江家龍

(廣西工商職業(yè)技術學院,廣西 南寧 530008)

0 引言

傳統(tǒng)的GRE VPN,IPSec VPN,L2TP VPN 可以方便快捷地為總部與分支機構建立私有網(wǎng)絡會話,但隨著分支機構增加、訪問需求不斷多樣化,私有網(wǎng)絡會話的規(guī)模也不斷擴大,傳統(tǒng)VPN 也暴露出了一定的缺陷,如:靜態(tài)隧道擴展性不強和VPN 只能由用戶自行維護和管理,已經(jīng)無法適應大規(guī)模VPN 網(wǎng)絡應用。BGP MPLS VPN 在BGP 和MPLS 技術基礎上進行融合,組網(wǎng)結構更為合理,實現(xiàn)了隧道的動態(tài)建立,解決了本地IP 復用問題,靈活控制VPN 私網(wǎng)路由,優(yōu)化了傳統(tǒng)VPN 模式。 這種VPN 模式降低了網(wǎng)絡的復雜度,降低了企業(yè)網(wǎng)絡維護成本,提高了運營商的網(wǎng)絡資源利用率和收益,受到企業(yè)和運營商的一致歡迎。 BGP MPLS VPN 是廣域網(wǎng)的重要內容,為了讓學生更容易地理解掌握其技術原理和配置方法,文章首先對MPLS技術和BGP MPLS VPN 原理進行了簡單介紹,然后設計了一個實驗方案并進行仿真,通過具體步驟和配置,以期提高后疫情時代實驗教學質量,也可為企業(yè)VPN搭建提供案例參考。

1 MPLS 技術

多協(xié)議標簽交換(MultiProtocol Label Switching,MPLS)首先用一個短而定長的標簽來封裝網(wǎng)絡層分組,然后利用該標簽交換實現(xiàn)快速數(shù)據(jù)包交換和路由的技術[1]。 MPLS 標簽位于報文的鏈路層頭部和網(wǎng)絡層頭部之間,共32 個bits,只具有局部意義。 典型的MPLS 網(wǎng)絡結構如圖1 所示。

圖1 MPLS 網(wǎng)絡結構

MPLS 網(wǎng)絡中具有標簽分發(fā)和交換能力的路由器稱為Label Switching Router(LSR);屬于同一個轉發(fā)等價類的報文在MPLS 網(wǎng)絡中經(jīng)過的路徑稱為Label Switching Path(LSP);LSP 的入口路由器稱為入節(jié)點(Ingress LSR);位于LSP 中間的路由器稱為中間節(jié)點(Transit LSR);出口路由器稱為出節(jié)點(Egress LSR)。Ingress LSR 負責為進入MPLS 網(wǎng)絡的IP 報文添加標簽,這一階段也稱為標簽PUSH;Transit LSR 負責將報文在LSP 上進行轉發(fā),這一階段為標簽SWAP;Egress LSR 負責剝離報文中的標簽,將報文恢復成普通IP 包,然后轉發(fā)下一跳,這一階段為標簽POP。 MPLS 轉發(fā)只需一次查表,相對IP 轉發(fā),更加高效。

MPLS 同GRE 相似,在IP 報文前添加MPLS 標簽進行封裝,路由器直接根據(jù)標簽進行轉發(fā),無需檢查內部的目的地址,是一種天然的隧道技術[2]。 MPLS 技術的初衷是為了加快報文的轉發(fā)效率,但隨著高速路由和交換設備轉發(fā)性能的大幅度提升,其并沒能取代IP網(wǎng)絡,反而自身的天然隧道在承載IP 報文構建VPN 方面得到了廣泛應用。

