跨域MPLSVPN解决方案

2019-11-11 09:17孙晓栋
价值工程 2019年27期
关键词:跨域

孙晓栋

摘要:网络技术的发展使得网络办公得到广泛应用,但是由于地理位置等各种原因,导致同一个企业网内部之间并不能使用由同一个运营商提供的Internet资源,从而限制了企业网络的发展。本文在华为数通设备专用模拟器里搭建模拟网络拓扑,构建出一个跨域MPLS VPN解决方案,提供一个不同于传统的MPLS VPN体系结构所提供的互连模型——跨域(Inter-AS)MPLS VPN。并通过控制面测试及数据层面测试等进行功能验证,扩展了现有的BGP协议和修改MPLS VPN体系框架的原理和过程。

Abstract: With the development of network technology, network office has been widely used. However, due to various reasons such as geographical location, the Internet resources provided by the same operator cannot be used within the same enterprise network, which limits the development of enterprise network. In this paper, we build an analog network topology in Huawei Communications Device Simulator, construct a cross-domain MPLS VPN solution, and provide a different interconnection model from the traditional MPLS VPN Architecture - - cross-domain (Inter-AS) MPLS VPN. The principle and process of the existing BGP protocol and the modification of MPLS VPN framework are extended through the functional verification of control plane test and data level test.

關键词:VPN;MPLS;自治系统;跨域

Key words: VPN;MPLS;autonomous system;cross-domain

中图分类号:TN913.1+1                                 文献标识码:A                                  文章编号:1006-4311(2019)27-0146-03

0  引言

本论文主要研究内容是为服务提供商(Internet Service Provider,ISP)实现跨域企业网络的总部与分支机构之间互通提供虚拟专用网络(Virtual Private Network,VPN)服务的一种解决方案,该解决方案的实现思路如下:在骨干网中,使用多协议标签交换(Multi-Protocol Label Switching,MPLS)技术[1]实现数据包转发;使用边界网关协议(Border Gateway Protocol,BPG)技术[2]实现VPN路由信息分发。该方法为企业网提供网络互联协议(Internet Protocol,IP)骨干网外包服务,能快捷地建立一个VPN网络来为客户提供IP服务,灵活性强,可提供增值服务[3]。

1  跨域MPLS VPN的实验方案设计

该实验方案要求掌握跨域MPLS VPN的配置方法[4],包括组网中常见的虚拟局域网(Virtual Local Area Network,VLAN)、开放最短路径优先(Open Shortest Path First,OSPF)协议、中间系统到中间系统(Intermediate system to intermediate system,IS-IS)协议、后向兼容(Multiprotocol Extensions for BGP,MP-BGP)协议、访问控制列表(Access Control List,ACL)、交换路由等配置技术。

1.1 模拟器设备选型

该实验在华为网络设备模拟器(Enterprise Network Simulation Platform,eNSP)上实现[5],用到的设备包括:华为接入路由器AR2220、AR2240等,园区交换机S3700、S5700等,模拟终端为台式电脑模拟器、FTP(File Transfer Protocol,文件传输协议)客户端和HTTP客户端;网络设备之间的互连链路主要包括:G比特的千兆以太网链路,使用POS技术的广域网链路和较低速的串行链路、双绞线、光纤、串行线缆等[6]。

1.2 实验总体设计

跨域MPLS VPN网络环境搭建拓扑如图1所示,网络拓扑所涉及的网络设备数量以及命名如表1所示。

1.3 实验要求

对于网络拓扑中Site-1与ISP-1进行互连时,平时的业务流量均走主链路,备份链路仅仅作为主链路故障时的备用链路,平时不作为业务流量的出口。

对于网络拓扑中ISP-1与ISP-2进行互连时,正常情况下,AS间交互的路由信息和数据包流量均走带宽较大的运行POS协议的光纤链路,而带宽较小的以太链路仅仅作为光纤链路故障时的备份链路,平时是不走业务流量。

对于网络拓扑中ISP-2和Site-2进行互连时,分支站点仅仅使用一条出口链路作为连接ISP的链路,分支机构的任何业务流量或非业务流量均只能通过这一条出口链路到ISP。

网络拓扑中,在ISP骨干网中各个网络设备之间运行动态路由协议时,要对邻居的合法性进行验证。企业网分支站点访问总部机构的FTP、HTTP等服务器资源时,首先要经过相关的认证,认证通过后获取服务器资源,认证失败拒绝响应。在企业网入口CE设备上配置相应的安全策略,对要为所有企业内部员工或公司客户提供必要服务的网段、端口允許通过,可封禁一些不必要的源地址、目标端口,以及容易收到共计的漏洞端口。

2  跨域MPLS VPN的构建

2.1 网络逻辑规划

根据网络拓扑图对整个试验中网总部机构模块、运营商网络1模块、运营商网络2模块、企业网分支站点模块进行机构网络设备的设备型号、AS型号、功能、数量等参数的设计与汇总并对网络的地址进行规划。

其中,企业总部机构模块的AS型号为300,运营商网络1模块的AS型号为100,运营商网络2模块的AS型号为200,企业网分支站点模块的AS型号为300。企业网输出路由器数量为1,企业网汇聚层及接入层交换机总数量为4,企业网员工普通及都功能终端总数量为8,企业网中心机房服务器数量为1,骨干网PE路由器数量为4,骨干网路由器数量为6,骨干网组播服务器数量为1。各网段IP地址为24位或者32位,部分IP地址为通过DHCP获取及通过PPP链路的IPCP协议远端协商获取。

