MPLS/BGP-VPN技術應用

王文娟李緒凱張天輝邢娜

（1軍械工程學院河北石家莊 053000）

（2中國電子科技集團公司第五十四研究所河北石家莊 050081）

MPLS/BGP-VPN技術應用

王文娟1李緒凱2張天輝1邢娜1

（1軍械工程學院河北石家莊 053000）

（2中國電子科技集團公司第五十四研究所河北石家莊 050081）

圍繞現有網絡中的虛擬私有網絡（VPN）應用技術，首先介紹基于MPLS/BGP的VPN技術，包括MPLS/BGP VPN技術的原理和涉及的主要概念，MPLS VPN的網絡結構以及MPLS/BGP VPN中的RD和RT等概念。通過詳細描述路由發布和數據轉發過程，深入分析MPLS/BGP VPN技術的通信原理，在理論基礎上，使用阿爾卡特的成熟網絡設備進行實例配置，給出具體的配置思路和步驟，使MPLS/BGP VPN技術的原理和實際應用進行了有效地結合，為其他網絡設備配置提供參考。

VPN技術 MPLS網絡 BGP

1 引言

隨著計算機網絡的發展，專網已經越來越被人們所接受，而虛擬私有網絡技術則是其中的典型應用。虛擬私有網絡是指利用公共網絡來構建的私人專用網絡，用于構建VPN的公共網絡包括Internet、幀中繼和ATM等，而在VPN中應用較為廣泛的是基于三層的MPLS/BGP VPN技術。

2 MPLS VPN網絡結構

MPLS（multiprotocol label switching）最初是為提高路由器轉發速度而提出的一個協議，它融合了IP路由技術靈活性和ATM交換技術簡潔性。MPLS[1]協議的關鍵是引入了標簽（Label）的概念，是一種短的、易于處理的和不包含拓撲的信息，只具有局部意義的信息。

MPLS報文轉發是基于標簽的，IP包在進入MPLS網絡時，MPLS入口的邊緣路由器分析IP包的內容，并且為這些IP包選擇合適的標簽，網絡中所有MPLS節點都將這個標簽作為數據轉發判決的依據。當該IP包最終離開MPLS網絡時，標簽被出口的邊緣路由器去掉。MPLS VPN可以理解為在MPLS網絡中的VPN，MPLS從根本上說是一種隧道技術，它就是VPN的專用通道。

MPLS VPN網絡，是由運營商的骨干網與用戶（Site）組成，所謂VPN就是對site集合的劃分，一個VPN就對應一個由若干site組成的集合。MPLS VPN模型中有3種類型的路由器:①CE路由器:用戶Site中直接與服務提供商相連的客戶端路由器；于PE路由器:骨干網中的邊緣路由器，它直接與用戶的CE相連；③P路由器:骨干網中不與CE直接相連，只維護到PE路由器的路由信息。

圖1 MPLS VPN網絡結構

CE路由器是客戶端路由器，它不知道VPN的存在，也不需要支持MPLS技術，只需要運行標準路由協議即可。所有VPN的構建、連接和管理工作都是在PE上進行的，它也是MPLS網絡的關鍵。P路由器支持MPLS技術，負責骨干網內部的數據傳輸，并不知道有VPN的存在。在MPLS VPN中，又分為Layer3 MPLS VPN和Layer2 MPLS VPN。當PE路由器[2]不參與客戶路由時為Layer2 MPLS VPN，當PE路由器參與客戶路由時，為Layer3 MPLS VPN。在Layer3 MPLS VPN中，經常使用BGP在PE路由器之間分發VPN路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又將Layer3 MPLS VPN稱為MPLS/BGP VPN。

3 BGP/MPLS VPN中的幾個概念

3.1 VRF

VPN路由轉發實例（VPN Routing&Forwarding Instance，VRF）只存在于PE上，用于不同VPN之間的路由隔離，針對每一個site，PE都會創建一個與之對應的VRF。每一個VRF維護獨立的地址空間，在VRF中包含了到達所有與本site屬于同一個VPN的site路由信息。這樣，在PE上來自CE的報文就可以根據相應的VRF來進行轉發。

CE-PE通過標準路由協議[3]交互路由信息，如圖2所示，每個CE只有標準的路由協議形成的路由表，也稱為公網路由表。PE之間通過IGP來保證內部的連通性，通過MP-IBGP來傳播VPN組成信息和路由，在PE上不及存在公網路由表，還有對應于每個VRF的路由表，以及轉發數據的MPLS轉發表。

