基于MPLS VPN的企业“三网合一”传输仿真构建设计

2022-02-21 01:38季冬冬于松民艾青旺
通信电源技术 2022年22期
关键词:路由器路由链路

季冬冬,于松民,艾青旺

(中国卫星海上测控部,江苏 江阴 214431)

0 引 言

当前,企业对通信链路等业务需求呈现多样化特征。办公自动化(Office Automation,OA)网、安全保障网以及生产运行网这3网通过各自独立的链路传输不同的业务,传输网络处于相对分割的状态,浪费了大量网络资源,不利于集中统一管理。为最大限度整合现有网络资源,形成完整的业务传输网络,满足以企业间办公OA网为基础的承载网络。采用交换虚拟专用网(Virtual Private Network,VPN)方式分别承载办公OA网和生产运行网的需求,构建高效集成的内部专用网络,适合部署应用于企业间数据传输。

1 总体思路及方案目标

企业公司总部与分部距离较远,需要跨越多个运营商网络。企业局域网和广域网采用开放式最短路径优先(Open Shortest Path First,OSPF)路由协议。企业间安全保障网和生产运行网以办公OA网为承载,采用VPN技术构建企业信息传输链路。企业间安全保障网和生产运行网通过隧道传输全网数据。在网络设备仿真平台(enterprise Network Simulation Platform,eNSP)模拟平台设计一种企业网络拓扑,如图1所示。

图1 企业网络结构拓扑

方案设计目标主要包括3个方面,分别为隔离性要求、服务质量要求和安全性要求。第一,隔离性要求。同网数据互通,3网之间路由和数据均不能互通,安全保障网和生产运行网中无广域网路由。第二,服务质量要求。3网数据在各自路由器出口限速,且数据在办公OA网路由器汇合后,根据需求调整各网系数据EXP值。第三,安全性要求。3网数据通过VPN技术对源目的地址进行封装,在骨干链路中传输时无法通过互联网协议(Internet Protocol,IP)地址区分业务类型。

2 具体设计

2.1 协议体系

采用VPN技术实现3网数据隔离。通过隧道或加密技术在公共网络上创建私用传输通道,将业务数据封装在隧道中实现报文的逻辑隔离传输。VPN的隔离特性提供了某种程度的通信隐秘性和虚拟性,与底层承载网络间保持资源独立,即VPN资源不被网络中非该VPN的业务所使用,确保VPN内部信息不受外部侵扰。目前,主流的VPN技术主要有多协议标记(Multiprotocol Label Switching,MPLS)、保护网络之间互连协议安全(Internet Protocol Security,IPSec)通信的标准以及通用路由封装(Generic Route Encapsulation,GRE)等。

2.2 VPN技术比较

2.2.1 GRE技术

GRE通用路由封装协议封装网络层协议的数据报文,使其能够在另一个网络层协议(如IP)报文中传输。GRE提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网路中传输,异种报文传输的通道称为Tunnel。原始IP报文数据先发送至Tunnel源端进行GRE封装,根据Tunnel建立时确定的隧道源地址和目的地址新增GRE包头,使用新的源地址和目的地址通过公共IP网络转发至远端VPN网络。GRE VPN转发处理流程如图2所示。区别于其他2种技术,仅有GRE技术支持组播业务。

图2 GRE VPN转发处理流程

2.2.2 IPSec VPN技术

IPSec是互联网工程任务组(Internet Engineering Task Force,IETF)制定的开放网络安全协议组,主要依赖密码技术在IP层提供认证和加密机制,确保通信双方传输数据的安全性。IPSec VPN的技术优势是实现数据来源认证、数据加密、数据完整性校验以及抗重放攻击,在数据传输过程中降低数据泄漏和被窃听的风险。通过认证头标(Authentication Header,AH)和封装安全负载(IPSec Encapsulating Security Payload,ESP)2个安全协议来实现IP数据包的安全传输。采用ESP封装安全载荷协议提供密钥协商,建立和维护安全联盟(Security Association,SA)等服务。IPSec VPN转发处理流程如图3所示。

图3 IPSec VPN转发处理流程

2.2.3 MPLS VPN

MPLS VPN是在网络路由和交换设备上运用MPLS技术,结合传统路由技术的标签交换构建VPN。在MPLS VPN模型中,网络由骨干网与用户各Site组成,一个VPN对应一组Site的集合。边界网关协议的多协议扩展(Multiprotocol Extensions for Border Private Network,MP-BGP)用来在骨干网络中传递VPN路由信息。MPLS用来将VPN业务从一个VPN站点转发至另一个站点。MPLS网络标签转发处理流程如图4所示。

图4 MPLS网络标签转发处理流程

MPLS VPN的主要技术优势:配置简单、应用灵活以及可扩展性强;具有路由信息隔离、地址空间隔离、核心网络隐藏及防标签欺骗等安全特性;支持服务质量(Quality of Service,QoS)和流量工程,便于实现数据、语音及视频的统一承载;能够和路由反射器、GRE以及IPSec等技术联合使用,适应多种多样的应用场景。它的主要技术缺陷在于本身无法提供数据加密服务[1]。

