基于MPLS的VPN技术应用于企业网络出局线路备份的构想*

2019-06-10 07:01周岐华
通信技术 2019年5期
关键词:公网路由器路由

李 洁,陈 震,孙 蔚,周岐华

(西昌卫星发射中心,四川 西昌 615000)

0 引 言

企业信息综合网简称综合网,主要承担日常办公、业务处理和教学科研任务,承载各级机关、企业的业务信息和工作信息服务。目前,运行的业务系统可分为面向全企业服务的业务、面向企业外部服务的业务和企业纵向业务系统。

企业综合网采用星形拓扑结构,对外通过光缆155M链路就近接入成都综合网,同时采用网络密码机进行传输加密。对内,骨干网结构表述为:企业网络信息中心配置千兆三层中心交换机,实现线路的备份,各部站通过千兆光纤接入骨干节点。综合网拓扑结构,如图1所示,基本实现了千兆骨干和百兆桌面的网络建设框架。

图1 企业综合网拓扑

从企业本部到城A、城B通过带宽为155M的光缆专线传输企业业务网数据,另有2M的光缆专线为传输企业综合网数据而用。一旦155M的线路出现中断或者出现传输质量不佳的情况,企业业务网的数据可以通过带宽为几兆赫兹到十几兆赫兹的卫星通信线路,通过过滤选择关键数据进行传输,达到备份容灾容错的作用。然而,2M带宽的综合网却没有备份线路,如果出现线路故障,将直接影响企业的办公业务和信息发布等相关工作,影响企业的工作进展。如果到城A、城B的综合网线路也有备份,将大大增加传输线路的可靠性、稳定性和连续性,更好地为企业的业务工作保驾护航。然而,如果再架设一条相同的光缆专线,建设费用和维护费用将大大增加。因此,考虑保护投资,避免浪费,采用已有的设备和线路大加利用来达到目的。

1 使用基于MPLS的VPN的原因

VPN属于远程访问技术,利用公网架设专用网络。在传统的企业专网配置中,采用租用DDN专线或者帧中继等,必然导致昂贵的建设和维护费用。

基于MPLS的VPN(MPLS VPN)是指采用MPLS技术在公网上构建专用网络,实现跨区域、安全、高速、可靠的数据、语音、图像等多业务通信,并结合差别服务、流量工程等相关技术,将公网可靠的性能、良好的扩展性、丰富的功能与专网的安全、高效、灵活结合在一起。

目前,常见的VPN隧道协议有IP安全协议(IP Security,IPsec)、多协议标签交换(Multi-Protoeol Label Switching,MPLS)协议和通用路由封装(General Routing Encapsulation,GRE)。现阶段,基于IPsec的设备,各个厂家没有统一的标准,没有兼容性。因此,大规模部署IPsec VPN存在困难,且IPsec不支持QoS。GRE虽然运用成熟,但在安全性方面却比较脆弱。MPLS灵活性强、效率高,主要基于网络到网络,且部署简单,安全性好。因此,采用MPLS作为VPN的隧道协议可以很好地满足综合网备份线路的要求[1]。另外,采用MPLS的另一个原因是,MPLS可以很好地兼容IPv6,为综合网下一步升级到IPv6奠定了基础。

1.1 MPLS VPN原理

MPLS最初是用来提高路由器转发速度而提出的一种协议,在VPN、QoS等方面有广泛应用。MPLS(多协议标记交换)使用标签(Label)进行转发,可以看作一种面向连接的技术,其中Label短而定长。数据转发时,在网络入口对报文进行分类,根据分类结果选择相应的标签交换路径(Label Switching Path,LSP),并打上相应的标签。中间路由器在收到MPLS报文后,直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查找,可在LSP出口或倒数第二跳弹出MPLS标签,还原为IP包[2],如图2所示。

图2 MPLS报文格式

MPLS VPN技术是在路由设备和交换设备上应用的MPLS技术,简化了核心路由器的路由选择,利用标记交换方式,结合传统的路由技术,实现了虚拟专网[3]。MPLS属于第三层交换技术,引入标记,将转发和选路分开,有标签选择路径,如图3所示。其中,CE(Customer Edge)为用户网络边缘设备,PE(Provider Edge)为公网的边缘设备,P(Provider)为公网中的骨干设备。

