BGP/MPLS VPN技術(shù)分析

◆馬蘊(yùn)一

（遼寧工程技術(shù)大學(xué)軟件學(xué)院 遼寧 125100）

1 引言

VPN技術(shù)是基于隧道加密，利用公共網(wǎng)絡(luò)解決不同地點(diǎn)的企事業(yè)單位之間內(nèi)部資源無(wú)障礙互訪的一種手段。BGP/MPLS VPN是通過(guò)使用MPLS標(biāo)簽和BGP協(xié)議來(lái)實(shí)現(xiàn)VPN的一種方式。BGP/MPLS VPN完全由運(yùn)營(yíng)商來(lái)創(chuàng)建和維護(hù)隧道，用戶只需管理所在區(qū)域內(nèi)部的網(wǎng)絡(luò)，這樣的實(shí)現(xiàn)方式大大降低了用戶的管理成本。同時(shí)，相比較專線的實(shí)現(xiàn)方式也降低了成本的投入。目前，BGP/MPLS VPN是實(shí)現(xiàn)VPN的一種重要的手段，也是未來(lái)VPN技術(shù)不斷發(fā)展的一種趨勢(shì)，獲得了廣大用戶和運(yùn)營(yíng)商的青睞。

2 BGP/MPLS VPN技術(shù)基礎(chǔ)

VPN：虛擬專用網(wǎng)，基于公共網(wǎng)絡(luò)，利用隧道、加密等技術(shù)，為用戶構(gòu)建的虛擬專用網(wǎng)絡(luò)

MPLS：多協(xié)議標(biāo)簽交換，一種用于快速數(shù)據(jù)包交換和路由的體系

BGP：邊界網(wǎng)關(guān)協(xié)議，用于AS和AS之間傳遞大量的路由信息

CE：用戶網(wǎng)絡(luò)邊緣設(shè)備

PE：供應(yīng)商網(wǎng)絡(luò)邊緣設(shè)備

P：供應(yīng)商網(wǎng)絡(luò)的骨干設(shè)備

Site：指相互具有IP連通性的一組IP系統(tǒng)，且該系統(tǒng)IP連通性不需要通過(guò)ISP運(yùn)營(yíng)商實(shí)現(xiàn)。公司的分部或總部之類的一個(gè)局域網(wǎng)可以是一個(gè)site

VPN-instance：VPN實(shí)例即VRF，相當(dāng)把大的路由器虛擬出不同的小路由器

RD：路由區(qū)分器，用來(lái)區(qū)分相同地址空間的IPv4前綴

VPN-IPv4路由：加上RD標(biāo)簽之后的IPv4路由，運(yùn)行在ISP域內(nèi)部

RT：用于控制VPN路由信息的發(fā)布，將PE上接收到的VPNv4前綴通告給CE設(shè)備。

MP-BGP：是一種擴(kuò)展的BGP協(xié)議，用來(lái)轉(zhuǎn)發(fā)VPN-IPv4路由

3 BGP/MPLS VPN規(guī)劃設(shè)計(jì)

要想實(shí)現(xiàn)在公網(wǎng)上實(shí)現(xiàn)VPN需要解決如下的三個(gè)問(wèn)題才可以很好實(shí)現(xiàn)BGP/MPLS VPN技術(shù)。

3.1 如何在同一臺(tái)PE上與不同CE之間路由信息的隔離

一臺(tái)PE設(shè)備連接多臺(tái)CE設(shè)備。在CE和PE之間運(yùn)行動(dòng)態(tài)路由協(xié)議，可能導(dǎo)致路由信息來(lái)回竄，造成兩個(gè)VPN之間無(wú)法進(jìn)行隔離。因此PE需要將收到不同VPN的路由信息進(jìn)行緩存下來(lái)，實(shí)現(xiàn)將兩個(gè)路由信息的隔離。

通過(guò)引入VRF功能組件解決上述的問(wèn)題。VRF相當(dāng)于在大路由器又劃分出多個(gè)邏輯上完全隔開的小路由器。大路由器維護(hù)ISP公網(wǎng)的路由表，小路由器維護(hù)VPN路由轉(zhuǎn)發(fā)表，這些路由表是相對(duì)獨(dú)立互不影響的。因此路由信息不會(huì)竄，進(jìn)而解決了同一臺(tái)PE設(shè)備對(duì)不同客戶CE設(shè)備的隔離問(wèn)題。

3.2 如何容許通告重疊客戶私有路由并在公網(wǎng)上傳遞

兩個(gè)VPN site將路由信息傳遞到PE設(shè)備是相同的路由信息，對(duì)端的CE設(shè)備可能收到同一份路由信息。

通過(guò)引入RD地址區(qū)分器，來(lái)區(qū)分使用相同地址空間的IPv4地址。真正的VPN-IPv4地址由RD前綴+IPv4地址構(gòu)成的。相同的地址空間的IP地址有不同的RD時(shí)，路由器會(huì)認(rèn)為是不同的VPN-IPv4地址。因此會(huì)按照不同的地址全部轉(zhuǎn)發(fā)，容許通告重疊客戶的私有路由。

BGP能跨多個(gè)設(shè)備傳輸大量路由，在公網(wǎng)上傳遞私網(wǎng)路由，最正確的協(xié)議就是BGP?？梢越Y(jié)合MPLS技術(shù)和運(yùn)行MP-BGP協(xié)議。但是，如果VPN1和VPN2的地址是重疊的，傳送的是VPN1里面的網(wǎng)段或者VPN2里面的網(wǎng)段。這個(gè)時(shí)候要使用MP-BGP擴(kuò)展的BGP協(xié)議實(shí)現(xiàn)正確處理VPN-IPv4路由。