2 BGP MPLS VPN 工作原理

BGP MPLS VPN 是一種基于BGP 和MPLS 實現(xiàn)VPN 業(yè)務的技術,其利用MPLS 技術創(chuàng)建隧道,通過BGP 路由協(xié)議解決了私網(wǎng)路由在傳播時的學習、撤銷、轉發(fā)、訪問控制等問題[3]。 BGP MPLS VPN 簡單網(wǎng)絡結構如圖2 所示,主要由CE,PE 和P 組成,用戶網(wǎng)絡邊緣路由器(Customer Edge Router,CE);服務提供商邊緣路由器(Provider Edge Router,PE)負責用戶VPN 的接入、存儲全局路由表和VRF[4];服務提供商核心路由器(Provider Router,P)負責快速轉發(fā)數(shù)據(jù)。 在現(xiàn)實網(wǎng)絡中,可能會存在多個P 和PE 設備,它們需要支持MPLS 的基本功能,CE 設備則不需要支持MPLS。

BGP MPLS VPN 的實現(xiàn)分為以下4 個步驟[5]:

(1)公網(wǎng)隧道的建立。 運營商PE1,P,PE2 通過運行IGP 實現(xiàn)公網(wǎng)路由互通,并在設備接口上使能MPLS和MPLS LDP,建立PE1 到PE2 的MPLS LSP 隧道。

(2)本地VPN 的建立。 在PE 上設計RD 和RT 建立VPN,在與用戶設備CE 相連接口上進行VRF 綁定,通過IGP 完成CE 側VPN 用戶私網(wǎng)路由學習。

(3)私網(wǎng)路由的學習。 在PE 設備啟用BGP 進程,進入VPNv4 地址族使能鄰居,建立MP-BGP 鄰居,將VPN 用戶私網(wǎng)路由引入MP-BGP 傳遞給對端CE 設備,完成私網(wǎng)路由學習。

(4)私網(wǎng)數(shù)據(jù)的轉發(fā)。 數(shù)據(jù)報文在BGP MPLS VPN轉發(fā)中會壓入兩層MPLS 標簽,首先壓入的是內層標簽,也稱私網(wǎng)Label,主要用于幫助PE 設備識別是哪一個VPN 的報文;壓入的是外層標簽,也稱為MPLS 公網(wǎng)標簽,用于MPLS LSP 隧道中交換轉發(fā)私網(wǎng)用戶數(shù)據(jù)報文。

數(shù)據(jù)報文從CE1 轉發(fā)進入PE1 后會被連續(xù)壓入內層和外層標簽再轉發(fā)給P;P 會將數(shù)據(jù)報文外層標簽換成3,根據(jù)倒數(shù)第二跳彈出原則將3 標簽彈出并把報文傳給PE2;PE2 根據(jù)內層標簽查找VPN 私網(wǎng)路由,把報文傳給CE2 并彈出內層標簽;此時報文只是IP 數(shù)據(jù)包,CE2 只需IP 轉發(fā)即可實現(xiàn)數(shù)據(jù)順利抵達私網(wǎng)目的地(見圖2)。

圖2 BGP MPLS VPN 網(wǎng)絡結構

3 實驗設計與仿真

3.1 實驗場景和邏輯規(guī)劃設計

以A,B 兩個企業(yè)網(wǎng)絡為例,總部和分支分別通過路由器出口連接到公網(wǎng)。 企業(yè)A 分支需要同總部兩個私網(wǎng)服務器通信(192.168.100.1/24,172.16.100.1/24),企業(yè)B 分支需要同總部私網(wǎng)服務器通信(172.16.100.1/24),企業(yè)A,B 私網(wǎng)不能互通。 本次實驗采用HCL(H3C Cloud Lab)V2.1.2 作為仿真模擬軟件,網(wǎng)絡拓撲結構和IP 規(guī)劃如圖3,表1 所示。

表1 IP 地址規(guī)劃

圖3 實驗拓撲

具體功能如下:

(1) 場景中的公網(wǎng)由PE1, P, PE2 組成, 以Loopback0 作為各路由器的Router ID,路由器之間通過運行OSPF 進行路由學習,實現(xiàn)公網(wǎng)路由互通。

