MPLS/BGP-VPN技术应用

王文娟李绪凯张天辉邢娜

（1军械工程学院河北石家庄 053000）

（2中国电子科技集团公司第五十四研究所河北石家庄 050081）

MPLS/BGP-VPN技术应用

王文娟1李绪凯2张天辉1邢娜1

（1军械工程学院河北石家庄 053000）

（2中国电子科技集团公司第五十四研究所河北石家庄 050081）

围绕现有网络中的虚拟私有网络（VPN）应用技术，首先介绍基于MPLS/BGP的VPN技术，包括MPLS/BGP VPN技术的原理和涉及的主要概念，MPLS VPN的网络结构以及MPLS/BGP VPN中的RD和RT等概念。通过详细描述路由发布和数据转发过程，深入分析MPLS/BGP VPN技术的通信原理，在理论基础上，使用阿尔卡特的成熟网络设备进行实例配置，给出具体的配置思路和步骤，使MPLS/BGP VPN技术的原理和实际应用进行了有效地结合，为其他网络设备配置提供参考。

VPN技术 MPLS网络 BGP

1 引言

随着计算机网络的发展，专网已经越来越被人们所接受，而虚拟私有网络技术则是其中的典型应用。虚拟私有网络是指利用公共网络来构建的私人专用网络，用于构建VPN的公共网络包括Internet、帧中继和ATM等，而在VPN中应用较为广泛的是基于三层的MPLS/BGP VPN技术。

2 MPLS VPN网络结构

MPLS（multiprotocol label switching）最初是为提高路由器转发速度而提出的一个协议，它融合了IP路由技术灵活性和ATM交换技术简洁性。MPLS[1]协议的关键是引入了标签（Label）的概念，是一种短的、易于处理的和不包含拓扑的信息，只具有局部意义的信息。

MPLS报文转发是基于标签的，IP包在进入MPLS网络时，MPLS入口的边缘路由器分析IP包的内容，并且为这些IP包选择合适的标签，网络中所有MPLS节点都将这个标签作为数据转发判决的依据。当该IP包最终离开MPLS网络时，标签被出口的边缘路由器去掉。MPLS VPN可以理解为在MPLS网络中的VPN，MPLS从根本上说是一种隧道技术，它就是VPN的专用通道。

MPLS VPN网络，是由运营商的骨干网与用户（Site）组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。MPLS VPN模型中有3种类型的路由器:①CE路由器:用户Site中直接与服务提供商相连的客户端路由器；于PE路由器:骨干网中的边缘路由器，它直接与用户的CE相连；③P路由器:骨干网中不与CE直接相连，只维护到PE路由器的路由信息。

图1 MPLS VPN网络结构

CE路由器是客户端路由器，它不知道VPN的存在，也不需要支持MPLS技术，只需要运行标准路由协议即可。所有VPN的构建、连接和管理工作都是在PE上进行的，它也是MPLS网络的关键。P路由器支持MPLS技术，负责骨干网内部的数据传输，并不知道有VPN的存在。在MPLS VPN中，又分为Layer3 MPLS VPN和Layer2 MPLS VPN。当PE路由器[2]不参与客户路由时为Layer2 MPLS VPN，当PE路由器参与客户路由时，为Layer3 MPLS VPN。在Layer3 MPLS VPN中，经常使用BGP在PE路由器之间分发VPN路由信息，使用MPLS技术在VPN站点之间传送数据，因而又将Layer3 MPLS VPN称为MPLS/BGP VPN。

3 BGP/MPLS VPN中的几个概念

3.1 VRF

VPN路由转发实例（VPN Routing&Forwarding Instance，VRF）只存在于PE上，用于不同VPN之间的路由隔离，针对每一个site，PE都会创建一个与之对应的VRF。每一个VRF维护独立的地址空间，在VRF中包含了到达所有与本site属于同一个VPN的site路由信息。这样，在PE上来自CE的报文就可以根据相应的VRF来进行转发。

CE-PE通过标准路由协议[3]交互路由信息，如图2所示，每个CE只有标准的路由协议形成的路由表，也称为公网路由表。PE之间通过IGP来保证内部的连通性，通过MP-IBGP来传播VPN组成信息和路由，在PE上不及存在公网路由表，还有对应于每个VRF的路由表，以及转发数据的MPLS转发表。

