陶駿,劉晴晴,佘星星

(安徽信息工程學(xué)院 計(jì)算機(jī)與軟件工程學(xué)院,安徽 蕪湖,241000)

企業(yè)接入互聯(lián)網(wǎng)的模式有:NAT(地址翻譯)模式、完全地址宣告模式、專線模式和VPN(虛擬專用網(wǎng))模式。為了節(jié)省投資和資源,大部分企業(yè)會(huì)采用NAT(地址翻譯)組網(wǎng)模式,其過程為:企業(yè)向通信運(yùn)營(yíng)商申請(qǐng)互聯(lián)網(wǎng)接入,運(yùn)營(yíng)商負(fù)責(zé)分配相關(guān)的IP(網(wǎng)際互連協(xié)議)地址和建設(shè)運(yùn)營(yíng)商到企業(yè)的物理電路,然后企業(yè)在其出口路由器上配置NAT和靜態(tài)默認(rèn)路由,企業(yè)即可接入互聯(lián)網(wǎng)。但是當(dāng)企業(yè)具有分布在多個(gè)物理區(qū)域的分部時(shí),這種組網(wǎng)模式就存在嚴(yán)重的弊端,每個(gè)分部都能夠單獨(dú)訪問互聯(lián)網(wǎng),但是它們之間不能進(jìn)行相互訪問。專線模式不存在NAT模式的缺陷,但此種模式需要向通信運(yùn)營(yíng)商支付高額租金,成本昂貴。VPN模式也能避免NAT模式的缺陷,它可以通過MPLS VPN(多協(xié)議標(biāo)簽虛擬專用網(wǎng))、L2TP VPN(二層隧道技術(shù)虛擬專用網(wǎng))和IPSEC VPN(互聯(lián)網(wǎng)安全虛擬專用網(wǎng))等技術(shù)實(shí)現(xiàn),MPLS VPN是一種基于快速交換標(biāo)簽轉(zhuǎn)發(fā)的VPN技術(shù),其轉(zhuǎn)發(fā)數(shù)據(jù)的速度優(yōu)于L2TP VPN和IPSEC VPN,但是傳統(tǒng)的跨越互聯(lián)網(wǎng)的MPLS VPN網(wǎng)絡(luò)模式也需要向運(yùn)營(yíng)商支付相關(guān)的電路租金,而且MPLS VPN網(wǎng)絡(luò)的管理權(quán)限屬于通信運(yùn)營(yíng)商,對(duì)使用此模式的企業(yè)完全“透明”,這造成了企業(yè)網(wǎng)絡(luò)管理的效率低下[1]。

GRE(通用路由封裝)隧道可以為被異種網(wǎng)絡(luò)分離的2個(gè)物理站點(diǎn)建立點(diǎn)到點(diǎn)的通信隧道,GRE隧道能夠跨越通信運(yùn)營(yíng)商的網(wǎng)絡(luò),根據(jù)這個(gè)特點(diǎn),本研究在MPLS VPN的hub-spoking(中心連接)和full-mesh(全互連)的模式基礎(chǔ)上提出了一種新的BFFH(分部全互連和核心中心連接)網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)模式,并建立了一種基于GRE隧道和BFFH模式的MPLS VPN網(wǎng)絡(luò)模型。

1 NAT組網(wǎng)模式

企業(yè)向通信運(yùn)營(yíng)商申請(qǐng)互聯(lián)網(wǎng)接入時(shí),由于IPv4地址資源緊張,運(yùn)營(yíng)商只會(huì)給企業(yè)分配少量的IP地址,分配的IP地址遠(yuǎn)不能滿足企業(yè)的需求。例如如圖1所示,此時(shí)運(yùn)營(yíng)商只給企業(yè)分配了一個(gè)公網(wǎng)IP地址202.102.216.1,但是企業(yè)有3個(gè)終端,起碼需要3個(gè)IP地址,企業(yè)可采用NAT(地址翻譯)技術(shù)解決此矛盾,先為終端分配私網(wǎng)IP地址,私網(wǎng)IP地址經(jīng)過用戶路由器后和相關(guān)的TCP端口號(hào)進(jìn)行組合,然后此組合被NAT翻譯成運(yùn)營(yíng)商分配的公網(wǎng)IP地址后訪問互聯(lián)網(wǎng)。私網(wǎng)IP地址和公網(wǎng)IP地址存在一個(gè)多到少的函數(shù)映射:f(私網(wǎng)IP,TCP端口號(hào))=公網(wǎng)IP,圖1中的3個(gè)私網(wǎng)地址192.168.0.1、192.168.0.2和192.168.0.3都映射為公網(wǎng)地址202.102.216.1。

