基于BGP/MPLS VPN技术的跨域校园网仿真分析

梁海英, 罗 琳, 于晓鹏

(吉林师范大学 计算机学院, 吉林 四平 136000)

0 引 言

目前大部分学校的校园网络应用在教学、 科研、 管理和服务等方面, 实现了教育的信息化、 智能化和个性化。预计到2020年, 将最终建成覆盖全国城乡范围的学校数字化教育服务体系[1]。

随着高校办学规模的不断扩大, 分校区的建立不断增多, 网络用户随之增加, 对校园网络的建设提出了更高的要求。在原有校园网络的基础上, 增加不同类型的业务应用系统, 如何建立和完善规划合理、 安全、 高效、 可靠、 稳定的校园网络已成为校园网建设的重点。文献[2]提出许多高校在解决各种新型增值业务与传统办公、 教学的业务进行安全隔离时, 采用传统的IP VPN(Virtual Private Network)中的SSL(Secure Sockets Layer)VPN技术[3]和IPSec(Internet Protocol Security)VPN技术[4]。IPSec VPN提供点到点之间的连接, 如分校区与主校区之间的远程连接, 但由于实现方式的局限性, 在应用中存在访问控制不够细致、 组网受限等不足。SSL VPN相对来说接入方式安全, 可有效设置权限, 是为移动用户提供远程接入校园网服务很好的方法。SSL VPN技术针对网络中的应用层进行加密, 相对性能较差。

BGP/MPLS (Border Gateway Protocol/Multi-Protocol Label Switching) VPN技术[5-11]可实现跨地域的安全、 高速、 可靠的服务, 且具有良好的扩展性和灵活性。当一个企业中存在跨域性的分支机构, 需要将总部和分支机构的网络进行有效互联时, 而且要求对不同部门的不同业务系统之间的大多数数据进行相互隔离, 同时各业务系统之间又可以互相访问, 这时可采用BGP/MPLS VPN技术搭建统一的网络平台, 实现隔离与互访的需求。目前, BGP/MPLS VPN技术广泛应用在电子政务网、 联通IP城域网和电信城域网等大型的企业网中, 在跨域校园网的组建过程中未得到相当的重视。

1 跨域校园网的规划设计

笔者仿真跨区域学校, 有一个主校区和两个分校区。主校区在A城, 分校区位居B城和C城, A城、 B城和C城为同省的不同城市。各校区的结构相同, 均下设教学区、 办公区、 图书馆、 宿舍区和家属区。但规模不同, 拟设主校区在校师生人数为10 000人, 教学楼10座, 办公楼2座, 图书馆1个, 宿舍楼10座, 家属楼5座, 网络信息点数5 000个； 分校区在校师生人数为5 000人, 教学楼5座, 办公楼1座, 图书馆1个, 宿舍楼5座, 家属楼2座, 网络信息点数3 000个。各校区分别以100/1 000 Mbit/s带宽为主干, 建立校园网络, 将所有楼宇中的信息点连通, 并与Internet网络互联。采用10 000 Mbit/s带宽的核心路由器, 运用VPN技术实现3个校区的互联, 保证跨域校区之间的通信。

校园网中采用高性能路由交换机组建的核心层, 核心交换设备之间构成网状网络。在汇聚层和接入层, 通过机器与处理机直接物理互联的方式, 构成星形网络结构。汇聚层包括教学区、 办公区、 图书馆、 宿舍区和家属区, 负责网络数据的交换和汇聚。接入层与具体用户(教学区用户、 办公区用户、 学生用户和家属区用户)相连接, 主要实现本地业务。

各校区的校园网按办公、 教学和管理划分为多个业务系统, 如办公自动化系统、 教务管理系统、 图书管理系统、 财务管理系统、 远程访问系统和设备管理系统等。按照各系统业务的功能不同, 将每个业务系统划分为一个独立的VPN。主校区和分校区之间相同业务的VPN要实现信息的全面交互, 不同业务的VPN之间实行可控访问。

2 跨域校园网BGP/MPLS VPN的设计

现以办公自动化系统, 教学管理系统和图书管理系统3项业务为例, 对第1节提出的跨域校园网进行BGP/MPLS VPN网络设计。

对网络的总体设计, 校园网支持MP-BGP、OSPF和静态路由, 3个校区中的核心路由器作为提供商P路由器, 组成MPLS骨干部分； 核心交换机作为提供商边缘PE(Provider Edge)路由器, 部门交换机作为用户边缘CE(Customer Edge)路由器。对各校区中的办公自动化VPN、 教学管理VPN和图书管理VPN进行配置。

