基于BGP MPLS VPN企業跨域組網仿真設計

李永芳

（南京鐵道職業技術學院通信信號學院，南京 210031）

0 引言

隨著互聯網技術不斷發展，業務數據海量增長，傳統的IP網絡，面向無連接的特點，無法提供可靠的服務質量。多協議標簽交換（Multi-Protocol Label Switching，MPLS）［1］是一種IP 骨干網技術。MPLS 在無連接的IP網絡引入面向連接的標簽交換概念，將3層路由技術與2層交換技術結合，采用一種基于標簽轉發的隧道技術，充分發揮了IP路由的靈活性和2層交換的簡捷性。

用戶個性化需求帶來增值業務的快速發展，MPLS技術逐漸被擴展到了新的應用領域，如與邊界網關協議（Border Gateway Protocol，BGP）、虛擬專用網絡（Virtual Private Network，VPN）技術結合的BGP MPLS VPN技術就是一種應用廣泛的3層VPN（Layer 3 VPN，L3VPN）技術［2］，利用BGP 協議在MPLS 骨干網上傳遞VPN私網路由信息，用MPLS來轉發VPN業務數據。BGP MPLS VPN使用BGP多協議擴展（MultiProtocol BGP，MP-BGP）確保VPN 的私網路由只在VPN內發布，并實現MPLS VPN成員間的通信［3］，提升數據傳遞過程中的安全性。該技術正被越來越多的大型企事業單位和運營商所青睞。

1 BGP MPLS VPN技術

1.1 普通MPLS VPN技術

一般MPLS VPN架構將設備角色分為客戶端邊界路由器（Customer Edge，CE）、運營商邊界路由器（Provider Edge Router，PE）和運營商路由器（Provider Router，P）［4］。PE 與CE 之間建立外部BGP（External BGP，EBGP）對等體關系，進行VPN實例綁定，在具體應用中也可以采用多實例CE（Multiple CE，MCE）方式。PE設備之間建立MP-BGP關系，傳遞私網路由，PE與P設備之間建立普通BGP對等體關系，傳遞公網路由。

由于VPN業務采用私網IP地址，當多個VPN業務連接到同一個PE上或是多個VPN業務相互通信時，就可能存在IP地址沖突問題。為解決不同VPN私網路由沖突，MPLS VPN引入了VPN實例技術，即在PE設備上創建實例并與VPN業務進行綁定，實現不同VPN業務路由隔離。創建VPN實例相當于創建了單獨的VPN路由轉發表（VPN Routing and Forwarding，VRF）［5］。當PE 收到來自不同業務的私網路由時，通過識別VPN實例將其添加至對應的VRF中。為此，一臺PE設備上會存在一個公網路由表，以及一個或多個VRF［6］。

1.2 BGP MPLS VPN技術

在BGP MPLS VPN網絡中，為確保每個業務VPN路由的唯一性，在PE設備上為每個VPN路由分配唯一的路由區分（Route Distinguisher，RD）值，對不同的私網路由進行區分［7］。同時，給每條私網路由賦予導入、導出的路由目標（Route Target，RT）值，用于控制VPN路由信息的發布。當2個VPN業務互通時，RD值可以設置不相同，但是RT值入和出方向的值必須跟對端VPN業務的RT值匹配，否則會影響私網路由的通信。

1.3 跨域MPLS VPN技術

普通的MPLS VPN體系結構是在一個自治系統（Autonomous System，AS）域內運行，不提供向其他AS傳遞VPN路由信息的功能。而跨域（Inter-AS）的MPLS VPN，可以實現AS之間VPN私網路由信息的交互傳遞［8］。當前主流的跨域方式有3種，分別為VPNOption A、VPN-Option B、VPN-Option C。A 方式中，將兩個AS之間的自治系統邊界路由器（Autonomour System Border Router，ASBR）設備互為CE 關系，VPN數據在ASBR之間是以普通IP數據轉發，不攜帶任何標簽［9］。B方式中，2臺ASBR之間建立多協議外部BGP（MultiProtocol-external BGP，MP-eBGP）對等體關系，傳遞VPN路由，轉發數據時，攜帶私網路由標簽信息。C方式中，在不同AS的PE間建立MP-eBGP對等體關系，以傳遞VPN路由，與A、B方式不同的是，ASBR不再維護和交換VPN路由，以減少設備負擔［10］。3種方式各有所長，使用時需要結合具體網絡環境和組網需求來進行選擇。

