自治系統(Autonomous System,AS)相連的可能性的需求變得非常普遍[6-7]。MPLS和BGP構建的VPN體系結構是在同一個自治系統內運行,任何VPN的路由信息限定于在一個自治系統內按需擴散,它沒有提供一個自治系統內的VPN路由信息向其他自治系統擴散的功能。因此,互聯網工作組正在著力研究跨自治系統域或跨運營商的VPN的互聯問題[7-8]。

針對MPLS和BGP構建的VPN不支持跨域的缺陷,本文從兩方面著手解決該問題。首先提出2種側重不同的VPN解決方案:背靠背解決方案和基于EBGP的解決方案,并分析2種方案的優缺點[2]。然后基于這2種方案,提出一種綜合的跨域VPN解決方案:基于負載分離的跨域VPN解決方案,通過為BGP路由信息分配公網標簽,實現2條標簽交換路徑的無縫對接,擴展了現有協議并修改了基于MPLS和BGP構建的VPN的體系框架。

2 相關研究

2.1 跨域問題

構建基于MPLS和BGP的跨域VPN,需要根據MPLS和BGP的原理進行合理設計。MPLS和BGP構建的VPN能實現私網數據穿越公網,并把私網數據準確地轉發到相對應的接口,主要依賴于兩層標簽。一層是把數據發送到相對應的 PE(Provider Edge)設備的公網標簽;另一層是把數據發送到PE設備對應接口的內層標簽(如圖1所示)。

圖1 MPLS和BGP的組網

在這種模式中,公網標簽和私網標簽是實現私網數據穿越公網的關鍵。但將基于MPLS-BGP構建的VPN拓展到不同自治系統時,存在以下2個關鍵問題:

問題1 如何解決在自治系統間的設備上承載標簽的轉發,形成與之對應的標簽轉發路徑。

MPLS和BGP技術構建的VPN公網標簽轉發路徑的形成,需要在公網的設備上都要運行MPLS標簽分配協議(Label Distribution Protocol,LDP)。LDP協議給Loopback地址分配標簽后,會形成與之對應的標簽轉發路徑,且要求Loopback地址的路由信息是IGP(Interior Gateway Protocol)。2個自治系統間設備上交互路由的協議都是采用的是 BGP, BGP是一種EGP的路由協議,通過BGP路由協議學習到的路由,無法通過LDP給它分配標簽,形成標簽轉發表。公網標簽轉發表無法形成,導致在公網上無法建立一條邏輯通道,進而使得私網數據無法傳輸。另外,私網數據能正確地轉發到PE設備的接口,還得依賴于BGP給它分配的私網標簽,因此,在兩臺自治系統間的設備上,需要承載考慮私網標簽的轉發,進而解決私網數據正確地轉發到與之對應的PE設備接口。

問題2 2個自治系統間設備負載過重問題。

任何跨自治系統間的私網路由,首先在單域系統內通過與自治系統邊界設備建立連接關系,并把私網路由信息發送給自治系統邊界設備,再由邊界設備與對端邊界設備進行數據的交互。該數據交互過程,使得2個自治系統間的設備不但成了公網路由數據的交互中心,同時,也成為處理私網路由數據的交互中心。另外,邊界設備上對于公網標簽的路由信息和私網路由都不能聚合,公網標簽路由信息的聚合會影響標簽轉發表的形成,無法生成正確的標簽轉發路徑。私網路由一旦聚合就會影響路由信息的特征,使得無法識別私網數據來自哪一個VPN網絡。基于這些原因,使得自治系統邊界設備不堪重負。

2.2 研究進展

解決上述問題是跨域VPN技術實用化的基礎。綜合考慮 MPLS和 BGP自身的特點,需對現有MPLS和BGP構建典型VPN的體系結構進行調整,以滿足跨自治系統的要求。其中最關鍵的問題在于,基于MPLS和BGP構建的VPN在跨自治系統網絡中無法生成標簽轉發路徑,進而沒法建立邏輯通道,使私網數據暴露在公網上,導致私網數據無法穿越公網。解決該問題是成功跨域VPN方案的關鍵所在,針對該問題,本文首先給出了2種側重不同的解決方案。