具体配置过程中, 为实现主校区和分校区的互相通信, 需要在每个PE的VRF(VPN Routing and Forwarding)中设置相同的路由目标RT(Route Target)属性。而且要对3个VPN客户配置不同的VPN路由转发VRF表, 将每个PE路由器分别与接受VPN路由的站点相连, 保证PE路由器包含对应的VPN客户的VRF表。对校园网进行BGP/MPLS VPN设计的网络配置如图1所示。

图1 跨域校园网BGP/MPLS VPN设计图

1) 规则定义。以VPN加业务系统名前两个首字母的形式为3个VPN命名, 定义3项业务所对应的VRF, 每个VPN使用不同的路由区分符RD, 采用类型0的路由区分符格式, 将服务提供商分配的独立系统号设为100, 使用关键字import和export分别指定每个VRF的导入和导出策略, 并给每个VRF配置相同导入和导出策略(见表1)。

表1 业务系统VPN的定义

2) 配置VRF的导入导出策略。每个VRF的RT属性中配置对应的路由目标, 规定导入到VRF中的路由以及被加入到该路由中的路由目标。根据RT属性区分不同业务的VPN, 实现互访与隔离。

3) CE-PE的路由配置。CE设备与PE设备之间采用静态路由的方式交换路由信息, 或使用RIP(Routing Information Protocol)、 BGP和OSPF协议, 进行动态路由。

4) PE-PE的路由配置。PE之间支持MP-BGP协议。PE从CE收到路由后, 用RD标识转变成VPN-Ipv4路由, 加上由VRF表指定的一个唯一的标签, 通过骨干网的MP-BGP协议传递到远端的PE。

3 仿真网络的实现

3.1 仿真目的

通过OPNET Modeler仿真软件[12]对跨域校园网进行网络建模, 验证笔者提出的采用BGP/MPLS VPN技术改善校园网的可行性。仿真实验建立了两组仿真场景：

1) BGP/MPLS VPN跨域校园网的场景(命名为Yyxyw)；

2) 扩展BGP/MPLS VPN跨域校园网的场景(命名为Yyxyw_exp)。

运行两组场景仿真, 并对仿真结果进行分析和对比。

3.2 仿真网络结构

按照跨域校园网的规则设计, 通过OPNET中Scenario Components的Import命令, 搭建场景为Yyxyw的网络模型如图1所示。

网络中PE1、 PE2和PE3分别与校园网的主校区、 分校区A和分校区B相连。每个校区对应3个VPN业务VPN_BG、VPN_JX及VPN_TS。CEA1、CEB1和CEC1是VPN_BG的3个站点, CEA2、CEB2和CEC2是VPN_JX的3个站点, CEA3、CEB3和CEC3是VPN_TS的3个站点。每个站点下设两个路由来连接终端设备。

3.3 配置与仿真

1) 配置PE1、PE2和PE3相应的路由转发实例VRF,Bgzdh的RD为100 ∶1, RT为100 ∶10。

2) 选择参数进行仿真。主要针对网络中路由器的利用率、 链路设备的利用率, 吞吐量、 数据的丢包率等参数的测试。在Choose Result对话框中进行统计参数的选择, 选好后单击OK按钮。

3) 运行仿真。在Congigure/Run DES对话框中, 进行常规参数设置后, 单击Run按钮, 开始仿真。

4) 运行仿真后, 得到如下仿真结果。图2为网络中P1、P2和P3的CPU利用率, 图3为PE1、PE2和PE3的CPU利用率。

图2 扩展前P设备的CPU利用率 图3 扩展前PE设备的CPU利用率

仿真开始时, 曲线的变化比较明显, 网络中的核心路由的利用率较高, 随着时间的推移, 网络达到稳定状态后, CPU的利用率也在某一固定值上下浮动, 趋于稳定。

图4记录了P2和P3间点到点通信的数据流入和流出关系, 并且无丢失包。图5和图6分别为PE与P、PE间进行通信的数据流, 可看出, 传输过程总体保持平稳, 无数据交叉和冲突。对整个网络的链路使用率和网络负载进行测试的结果如图7所示。可见, 随着网络负载量的增多, 链路使用率逐渐升高。