圖1 NAT組網(wǎng)方式

當(dāng)企業(yè)具有位于不同物理區(qū)域的多個(gè)分部時(shí),此種網(wǎng)絡(luò)模式存在嚴(yán)重的缺陷,因?yàn)楦鞣植康乃骄W(wǎng)路由在運(yùn)營(yíng)商的公網(wǎng)上沒有宣告發(fā)布,雖然各分部都可以單獨(dú)訪問互聯(lián)網(wǎng),但是它們沒有收到各分部的路由通告,所以它們之間不能進(jìn)行互訪[2]。

2 MPLS VPN網(wǎng)絡(luò)

VPN網(wǎng)絡(luò)被稱作虛擬專用網(wǎng)絡(luò),其在互聯(lián)網(wǎng)上利用公共的物理電路資源為用戶創(chuàng)建邏輯獨(dú)立的專用通道,比專線電路代價(jià)低,而且用戶接入更加靈活。

2.1 MPLS技術(shù)

MPLS是一種多協(xié)議標(biāo)簽交換技術(shù),傳統(tǒng)路由交換大都使用路由表進(jìn)行轉(zhuǎn)發(fā),在轉(zhuǎn)發(fā)的每一個(gè)路由器上都要進(jìn)行最長(zhǎng)的子網(wǎng)掩碼匹配查找,這會(huì)導(dǎo)致數(shù)據(jù)包的轉(zhuǎn)發(fā)速度低,影響傳輸?shù)男?而MPLS協(xié)議在數(shù)據(jù)的第二層幀頭和第三層包頭之間插入1個(gè)MPLS標(biāo)簽字段,MPLS標(biāo)簽頭長(zhǎng)度為32位,包含4個(gè)數(shù)據(jù)項(xiàng),分別為:標(biāo)簽項(xiàng)、優(yōu)先級(jí)項(xiàng)、標(biāo)簽位項(xiàng)和生存期項(xiàng)。其中標(biāo)簽項(xiàng)長(zhǎng)度為20位,負(fù)責(zé)數(shù)據(jù)發(fā)送;優(yōu)先級(jí)項(xiàng)為3位,共有8種組合,其不但決定數(shù)據(jù)發(fā)送的優(yōu)先級(jí),而且能夠配合QoS(網(wǎng)絡(luò)服務(wù)質(zhì)量)設(shè)定數(shù)據(jù)業(yè)務(wù)的優(yōu)先級(jí);標(biāo)簽位項(xiàng)為1位,其確定此標(biāo)簽是否最后一個(gè)標(biāo)簽,即MPLS標(biāo)簽是否存在嵌套使用,如果此值為0,表明此標(biāo)簽后還有標(biāo)簽,如果此值為1,則此標(biāo)簽是最后一個(gè)標(biāo)簽;生存期項(xiàng)共有8位,其又稱為MPLS TTL(多協(xié)議報(bào)文生存期),主要作用是防止環(huán)路[3]。

MPLS的體系結(jié)構(gòu)包括數(shù)據(jù)轉(zhuǎn)發(fā)和控制2個(gè)模塊,控制模塊包括路由協(xié)議、IP路由表和MPLS標(biāo)簽協(xié)議3個(gè)部分;數(shù)據(jù)模塊包括標(biāo)簽轉(zhuǎn)發(fā)表和IP路由轉(zhuǎn)發(fā)表2個(gè)部分。

