跨域MPLSVPN解決方案

孫曉棟

摘要：網絡技術的發展使得網絡辦公得到廣泛應用，但是由于地理位置等各種原因，導致同一個企業網內部之間并不能使用由同一個運營商提供的Internet資源，從而限制了企業網絡的發展。本文在華為數通設備專用模擬器里搭建模擬網絡拓撲，構建出一個跨域MPLS VPN解決方案，提供一個不同于傳統的MPLS VPN體系結構所提供的互連模型——跨域（Inter-AS）MPLS VPN。并通過控制面測試及數據層面測試等進行功能驗證，擴展了現有的BGP協議和修改MPLS VPN體系框架的原理和過程。

Abstract： With the development of network technology， network office has been widely used. However， due to various reasons such as geographical location， the Internet resources provided by the same operator cannot be used within the same enterprise network， which limits the development of enterprise network. In this paper， we build an analog network topology in Huawei Communications Device Simulator， construct a cross-domain MPLS VPN solution， and provide a different interconnection model from the traditional MPLS VPN Architecture - - cross-domain （Inter-AS） MPLS VPN. The principle and process of the existing BGP protocol and the modification of MPLS VPN framework are extended through the functional verification of control plane test and data level test.

關鍵詞：VPN;MPLS;自治系統;跨域

Key words： VPN;MPLS;autonomous system;cross-domain

中圖分類號：TN913.1+1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1006-4311（2019）27-0146-03

0 ?引言

本論文主要研究內容是為服務提供商（Internet Service Provider，ISP）實現跨域企業網絡的總部與分支機構之間互通提供虛擬專用網絡（Virtual Private Network，VPN）服務的一種解決方案，該解決方案的實現思路如下：在骨干網中，使用多協議標簽交換（Multi-Protocol Label Switching，MPLS）技術[1]實現數據包轉發;使用邊界網關協議（Border Gateway Protocol，BPG）技術[2]實現VPN路由信息分發。該方法為企業網提供網絡互聯協議（Internet Protocol，IP）骨干網外包服務，能快捷地建立一個VPN網絡來為客戶提供IP服務，靈活性強，可提供增值服務[3]。

1 ?跨域MPLS VPN的實驗方案設計

該實驗方案要求掌握跨域MPLS VPN的配置方法[4]，包括組網中常見的虛擬局域網（Virtual Local Area Network，VLAN）、開放最短路徑優先（Open Shortest Path First，OSPF）協議、中間系統到中間系統（Intermediate system to intermediate system，IS-IS）協議、后向兼容（Multiprotocol Extensions for BGP，MP-BGP）協議、訪問控制列表（Access Control List，ACL）、交換路由等配置技術。

1.1 模擬器設備選型

該實驗在華為網絡設備模擬器（Enterprise Network Simulation Platform，eNSP）上實現[5]，用到的設備包括：華為接入路由器AR2220、AR2240等，園區交換機S3700、S5700等，模擬終端為臺式電腦模擬器、FTP（File Transfer Protocol，文件傳輸協議）客戶端和HTTP客戶端;網絡設備之間的互連鏈路主要包括：G比特的千兆以太網鏈路，使用POS技術的廣域網鏈路和較低速的串行鏈路、雙絞線、光纖、串行線纜等[6]。

1.2 實驗總體設計

跨域MPLS VPN網絡環境搭建拓撲如圖1所示，網絡拓撲所涉及的網絡設備數量以及命名如表1所示。

1.3 實驗要求

對于網絡拓撲中Site-1與ISP-1進行互連時，平時的業務流量均走主鏈路，備份鏈路僅僅作為主鏈路故障時的備用鏈路，平時不作為業務流量的出口。

對于網絡拓撲中ISP-1與ISP-2進行互連時，正常情況下，AS間交互的路由信息和數據包流量均走帶寬較大的運行POS協議的光纖鏈路，而帶寬較小的以太鏈路僅僅作為光纖鏈路故障時的備份鏈路，平時是不走業務流量。

對于網絡拓撲中ISP-2和Site-2進行互連時，分支站點僅僅使用一條出口鏈路作為連接ISP的鏈路，分支機構的任何業務流量或非業務流量均只能通過這一條出口鏈路到ISP。

網絡拓撲中，在ISP骨干網中各個網絡設備之間運行動態路由協議時，要對鄰居的合法性進行驗證。企業網分支站點訪問總部機構的FTP、HTTP等服務器資源時，首先要經過相關的認證，認證通過后獲取服務器資源，認證失敗拒絕響應。在企業網入口CE設備上配置相應的安全策略，對要為所有企業內部員工或公司客戶提供必要服務的網段、端口允許通過，可封禁一些不必要的源地址、目標端口，以及容易收到共計的漏洞端口。

2 ?跨域MPLS VPN的構建

2.1 網絡邏輯規劃

根據網絡拓撲圖對整個試驗中網總部機構模塊、運營商網絡1模塊、運營商網絡2模塊、企業網分支站點模塊進行機構網絡設備的設備型號、AS型號、功能、數量等參數的設計與匯總并對網絡的地址進行規劃。