图4 扩展前P2-P3的通信 图5 扩展前PE1-P1通信

图6 扩展前PE间的数据流 图7 扩展前网络负载

3.4 仿真扩展网络

在各校区中增加业务系统, 对现有网络进行扩展, 场景为Yyxyw_exp。在各校区中新增财务管理系统, 对应VPN名称为VPN_CW,VRF为Cwgl, RD为100 ∶4, RT为100 ∶40。分别更新PE1、PE2和PE3中对应的VRF。

运行扩展后的仿真场景, 分别得到关于P和PE设备在增加新VPN后的CPU平均利用率(见图8和图9), 整体看比较平稳, 无较大的影响。

图8 扩展后P设备CPU利用率 图9 扩展后PE设备CPU利用率

对扩展后的网络延时和负载分别与原网络进行对比, 并未出现单调递增的趋势, 负载有所增加, 但变化仍然比较平稳(见图10和图11)。

图10 扩展前后延时对比 图11 扩展前后网络负载对比

4 结 语

笔者结合BGP/MPLS VPN技术, 提出对跨域校园网的规划与设计。利用OPNET Modeler仿真软件对跨域校园网建模, 通过对初始规模的校园网Yyxyw场景和进行业务扩展后的Yyxyw_epx场景进行仿真对比, 得到扩展前后网络性能对比结果如下：

1) 扩展业务前后P和PE设备的CPU利用率, 整体来看比较平稳, 无较大的影响；

2) 对扩展后的网络延时和负载分别与原网络进行对比, 并未出现单调递增的趋势, 负载增加, 但变化仍然比较平稳。

综上所述, 在跨域校园网中的应用BGP/MPLS VPN技术, 具有很好的扩展性。

参考文献：

[1]国家中长期教育改革和发展规划纲要(2010-2020年) [EB/OL]. [2013-01-12]. http://www.gov.cn/jrzg/2010-07/29/content_1667143.htm.

National Medium and Long-Term Educational Reform and Development Plan (2010-2020) Years [EB/OL]. [2013-01-12]. http://www.gov.cn/jrzg/2010-07/29/content_1667143.htm.

[2]郭萍. 浅析高校校园网安全隐患及防范技术 [J]. 湖北三峡职业技术学院学报, 2010, 7(2): 45-47.

GUO Ping. On the Campus Network Security Risks and Preventive Measures Technology [J]. Journal of Hubei Three Gorges Vocational and Technical College, 2010, 7(2): 45-47.

[3]FREIER A, KARLTON P, KOCHER P. RFC6101, The Secure Sockets Layer (SSL) Protocol Version 3.0 [S]. 2011.

[4]BELLOVIN S. RFC5406, Guidelines for Specifying the Use of IPsec Version 2 [S]. 2009.

[5]ROSEN E, REKHTER Y. RFC4364, BGP/MPLS IP Virtual Private Networks(VPNs) [S]. 2006.

[6]NADEAU T, VAN DER LINDE H. RFC4382, MPLS/BGP Layer 3 Virtual Private Network (VPN) Management Information Base [S]. 2006.

[7]BATES T, CHANDRA R, REKHTER Y, et al. RFC4760, Multiprotocol Extension for BGP-4 [S]. 2007.

[8]BEHRINGER M. RFC4381, Analysis of the Security of BGP/MPLS IP Virtual Private Networks (VPNs) [S]. 2006.

[9]ROSEN E. RFC4365, Applicability Statement for BGP/MPLS IP Virtual Private Networks (VPNs) [S]. 2006.

[10]KUMAKI K, ZHANG R, KAMITE Y. RFC5824, Requirements for Supporting Customer Resource Reservation Protocol (RSVP) and RSVP Traffic Engineering (RSVP-TE) over a BGP/MPLS IP-VPN [S]. 2010.

[11]于晓鹏, 王洪君. 基于AS关系的BGP无效路由检测 [J]. 吉林大学学报： 信息科学版, 2007, 25(4)： 461-464.

YU Xiao-peng, WANG Hong-jun. Detecting Invalid BGP Routes Based on AS Relationships [J]. Journal of Jilin University: Information Science Edition, 2007, 25(4): 461-464.

[12]张铭. OPNET Modeler与网络仿真 [M]. 北京： 人民邮电出版社, 2007.

ZHANG Ming. OPNET Modeler and Network Simulation [M]. Beijing: The Posts and Telecom Press, 2007.