钟灿雄
(湖南邮电职业技术学院,湖南长沙 410015)
基于MPLS与BGP的VPN构建与应用研究
钟灿雄
(湖南邮电职业技术学院,湖南长沙 410015)
针对GRE、IPSEC构建的虚拟私有网络存在数据隔离、互访控制难于实现等问题。文章分析了产生这些问题的根源,提出采用MPLS和BGP技术构建虚拟私有网络的设计思想,并通过仿真平台加以验证。实践证明,采用这种方法在解决路由冲突、数据隔离、站点间访问控制等方面要优于传统的VPN技术。
路由冲突;MPLS和BGP技术;数据隔离
随着企业业务拓展的需要,需在各地区设置分支机构,各分支机构与企业间的通信,一般采用两种技术来实现。一种是采用GRE技术,一种是采用IPSEC[1]技术。随着企业网络的不断扩大,企业间与分支机构的通信采用这种静态隧道的方式满足不了企业网络发展的需要,同时,这两种构建企业网络由于成本高、灵活性差,受到严峻挑战。
多协议标签交换(Multiprotocol Label Switching,MPLS)[2]技术的诞生旨在解决报文转发的效率,其协议工作在数据链路层和网络层之间,可以承载其它数据的发送,是一种天然的隧道技术。边界网关路由协议(Border Gateway Protocol,BGP)[3]包含有丰富的路由属性,通过其路由属性给数据打上相对应的标记,有效的实现数据的识别和访问控制[4-5]。
本文针对某企业中采用传统VPN技术构建的网络平台,存在扩展性、灵活性差,以及数据访问控制难于实现等问题。分析了产生这些问题的原因,提出使用MPLS和BGP两种技术融合对接来构建的虚拟私有网络,并通过仿真平台对方案进行了测试,测试结果说明采用MPLS和BGP构建的VPN网络,在数据隔离、访问控制方面要优于传统的VPN技术。
VPN技术里要实现私网数据成功穿透公网,关键在于把私网数据报文封装在公网数据报文里,通过公网报文承载并进行传输,当报文到达目的网络时,再剥离外层的公网数据报文,剩下私网数据报文。在数据传输过程中,公网中的网络设备完全感知不了私网报文的存在,私网报文成功
地穿透了公网。MPLS的数据封装如图1所示。
图1中IP报文的前面封装了MPLS标签,在数据传输过程中,通过查找标签转发表实现报文的转发。在传输过程中,由于私网IP报文封装在MPLS标签里面,收到该数据报文的设备完全不知其私网报文的存在,因此说MPLS技术实际上是一种天然的隧道技术。
MPLS隧道的建立,给私网数据穿越公网架设了一座“桥梁”。但不同用户的分支机构采用相同地址导致连接不同用户分支机构的设备学习相同路由,产生路由冲突的问题,通过MPLS技术无法解决。该问题的解决通过虚拟路由技术(Virtual Routing and Forwarding, VRF)与OSPF(Open Shortest Path First ,开放最短路径优先)的多进程技术来解决,通过这两种技术的结合,使不同用户的分支机构的路由信息有其自己单独的OSPF路由表,各自单独的路由表,各自的OSPF路由表与IP路由表相互隔离,互不干扰,进而解决不同用户分支机构使用相同的地址,导致的地址冲突问题。
VRF与OSPF的多进程技术解决了连接不同用户分支机构设备路由冲突问题,当该设备把不同用户的相同路由信息发送给其它的网络设备时,这些网络设备会学习到多条相同的路由信息,同样会产生路由冲突。相同路由信息在传播过程中导致的路由冲突问题想得到解决,关键取决于路由协议。在众多路由协议中,唯有BGP路由协议,该路由协议有几个方面的优势来解决传播时的路由冲突问题。
1)BGP路由协议可以跨设备来建立设备之间的邻居关系,该功能使两设备之间的中间设备不需要处理这些相同私网路由信息。
2)BGP路由协议它的RT (Route Target)属性不但可以给发送的路由信息打上路由标记,而且用户分支机构还可以选择自己所需要的路由。RT属性分为两部分:Export Target与import Target;前面参数表示自身发出的路由的属性,而后面参数表示自身对哪些路由感兴趣。当收到的路由信息中Export Targe值与自己本地VPN中的import Target值存在交集时,该路由就会被该本地VPN接收。
3)BGP路由协议的RD(Route Distinguisher)属性在不同的VPN用户采用相同的地址空间,当某设备出现故障时,根据该属性就可以判断要撤销哪个VPN用户路由。
4)BGP路由协议私网标签属性在设备收到不同用户分支机构相同路由时,分别打上不同的“标记”,在数据转发时,根据该“标记”来判断转发给与之对应的VPN用户。
通过MPLS技术为私网数据成功穿越公网提供了一条逻辑隧道;VRF与OSPF多进程技术的结合解决其设备收到相同地址信息,引起的路由冲突的问题;BGP路由协议解决了私网路由在传播时的学习、撤销、转发、访问控制等问题。因此,MPLS和BGP构建的VPN网络在隧道建立、站点间互访控制、数据隔离方面都优于传统的VPN技术。
