基于MPLSVPN和BGP的企業(yè)網(wǎng)絡(luò)構(gòu)建

趙慧慧　陶駿

摘要：在企業(yè)網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上，針對企業(yè)網(wǎng)絡(luò)改造的需求，對MPLS VPN和BGP網(wǎng)絡(luò)協(xié)議的基本概念進(jìn)行了闡述。對網(wǎng)絡(luò)升級方案進(jìn)行了詳細(xì)介紹，并對網(wǎng)絡(luò)升級方案進(jìn)行了模擬仿真。根據(jù)網(wǎng)絡(luò)升級方案重新進(jìn)行了網(wǎng)絡(luò)構(gòu)建，描述了網(wǎng)絡(luò)設(shè)備的詳細(xì)配置，比較了網(wǎng)絡(luò)升級前后的網(wǎng)絡(luò)參數(shù)，得出采用MPLS VPN和BGP構(gòu)建企業(yè)網(wǎng)絡(luò)具有較高優(yōu)越性的結(jié)論。

關(guān)鍵詞：網(wǎng)絡(luò)升級;MPLS;VPN;BGP

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1008-1739（2019）03-62-3

0 引言

隨著社會和經(jīng)濟(jì)的發(fā)展，越來越多的企業(yè)接入了互聯(lián)網(wǎng)，接入互聯(lián)網(wǎng)的企業(yè)往往不局限在一個(gè)地點(diǎn)，因?yàn)榭赡馨鄠€(gè)分公司和辦事處，這些分公司和辦事處一般都采取地址翻譯（NAT）方式接入到互聯(lián)網(wǎng)和總部通信，NAT方式雖然可以滿足通信的基本需求，但是也有以下缺陷：①NAT方式需要對應(yīng)路由器開啟NAT進(jìn)程，加大了路由器的負(fù)荷;②NAT方式造成局域網(wǎng)的IP地址對外是不可見的，造成分公司和辦事處無法直接訪問總部內(nèi)部的IP地址所對應(yīng)的應(yīng)用程序。

為解決這一問題，可以采取虛擬局域網(wǎng)的方式組建此類企業(yè)的局域網(wǎng)，VPN的接入方式有很多種，比如L2TP VPN、GRE VPN和MPLS VPN，前2種都是采用傳統(tǒng)的路由進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，MPLS采取標(biāo)簽轉(zhuǎn)發(fā)，效率高于前2種。經(jīng)過充分調(diào)研和論證后，本網(wǎng)絡(luò)方案采取基于MPLS VPN的方式構(gòu)建企業(yè)網(wǎng)絡(luò)。

1 MPLS VPN和BGP

MPLS VPN是指使用多協(xié)議標(biāo)記轉(zhuǎn)換技術(shù)在互聯(lián)網(wǎng)上構(gòu)建企業(yè)IP虛擬局域網(wǎng)，實(shí)現(xiàn)跨地理區(qū)間的數(shù)據(jù)、語音和圖像等多業(yè)務(wù)安全快速的發(fā)送，并結(jié)合QoS等相關(guān)技術(shù)，將公眾網(wǎng)可靠和擴(kuò)展性與專用網(wǎng)的安全和高效性結(jié)合在—起。MPLS VPN網(wǎng)絡(luò)主要包括：CE，PE，P三種路由器。①CE是用戶網(wǎng)絡(luò)邊緣路由器設(shè)備，直接與服務(wù)提供商網(wǎng)絡(luò)相連，不用配置VPN;②PE是服務(wù)提供商邊緣路由器設(shè)備，與用戶的CE直接相連，負(fù)責(zé)VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實(shí)現(xiàn)者;③P是服務(wù)提供商核心路由器設(shè)備，負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。在整個(gè)MPLS VPN中，只需要P，PE設(shè)備需要支持MPLS的基本功能，CE設(shè)備不必支持MPLS VPN功能。

BGP是指邊界網(wǎng)關(guān)協(xié)議，主要在2個(gè)自治域之間交換路由，MPLS VPN網(wǎng)絡(luò)中PE路由器之間需要通過BGP的M-BGP屬性來傳遞相關(guān)VPN屬性和路由，比如VPN的最重要的2個(gè)屬性路由目標(biāo)（RT）和路由區(qū)分（RD）值，都是通過M-BGP屬性傳遞的。

2 網(wǎng)絡(luò)構(gòu)建

企業(yè)在物理上有4部分：1個(gè)總公司和3個(gè)子公司，目前這4部分都通過租用互聯(lián)網(wǎng)專線的形式接入到某一通信運(yùn)營商，其網(wǎng)絡(luò)現(xiàn)狀拓?fù)淙鐖D1所示。

公司的總部和3個(gè)子公司在其出口路由器上部署NAT，然后通過靜態(tài)默認(rèn)路由指向相關(guān)的運(yùn)營商的路由器，在各部分的交換機(jī)上劃分VLAN，出口路由器上劃分子接口，交換機(jī)的VLAN都終結(jié)在出口路由器上。

