校园网MPLS VPN系统的设计研究

董旭源 常 鹏 王宝亮 张文彬

(天津大学信息与网络中心 天津 300072)

校园网MPLSVPN系统的设计研究

董旭源 常 鹏 王宝亮 张文彬

(天津大学信息与网络中心 天津 300072)

校园网的建设是国家信息化建设的重要组成部分，各大院校相继将建设智慧校园作为一项重大任务。主要研究将MPLS VPN技术运用到校园网当中，不仅要实现数据的高速转发，还要兼顾其安全性和稳定性。主要介绍MPLS VPN的原理及关键技术。结合高校校园网建设的现状提出一组MPLS VPN实现校园网的组网模式，分析使用MPLS VPN实现校园网的部署情况，并且实验仿真校园网的组网环境。以两种典型的校园应用业务为例，分析网络的性能，验证了MPLS VPN技术的主要优势。

多协议标记交换 虚拟专用网络 校园网 网络仿真

0 引 言

随着信息时代的到来，电信技术和业务飞速发展，数据通信技术得以应用于大规模的商业活动。电信网络服务提供商、各个企业内部的IT部门以及教育网络，尤其是那些跨国、跨地域的分布式企业的IT部门和多校区的校园网都在考虑如何建立内部网，并且还要保证内部信息能够安全、及时有效地在内部传递，即要建立自己的VPN。虚拟专用网技术的不断发展，MPLS VPN与传统的VPN相比，具有可伸缩性更加强大、传输带效率更高、组网费用更低。校园网是教育信息化建设的重要组成部分，同时是开展教学、科研的重要渠道， 将MPLS VPN技术用于校园网的建设更有利于促进智慧校园的建设和发展[1-2]。

本文先通过研究MPLS及VPN技术，对其关键技术进行探讨，在此基础上，将这两种技术相结合，分析得出MPLS VPN的突出优势。在充分研究MPLS VPN可靠技术基础之上，理解数字化阶段建设构建智能校园网的需求，对建设新的校园网提供一种灵活性强、可扩展性好的方案，包括网络的拓扑结构设计、技术特性优势分析等。真正实现不同业务的安全性与隐私性隔离以及路由机制的高效灵活性，实现校园网设计适应当前及未来的信息化发展[3，7]。

1 MPLS VPN原理及关键技术

1.1 MPLS 技术背景

MPLS是多协议标记交换的简称，所谓多协议是指MPLS能够支持多种网络层协议，包括IPv4、IPv6、IPX等，并且能够支持多种链路层技术，如ATM、帧中继、以太网以及PPP等。

MPLS技术是在20世纪90年代中期开始出现的一种交换技术。随着Internet网络的快速发展，人们对骨干网的要求越来越高，而基于IP技术的路由逐跳查找和转发过程效率低下。并且网络的需求也越来越多，用户希望Internet网络上不仅能够提供邮件服务、Web服务等传统业务，还要能够提供视频、语音等需要大带宽实时性的业务。而像ATM这样曾被看好的能够提供多业务的交换技术由于与广泛部署和应用的IP技术不相容，使得Internet网络服务提供商不得不寻求新的技术，以便能够能很好地与IP技术融合，并且能够像ATM一样提供多业务服务。IETF所提出的MPLS技术吸收了ATM技术简单交换的思想和IP灵活的路由技术，使得网络技术取得极大突破。可以将MPLS技术看成二层交换技术与三层路由技术的集合模型，作为2.5层技术，它将三层选路和二层报文转发区分开，即一次选路多次转发，从而实现高速转发。传统IP网络是尽力而为的服务，而标签转发通过标签来构建了一条转发路径，从而具备了面向连接的特性，为管理网络和运营网络提供了方便可靠的手段。

虽然MPLS的初衷是为了提高路由转发效率而设计的，但它现在的应用早已不局限于此。MPLS技术广泛地应用在网络的流量工程和QOS当中，是管理IP网络流量、拥塞机制、提供网络服务质量的重要解决方案。MPLS VPN技术则在解决跨地区互联、多业务扩展等方面日益发挥重要作用，备受各大电信运营商的青睐。

