校園網MPLS VPN系統的設計研究

董旭源 常 鵬 王寶亮 張文彬

(天津大學信息與網絡中心 天津 300072)

校園網MPLSVPN系統的設計研究

董旭源 常 鵬 王寶亮 張文彬

(天津大學信息與網絡中心 天津 300072)

校園網的建設是國家信息化建設的重要組成部分，各大院校相繼將建設智慧校園作為一項重大任務。主要研究將MPLS VPN技術運用到校園網當中，不僅要實現數據的高速轉發，還要兼顧其安全性和穩定性。主要介紹MPLS VPN的原理及關鍵技術。結合高校校園網建設的現狀提出一組MPLS VPN實現校園網的組網模式，分析使用MPLS VPN實現校園網的部署情況，并且實驗仿真校園網的組網環境。以兩種典型的校園應用業務為例，分析網絡的性能，驗證了MPLS VPN技術的主要優勢。

多協議標記交換 虛擬專用網絡 校園網 網絡仿真

0 引 言

隨著信息時代的到來，電信技術和業務飛速發展，數據通信技術得以應用于大規模的商業活動。電信網絡服務提供商、各個企業內部的IT部門以及教育網絡，尤其是那些跨國、跨地域的分布式企業的IT部門和多校區的校園網都在考慮如何建立內部網，并且還要保證內部信息能夠安全、及時有效地在內部傳遞，即要建立自己的VPN。虛擬專用網技術的不斷發展，MPLS VPN與傳統的VPN相比，具有可伸縮性更加強大、傳輸帶效率更高、組網費用更低。校園網是教育信息化建設的重要組成部分，同時是開展教學、科研的重要渠道， 將MPLS VPN技術用于校園網的建設更有利于促進智慧校園的建設和發展[1-2]。

本文先通過研究MPLS及VPN技術，對其關鍵技術進行探討，在此基礎上，將這兩種技術相結合，分析得出MPLS VPN的突出優勢。在充分研究MPLS VPN可靠技術基礎之上，理解數字化階段建設構建智能校園網的需求，對建設新的校園網提供一種靈活性強、可擴展性好的方案，包括網絡的拓撲結構設計、技術特性優勢分析等。真正實現不同業務的安全性與隱私性隔離以及路由機制的高效靈活性，實現校園網設計適應當前及未來的信息化發展[3，7]。

1 MPLS VPN原理及關鍵技術

1.1 MPLS 技術背景

MPLS是多協議標記交換的簡稱，所謂多協議是指MPLS能夠支持多種網絡層協議，包括IPv4、IPv6、IPX等，并且能夠支持多種鏈路層技術，如ATM、幀中繼、以太網以及PPP等。

MPLS技術是在20世紀90年代中期開始出現的一種交換技術。隨著Internet網絡的快速發展，人們對骨干網的要求越來越高，而基于IP技術的路由逐跳查找和轉發過程效率低下。并且網絡的需求也越來越多，用戶希望Internet網絡上不僅能夠提供郵件服務、Web服務等傳統業務，還要能夠提供視頻、語音等需要大帶寬實時性的業務。而像ATM這樣曾被看好的能夠提供多業務的交換技術由于與廣泛部署和應用的IP技術不相容，使得Internet網絡服務提供商不得不尋求新的技術，以便能夠能很好地與IP技術融合，并且能夠像ATM一樣提供多業務服務。IETF所提出的MPLS技術吸收了ATM技術簡單交換的思想和IP靈活的路由技術，使得網絡技術取得極大突破。可以將MPLS技術看成二層交換技術與三層路由技術的集合模型，作為2.5層技術，它將三層選路和二層報文轉發區分開，即一次選路多次轉發，從而實現高速轉發。傳統IP網絡是盡力而為的服務，而標簽轉發通過標簽來構建了一條轉發路徑，從而具備了面向連接的特性，為管理網絡和運營網絡提供了方便可靠的手段。

雖然MPLS的初衷是為了提高路由轉發效率而設計的，但它現在的應用早已不局限于此。MPLS技術廣泛地應用在網絡的流量工程和QOS當中，是管理IP網絡流量、擁塞機制、提供網絡服務質量的重要解決方案。MPLS VPN技術則在解決跨地區互聯、多業務擴展等方面日益發揮重要作用，備受各大電信運營商的青睞。