2.3 VPN技术选择

对比几种VPN技术,GRE和IPSec VPN均需要不同的隧道源和目标,需要在出口路由器配置多个环回口充当隧道源和目标,配置不够灵活。此外,IPSec VPN中需要两端协商的参数较多,一端配置错误会导致两端通信失败。MPLS VPN配置灵活,扩展性强,非常适于构建主干链路网络。IPSec VPN具有较强的安全性,但企业各业务网已购买相应安全设备加密数据,因此安全性不必作为VPN技术选定的重要条件。企业网中有组播数据传输,因此选定MPLS VPN+GRE的技术实现网络融合。各隧道技术特点如表1所示[2]。

表1 隧道技术特点比较表

2.4 路由协议

为实现三网合一传输,需将企业安全保障网和生产运行网路由器上联口接入办公OA网路由器,通过专用MPLS VPN通道进入办公OA网,3网数据经运营商网络传输至企业分部,最终接入对应网系。

3网所涉及设备为企业办公OA网、安全保障网以及生产运行网路由器,局域网和广域网全部采用OSPF路由协议。第一,各网系汇聚交换机和路由器之间启用OSPF动态路由协议;第二,3网路由器之间启用OSPF动态路由协议,处于同一OSPF域中,路由优先级默认;第三,3网路由器OSPF进程中宣告各自内网网段;第四,办公OA网路由器OSPF进程中引入BGP路由。

2.5 广域网路由配置

所涉及设备为办公OA网两端路由器和中间节点路由器。各路由器启用动态OSPF路由协议实现链路互通,两端办公OA网路由器启用BGP路由协议形成内部BGP协议(Internal Border Gateway Protocol,IBGP)邻居关系。第一,企业两端办公OA网路由器之间启用动态OSPF路由协议。各路由器均位于OSPF骨干区域中,默认路由优先级。第二,由于MPLS VPN技术依托BGP路由协议方能实现,企业办公OA网两端路由器需启用BGP路由协议。处于同一AS中,互为IBGP邻居关系,AS号为100,其余路由器不启用BGP路由协议。第三,广域网路由器OSPF进程中宣告各自内网网段。第四,两端办公OA网路由器使用loopback地址建立IBGP邻居,需在OSPF进程中宣告各自的loopback地址。

3 服务质量保证策略

为提供最佳的服务质量,保证各网系部署的服务质量,采用优先级划分、用户接入端口流量监管、优先级队列调度以及广域网出口限速等技术手段,优先保证高优先级信息的正常传输。

3.1 业务优先级划分

对于需经广域网实时传输的数据流,在业务接入端口处采用4元组(源IP地址、目的IP地址、目的端口号以及传输协议),根据业务的重要性和优先级划分业务流。优先级划分规则见表2。

表2 业务优先级划分规则

3.2 用户接入流量监管

在业务流分类的基础上,在用户接入端口部署流量监管(Commit Access Rate,CAR)策略,采用单速单桶模式,即峰值信息速率(Peak Information Rate,PIR)与承诺信息速率(Committed Information Rate,CIR)设置为相等。初始令牌桶容量为1 s信息平均流入字节数。对于超出PIR的流量,标记为红色和黄色,监管行为设置为丢弃。流量监管速率设置规则:实时数据信息速率小于1 024 b/s的按照1 024 b/s限速;信息速率高于1 024 kb/s的,根据实际速率按照1 024 kb/s的整数倍限速;对于非实时数据不限速。

3.3 优先级队列调度

第一,在各网系业务数据交换设备接入端口启用优先级信任机制。第二,在各网系核心及路由器出口启用优先级队列调度(Priority Queuing,PQ),实现不同业务的优先级排队,确保高优先级的业务流优先传输。第三,在办公OA网路由器出口启用加权队列调度。

3.4 网系间优先级划分

各网系之间采用MPLS DiffServ流分类方案,使用MPLS报文首部的Exp字段来承载DiffServ信息。EXP可通过承载在LSP中的IP数据包的DSCP或IP Preference映射配置,也可手动配置,映射关系如表3所示。

表3 优先级映射关系表

采用Pipe模式,在MPLS域入节点为MPLS外层标签的EXP字段重新赋值。从MPLS入节点到出节点,各VPN业务数据均按照网系规划优先级进行QoS调度,直到业务数据出MPLS域后,根据原来携带的COS值转发。各网系MPLS EXP值及DSCP值如表4所示。

表4 网系优先级参数设置表

4 地址规划

安全保障网及生产运行网路由器上联均采用29位掩码,路由器下联至终端设备均采用24位掩码。办公OA网接入交换机上联至路由均采用29位掩码,接入交换机下联至终端设备均采用24位掩码。安全保障网及生产运行网GRE Tunnle接口地址采用192.168.100.0/24和192.168.200.0/24网段,新增IP报头的源地址和目的IP地址分别采用CE上联口地址。网络地址规划如表5所示。