1.2 VPN技术

虚拟专用网技术(VPN)诞生已久，它是指利用共享的基础设施网络来构筑私有网络。这里的虚拟一词是相对于传统的私有网络而言，在公共网络上(如帧中继、ATM、Internet网络)通过各种配置形成虚拟网络，用户获得的将是一个逻辑意义上的专网。它与租用专线组网的专网没有什么差别，都实现了网络的私有性，保证了非VPN用户不能访问VPN网络，内部信息不会泄漏到外部网络，但是VPN与基础设施网络之间是隔离的。这种技术解决了各种商业问题，如移动用户接入问题、公司内部之间通信问题、合作公司之间通信问题。现在VPN与各种新技术结合，越来越复杂，它的优点显而易见，提供了更高的可靠性、扩展性和安全性；降低了建立专用网络的成本，同时提高了对现网络资源的利用率；在应用和管理上灵活，增加或删除VPN节点不涉及硬件。

1.3 MPLS VPN的原理

MPLS技术的一个重要应用就是MPLS VPN。前面介绍了VPN与MPLS技术，这两者相互结合，形成的基于MPLS实现VPN有着巨大的优势，能较好地满足覆盖VPN模式的安全性和隔离性，简化对等VPN的路由选择。MPLS技术本身的特点使得基于IP网络的MPLS VPN能够无缝地融合ATM、帧中继等二层网络，兼容性与扩展好。并且MPLS中所建立的LSP是面向连接的转发方式，相当于传统VPN技术中的隧道，实现VPN技术优势明显[4-6]。

从网络层次上看，MPLS VPN可分为基于 MPLS 的第二层VPN和基于MPLS的第三层VPN[5]。IETF在2003年成立了L2VPN的工作组，专门研究VPLS(Virtual Private LAN Service)和VPWS(Virtual Private Wire Service)的技术和应用；2004年成立了L3 VPN的工作组，专门研究L3 VPN，而MPLS的L3 VPN技术则是他们研究的一个重要方向。第二层VPN和第三层 VPN 的区别在于CE路由器是否参与VPN的创建。并且二层VPN的数据使用的是二层帧头(MAC帧头)封装，三层VPN使用三层报头(IP报头)封装。目前三层MPLS VPN应用广泛，它与IP网络兼容性好，能够支持多种二层协议。

L3 MPLS VPN主要结合了BGP 的多协议扩展(MP-BGP)，通常称为MPLS/BGP VPN，是MPLS L3 VPN 的一种实施模式。它利用IP网络，通过MPLS技术提前构建LSP隧道，类似于虚电路，并使用MP-BGP协议，可以实现跨越不同运营商网络的互联。

网络拓朴结构如图1所示，对于校园网的构建，可以以这种模式进行组网。

图1 MPLS VPN典型组网图

BGP/MPLS VPN当前的框架结构中主要的网络设备有骨干网核心路由器P(Provider)、骨干网边缘路由器PE(Provider Edge Router)、用户网络路由器CE(Customer Edge)。其典型组网如图1所示。P路由器相当于MPLS中的LSR，作为骨干网核心路由器，不负责VPN的路由，仅需要实现MPLS转发功能，一般依据VPN数据包的栈顶标签；PE路由器相当于LER，作为网络的边界设备，一般负责VPN路由和骨干网内部路由的交换，VPN路由存储在VRF路由表中，内部骨干网路由存储在全局路由表中；CE是客户端路由器，不需要负责VPN的功能，仅需要维护自己的路由条目，具有三层路由功能。

这三个路由器中，实施VPN业务的只有PE，是MPLS VPN的重要设备，性能要求比较高。这里的BGP/MPLS VPN是平面结构，各个PE没有层级关系，不论分布在网络的哪里，所具备的性能都是一样的。

在MPLS网络中能实现VPN功能主要通过以下来实现：

1) VPN Site：MPLS VPN的体系构架支持站点(site)这一概念。VPN包含了一个或多个站点，因此可以这样来理解，VPN本质上是一组站点的集合，这些站点共同享有路由信息，组成一个互联的网络。但是对与外部来说，即不是VPN的站点，则是一个隔离的网络，在某些复杂的网络结构当中，一个站点可能属于多个VPN。通过站点这一概念，有助于在实际的工程当中实现多种复杂的连通性需求。我们通常所理解的总部与分部等就是site的具体体现。在MPLS组网中，一般将CE看作是一个站点，CE中存在的多个接口可看作多个VPN。

