程永青

（南京廣播電視大學(xué)，江蘇 南京 210002）

淺談BGP/MPLS VPN技術(shù)的實現(xiàn)

程永青

（南京廣播電視大學(xué)，江蘇 南京 210002）

伴隨著信息化浪潮在全球的興起，世界上有越來越多的企業(yè)開始在互聯(lián)網(wǎng)上銷售產(chǎn)品和服務(wù)。這樣做不僅為企業(yè)節(jié)約了成本，也創(chuàng)造了價值，甚至有企業(yè)利用互聯(lián)網(wǎng)將遠(yuǎn)在異地的分支機(jī)構(gòu)與自己的總部互連起來，實現(xiàn)了利益最大化。早期應(yīng)用于這方面的技術(shù)主要是虛擬專用網(wǎng)但最終由于其部署和維護(hù)成本過高而導(dǎo)致一般企業(yè)難以承受，于是人們開發(fā)出了MPLS VPN技術(shù)，該技術(shù)使得企業(yè)部署和維護(hù)VPN的成本大大降低，因此受到越來越多的中小企業(yè)青睞。文章探討了BGP和MPLS VPN的相關(guān)技術(shù)，對中小企業(yè)具有一定的參考意義。

BGP；VPN；MPLS VPN

1　VPN產(chǎn)生的技術(shù)背景

隨著時代的進(jìn)步和企業(yè)規(guī)模的擴(kuò)大，企業(yè)網(wǎng)自身也在不斷壯大，過去那種幾臺設(shè)備加幾種簡單技術(shù)就可以滿足的企業(yè)網(wǎng)絡(luò)放在當(dāng)今已完全不適應(yīng)現(xiàn)代企業(yè)的需求，與今天由上萬臺設(shè)備所組建的企業(yè)網(wǎng)相比，過去十幾年間的變化令人印象深刻。虛擬專用網(wǎng)（Virtual Private Network，VPN）技術(shù)產(chǎn)生的背后有著深層次的原因和社會需求，它的出現(xiàn)解決了以更低成本以及更加私密的方式在Internet上傳輸數(shù)據(jù)的問題，從而實現(xiàn)企業(yè)內(nèi)部各機(jī)構(gòu)的安全互連。VPN它是一種構(gòu)建在公共網(wǎng)絡(luò)平臺之上的虛擬專網(wǎng)技術(shù)，與公共網(wǎng)絡(luò)在邏輯上是相互隔離，此處的公共網(wǎng)絡(luò)平臺主要是指Internet，企業(yè)可以利用該技術(shù)在復(fù)雜多變的Internet環(huán)境中安全地、私密地傳遞內(nèi)部數(shù)據(jù)，即使數(shù)據(jù)被截獲，也可以得到有效的保護(hù)，因為所有數(shù)據(jù)在傳輸之前都已經(jīng)進(jìn)行了加密處理，因此很多中小企業(yè)客戶和電信運(yùn)營商都會采用該項技術(shù)來構(gòu)建自己的網(wǎng)絡(luò)。

VPN技術(shù)的優(yōu)勢在于：部署成本低；安全性高；服務(wù)質(zhì)量優(yōu)；業(yè)務(wù)易于擴(kuò)展和延伸；完全可以得到控制。

2　MPLS技術(shù)簡介

隨著互聯(lián)網(wǎng)疆域的不斷擴(kuò)大，傳統(tǒng)的路由設(shè)備因其IP轉(zhuǎn)發(fā)性能低下，逐漸成了制約互聯(lián)網(wǎng)發(fā)展的瓶頸，其主要原因是：第一，路由器采用的IP轉(zhuǎn)發(fā)效率不高，IP數(shù)據(jù)包的轉(zhuǎn)發(fā)依靠最長掩碼匹配原則，路由器會遍歷整張路由表來尋找最精確的轉(zhuǎn)發(fā)路徑，這樣會花費(fèi)大量的計算時間和系統(tǒng)資源，而且在更多情況下還需要進(jìn)行遞歸查找；第二，早期的路由交換引擎多半采用軟件來實現(xiàn)，加上配置的都是較低性能的CPU，因此IP數(shù)據(jù)包的轉(zhuǎn)發(fā)效率遠(yuǎn)比采用硬件轉(zhuǎn)發(fā)的ATM交換機(jī)差很多。

