陳淑瑜

摘要：從應(yīng)用的角度探討了BGP/MPLS VPN的方案實(shí)施和性能。

關(guān)鍵詞：MPLSVPN服務(wù)質(zhì)量

1BGP/MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)和原理

BGP/MPLS VPN的實(shí)現(xiàn)使用雙層標(biāo)簽技術(shù)實(shí)現(xiàn)隧道，內(nèi)部標(biāo)簽由邊緣設(shè)備完成與用戶站點(diǎn)的映射，控制在出口路由器上的轉(zhuǎn)發(fā)，一般通過(guò)BGP分發(fā)。外層標(biāo)簽完成在MPI.S域中的轉(zhuǎn)發(fā)，標(biāo)識(shí)著本標(biāo)簽報(bào)文需要哪個(gè)邊緣設(shè)備處理，一般通過(guò)LDP分發(fā)，或者在運(yùn)營(yíng)商希望實(shí)施流量工程時(shí)通過(guò)使用RSVP-TE或CR-LDP分發(fā)，核心層的設(shè)備P不需要也不可能知道內(nèi)層標(biāo)簽的存在，只是按照棧頂標(biāo)簽來(lái)交換VPN分組，不會(huì)查看非棧頂標(biāo)簽。

1．1 BGP/MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)如圖1所示，由三種路由器P、PE、CE和用戶站點(diǎn)組成。

P：是運(yùn)營(yíng)商核心的路由器，是運(yùn)營(yíng)商網(wǎng)絡(luò)中的不與CE設(shè)備連接的任何路由器，相當(dāng)于核心部分的標(biāo)簽交換路由器(LSR)，負(fù)責(zé)MPLS包的轉(zhuǎn)發(fā)。

PE：服務(wù)提供商核心網(wǎng)邊緣路由設(shè)備，相當(dāng)于核心部分的標(biāo)簽邊緣路由器(LER)。

CE：通常為VPN用戶站點(diǎn)中的一個(gè)路由器或交換設(shè)備，接收和分發(fā)用戶網(wǎng)絡(luò)路由，CE路由器只與和它直接連接的PE建立路由對(duì)等關(guān)系，并彼此傳播VPN路由信息。

用戶站點(diǎn)：是VPN中的一個(gè)孤立的IP網(wǎng)絡(luò)。如果某站點(diǎn)只有一臺(tái)主機(jī)，那么該主機(jī)可以就是CE設(shè)備。

1．2 BGPAMPLS VPN的工作原理

(1)路由信息分發(fā)：因?yàn)椴捎昧藘蓪訕?biāo)簽棧結(jié)構(gòu)，所以P路由器并不參與VPN路由信息的交互，客戶路由器通過(guò)CE和PE路由器之問(wèn)、PE路由器之間的路由交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔?。CE-PE路由器之間通過(guò)采用靜態(tài)/缺省路由，或采用IGP(RIPv2、OSPF)等動(dòng)態(tài)路由協(xié)議，或建立EBGP連接等方式進(jìn)行路由信息的交互。PE-PE之間通過(guò)采用MP-BGP進(jìn)行路由信息的交互。正常的BGP(Border GatewayPmtoc01)協(xié)議能只傳遞IPv4的路由，它的擴(kuò)展性好，可以在原來(lái)的基礎(chǔ)上再定義新的屬性，通過(guò)對(duì)BGP修改，把BGP4擴(kuò)展成MP-BGP。PE路由器通過(guò)維持BGP網(wǎng)狀連接或使用路由反射器來(lái)確保路由信息被分發(fā)給所有的PE路由器。

(2)數(shù)據(jù)轉(zhuǎn)發(fā)：在MPKS網(wǎng)絡(luò)中傳輸?shù)腣PN數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)，它們分別對(duì)應(yīng)于兩個(gè)層面的路由：域內(nèi)路由和VPN路由。域內(nèi)路由即MPI.S中的LSP是由PE路由器和P路由器通過(guò)運(yùn)行LDP或RSVP(Resource Reservation Protoc01)建立的，它所產(chǎn)生的標(biāo)簽轉(zhuǎn)發(fā)表用于VPN分組外層標(biāo)簽的交換。VPN路由是由PE路由器之間通過(guò)運(yùn)行MP-BGP建立的，該協(xié)議跨越骨干網(wǎng)的P路由器分發(fā)VPN標(biāo)簽形成VPN路由。