圖2 VPN路由轉發實例

3.2 RD和RT

在每一個VRF中，還包含了2個重要的屬性，RD和RT [4]。在實際應用中，由于VPN用戶的地址都是自行制定的，導致不同的VPN用戶使用相同的地址，RD（Route Distinguisher）的引入解決了此類問題。RD是一個8 Bytes的標識，RD加上4 Bytes的IP地址，形成了一個12 Bytes新的地址族—VPN-v4。PE從CE接受Ipv4路由后，通過人工配置本地RD，保證了VPN-v4的唯一性，保證VPN用戶的地址空間不會出現沖突，相同的VPN配置的RD要相同。

而此時標準的路由協議已經不適于傳輸VPN-v4地址了，MP-BGP的擴展團體屬性解決了這一問題，因此在PE之間使用MP-BGP傳輸VPN路由，而RT(Route Target)也是MP-BGP攜帶的一種重要團體屬性。

其中為對數似然函數的最大值，L(0)為模型參數β=0時的對數似然函數。當p2大于0.4時可認為模型擬合得較好。

PE路由器存在2個Route Target屬性:Export RT和Import RT。RT的作用是為了保證每個PE路由器只接收需求的VPN路由，丟棄非法的路由信息，PE路由器通過RT控制了VPN路由的發布。在發布VPN路由時，每個PE都會為這些路由信息標記Export RT，當PE接受VPN路由時，會將該VPN的路由標記Export RT與本地已存儲的Import RT集進行比較，如果與任何一個Import RT相匹配則接收，不匹配則丟棄。

4 MPLS/BGP VPN路由和數據發布

在MPLS/BGP VPN網絡中，路由信息的發布可以分為3個部分，本地CE到入口PE、入口PE到出口PE和出口PE到出口CE。

本地CE和入口PE之間通過標準的路由協議建立連接，比如OSPF、RIP或靜態路由等，此時PE收到的是標準的IPv4路由信息。入口PE學到CE發布的VPN路由后，會為每一個VPN路由創建一個VRF，相同的VPN路由使用同一個VRF,為了能夠正確在PE之間發布VPN路由，PE路由器還需要人工配置RD和RT，將IPv4路由變為VPN-v4路由，在實際配置中[5]，通常同一個VPN內的site配置的RD和RT都是相同的，方便配置和記憶，并為該VPN路由分配一個VPN標簽，該標簽用于標示VPN路由，與配置的RT信息是相關聯的；入口PE通過MP-IBGP協議將路由信息發布到出口PE，在實際配置中，通常配置路由反射器來保證PE之間的路由發布，當出口PE收到的VPN路由時，會進行匹配判定，然后決定是否接受該路由。注意:中間的網絡必須保證其連通性，同時P路由器也不參與VPN路由的傳輸，只參與MPLS中的數據傳輸；出口PE到出口CE運行的也是標準路由協議。出口PE收到VPN路由后，通過RT確定VRF，將該路由存入VPN-IPv4路由表。在進行路由選擇之后，將最優路由中的VPN-IPv4地址轉化成IPv4地址，即去掉地址中的RD，導入到相應的VRF表中。

VPN數據報文的傳輸也可以分為本地CE到入口PE，入口PE到出口PE，出口PE到出口CE三個部分。MPLS/BGP VPN中的數據報文采用的是兩層標簽結構[6]，內標簽為VPN標簽，用于標示VPN路由，是由MP-IBGP產生的，外標簽為MPLS標簽，用于VPN報文傳輸，是由MPLS中的LDP產生的。

當入口PE收到本地CE的VPN數據報文后，會通過查找VRF表，得到VPN標簽，PE路由器通過MPLS轉發表再為該報文打上MPLS標簽，形成2層標簽的VPN報文；入口PE會根據MPLS標簽逐跳轉發VPN報文，通過對應的出接口將VPN報文送到對應LSP中第一個P路由器，直至最后一個P路由器彈出MPLS標簽，將只含有VPN標簽的分組轉發給出口PE；出口PE收到VPN報文后，通過查找VRF表得到對應的輸出接口，彈出VPN標簽，將該報文送到正確的CE上。