2 企業組網設計

2.1 組網需求與網絡結構設計

某公司總部和分部距離較遠，需要跨越多個區域運營商網絡進行互連，為保證業務互通，要求采用BGP MPLS VPN技術來為公司多個業務提供安全、高效的跨域互通。圍繞需求，在網絡仿真工具平臺（Enterprise Network Simulation Platform，eNSP）［11-16］，設計一種企業網絡結構如圖1所示。

圖1 網絡結構圖

2.2 具體網絡規劃

由圖1可見，AS100、AS200為各區域運營商網絡，作為MPLS骨干網，CR1、CR4為ASBR設備，CR2、CR3、CR5、CR6為PE設備。AS65001為公司總部；CSW1、CSW2為CE設備，ASW1、ASW2為總部內部業務接入設備；業務用VLAN10／20／30／40 進行模擬。AS65002為分部網絡，CSW3、CSW4為CE設備，分部業務VLAN50通過ASW3設備接入。為保證業務數據傳遞的安全性，業務網段以VPNv4路由穿越運營商網絡進行互通。為了減少路由器開銷，PE與CE設備之間運行BGP協議，僅允許將業務路由引入BGP協議。所有AS域內均運行開放式最短路徑優先協議（Open Shortest Path First，OSPF），除公司總部運行多區域以外，其他AS內均運行單區域。公司內部采用多生成樹協議（Multiple Spanning Tree Protocol，MSTP）和虛擬路由冗余協議（Virtual Router Redundancy Protocol，VRRP）技術實現業務的可靠接入，總部與分部之間采用OptionB跨域方式實現不同VPN業務之間的通信。具體IP地址及業務劃分見表1。

表1 IP地址及VLAN規劃表

3 過程分析

3.1 域內網絡連通性配置

依據設計，對照表1在完成底層IP地址、MSTP與VRRP相關配置的基礎上，所有AS域內通過運行OSPF協議來實現域內全網互通。AS100、AS200、AS65002均運行單區域、單進程。總部AS65001內運行多區域，以控制LSA的泛洪，其中CSW1與CSW2之間運行Area0，ASW1與CSW1、CSW2之間運行Area1，ASW2與CSW1、CSW2之間運行Area2。

CSW1上的相關配置如下：

以此參考，完成CSW2、ASW2設備配置，不再贅述。設備配置完成后，在CSW1上運行dis ospf routing查看ospf路由，如圖2所示，設備已學習到AS內的全部業務網段。由于篇幅限制，其他AS域的OSPF協議配置不再詳述。

3.2 普通BGP對等體建立

如圖1所示，在6臺路由器設備以及公司核心層CSW1～CSW4 4臺設備上運行BGP協議。為實現路由傳遞，在域內相鄰設備之間建立內部BGP（Internal BGP，iBGP）對等體關系，通過對等體學習和傳遞路由信息。以CR2設備舉例，配置如下：

圖2 CSW1設備上OSPF域內路由表

其他設備配置不再贅述。在CR2執行dis bgp peer查看對等體關系建立情況，結果如圖3所示，CR2分別與CR1、CR3的環回口地址成功建立了對等體關系。

圖3 CR2設備上BGP對等體關系

3.3 MPLS標簽分發

在運營商骨干網絡中，所有路由器上運行MPLS協議，路由器通過標簽分發協議（Label Distribution Protocol，LDP）為每條內部路由映射一個標簽，并向自己的對等體進行通告，以此來建立標簽轉發表，指導數據轉發。需要在AS100、AS200域內設備全局和設備互聯物理接口下同時開啟MPLS和LDP協議。如CR3配置如下：

在GE0／0／2 物理接口下配置與GE0／0／1 相同。其他路由器配置與CR3類似。在設備上執行相應命令查看標簽會話表，如圖4所示，CR3與CR1、CR2標簽會話建立成功。

圖4 CR3設備上LDP會話表

3.4 VPN實例創建與綁定

為了實現業務高可靠、安全傳輸，在MPLS公共網絡上建立私網連接隧道，將私網業務與公網業務進行隔離。同時，建立多個VPN實例承載不同業務，實現私網業務之間的互相隔離。如圖1所示，在CR2～CR6這4臺PE設備上創建VPN實例，利用物理接口與相應的業務私網路由進行綁定，實現私網路由互相隔離。設總部VLAN10、VLAN20對應實例名為VPNA，VLAN30、VLAN40對應實例名為VPNB，分別與CR2、CR3的GE0／0／0接口綁定。分部VLAN50對應實例名為VPNC，與CR5、CR6的GE0／0／0接口綁定。為保證每條VPN路由的唯一性以及與其他VPN路由互通，需要為每個VPN實例自定義RD、RT值。

