基于HCL 的BGP MPLS VPN 實驗仿真

江家龍

(廣西工商職業技術學院,廣西 南寧 530008)

0 引言

傳統的GRE VPN,IPSec VPN,L2TP VPN 可以方便快捷地為總部與分支機構建立私有網絡會話,但隨著分支機構增加、訪問需求不斷多樣化,私有網絡會話的規模也不斷擴大,傳統VPN 也暴露出了一定的缺陷,如:靜態隧道擴展性不強和VPN 只能由用戶自行維護和管理,已經無法適應大規模VPN 網絡應用。BGP MPLS VPN 在BGP 和MPLS 技術基礎上進行融合,組網結構更為合理,實現了隧道的動態建立,解決了本地IP 復用問題,靈活控制VPN 私網路由,優化了傳統VPN 模式。 這種VPN 模式降低了網絡的復雜度,降低了企業網絡維護成本,提高了運營商的網絡資源利用率和收益,受到企業和運營商的一致歡迎。 BGP MPLS VPN 是廣域網的重要內容,為了讓學生更容易地理解掌握其技術原理和配置方法,文章首先對MPLS技術和BGP MPLS VPN 原理進行了簡單介紹,然后設計了一個實驗方案并進行仿真,通過具體步驟和配置,以期提高后疫情時代實驗教學質量,也可為企業VPN搭建提供案例參考。

1 MPLS 技術

多協議標簽交換(MultiProtocol Label Switching,MPLS)首先用一個短而定長的標簽來封裝網絡層分組,然后利用該標簽交換實現快速數據包交換和路由的技術[1]。 MPLS 標簽位于報文的鏈路層頭部和網絡層頭部之間,共32 個bits,只具有局部意義。 典型的MPLS 網絡結構如圖1 所示。

圖1 MPLS 網絡結構

MPLS 網絡中具有標簽分發和交換能力的路由器稱為Label Switching Router(LSR);屬于同一個轉發等價類的報文在MPLS 網絡中經過的路徑稱為Label Switching Path(LSP);LSP 的入口路由器稱為入節點(Ingress LSR);位于LSP 中間的路由器稱為中間節點(Transit LSR);出口路由器稱為出節點(Egress LSR)。Ingress LSR 負責為進入MPLS 網絡的IP 報文添加標簽,這一階段也稱為標簽PUSH;Transit LSR 負責將報文在LSP 上進行轉發,這一階段為標簽SWAP;Egress LSR 負責剝離報文中的標簽,將報文恢復成普通IP 包,然后轉發下一跳,這一階段為標簽POP。 MPLS 轉發只需一次查表,相對IP 轉發,更加高效。

MPLS 同GRE 相似,在IP 報文前添加MPLS 標簽進行封裝,路由器直接根據標簽進行轉發,無需檢查內部的目的地址,是一種天然的隧道技術[2]。 MPLS 技術的初衷是為了加快報文的轉發效率,但隨著高速路由和交換設備轉發性能的大幅度提升,其并沒能取代IP網絡,反而自身的天然隧道在承載IP 報文構建VPN 方面得到了廣泛應用。

2 BGP MPLS VPN 工作原理

BGP MPLS VPN 是一種基于BGP 和MPLS 實現VPN 業務的技術,其利用MPLS 技術創建隧道,通過BGP 路由協議解決了私網路由在傳播時的學習、撤銷、轉發、訪問控制等問題[3]。 BGP MPLS VPN 簡單網絡結構如圖2 所示,主要由CE,PE 和P 組成,用戶網絡邊緣路由器(Customer Edge Router,CE);服務提供商邊緣路由器(Provider Edge Router,PE)負責用戶VPN 的接入、存儲全局路由表和VRF[4];服務提供商核心路由器(Provider Router,P)負責快速轉發數據。 在現實網絡中,可能會存在多個P 和PE 設備,它們需要支持MPLS 的基本功能,CE 設備則不需要支持MPLS。

BGP MPLS VPN 的實現分為以下4 個步驟[5]:

(1)公網隧道的建立。 運營商PE1,P,PE2 通過運行IGP 實現公網路由互通,并在設備接口上使能MPLS和MPLS LDP,建立PE1 到PE2 的MPLS LSP 隧道。

(2)本地VPN 的建立。 在PE 上設計RD 和RT 建立VPN,在與用戶設備CE 相連接口上進行VRF 綁定,通過IGP 完成CE 側VPN 用戶私網路由學習。

(3)私網路由的學習。 在PE 設備啟用BGP 進程,進入VPNv4 地址族使能鄰居,建立MP-BGP 鄰居,將VPN 用戶私網路由引入MP-BGP 傳遞給對端CE 設備,完成私網路由學習。