MPLS域中的路由器依靠LDP(標(biāo)簽分發(fā))協(xié)議建立LDP會(huì)話后形成鄰居關(guān)系并交換標(biāo)簽信息,LDP協(xié)議通信的主要消息類型包括:hello(發(fā)現(xiàn)鄰居)、initialization(協(xié)商參數(shù))、keepalive(監(jiān)控連接)、address withdraw(撤銷地址)、address(宣告地址)、label mapping(映射信息)、label request(請(qǐng)求映射)、label withdraw(撤銷映射)、label release(釋放標(biāo)簽)和notification(有錯(cuò)誤信息)。LDP session的狀態(tài)類型有:NON-EXISTENT(初始階段)、INITIALIZED(建立階段)、OPENSENT(打開發(fā)送階段)、OPENREC(打開接受階段)和OPERATIONAL(成功會(huì)話階段)。LDP運(yùn)行狀態(tài)機(jī)如圖2所示。

圖2 LDP運(yùn)行狀態(tài)機(jī)

2.2 MPLS VPN網(wǎng)絡(luò)部署

MPLS VPN是1種三層的VPN技術(shù),其通過BGP協(xié)議在運(yùn)營(yíng)商的骨干核心網(wǎng)上發(fā)布用戶的私網(wǎng)路由,使用MPLS標(biāo)簽技術(shù)在運(yùn)營(yíng)商的骨干核心網(wǎng)上轉(zhuǎn)發(fā)用戶的業(yè)務(wù)數(shù)據(jù)。MPLS VPN組網(wǎng)形式靈活,而且擴(kuò)展性良好,并且支持QoS和TE技術(shù)。1個(gè)MPLS VPN的基本組網(wǎng)結(jié)構(gòu)圖如圖3所示。

圖3 MPLS VPN組網(wǎng)結(jié)構(gòu)圖

VPN用戶通過CE(用戶邊緣設(shè)備)接入到網(wǎng)絡(luò),CE可以是路由器、三層交換機(jī)或一臺(tái)主機(jī),CE不運(yùn)行MPLS協(xié)議,運(yùn)行普通的路由協(xié)議即可,CE和PE(運(yùn)營(yíng)商邊緣設(shè)備)一般通過靜態(tài)或者EBGP(外部邊界網(wǎng)關(guān)協(xié)議)路由協(xié)議進(jìn)行通信[4]。

PE學(xué)習(xí)CE發(fā)布的路由,把CE路由存放到相應(yīng)的VPN實(shí)例的路由表中,PE和P(運(yùn)營(yíng)商核心設(shè)備)通過OSPF(開放式最短路徑優(yōu)先協(xié)議)或者ISIS(中間系統(tǒng)到中間系統(tǒng)路由協(xié)議)協(xié)議進(jìn)行通信,PE設(shè)備要開啟運(yùn)行MPLS協(xié)議,PE和對(duì)端的PE建立IBGP(內(nèi)部邊界網(wǎng)關(guān)協(xié)議)鄰居,PE為CE的路由加上RD(路由區(qū)分符)標(biāo)簽再通過MBGP(多協(xié)議邊際網(wǎng)關(guān)協(xié)議)協(xié)議發(fā)送給對(duì)端的PE,PE會(huì)給發(fā)送的數(shù)據(jù)增加2個(gè)標(biāo)簽,外層MPLS標(biāo)簽負(fù)責(zé)在MPLS域進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),內(nèi)層VPN標(biāo)簽決定數(shù)據(jù)的具體VPN歸屬。

2.3 full-mesh和hub-spoking模式

當(dāng)數(shù)據(jù)到達(dá)PE后,PE根據(jù)接收到的路由的RT(路由目標(biāo))值Export(出)和Import(入)屬性決定是否轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)的條件是:源端Export值等于本端的Import值,而且本端的Export值等于源端的Import值,否則相關(guān)數(shù)據(jù)包會(huì)被路由器丟棄。

