◆馬蘊一

（遼寧工程技術(shù)大學軟件學院 遼寧 125100）

1 引言

VPN技術(shù)是基于隧道加密，利用公共網(wǎng)絡(luò)解決不同地點的企事業(yè)單位之間內(nèi)部資源無障礙互訪的一種手段。BGP/MPLS VPN是通過使用MPLS標簽和BGP協(xié)議來實現(xiàn)VPN的一種方式。BGP/MPLS VPN完全由運營商來創(chuàng)建和維護隧道，用戶只需管理所在區(qū)域內(nèi)部的網(wǎng)絡(luò)，這樣的實現(xiàn)方式大大降低了用戶的管理成本。同時，相比較專線的實現(xiàn)方式也降低了成本的投入。目前，BGP/MPLS VPN是實現(xiàn)VPN的一種重要的手段，也是未來VPN技術(shù)不斷發(fā)展的一種趨勢，獲得了廣大用戶和運營商的青睞。

2 BGP/MPLS VPN技術(shù)基礎(chǔ)

VPN：虛擬專用網(wǎng)，基于公共網(wǎng)絡(luò)，利用隧道、加密等技術(shù)，為用戶構(gòu)建的虛擬專用網(wǎng)絡(luò)

MPLS：多協(xié)議標簽交換，一種用于快速數(shù)據(jù)包交換和路由的體系

BGP：邊界網(wǎng)關(guān)協(xié)議，用于AS和AS之間傳遞大量的路由信息

CE：用戶網(wǎng)絡(luò)邊緣設(shè)備

PE：供應(yīng)商網(wǎng)絡(luò)邊緣設(shè)備

P：供應(yīng)商網(wǎng)絡(luò)的骨干設(shè)備

Site：指相互具有IP連通性的一組IP系統(tǒng)，且該系統(tǒng)IP連通性不需要通過ISP運營商實現(xiàn)。公司的分部或總部之類的一個局域網(wǎng)可以是一個site

VPN-instance：VPN實例即VRF，相當把大的路由器虛擬出不同的小路由器

RD：路由區(qū)分器，用來區(qū)分相同地址空間的IPv4前綴

VPN-IPv4路由：加上RD標簽之后的IPv4路由，運行在ISP域內(nèi)部

RT：用于控制VPN路由信息的發(fā)布，將PE上接收到的VPNv4前綴通告給CE設(shè)備。

MP-BGP：是一種擴展的BGP協(xié)議，用來轉(zhuǎn)發(fā)VPN-IPv4路由

3 BGP/MPLS VPN規(guī)劃設(shè)計

要想實現(xiàn)在公網(wǎng)上實現(xiàn)VPN需要解決如下的三個問題才可以很好實現(xiàn)BGP/MPLS VPN技術(shù)。

3.1 如何在同一臺PE上與不同CE之間路由信息的隔離

一臺PE設(shè)備連接多臺CE設(shè)備。在CE和PE之間運行動態(tài)路由協(xié)議，可能導致路由信息來回竄，造成兩個VPN之間無法進行隔離。因此PE需要將收到不同VPN的路由信息進行緩存下來，實現(xiàn)將兩個路由信息的隔離。

通過引入VRF功能組件解決上述的問題。VRF相當于在大路由器又劃分出多個邏輯上完全隔開的小路由器。大路由器維護ISP公網(wǎng)的路由表，小路由器維護VPN路由轉(zhuǎn)發(fā)表，這些路由表是相對獨立互不影響的。因此路由信息不會竄，進而解決了同一臺PE設(shè)備對不同客戶CE設(shè)備的隔離問題。

3.2 如何容許通告重疊客戶私有路由并在公網(wǎng)上傳遞

兩個VPN site將路由信息傳遞到PE設(shè)備是相同的路由信息，對端的CE設(shè)備可能收到同一份路由信息。

通過引入RD地址區(qū)分器，來區(qū)分使用相同地址空間的IPv4地址。真正的VPN-IPv4地址由RD前綴+IPv4地址構(gòu)成的。相同的地址空間的IP地址有不同的RD時，路由器會認為是不同的VPN-IPv4地址。因此會按照不同的地址全部轉(zhuǎn)發(fā)，容許通告重疊客戶的私有路由。

BGP能跨多個設(shè)備傳輸大量路由，在公網(wǎng)上傳遞私網(wǎng)路由，最正確的協(xié)議就是BGP。可以結(jié)合MPLS技術(shù)和運行MP-BGP協(xié)議。但是，如果VPN1和VPN2的地址是重疊的，傳送的是VPN1里面的網(wǎng)段或者VPN2里面的網(wǎng)段。這個時候要使用MP-BGP擴展的BGP協(xié)議實現(xiàn)正確處理VPN-IPv4路由。

