基于BGP MPLS VPN企業(yè)跨域組網(wǎng)仿真設(shè)計(jì)

李永芳

（南京鐵道職業(yè)技術(shù)學(xué)院通信信號(hào)學(xué)院，南京 210031）

0 引言

隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展，業(yè)務(wù)數(shù)據(jù)海量增長(zhǎng)，傳統(tǒng)的IP網(wǎng)絡(luò)，面向無(wú)連接的特點(diǎn)，無(wú)法提供可靠的服務(wù)質(zhì)量。多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switching，MPLS）［1］是一種IP 骨干網(wǎng)技術(shù)。MPLS 在無(wú)連接的IP網(wǎng)絡(luò)引入面向連接的標(biāo)簽交換概念，將3層路由技術(shù)與2層交換技術(shù)結(jié)合，采用一種基于標(biāo)簽轉(zhuǎn)發(fā)的隧道技術(shù)，充分發(fā)揮了IP路由的靈活性和2層交換的簡(jiǎn)捷性。

用戶個(gè)性化需求帶來(lái)增值業(yè)務(wù)的快速發(fā)展，MPLS技術(shù)逐漸被擴(kuò)展到了新的應(yīng)用領(lǐng)域，如與邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）、虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）技術(shù)結(jié)合的BGP MPLS VPN技術(shù)就是一種應(yīng)用廣泛的3層VPN（Layer 3 VPN，L3VPN）技術(shù)［2］，利用BGP 協(xié)議在MPLS 骨干網(wǎng)上傳遞VPN私網(wǎng)路由信息，用MPLS來(lái)轉(zhuǎn)發(fā)VPN業(yè)務(wù)數(shù)據(jù)。BGP MPLS VPN使用BGP多協(xié)議擴(kuò)展（MultiProtocol BGP，MP-BGP）確保VPN 的私網(wǎng)路由只在VPN內(nèi)發(fā)布，并實(shí)現(xiàn)MPLS VPN成員間的通信［3］，提升數(shù)據(jù)傳遞過(guò)程中的安全性。該技術(shù)正被越來(lái)越多的大型企事業(yè)單位和運(yùn)營(yíng)商所青睞。

1 BGP MPLS VPN技術(shù)

1.1 普通MPLS VPN技術(shù)

一般MPLS VPN架構(gòu)將設(shè)備角色分為客戶端邊界路由器（Customer Edge，CE）、運(yùn)營(yíng)商邊界路由器（Provider Edge Router，PE）和運(yùn)營(yíng)商路由器（Provider Router，P）［4］。PE 與CE 之間建立外部BGP（External BGP，EBGP）對(duì)等體關(guān)系，進(jìn)行VPN實(shí)例綁定，在具體應(yīng)用中也可以采用多實(shí)例CE（Multiple CE，MCE）方式。PE設(shè)備之間建立MP-BGP關(guān)系，傳遞私網(wǎng)路由，PE與P設(shè)備之間建立普通BGP對(duì)等體關(guān)系，傳遞公網(wǎng)路由。

由于VPN業(yè)務(wù)采用私網(wǎng)IP地址，當(dāng)多個(gè)VPN業(yè)務(wù)連接到同一個(gè)PE上或是多個(gè)VPN業(yè)務(wù)相互通信時(shí)，就可能存在IP地址沖突問(wèn)題。為解決不同VPN私網(wǎng)路由沖突，MPLS VPN引入了VPN實(shí)例技術(shù)，即在PE設(shè)備上創(chuàng)建實(shí)例并與VPN業(yè)務(wù)進(jìn)行綁定，實(shí)現(xiàn)不同VPN業(yè)務(wù)路由隔離。創(chuàng)建VPN實(shí)例相當(dāng)于創(chuàng)建了單獨(dú)的VPN路由轉(zhuǎn)發(fā)表（VPN Routing and Forwarding，VRF）［5］。當(dāng)PE 收到來(lái)自不同業(yè)務(wù)的私網(wǎng)路由時(shí)，通過(guò)識(shí)別VPN實(shí)例將其添加至對(duì)應(yīng)的VRF中。為此，一臺(tái)PE設(shè)備上會(huì)存在一個(gè)公網(wǎng)路由表，以及一個(gè)或多個(gè)VRF［6］。