注意:當入口PE和出口PE相同時，PE不會對VPN報文進行處理，直接發給互聯的CE；當沒有CE設備時，PE設備會直接對VPN報文進行處理。

5 MPLS/BGP VPN配置實例

在進行MPLS/BGP VPN實例配置時，涉及的協議和命令較多，需要熟悉相關的路由設備并加以反復練習，才能順利完成配置，配置實例的關系連接圖如圖3所示，選用的設備是阿爾卡特的7750 SR-7系列路由設備，R1、R2、R3和R4為P路由器，R1和R2之間為P路由器的互聯網絡，各點的互連均采用OSPF協議:area 0域。此處選用的是VPN用戶直接接入PE，也可在PE后接入CE對VPN用戶進行擴展。

圖3 MPLS/BGP VPN實例關系連接圖

為了方便理解和配置，在進行配置時可以分為幾個部分:

①基礎配置:各路由設備的端口互連地址和OSPF協議配置；于MPLS配置:各P和PE設備的MPLS配置，包括LSP的建立，此處使用的是LDP協議；

③BGP配置:MP-IBGP的配置，各PE路由器的BGP協議配置，并配置路由反射器；④VPN配置:各PE點的VPN配置，包括RD和RT。

具體的配置過程如下:

①基礎配置中，配置各設備的互連地址和OSPF路由協議，并進行OSPF鄰居的查看和ping測試，保證網絡的互通性，注意配置好telnet遠程登錄，便于調試，具體配置不再一一列出；

于以R1配置MPLS為例，此處僅給出MPLS的相關配置和說明，其他P和PE路由設備的配置類同，各點在骨干網互通的基礎上建立LSP；

③以R1和R2配置BGP為例，此處將R1作為路由反射器，其他所有的BGP對等體僅和R1通信即可，節省了網絡資源、簡化了配置步驟，以下是R1的配置，它與R2建立成為BGP對等體；

④還可以繼續配置其他對等體鄰居，如R3和R4等，此處未給出配置，具體配置與增加R2為鄰居配置相同。以下是R2的配置，R3和R4等的配置與R2類同。

⑸以PE1配置VPN為例，未接入CE，可以將VPN用戶直接接入PE。

如果VPN用戶不止一個時，可以修改以上配置中1/3/1為dot1p封裝，變為1/3/1∶vlan-id，進而可以增加CE進行擴展。

6 結束語

在VPN技術的實際應用中，MPLS/BGP VPN技術是應用最為廣泛的技術，本文就其原理進行了簡單的闡述，針對某種特定設備給出了配置實例，列出其中的關鍵性配置，當然不同的網絡設備如華為和思科等給出的配置也各自不同，但是其原理是相通的，為不同網絡設備進行配置提供參考。

[1]朱斌,徐林.MPLS技術在VPN中的研究與應用[J].計算機與數字工程,2005,33(4):83-85.

[2]ROSEN.E,REKHTER Y.BGP/MPLS VPNs.RFC 2547[M]. USA:Cisco Systems,Inc,2002.

[3]陳軍華,王忠民.BGP/MPLS VPN實現原理[J].計算機工程, 2006,32(23):124-126.

[4]朱凱輝,董德存.MPLS-VPN技術的探討[J].電腦知識與技術,2005(24):16-19.

[5]董玲,黃楊,徐塞虹.BGP/MPLS VPN實現細節探討[J].計算機工程與應用,2005,41(29):117-119.

[6]韓海雯,張瀟元.基于BGP協議的MPLS VPN構建機制分析[J].計算機工程與設計,2008,29(5)1104-1107.

Application of MPLS/BGP-VPN Technology

WANG Wen-juan1ZHANG Tian-hui1LI Xu-kai2XING Na1
(1.PLA College of Ordnance Engineering,Shijiazhuang Hebei 050003,China)
（2 The 54th Research Institute of CETC,Shijiazhuang Hebei 050081,China)

Centering on the Virtual Private Network(VPN)application technology in existing network,this paper firstly introduces the VPN technology based on MPLS/BGP,including the principles and main concepts of MPLS/BGP VPN technology,the MPLS VPN network architecture and the concepts of RD and RT in MPLS/BGP VPN.Based on detailed description of routing distribution and data forwarding process,this paper deeply analyzes the communication principles of MPLS/BGP VPN technology.Finally,on the basis of theory,it uses the Alcatel’s mature network device to implement the instance configuration,and gives the specific configuration ideas and approaches to effectively combine the technical principle and actual application of MPLS/BGP VPN technology,and provides some references for other network device configuration.

VPN technology;MPLS network;BGP

]TP393

1008-1739（2015）01-60-4

定稿日期：2014-12-12