1.2 VPN技術

虛擬專用網技術(VPN)誕生已久，它是指利用共享的基礎設施網絡來構筑私有網絡。這里的虛擬一詞是相對于傳統的私有網絡而言，在公共網絡上(如幀中繼、ATM、Internet網絡)通過各種配置形成虛擬網絡，用戶獲得的將是一個邏輯意義上的專網。它與租用專線組網的專網沒有什么差別，都實現了網絡的私有性，保證了非VPN用戶不能訪問VPN網絡，內部信息不會泄漏到外部網絡，但是VPN與基礎設施網絡之間是隔離的。這種技術解決了各種商業問題，如移動用戶接入問題、公司內部之間通信問題、合作公司之間通信問題。現在VPN與各種新技術結合，越來越復雜，它的優點顯而易見，提供了更高的可靠性、擴展性和安全性；降低了建立專用網絡的成本，同時提高了對現網絡資源的利用率；在應用和管理上靈活，增加或刪除VPN節點不涉及硬件。

1.3 MPLS VPN的原理

MPLS技術的一個重要應用就是MPLS VPN。前面介紹了VPN與MPLS技術，這兩者相互結合，形成的基于MPLS實現VPN有著巨大的優勢，能較好地滿足覆蓋VPN模式的安全性和隔離性，簡化對等VPN的路由選擇。MPLS技術本身的特點使得基于IP網絡的MPLS VPN能夠無縫地融合ATM、幀中繼等二層網絡，兼容性與擴展好。并且MPLS中所建立的LSP是面向連接的轉發方式，相當于傳統VPN技術中的隧道，實現VPN技術優勢明顯[4-6]。

從網絡層次上看，MPLS VPN可分為基于 MPLS 的第二層VPN和基于MPLS的第三層VPN[5]。IETF在2003年成立了L2VPN的工作組，專門研究VPLS(Virtual Private LAN Service)和VPWS(Virtual Private Wire Service)的技術和應用；2004年成立了L3 VPN的工作組，專門研究L3 VPN，而MPLS的L3 VPN技術則是他們研究的一個重要方向。第二層VPN和第三層 VPN 的區別在于CE路由器是否參與VPN的創建。并且二層VPN的數據使用的是二層幀頭(MAC幀頭)封裝，三層VPN使用三層報頭(IP報頭)封裝。目前三層MPLS VPN應用廣泛，它與IP網絡兼容性好，能夠支持多種二層協議。

L3 MPLS VPN主要結合了BGP 的多協議擴展(MP-BGP)，通常稱為MPLS/BGP VPN，是MPLS L3 VPN 的一種實施模式。它利用IP網絡，通過MPLS技術提前構建LSP隧道，類似于虛電路，并使用MP-BGP協議，可以實現跨越不同運營商網絡的互聯。

網絡拓樸結構如圖1所示，對于校園網的構建，可以以這種模式進行組網。

圖1 MPLS VPN典型組網圖

BGP/MPLS VPN當前的框架結構中主要的網絡設備有骨干網核心路由器P(Provider)、骨干網邊緣路由器PE(Provider Edge Router)、用戶網絡路由器CE(Customer Edge)。其典型組網如圖1所示。P路由器相當于MPLS中的LSR，作為骨干網核心路由器，不負責VPN的路由，僅需要實現MPLS轉發功能，一般依據VPN數據包的棧頂標簽；PE路由器相當于LER，作為網絡的邊界設備，一般負責VPN路由和骨干網內部路由的交換，VPN路由存儲在VRF路由表中，內部骨干網路由存儲在全局路由表中；CE是客戶端路由器，不需要負責VPN的功能，僅需要維護自己的路由條目，具有三層路由功能。

這三個路由器中，實施VPN業務的只有PE，是MPLS VPN的重要設備，性能要求比較高。這里的BGP/MPLS VPN是平面結構，各個PE沒有層級關系，不論分布在網絡的哪里，所具備的性能都是一樣的。

在MPLS網絡中能實現VPN功能主要通過以下來實現：

1) VPN Site：MPLS VPN的體系構架支持站點(site)這一概念。VPN包含了一個或多個站點，因此可以這樣來理解，VPN本質上是一組站點的集合，這些站點共同享有路由信息，組成一個互聯的網絡。但是對與外部來說，即不是VPN的站點，則是一個隔離的網絡，在某些復雜的網絡結構當中，一個站點可能屬于多個VPN。通過站點這一概念，有助于在實際的工程當中實現多種復雜的連通性需求。我們通常所理解的總部與分部等就是site的具體體現。在MPLS組網中，一般將CE看作是一個站點，CE中存在的多個接口可看作多個VPN。