2BGP/MPLS VPN應(yīng)用方案分析

某金融企業(yè)擁有若干業(yè)務(wù)網(wǎng)點(diǎn)，可以完成儲(chǔ)蓄、清算、轉(zhuǎn)帳等業(yè)務(wù)，各網(wǎng)點(diǎn)之間的業(yè)務(wù)需要實(shí)時(shí)聯(lián)系，各種業(yè)務(wù)需要進(jìn)行隔離的特點(diǎn)，在企業(yè)內(nèi)部建立業(yè)務(wù)相互隔離的內(nèi)部網(wǎng)絡(luò)。本文僅以儲(chǔ)蓄和清算業(yè)務(wù)為例討論其解決方案的網(wǎng)絡(luò)結(jié)構(gòu)和配置，如圖2所示。

2．1具體方案

企業(yè)主干網(wǎng)是MPLS網(wǎng)絡(luò)，不同的業(yè)務(wù)網(wǎng)屬于不同的VPN，可以用不同的RD來(lái)標(biāo)識(shí)，圖中假設(shè)RD：1010屬于儲(chǔ)蓄業(yè)務(wù)用戶，而RD：99屬于清算業(yè)務(wù)用戶。然后具體配置PE，需要定義并且配置VRF、RD、RT，配置導(dǎo)入導(dǎo)出策略，配置MP-BGP協(xié)議、PE到CE的路由協(xié)議、配置連接CE的接口，將該接口和前面定義的VRF聯(lián)系起來(lái)。圖2中CEl、CE2組成一個(gè)VPN，CE3、CE4組成一個(gè)VPN，由于使用了VPN-IPv4地址，兩個(gè)VPN可以使用相同的地址段，主機(jī)l和主機(jī)2分別使用地址10.1.1.0,8和10.1.1.1/8，主機(jī)3和主機(jī)4也可以使用地址10.1.1.0'8和10.1.1.1/8。則PEl的配置為：net=10.1.1.0/8，RD=1010:1，RT=100:1，label=18，Next_hop=PE2。

CEl、CE2具體數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程如下：

①CEl接收到發(fā)往10.1.1.的IP數(shù)據(jù)包，查詢路由表，把該IP數(shù)據(jù)包發(fā)送到PEl：

②PEl收到IP數(shù)據(jù)包后，根據(jù)其對(duì)應(yīng)的VRF，給數(shù)據(jù)包打上標(biāo)簽18，該標(biāo)簽就是通過(guò)MP-BGP協(xié)議傳來(lái)的。PEl繼續(xù)查詢?nèi)洲D(zhuǎn)發(fā)表，獲知要把數(shù)據(jù)發(fā)往10.1.1.1，必須先發(fā)送到PE2，而要發(fā)送到PE2，則必須打上由Pl告知的標(biāo)簽2。所以該lP包被打上了兩個(gè)標(biāo)簽；

③P1接收到標(biāo)簽包后，分析頂層的標(biāo)簽，把項(xiàng)層標(biāo)簽換成4，繼續(xù)發(fā)送到P2：

④P2和Pl一樣做同樣的操作，由于末次中繼彈出機(jī)制，P2去掉標(biāo)簽4，直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送到PE2；

⑤PE2收到標(biāo)簽包后，分析標(biāo)簽頭，由于該標(biāo)簽8是它本地產(chǎn)生的，而且是本地唯一的，所以PE2很容易查出帶有標(biāo)簽8的標(biāo)簽包應(yīng)該去掉標(biāo)簽，恢復(fù)IP包原貌發(fā)出。CE2獲得IP數(shù)據(jù)包后，進(jìn)行路由查找，把數(shù)據(jù)發(fā)送到10.1.1.1/8網(wǎng)段上。

2．2該應(yīng)用方案具有的性能特點(diǎn)

(1)BGP/MPLS VPN安全性采用尋址空間分離、路由隔離和信息隱藏等多種機(jī)制來(lái)實(shí)現(xiàn)的，提供了抗攻擊和標(biāo)簽欺騙的手段。

尋址空間分離：MPLS核心采用VPN-IPv4地址路由，通過(guò)在IPv4路由上添加一個(gè)路由區(qū)分符(RD)，確保在VPN中獨(dú)一無(wú)二的地址在MPLS核心中同樣是獨(dú)一無(wú)二的。通過(guò)地址隔離，使得屬于某個(gè)VPN的用戶只可能攻擊他自己的網(wǎng)絡(luò)，而無(wú)法攻擊別人的網(wǎng)絡(luò)。