图3 MPLS VPN网络

1.2 MPLS VPN的安全性

MPLS VPN由于采用了地址隔离、数据安全和VPN内路由等多种手段,提供了抗攻击和标记欺骗的手段,因此完全能够提供与ATM/FRVPN相类似的安全保证。地址隔离是指VPN的地址空间相对于公网的地址空间是不可见的;数据安全是指由于公网和VPN的地址隔离而使得两者不能互访;VPN内路由是指VPN内部异点之间的通信依靠VPN边缘设备进行。

实现VPN有多种方式,如LZTP(二层隧道协议)、GRE(通用安全协议)、MPLS以及IPSEC(IP安全协议)等。这里选择MPLS的原因是其高速和QoS支持[1]。

1.3 MPLS VPN的QoS问题

IP协议基于尽最大努力,难以保证QoS,可以利用ATM提供一定的质量保障,但在扩展性方面相当挚肘,因为ATM只支持单点对单点的连接。而MPLS既能提供服务质量保证,又能够提供良好的扩展性。MPLS技术在实现VPN所有网络能力的同时,能够提供强有力的QoS,是其他VPN技术如GRE、IPSec以及L2TP(二层隧道协议)等难以实现的。

实时多媒体业务是企业业务网和综合网的一项重要业务,要求通信网络具备端到端的、足够带宽的、低延时、低抖动、低丢包率的服务。MPLS QoS路由机制可以很好地满足这一需求。MPLS技术中标记交换路径LPS可以很好地和区分服务(Differnetiatde Services,DiffesrV)结合,在不影响区分服务对数据包打上不同标记进行分类来区分对待不同功能的情况下,不更改其QoS标记,实现QoS的透明传输。

2 综合网MPLS VPN的部署与验证

2.1 MPLS VPN的部署

对到城A、城B的综合网线路进行备份,有利于增加传输线路的可靠性、稳定性和连续性,更好地保障企业的业务工作。利用MPLS VPN无需架设一条费时、费力又昂贵的光缆专线。

MPLS VPN的建设目标为:充分利用现有设备,资源重组利用;为远端单位提供安全的、稳定的、高效的以及便于维护管理的接入服务。目前,广域网出局业务主要有到城A、城B两条线路。在原有网络结构中,城域网采用直连路由协议,星型结构,广域网采用2M带宽光路。在部署MPLS VPN时,在广域网出口和远端入口处部署PE设备,这样各个site的CE设备通过PE和总部相连,通过对PE设备的控制与配置,达到对业务影响程度最低的目的。MPLS VPN可以屏蔽网络拓扑结构,传统的树形结构、网状结构、单星型结构以及双星形结构都可以满足要求。进行部署时,只需要对原有网上设备进行升级,使之支持LDP,配合新增的PE设备,即可组成MPLS VPN的核心MPLS域。而CE设备则不需要任何改动,可以直接作为MPLS VPN的各专业网络业务汇聚设备[4]。部署拓扑图如图4所示。

路由器使用HUAWEI NE20E-X6设备。NE20E-X6 支持的BGP/MPLS IP VPN主要包括BGP/MPLS IP VPN的典型组网、可靠性和QoS等特性,并且支持VPN与Internet互联的功能。可在PE侧通过配置静态路由和策略路由实现VPN与Internet的互联。NE20E-X6使用MP-BGP实现在PE之间的VPN路由交换,PE和CE间的路由交换采用静态路由。

为了提高VPN网络的可靠性,通常采用如图4所示的组网方式。

(1)骨干层采用全连接且多级备份的MPLS网络。各设备一般使用高速接口互连。当PE设备较多时,采用BGP路由反射器组网,反射VPNv4路由,以减少MP-IBGP连接数目。