其中，企業總部機構模塊的AS型號為300，運營商網絡1模塊的AS型號為100，運營商網絡2模塊的AS型號為200，企業網分支站點模塊的AS型號為300。企業網輸出路由器數量為1，企業網匯聚層及接入層交換機總數量為4，企業網員工普通及都功能終端總數量為8，企業網中心機房服務器數量為1，骨干網PE路由器數量為4，骨干網路由器數量為6，骨干網組播服務器數量為1。各網段IP地址為24位或者32位，部分IP地址為通過DHCP獲取及通過PPP鏈路的IPCP協議遠端協商獲取。

2.2 關鍵協議配置實現

OSPF協議的配置實現：系統視圖下創建OSPF進程1，OSPF進程下創建區域0，然后配置OSPF的區域認證，最后在區域視圖下宣告接口地址。

ISIS協議的配置實現：在系統試圖下，創建ISIS進程100，將IS系統的級別配置為Level-2，擴展ISIS的寬度量值。配置唯一標識系統的NET地址和ISIS的路由域認證。最后進入接口視圖下，載接口視圖下使能ISIS進程。

BGP與MP-BGP協議的配置實現：在系統視圖下，創建BGP進程100和劃分AS100，指定對等體建立TCP連接的IP地址和本地建立TCP連接的更新源地址。進入VPN-v4地址簇視圖下，開啟vpn-target對比策略，在VPN-v4地址簇視圖下建立MP-BGP。最后進入VPN實例視圖，VPN實例視圖下建立BGP連接。

VPN實例創建的配置實現：在系統試圖下，創建VPN實例A。在VPN實例試圖下，配置VPN實例的RD值為100：200，出RT和入RT均為100：200。接口視圖下綁定VPN實例A，然后重新配置IP地址。最后，指定BGP反射器客戶端，關閉vpn-target對比策略，再指定VPN-v4反射器客戶端。

遠端地址配置實現：進入接口視圖，設置鏈路類型默認為PPP鏈路，開啟PPP認證，認證協議為CHAP，接口綁定VPN實例A，配置IP地址，30位掩碼長度，使能為遠端分配地址池的地址的能力。創建PPP地址池，配置地址池中地址的范圍。最后，進入接口視圖，設置鏈路類型默認為PPP鏈路，配置請求對端分配缺省路由，配置CHAP認證的用戶名，配置CHAP認證密碼，配置請求對端協商分配IP地址。

Mux-Vlan功能配置實現：在系統視圖下，創建VLAN100。將VLAN100配置為mux-vlan的主VLAN，將VLAN37配置為mux-vlan的隔離型從VLAN。進入接口視圖，將接口類型修改為Access，默認為Hybrid，接口劃分進VLAN100，最后，接口下使能mux-vlan功能。

訪問控制列表ACL功能配置實現：在系統視圖下，創建一個高級ACL 3000。根據實驗要求，允許對應源目地址的HTTP服務報文通過，允許對應源目地址的FTP服務控制命令通過，允許對應源目地址的FTP服務數據報文通過，允許對應源目地址的IP報文命令通過，允許對應源目地址的IP協議回包報文通過，拒絕非授權源數據通過。

3 ?實驗驗證

3.1 控制層面測試

運營商骨干網所有設備都可以互相學習到對方的路由信息，表示運營商骨干網內部的IGP鄰居關系、報文交互以及路由計算都沒有問題，在系統視圖下輸入display ip routing-table命令即可查看路由表學習內容。

CE設備可以互相學習到對端的私網路由信息，表示企業網的私網路由信息學習是正常，可以實現正常的數據訪問，同樣在系統視圖下輸入display ip routing-table命令即可以查看路由學習內容。

3.2 控制層面測試

總部機構或分支站點的任意一臺主機，都可以通過運營商網絡訪問位于總部機房服務器的FTP服務和HTTP服務，表明除了實現了基本的訪問需求之外，包括DHCP、FTP、HTTP等其他功能需求也可以正常實現，分別在終端上獲取總部服務器FTP服務、HTTP服務即可實現驗證。

4 ?總結

跨域MPLS VPN網絡拓撲設計，詳細參考了現網環境下VPN的部署方案，針對跨域VPN部署遇到的問題提出了一種基于MPLS/BGP的解決方案，詳細解釋了跨域VPN所遇到的技術難題和注意事項，設計出跨域MPLS VPN的基本拓撲，尤其對本網絡所設計的網絡拓撲進行了詳細的描述，首先從協議層面進行了分析，包括最底層的IGP層面到BGP層面，再到MPLS層面。在跨域時使用Wire Shark抓包軟件抓取了鏈路上傳遞的協議報文和訪問數據包，詳細分析了報文特定字段的格式和作用，更有利于學生對協議原理的理解和在實際工作過程中對運行協議的維護，尤其是存在VPN的場景下，可以參考本設計的設計過程和分析過程來分析各VPN路由學習過程和VPN數據報文的傳遞過程。

參考文獻：

[1]胡元軍.MPLS-VPN在多校區的應用[J].信息與電腦，2019（9）：170-171，174.

[2]趙慧慧，陶駿.基于MPLS VPN和BGP的企業網絡構建[J]. 計算機與網絡，2019（2）：62-64.

[3]范玲玉，王毅，何璕.基于MPLS VPN的承載網多業務應用[J].冶金動力，2019（3）：74-77.

[4]涂文杰.HCNP路由交換實驗指南[M].北京：人民郵電出版社，2014.

[5]王達.華為路由器學習指南[M].北京：人民郵電出版社，2014.

[6]鐘鳴，魏允韜譯.虛擬專用網的創建與實現[M].機械工業出版社，2000.