路由分離：PE路由器為每一個(gè)VPN保持一個(gè)分離的路由表(VRF)。這些VRF不僅彼此獨(dú)立，而且與全局路由表獨(dú)立。即使有VPN用戶網(wǎng)絡(luò)使用相同的地址空間，也是完全隔離的。

核心隱藏：在MPLS內(nèi)部連接到VPN的接口是PE，沒(méi)有必要透露關(guān)于核心的任何信息給用戶站點(diǎn)和CE。如果在PE和CE之間使用動(dòng)態(tài)路由協(xié)議，CE唯一知道的信息是PE路由器的地址；如果不需要此信息，可以在PE和CE之間配置靜態(tài)路由，徹底隱藏MPLS核心。CE路由器不知MPLS核心的存在，所有“標(biāo)簽”工作都應(yīng)由PE完成。

(2)在OoS方面有良好的表現(xiàn)

MPLS最重要的優(yōu)勢(shì)能夠?yàn)镮SP提供現(xiàn)有傳統(tǒng)IP路由技術(shù)所不能支持的要求保證QoS的業(yè)務(wù)。通過(guò)MPLS技術(shù)，sP可以提供各種新興的增值業(yè)務(wù)，有效實(shí)施流量工程和計(jì)費(fèi)管理措施，擴(kuò)展和完善更高等級(jí)的基礎(chǔ)服務(wù)。

目前比較成熟的解決方案是采用DiffServ(差分服務(wù))，即在網(wǎng)絡(luò)的邊緣對(duì)IP業(yè)務(wù)流進(jìn)行流量監(jiān)控及分類，并且根據(jù)分類的結(jié)果對(duì)報(bào)文進(jìn)行標(biāo)記，在MPLS邊緣設(shè)備上將IP的DSCP映射拷貝到MPLS標(biāo)簽的EXP域中，在中間KSR設(shè)備上，根據(jù)MPLS標(biāo)簽中的EXP域所指明的優(yōu)先級(jí)進(jìn)行隊(duì)列調(diào)度。在PE設(shè)備與骨干網(wǎng)絡(luò)之間的QoS控制可以基于隧道實(shí)現(xiàn)，目前已有幾種MPLS差分服務(wù)方案如E-LSP、L-LSP等。

MPLS利用顯式路由功能同時(shí)通過(guò)帶有QoS參數(shù)的信令協(xié)議建立受約束標(biāo)簽交換路徑(CR-LSP)，因而能夠有效地實(shí)施流量工程。流量工程是基于業(yè)務(wù)流所需的資源和網(wǎng)絡(luò)中的可用資源為業(yè)務(wù)流在穿越網(wǎng)絡(luò)時(shí)進(jìn)行選路，MPLS采用受約束的選路方式，控制網(wǎng)上的特定路由，減少阻塞。實(shí)質(zhì)上是通過(guò)平衡QoS與網(wǎng)絡(luò)中非QoS資源的使用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)性能的優(yōu)化，保證端到端的QoS。

對(duì)于一個(gè)VPN的業(yè)務(wù)而言，不同的站點(diǎn)之間傳遞的數(shù)據(jù)在骨干網(wǎng)絡(luò)中采用隧道的方式通過(guò)，因此在PE設(shè)備與骨干網(wǎng)絡(luò)之間的QoS控制可以基于隧道實(shí)現(xiàn)。該方案中用戶可以將VPN的管理完全托管給骨干網(wǎng)絡(luò)管理機(jī)構(gòu)，自己不需要了解VPN的構(gòu)造和連接。

3結(jié)束語(yǔ)

BGP/MPLS VPN采用MPLS作為隧道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸，具備安全、高速交換、可靠性和高性能，支持QoS和流量工程等優(yōu)點(diǎn)，有利于部署一些新型服務(wù)。其適用范圍是高效運(yùn)作、商務(wù)活動(dòng)頻繁、數(shù)據(jù)通信量大、對(duì)網(wǎng)絡(luò)依靠程度高、有較多分支機(jī)構(gòu)，如IT公司、金融業(yè)、貿(mào)易行業(yè)、新聞機(jī)構(gòu)等，企業(yè)網(wǎng)的節(jié)點(diǎn)數(shù)較多，通常將達(dá)到幾十個(gè)以上。