(4)私網數據的轉發。 數據報文在BGP MPLS VPN轉發中會壓入兩層MPLS 標簽,首先壓入的是內層標簽,也稱私網Label,主要用于幫助PE 設備識別是哪一個VPN 的報文;壓入的是外層標簽,也稱為MPLS 公網標簽,用于MPLS LSP 隧道中交換轉發私網用戶數據報文。

數據報文從CE1 轉發進入PE1 后會被連續壓入內層和外層標簽再轉發給P;P 會將數據報文外層標簽換成3,根據倒數第二跳彈出原則將3 標簽彈出并把報文傳給PE2;PE2 根據內層標簽查找VPN 私網路由,把報文傳給CE2 并彈出內層標簽;此時報文只是IP 數據包,CE2 只需IP 轉發即可實現數據順利抵達私網目的地(見圖2)。

圖2 BGP MPLS VPN 網絡結構

3 實驗設計與仿真

3.1 實驗場景和邏輯規劃設計

以A,B 兩個企業網絡為例,總部和分支分別通過路由器出口連接到公網。 企業A 分支需要同總部兩個私網服務器通信(192.168.100.1/24,172.16.100.1/24),企業B 分支需要同總部私網服務器通信(172.16.100.1/24),企業A,B 私網不能互通。 本次實驗采用HCL(H3C Cloud Lab)V2.1.2 作為仿真模擬軟件,網絡拓撲結構和IP 規劃如圖3,表1 所示。

表1 IP 地址規劃

圖3 實驗拓撲

具體功能如下:

(1) 場景中的公網由PE1, P, PE2 組成, 以Loopback0 作為各路由器的Router ID,路由器之間通過運行OSPF 進行路由學習,實現公網路由互通。

(2)場景中的企業A,B 總部服務器和分支業務網段分別用Loopback0,Loopback1 模擬。

(3)公網路由器使能MPLS 和MPLS LDP,以Loopback0 做為LSR ID,構建LSP。

(4)VPN_A 的RT,RD 統一設置為100 ∶1,VPN_B的RT,RD 統一設置為200 ∶1。

(5)公網路由器同屬自治系統AS100,PE1 與PE2建立MP-BGP 鄰居,以便傳遞私網路由。

3.2 實驗網絡配置

3.2.1 公網互通

根據表1 設置相關的IP 地址,通過OSPF 學習,確保PE1,P,PE2 公網路由可達。

P 與PE2 同樣創建OSPF 路由進程完成上述配置,查看鄰居建立情況,并在PE1,P,PE2 上驗證公網連通性,為下一步的MPLS 網絡構建作基礎。

3.2.2 MPLS 配置

在公網路由設備上配置MPLS,在PE1 與PE2 間建立MPLS LSP,作為VPN 的私網隧道。

以此類推P 與PE2 完成上述配置,檢查MPLS LDP鄰居建立情況,查看PE1 與PE2 間MPLS LSP 是否建立成功,圖4 為PE1 的LSP 建立情況。

圖4 PE1 的LSP 建立情況

3.2.3 VPN 建立與綁定

3.2.4 PE 與CE 間的路由學習配置

圖5 PE1 的BGP 建立情況

4 仿真實驗測試

在CE1,CE2,CE3,CE4 上查看路由學習情況,從圖6 Proto/O_INTER 可知,PE1 通過BGP 將VPN_A總部路由傳遞給PE3,分支CE3 通過OSPF 成功從PE3 學習到總部路由,CE1,CE2,CE4 也已經可以成功學習對端VPN 私網路由。 圖7 與圖8 測試結果說明VPN_A,VPN_B 已經成功建立,總部與分支間可以正常通信。

圖6 CE3 路由學習情況

圖7 VPN_A 的通信情況

圖8 VPN_B 的通信情況

在CE1 下創建FTP 應用和用戶h3c,圖9 測試結果說明,VPN_A 分支可以成功與CE1 上的總部通信。PE1 中VPN_A,VPN_B 雖然存在著相同的私網用戶172.16.100.1,但VRF 已經將它們進行了隔離,VPN用戶端的私網地址是可以復用的。

圖9 VPN_A,VPN_B 私網復用通信情況測試

5 結語

本文基于HCL 設計了一個BGP MPLS VPN 網絡實驗方案,涉及OSPF 和MPLS 配置、VPN 綁定、BGP建立、路由引入等,實現了企業總部和分支間私有網絡的訪問需求,保證了私網數據的安全,驗證了私網用戶IP 復用情況,完成了實驗目標任務。 縱觀整個仿真實驗的實現過程,VPN_A,VPN_B 私網用戶端和CE 設備感知不到VPN 的存在,也無需維護MPLS 隧道,減少了自身的建設和維護成本。 對ISP 運營商而言,隧道的建立和私網路由的學習都是動態的,只需設計RD 和RT 就能構建不同訪問需求的VPN,維護起來也極為方便。 這些優勢都是傳統VPN 技術所不具備的,這也正是BGP MPLS VPN 技術得以盛行的原因。