2.2.1 背靠背解決方案

為實現私網數據能跨自治系統平臺進行傳輸,給出的背靠背解決方案的主要思想包括以下3點: (1)在自治系統邊界設備上創建多接口或子接口,使每一個VPN有與之對應的接口。(2)把不同的接口與各自接口對應的VPN綁定,實現域間傳播路由的私有性。(3)自治系統邊界設備上只運行普通的BGP,不運行LDP協議,在自治系統設備之間相對應的VPN實例下交互普通的IPV4路由。同時,每個自治系統邊界設備把對方當CE設備看待。該方案拓撲如圖2所示。

圖2 背靠背方案拓撲

該方案具有如下優點:(1)對自治系統邊界設備要求不高,只要支持原有的MPLS和BGP技術構建的VPN。(2)標簽路徑的建立,在這種方式下PE設備只要維護到本AS內的自治系統邊界設備的標簽就可以。(3)此方案應用起來非常簡單,不要擴展協議和做任何的特殊設置,該方案屬于天然支持,在需要跨域的VPN用戶數量比較少的情況,可以考慮使用該方案,簡單的也是最實用的。同時,基于背靠背方案構建的跨域VPN存在一些缺陷,包括:(1)不同VPN用戶需要與之對應的接口,隨著VPN用戶數量的增加,該配置繁瑣,且存在有的自治系統邊界設備的物理接口不能創建邏輯子接口的情況。(2)由于需要在自治系統邊界設備上為每個VPN用戶建立獨立的鏈路,如果有200個VPN用戶,那么就需要建立200條鏈路,且需要建立200個BGP的鄰居關系,所以這種跨域平臺的VPN技術只適合VPN用戶數量很少的情況。

2.2.2 基于單跳EGBP的解決方案

考慮到背靠背方案中存在的擴展困難、配置繁雜等問題,可以考慮采用單跳EBGP方案。該方案的基本設計思路包括如下3點:(1)2臺自治系統邊界設備除了建立普通BGP連接關系外,且還讓它們建立 MP-BGP的連接關系。(2)在 ipv4-family vpnv4模式下交互不同VPN用戶的私網數據,并采用路由策略的方式取消對VPN用戶數據的過濾。同時,啟動自治系統邊界設備接口的MPLS轉發功能。(3)收到自治系統邊界設備發送過來的VPNV4的路由后,在發送自治系統內的PE時采用修改下一跳的方式發送給PE。

相比于背靠背方案,基于單跳EBGP的方案的不同之處在于自治系統邊界設備上只需一條鏈路。此外,單跳EBGP方案的路由發布與背靠背方案也略有不同,包括:(1)自治系統邊界asbrA把VPNA用戶的路由加入到VPNV4的BGP路由表中,而在背靠背方案中把該路由加入到對應的VPNA的IP路由表中。(2)自治系統邊界asbrA把VPNV4里的VPNA的BGP路由信息,通過MP-EBGP方式把路由信息重新分配私網標簽后傳遞給asbrB。而在背靠背方式中在2個自治系統邊界設備上傳遞的是普通的IPV4路由,而在單跳EBGP方案中傳遞的是VPNV4的路由。

基于EBGP方案構建的跨域平臺VPN具有如下優點:(1)自治系統間配置任務少,不需要在自治系統邊界設備上建立本地的VPN用戶,并在VPN用戶視圖下創建眾多的BGP連接,進而使自治系統邊界設備不要維護VPN的路由表以及鄰居關系。(2)擴展性好,不管有多少VPN用戶,都只需要在域間的自治系統設備上建立一個BGP連接,并只需要維護一條鏈路。

3 基于負載分離的跨域VPN實現方案

考慮到自治系統邊界設備不但要維護公網路由,還需要接收所有PE設備發過來的私網路由,因此,負載問題必須在構建VPN方案中給出解決方案。而上述2種方案只是解決了私網數據可以跨域的問題,難以處理自治系統邊界設備上的負載過重問題。

