BGP／MPLS VPN配置管理系统的设计与实现

李皓瑜

（湖北开放职业学院光电信息学院，湖北 武汉430074）

袁 璇

（武汉市邮电科学研究院，湖北 武汉430074）

虚拟专用网（Virtual Private Net work，VPN）用来连接分布在广域网中的企业网站点。VPN通常分为基于IP的VPN和基于多协议标签交换（Multi－Pr ot ocol Label Switching，MPLS）的 VPN。BGP／MPLS VPN（Border Gateway Protocol，BGP）是一种基于IP的 VPN。基于边界网关协议（Border Gateway Protocol，BGP）／MPLS的L3 VPN因其网络配置方便、扩展灵活及价格相对低廉，已经成为越来越多的企业组建其企业VPN网络的首选方案，进而对其提出了更高的安全及服务保障要求［1］。

如图1所示，BGP／MPLS VPN在运营商边界路由器PE与客户站点路由器CE之间提供点到点连接，因此扩展方便。此外，BGP／MPLS VPN还具有为企业私网提供流量工程能力的优点。下面，笔者提出了一种BGP／MPLS VPN配置管理系统的设计与实现方案，尤其强调了对BGP／MPLS VPN质量保证的管理功能的实现，在网络管理系统（Network Management System，NMS）中，设计并实现了BGP／MPLS VPN中VPN及VPN站点管理对象模块。

图1 BGP／MPLS VPN参考结构图

1 BGP／MPSL VPN标准和管理器

IETF和ITU－T在BGP／MPLS VPN方面已经提出了一些标准，诸如Cisco、Juniper和华为等路由器设备制造厂家也开发了各种各样的商用NMS系统。

1.1 BGP／MPSL VPN标准

IETF已经发布了RFC4364建议，给出了BGP／MPLS VPN的业务模式、协议规格等方面的建议，但针对业务QoS保障的配置与管理方案还在讨论中。

1.2 BGP／MPLS VPN管理器

针对BGP／MPLS VPN管理器，Cisco开发了Cisco VPN解决方案中心产品［2］。该产品可以提供针对BGP／MPLS VPN的配置管理，当时只支持L3 VPN的VRF（VPN路由转发）表的配置，不支持具有透明区分服务的L2 VPN流量管理能力。针对L2 VPN的管理，Cisco开发了Cisco IP解决方案中心。但是该产品不支持其他厂家的路由器的管理。Cisco BGP／MPLS VPN配置命令集如表1所示。在实际商业网络中，需要一个可以管理多个厂家路由器的管理系统。

2 BGP／MPLS VPN配置

基于MPLS的VPN能够提供有带宽保障及可靠的数据转发能力［3］。BGP／MPLS VPN网络由VPN站点域和服务提供商骨干网域2个区域组成［4］。

在BGP／MPLS VPN网络中，BGP实现不同自治系统之间MPLS分组转发的路径设置。通过EBGP（外部BGP）在PE与CE之间交换企业私网路由信息，而通过IBGP（内部BGP）在运营商骨干网PE之间交换VPN路由信息。PE路由器从CE接收到IP路由前缀之后，附加上8个字节的RD（路由区分器）。

表1 Cisco BGP／MPLS VPN配置CLI命令集

3 MPLS VPN管理配置功能设计

如果在网络中有MPLS VPN路由器存在，管理者需要能够收集和管理那些使用MPLS VPN业务的站点信息。即使是中等规模的VPN，如大约有200个左右的VPN站点接入，手工收集VPN站点信息是一个耗时又容易出错的事情。因此，这些路由器和站点的信息必须自动采集［5］。网络管理员经常进行增加、删除和修改VPN站点操作。直接连接到路由器进行VPN及VPN站点的创建和删除的效率非常低下。笔者实现了一个VPN和VPN站点信息自动采集功能模块，同时还实现了BGP／MPLS VPN管理模块，以便操作员通过GUI手动微调VPN配置。

3.1 BGP／MPLS VPN管理模块

VPN管理模块提供MPLS VPN配置管理功能。有BGP／MPLS VPN管理器和VPN站点2个管理对象MO。每个BGP／MPLS VPN管理器MO有VRF name、RD、RT、VRF接口等相关属性。VPN站点MO包含配置VPN站点的必要属性信息，如站点name、IP地址、BGP自治号等。VPN网络模块使用BPG／MPLS VPN管理器对象配置BGP／MPLS VPN，并管理VPN和VPN站点。VPN网络MO与VPNPE模块交互，实现对VPN的配置。图2显示了BGP／MPLS VPN管理器与其他网络管理模块之间的关联结构。

