基于MPLSVPN和BGP的企業網絡構建

趙慧慧　陶駿

摘要：在企業網絡現狀的基礎上，針對企業網絡改造的需求，對MPLS VPN和BGP網絡協議的基本概念進行了闡述。對網絡升級方案進行了詳細介紹，并對網絡升級方案進行了模擬仿真。根據網絡升級方案重新進行了網絡構建，描述了網絡設備的詳細配置，比較了網絡升級前后的網絡參數，得出采用MPLS VPN和BGP構建企業網絡具有較高優越性的結論。

關鍵詞：網絡升級;MPLS;VPN;BGP

中圖分類號：TP393 文獻標志碼：A 文章編號：1008-1739（2019）03-62-3

0 引言

隨著社會和經濟的發展，越來越多的企業接入了互聯網，接入互聯網的企業往往不局限在一個地點，因為可能包含多個分公司和辦事處，這些分公司和辦事處一般都采取地址翻譯（NAT）方式接入到互聯網和總部通信，NAT方式雖然可以滿足通信的基本需求，但是也有以下缺陷：①NAT方式需要對應路由器開啟NAT進程，加大了路由器的負荷;②NAT方式造成局域網的IP地址對外是不可見的，造成分公司和辦事處無法直接訪問總部內部的IP地址所對應的應用程序。

為解決這一問題，可以采取虛擬局域網的方式組建此類企業的局域網，VPN的接入方式有很多種，比如L2TP VPN、GRE VPN和MPLS VPN，前2種都是采用傳統的路由進行數據轉發，MPLS采取標簽轉發，效率高于前2種。經過充分調研和論證后，本網絡方案采取基于MPLS VPN的方式構建企業網絡。

1 MPLS VPN和BGP

MPLS VPN是指使用多協議標記轉換技術在互聯網上構建企業IP虛擬局域網，實現跨地理區間的數據、語音和圖像等多業務安全快速的發送，并結合QoS等相關技術，將公眾網可靠和擴展性與專用網的安全和高效性結合在—起。MPLS VPN網絡主要包括：CE，PE，P三種路由器。①CE是用戶網絡邊緣路由器設備，直接與服務提供商網絡相連，不用配置VPN;②PE是服務提供商邊緣路由器設備，與用戶的CE直接相連，負責VPN業務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者;③P是服務提供商核心路由器設備，負責快速轉發數據，不與CE直接相連。在整個MPLS VPN中，只需要P，PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS VPN功能。

BGP是指邊界網關協議，主要在2個自治域之間交換路由，MPLS VPN網絡中PE路由器之間需要通過BGP的M-BGP屬性來傳遞相關VPN屬性和路由，比如VPN的最重要的2個屬性路由目標（RT）和路由區分（RD）值，都是通過M-BGP屬性傳遞的。

2 網絡構建

企業在物理上有4部分：1個總公司和3個子公司，目前這4部分都通過租用互聯網專線的形式接入到某一通信運營商，其網絡現狀拓撲如圖1所示。

公司的總部和3個子公司在其出口路由器上部署NAT，然后通過靜態默認路由指向相關的運營商的路由器，在各部分的交換機上劃分VLAN，出口路由器上劃分子接口，交換機的VLAN都終結在出口路由器上。

公司出于辦公需要，構建自己的Web和郵件服務器，而且要求Web和郵件服務器只能公司內部職工訪問。如果把Web和郵件服務器配置私網IP地址直接下掛在總部的交換機下，此時只有總部的終端才能訪問這2個服務器，因為是NAT方式接入的，其余3個分公司的終端是無法進行穿越NAT來訪問總部的服務器的。如果把Web和郵件服務器配置公網IP地址直接下掛在總部的路由器下，此時其余3個子公司是可以訪問Web和郵件服務器的，但是此時互聯網上的所有計算機都可以訪問Web和郵件服務器，不符合網絡要求。

因此，公司4個部分采用VPN的方式接入到運營商的網絡，VPN有多種接入方式，包括2層VPN和3層VPN，MPLSVPN屬于3層VPN，有保密性高和接入方便的特點，本網絡改造方案采用MPLS VPN接入到運營商的網絡。公司的4個部分的出口路由器充當CE路由器，通信運用商的接入路由器充當PE路由器，運營商的核心路由器充當P路由器，新建的Web和郵件服務器直接下掛在總部的出口路由器下，具體拓撲圖如圖2所示。

3個子公司的CE路由器通過靜態協議與運營商PE路由器通信，CE路由器通過默認靜態路由指向Ⅲ路由器，路由器在VPN中把相關CE路由器的網段通過靜態路由指向CE路由器，PE和PE之間采用BGP協議通信。具體的IP地址規劃如表1所示。

MPLS VPN采用星型連接（hub-spoke）模式，只允許分公司和公司總部之間通信，不允許分公司之間進行通信，這主要通過VPN的RT屬性的設置來實現的，具體的VPN設置屬性如表2所示。

總部的VPN發出的VPN路由屬性入RT值（RTIMPORT）正好等于分公司的出RT值（RT EXPORT），總部的VPN發出的VPN路由屬性RT EXPORT正好等于分公司的RT IMPORT，所以總部和分公司可以進行通信。而任何—個分公司的RT EXPORT都不等于另一個分公司的RT IMPORT，所以分公司之間不能進行通信。

具體PE的關鍵配置如下（PE設備為華為NE40E）：

ipvpn-instance vpncom//配置VPN名稱

ipv4-family

route-distinguisher 100：8//配置RD和RT值

vpn-target200：8 export-extcommunity

vpn-target 100：8 import-extcommunity

bgp 100//配置BGP信息

peer1.1.1.2 as-number 100

peer 1.1.1.2 connect-interface LoopBack0

#

ipv4-fanuly unicast

undo synchronization

peer 1.1.1.2 enable

#

ipv4-family vpnv4

policyvpn-target

peer 1.1.1.2 enable

#

ipv4-fanulyvpn-instance vpna

import-route direct

import-route static

先用華為的ENSP模擬器對設計方案進行仿真測試，具體如圖3所示。

仿真測試完畢后，對網絡進行網絡構建，網絡構建完成后公司的網絡運行正常，終端和服務器的訪問均正常，也滿足不讓公網上用戶的訪問要求，具體測試的訪問時延和丟包如表3所示。

測試后時延和丟包等性能參數明顯優于網絡改造前，因為改造后網絡不用進行NAT地址翻譯，而且不在使用路由表進行數據轉發，而是采取性能更優越的MPLS標簽轉換來發送數據包。

3 結束語

本文介紹了一種基于MPLS VPN，BGP方式的企業局域網的構建方式，其特點是配置簡單、管理靈活及安全高效，但是構建方案中沒有考慮IPv6和QoS，PE和CE之間沒有采取可以達到負載均衡的動態協議，如EBGP和OSPF協議，這都是下一步的研究方向。