公司出于辦公需要，構(gòu)建自己的Web和郵件服務(wù)器，而且要求Web和郵件服務(wù)器只能公司內(nèi)部職工訪問。如果把Web和郵件服務(wù)器配置私網(wǎng)IP地址直接下掛在總部的交換機(jī)下，此時(shí)只有總部的終端才能訪問這2個(gè)服務(wù)器，因?yàn)槭荖AT方式接入的，其余3個(gè)分公司的終端是無法進(jìn)行穿越NAT來訪問總部的服務(wù)器的。如果把Web和郵件服務(wù)器配置公網(wǎng)IP地址直接下掛在總部的路由器下，此時(shí)其余3個(gè)子公司是可以訪問Web和郵件服務(wù)器的，但是此時(shí)互聯(lián)網(wǎng)上的所有計(jì)算機(jī)都可以訪問Web和郵件服務(wù)器，不符合網(wǎng)絡(luò)要求。

因此，公司4個(gè)部分采用VPN的方式接入到運(yùn)營商的網(wǎng)絡(luò)，VPN有多種接入方式，包括2層VPN和3層VPN，MPLSVPN屬于3層VPN，有保密性高和接入方便的特點(diǎn)，本網(wǎng)絡(luò)改造方案采用MPLS VPN接入到運(yùn)營商的網(wǎng)絡(luò)。公司的4個(gè)部分的出口路由器充當(dāng)CE路由器，通信運(yùn)用商的接入路由器充當(dāng)PE路由器，運(yùn)營商的核心路由器充當(dāng)P路由器，新建的Web和郵件服務(wù)器直接下掛在總部的出口路由器下，具體拓?fù)鋱D如圖2所示。

3個(gè)子公司的CE路由器通過靜態(tài)協(xié)議與運(yùn)營商PE路由器通信，CE路由器通過默認(rèn)靜態(tài)路由指向Ⅲ路由器，路由器在VPN中把相關(guān)CE路由器的網(wǎng)段通過靜態(tài)路由指向CE路由器，PE和PE之間采用BGP協(xié)議通信。具體的IP地址規(guī)劃如表1所示。

MPLS VPN采用星型連接（hub-spoke）模式，只允許分公司和公司總部之間通信，不允許分公司之間進(jìn)行通信，這主要通過VPN的RT屬性的設(shè)置來實(shí)現(xiàn)的，具體的VPN設(shè)置屬性如表2所示。

總部的VPN發(fā)出的VPN路由屬性入RT值（RTIMPORT）正好等于分公司的出RT值（RT EXPORT），總部的VPN發(fā)出的VPN路由屬性RT EXPORT正好等于分公司的RT IMPORT，所以總部和分公司可以進(jìn)行通信。而任何—個(gè)分公司的RT EXPORT都不等于另一個(gè)分公司的RT IMPORT，所以分公司之間不能進(jìn)行通信。

具體PE的關(guān)鍵配置如下（PE設(shè)備為華為NE40E）：

ipvpn-instance vpncom//配置VPN名稱

ipv4-family

route-distinguisher 100：8//配置RD和RT值

vpn-target200：8 export-extcommunity

vpn-target 100：8 import-extcommunity

bgp 100//配置BGP信息

peer1.1.1.2 as-number 100

peer 1.1.1.2 connect-interface LoopBack0

#

ipv4-fanuly unicast

undo synchronization

peer 1.1.1.2 enable

#

ipv4-family vpnv4

policyvpn-target

peer 1.1.1.2 enable

#

ipv4-fanulyvpn-instance vpna

import-route direct

import-route static

先用華為的ENSP模擬器對設(shè)計(jì)方案進(jìn)行仿真測試，具體如圖3所示。

仿真測試完畢后，對網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)構(gòu)建，網(wǎng)絡(luò)構(gòu)建完成后公司的網(wǎng)絡(luò)運(yùn)行正常，終端和服務(wù)器的訪問均正常，也滿足不讓公網(wǎng)上用戶的訪問要求，具體測試的訪問時(shí)延和丟包如表3所示。

測試后時(shí)延和丟包等性能參數(shù)明顯優(yōu)于網(wǎng)絡(luò)改造前，因?yàn)楦脑旌缶W(wǎng)絡(luò)不用進(jìn)行NAT地址翻譯，而且不在使用路由表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，而是采取性能更優(yōu)越的MPLS標(biāo)簽轉(zhuǎn)換來發(fā)送數(shù)據(jù)包。

3 結(jié)束語

本文介紹了一種基于MPLS VPN，BGP方式的企業(yè)局域網(wǎng)的構(gòu)建方式，其特點(diǎn)是配置簡單、管理靈活及安全高效，但是構(gòu)建方案中沒有考慮IPv6和QoS，PE和CE之間沒有采取可以達(dá)到負(fù)載均衡的動(dòng)態(tài)協(xié)議，如EBGP和OSPF協(xié)議，這都是下一步的研究方向。