跨域虛擬專用網的研究與應用

龔屹+王宏

摘要：針對MPLS和BGP構建的VPN不支持跨自治系統域問題，提出了一種跨自治系統域的背靠背解決方案。仿真實驗測試驗證方案是可行的。

關鍵詞：多協議標簽交換 邊界網關 自治系統

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1007-9416（2014）08-0042-02

隨著企業網絡規模的不斷增大，企業網絡需跨自治系統相連，而現有的MPLS和BGP構建的VPN不支持跨自治系統，因此，互聯網工作組正在著力研究跨自治系統的虛擬專用網解決方案。本文針對MPLS和BGP構建的虛擬專業網不支持跨自治系統域的問題，對MPLS和BGP的體系結構進行了修改，使該技術構建的虛擬專業網能跨自治系統通信，進而擴展了該技術的應用。

1 技術原理

1.1 MPLS技術

通過VPN技術來構建企業的虛擬私有網絡，其關鍵是要在公網中實現企業私有數據的承載。要實現用戶私有網絡數據穿越公網，必須依賴隧道技術。隧道技術是依賴報文封裝建立的，MPLS VPN技術也是一種隧道技術，它通過在IP報文前面加上MPLS標簽實現報文封裝，這樣在數據轉發中路由器無需檢查數據內部IP目的地址，根據標簽就可以進行轉發，從而加快了報文的轉發效率。MPLS在IP報文頭部加上了MPLS標簽，這樣MPLS網絡中報文將通過標簽完成轉發，轉發報文的設備是不知道被MPLS標簽封裝在里面的這些私網報文存在的。

1.2 VRF與BGP技術

VPN組網結構中通常分為私網和公網兩種類型：私網是用戶的自建網絡；而公網是指由運營商建設的公共網絡。VRF是解決不同VPN用戶地址沖突問題的一門技術。若果在傳輸過程中的地址沖突問題沒有得到解決，通過利用BGP技術中的RT、RD、私網標簽可以解決傳輸過程當中的地址沖突問題。

MP-BGP協議中的RT屬性和RD屬性分別解決了學習和撤銷私網路由中存在的問題，但是，由于VPN地址的沖突在報文轉發過程中也會遇到困難。當本地PE設備接收到另一個PE設備發來的私網報文，可是本地PE設備上已經介入了多個VPN用戶，這些VPN用戶的地址可能是相同的，那么報文的目的地址就有可能在多個VPN用戶路由表中都存在，這樣就無法判斷按哪一個VPN用戶的路由表進行報文轉發了。為了解決以上問題，在報文前面添加一個特殊MPL私網Label，在本地PE設備發布路由的時候添加上，對端PE設備接收到該條路由后將該調路由上攜帶的MPLS私網Label與路由信息一同保存在對應的VRF中。當對端PE設備使用這條路由向本地PE設備發送報文時，在轉入MPLS公網隧道前，會附加MPLS私網Label于IP地址前，當本地PE設備收到報文時會按照這個Label值，就可以將該報文正確轉發到對應的VPN用戶。

2 跨域平臺的VPN構建

2.1 方案設計

A組織機構總部在昆明，公司在多個地市有分支機構。公司為實現業務數據的共享，組建了自己的虛擬專用網絡來實現各機構間通信。隨著公司業務的遞增，VPN隧道的建立和維護也需成平方的增長。公司最終決定將這部分業務外包給電信運營商。電信運營商需負責組織機構A的業務數據交換，需在自己現有的平臺上實現與用戶進行數據業務的對接。要完成兩平臺數據的無縫銜接需解決以下幾個方面的問題。

（1）組織機構A需要交換的數據是私網數據，而在公網當中是識別不了該數據。在運營商的網絡當中需要考慮采用哪種隧道技術來封裝該私網數數據，進而承載該私網數據穿越公網。