由于上述原因，人們迫切需要一種技術(shù)，它既可以克服IP轉(zhuǎn)發(fā)的低效性，又可以做到不像ATM技術(shù)那樣實現(xiàn)起來很復(fù)雜，于是多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switching，MPLS）技術(shù)產(chǎn)生了，它被譽(yù)為是IP技術(shù)和ATM技術(shù)的完美組合。但是，MPLS技術(shù)并沒有完全流行開來，原因是路由器的硬件性能得到了很大提高，IP數(shù)據(jù)包的轉(zhuǎn)發(fā)效率大大提高，此時MPLS技術(shù)的優(yōu)勢就無法體現(xiàn)出來了，反而更多的是被應(yīng)用在VPN領(lǐng)域中。

MPLS技術(shù)的優(yōu)勢在于：第一，路由器根據(jù)標(biāo)簽來轉(zhuǎn)發(fā)IP數(shù)據(jù)包，而不再是原來的IP地址；第二，MPLS支持多標(biāo)簽嵌套，因此廣泛地應(yīng)用在虛擬專用網(wǎng)VPN、流量工程TE和服務(wù)質(zhì)量QoS等領(lǐng)域中；第三，良好的擴(kuò)展性，可以為運(yùn)營商何企業(yè)帶來更多的增值業(yè)務(wù)。

MPLS中有一個重要概念，即標(biāo)簽交換，如圖1所示。首先介紹一下標(biāo)簽的概念，MPLS標(biāo)簽是一個短而定長的且只具本地意義的標(biāo)識符，用于唯一地確定一個IP數(shù)據(jù)包所屬的轉(zhuǎn)發(fā)等價類。標(biāo)簽和轉(zhuǎn)發(fā)等價類具有一一對應(yīng)的關(guān)系。圖中RA想要訪問RF，RA是企業(yè)總部的路由器，RF是企業(yè)分部的路由器，數(shù)據(jù)需要穿越運(yùn)營商組建公共網(wǎng)絡(luò)平臺（即RB，RC，RD和RE組成的網(wǎng)絡(luò)），此時RA將數(shù)據(jù)首先封裝在IP數(shù)據(jù)包里通過接口E0/0發(fā)往RB，目的IP地址是50.1.56.6，RTB收到之后查詢快速轉(zhuǎn)發(fā)表FIB，發(fā)現(xiàn)去往50.1.56.0/24的IP數(shù)據(jù)包需要壓上標(biāo)簽200，下一跳指向RC，于是IP數(shù)據(jù)包在RB從接口E1/0發(fā)往下一跳時就變成了一個MPLS標(biāo)簽包，當(dāng)該標(biāo)簽包到達(dá)RC時，RC此刻查詢的不再是FIB表，而是標(biāo)簽轉(zhuǎn)發(fā)信息表LFIB，將標(biāo)簽200交換成出標(biāo)簽300，再傳遞給RD，RD同樣只查詢LFIB表，這時RD發(fā)現(xiàn)出標(biāo)簽變成了Pop tag，即彈出標(biāo)簽，于是MPLS標(biāo)簽包在RD從接口E3/0發(fā)往下一跳時就又變回了IP數(shù)據(jù)包，當(dāng)RE收到IP數(shù)據(jù)包之后，只需要檢查一次表就可以實現(xiàn)數(shù)據(jù)的后續(xù)轉(zhuǎn)發(fā)了，不需要先查LFIB表，再查FIB表了，因為50.1.56.0/24是RE的直連路由，最后RE把IP數(shù)據(jù)包交付給了RF，從而實現(xiàn)了數(shù)據(jù)的單向傳遞，反之亦然。

