王文娟李緒凱張?zhí)燧x邢娜

（1軍械工程學(xué)院河北石家莊 053000）

（2中國電子科技集團(tuán)公司第五十四研究所河北石家莊 050081）

MPLS/BGP-VPN技術(shù)應(yīng)用

王文娟1李緒凱2張?zhí)燧x1邢娜1

（1軍械工程學(xué)院河北石家莊 053000）

（2中國電子科技集團(tuán)公司第五十四研究所河北石家莊 050081）

圍繞現(xiàn)有網(wǎng)絡(luò)中的虛擬私有網(wǎng)絡(luò)（VPN）應(yīng)用技術(shù)，首先介紹基于MPLS/BGP的VPN技術(shù)，包括MPLS/BGP VPN技術(shù)的原理和涉及的主要概念，MPLS VPN的網(wǎng)絡(luò)結(jié)構(gòu)以及MPLS/BGP VPN中的RD和RT等概念。通過詳細(xì)描述路由發(fā)布和數(shù)據(jù)轉(zhuǎn)發(fā)過程，深入分析MPLS/BGP VPN技術(shù)的通信原理，在理論基礎(chǔ)上，使用阿爾卡特的成熟網(wǎng)絡(luò)設(shè)備進(jìn)行實例配置，給出具體的配置思路和步驟，使MPLS/BGP VPN技術(shù)的原理和實際應(yīng)用進(jìn)行了有效地結(jié)合，為其他網(wǎng)絡(luò)設(shè)備配置提供參考。

VPN技術(shù) MPLS網(wǎng)絡(luò) BGP

1 引言

隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，專網(wǎng)已經(jīng)越來越被人們所接受，而虛擬私有網(wǎng)絡(luò)技術(shù)則是其中的典型應(yīng)用。虛擬私有網(wǎng)絡(luò)是指利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)，用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼和ATM等，而在VPN中應(yīng)用較為廣泛的是基于三層的MPLS/BGP VPN技術(shù)。

2 MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)

MPLS（multiprotocol label switching）最初是為提高路由器轉(zhuǎn)發(fā)速度而提出的一個協(xié)議，它融合了IP路由技術(shù)靈活性和ATM交換技術(shù)簡潔性。MPLS[1]協(xié)議的關(guān)鍵是引入了標(biāo)簽（Label）的概念，是一種短的、易于處理的和不包含拓?fù)涞男畔?，只具有局部意義的信息。

MPLS報文轉(zhuǎn)發(fā)是基于標(biāo)簽的，IP包在進(jìn)入MPLS網(wǎng)絡(luò)時，MPLS入口的邊緣路由器分析IP包的內(nèi)容，并且為這些IP包選擇合適的標(biāo)簽，網(wǎng)絡(luò)中所有MPLS節(jié)點(diǎn)都將這個標(biāo)簽作為數(shù)據(jù)轉(zhuǎn)發(fā)判決的依據(jù)。當(dāng)該IP包最終離開MPLS網(wǎng)絡(luò)時，標(biāo)簽被出口的邊緣路由器去掉。MPLS VPN可以理解為在MPLS網(wǎng)絡(luò)中的VPN，MPLS從根本上說是一種隧道技術(shù)，它就是VPN的專用通道。

MPLS VPN網(wǎng)絡(luò)，是由運(yùn)營商的骨干網(wǎng)與用戶（Site）組成，所謂VPN就是對site集合的劃分，一個VPN就對應(yīng)一個由若干site組成的集合。MPLS VPN模型中有3種類型的路由器:①CE路由器:用戶Site中直接與服務(wù)提供商相連的客戶端路由器；于PE路由器:骨干網(wǎng)中的邊緣路由器，它直接與用戶的CE相連；③P路由器:骨干網(wǎng)中不與CE直接相連，只維護(hù)到PE路由器的路由信息。

圖1 MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)