2) VRF：MPLS VPN网络中所有PE路由器都包含若干与VPN相关的路由表和，其一张全局转发表。全局转发表是用来在骨干网络中进行报文的转发，提供了P、PE路由器之间的路由信息。与VPN相关的路由表是VPN路由转发实例，称为VRF，一个PE上会有多个VRF，它们之间相互隔离独立。

3) 路由区分符(RD)：RD属性方便了VPN用户使用自己的私有网络地址。在对等VPN模型中，用户自己规划管理VPN的地址，必然会使用私有网络地址，当运营商所连接的VPN路由器上出现了相同的地址值时将会引发地址空间重叠问题，解决这个问题并不容易，这也通常是部署VPN遇到的主要问题之一。RD属性完美的解决了这一困境，它通过在的IPv4地址前附加一个8字节的RD字段构成VPNv4地址，用于在PE之间传递VPN路由。这个VPNv4地址在每个VRF表中具有唯一性，一般同一VPN使用相等的RD值，不相同的VPN使用不等的RD值。为了支持RD属性，需要使用MP-BGP协议，它能识别并处理VPNv4地址。在路由更新报文中将携带 RD值，但RD无法进行路由选择，不决定如何发送或接受路由，只是分离不同的VRF，本地有效。

4) 路由目标(RT)：为了实现VRF的隔离，还需要添加VRF的输入和输出策略，用来决定将哪些路由放入VRF中，以及能够将哪些路由向外通告。RT就是用来控制VRF路由的收发和过滤，它使用了BGP的扩展community属性，在一个VRF中，发布路由时使用RT的export规则，在接收端PE上，则根据RT的import规则进行检查，match就在该VRF中添加路由。

1.4 BGP路由协议

随着科技的高速发展，网络也不断日益扩大，网络设备数量增多，网络拓扑更加复杂，路由条目不断增加，IGP不能满足目前的网络需求。这就促使我们对当前网络进行划分，划分出来的区域就成为autonomous system(AS)，IGP协议负责同一个AS内部路由的交互，而要实现全网通，即不同AS域的通信，则由EGP协议实现。但是由于EGP的使用有很多局限性，不能很好解决AS互联，由此BGP应运而生。

BGP在一定的程度上与RIP有某些相似处，都是以跳数为度量值的路由协议，不同的是BGP的一跳划分粒度大。BGP的发展经历了不同的阶段，随着AS域间的通信要求越来越高，促使BGP协议不断发展，逐步成为Internet体系结构的基础协议。从1989年的最早版本BGP1开始，到1990年的BGP2、1993年的BGP3，发展到了1995年开始开发的新版本BGP4(RFC1771)，以及1998年发布的BGP4的多协议扩展(RFC2283)。

在MPLS VPN组网当中，BGP路由技术发挥了至关重要的作用。在将网络划分为不同的AS(即自制系统)域时，BGP路由协议通过对不同自治系统的路由传播控制和策略路由，能很好地实现网络管理的目的。但是BGP协议不只是作为AS域的路由协议，也可以用于AS内部，是一个具有两种作用的协议。该协议本身具有很强的扩展性，与MPLS技术结合能够支持不同的协议族，如IPV4和IPV6。当网络中需要增加新的MPLS节点时，BGP协议能够根据其同步原则对网络拓扑的变化做出快速反应，控制路由，清除环路；网络线路出现故障时，多条BGP路由能够相互备份，保持连通，提高了网络的可靠性[8]。

2 基于MPLS VPN技术的校园网模型仿真

2.1 校园网模型建立

现阶段各大高校纷纷加快建设一个高性能、安全可靠的校园网络，实现智慧校园。校园网的建设源于上世纪80年代，在教育科研网CERNET的推动下，至今全国校园网的建设已经具有一定规模了。在信息化时代的大背景下，通过校园网能够将校园内的各种资源进行整合，方便地进行信息服务、资源共享、网络教学、远程接入和网上办公；同时实现与外部网络、教育网络的无障碍连通，提供宽带接入，实现上网服务以及信息共享。

校园网按区域划分可以分为：办公教学区、学生宿舍区、校园网网络信息中心区和分校区这四大区域，基于MPLS VPN的网络拓扑可设计如图2所示。综合考虑各种业务系统的需求，为每种业务灵活建立虚拟的独立网络，实现各VPN互联，不同VPN之间路由隔离，实现高性能的互联网络。这种网络结构不设置P路由器，核心层通过PE路由器进行全网状互联，保证可靠性，CE路由器作为接入各个VPN的服务器，保证安全性。