針對該問題,本文提出了一種綜合上述方案優點的解決方案。該方案利用多跳EBGP方案,其基本思想(如圖3所示)包括如下3點:(1)自治系統之間PE在ipv4-family vpnv4模式下建立EBGP的鄰居關系,傳遞VPNV4的私網路由。(2)自治系統邊界設備上建立普通的EBGP鄰居關系,交互自治系統邊界設備的直連路由與PE設備的回環地址信息,并啟用向鄰居發送標簽路由的功能。(3)PE與自治系統邊界之間建立普通的 IBGP的鄰居關系,向IBGP的鄰居發送標簽路由。

圖3 多跳EBGP方案拓撲

為了評估其性能,以圖4所示網絡拓撲為例給出了方案的實施過程,并分析了方案性能。圖4給出了跨域平臺的數據交互和標簽交換過程。VPN1路由5.5.5.5在圖中自治系統間控制平面的轉發過程。(1)2臺自治系統間的PE設備VPNV4路由信息的交互與背靠背方案中域內的VPNV4的交互一樣,區別在于多跳EBGP方案只是跨自治系統交互VPNV4的路由。(2)在整個跨域平臺上都需要維護2臺PE設備回環地址的公網標簽。

圖4 多跳EBGP方案的標簽與數據交互過程

針對上述拓撲結果,基于負載分離的VPN構建方案可以參考表1所示配置而實現。asbrB的配置與asbrA一樣,另外,多跳EBGP方案的配置需要在自治系統邊界設備上啟用標簽轉發的功能,以及在peA和peB之間在ipv4-family vpnv4模式下建立EBGP的鄰居關系,交互私網路由,并在peA、peB之間啟用建立多跳EBGP的功能。

上述配置后,在peA設備查找公網標簽和私網標簽路徑如圖5所示。圖中公網和私網的標簽轉發表的形成,給私網數據穿越公網創建了邏輯通道,并標識了不同VPN用戶的數據。

在設備peA查找VPN實例相對應的路由表,如圖6所示。圖中顯示的結果說明,peA設備已學習到自治系統200內peB的私網路由,且私網路由的交互直接在2臺設備之間交互完成,兩臺自治系統邊界設備不需要學習這些私網路由,進而減輕了邊界設備的負擔。

表1 基于負載分離的VPN構建方案的參考實現配置(asbrA)

圖5 peA設備公網和私網標簽表

根據上述方案的配置與實現,并對方案進行仿真實驗與驗證后,對不同的實現方案進行分析,如表2所示。可以發現,多跳EBGP方式自治系統邊界設備上只需要維護公網路由,不需要維護私網路由。在標簽方面,也只需要維護公網標簽,不需要維護私網標簽。私網路由和私網標簽的維護都交給自治系統內PE設備去維護。相比前兩種方案,基于負載分離的VPN實現方案可實現公網路由與私網在管理上的分離,并減輕自治系統邊界設備的負擔,進一步擴展了MPLS和BGP構建的VPN在網絡中的應用。

圖6 peA設備VPN實例路由表

表2 方案特性對比

4 結束語

標簽路徑無法形成與自治系統間設備承載過重的問題,影響了MPLS和BGP構建的VP在跨域平臺中的應用。為此,本文提出了 2種解決方案,這2種方案能夠部分解決跨域難題,背靠背方案能夠實現跨域平臺私網數據的交互,基于單跳EBGP的方案具有更好的擴展性,但是均無法解決負載過重的問題。進而,提出了一種綜合性的跨域VPN實現方案。在理論上,該方案對原協議進行了擴展。為了評估該方案的可行性,本文從可維護性、擴展性、負載等角度對比了12個方面的指標,結果表明,提出的方案在跨域VPN實現方面更具有優勢,能有效解決MPLS和BGP構建的VPN跨域問題[9-10],實現該技術在跨域平臺中的應用。

[1] Rahman M A,KabirA H,LutfullahK A,etal. Performance Analysis and the Study of the Behavior of MPLS Protocols[C]//Proc.of International Conference on Computer and Communication Engineering.[S.l.]: IEEE Press,2008:13-15.