2.2 关键协议配置实现

OSPF协议的配置实现:系统视图下创建OSPF进程1,OSPF进程下创建区域0,然后配置OSPF的区域认证,最后在区域视图下宣告接口地址。

ISIS协议的配置实现:在系统试图下,创建ISIS进程100,将IS系统的级别配置为Level-2,扩展ISIS的宽度量值。配置唯一标识系统的NET地址和ISIS的路由域认证。最后进入接口视图下,载接口视图下使能ISIS进程。

BGP与MP-BGP协议的配置实现:在系统视图下,创建BGP进程100和划分AS100,指定对等体建立TCP连接的IP地址和本地建立TCP连接的更新源地址。进入VPN-v4地址簇视图下,开启vpn-target对比策略,在VPN-v4地址簇视图下建立MP-BGP。最后进入VPN实例视图,VPN实例视图下建立BGP连接。

VPN实例创建的配置实现:在系统试图下,创建VPN实例A。在VPN实例试图下,配置VPN实例的RD值为100:200,出RT和入RT均为100:200。接口视图下绑定VPN实例A,然后重新配置IP地址。最后,指定BGP反射器客户端,关闭vpn-target对比策略,再指定VPN-v4反射器客户端。

远端地址配置实现:进入接口视图,设置链路类型默认为PPP链路,开启PPP认证,认证协议为CHAP,接口绑定VPN实例A,配置IP地址,30位掩码长度,使能为远端分配地址池的地址的能力。创建PPP地址池,配置地址池中地址的范围。最后,进入接口视图,设置链路类型默认为PPP链路,配置请求对端分配缺省路由,配置CHAP认证的用户名,配置CHAP认证密码,配置请求对端协商分配IP地址。

Mux-Vlan功能配置实现:在系统视图下,创建VLAN100。将VLAN100配置为mux-vlan的主VLAN,将VLAN37配置为mux-vlan的隔离型从VLAN。进入接口视图,将接口类型修改为Access,默认为Hybrid,接口划分进VLAN100,最后,接口下使能mux-vlan功能。

访问控制列表ACL功能配置实现:在系统视图下,创建一个高级ACL 3000。根据实验要求,允许对应源目地址的HTTP服务报文通过,允许对应源目地址的FTP服务控制命令通过,允许对应源目地址的FTP服务数据报文通过,允许对应源目地址的IP报文命令通过,允许对应源目地址的IP协议回包报文通过,拒绝非授权源数据通过。

3  实验验证

3.1 控制层面测试

运营商骨干网所有设备都可以互相学习到对方的路由信息,表示运营商骨干网内部的IGP邻居关系、报文交互以及路由计算都没有问题,在系统视图下输入display ip routing-table命令即可查看路由表学习内容。

CE设备可以互相学习到对端的私网路由信息,表示企业网的私网路由信息学习是正常,可以实现正常的数据访问,同样在系统视图下输入display ip routing-table命令即可以查看路由学习内容。

3.2 控制层面测试

总部机构或分支站点的任意一台主机,都可以通过运营商网络访问位于总部机房服务器的FTP服务和HTTP服务,表明除了实现了基本的访问需求之外,包括DHCP、FTP、HTTP等其他功能需求也可以正常实现,分别在终端上获取总部服务器FTP服务、HTTP服务即可实现验证。

4  总结

跨域MPLS VPN网络拓扑设计,详细参考了现网环境下VPN的部署方案,针对跨域VPN部署遇到的问题提出了一种基于MPLS/BGP的解决方案,详细解释了跨域VPN所遇到的技术难题和注意事项,设计出跨域MPLS VPN的基本拓扑,尤其对本网络所设计的网络拓扑进行了详细的描述,首先从协议层面进行了分析,包括最底层的IGP层面到BGP层面,再到MPLS层面。在跨域时使用Wire Shark抓包软件抓取了链路上传递的协议报文和访问数据包,详细分析了报文特定字段的格式和作用,更有利于学生对协议原理的理解和在实际工作过程中对运行协议的维护,尤其是存在VPN的场景下,可以参考本设计的设计过程和分析过程来分析各VPN路由学习过程和VPN数据报文的传递过程。

参考文献:

[1]胡元军.MPLS-VPN在多校区的应用[J].信息与电脑,2019(9):170-171,174.

[2]赵慧慧,陶骏.基于MPLS VPN和BGP的企业网络构建[J]. 计算机与网络,2019(2):62-64.

[3]范玲玉,王毅,何璕.基于MPLS VPN的承载网多业务应用[J].冶金动力,2019(3):74-77.

[4]涂文杰.HCNP路由交换实验指南[M].北京:人民邮电出版社,2014.

[5]王达.华为路由器学习指南[M].北京:人民邮电出版社,2014.

[6]钟鸣,魏允韬译.虚拟专用网的创建与实现[M].机械工业出版社,2000.

猜你喜欢
跨域
跨域异构体系对抗联合仿真试验平台
基于多标签协同学习的跨域行人重识别
为群众办实事,崂山区打出“跨域通办”组合拳
物联网环境下的跨域信任评价研究
基于岗位映射的应急组织间跨域访问控制研究