如，設置總部實例VPNA、VPNB的RD值均為100∶1，出入方向RT 值均為100∶200。分部實例VPNB，RD值為200∶1，為保證與總部的VPNA、VPNB互通，需要設置相同的出入方向RT值。分別在4臺PE設備的G0／0／0接口下綁定對應的VPN實例。如CR2配置如下命令：

此時，在CR2設備上執行dis bgp vpnv4 vpninstance VPNA peer來查看實例對等體關系，如圖5所示，與CSW1的對等體關系建立成功。

圖5 CR2設備上VPNv4的對等體關系

同樣，在CR3創建實例VPNB，CR5、CR6設備上創建實例VPNC，配置過程不再贅述。

3.5 私網路由跨域傳遞

為確保總部和分部業務安全性互通，在骨干網跨域傳輸時，依然以VPNv4路由互通。由于普通BGP對等體只能傳遞公網IPv4單播路由，為在公網上傳遞VPNv4私網路由，需要建立MP-BGP對等體來實現。在不同AS域內，ASBR分別與域內PE設備建立MPiBGP對等體關系。采用Option B方式跨域時，ASBR設備上不需要創建VPN實例，需要在ASBR之間建立MP-eBGP對等體關系，傳遞VPNv4路由。同時，為確保能從對端設備接收到VPNv4路由，ASBR需要關閉RT值的過濾匹配功能。在CR1、CR4設備上完成如下配置命令：

CR4設備上配置與CR1基本相同。在設備上查看對等體關系，結果如圖6所示，CR1分別與CR2～CR4成功建立MP-BGP對等體。

圖6 CR1設備上MP-BGP對等體關系

4 結果驗證

4.1 業務互通測試

在CR5、CR6其中一臺PE設備上輸入dis ip routing-table vpn-instance VPNC 命令，查看綁定的VPN實例VRF路由轉發表，結果如圖7所示。在VPNC路由表中可以學習到總部的所有業務網段路由。

在PC5上分別發送ping包給其他業務網段PC進行網絡連通性測試，結果如圖8、9所示，私網業務互訪成功。

圖7 CR6設備上實例VPNC的VRF路由轉發表

圖9 PC5與PC1、PC2 ping包測試結果

4.2 VPN-OptionB跨域數據傳遞分析

在2臺ASBR設備CR1、CR4上查看一條私網路由，分析數據在Option B方式下跨域傳遞過程，以192.168.10.0／24 網段為例，查看結果如圖10、11 所示。圖10表明，CR1 從CR2（2.2.2.2）收到該條VPNv4路由，替換私網路由標簽，且攜帶路由的RD值以及出方向的RT值。同時將該路由通告給對端CR4（10.10.14.2）設備。圖11 表明，CR4 從CR1（10.10.14.1）收到該條VPNv4路由，再次替換私網路由標簽值，攜帶路由的RD值以及出方向的RT值。將該路由通告給MP-iBGP 對等體CR5（5.5.5.5）、CR6（6.6.6.6）設備。

圖10 CR1 設備上192.168.10.0／24VPNv4 路由信息

圖11 CR4 設備上192.168.10.0／24VPNv4 路由信息

分析可知，業務數據在跨域過程中，不是通過IPv4路由傳遞，而是以VPNv4私網路由進行傳輸的。公網是基于IP路由表進行數據轉發，私網路由是基于標簽轉發表來轉發數據。在跨域過程中，私網與公網數據進行隔離，提高了數據傳輸的安全性。

5 結語

針對企業組網中高效、高安全等技術需求，提出一種基于BGP MPLS VPN企業跨域組網設計方案，并在eNSP模擬環境中進行仿真，在企業內網及骨干網設備上部署了OSPF、BGP、MPLS VPN等多種復雜協議。圍繞業務數據跨域傳遞過程，對BGP對等體建立、VPN實例創建、MPLS標簽分發與交換、VPNv4業務數據跨域傳輸等內容進行了具體配置和過程分析。結果表明，方案為私網路由分配標簽，建立VPNv4業務傳輸隧道，為業務數據傳遞提供安全保障，增加VPN實例可以靈活擴展企業增值業務，滿足企業網絡建設中安全、靈活和高效等性能需求。

·名人名言·

“成功”的科學家往往是興趣廣泛的人。他們的獨創精神可能自他們的博學。多樣化會使人觀點新鮮，而過于長時間鉆研一個窄的領域，則易使人愚蠢。

——貝弗里奇