3.3 PE如何將所接收到的VPNv4路由通告給CE設(shè)備

當對端的PE設(shè)備接收到了IPv4路由，只通過RD無法進行區(qū)分是屬于哪個VPN site，該給哪個PE設(shè)備。引入RT控制VPN路由信息的發(fā)布將PE上接收到的VPNv4前綴通告給CE設(shè)備。對端的PE設(shè)備收到VPNv4的路由之后，比較傳遞過來的路由信息攜帶RT出向的RD值與自身的VRF的入向的RT值，相同，則傳遞給對應(yīng)的CE設(shè)備。

3.4 BGP/MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)

BGP/MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)，核心的問題在于普通的IPv4路由和VPN IPv4路由之間的轉(zhuǎn)換。CE和PE間運行普通IPv4路由，PE之間運行VPNv4路由，具體數(shù)據(jù)轉(zhuǎn)發(fā)流程如下：

（1）VPN site內(nèi)部運行IGP協(xié)議，發(fā)送端CE將BGP路由表進行引入；

（2）向PE設(shè)備傳遞BGP Update的更新報文；

（3）PE設(shè)備把信息放到VRF路由表當中，運行MP-BGP協(xié)議，傳遞VPN-IPv4路由；

（4）P設(shè)備發(fā)送攜帶了Label，RD，Export-RT等信息的BGP Update，傳給出口的邊界PE設(shè)備；

（5）在出口的PE設(shè)備上要進行路由交叉和隧道迭代，更新到VRF路由表中。去掉RT值和RD值，用普通BGPIPv4報文的BGP實現(xiàn)路由傳遞；

（6）接收端CE設(shè)備將BGP路由表引入到IGP路由表，在VPN site內(nèi)部運行IGP協(xié)議。

4 對BGP/MPLS VPN的部署

從安全性的角度考慮，應(yīng)該在PE設(shè)備上進行一些安全性的配置。在實際的鏈路的部署和設(shè)備選擇上，應(yīng)該考慮一些支持FW（防火墻），SSL（安全套接字）+，IPS（入侵防御），ACG（應(yīng)用控制網(wǎng)關(guān)），防病毒的功能模塊的路由器作為實現(xiàn)BGP/MPLS VPN的PE設(shè)備。

從EAD準入控制的角度考慮，BGP/MPLS VPN的組網(wǎng)需要在網(wǎng)絡(luò)邊緣設(shè)備CE和PE設(shè)備上做接入認證點，對各VPN的用戶執(zhí)行不同的安全認證策略。部署EAD準入控制需要考慮網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)帶寬優(yōu)化的問題。

目前隨著網(wǎng)絡(luò)規(guī)模的擴大，IPv6逐漸開始廣泛應(yīng)用。當前網(wǎng)絡(luò)的部署處于IPv4和IPv6共存的階段，設(shè)計BGP/MPLS VPN的實現(xiàn)的時候也要考慮部署IPv6。在IPv6的分支上運行RIPng和OSPFv3，來實現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的互通。

5 BGP/MPLS VPN性能評價

隧道機制對客戶和運營商的設(shè)備透明，客戶根本感受不到穿越了運營商，穿過了隧道。該隧道的創(chuàng)建和維護由運營商來完成，降低了管理的成本；客戶維護VPN site內(nèi)的路由對私網(wǎng)標簽的分配；運營商對ISP公網(wǎng)的標簽的分配，有效降低了雙方的維護成本；

結(jié)合了H3C智能廣域網(wǎng)安全性的解決方案之后可以形成二層到七層的立體的網(wǎng)絡(luò)安全保護，提高網(wǎng)絡(luò)安全性，還可以進行認證計費，準入控制，形成可視可控可度量的精簡化管理體系。同時，部署IPv6符合可持續(xù)發(fā)展的需要，也彌補了IPv4網(wǎng)絡(luò)環(huán)境下的不足。

6 結(jié)論

BGP/MPLS VPN技術(shù)是實現(xiàn)VPN的一種重要的手段，也是實現(xiàn)廣域網(wǎng)的一種常用方式。如何結(jié)合最新的技術(shù)，使用最新的網(wǎng)絡(luò)設(shè)備，結(jié)合智能廣域網(wǎng)解決方案規(guī)劃部署一個可持續(xù)發(fā)展，智能一體化面向業(yè)務(wù)統(tǒng)一管理的高質(zhì)量鏈路，將是未來VPN技術(shù)發(fā)展的一種趨勢。