使用BGP／MPLS VPN用户操作界面，操作员输入VPN相关信息。这些信息提供给VPN网络模块。VPN网络模块使用VPN参数配置BGP／MPLS VPN管理器MO，并使用VPN站点参数配置VPN站点MO。最后，BPG／MPLS VPN管理器模块访问VPN PE及指定目标路由器创建VPN、VPN站点、TE－LSP等。VPN PE模块通过使用Cisco7204模块的方法创建VPN、VPN站点及TE－LSP等。Cisco7204模块使用CLI／Telnet与路由器交互，实现上述创建过程。

3.2 BGP／MPLS VPN拓扑自动发现

笔者使用CLI作为基本的已配置MPLS VPN的信息采集方法，并使用Cisco路由器作为VPN测试网络。Cisco路由器中的VPN相关信息可以通过CLI命令自动采集。BGP／MPLS VPN拓扑自动发现过程的信息交互过程如图3所示。其中，VPN－NMS创建一个中枢路由器（7204＿G）。通过CLI命令访问该物理连接的路由器，确认VRF配置信息。如果操作员通过GUI执行自动拓扑发现，自动拓扑发现模块直接使用Cicso7204CLI访问路由器，采集网络配置信息。在网络配置信息中，物理配置信息通过PN（Physical Net work）模块交付，LSP等逻辑配置信息通过MPLS网络模块交付，而VPN信息通过VPN网络模块交付。PN模块MO信息包含节点与端口信息。节点MO的属性信息有本地路由器名、邻居节点路由名及路由功能类型（指基于IP的路由或MPLS路由）等。MPLS网络模块采集的逻辑MO，如LSP MO，包含LSP ID、Ingress节点名、显示路径及目的IP等信息。PN模块管理物理节点和链路，并通过GUI描绘管理网络的物理拓扑。而MPLS网络模块则描绘管理网络的逻辑拓扑，VPN网络模块描绘管理网络的VPN拓扑。

图2 BGP／MPLS VPN配置管理模块示意图

图3 BGP／MPLS VPN拓扑自动发现过程交互消息示意图

3.3 BGP／MPLS VPN GUI模块

为了配置的方便，笔者实现一个BGP／MPLS VPN用户界面模块。该GUI模块采用Java实现，并使用Socket和XML实现GUI与VPN网络模块之间的交互。其中，VPN视图GUI模块激活BGP／MPLS VPN管理器GUI，以进行创建和删除、配置VPN及VPN站点等操作。创建VPN GUI接收VPN的输入信息，如VPN ID。VPN ID唯一标识BGP／MPLS VPN管理GUI的VPN列表。增加VPN站点GUI用来创建管理网络中的VPN站点。操作员可以通过该GUI输入VPN站点的详细信息。验证VPN GUI用来确认通过增加站点GUI增加的VPN站点信息。

如图4所示，在BGP／MPLS VPN GUI模块中，创建一个VPN并增加VPN站点信息的过程如下：操作员在VPN视图GUI下，点击BGP／MPLS VPN管理器，激活 BGP／MPLS VPN管理器GUI；操作员在VPN管理器GUI下，点击创建VPN按钮，激活创建VPN GUI；在 VPN GUI下，管理员提交诸如VPN ID等VPN信息后，VPN ID就加入到VPN管理器GUI的VPN表单下；操作员在VPN表单中选择了指定的VPN ID，点击增加站点按钮后，激活增加站点GUI；操作员输入诸如VPN站点IP地址、AS号等基本信息后，点击接受按钮，就可以建立VPN站点。

图4 配置BGP／MPLS VPN的VPN GUI示意图

4 结 语

随着MPLSVPN的快速发展，NMS的配置管理模块需要能够有效采集MPLS VPN信息。本文实现的自动发现功能模块可以有效收集MPLS VPN信息。为了有效管理，操作员确认采集到的MO的有效信息。通过与Cisco7204CLI模块的交互，实现MPLS VPN的配置和自动发现。本文还实现了BGP／MPLS VPN的QoS保障管理功能，简化了NMS中VPN站点的规模扩展所带来的配置问题。

［1］JI Chao，XU Shu－wei，An Imple mentation Scheme of VPN Based on MPLS［J］ .Jour nal of Henan University（Nat ural Science），2007（1）：59－62.

［2］Wang Z J.Quality of Service Routing f or Supporting Multi media Applications［J］.IEEE JSAC，1996，14（7）：1228－1234.

［3］Hae－Eun Moon.Design and Implementation of Net wor k Management System f or QoS guaranteed BGP／MPLS VPN［M］ .University of Texas at Austin，2001：35－36.

［4］van Pepelnjak，Ji m Guichar d.MPLS and VPN Architecture［M］.Cisco Press，2001：156－158.

［5］Dong－Jin Shin.Design and Implementation of Configuration Management f or the MPLS Net wor k［J］ .KNOM Review，2002（12）：87－90.