根據(jù)Export和Import的設(shè)置,可以把MPLS VPN的類型分成2種模式:一種是full-mesh類型,此時(shí)每個(gè)VPN接入點(diǎn)的RT屬性都設(shè)置成A:A的模式,Export和Import的值是相等的,任何一個(gè)VPN接入點(diǎn)的Export都等于其余VPN接入點(diǎn)Import,任何一個(gè)VPN接入點(diǎn)的Import都等于其余VPN接入點(diǎn)Export,此時(shí)任何2個(gè)VPN接入點(diǎn)都可以相互訪問,實(shí)例如圖4所示,3個(gè)PE的RT值是完全相同的,所以他們可以相互通信;另一種是hub-spoking類型,總部的RT屬性設(shè)為A:B,分部的RT值設(shè)為B:A,總部的Export值為A,其和分部的Import屬性值A(chǔ)相等,總部的Import值為B,其和分部的Export屬性值B相等,所以總部和分部可以相互訪問;分部的Export屬性值為B,Import屬性值為A,所以任意2個(gè)分部都不能相互訪問,因?yàn)樗鼈兊腅xport值不等于Import值,實(shí)例如圖5所示,PE1的RT值Import屬性值等于PE2和PE3的Export屬性值,PE1的RT值Export屬性值等于PE2和PE3的Import屬性值,所以PE1可以和PE2、PE3通信。PE2的Export屬性值不等于PE3的Import屬性值,PE2的Impor屬性值不等于PE3的Export屬性值,所以PE2和PE3不能通信,PE1為總部,而PE2和PE3則充當(dāng)了分部的角色。

圖4 full-mesh模式

圖5 hub-spoking模式

3 基于GRE隧道和BFFH模式的MPLS VPN網(wǎng)絡(luò)

3.1 GRE隧道

隧道技術(shù)指網(wǎng)絡(luò)設(shè)備把一種網(wǎng)絡(luò)協(xié)議封裝到另一個(gè)網(wǎng)絡(luò)協(xié)議中以跨越特定的網(wǎng)絡(luò)。發(fā)送網(wǎng)絡(luò)設(shè)備將需要傳送的數(shù)據(jù)包進(jìn)行封裝,在穿越特定的網(wǎng)絡(luò)后,接受網(wǎng)絡(luò)設(shè)備解封收到的數(shù)據(jù)包;隧道技術(shù)是一種點(diǎn)對(duì)點(diǎn)的傳輸技術(shù),必須在隧道的兩端進(jìn)行隧道的相關(guān)配置;傳輸過程中的特定網(wǎng)絡(luò)并不知道所封裝的數(shù)據(jù)包對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議,特定網(wǎng)絡(luò)只是對(duì)數(shù)據(jù)包進(jìn)行透明傳輸,被傳輸?shù)臄?shù)據(jù)只把隧道當(dāng)成一段獨(dú)立的邏輯電路[5]。

GRE是指通用路由封裝協(xié)議,其能夠?qū)μ囟ňW(wǎng)絡(luò)層協(xié)議的相關(guān)數(shù)據(jù)報(bào)文進(jìn)行封裝,然后把這些被封裝的報(bào)文在基于另一種網(wǎng)絡(luò)層協(xié)議的網(wǎng)絡(luò)中進(jìn)行發(fā)送。所以GRE協(xié)議用于三層VPN電路,為數(shù)據(jù)報(bào)文的傳輸提供一個(gè)透明可靠的通道。

GRE協(xié)議特點(diǎn)主要有:體系機(jī)構(gòu)簡(jiǎn)單,不需要維持相關(guān)的狀態(tài),建立隧道兩端的設(shè)備的系統(tǒng)負(fù)荷小;但GRE協(xié)議本身不提供數(shù)據(jù)的安全加密,加密可以與IPSEC聯(lián)合部署使用;此外,GRE協(xié)議不提供流量控制和QoS等流量安全策略。

GRE協(xié)議的格式如圖6所示。C表示校驗(yàn)和驗(yàn)證標(biāo)識(shí),C=1表示可選的Checksum(對(duì)GRE頭部和負(fù)載計(jì)算校驗(yàn)和)字段生效,C=0表示不生效。K=1表示可選的Key(關(guān)鍵字信息,用于對(duì)被接受的報(bào)文進(jìn)行驗(yàn)證)字段生效,K=0表示不生效。Recursion表示報(bào)文被封裝的層數(shù),其最大值為3,表示最多能封裝3層。Flags值為0,為預(yù)留值。Version是版本號(hào),其值為0。Protocol Type指乘客協(xié)議類型。其他的是填充位,填充位都是0。