CE路由器是客戶端路由器，它不知道VPN的存在，也不需要支持MPLS技術(shù)，只需要運(yùn)行標(biāo)準(zhǔn)路由協(xié)議即可。所有VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的，它也是MPLS網(wǎng)絡(luò)的關(guān)鍵。P路由器支持MPLS技術(shù)，負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸，并不知道有VPN的存在。在MPLS VPN中，又分為Layer3 MPLS VPN和Layer2 MPLS VPN。當(dāng)PE路由器[2]不參與客戶路由時為Layer2 MPLS VPN，當(dāng)PE路由器參與客戶路由時，為Layer3 MPLS VPN。在Layer3 MPLS VPN中，經(jīng)常使用BGP在PE路由器之間分發(fā)VPN路由信息，使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù)，因而又將Layer3 MPLS VPN稱為MPLS/BGP VPN。

3 BGP/MPLS VPN中的幾個概念

3.1 VRF

VPN路由轉(zhuǎn)發(fā)實例（VPN Routing&Forwarding Instance，VRF）只存在于PE上，用于不同VPN之間的路由隔離，針對每一個site，PE都會創(chuàng)建一個與之對應(yīng)的VRF。每一個VRF維護(hù)獨(dú)立的地址空間，在VRF中包含了到達(dá)所有與本site屬于同一個VPN的site路由信息。這樣，在PE上來自CE的報文就可以根據(jù)相應(yīng)的VRF來進(jìn)行轉(zhuǎn)發(fā)。

CE-PE通過標(biāo)準(zhǔn)路由協(xié)議[3]交互路由信息，如圖2所示，每個CE只有標(biāo)準(zhǔn)的路由協(xié)議形成的路由表，也稱為公網(wǎng)路由表。PE之間通過IGP來保證內(nèi)部的連通性，通過MP-IBGP來傳播VPN組成信息和路由，在PE上不及存在公網(wǎng)路由表，還有對應(yīng)于每個VRF的路由表，以及轉(zhuǎn)發(fā)數(shù)據(jù)的MPLS轉(zhuǎn)發(fā)表。

圖2 VPN路由轉(zhuǎn)發(fā)實例

3.2 RD和RT

在每一個VRF中，還包含了2個重要的屬性，RD和RT [4]。在實際應(yīng)用中，由于VPN用戶的地址都是自行制定的，導(dǎo)致不同的VPN用戶使用相同的地址，RD（Route Distinguisher）的引入解決了此類問題。RD是一個8 Bytes的標(biāo)識，RD加上4 Bytes的IP地址，形成了一個12 Bytes新的地址族—VPN-v4。PE從CE接受Ipv4路由后，通過人工配置本地RD，保證了VPN-v4的唯一性，保證VPN用戶的地址空間不會出現(xiàn)沖突，相同的VPN配置的RD要相同。

而此時標(biāo)準(zhǔn)的路由協(xié)議已經(jīng)不適于傳輸VPN-v4地址了，MP-BGP的擴(kuò)展團(tuán)體屬性解決了這一問題，因此在PE之間使用MP-BGP傳輸VPN路由，而RT(Route Target)也是MP-BGP攜帶的一種重要團(tuán)體屬性。

其中為對數(shù)似然函數(shù)的最大值，L(0)為模型參數(shù)β=0時的對數(shù)似然函數(shù)。當(dāng)p2大于0.4時可認(rèn)為模型擬合得較好。

PE路由器存在2個Route Target屬性:Export RT和Import RT。RT的作用是為了保證每個PE路由器只接收需求的VPN路由，丟棄非法的路由信息，PE路由器通過RT控制了VPN路由的發(fā)布。在發(fā)布VPN路由時，每個PE都會為這些路由信息標(biāo)記Export RT，當(dāng)PE接受VPN路由時，會將該VPN的路由標(biāo)記Export RT與本地已存儲的Import RT集進(jìn)行比較，如果與任何一個Import RT相匹配則接收，不匹配則丟棄。