1.2 BGP MPLS VPN技術(shù)

在BGP MPLS VPN網(wǎng)絡(luò)中，為確保每個(gè)業(yè)務(wù)VPN路由的唯一性，在PE設(shè)備上為每個(gè)VPN路由分配唯一的路由區(qū)分（Route Distinguisher，RD）值，對(duì)不同的私網(wǎng)路由進(jìn)行區(qū)分［7］。同時(shí)，給每條私網(wǎng)路由賦予導(dǎo)入、導(dǎo)出的路由目標(biāo)（Route Target，RT）值，用于控制VPN路由信息的發(fā)布。當(dāng)2個(gè)VPN業(yè)務(wù)互通時(shí)，RD值可以設(shè)置不相同，但是RT值入和出方向的值必須跟對(duì)端VPN業(yè)務(wù)的RT值匹配，否則會(huì)影響私網(wǎng)路由的通信。

1.3 跨域MPLS VPN技術(shù)

普通的MPLS VPN體系結(jié)構(gòu)是在一個(gè)自治系統(tǒng)（Autonomous System，AS）域內(nèi)運(yùn)行，不提供向其他AS傳遞VPN路由信息的功能。而跨域（Inter-AS）的MPLS VPN，可以實(shí)現(xiàn)AS之間VPN私網(wǎng)路由信息的交互傳遞［8］。當(dāng)前主流的跨域方式有3種，分別為VPNOption A、VPN-Option B、VPN-Option C。A 方式中，將兩個(gè)AS之間的自治系統(tǒng)邊界路由器（Autonomour System Border Router，ASBR）設(shè)備互為CE 關(guān)系，VPN數(shù)據(jù)在ASBR之間是以普通IP數(shù)據(jù)轉(zhuǎn)發(fā)，不攜帶任何標(biāo)簽［9］。B方式中，2臺(tái)ASBR之間建立多協(xié)議外部BGP（MultiProtocol-external BGP，MP-eBGP）對(duì)等體關(guān)系，傳遞VPN路由，轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，攜帶私網(wǎng)路由標(biāo)簽信息。C方式中，在不同AS的PE間建立MP-eBGP對(duì)等體關(guān)系，以傳遞VPN路由，與A、B方式不同的是，ASBR不再維護(hù)和交換VPN路由，以減少設(shè)備負(fù)擔(dān)［10］。3種方式各有所長(zhǎng)，使用時(shí)需要結(jié)合具體網(wǎng)絡(luò)環(huán)境和組網(wǎng)需求來(lái)進(jìn)行選擇。

2 企業(yè)組網(wǎng)設(shè)計(jì)

2.1 組網(wǎng)需求與網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

某公司總部和分部距離較遠(yuǎn)，需要跨越多個(gè)區(qū)域運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行互連，為保證業(yè)務(wù)互通，要求采用BGP MPLS VPN技術(shù)來(lái)為公司多個(gè)業(yè)務(wù)提供安全、高效的跨域互通。圍繞需求，在網(wǎng)絡(luò)仿真工具平臺(tái)（Enterprise Network Simulation Platform，eNSP）［11-16］，設(shè)計(jì)一種企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

