浅谈BGP/MPLS VPN技术的实现

程永青

（南京广播电视大学，江苏 南京 210002）

浅谈BGP/MPLS VPN技术的实现

程永青

（南京广播电视大学，江苏 南京 210002）

伴随着信息化浪潮在全球的兴起，世界上有越来越多的企业开始在互联网上销售产品和服务。这样做不仅为企业节约了成本，也创造了价值，甚至有企业利用互联网将远在异地的分支机构与自己的总部互连起来，实现了利益最大化。早期应用于这方面的技术主要是虚拟专用网但最终由于其部署和维护成本过高而导致一般企业难以承受，于是人们开发出了MPLS VPN技术，该技术使得企业部署和维护VPN的成本大大降低，因此受到越来越多的中小企业青睐。文章探讨了BGP和MPLS VPN的相关技术，对中小企业具有一定的参考意义。

BGP；VPN；MPLS VPN

1　VPN产生的技术背景

随着时代的进步和企业规模的扩大，企业网自身也在不断壮大，过去那种几台设备加几种简单技术就可以满足的企业网络放在当今已完全不适应现代企业的需求，与今天由上万台设备所组建的企业网相比，过去十几年间的变化令人印象深刻。虚拟专用网（Virtual Private Network，VPN）技术产生的背后有着深层次的原因和社会需求，它的出现解决了以更低成本以及更加私密的方式在Internet上传输数据的问题，从而实现企业内部各机构的安全互连。VPN它是一种构建在公共网络平台之上的虚拟专网技术，与公共网络在逻辑上是相互隔离，此处的公共网络平台主要是指Internet，企业可以利用该技术在复杂多变的Internet环境中安全地、私密地传递内部数据，即使数据被截获，也可以得到有效的保护，因为所有数据在传输之前都已经进行了加密处理，因此很多中小企业客户和电信运营商都会采用该项技术来构建自己的网络。

VPN技术的优势在于：部署成本低；安全性高；服务质量优；业务易于扩展和延伸；完全可以得到控制。

2　MPLS技术简介

随着互联网疆域的不断扩大，传统的路由设备因其IP转发性能低下，逐渐成了制约互联网发展的瓶颈，其主要原因是：第一，路由器采用的IP转发效率不高，IP数据包的转发依靠最长掩码匹配原则，路由器会遍历整张路由表来寻找最精确的转发路径，这样会花费大量的计算时间和系统资源，而且在更多情况下还需要进行递归查找；第二，早期的路由交换引擎多半采用软件来实现，加上配置的都是较低性能的CPU，因此IP数据包的转发效率远比采用硬件转发的ATM交换机差很多。

由于上述原因，人们迫切需要一种技术，它既可以克服IP转发的低效性，又可以做到不像ATM技术那样实现起来很复杂，于是多协议标签交换（Multi-Protocol Label Switching，MPLS）技术产生了，它被誉为是IP技术和ATM技术的完美组合。但是，MPLS技术并没有完全流行开来，原因是路由器的硬件性能得到了很大提高，IP数据包的转发效率大大提高，此时MPLS技术的优势就无法体现出来了，反而更多的是被应用在VPN领域中。

MPLS技术的优势在于：第一，路由器根据标签来转发IP数据包，而不再是原来的IP地址；第二，MPLS支持多标签嵌套，因此广泛地应用在虚拟专用网VPN、流量工程TE和服务质量QoS等领域中；第三，良好的扩展性，可以为运营商何企业带来更多的增值业务。

MPLS中有一个重要概念，即标签交换，如图1所示。首先介绍一下标签的概念，MPLS标签是一个短而定长的且只具本地意义的标识符，用于唯一地确定一个IP数据包所属的转发等价类。标签和转发等价类具有一一对应的关系。图中RA想要访问RF，RA是企业总部的路由器，RF是企业分部的路由器，数据需要穿越运营商组建公共网络平台（即RB，RC，RD和RE组成的网络），此时RA将数据首先封装在IP数据包里通过接口E0/0发往RB，目的IP地址是50.1.56.6，RTB收到之后查询快速转发表FIB，发现去往50.1.56.0/24的IP数据包需要压上标签200，下一跳指向RC，于是IP数据包在RB从接口E1/0发往下一跳时就变成了一个MPLS标签包，当该标签包到达RC时，RC此刻查询的不再是FIB表，而是标签转发信息表LFIB，将标签200交换成出标签300，再传递给RD，RD同样只查询LFIB表，这时RD发现出标签变成了Pop tag，即弹出标签，于是MPLS标签包在RD从接口E3/0发往下一跳时就又变回了IP数据包，当RE收到IP数据包之后，只需要检查一次表就可以实现数据的后续转发了，不需要先查LFIB表，再查FIB表了，因为50.1.56.0/24是RE的直连路由，最后RE把IP数据包交付给了RF，从而实现了数据的单向传递，反之亦然。

图1　MPLS标签的交换过程

3　BGP协议概述

在互联网发展早期，由于网络规模和路由数量有限，路由器只需要运行静态或者简单的动态路由协议就可以满足绝大多数的组网需求，如静态路由、RIP，ISIS或OSPF协议。但随着互联网规模的扩大，路由条目越来越多，臃肿的路由表拖累了路由查找的速度，路由器计算去往目的地的开销越来越大，原有的路由协议设计方法已经不能适应需求，因此需要设计一种新的路由协议来适应这种变化，于是边界网关协议（Border Gateway Protocol，BGP）协议产生了。它把网络划分成一个一个独立的单元，这些单元称之为自治系统（Autonomous System，AS），又称路由域。