(2)汇聚层根据需要组成网状或环状网。

(3)接入层进行CE双归属。

在同一个site使用两台CE归属到同一台PE时,为了在其中一条PE与CE间的链路故障时快速将VPN流量切换到另一条PE与CE间的链路上,部署IP FRR特性。

为了向MPLS VPN提供QoS保证,采用VPN主隧道绑定则,将MPLS流量工程(Traffic Engineering,TE) 主隧道与VPN实例绑定。该VPN实例独占整条TE隧道的资源。

具体步骤如下:在企业本部,城A、城B部署CE路由器;CE路由器即城A、城B局域网的原出口路由器,直接与PE路由器相连;在企业本部,城A、城B部署PE路由器,PE也使用HUAWEI NE20E-X6设备。几个site分别从不同的PE路由器接入,与本地的CE相连,实现互联互通。由于拓扑图具有对称性,只需要讨论PE1即可。

(1)在MPLS骨干网上配置IGP协议,实现P和PE的互连互通。

(2)在MPLS骨干网上建立LDP LSP

#配置PE1。

[PE1] mpls lsr-id 1.1.1.9#1.1.1.9为lsr的loopback接口

[PE1] mpls

[PE1-mpls] quit

[PE1] mpls ldp

[PE1-mpls-ldp] quit

[PE1] interface pos 3/0/0

[PE1-Pos3/0/0] mpls

[PE1-Pos3/0/0] mpls ldp

[PE1-Pos3/0/0] quit

#配置P。

[P] mpls lsr-id 2.2.2.9

[P] mpls

[P-Pos2/0/0] mpls

[P-Pos2/0/0] mpls ldp

[P-Pos2/0/0] quit

上述配置完成后,PE1与P、P与PE2之间应能建立LDP会话。

(3)在PE之间建立MP-IBGP对等体关系

#配置PE1。

[PE1] bgp 100#进入BGP试图

[PE1-bgp] peer 3.3.3.9 as-number 100#配置IPv4对等体1.1.1.1的AS号100

[PE1-bgp] peer 3.3.3.9 connect-interface loopback 1

图4 企业MPLS VPN部署拓扑

[PE1-bgp] ipv4-family vpnv4

[PE1-bgp-af-vpnv4] peer 3.3.3.9 enable#使能与指定对等体(这里就是PE)之间交换相关的路由信息

[PE1-bgp- af-vpnv4] auto-frr#PE之间的主链路发生故障时,VPN流量走系统自动选择的下一 跳PE

[PE1-bgp-af-vpnv4] quit

[PE1-bgp] quit

配置完成后,在PE设备上执行display bgp peer或display bgp vpnv4 all peer命令,如图5所示。

图5 查看bgp vpn邻居

(4)在PE设备上配置VPN实例,将CE接入PE

#配置PE1。

[PE1] ip vpn-instance vpna#命名VPN为vpna

[PE1-vpn-instance-vpna] ipv4-family#使能VPN实例IPv4地址族,并进入VPN实例IPv4地址族 视图

[PE1-vpn-instance-vpna-af-ipv4]

[PE1-vpn-instance-vpna-af-ipv4]vpn-target 111:1 both#通过VPN Target可以控制VPN站点之间的路由发布。