(2)場景中的企業(yè)A,B 總部服務器和分支業(yè)務網(wǎng)段分別用Loopback0,Loopback1 模擬。

(3)公網(wǎng)路由器使能MPLS 和MPLS LDP,以Loopback0 做為LSR ID,構建LSP。

(4)VPN_A 的RT,RD 統(tǒng)一設置為100 ∶1,VPN_B的RT,RD 統(tǒng)一設置為200 ∶1。

(5)公網(wǎng)路由器同屬自治系統(tǒng)AS100,PE1 與PE2建立MP-BGP 鄰居,以便傳遞私網(wǎng)路由。

3.2 實驗網(wǎng)絡配置

3.2.1 公網(wǎng)互通

根據(jù)表1 設置相關的IP 地址,通過OSPF 學習,確保PE1,P,PE2 公網(wǎng)路由可達。

P 與PE2 同樣創(chuàng)建OSPF 路由進程完成上述配置,查看鄰居建立情況,并在PE1,P,PE2 上驗證公網(wǎng)連通性,為下一步的MPLS 網(wǎng)絡構建作基礎。

3.2.2 MPLS 配置

在公網(wǎng)路由設備上配置MPLS,在PE1 與PE2 間建立MPLS LSP,作為VPN 的私網(wǎng)隧道。

以此類推P 與PE2 完成上述配置,檢查MPLS LDP鄰居建立情況,查看PE1 與PE2 間MPLS LSP 是否建立成功,圖4 為PE1 的LSP 建立情況。

圖4 PE1 的LSP 建立情況

3.2.3 VPN 建立與綁定

3.2.4 PE 與CE 間的路由學習配置

圖5 PE1 的BGP 建立情況

4 仿真實驗測試

在CE1,CE2,CE3,CE4 上查看路由學習情況,從圖6 Proto/O_INTER 可知,PE1 通過BGP 將VPN_A總部路由傳遞給PE3,分支CE3 通過OSPF 成功從PE3 學習到總部路由,CE1,CE2,CE4 也已經(jīng)可以成功學習對端VPN 私網(wǎng)路由。 圖7 與圖8 測試結果說明VPN_A,VPN_B 已經(jīng)成功建立,總部與分支間可以正常通信。

圖6 CE3 路由學習情況

圖7 VPN_A 的通信情況

圖8 VPN_B 的通信情況

在CE1 下創(chuàng)建FTP 應用和用戶h3c,圖9 測試結果說明,VPN_A 分支可以成功與CE1 上的總部通信。PE1 中VPN_A,VPN_B 雖然存在著相同的私網(wǎng)用戶172.16.100.1,但VRF 已經(jīng)將它們進行了隔離,VPN用戶端的私網(wǎng)地址是可以復用的。

圖9 VPN_A,VPN_B 私網(wǎng)復用通信情況測試

5 結語

本文基于HCL 設計了一個BGP MPLS VPN 網(wǎng)絡實驗方案,涉及OSPF 和MPLS 配置、VPN 綁定、BGP建立、路由引入等,實現(xiàn)了企業(yè)總部和分支間私有網(wǎng)絡的訪問需求,保證了私網(wǎng)數(shù)據(jù)的安全,驗證了私網(wǎng)用戶IP 復用情況,完成了實驗目標任務。 縱觀整個仿真實驗的實現(xiàn)過程,VPN_A,VPN_B 私網(wǎng)用戶端和CE 設備感知不到VPN 的存在,也無需維護MPLS 隧道,減少了自身的建設和維護成本。 對ISP 運營商而言,隧道的建立和私網(wǎng)路由的學習都是動態(tài)的,只需設計RD 和RT 就能構建不同訪問需求的VPN,維護起來也極為方便。 這些優(yōu)勢都是傳統(tǒng)VPN 技術所不具備的,這也正是BGP MPLS VPN 技術得以盛行的原因。