基于MPLSVPN和BGP的企业网络构建

2019-09-10 00:54赵慧慧陶骏
计算机与网络 2019年3期

赵慧慧 陶骏

摘要:在企业网络现状的基础上,针对企业网络改造的需求,对MPLS VPN和BGP网络协议的基本概念进行了阐述。对网络升级方案进行了详细介绍,并对网络升级方案进行了模拟仿真。根据网络升级方案重新进行了网络构建,描述了网络设备的详细配置,比较了网络升级前后的网络参数,得出采用MPLS VPN和BGP构建企业网络具有较高优越性的结论。

关键词:网络升级;MPLS;VPN;BGP

中图分类号:TP393 文献标志码:A 文章编号:1008-1739(2019)03-62-3

0 引言

随着社会和经济的发展,越来越多的企业接入了互联网,接入互联网的企业往往不局限在一个地点,因为可能包含多个分公司和办事处,这些分公司和办事处一般都采取地址翻译(NAT)方式接入到互联网和总部通信,NAT方式虽然可以满足通信的基本需求,但是也有以下缺陷:①NAT方式需要对应路由器开启NAT进程,加大了路由器的负荷;②NAT方式造成局域网的IP地址对外是不可见的,造成分公司和办事处无法直接访问总部内部的IP地址所对应的应用程序。

为解决这一问题,可以采取虚拟局域网的方式组建此类企业的局域网,VPN的接入方式有很多种,比如L2TP VPN、GRE VPN和MPLS VPN,前2种都是采用传统的路由进行数据转发,MPLS采取标签转发,效率高于前2种。经过充分调研和论证后,本网络方案采取基于MPLS VPN的方式构建企业网络。

1 MPLS VPN和BGP

MPLS VPN是指使用多协议标记转换技术在互联网上构建企业IP虚拟局域网,实现跨地理区间的数据、语音和图像等多业务安全快速的发送,并结合QoS等相关技术,将公众网可靠和扩展性与专用网的安全和高效性结合在—起。MPLS VPN网络主要包括:CE,PE,P三种路由器。①CE是用户网络边缘路由器设备,直接与服务提供商网络相连,不用配置VPN;②PE是服务提供商边缘路由器设备,与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者;③P是服务提供商核心路由器设备,负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,只需要P,PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS VPN功能。

BGP是指边界网关协议,主要在2个自治域之间交换路由,MPLS VPN网络中PE路由器之间需要通过BGP的M-BGP属性来传递相关VPN属性和路由,比如VPN的最重要的2个属性路由目标(RT)和路由区分(RD)值,都是通过M-BGP属性传递的。

2 网络构建

企业在物理上有4部分:1个总公司和3个子公司,目前这4部分都通过租用互联网专线的形式接入到某一通信运营商,其网络现状拓扑如图1所示。

公司的总部和3个子公司在其出口路由器上部署NAT,然后通过静态默认路由指向相关的运营商的路由器,在各部分的交换机上划分VLAN,出口路由器上划分子接口,交换机的VLAN都终结在出口路由器上。

公司出于办公需要,构建自己的Web和邮件服务器,而且要求Web和邮件服务器只能公司内部职工访问。如果把Web和邮件服务器配置私网IP地址直接下挂在总部的交换机下,此时只有总部的终端才能访问这2个服务器,因为是NAT方式接入的,其余3个分公司的终端是无法进行穿越NAT来访问总部的服务器的。如果把Web和邮件服务器配置公网IP地址直接下挂在总部的路由器下,此时其余3个子公司是可以访问Web和邮件服务器的,但是此时互联网上的所有计算机都可以访问Web和邮件服务器,不符合网络要求。

因此,公司4个部分采用VPN的方式接入到运营商的网络,VPN有多种接入方式,包括2层VPN和3层VPN,MPLSVPN属于3层VPN,有保密性高和接入方便的特点,本网络改造方案采用MPLS VPN接入到运营商的网络。公司的4个部分的出口路由器充当CE路由器,通信运用商的接入路由器充当PE路由器,运营商的核心路由器充当P路由器,新建的Web和邮件服务器直接下挂在总部的出口路由器下,具体拓扑图如图2所示。

3个子公司的CE路由器通过静态协议与运营商PE路由器通信,CE路由器通过默认静态路由指向Ⅲ路由器,路由器在VPN中把相关CE路由器的网段通过静态路由指向CE路由器,PE和PE之间采用BGP协议通信。具体的IP地址规划如表1所示。

MPLS VPN采用星型连接(hub-spoke)模式,只允许分公司和公司总部之间通信,不允许分公司之间进行通信,这主要通过VPN的RT属性的设置来实现的,具体的VPN设置属性如表2所示。

总部的VPN发出的VPN路由属性入RT值(RTIMPORT)正好等于分公司的出RT值(RT EXPORT),总部的VPN发出的VPN路由属性RT EXPORT正好等于分公司的RT IMPORT,所以总部和分公司可以进行通信。而任何—個分公司的RT EXPORT都不等于另一个分公司的RT IMPORT,所以分公司之间不能进行通信。

具体PE的关键配置如下(PE设备为华为NE40E):

ipvpn-instance vpncom//配置VPN名称

ipv4-family

route-distinguisher 100:8//配置RD和RT值

vpn-target200:8 export-extcommunity

vpn-target 100:8 import-extcommunity

bgp 100//配置BGP信息

peer1.1.1.2 as-number 100

peer 1.1.1.2 connect-interface LoopBack0

#

ipv4-fanuly unicast

undo synchronization

peer 1.1.1.2 enable

#

ipv4-family vpnv4

policyvpn-target

peer 1.1.1.2 enable

#

ipv4-fanulyvpn-instance vpna

import-route direct

import-route static

先用华为的ENSP模拟器对设计方案进行仿真测试,具体如图3所示。

仿真测试完毕后,对网络进行网络构建,网络构建完成后公司的网络运行正常,终端和服务器的访问均正常,也满足不让公网上用户的访问要求,具体测试的访问时延和丢包如表3所示。

测试后时延和丢包等性能参数明显优于网络改造前,因为改造后网络不用进行NAT地址翻译,而且不在使用路由表进行数据转发,而是采取性能更优越的MPLS标签转换来发送数据包。

3 结束语

本文介绍了一种基于MPLS VPN,BGP方式的企业局域网的构建方式,其特点是配置简单、管理灵活及安全高效,但是构建方案中没有考虑IPv6和QoS,PE和CE之间没有采取可以达到负载均衡的动态协议,如EBGP和OSPF协议,这都是下一步的研究方向。