图2 MPLS VPN实现校园网拓扑图

2.2 仿 真

2.2.1 实验相关参数说明

根据前面对校园网构建的介绍以及理论的详细说明，我们使用网络仿真工具GNS3和抓包工具wireshark来搭建网络拓扑，进行网络环境的模拟，以真实地反映实际效果。使用的GNS3的版本为0.8.6，实验过程中挂载了两种CISCO路由器的IOS镜像，分别是C7200和C3640， Wireshark的版本为1.12.1，这款工具可以针对GNS3中的路由器线路上的流量进行抓包分析。

在此实验中共使用了8台思科的路由器来模拟仿真校园网络中的两个业务：教务在线和校园办公。其中4台路由器为C3640系列的路由器，作为MPLS VPN网络中的PE和P路由器；其余4台作为CE路由器，连接具体得用户VPN网络。

网络地址的选取上做了如下规划：互联网络上的IP地址，即MPLS域内的地址选用10.0.0.0/8的A类私有网段地址，这样编址连续简洁，提高网络地址的使用率，在使用路由汇总等技术时有利于进一步简化路由表条目，降低了设备运行的成本。同时实验过程中操作也比较方便，接口对接不易出错，拓扑结构清晰明了。

网络业务的划分则分别由四个CE路由器引入，主校区中的CE1负责教务在线业务流量，CE2负责校内办公的业务流量；其他校区中的CE3负责教务在线业务流量，CE4负责校内办公业务流量。这两个业务的流量通过汇聚层的核心交换机同时也是MPLS中的PE路由器接入核心层进行交互，这两个业务的工作网络均在192.168.0.0/24网段上，但是不同业务之间是没有交叉的，他们属于不同的VPN业务。

网络路由协议的选择：MPLS骨干网路由器协议选择ospf协议，具有较快的收敛速度和较好的扩展性；PE与CE之间采用MP-BGP协议与RIP协议，PE-PE之间采用MP-BGP协议。

2.2.2 实验操作

根据网络模型搭建拓扑如图3所示。

图3 搭建仿真拓扑图

各路由器接口地址信息如下：

R1 f1/0 198.162.1.1/24-----------R2 f1/0 192.168.1.2/24

R2 s0/0 10.1.10.1/24-----------R3 s0/1 10.1.10.2

R3 s0/0 10.1.20.1/24-----------R4 s0/0 10.1.20.2

R4 s0/0 10.1.30.1/24-----------R5 s0/1 10.1.30.2

R5 f1/0 192.168.4.1/24-----------R6 f1/0 192.168.4.2

R8 f1/0 192.168.5.1/24-----------R2 f1/0 192.168.5.2

R7 f1/0 192.168.7.1/24-----------R5 f1/0 192.168.7.2

R1 lo0 1.1.1.1 R2 lo0 10.1.1.2 R3 lo0 10.1.1.3

R4 lo0 10.1.1.4

R5 lo0 10.1.1.5 R6 lo0 2.2.2.2 R7 lo0 3.3.3.3

R8 lo0 4.4.4.4

当全网没有开启MPLS时，仅使用BGP和OSPF路由协议互联时，R1是教务在线的路由表，应只包含与R6相关路由，但是该路由表中还包含与R7和R8的互访路由信息，没有对路由进行隔离。观察R7也会发现同样的问题。

使用ping的扩展命令来查看网络的性能，如图4所示。

图4 R1到R6的丢包与延时情况

从图中看出，100条ICMP包有丢失的情况，从源地址192.168.1.1发包到目的地址192.168.4.2的最低延时为116 ms，平均延时为157 ms，最高延时为212 ms。

现在使用MPLS技术实现互联，首先在MPLS骨干网中配置OSPF并查看MPLS骨干网路由表，确认IGP工作正常。在任一MPLS域内路由器查看路由，如R2，确认IGP可达。在R2、R3、R4、R5上开启MPLS，如图5所示，查看MPLS标签分发是否正常。