2.2 具體網(wǎng)絡(luò)規(guī)劃

由圖1可見(jiàn)，AS100、AS200為各區(qū)域運(yùn)營(yíng)商網(wǎng)絡(luò)，作為MPLS骨干網(wǎng)，CR1、CR4為ASBR設(shè)備，CR2、CR3、CR5、CR6為PE設(shè)備。AS65001為公司總部；CSW1、CSW2為CE設(shè)備，ASW1、ASW2為總部?jī)?nèi)部業(yè)務(wù)接入設(shè)備；業(yè)務(wù)用VLAN10／20／30／40 進(jìn)行模擬。AS65002為分部網(wǎng)絡(luò)，CSW3、CSW4為CE設(shè)備，分部業(yè)務(wù)VLAN50通過(guò)ASW3設(shè)備接入。為保證業(yè)務(wù)數(shù)據(jù)傳遞的安全性，業(yè)務(wù)網(wǎng)段以VPNv4路由穿越運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行互通。為了減少路由器開(kāi)銷，PE與CE設(shè)備之間運(yùn)行BGP協(xié)議，僅允許將業(yè)務(wù)路由引入BGP協(xié)議。所有AS域內(nèi)均運(yùn)行開(kāi)放式最短路徑優(yōu)先協(xié)議（Open Shortest Path First，OSPF），除公司總部運(yùn)行多區(qū)域以外，其他AS內(nèi)均運(yùn)行單區(qū)域。公司內(nèi)部采用多生成樹(shù)協(xié)議（Multiple Spanning Tree Protocol，MSTP）和虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）技術(shù)實(shí)現(xiàn)業(yè)務(wù)的可靠接入，總部與分部之間采用OptionB跨域方式實(shí)現(xiàn)不同VPN業(yè)務(wù)之間的通信。具體IP地址及業(yè)務(wù)劃分見(jiàn)表1。

表1 IP地址及VLAN規(guī)劃表

3 過(guò)程分析

3.1 域內(nèi)網(wǎng)絡(luò)連通性配置

依據(jù)設(shè)計(jì)，對(duì)照表1在完成底層IP地址、MSTP與VRRP相關(guān)配置的基礎(chǔ)上，所有AS域內(nèi)通過(guò)運(yùn)行OSPF協(xié)議來(lái)實(shí)現(xiàn)域內(nèi)全網(wǎng)互通。AS100、AS200、AS65002均運(yùn)行單區(qū)域、單進(jìn)程。總部AS65001內(nèi)運(yùn)行多區(qū)域，以控制LSA的泛洪，其中CSW1與CSW2之間運(yùn)行Area0，ASW1與CSW1、CSW2之間運(yùn)行Area1，ASW2與CSW1、CSW2之間運(yùn)行Area2。

CSW1上的相關(guān)配置如下：

以此參考，完成CSW2、ASW2設(shè)備配置，不再贅述。設(shè)備配置完成后，在CSW1上運(yùn)行dis ospf routing查看ospf路由，如圖2所示，設(shè)備已學(xué)習(xí)到AS內(nèi)的全部業(yè)務(wù)網(wǎng)段。由于篇幅限制，其他AS域的OSPF協(xié)議配置不再詳述。

3.2 普通BGP對(duì)等體建立

如圖1所示，在6臺(tái)路由器設(shè)備以及公司核心層CSW1～CSW4 4臺(tái)設(shè)備上運(yùn)行BGP協(xié)議。為實(shí)現(xiàn)路由傳遞，在域內(nèi)相鄰設(shè)備之間建立內(nèi)部BGP（Internal BGP，iBGP）對(duì)等體關(guān)系，通過(guò)對(duì)等體學(xué)習(xí)和傳遞路由信息。以CR2設(shè)備舉例，配置如下：

圖2 CSW1設(shè)備上OSPF域內(nèi)路由表

其他設(shè)備配置不再贅述。在CR2執(zhí)行dis bgp peer查看對(duì)等體關(guān)系建立情況，結(jié)果如圖3所示，CR2分別與CR1、CR3的環(huán)回口地址成功建立了對(duì)等體關(guān)系。

圖3 CR2設(shè)備上BGP對(duì)等體關(guān)系

3.3 MPLS標(biāo)簽分發(fā)

在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)中，所有路由器上運(yùn)行MPLS協(xié)議，路由器通過(guò)標(biāo)簽分發(fā)協(xié)議（Label Distribution Protocol，LDP）為每條內(nèi)部路由映射一個(gè)標(biāo)簽，并向自己的對(duì)等體進(jìn)行通告，以此來(lái)建立標(biāo)簽轉(zhuǎn)發(fā)表，指導(dǎo)數(shù)據(jù)轉(zhuǎn)發(fā)。需要在AS100、AS200域內(nèi)設(shè)備全局和設(shè)備互聯(lián)物理接口下同時(shí)開(kāi)啟MPLS和LDP協(xié)議。如CR3配置如下：

在GE0／0／2 物理接口下配置與GE0／0／1 相同。其他路由器配置與CR3類似。在設(shè)備上執(zhí)行相應(yīng)命令查看標(biāo)簽會(huì)話表，如圖4所示，CR3與CR1、CR2標(biāo)簽會(huì)話建立成功。