（2）機構間的隧道建立好后，需考慮在機構之間選用哪種路由協議來傳遞私網數據。在運營商的設備間一級級的傳遞私網數據不可取，需考慮一種跨設備傳遞私網數據的路由協議。

（3）對于運營商的網絡而言，是給多用戶提供服務的。給多用戶服務會學習到每個用戶的私網地址，眾多的用戶有可能會采用相同的私網地址，會引起地址沖突。在運營商的網絡中需要解決私網地址沖突的問題。

（4）當多用戶的私網數據從運營商的一側，傳遞到另外一側時，需區分出不同用戶的私網數據。

（5）該網絡系統跨兩省份，兩省份網絡分別有各自的自治系統號。因此，需要考慮私網數據在自治系統間如何傳遞的問題。

2.2 方案實現

在方案中要實現各地區數據的交互，關鍵是要實現各地區路由器的互通。

本方案使用MPLS和BGP構建了跨自治系統的VPN，為了評估其方案的可行性，對本方案進行測試。該方案的最終目的是實現相同VPN用戶站點的通信，在該仿真實驗中，在pe1上用loopback1和Loopback2替代了與它相連接的兩臺CE設備，loopback1代表昆明組織機構A，Loopback2代表昆明組織機構B。在pe1設備上運行dis ip routing-table vpn-instance vpn1，得到的結果如圖1所示。

圖中的顯示結果說明設備間已完成報文的交互，并已學習到目的站點的私網路由信息。在pe1設備用ping-vpn-instance vpn1 8.8.8.8得到如圖2的顯示結果。

圖中的測試結果表明從組織機構A的昆明總部去訪問貴陽分部是成功的，進而證明該仿真實驗的可行性。使MPLS和BGP構建的VPN應用于跨自治系統平臺的網絡中，擴展了該技術的應用領域。

3 結語

MPLS不能給外部網關路由信息分配標簽，使MPLS與BGP構建的VPN網絡無法跨自治系統域。本文針對該問題，提出了一種解決方案，使MPLS和BGP構建的VPN可以成功跨自治系統域，進而使該技術支持跨自治系統平臺的VPN構建，使該技術的應用越來越廣泛。

參考文獻

[1]HOU Jianfeng，MA Mingkai. Research on PE-CE connection simulation in MPLS VPN[J].Computer Engineering，2010，36（12）：123-125.

[2]ZHANG Haiyan，UMANSKY Igor，LI Han.Linear Protection Switching in MPLS-TP， draft-zulr-mpls-tp- linear-protection-switching-02[S].January 11， 2011.

[3]LEE YW，KIM S，PARK J，el：al.A lightweigllt implementation of RSVP-TE protocol for MPLS-TE signaling[J].Computer Communications，2007，30（6）：1199-1204.

[4]任金秋，馬海龍，汪斌強.跨域BGP/MPLS VPN在高性能路由器中的實現[J].計算機工程，2009，35（3）：126-129.

摘要：針對MPLS和BGP構建的VPN不支持跨自治系統域問題，提出了一種跨自治系統域的背靠背解決方案。仿真實驗測試驗證方案是可行的。

關鍵詞：多協議標簽交換 邊界網關 自治系統

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1007-9416（2014）08-0042-02

隨著企業網絡規模的不斷增大，企業網絡需跨自治系統相連，而現有的MPLS和BGP構建的VPN不支持跨自治系統，因此，互聯網工作組正在著力研究跨自治系統的虛擬專用網解決方案。本文針對MPLS和BGP構建的虛擬專業網不支持跨自治系統域的問題，對MPLS和BGP的體系結構進行了修改，使該技術構建的虛擬專業網能跨自治系統通信，進而擴展了該技術的應用。

1 技術原理

1.1 MPLS技術

通過VPN技術來構建企業的虛擬私有網絡，其關鍵是要在公網中實現企業私有數據的承載。要實現用戶私有網絡數據穿越公網，必須依賴隧道技術。隧道技術是依賴報文封裝建立的，MPLS VPN技術也是一種隧道技術，它通過在IP報文前面加上MPLS標簽實現報文封裝，這樣在數據轉發中路由器無需檢查數據內部IP目的地址，根據標簽就可以進行轉發，從而加快了報文的轉發效率。MPLS在IP報文頭部加上了MPLS標簽，這樣MPLS網絡中報文將通過標簽完成轉發，轉發報文的設備是不知道被MPLS標簽封裝在里面的這些私網報文存在的。