[2] 侯劍鋒,馬 明.MPLS VPN中PE-CE互連仿真研究[J].計算機工程,2010,36(12):123-125.

[3] Rahman M A,Kabir A H,Lutfullah K A M,et al. Performance Analysis and the Study of the Behavior of MPLS Protocols[C]//Proc.of International Conference on Computer and Communication Engineering.Kuala Lumpur,Malaysia:[s.n.],2008:226-229.

[4] Zhang Haiyan,Igor U,Li Han.Linear Protection Switching in MPLS-TP[Z].2011.

[5] Lee Y W,Kim S,Park J,el al.A Light Weight Implementation of RSVP-TE Protocol for MPLS-TE Signaling [J].Computer Communications,2007,30(6):1199-1204.

[6] Chu J,Lea C T.Optimal Link Weights for IP-based Networks Supporting Hose-model VPN[J].IEEE/ACM Transactions on Networking,2009,17(3):778-788.

[7] 任金秋,馬海龍,汪斌強.跨域BGP/MPLS VPN在高性能路由器中的實現[J].計算機工程,2009,35(3): 126-129.

[8] Vitch P J.Enterprise Buyer's Guide to Layer 3 MPLS VPN Service[J].Enterprise Network&Servers,2005, (11):18-20.

[9] Matinez R,Pinart C,Cugini F,et al.Challenges and Require-mentsforIntroducing Impairment-awareness into the Management and Control Planes of ASON/ GMPLS WDM Networks[J].IEEE Communications Magazine,2006,44(12):76-85.

[10] 盧眾寧,蘇厚勤.MPLS-VPN在企業ERP實施過程中的應用研究[J].計算機應用與軟件,2012,29(2): 90-93.

編輯 金胡考

Crossing-domain Virtual Private Network Solution Based on Load-separation

TAO Zhi-yong1,2,WANG Ru-long2,ZHANG Jin2,3
(1.Software School,Changsha Social Work College,Changsha 410004,China;
2.Software School,Hunan University,Changsha 410082,China;
3.College of Mathematics and Computer Science,Hunan Normal University,Changsha 410012,China)

When Virtual Private Network(VPN)constructed by Multiprotocol Label Switching(MPLS)and Border Gateway Protocol(BGP)is used in crossing domain platform,the label path can not be found and boundary devices are overloaded.Aiming at these problems,this paper analyses the fundamental reasons on the basis of label distribution and data forwarding plane.It brings forward two schemes,namely back to back project and single hop scheme based on EBGP to solve the problem of label distribution.However,the problem of overloading remains to be unsolved.Then this paper further proposes load-separation VPN solution based on multi-hop EBGP.In detail,the scheme improves the traditional VPN scheme by extending the existing protocols and modifying the systematic framework and brings forward specific configuration according to different network environment.This paper evaluates the performance of the schemes by comparing the different solutions through many indexes and the results indicate that load-separation VPN scheme is effective in realizing crossing-domain VPN and can solve both label distribution and overloading.

Multiprotocol Label Switching(MPLS);Border Gateway Protocol(BGP);lable;Autonomous System (AS);domain;Virtual Private Network(VPN)

1000-3428(2014)09-0106-05

A

TP393

10.3969/j.issn.1000-3428.2014.09.022

國家自然科學基金資助項目(60901080);國家“863”計劃基金資助項目(2009AA010314);湖南省教育廳基金資助項目“面向集成的VPN構建策略研究與實現”(13C1051)。

陶志勇(1980-),男,高級工程師、碩士,主研方向:網絡結構及優化,傳感器網絡;王如龍,教授;張 錦(通訊作者),副教授、博士后。

2013-09-22

2013-12-10E-mail:mail_zhangjin@163.com