圖4 CR3設(shè)備上LDP會(huì)話表

3.4 VPN實(shí)例創(chuàng)建與綁定

為了實(shí)現(xiàn)業(yè)務(wù)高可靠、安全傳輸，在MPLS公共網(wǎng)絡(luò)上建立私網(wǎng)連接隧道，將私網(wǎng)業(yè)務(wù)與公網(wǎng)業(yè)務(wù)進(jìn)行隔離。同時(shí)，建立多個(gè)VPN實(shí)例承載不同業(yè)務(wù)，實(shí)現(xiàn)私網(wǎng)業(yè)務(wù)之間的互相隔離。如圖1所示，在CR2～CR6這4臺(tái)PE設(shè)備上創(chuàng)建VPN實(shí)例，利用物理接口與相應(yīng)的業(yè)務(wù)私網(wǎng)路由進(jìn)行綁定，實(shí)現(xiàn)私網(wǎng)路由互相隔離。設(shè)總部VLAN10、VLAN20對(duì)應(yīng)實(shí)例名為VPNA，VLAN30、VLAN40對(duì)應(yīng)實(shí)例名為VPNB，分別與CR2、CR3的GE0／0／0接口綁定。分部VLAN50對(duì)應(yīng)實(shí)例名為VPNC，與CR5、CR6的GE0／0／0接口綁定。為保證每條VPN路由的唯一性以及與其他VPN路由互通，需要為每個(gè)VPN實(shí)例自定義RD、RT值。

如，設(shè)置總部實(shí)例VPNA、VPNB的RD值均為100∶1，出入方向RT 值均為100∶200。分部實(shí)例VPNB，RD值為200∶1，為保證與總部的VPNA、VPNB互通，需要設(shè)置相同的出入方向RT值。分別在4臺(tái)PE設(shè)備的G0／0／0接口下綁定對(duì)應(yīng)的VPN實(shí)例。如CR2配置如下命令：

此時(shí)，在CR2設(shè)備上執(zhí)行dis bgp vpnv4 vpninstance VPNA peer來(lái)查看實(shí)例對(duì)等體關(guān)系，如圖5所示，與CSW1的對(duì)等體關(guān)系建立成功。

圖5 CR2設(shè)備上VPNv4的對(duì)等體關(guān)系

同樣，在CR3創(chuàng)建實(shí)例VPNB，CR5、CR6設(shè)備上創(chuàng)建實(shí)例VPNC，配置過(guò)程不再贅述。

3.5 私網(wǎng)路由跨域傳遞

為確保總部和分部業(yè)務(wù)安全性互通，在骨干網(wǎng)跨域傳輸時(shí)，依然以VPNv4路由互通。由于普通BGP對(duì)等體只能傳遞公網(wǎng)IPv4單播路由，為在公網(wǎng)上傳遞VPNv4私網(wǎng)路由，需要建立MP-BGP對(duì)等體來(lái)實(shí)現(xiàn)。在不同AS域內(nèi)，ASBR分別與域內(nèi)PE設(shè)備建立MPiBGP對(duì)等體關(guān)系。采用Option B方式跨域時(shí)，ASBR設(shè)備上不需要?jiǎng)?chuàng)建VPN實(shí)例，需要在ASBR之間建立MP-eBGP對(duì)等體關(guān)系，傳遞VPNv4路由。同時(shí)，為確保能從對(duì)端設(shè)備接收到VPNv4路由，ASBR需要關(guān)閉RT值的過(guò)濾匹配功能。在CR1、CR4設(shè)備上完成如下配置命令：

CR4設(shè)備上配置與CR1基本相同。在設(shè)備上查看對(duì)等體關(guān)系，結(jié)果如圖6所示，CR1分別與CR2～CR4成功建立MP-BGP對(duì)等體。

圖6 CR1設(shè)備上MP-BGP對(duì)等體關(guān)系

4 結(jié)果驗(yàn)證

4.1 業(yè)務(wù)互通測(cè)試

在CR5、CR6其中一臺(tái)PE設(shè)備上輸入dis ip routing-table vpn-instance VPNC 命令，查看綁定的VPN實(shí)例VRF路由轉(zhuǎn)發(fā)表，結(jié)果如圖7所示。在VPNC路由表中可以學(xué)習(xí)到總部的所有業(yè)務(wù)網(wǎng)段路由。