2) VRF：MPLS VPN網絡中所有PE路由器都包含若干與VPN相關的路由表和，其一張全局轉發表。全局轉發表是用來在骨干網絡中進行報文的轉發，提供了P、PE路由器之間的路由信息。與VPN相關的路由表是VPN路由轉發實例，稱為VRF，一個PE上會有多個VRF，它們之間相互隔離獨立。

3) 路由區分符(RD)：RD屬性方便了VPN用戶使用自己的私有網絡地址。在對等VPN模型中，用戶自己規劃管理VPN的地址，必然會使用私有網絡地址，當運營商所連接的VPN路由器上出現了相同的地址值時將會引發地址空間重疊問題，解決這個問題并不容易，這也通常是部署VPN遇到的主要問題之一。RD屬性完美的解決了這一困境，它通過在的IPv4地址前附加一個8字節的RD字段構成VPNv4地址，用于在PE之間傳遞VPN路由。這個VPNv4地址在每個VRF表中具有唯一性，一般同一VPN使用相等的RD值，不相同的VPN使用不等的RD值。為了支持RD屬性，需要使用MP-BGP協議，它能識別并處理VPNv4地址。在路由更新報文中將攜帶 RD值，但RD無法進行路由選擇，不決定如何發送或接受路由，只是分離不同的VRF，本地有效。

4) 路由目標(RT)：為了實現VRF的隔離，還需要添加VRF的輸入和輸出策略，用來決定將哪些路由放入VRF中，以及能夠將哪些路由向外通告。RT就是用來控制VRF路由的收發和過濾，它使用了BGP的擴展community屬性，在一個VRF中，發布路由時使用RT的export規則，在接收端PE上，則根據RT的import規則進行檢查，match就在該VRF中添加路由。

1.4 BGP路由協議

隨著科技的高速發展，網絡也不斷日益擴大，網絡設備數量增多，網絡拓撲更加復雜，路由條目不斷增加，IGP不能滿足目前的網絡需求。這就促使我們對當前網絡進行劃分，劃分出來的區域就成為autonomous system(AS)，IGP協議負責同一個AS內部路由的交互，而要實現全網通，即不同AS域的通信，則由EGP協議實現。但是由于EGP的使用有很多局限性，不能很好解決AS互聯，由此BGP應運而生。

BGP在一定的程度上與RIP有某些相似處，都是以跳數為度量值的路由協議，不同的是BGP的一跳劃分粒度大。BGP的發展經歷了不同的階段，隨著AS域間的通信要求越來越高，促使BGP協議不斷發展，逐步成為Internet體系結構的基礎協議。從1989年的最早版本BGP1開始，到1990年的BGP2、1993年的BGP3，發展到了1995年開始開發的新版本BGP4(RFC1771)，以及1998年發布的BGP4的多協議擴展(RFC2283)。

在MPLS VPN組網當中，BGP路由技術發揮了至關重要的作用。在將網絡劃分為不同的AS(即自制系統)域時，BGP路由協議通過對不同自治系統的路由傳播控制和策略路由，能很好地實現網絡管理的目的。但是BGP協議不只是作為AS域的路由協議，也可以用于AS內部，是一個具有兩種作用的協議。該協議本身具有很強的擴展性，與MPLS技術結合能夠支持不同的協議族，如IPV4和IPV6。當網絡中需要增加新的MPLS節點時，BGP協議能夠根據其同步原則對網絡拓撲的變化做出快速反應，控制路由，清除環路；網絡線路出現故障時，多條BGP路由能夠相互備份，保持連通，提高了網絡的可靠性[8]。

2 基于MPLS VPN技術的校園網模型仿真

2.1 校園網模型建立

現階段各大高校紛紛加快建設一個高性能、安全可靠的校園網絡，實現智慧校園。校園網的建設源于上世紀80年代，在教育科研網CERNET的推動下，至今全國校園網的建設已經具有一定規模了。在信息化時代的大背景下，通過校園網能夠將校園內的各種資源進行整合，方便地進行信息服務、資源共享、網絡教學、遠程接入和網上辦公；同時實現與外部網絡、教育網絡的無障礙連通，提供寬帶接入，實現上網服務以及信息共享。