图5 R2标签分发信息

使用ping的扩展命令来测试网络的延时和丢包情况，如图6所示，从图上可以看出丢包率变小了，并且网络的延时与之前相比大大减小。

图6 ping扩展命令测试

3 实验结果分析

通过实验仿真的对比结果可以看出，MPLS VPN技术实现了路由的隔离，不用像传统的VPN技术配置复杂的隧道和加密技术，用户使用和维护比较便捷，网络配置比较清晰；使用了MP-BGP协议，支持多种路由协议和CIDR，能够支撑网络大量的路由条目，并可以简化路由表，节省硬件的存储空间；由于MPLS是一种基础网路技术，不需要对当前已有的网络拓扑作改变，节省了网络升级的成本；网络的传输速率得到了很大的提高，有效减少了网络节点的延迟和丢包率，比使用纯IP网络的性能好；扩展性强，增加VPN节点时只需接入CE路由器，配置CE与PE的互联就可以实现VPN服务，而对骨干网络不做任何修改，与传统的对等模型和重叠模型相比，减少了硬件的关联。由此可见，使用MPLS VPN技术能够实现低成本高性价比校园网。

4 结 语

本论文通过研究MPLS技术和VPN技术的原理和关键技术路线，引出了MPLS VPN技术，论述了MPLS VPN的技术原理，分析了与以往的技术相比，MPLS VPN的优势。将MPLS VPN技术与校园网建设的需求相结合，提出了用MPLS VPN技术实现校园网的组网方案，采用实验仿真的手段，模拟真实环境的网络架构，比较了使用传统路由技术与使用MPLS VPN技术的网络性能差异，突出了基于MPLS VPN建设校园网具有安全性好、扩展性强的优点。

[1] Halimi A, Statovci-Halimi B. Overview on MPLS Virtual Private Networks[J]. Photonic Network Communications, 2002, 4(2):115-131.

[2] Lan J, Lin B Y. Research for service deployment based on MPLS L3 VPN technology[C]//International Conference on Mechatronic Science, Electric Engineering and Computer. IEEE, 2011:1484-1488.

[3] 吴文皓. 校园网环境下的MPLS技术研究与仿真[D]. 哈尔滨：哈尔滨理工大学，2013.

[4] Hou J F, Ming-Kai M A, Xiang-Hong L I. Application of Dynamic QoS Mechanism in MPLS VPN[J]. Computer Engineering, 2010, 36(3):106-108.

[5] Parra O J S, Rubio G L, Castellanos L. MPLS/VPN/BGP Networks evaluation techniques[C]//Engineering Applications. IEEE, 2012:1-6.

[6] 陈雪非, 黄河, 李蓬. MPLS VPN关键技术研究[J]. 计算机工程与设计, 2007, 28(13):3138-3140,3150.

[7] 刘俊斌, 王勇. 基于MPLS VPN技术多校区校园网应用研究[J]. 价值工程, 2014(3):188-190.

[8] 韩海雯, 张潇元. 基于BGP协议的MPLS VPN构建机制分析[J]. 计算机工程与设计, 2008, 29(5):1104-1107.

DESIGNANDRESEARCHOFCAMPUSNETWORKSYSTEMBASEDONMPLSVPN

Dong Xuyuan Chang Peng Wang Baoliang Zhang Wenbin

(InformationandNetworkCenter,TianjinUniversity,Tianjin300072,China)

The construction of the campus network is an important part of the national information construction. Universities take the construction of smart campus as a major task successively. The main research is to use MPLS VPN technology in campus network, not only achieve high-speed data transmission, but also take into account the safety and stability. This paper mainly introduces the principle and key technology of MPLS VPN. Combined with the present situation of campus network construction, a set of MPLS VPN campus network model is put forward. The deployment of campus network is analyzed by using MPLS VPN, and the network environment of the campus network is simulated. Combined with the status of university campus network construction, we proposed a set of MPLS VPN networking mode of campus network, analyze the situation of using MPLS VPN to achieve the deployment of campus network, and simulated the network environment of the campus network by experiment. Taking two typical campus applications as an example, the performance of the network is analyzed, and the main advantages of MPLS VPN technology are verified.

MPLS VPN Campus network Network simulation

TP393

A

10.3969/j.issn.1000-386x.2017.10.036

2016-12-22。董旭源，副研究员，主研领域：信息系统，数据库，软件开发。常鹏，助理研究员。王宝亮，高工。张文彬，助理研究员。