随着几大运营商重组完成后,运营商把公司业务的重心转移到为用户提供更多的增值业务上,针对企业分支机构需接入企业内网的要求,某运营商采用IPSEC技术为企业提供分机机构访问企业内网的服务,为企业提供信息共享与安全互联,如图2所示。
图2 运营商连接用户的网络拓扑图
在图2中,只描述了两个企业总部和一个分支机构,其它的企业组网方式连接方法相同,在此不一一描述。图中的VPN1与VPN2分别表示不同的企业网络站点,运营商的PE1设备分别连接企业A与企业B总部的设备CE1、CE2,PE2连接企业A与企业B分支机构的CE3、CE4。随着企业的需求量不断增大,现有的组网方式面临以下问题。
1)配置繁琐:IPSEC这种技术要实现两站点间的通信,需手动的配置静态隧道,随着用户的不断递增,采用该技术对于网络维护人员来说,工作量相当大,且容易出错。
2)路由冲突:连接PE设备的不同企业不能采用相同的地址信息,否则引起PE设备学习到两个相同的路由信息,产生路由冲突。
3)扩展性与灵活性差:新增与修改一个站点,隧道的配置都是呈平方的递增。
针对当前组网方式面临的问题,一种设计思想是,采用MPLS技术来构建动态隧道,为私网数据穿越公网提供通道,采用OSPF多进程与VRF技术来解决PE设备的本地路由冲突问题,采用BGP来解决传播时的路由冲突以及站点间的访问控制问题,该设计思想实现如下:
1)在运营商的网络中的设备上运行MPLS的LDP协议,通过LDP来给相对应的路由信息分配标签,进而在设备上形成标签转发表,使用标签来封装私网数据,并为私网数据穿越运营商的网络提供通路。
2)在运营商连接用户的PE设备上使用OSPF多进程技术,分别与不同的企业交互路由信息,进而学习到的企业路由信息分别导入不同的OSPF路由表。同时,使用VRF技术,让VRF技术与OSPF多进程做绑定,不同OSPF进程路由表中的路由信息,导入不同的IP路由表中,实现企业间路由信息的相互隔离,互不影响。
3)在运营商连接用户的PE设备上运行边界网关路由协议BGP,利用BGP路由协议的RT、RD、LABLE属性解决路由传播时,引起的路由冲突,以及数据的访问控制问题。
该运营商的主要是给各企业提供虚拟私有网服务,其对每个企业采用的组网方式与实现方法都相同。本文通过利用仿真平台,模拟出该平台的组网方式,具体的实现过程如图3所示。
在该仿真平台测试中,在PE1设备创建LOOPBACK4、LOOPBACK5接口替代 CE1、CE2,在PE2设备创建LOOPBACK6、LOOPBACK7接口替 代 CE3、CE4,LOOPBACK4、LOOPBACK6接口 与 VPN1绑 定,LOOPBACK5、LOOPBACK7与VPN2绑定。实验各设备接口的IP地址和子网掩码如表1所示。
表1 设备接口地址分配表
要实现总部与分支机构的通信,通过以下三个步骤完成。
1)隧道的配置
在该仿真平台上,针对公网的设备,采用OSPF路由协议来交互路由信息,各公网设备之间建立邻居关系并交互路由信息后。在所有公网设备的接口上运行MPLS,并启动LDP协议,为相关的路由信息分配标签,并形成与之对应的标签表,进而建立隧道。使用此方法隧道的建立是动态的,相比传统的VPN技术来说,配置简单、便捷,方便管理与维护。具体的配置如表2所示。
表2 MPLS配置
在P、PE2设备作上述表2中PE1的相同配置,各设备建立邻居关系,交互MPLS报文,形成标签转发表,进而可以通过标签来封装私有数据,设备通过查找标签转发表来转发数据,到达目的地时再拆封装,把私有数据转发给对应的分支机构。
2)PE的VPN配置
完成公网设备的MPLS配置后,相当于在公网设备上建立好了一条“隧道”,为私网数据的传输提供了通路。对于不同企业采用相同的私有地址,导致PE设备学习到相同的路由信息,引起的路由学习错误的问题,传统的解决方案是采用路由策略的方式来解决,这种方案实现复杂。在该平台中采用VRF技术来解决,通过把LOOPBACK接口的地址绑定到不同的VPN中,每个LOOPBACK接口有它自己的IP路由表,IP路由表间互不影响。具体的实现如表3所示。
表3 PE的VPN配置
在PE2作上述表3中相同的配置,把不同企业的路由信息在PE上创建各自的IP路由表,各IP路由表相互隔离,进而解决PE设备学习到不同企业的相同私网路由时,引起的路由冲突问题。
3)BGP配置
VRF技术只是解决了本地PE设备的路由冲突问题,而对于在传播过程当中引起的路由冲突无法得到解决。在此方案中采用BGP路由协议来解决在路由传播过程中引起的路由冲突问题。通过利用BGP路由协议的RD、RT、LABLE属性来解决传播过程中引起的路由冲突,以及站点间的访问控制问题。具体的配置如表4所示。
表4 PE设备的BGP配置
上述PE1的配置应用到PE2后,当PE1通过BGP路由协议给PE2发送私网路由时,分别给不同企业的私网路由打上不同的RD、RT、LABLE标记,对方收到私网路由时,根据这些标记来区分不同企业的私网路由,进而转发给与之对应的分支机构。通过上述三个步骤的配置,实现了不同企业私网数据的交互。