4 MPLS/BGP VPN路由和數(shù)據(jù)發(fā)布

在MPLS/BGP VPN網(wǎng)絡(luò)中，路由信息的發(fā)布可以分為3個部分，本地CE到入口PE、入口PE到出口PE和出口PE到出口CE。

本地CE和入口PE之間通過標(biāo)準(zhǔn)的路由協(xié)議建立連接，比如OSPF、RIP或靜態(tài)路由等，此時PE收到的是標(biāo)準(zhǔn)的IPv4路由信息。入口PE學(xué)到CE發(fā)布的VPN路由后，會為每一個VPN路由創(chuàng)建一個VRF，相同的VPN路由使用同一個VRF,為了能夠正確在PE之間發(fā)布VPN路由，PE路由器還需要人工配置RD和RT，將IPv4路由變?yōu)閂PN-v4路由，在實際配置中[5]，通常同一個VPN內(nèi)的site配置的RD和RT都是相同的，方便配置和記憶，并為該VPN路由分配一個VPN標(biāo)簽，該標(biāo)簽用于標(biāo)示VPN路由，與配置的RT信息是相關(guān)聯(lián)的；入口PE通過MP-IBGP協(xié)議將路由信息發(fā)布到出口PE，在實際配置中，通常配置路由反射器來保證PE之間的路由發(fā)布，當(dāng)出口PE收到的VPN路由時，會進(jìn)行匹配判定，然后決定是否接受該路由。注意:中間的網(wǎng)絡(luò)必須保證其連通性，同時P路由器也不參與VPN路由的傳輸，只參與MPLS中的數(shù)據(jù)傳輸；出口PE到出口CE運(yùn)行的也是標(biāo)準(zhǔn)路由協(xié)議。出口PE收到VPN路由后，通過RT確定VRF，將該路由存入VPN-IPv4路由表。在進(jìn)行路由選擇之后，將最優(yōu)路由中的VPN-IPv4地址轉(zhuǎn)化成IPv4地址，即去掉地址中的RD，導(dǎo)入到相應(yīng)的VRF表中。

VPN數(shù)據(jù)報文的傳輸也可以分為本地CE到入口PE，入口PE到出口PE，出口PE到出口CE三個部分。MPLS/BGP VPN中的數(shù)據(jù)報文采用的是兩層標(biāo)簽結(jié)構(gòu)[6]，內(nèi)標(biāo)簽為VPN標(biāo)簽，用于標(biāo)示VPN路由，是由MP-IBGP產(chǎn)生的，外標(biāo)簽為MPLS標(biāo)簽，用于VPN報文傳輸，是由MPLS中的LDP產(chǎn)生的。

當(dāng)入口PE收到本地CE的VPN數(shù)據(jù)報文后，會通過查找VRF表，得到VPN標(biāo)簽，PE路由器通過MPLS轉(zhuǎn)發(fā)表再為該報文打上MPLS標(biāo)簽，形成2層標(biāo)簽的VPN報文；入口PE會根據(jù)MPLS標(biāo)簽逐跳轉(zhuǎn)發(fā)VPN報文，通過對應(yīng)的出接口將VPN報文送到對應(yīng)LSP中第一個P路由器，直至最后一個P路由器彈出MPLS標(biāo)簽，將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE；出口PE收到VPN報文后，通過查找VRF表得到對應(yīng)的輸出接口，彈出VPN標(biāo)簽，將該報文送到正確的CE上。

注意:當(dāng)入口PE和出口PE相同時，PE不會對VPN報文進(jìn)行處理，直接發(fā)給互聯(lián)的CE；當(dāng)沒有CE設(shè)備時，PE設(shè)備會直接對VPN報文進(jìn)行處理。

5 MPLS/BGP VPN配置實例

在進(jìn)行MPLS/BGP VPN實例配置時，涉及的協(xié)議和命令較多，需要熟悉相關(guān)的路由設(shè)備并加以反復(fù)練習(xí)，才能順利完成配置，配置實例的關(guān)系連接圖如圖3所示，選用的設(shè)備是阿爾卡特的7750 SR-7系列路由設(shè)備，R1、R2、R3和R4為P路由器，R1和R2之間為P路由器的互聯(lián)網(wǎng)絡(luò)，各點(diǎn)的互連均采用OSPF協(xié)議:area 0域。此處選用的是VPN用戶直接接入PE，也可在PE后接入CE對VPN用戶進(jìn)行擴(kuò)展。

圖3 MPLS/BGP VPN實例關(guān)系連接圖

為了方便理解和配置，在進(jìn)行配置時可以分為幾個部分:

①基礎(chǔ)配置:各路由設(shè)備的端口互連地址和OSPF協(xié)議配置；于MPLS配置:各P和PE設(shè)備的MPLS配置，包括LSP的建立，此處使用的是LDP協(xié)議；