设计者希望AS内部的域内路由通过传统的IGP路由协议来学习，而AS之间的域间路由则通过EGP路由来进行交换和传递。IGP是指内部网关路由协议，如RIP，ISIS，OSPF或者ERGIP等等，而EGP眼下指的就是BGP。BGP经历了3个版本，最新版本是BGPv4。它被定义在RFC 1771中，并在RFC 4271中得到了更新，是现行网络的实施标准，广泛应用于企业的核心网和骨干电信网中。由于BGP是一种路径矢量路由协议，因此它具有丰富的路径属性和良好的路由控制能力。

BGP协议的特点有：第一，典型的EGP协议；第二，路径矢量型路由协议；第三，使用TCP作为传输层协议，端口号为179；第四，支持VLSM和CIDR；第五，支持增量更新和触发更新；第六，具有丰富的路径属性；第七，支持MD5认证；第八，易于业务扩展。

BGP协议的选路原则如下所示。

（1）下一跳不可达的路由以及无效路由不参与选路；（2）优先选择Weight值最高的路径，该属性是Cisco专有属性。（3）如果Weight值相同，则优先选取本地优先级LOCAL_PREF最高的路由，默认为100。（4）如果LOCAL_ PREF值相同，则优先选取源自本路由器上的BGP路由。（5）如果都源自本地BGP路由，则优选AS_PATH路径最短的路由。（6）如果AS_PATH值相同，则优选拥有最低ORIGIN属性的路由。（7）如果ORIGIN值相同，则优选MED值最小的路由，默认MED值为0。（8）如果MED值相同，则优选下一跳为EBGP对等体而非IBGP对等体的路由。（9）如果BGP对等体类型相同，则优选距离IGP邻居最近的路由。（10）如果下一跳都为EBGP对等体，则优选最早学习到的路由，即学习时间最长的路由。（11）如果仍然相同，则优选具有最低Router-ID的BGP路由。（12）如果仍然相同，则优选BGP对等体IP地址最小的路由。

4　BGP/MPLS VPN技术的实现

随着BGP/MPLS VPN技术的流行，很多大型企业开始将各自的跨地域机构进行互联，由于地理位置的原因，不可能只通过一家运营商来为其提供服务，因此如何跨越自治系统来实现BGP/MPLS VPN技术就成了运营商们迫切需要解决的问题。目前有3种方案可以实现，分别是VRF-to-VRF方案、MP-EBGP方案以及多跳MP-EBGP方案，简称为Option A，Option B和Option C。

VRF-to-VRF方案实施起来较为简单，当VPN客户数量和VPN路由数量都比较少的时候可以考虑这种方案，目前在ISP运营商内部应用较多的也是这种方案。

从图2中可以看出，该方案的实施重点主要体现在ASBR的配置上，也就是图2中中间两台路由器上。具体表现在两方面：第一，如何支持多客户；第二，如何在ASBR之间跨域交互VPN路由。

针对问题一，可以把在ASBR之间使用子接口相连，也就是将ASBR之间划分多个逻辑子接口，每个子接口对应本地不同的VRF，一对VRF使用一对子接口，这样就很好地解决了问题一。

针对问题二，可以在两个ASBR之间运行动态路由协议，比如OSPF或BGP，如果使用OSPF，则需要在ASBR上将BGP路由重分布进OSPF进程中，对端ASBR在学到后同样要把OSPF路由重分布进BGP进程中。该方案的缺点是多个VRF的维护与配置上，当VPN客户数量和路由较多的时候，不建议使用该方案。

MP-EBGP方案比较适合中等规模的VPN跨域需求，在VPN客户较多的场合中，这种优势更为明显。但MP-EBGP方案的最大缺点是独立性差。当VPN客户数量和VPN路由数量逐渐增多时，ASBR-PE设备将变得无法胜任。于是人们设计出了第三种方案，即Multihop MP-EBGP between RRs方案。该方案的不同之处在于ASBR-PE设备不再作为VPNv4路由的中转点，传递VPNv4路由的工作直接交由路由反射器RR来完成，这样就减轻了ASBR-PE的压力。总之，3种方案各有利弊，企业可根据具体情况进行选择。

图2　VRF-to-VRF方案示意图

5　结语

本文主要探讨了BGP/MPLS VPN技术的一些基本概念和实施细节，使用该技术可以有效降低企业和运营商的技术成本，同时可以提高企业网络的运行效率。

[1]RUSS W，DON S, ALVARO R.路由设计的优化[M].夏俊杰，译.北京：人民邮电出版社，2012.

[2]王文娟，李绪凯.MPLS/BGP-VPN技术应用[J].计算机与网络，2015（1）：60-63.

[3]李世钊，康宗绪.一种基于BGP/MPLS的VPN设计与实现[J].通信技术，2015（10）：1152-1156.

Analysis on planning and implementation of BGP/MPLS VPN networking

Cheng Yongqing
（Nanjing Radio and Television University, Nanjing 210002, China）

Along with the wave of informatization all around the globe, an increasing number of enterprises worldwide have begun to market their products and services on the Internet, which not only saves costs but also creates value. Even there are enterprises that utilize the Internet to make an interconnection between the remote branches at other locations and their own headquarters, in order to realize profit maximization. Early technologies applied in this aspect mainly included virtual private network, though it finally went beyond the affordability of general enterprises because of its over-high costs on deployment and maintenance. As a result, people developed a kind of MPLS-based VPN technology, which has significantly lowered the enterprises'costs on deployment and maintenance of VPN and therefore enjoys an increasing favor by small- and medium-sized enterprises. This paper focused on studying BGP protocol and MPLS-based VPN technology, which was of certain reference value.

BGP; VPN; MPLS VPN

程永青（1977— ），男，江苏盐城。