1.2 VRF與BGP技術

VPN組網結構中通常分為私網和公網兩種類型：私網是用戶的自建網絡；而公網是指由運營商建設的公共網絡。VRF是解決不同VPN用戶地址沖突問題的一門技術。若果在傳輸過程中的地址沖突問題沒有得到解決，通過利用BGP技術中的RT、RD、私網標簽可以解決傳輸過程當中的地址沖突問題。

MP-BGP協議中的RT屬性和RD屬性分別解決了學習和撤銷私網路由中存在的問題，但是，由于VPN地址的沖突在報文轉發過程中也會遇到困難。當本地PE設備接收到另一個PE設備發來的私網報文，可是本地PE設備上已經介入了多個VPN用戶，這些VPN用戶的地址可能是相同的，那么報文的目的地址就有可能在多個VPN用戶路由表中都存在，這樣就無法判斷按哪一個VPN用戶的路由表進行報文轉發了。為了解決以上問題，在報文前面添加一個特殊MPL私網Label，在本地PE設備發布路由的時候添加上，對端PE設備接收到該條路由后將該調路由上攜帶的MPLS私網Label與路由信息一同保存在對應的VRF中。當對端PE設備使用這條路由向本地PE設備發送報文時，在轉入MPLS公網隧道前，會附加MPLS私網Label于IP地址前，當本地PE設備收到報文時會按照這個Label值，就可以將該報文正確轉發到對應的VPN用戶。

2 跨域平臺的VPN構建

2.1 方案設計

A組織機構總部在昆明，公司在多個地市有分支機構。公司為實現業務數據的共享，組建了自己的虛擬專用網絡來實現各機構間通信。隨著公司業務的遞增，VPN隧道的建立和維護也需成平方的增長。公司最終決定將這部分業務外包給電信運營商。電信運營商需負責組織機構A的業務數據交換，需在自己現有的平臺上實現與用戶進行數據業務的對接。要完成兩平臺數據的無縫銜接需解決以下幾個方面的問題。

（1）組織機構A需要交換的數據是私網數據，而在公網當中是識別不了該數據。在運營商的網絡當中需要考慮采用哪種隧道技術來封裝該私網數數據，進而承載該私網數據穿越公網。

（2）機構間的隧道建立好后，需考慮在機構之間選用哪種路由協議來傳遞私網數據。在運營商的設備間一級級的傳遞私網數據不可取，需考慮一種跨設備傳遞私網數據的路由協議。

（3）對于運營商的網絡而言，是給多用戶提供服務的。給多用戶服務會學習到每個用戶的私網地址，眾多的用戶有可能會采用相同的私網地址，會引起地址沖突。在運營商的網絡中需要解決私網地址沖突的問題。

（4）當多用戶的私網數據從運營商的一側，傳遞到另外一側時，需區分出不同用戶的私網數據。

（5）該網絡系統跨兩省份，兩省份網絡分別有各自的自治系統號。因此，需要考慮私網數據在自治系統間如何傳遞的問題。

2.2 方案實現

在方案中要實現各地區數據的交互，關鍵是要實現各地區路由器的互通。

本方案使用MPLS和BGP構建了跨自治系統的VPN，為了評估其方案的可行性，對本方案進行測試。該方案的最終目的是實現相同VPN用戶站點的通信，在該仿真實驗中，在pe1上用loopback1和Loopback2替代了與它相連接的兩臺CE設備，loopback1代表昆明組織機構A，Loopback2代表昆明組織機構B。在pe1設備上運行dis ip routing-table vpn-instance vpn1，得到的結果如圖1所示。

圖中的顯示結果說明設備間已完成報文的交互，并已學習到目的站點的私網路由信息。在pe1設備用ping-vpn-instance vpn1 8.8.8.8得到如圖2的顯示結果。