圖1　MPLS標(biāo)簽的交換過程

3　BGP協(xié)議概述

在互聯(lián)網(wǎng)發(fā)展早期，由于網(wǎng)絡(luò)規(guī)模和路由數(shù)量有限，路由器只需要運(yùn)行靜態(tài)或者簡單的動態(tài)路由協(xié)議就可以滿足絕大多數(shù)的組網(wǎng)需求，如靜態(tài)路由、RIP，ISIS或OSPF協(xié)議。但隨著互聯(lián)網(wǎng)規(guī)模的擴(kuò)大，路由條目越來越多，臃腫的路由表拖累了路由查找的速度，路由器計算去往目的地的開銷越來越大，原有的路由協(xié)議設(shè)計方法已經(jīng)不能適應(yīng)需求，因此需要設(shè)計一種新的路由協(xié)議來適應(yīng)這種變化，于是邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）協(xié)議產(chǎn)生了。它把網(wǎng)絡(luò)劃分成一個一個獨立的單元，這些單元稱之為自治系統(tǒng)（Autonomous System，AS），又稱路由域。

設(shè)計者希望AS內(nèi)部的域內(nèi)路由通過傳統(tǒng)的IGP路由協(xié)議來學(xué)習(xí)，而AS之間的域間路由則通過EGP路由來進(jìn)行交換和傳遞。IGP是指內(nèi)部網(wǎng)關(guān)路由協(xié)議，如RIP，ISIS，OSPF或者ERGIP等等，而EGP眼下指的就是BGP。BGP經(jīng)歷了3個版本，最新版本是BGPv4。它被定義在RFC 1771中，并在RFC 4271中得到了更新，是現(xiàn)行網(wǎng)絡(luò)的實施標(biāo)準(zhǔn)，廣泛應(yīng)用于企業(yè)的核心網(wǎng)和骨干電信網(wǎng)中。由于BGP是一種路徑矢量路由協(xié)議，因此它具有豐富的路徑屬性和良好的路由控制能力。

BGP協(xié)議的特點有：第一，典型的EGP協(xié)議；第二，路徑矢量型路由協(xié)議；第三，使用TCP作為傳輸層協(xié)議，端口號為179；第四，支持VLSM和CIDR；第五，支持增量更新和觸發(fā)更新；第六，具有豐富的路徑屬性；第七，支持MD5認(rèn)證；第八，易于業(yè)務(wù)擴(kuò)展。

BGP協(xié)議的選路原則如下所示。

（1）下一跳不可達(dá)的路由以及無效路由不參與選路；（2）優(yōu)先選擇Weight值最高的路徑，該屬性是Cisco專有屬性。（3）如果Weight值相同，則優(yōu)先選取本地優(yōu)先級LOCAL_PREF最高的路由，默認(rèn)為100。（4）如果LOCAL_ PREF值相同，則優(yōu)先選取源自本路由器上的BGP路由。（5）如果都源自本地BGP路由，則優(yōu)選AS_PATH路徑最短的路由。（6）如果AS_PATH值相同，則優(yōu)選擁有最低ORIGIN屬性的路由。（7）如果ORIGIN值相同，則優(yōu)選MED值最小的路由，默認(rèn)MED值為0。（8）如果MED值相同，則優(yōu)選下一跳為EBGP對等體而非IBGP對等體的路由。（9）如果BGP對等體類型相同，則優(yōu)選距離IGP鄰居最近的路由。（10）如果下一跳都為EBGP對等體，則優(yōu)選最早學(xué)習(xí)到的路由，即學(xué)習(xí)時間最長的路由。（11）如果仍然相同，則優(yōu)選具有最低Router-ID的BGP路由。（12）如果仍然相同，則優(yōu)選BGP對等體IP地址最小的路由。

4　BGP/MPLS VPN技術(shù)的實現(xiàn)

隨著BGP/MPLS VPN技術(shù)的流行，很多大型企業(yè)開始將各自的跨地域機(jī)構(gòu)進(jìn)行互聯(lián)，由于地理位置的原因，不可能只通過一家運(yùn)營商來為其提供服務(wù)，因此如何跨越自治系統(tǒng)來實現(xiàn)BGP/MPLS VPN技術(shù)就成了運(yùn)營商們迫切需要解決的問題。目前有3種方案可以實現(xiàn)，分別是VRF-to-VRF方案、MP-EBGP方案以及多跳MP-EBGP方案，簡稱為Option A，Option B和Option C。