上述规划与配置,已完成MPLS与BGP技术VPN网络的构建。采用该技术构建的网络是否连通,是否解决了路由冲突与访问控制的问题,下面对该仿真平台构建的网络进行性能测试与性能对比。
1)性能测试
该仿真平台的VPN的构建是建立动态的隧道,并解决不同企业采用相同的私有地址,引起的路由冲突,以及站点间互访控制问题。通过在PE1设备上运行dis ip routing-table vpn-instance vpn1与dis ip routingtable vpn-instance vpn2,得到的结果如图4所示。
图4 查看VPN1与VPN2路由表的结果
通过图4的访问结果,表明了企业总部与分支机构已学习到对方的私网路由信息,且不同VPN用户的私网路由信息导入了不同的IP路由表中,相互之间互不影响对方。不同VPN用户路由表相互隔离,说明即使它们采用了相同的地址信息,也不会引起路由冲突的问题。相同VPN用户是否能互访,通过在仿真平台实验的PE1上运行ping -vpn-instance vpn1 6.6.6.6与ping -vpn-instance vpn1 7.7.7.7,得到的结果如图5所示。
上述访问结果证明了通过该方案的配置,实现了企业总部与分支机构的互访,图4、图5的结果表明,不同企业的VPN站点是相互隔离的,即使采用了相同的私网信息,也不会引起路由冲突问题,同时,对于站点间的数据的访问控制与隔离通过该仿真平台,得以实现。
2)性能对比
上述的理论研究与实践给性能对比提供了依据,下面从扩展性、访问控制等方面来分析传统VPN技术与该VPN技术性能差别。
表5 两种VPN技术性能对比
通过上述对比分析,得出该技术在可管理性、访问控制、路由冲突等问题的上都要优于传统的VPN技术。正由于MPLS和BGP技术构建的VPN有上述这么多的优点,使该技术的应用也越来越广。
传统VPN技术构建的虚拟私有网络扩展性、灵活性差,对于站点的路由冲突、访问控制难于实现。本文针对上述问题,分析了产生这些问题的根源。针对上述问题,提出采用MPLS来建立动态隧道,使用BGP来解决访问控制、路由冲突等问题。通过仿真平台应用该设计思想,实践证明,MPLS与BGP技术的融合在扩展性、灵活性、访问控制等方面要优于传统的VPN技术,为企业构建虚拟私有网络提供了一套解决方案。
[1] 刘化君. 基于IPSec的VPN技术应用与实现[J]. 电脑开发与应用, 2010, 23(3): 65-67.
{2] 杨彦彬, 冯久超. 基于VPN技术的组网方案探讨[J]. 计算机科学, 2008, 35(9): 110-112.
[3] 侯剑锋, 马明凯, 李向红. MPLS VPN中动态服务质量机制的应用[J]. 计算机工程, 2010, 36(3): 106-108.
[4] 侯剑锋, 马明. MPLS VPN中PE-CE互连仿真研究[J]. 计算机工程, 2010, 36(12): 123-125.
[5] 卢众宁, 苏厚勤. MPLS-VPN在企业ERP实施过程中的应用研究[J]. 计算机应用与软件, 2012(29):90-93.
VPN construction and application research based on MPLS and BGP
ZHONG Can-xiong
(Hunan Post and Telecommunication College, Changsha, Hunan, China 410015)
There are data isolation and difficulty in realizing exchange visit control in terms of virtual private network of GRE,IPSEC construction .This paper analyzes the origins of these problems, puts forward the design of the MPLS and BGP technology to construct virtual private network, and applies the technology through the simulation platform. It proves that using this method is superior to the traditional VPN technology in solving routing conflict, data isolation, inter-site access control and other aspects.
routing conflict; MPLS and BGP technology; data isolation
10.3969/j.issn.2095-7661.2014.02.014】
TP393.1
A
2095-7661(2014)02-0058-06
2014-04-10
钟灿雄(1975-),女,湖南浏阳人,湖南邮电职业技术学院学籍管理员,硕士,研究方向:计算机科学与应用。