校園網按區域劃分可以分為：辦公教學區、學生宿舍區、校園網網絡信息中心區和分校區這四大區域，基于MPLS VPN的網絡拓撲可設計如圖2所示。綜合考慮各種業務系統的需求，為每種業務靈活建立虛擬的獨立網絡，實現各VPN互聯，不同VPN之間路由隔離，實現高性能的互聯網絡。這種網絡結構不設置P路由器，核心層通過PE路由器進行全網狀互聯，保證可靠性，CE路由器作為接入各個VPN的服務器，保證安全性。

圖2 MPLS VPN實現校園網拓撲圖

2.2 仿 真

2.2.1 實驗相關參數說明

根據前面對校園網構建的介紹以及理論的詳細說明，我們使用網絡仿真工具GNS3和抓包工具wireshark來搭建網絡拓撲，進行網絡環境的模擬，以真實地反映實際效果。使用的GNS3的版本為0.8.6，實驗過程中掛載了兩種CISCO路由器的IOS鏡像，分別是C7200和C3640， Wireshark的版本為1.12.1，這款工具可以針對GNS3中的路由器線路上的流量進行抓包分析。

在此實驗中共使用了8臺思科的路由器來模擬仿真校園網絡中的兩個業務：教務在線和校園辦公。其中4臺路由器為C3640系列的路由器，作為MPLS VPN網絡中的PE和P路由器；其余4臺作為CE路由器，連接具體得用戶VPN網絡。

網絡地址的選取上做了如下規劃：互聯網絡上的IP地址，即MPLS域內的地址選用10.0.0.0/8的A類私有網段地址，這樣編址連續簡潔，提高網絡地址的使用率，在使用路由匯總等技術時有利于進一步簡化路由表條目，降低了設備運行的成本。同時實驗過程中操作也比較方便，接口對接不易出錯，拓撲結構清晰明了。

網絡業務的劃分則分別由四個CE路由器引入，主校區中的CE1負責教務在線業務流量，CE2負責校內辦公的業務流量；其他校區中的CE3負責教務在線業務流量，CE4負責校內辦公業務流量。這兩個業務的流量通過匯聚層的核心交換機同時也是MPLS中的PE路由器接入核心層進行交互，這兩個業務的工作網絡均在192.168.0.0/24網段上，但是不同業務之間是沒有交叉的，他們屬于不同的VPN業務。

網絡路由協議的選擇：MPLS骨干網路由器協議選擇ospf協議，具有較快的收斂速度和較好的擴展性；PE與CE之間采用MP-BGP協議與RIP協議，PE-PE之間采用MP-BGP協議。

2.2.2 實驗操作

根據網絡模型搭建拓撲如圖3所示。

圖3 搭建仿真拓撲圖

各路由器接口地址信息如下：

R1 f1/0 198.162.1.1/24-----------R2 f1/0 192.168.1.2/24

R2 s0/0 10.1.10.1/24-----------R3 s0/1 10.1.10.2

R3 s0/0 10.1.20.1/24-----------R4 s0/0 10.1.20.2

R4 s0/0 10.1.30.1/24-----------R5 s0/1 10.1.30.2

R5 f1/0 192.168.4.1/24-----------R6 f1/0 192.168.4.2

R8 f1/0 192.168.5.1/24-----------R2 f1/0 192.168.5.2

R7 f1/0 192.168.7.1/24-----------R5 f1/0 192.168.7.2

R1 lo0 1.1.1.1 R2 lo0 10.1.1.2 R3 lo0 10.1.1.3

R4 lo0 10.1.1.4

R5 lo0 10.1.1.5 R6 lo0 2.2.2.2 R7 lo0 3.3.3.3

R8 lo0 4.4.4.4

當全網沒有開啟MPLS時，僅使用BGP和OSPF路由協議互聯時，R1是教務在線的路由表，應只包含與R6相關路由，但是該路由表中還包含與R7和R8的互訪路由信息，沒有對路由進行隔離。觀察R7也會發現同樣的問題。

使用ping的擴展命令來查看網絡的性能，如圖4所示。

圖4 R1到R6的丟包與延時情況

從圖中看出，100條ICMP包有丟失的情況，從源地址192.168.1.1發包到目的地址192.168.4.2的最低延時為116 ms，平均延時為157 ms，最高延時為212 ms。

現在使用MPLS技術實現互聯，首先在MPLS骨干網中配置OSPF并查看MPLS骨干網路由表，確認IGP工作正常。在任一MPLS域內路由器查看路由，如R2，確認IGP可達。在R2、R3、R4、R5上開啟MPLS，如圖5所示，查看MPLS標簽分發是否正常。