③BGP配置:MP-IBGP的配置，各PE路由器的BGP協(xié)議配置，并配置路由反射器；④VPN配置:各PE點(diǎn)的VPN配置，包括RD和RT。

具體的配置過程如下:

①基礎(chǔ)配置中，配置各設(shè)備的互連地址和OSPF路由協(xié)議，并進(jìn)行OSPF鄰居的查看和ping測試，保證網(wǎng)絡(luò)的互通性，注意配置好telnet遠(yuǎn)程登錄，便于調(diào)試，具體配置不再一一列出；

于以R1配置MPLS為例，此處僅給出MPLS的相關(guān)配置和說明，其他P和PE路由設(shè)備的配置類同，各點(diǎn)在骨干網(wǎng)互通的基礎(chǔ)上建立LSP；

③以R1和R2配置BGP為例，此處將R1作為路由反射器，其他所有的BGP對等體僅和R1通信即可，節(jié)省了網(wǎng)絡(luò)資源、簡化了配置步驟，以下是R1的配置，它與R2建立成為BGP對等體；

④還可以繼續(xù)配置其他對等體鄰居，如R3和R4等，此處未給出配置，具體配置與增加R2為鄰居配置相同。以下是R2的配置，R3和R4等的配置與R2類同。

⑸以PE1配置VPN為例，未接入CE，可以將VPN用戶直接接入PE。

如果VPN用戶不止一個時，可以修改以上配置中1/3/1為dot1p封裝，變?yōu)?/3/1∶vlan-id，進(jìn)而可以增加CE進(jìn)行擴(kuò)展。

6 結(jié)束語

在VPN技術(shù)的實際應(yīng)用中，MPLS/BGP VPN技術(shù)是應(yīng)用最為廣泛的技術(shù)，本文就其原理進(jìn)行了簡單的闡述，針對某種特定設(shè)備給出了配置實例，列出其中的關(guān)鍵性配置，當(dāng)然不同的網(wǎng)絡(luò)設(shè)備如華為和思科等給出的配置也各自不同，但是其原理是相通的，為不同網(wǎng)絡(luò)設(shè)備進(jìn)行配置提供參考。

[1]朱斌,徐林.MPLS技術(shù)在VPN中的研究與應(yīng)用[J].計算機(jī)與數(shù)字工程,2005,33(4):83-85.

[2]ROSEN.E,REKHTER Y.BGP/MPLS VPNs.RFC 2547[M]. USA:Cisco Systems,Inc,2002.

[3]陳軍華,王忠民.BGP/MPLS VPN實現(xiàn)原理[J].計算機(jī)工程, 2006,32(23):124-126.

[4]朱凱輝,董德存.MPLS-VPN技術(shù)的探討[J].電腦知識與技術(shù),2005(24):16-19.

[5]董玲,黃楊,徐塞虹.BGP/MPLS VPN實現(xiàn)細(xì)節(jié)探討[J].計算機(jī)工程與應(yīng)用,2005,41(29):117-119.

[6]韓海雯,張瀟元.基于BGP協(xié)議的MPLS VPN構(gòu)建機(jī)制分析[J].計算機(jī)工程與設(shè)計,2008,29(5)1104-1107.

Application of MPLS/BGP-VPN Technology

WANG Wen-juan1ZHANG Tian-hui1LI Xu-kai2XING Na1
(1.PLA College of Ordnance Engineering,Shijiazhuang Hebei 050003,China)
（2 The 54th Research Institute of CETC,Shijiazhuang Hebei 050081,China)

Centering on the Virtual Private Network(VPN)application technology in existing network,this paper firstly introduces the VPN technology based on MPLS/BGP,including the principles and main concepts of MPLS/BGP VPN technology,the MPLS VPN network architecture and the concepts of RD and RT in MPLS/BGP VPN.Based on detailed description of routing distribution and data forwarding process,this paper deeply analyzes the communication principles of MPLS/BGP VPN technology.Finally,on the basis of theory,it uses the Alcatel’s mature network device to implement the instance configuration,and gives the specific configuration ideas and approaches to effectively combine the technical principle and actual application of MPLS/BGP VPN technology,and provides some references for other network device configuration.

VPN technology;MPLS network;BGP

]TP393

1008-1739（2015）01-60-4

定稿日期：2014-12-12