表5 网络地址规划

5 网络迁移调整策略

企业现有的传输模式中3网分别通过3个路由器独立传输业务。为实现三网合一传输,将安全保障网、生产运行网路由器出口调整连接至办公OA网路由器,使办公OA网路由器出口接入运营商网络。各子网内部设备连接关系无须调整。

AS100为MPLS VPN主干网络搭载在办公OA网链路上,通过运行OSPF实现主干网络IGP路由可达。运营商路由器为P设备,两端办公OA网路由器为PE设备,安全保障和生产运行网路由器为CE设备,各业务网内部相互独立。为保证各业务网数据独立传输,安全保障网和生产运行网数据以MP BGP路由通过办公OA网主干链路传输。主干链路两端路由器运行BGP协议,建立IBGP邻居,在BGP中引入业务网内部OSPF路由。所有域内IGP路由均采用OSPF路由。除主干链路运行多区域外,企业内部均运行单区域,并引入BGP路由。通过以上配置可实现各业务网通过办公OA网主干链路独立传输。各区域运行的网络协议如表6所示[3]。

表6 各区域运行网络协议一览

AS100作为MPLS骨干网,总公司办公OA网ER和分公司办公OA网ER为P设备,中间运营商设备为P设备,总公司和分公司的安全保障网ER和生产运行网ER为CE设备。为保证业务数据传递的安全性,业务网段以VPNv4路由穿越运营商网络进行互通。

以办公OA网P设备为例,相关配置为

完成两端配置后可在两端PE设备上通过对等体学到对端子网的路由,总公司PE设备VPNv4路由如图5所示。

图5 总公司PE设备VPNv4路由

查看IP路由表,均没有到对端子网的IP路由,说明实现了单播隔离功能[4]。

在整个网络单播业务传输配置完成后,配置组播业务。办公OA网的组播业务传输基于OSPF路由,在主干链路的路由器和交换机接口使能PIM SM完成组播业务传输。

由于MPLS VPN不支持组播业务,安全保障网和生产运行网使用GRE隧道封装,以满足组播业务的传输。在对应业务网的路由器CE上创建tunnel接口,将接口协议设置为GRE,以核心出口作为source地址,以对端核心出口地址为destination地址,并在tunnel接口中使能PIM SM协议,通过GRE封装完成组播业务的传输。

为实现组播业务,通过tunnel隧道传输,在组播接收端的交换机中写入RPF静态路由,使得下一跳接口为tunnel接口,即

ip rpf-route-static X.X.X.X 26 Tunnel 0/0/0

以安全保障为例,在CE设备查看组播路由表,组播数据均通过GRE隧道进行传输。安全保障网CE设备组播路由表如图6所示[5]。

图6 安全保障网CE设备组播路由表

6 安全设计

采用MPLS VPN+GRE技术,使得不同的业务网通过不同的VPN隧道实现不同业务网的隔离。数据传输时,VPN隧道封装源目的地址。在运营商网络传输时,无法通过IP地址区分业务类型。企业各业务网已有相应安全产品加密数据,可充分保障安全性[6]。

7 效果预估

经过ENSP仿真验证,企业间安全保障网和生产运行网以办公OA网为承载,采用VPN技术构建企业信息传输链路,实现了同网数据互通,3网之间路由和数据均不能互通。企业间安全保障网和生产运行网单播数据直接通过MPLS VPN传输至对端。组播数据先在CE端封装GRE(新增IP报头的源地址和目的IP地址分别为CE上联口地址),封装完成后通过MPLS VPN传输至对端,同时通过QoS区分各业务。单播及组播业务测试见表7和表8。检查业务网路由表,不存在到达其他网系的路由,验证了3网的隔离性。

表7 单播业务验证测试表

表8 单播业务验证测试表

8 结 论

针对企业组网中高效和高安全等技术需求,提出一种基于BGP MPLS VPN企业跨域组网设计方案,并在eNSP模拟环境中仿真,在企业内网及骨干网设备上部署OSPF、BGP以及MPLS VPN等多种复杂协议。围绕业务数据跨域传递过程,配置和分析BGP对等体建立、VPN实例创建、MPLS标签分发与交换以及VPNv4业务数据跨域传输等内容。结果表明,方案为私网路由分配标签,建立VPNv4业务传输隧道,为业务数据传递提供安全保障,增加VPN实例可以灵活扩展企业增值业务,满足企业网络建设中安全、灵活以及高效等性能需求[7]。

猜你喜欢
路由器路由链路
买千兆路由器看接口参数
维持生命
天空地一体化网络多中继链路自适应调度技术
路由器每天都要关
路由器每天都要关
基于星间链路的导航卫星时间自主恢复策略
铁路数据网路由汇聚引发的路由迭代问题研究
多点双向路由重发布潜在问题研究
一种基于虚拟分扇的簇间多跳路由算法
探究路由与环路的问题