VRF-to-VRF方案實施起來較為簡單，當(dāng)VPN客戶數(shù)量和VPN路由數(shù)量都比較少的時候可以考慮這種方案，目前在ISP運(yùn)營商內(nèi)部應(yīng)用較多的也是這種方案。

從圖2中可以看出，該方案的實施重點主要體現(xiàn)在ASBR的配置上，也就是圖2中中間兩臺路由器上。具體表現(xiàn)在兩方面：第一，如何支持多客戶；第二，如何在ASBR之間跨域交互VPN路由。

針對問題一，可以把在ASBR之間使用子接口相連，也就是將ASBR之間劃分多個邏輯子接口，每個子接口對應(yīng)本地不同的VRF，一對VRF使用一對子接口，這樣就很好地解決了問題一。

針對問題二，可以在兩個ASBR之間運(yùn)行動態(tài)路由協(xié)議，比如OSPF或BGP，如果使用OSPF，則需要在ASBR上將BGP路由重分布進(jìn)OSPF進(jìn)程中，對端ASBR在學(xué)到后同樣要把OSPF路由重分布進(jìn)BGP進(jìn)程中。該方案的缺點是多個VRF的維護(hù)與配置上，當(dāng)VPN客戶數(shù)量和路由較多的時候，不建議使用該方案。

MP-EBGP方案比較適合中等規(guī)模的VPN跨域需求，在VPN客戶較多的場合中，這種優(yōu)勢更為明顯。但MP-EBGP方案的最大缺點是獨立性差。當(dāng)VPN客戶數(shù)量和VPN路由數(shù)量逐漸增多時，ASBR-PE設(shè)備將變得無法勝任。于是人們設(shè)計出了第三種方案，即Multihop MP-EBGP between RRs方案。該方案的不同之處在于ASBR-PE設(shè)備不再作為VPNv4路由的中轉(zhuǎn)點，傳遞VPNv4路由的工作直接交由路由反射器RR來完成，這樣就減輕了ASBR-PE的壓力?？傊?，3種方案各有利弊，企業(yè)可根據(jù)具體情況進(jìn)行選擇。

圖2　VRF-to-VRF方案示意圖

5　結(jié)語

本文主要探討了BGP/MPLS VPN技術(shù)的一些基本概念和實施細(xì)節(jié)，使用該技術(shù)可以有效降低企業(yè)和運(yùn)營商的技術(shù)成本，同時可以提高企業(yè)網(wǎng)絡(luò)的運(yùn)行效率。

[1]RUSS W，DON S, ALVARO R.路由設(shè)計的優(yōu)化[M].夏俊杰，譯.北京：人民郵電出版社，2012.

[2]王文娟，李緒凱.MPLS/BGP-VPN技術(shù)應(yīng)用[J].計算機(jī)與網(wǎng)絡(luò)，2015（1）：60-63.

[3]李世釗，康宗緒.一種基于BGP/MPLS的VPN設(shè)計與實現(xiàn)[J].通信技術(shù)，2015（10）：1152-1156.

Analysis on planning and implementation of BGP/MPLS VPN networking

Cheng Yongqing
（Nanjing Radio and Television University, Nanjing 210002, China）

Along with the wave of informatization all around the globe, an increasing number of enterprises worldwide have begun to market their products and services on the Internet, which not only saves costs but also creates value. Even there are enterprises that utilize the Internet to make an interconnection between the remote branches at other locations and their own headquarters, in order to realize profit maximization. Early technologies applied in this aspect mainly included virtual private network, though it finally went beyond the affordability of general enterprises because of its over-high costs on deployment and maintenance. As a result, people developed a kind of MPLS-based VPN technology, which has significantly lowered the enterprises'costs on deployment and maintenance of VPN and therefore enjoys an increasing favor by small- and medium-sized enterprises. This paper focused on studying BGP protocol and MPLS-based VPN technology, which was of certain reference value.

BGP; VPN; MPLS VPN

程永青（1977— ），男，江蘇鹽城。