圖中的測試結果表明從組織機構A的昆明總部去訪問貴陽分部是成功的，進而證明該仿真實驗的可行性。使MPLS和BGP構建的VPN應用于跨自治系統平臺的網絡中，擴展了該技術的應用領域。

3 結語

MPLS不能給外部網關路由信息分配標簽，使MPLS與BGP構建的VPN網絡無法跨自治系統域。本文針對該問題，提出了一種解決方案，使MPLS和BGP構建的VPN可以成功跨自治系統域，進而使該技術支持跨自治系統平臺的VPN構建，使該技術的應用越來越廣泛。

參考文獻

[1]HOU Jianfeng，MA Mingkai. Research on PE-CE connection simulation in MPLS VPN[J].Computer Engineering，2010，36（12）：123-125.

[2]ZHANG Haiyan，UMANSKY Igor，LI Han.Linear Protection Switching in MPLS-TP， draft-zulr-mpls-tp- linear-protection-switching-02[S].January 11， 2011.

[3]LEE YW，KIM S，PARK J，el：al.A lightweigllt implementation of RSVP-TE protocol for MPLS-TE signaling[J].Computer Communications，2007，30（6）：1199-1204.

[4]任金秋，馬海龍，汪斌強.跨域BGP/MPLS VPN在高性能路由器中的實現[J].計算機工程，2009，35（3）：126-129.

摘要：針對MPLS和BGP構建的VPN不支持跨自治系統域問題，提出了一種跨自治系統域的背靠背解決方案。仿真實驗測試驗證方案是可行的。

關鍵詞：多協議標簽交換 邊界網關 自治系統

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1007-9416（2014）08-0042-02

隨著企業網絡規模的不斷增大，企業網絡需跨自治系統相連，而現有的MPLS和BGP構建的VPN不支持跨自治系統，因此，互聯網工作組正在著力研究跨自治系統的虛擬專用網解決方案。本文針對MPLS和BGP構建的虛擬專業網不支持跨自治系統域的問題，對MPLS和BGP的體系結構進行了修改，使該技術構建的虛擬專業網能跨自治系統通信，進而擴展了該技術的應用。

1 技術原理

1.1 MPLS技術

通過VPN技術來構建企業的虛擬私有網絡，其關鍵是要在公網中實現企業私有數據的承載。要實現用戶私有網絡數據穿越公網，必須依賴隧道技術。隧道技術是依賴報文封裝建立的，MPLS VPN技術也是一種隧道技術，它通過在IP報文前面加上MPLS標簽實現報文封裝，這樣在數據轉發中路由器無需檢查數據內部IP目的地址，根據標簽就可以進行轉發，從而加快了報文的轉發效率。MPLS在IP報文頭部加上了MPLS標簽，這樣MPLS網絡中報文將通過標簽完成轉發，轉發報文的設備是不知道被MPLS標簽封裝在里面的這些私網報文存在的。

1.2 VRF與BGP技術

VPN組網結構中通常分為私網和公網兩種類型：私網是用戶的自建網絡；而公網是指由運營商建設的公共網絡。VRF是解決不同VPN用戶地址沖突問題的一門技術。若果在傳輸過程中的地址沖突問題沒有得到解決，通過利用BGP技術中的RT、RD、私網標簽可以解決傳輸過程當中的地址沖突問題。

MP-BGP協議中的RT屬性和RD屬性分別解決了學習和撤銷私網路由中存在的問題，但是，由于VPN地址的沖突在報文轉發過程中也會遇到困難。當本地PE設備接收到另一個PE設備發來的私網報文，可是本地PE設備上已經介入了多個VPN用戶，這些VPN用戶的地址可能是相同的，那么報文的目的地址就有可能在多個VPN用戶路由表中都存在，這樣就無法判斷按哪一個VPN用戶的路由表進行報文轉發了。為了解決以上問題，在報文前面添加一個特殊MPL私網Label，在本地PE設備發布路由的時候添加上，對端PE設備接收到該條路由后將該調路由上攜帶的MPLS私網Label與路由信息一同保存在對應的VRF中。當對端PE設備使用這條路由向本地PE設備發送報文時，在轉入MPLS公網隧道前，會附加MPLS私網Label于IP地址前，當本地PE設備收到報文時會按照這個Label值，就可以將該報文正確轉發到對應的VPN用戶。