在PC5上分別發(fā)送ping包給其他業(yè)務(wù)網(wǎng)段PC進(jìn)行網(wǎng)絡(luò)連通性測(cè)試，結(jié)果如圖8、9所示，私網(wǎng)業(yè)務(wù)互訪成功。

圖7 CR6設(shè)備上實(shí)例VPNC的VRF路由轉(zhuǎn)發(fā)表

圖9 PC5與PC1、PC2 ping包測(cè)試結(jié)果

4.2 VPN-OptionB跨域數(shù)據(jù)傳遞分析

在2臺(tái)ASBR設(shè)備CR1、CR4上查看一條私網(wǎng)路由，分析數(shù)據(jù)在Option B方式下跨域傳遞過(guò)程，以192.168.10.0／24 網(wǎng)段為例，查看結(jié)果如圖10、11 所示。圖10表明，CR1 從CR2（2.2.2.2）收到該條VPNv4路由，替換私網(wǎng)路由標(biāo)簽，且攜帶路由的RD值以及出方向的RT值。同時(shí)將該路由通告給對(duì)端CR4（10.10.14.2）設(shè)備。圖11 表明，CR4 從CR1（10.10.14.1）收到該條VPNv4路由，再次替換私網(wǎng)路由標(biāo)簽值，攜帶路由的RD值以及出方向的RT值。將該路由通告給MP-iBGP 對(duì)等體CR5（5.5.5.5）、CR6（6.6.6.6）設(shè)備。

圖10 CR1 設(shè)備上192.168.10.0／24VPNv4 路由信息

圖11 CR4 設(shè)備上192.168.10.0／24VPNv4 路由信息

分析可知，業(yè)務(wù)數(shù)據(jù)在跨域過(guò)程中，不是通過(guò)IPv4路由傳遞，而是以VPNv4私網(wǎng)路由進(jìn)行傳輸?shù)摹９W(wǎng)是基于IP路由表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，私網(wǎng)路由是基于標(biāo)簽轉(zhuǎn)發(fā)表來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)。在跨域過(guò)程中，私網(wǎng)與公網(wǎng)數(shù)據(jù)進(jìn)行隔離，提高了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

5 結(jié)語(yǔ)

針對(duì)企業(yè)組網(wǎng)中高效、高安全等技術(shù)需求，提出一種基于BGP MPLS VPN企業(yè)跨域組網(wǎng)設(shè)計(jì)方案，并在eNSP模擬環(huán)境中進(jìn)行仿真，在企業(yè)內(nèi)網(wǎng)及骨干網(wǎng)設(shè)備上部署了OSPF、BGP、MPLS VPN等多種復(fù)雜協(xié)議。圍繞業(yè)務(wù)數(shù)據(jù)跨域傳遞過(guò)程，對(duì)BGP對(duì)等體建立、VPN實(shí)例創(chuàng)建、MPLS標(biāo)簽分發(fā)與交換、VPNv4業(yè)務(wù)數(shù)據(jù)跨域傳輸?shù)葍?nèi)容進(jìn)行了具體配置和過(guò)程分析。結(jié)果表明，方案為私網(wǎng)路由分配標(biāo)簽，建立VPNv4業(yè)務(wù)傳輸隧道，為業(yè)務(wù)數(shù)據(jù)傳遞提供安全保障，增加VPN實(shí)例可以靈活擴(kuò)展企業(yè)增值業(yè)務(wù)，滿足企業(yè)網(wǎng)絡(luò)建設(shè)中安全、靈活和高效等性能需求。

·名人名言·

“成功”的科學(xué)家往往是興趣廣泛的人。他們的獨(dú)創(chuàng)精神可能自他們的博學(xué)。多樣化會(huì)使人觀點(diǎn)新鮮，而過(guò)于長(zhǎng)時(shí)間鉆研一個(gè)窄的領(lǐng)域，則易使人愚蠢。

——貝弗里奇