3.3 PE如何將所接收到的VPNv4路由通告給CE設(shè)備

當(dāng)對(duì)端的PE設(shè)備接收到了IPv4路由，只通過(guò)RD無(wú)法進(jìn)行區(qū)分是屬于哪個(gè)VPN site，該給哪個(gè)PE設(shè)備。引入RT控制VPN路由信息的發(fā)布將PE上接收到的VPNv4前綴通告給CE設(shè)備。對(duì)端的PE設(shè)備收到VPNv4的路由之后，比較傳遞過(guò)來(lái)的路由信息攜帶RT出向的RD值與自身的VRF的入向的RT值，相同，則傳遞給對(duì)應(yīng)的CE設(shè)備。

3.4 BGP/MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)

BGP/MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)，核心的問(wèn)題在于普通的IPv4路由和VPN IPv4路由之間的轉(zhuǎn)換。CE和PE間運(yùn)行普通IPv4路由，PE之間運(yùn)行VPNv4路由，具體數(shù)據(jù)轉(zhuǎn)發(fā)流程如下：

（1）VPN site內(nèi)部運(yùn)行IGP協(xié)議，發(fā)送端CE將BGP路由表進(jìn)行引入；

（2）向PE設(shè)備傳遞BGP Update的更新報(bào)文；

（3）PE設(shè)備把信息放到VRF路由表當(dāng)中，運(yùn)行MP-BGP協(xié)議，傳遞VPN-IPv4路由；

（4）P設(shè)備發(fā)送攜帶了Label，RD，Export-RT等信息的BGP Update，傳給出口的邊界PE設(shè)備；

（5）在出口的PE設(shè)備上要進(jìn)行路由交叉和隧道迭代，更新到VRF路由表中。去掉RT值和RD值，用普通BGPIPv4報(bào)文的BGP實(shí)現(xiàn)路由傳遞；

（6）接收端CE設(shè)備將BGP路由表引入到IGP路由表，在VPN site內(nèi)部運(yùn)行IGP協(xié)議。

4 對(duì)BGP/MPLS VPN的部署

從安全性的角度考慮，應(yīng)該在PE設(shè)備上進(jìn)行一些安全性的配置。在實(shí)際的鏈路的部署和設(shè)備選擇上，應(yīng)該考慮一些支持FW（防火墻），SSL（安全套接字）+，IPS（入侵防御），ACG（應(yīng)用控制網(wǎng)關(guān)），防病毒的功能模塊的路由器作為實(shí)現(xiàn)BGP/MPLS VPN的PE設(shè)備。

從EAD準(zhǔn)入控制的角度考慮，BGP/MPLS VPN的組網(wǎng)需要在網(wǎng)絡(luò)邊緣設(shè)備CE和PE設(shè)備上做接入認(rèn)證點(diǎn)，對(duì)各VPN的用戶執(zhí)行不同的安全認(rèn)證策略。部署EAD準(zhǔn)入控制需要考慮網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)帶寬優(yōu)化的問(wèn)題。

目前隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，IPv6逐漸開始廣泛應(yīng)用。當(dāng)前網(wǎng)絡(luò)的部署處于IPv4和IPv6共存的階段，設(shè)計(jì)BGP/MPLS VPN的實(shí)現(xiàn)的時(shí)候也要考慮部署IPv6。在IPv6的分支上運(yùn)行RIPng和OSPFv3，來(lái)實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的互通。

5 BGP/MPLS VPN性能評(píng)價(jià)

隧道機(jī)制對(duì)客戶和運(yùn)營(yíng)商的設(shè)備透明，客戶根本感受不到穿越了運(yùn)營(yíng)商，穿過(guò)了隧道。該隧道的創(chuàng)建和維護(hù)由運(yùn)營(yíng)商來(lái)完成，降低了管理的成本；客戶維護(hù)VPN site內(nèi)的路由對(duì)私網(wǎng)標(biāo)簽的分配；運(yùn)營(yíng)商對(duì)ISP公網(wǎng)的標(biāo)簽的分配，有效降低了雙方的維護(hù)成本；

結(jié)合了H3C智能廣域網(wǎng)安全性的解決方案之后可以形成二層到七層的立體的網(wǎng)絡(luò)安全保護(hù)，提高網(wǎng)絡(luò)安全性，還可以進(jìn)行認(rèn)證計(jì)費(fèi)，準(zhǔn)入控制，形成可視可控可度量的精簡(jiǎn)化管理體系。同時(shí)，部署IPv6符合可持續(xù)發(fā)展的需要，也彌補(bǔ)了IPv4網(wǎng)絡(luò)環(huán)境下的不足。

6 結(jié)論

BGP/MPLS VPN技術(shù)是實(shí)現(xiàn)VPN的一種重要的手段，也是實(shí)現(xiàn)廣域網(wǎng)的一種常用方式。如何結(jié)合最新的技術(shù)，使用最新的網(wǎng)絡(luò)設(shè)備，結(jié)合智能廣域網(wǎng)解決方案規(guī)劃部署一個(gè)可持續(xù)發(fā)展，智能一體化面向業(yè)務(wù)統(tǒng)一管理的高質(zhì)量鏈路，將是未來(lái)VPN技術(shù)發(fā)展的一種趨勢(shì)。