图2 VPN路由转发实例

3.2 RD和RT

在每一个VRF中，还包含了2个重要的属性，RD和RT [4]。在实际应用中，由于VPN用户的地址都是自行制定的，导致不同的VPN用户使用相同的地址，RD（Route Distinguisher）的引入解决了此类问题。RD是一个8 Bytes的标识，RD加上4 Bytes的IP地址，形成了一个12 Bytes新的地址族—VPN-v4。PE从CE接受Ipv4路由后，通过人工配置本地RD，保证了VPN-v4的唯一性，保证VPN用户的地址空间不会出现冲突，相同的VPN配置的RD要相同。

而此时标准的路由协议已经不适于传输VPN-v4地址了，MP-BGP的扩展团体属性解决了这一问题，因此在PE之间使用MP-BGP传输VPN路由，而RT(Route Target)也是MP-BGP携带的一种重要团体属性。

其中为对数似然函数的最大值，L(0)为模型参数β=0时的对数似然函数。当p2大于0.4时可认为模型拟合得较好。

PE路由器存在2个Route Target属性:Export RT和Import RT。RT的作用是为了保证每个PE路由器只接收需求的VPN路由，丢弃非法的路由信息，PE路由器通过RT控制了VPN路由的发布。在发布VPN路由时，每个PE都会为这些路由信息标记Export RT，当PE接受VPN路由时，会将该VPN的路由标记Export RT与本地已存储的Import RT集进行比较，如果与任何一个Import RT相匹配则接收，不匹配则丢弃。

4 MPLS/BGP VPN路由和数据发布

在MPLS/BGP VPN网络中，路由信息的发布可以分为3个部分，本地CE到入口PE、入口PE到出口PE和出口PE到出口CE。

本地CE和入口PE之间通过标准的路由协议建立连接，比如OSPF、RIP或静态路由等，此时PE收到的是标准的IPv4路由信息。入口PE学到CE发布的VPN路由后，会为每一个VPN路由创建一个VRF，相同的VPN路由使用同一个VRF,为了能够正确在PE之间发布VPN路由，PE路由器还需要人工配置RD和RT，将IPv4路由变为VPN-v4路由，在实际配置中[5]，通常同一个VPN内的site配置的RD和RT都是相同的，方便配置和记忆，并为该VPN路由分配一个VPN标签，该标签用于标示VPN路由，与配置的RT信息是相关联的；入口PE通过MP-IBGP协议将路由信息发布到出口PE，在实际配置中，通常配置路由反射器来保证PE之间的路由发布，当出口PE收到的VPN路由时，会进行匹配判定，然后决定是否接受该路由。注意:中间的网络必须保证其连通性，同时P路由器也不参与VPN路由的传输，只参与MPLS中的数据传输；出口PE到出口CE运行的也是标准路由协议。出口PE收到VPN路由后，通过RT确定VRF，将该路由存入VPN-IPv4路由表。在进行路由选择之后，将最优路由中的VPN-IPv4地址转化成IPv4地址，即去掉地址中的RD，导入到相应的VRF表中。

VPN数据报文的传输也可以分为本地CE到入口PE，入口PE到出口PE，出口PE到出口CE三个部分。MPLS/BGP VPN中的数据报文采用的是两层标签结构[6]，内标签为VPN标签，用于标示VPN路由，是由MP-IBGP产生的，外标签为MPLS标签，用于VPN报文传输，是由MPLS中的LDP产生的。

当入口PE收到本地CE的VPN数据报文后，会通过查找VRF表，得到VPN标签，PE路由器通过MPLS转发表再为该报文打上MPLS标签，形成2层标签的VPN报文；入口PE会根据MPLS标签逐跳转发VPN报文，通过对应的出接口将VPN报文送到对应LSP中第一个P路由器，直至最后一个P路由器弹出MPLS标签，将只含有VPN标签的分组转发给出口PE；出口PE收到VPN报文后，通过查找VRF表得到对应的输出接口，弹出VPN标签，将该报文送到正确的CE上。