圖5 R2標簽分發信息

使用ping的擴展命令來測試網絡的延時和丟包情況，如圖6所示，從圖上可以看出丟包率變小了，并且網絡的延時與之前相比大大減小。

圖6 ping擴展命令測試

3 實驗結果分析

通過實驗仿真的對比結果可以看出，MPLS VPN技術實現了路由的隔離，不用像傳統的VPN技術配置復雜的隧道和加密技術，用戶使用和維護比較便捷，網絡配置比較清晰；使用了MP-BGP協議，支持多種路由協議和CIDR，能夠支撐網絡大量的路由條目，并可以簡化路由表，節省硬件的存儲空間；由于MPLS是一種基礎網路技術，不需要對當前已有的網絡拓撲作改變，節省了網絡升級的成本；網絡的傳輸速率得到了很大的提高，有效減少了網絡節點的延遲和丟包率，比使用純IP網絡的性能好；擴展性強，增加VPN節點時只需接入CE路由器，配置CE與PE的互聯就可以實現VPN服務，而對骨干網絡不做任何修改，與傳統的對等模型和重疊模型相比，減少了硬件的關聯。由此可見，使用MPLS VPN技術能夠實現低成本高性價比校園網。

4 結 語

本論文通過研究MPLS技術和VPN技術的原理和關鍵技術路線，引出了MPLS VPN技術，論述了MPLS VPN的技術原理，分析了與以往的技術相比，MPLS VPN的優勢。將MPLS VPN技術與校園網建設的需求相結合，提出了用MPLS VPN技術實現校園網的組網方案，采用實驗仿真的手段，模擬真實環境的網絡架構，比較了使用傳統路由技術與使用MPLS VPN技術的網絡性能差異，突出了基于MPLS VPN建設校園網具有安全性好、擴展性強的優點。

[1] Halimi A, Statovci-Halimi B. Overview on MPLS Virtual Private Networks[J]. Photonic Network Communications, 2002, 4(2):115-131.

[2] Lan J, Lin B Y. Research for service deployment based on MPLS L3 VPN technology[C]//International Conference on Mechatronic Science, Electric Engineering and Computer. IEEE, 2011:1484-1488.

[3] 吳文皓. 校園網環境下的MPLS技術研究與仿真[D]. 哈爾濱：哈爾濱理工大學，2013.

[4] Hou J F, Ming-Kai M A, Xiang-Hong L I. Application of Dynamic QoS Mechanism in MPLS VPN[J]. Computer Engineering, 2010, 36(3):106-108.

[5] Parra O J S, Rubio G L, Castellanos L. MPLS/VPN/BGP Networks evaluation techniques[C]//Engineering Applications. IEEE, 2012:1-6.

[6] 陳雪非, 黃河, 李蓬. MPLS VPN關鍵技術研究[J]. 計算機工程與設計, 2007, 28(13):3138-3140,3150.

[7] 劉俊斌, 王勇. 基于MPLS VPN技術多校區校園網應用研究[J]. 價值工程, 2014(3):188-190.

[8] 韓海雯, 張瀟元. 基于BGP協議的MPLS VPN構建機制分析[J]. 計算機工程與設計, 2008, 29(5):1104-1107.

DESIGNANDRESEARCHOFCAMPUSNETWORKSYSTEMBASEDONMPLSVPN

Dong Xuyuan Chang Peng Wang Baoliang Zhang Wenbin

(InformationandNetworkCenter,TianjinUniversity,Tianjin300072,China)

The construction of the campus network is an important part of the national information construction. Universities take the construction of smart campus as a major task successively. The main research is to use MPLS VPN technology in campus network, not only achieve high-speed data transmission, but also take into account the safety and stability. This paper mainly introduces the principle and key technology of MPLS VPN. Combined with the present situation of campus network construction, a set of MPLS VPN campus network model is put forward. The deployment of campus network is analyzed by using MPLS VPN, and the network environment of the campus network is simulated. Combined with the status of university campus network construction, we proposed a set of MPLS VPN networking mode of campus network, analyze the situation of using MPLS VPN to achieve the deployment of campus network, and simulated the network environment of the campus network by experiment. Taking two typical campus applications as an example, the performance of the network is analyzed, and the main advantages of MPLS VPN technology are verified.

MPLS VPN Campus network Network simulation

TP393

A

10.3969/j.issn.1000-386x.2017.10.036

2016-12-22。董旭源，副研究員，主研領域：信息系統，數據庫，軟件開發。常鵬，助理研究員。王寶亮，高工。張文彬，助理研究員。