2 跨域平臺的VPN構建

2.1 方案設計

A組織機構總部在昆明，公司在多個地市有分支機構。公司為實現業務數據的共享，組建了自己的虛擬專用網絡來實現各機構間通信。隨著公司業務的遞增，VPN隧道的建立和維護也需成平方的增長。公司最終決定將這部分業務外包給電信運營商。電信運營商需負責組織機構A的業務數據交換，需在自己現有的平臺上實現與用戶進行數據業務的對接。要完成兩平臺數據的無縫銜接需解決以下幾個方面的問題。

（1）組織機構A需要交換的數據是私網數據，而在公網當中是識別不了該數據。在運營商的網絡當中需要考慮采用哪種隧道技術來封裝該私網數數據，進而承載該私網數據穿越公網。

（2）機構間的隧道建立好后，需考慮在機構之間選用哪種路由協議來傳遞私網數據。在運營商的設備間一級級的傳遞私網數據不可取，需考慮一種跨設備傳遞私網數據的路由協議。

（3）對于運營商的網絡而言，是給多用戶提供服務的。給多用戶服務會學習到每個用戶的私網地址，眾多的用戶有可能會采用相同的私網地址，會引起地址沖突。在運營商的網絡中需要解決私網地址沖突的問題。

（4）當多用戶的私網數據從運營商的一側，傳遞到另外一側時，需區分出不同用戶的私網數據。

（5）該網絡系統跨兩省份，兩省份網絡分別有各自的自治系統號。因此，需要考慮私網數據在自治系統間如何傳遞的問題。

2.2 方案實現

在方案中要實現各地區數據的交互，關鍵是要實現各地區路由器的互通。

本方案使用MPLS和BGP構建了跨自治系統的VPN，為了評估其方案的可行性，對本方案進行測試。該方案的最終目的是實現相同VPN用戶站點的通信，在該仿真實驗中，在pe1上用loopback1和Loopback2替代了與它相連接的兩臺CE設備，loopback1代表昆明組織機構A，Loopback2代表昆明組織機構B。在pe1設備上運行dis ip routing-table vpn-instance vpn1，得到的結果如圖1所示。

圖中的顯示結果說明設備間已完成報文的交互，并已學習到目的站點的私網路由信息。在pe1設備用ping-vpn-instance vpn1 8.8.8.8得到如圖2的顯示結果。

圖中的測試結果表明從組織機構A的昆明總部去訪問貴陽分部是成功的，進而證明該仿真實驗的可行性。使MPLS和BGP構建的VPN應用于跨自治系統平臺的網絡中，擴展了該技術的應用領域。

3 結語

MPLS不能給外部網關路由信息分配標簽，使MPLS與BGP構建的VPN網絡無法跨自治系統域。本文針對該問題，提出了一種解決方案，使MPLS和BGP構建的VPN可以成功跨自治系統域，進而使該技術支持跨自治系統平臺的VPN構建，使該技術的應用越來越廣泛。

參考文獻

[1]HOU Jianfeng，MA Mingkai. Research on PE-CE connection simulation in MPLS VPN[J].Computer Engineering，2010，36（12）：123-125.

[2]ZHANG Haiyan，UMANSKY Igor，LI Han.Linear Protection Switching in MPLS-TP， draft-zulr-mpls-tp- linear-protection-switching-02[S].January 11， 2011.

[3]LEE YW，KIM S，PARK J，el：al.A lightweigllt implementation of RSVP-TE protocol for MPLS-TE signaling[J].Computer Communications，2007，30（6）：1199-1204.

[4]任金秋，馬海龍，汪斌強.跨域BGP/MPLS VPN在高性能路由器中的實現[J].計算機工程，2009，35（3）：126-129.