注意:当入口PE和出口PE相同时，PE不会对VPN报文进行处理，直接发给互联的CE；当没有CE设备时，PE设备会直接对VPN报文进行处理。

5 MPLS/BGP VPN配置实例

在进行MPLS/BGP VPN实例配置时，涉及的协议和命令较多，需要熟悉相关的路由设备并加以反复练习，才能顺利完成配置，配置实例的关系连接图如图3所示，选用的设备是阿尔卡特的7750 SR-7系列路由设备，R1、R2、R3和R4为P路由器，R1和R2之间为P路由器的互联网络，各点的互连均采用OSPF协议:area 0域。此处选用的是VPN用户直接接入PE，也可在PE后接入CE对VPN用户进行扩展。

图3 MPLS/BGP VPN实例关系连接图

为了方便理解和配置，在进行配置时可以分为几个部分:

①基础配置:各路由设备的端口互连地址和OSPF协议配置；于MPLS配置:各P和PE设备的MPLS配置，包括LSP的建立，此处使用的是LDP协议；

③BGP配置:MP-IBGP的配置，各PE路由器的BGP协议配置，并配置路由反射器；④VPN配置:各PE点的VPN配置，包括RD和RT。

具体的配置过程如下:

①基础配置中，配置各设备的互连地址和OSPF路由协议，并进行OSPF邻居的查看和ping测试，保证网络的互通性，注意配置好telnet远程登录，便于调试，具体配置不再一一列出；

于以R1配置MPLS为例，此处仅给出MPLS的相关配置和说明，其他P和PE路由设备的配置类同，各点在骨干网互通的基础上建立LSP；

③以R1和R2配置BGP为例，此处将R1作为路由反射器，其他所有的BGP对等体仅和R1通信即可，节省了网络资源、简化了配置步骤，以下是R1的配置，它与R2建立成为BGP对等体；

④还可以继续配置其他对等体邻居，如R3和R4等，此处未给出配置，具体配置与增加R2为邻居配置相同。以下是R2的配置，R3和R4等的配置与R2类同。

⑸以PE1配置VPN为例，未接入CE，可以将VPN用户直接接入PE。

如果VPN用户不止一个时，可以修改以上配置中1/3/1为dot1p封装，变为1/3/1∶vlan-id，进而可以增加CE进行扩展。

6 结束语

在VPN技术的实际应用中，MPLS/BGP VPN技术是应用最为广泛的技术，本文就其原理进行了简单的阐述，针对某种特定设备给出了配置实例，列出其中的关键性配置，当然不同的网络设备如华为和思科等给出的配置也各自不同，但是其原理是相通的，为不同网络设备进行配置提供参考。

[1]朱斌,徐林.MPLS技术在VPN中的研究与应用[J].计算机与数字工程,2005,33(4):83-85.

[2]ROSEN.E,REKHTER Y.BGP/MPLS VPNs.RFC 2547[M]. USA:Cisco Systems,Inc,2002.

[3]陈军华,王忠民.BGP/MPLS VPN实现原理[J].计算机工程, 2006,32(23):124-126.

[4]朱凯辉,董德存.MPLS-VPN技术的探讨[J].电脑知识与技术,2005(24):16-19.

[5]董玲,黄杨,徐塞虹.BGP/MPLS VPN实现细节探讨[J].计算机工程与应用,2005,41(29):117-119.

[6]韩海雯,张潇元.基于BGP协议的MPLS VPN构建机制分析[J].计算机工程与设计,2008,29(5)1104-1107.

Application of MPLS/BGP-VPN Technology

WANG Wen-juan1ZHANG Tian-hui1LI Xu-kai2XING Na1
(1.PLA College of Ordnance Engineering,Shijiazhuang Hebei 050003,China)
（2 The 54th Research Institute of CETC,Shijiazhuang Hebei 050081,China)

Centering on the Virtual Private Network(VPN)application technology in existing network,this paper firstly introduces the VPN technology based on MPLS/BGP,including the principles and main concepts of MPLS/BGP VPN technology,the MPLS VPN network architecture and the concepts of RD and RT in MPLS/BGP VPN.Based on detailed description of routing distribution and data forwarding process,this paper deeply analyzes the communication principles of MPLS/BGP VPN technology.Finally,on the basis of theory,it uses the Alcatel’s mature network device to implement the instance configuration,and gives the specific configuration ideas and approaches to effectively combine the technical principle and actual application of MPLS/BGP VPN technology,and provides some references for other network device configuration.

VPN technology;MPLS network;BGP

]TP393

1008-1739（2015）01-60-4

定稿日期：2014-12-12