[PE1-vpn-instance-vpna-af-ipv4] quit

[PE1-vpn-instance-vpna] quit

[PE1] ip vpn-instance vpnb

[PE1-vpn-instance-vpnb] ipv4-family

[PE1-vpn-instance-vpnb-af-ipv4] routedistinguisher 100:2

[PE1-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both

[PE1-vpn-instance-vpnb-af-ipv4] quit

[PE1-vpn-instance-vpnb] quit

[PE1] interface gigabitethernet 1/0/0

[PE1-GigabitEthernet1/0/0] ip binding vpninstance vpna#将当前接口与指定VPN实例进行绑定。如图6所示。

(5)在PE与CE之间建立EBGP对等体关系,引入VPN路由

#配置CE1。

[CE1] bgp

[CE1-bgp] peer 10.1.1.2 as-number 100

[CE1-bgp] import-route direct#将配置的静态路由引入BGP-VPN实例IPv4地址族路由表

#配置PE1。

[PE1] bgp 100

[PE1-bgp] ipv4-family vpn-instance vpna

[PE1-bgp-vpna] peer 10.1.1.1 as-number 110

[PE1-bgp-vpna] import-route direct

[PE1-bgp-vpna] auto-frr#PE之间的主链路发生故障时,VPN流量走系统自动选择的下一跳PE。

图6 与VPN实例互连后的结果

同一VPN的CE能够相互Ping通,不同VPN的CE不能相互Ping通,如图7所示。

2.2 安全设备的部署

安全设备的部署是MPLS VPN部署的重中之重,关系到整个企业的生死存亡,因此应不遗余力地加大提高安全设备的部署质量。采用VFR实现VPN之间、VPN和公网之间的隔离;网络设备设置用户名密码和权限控制;在网络上配置防火墙、保密机,杜绝来自外部的攻击。表1是需要用到的主要安全防护设备。将安全防护设备按照如图8所示的部署方式连接起来,以达到防止外部攻击、信息加密以及预防病毒等目的。

图7 VPN之间的互连结果

表1 安全防护设备

图8 安全防护设备部署

2.3 QoS策略在MPLS VPN中的应用

除了安全性问题,MPLS VPN的传输质量问题也是考虑的重点。利用QoS对不同的业务进行分类标记,将网络性能参数如时延、抖动、丢包率以及QoS分级等对MPLS VPN进行参数化描述,为VPN用户提供不同的QoS等级。如表2所示,涉及的主要业务有视频会议、战备调度、视频监控以及文件传输等。相应的QoS等级有加速转发(Expedited Forwarding,EF)服务、确定型转发(Assured Forwarding,AF)服务和优先级(Class Selector,CS)服务。

表2 MPLS VPN参数与QoS等级的映射

数据进入公网的服务类型如下:

(1)需要传送信令协议,服务类型设置为cs7和cs6。

(2)需要保证低时延业务,服务类型设置为ef。

(3)需要保证带宽的关键数据业务,服务类型设置为af4、af3、af2或af1。

(4)不需要严格QoS保证的尽力发送业务,服务类型设置为be。

上述服务类型的报文按照发送优先级从高到低的顺序排列。

报文从私网进入公网的颜色,按照丢弃优先级从低到高的顺序排列为green、yellow和red。

利用QoS的区分服务DiffServ,在IP包头根据参数将标记写入DS域,在网络节点如PE或CE根据DSCP转发调度IP包。把区分服务与MPLS结合起来,区分服务的BA映射到MPLS的标记交换路径上,从而实现区分服务。这样不需要解析IP包,直接解析MPLS的EXP部即可,提高了数据转发效率。

NE20E-X6支持流分类、流量监管、流量整形、拥塞避免以及拥塞管理等基本功能。

配置MPLS TE支持DiffServ模式如下:

执行命令diffserv-mode{pipe service-class color|u- niform},设置MPLS TE的DiffServ模式。

#配置MPLS diffserv模式为Pipe,服务类型为af1,颜色为green。

<HUAWEI> system-view

[HUAWEI] ip vpn-instance vpna

[HUAWEI-vpn-instance-vpna] ipv4-family

[HUAWEI-vpn-instance-vpna-af-ipv4] diffservmode pipe af1 green

3 结 语

在现成的公网中,通过部署MPLS VPN达到了专网连通的目的。在重复利用资源、节省建设费用和维护费用的同时,利用MPLS VPN的特性,保证了数据传输的可靠性和安全性。此外,由于MPLS的扩展性与IPv6的兼容性,为下一步普及IPv6打下了基础。

猜你喜欢
公网路由器路由
买千兆路由器看接口参数
浅析大临铁路公网覆盖方案
维持生命
路由器每天都要关
路由器每天都要关
铁路数据网路由汇聚引发的路由迭代问题研究
公网铁路应急通信质量提升的技术应用
某IP端口映射在外网打不开
一种基于虚拟分扇的簇间多跳路由算法
路由重分发时需要考虑的问题