圖6 GRE協(xié)議格式

通過GRE隧道的發(fā)送數(shù)據(jù)過程如下:如果報(bào)文的目的地必須經(jīng)過GRE隧道才能到達(dá),則網(wǎng)絡(luò)設(shè)備先將此報(bào)文發(fā)給對(duì)應(yīng)的GRE隧道的虛擬接口;虛擬接口收到此報(bào)文后立即進(jìn)行GRE封裝,然后封裝IP包頭,再根據(jù)此IP包的目的IP地址對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā);GRE隧道的另一端網(wǎng)絡(luò)設(shè)備會(huì)去掉此報(bào)文的IP包頭,再交給GRE協(xié)議進(jìn)行處理,需要進(jìn)行對(duì)密鑰的校驗(yàn)和計(jì)算,并對(duì)報(bào)文序列號(hào)進(jìn)行驗(yàn)證等;GRE協(xié)議完成處理后,網(wǎng)絡(luò)設(shè)備會(huì)去掉GRE報(bào)頭,再使用目的地的路由協(xié)議對(duì)此數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)[6]。

3.2 BFHH模式

在基于GRE隧道的MPLS VPN網(wǎng)絡(luò)中,分部可能具有多個(gè)PE,如果采用full-mesh模式,任意2個(gè)PE都要相互通信,則會(huì)浪費(fèi)大量帶寬。如果采用hub-spoking模式,每臺(tái)PE都要和總部的PE通信,這將加大總部PE的設(shè)備壓力;其次由于每個(gè)分部的PE都能通過GRE隧道跨越運(yùn)營(yíng)商,也會(huì)增加每個(gè)分部的出口帶寬使用率,降低GRE隧道的效率。

本研究提出的BFFH模式在分部PE之內(nèi)使用fullmesh模式,總部PE和分部出口PE之間采用hub-spoking模式,分部出口PE設(shè)置2個(gè)RT值,第一個(gè)RT值和總部PE的RT值匹配并完成hub-spoking通信,第二個(gè)RT值和本分部PE的RT值匹配并完成full-mesh通信,具體實(shí)例如圖7所示。PE2是分部1的出口路由器,其設(shè)置了B:A和C:C 2個(gè)RT值,RT值B:A和總部PE1路由器的RT值A(chǔ):B匹配,所以其能通過GRE隧道和PE1進(jìn)行MPLS通信;RT值C:C和分部1的路由器PE5的RT值C:C匹配,所以PE2和PE5也能通信;但是其RT值不和分部2的路由器的RT值B:A和D:D匹配,所以其不能訪問分部2的任意路由器;分部1的路由器PE5的RT值與總部和分部2的任意路由器的RT值不匹配,所以PE5只能訪問本分部的路由器。

圖7 BFFH模式

3.3 網(wǎng)絡(luò)模型

基于GRE隧道和BFFH模式的MPLS VPN網(wǎng)絡(luò)首先在兩端的網(wǎng)絡(luò)出口路由器之間建立GRE隧道,然后在GRE隧道上運(yùn)行MPLS協(xié)議,最后兩地的用戶通過BFFH網(wǎng)絡(luò)模式進(jìn)行互訪,此種網(wǎng)絡(luò)接入方式對(duì)運(yùn)營(yíng)商而言是“透明”的,不需要運(yùn)營(yíng)商進(jìn)行任何操作。用戶網(wǎng)絡(luò)需要設(shè)置P、PE和CE路由器(P和PE的角色可以由一臺(tái)路由器充當(dāng)),而不是在運(yùn)營(yíng)商的網(wǎng)絡(luò)中設(shè)置P、PE和CE路由器,和傳統(tǒng)的MPLS VPN網(wǎng)絡(luò)的對(duì)比如圖8所示。

圖8 2種MPLS VPN網(wǎng)絡(luò)對(duì)比

在此網(wǎng)絡(luò)模型中,所有的MPLS VPN的管理設(shè)置都由用戶完成,完全脫離了運(yùn)營(yíng)商,所以不用再向運(yùn)營(yíng)商支付租金,降低了用戶代價(jià);而且在用戶的網(wǎng)絡(luò)中,全程都使用MPLS標(biāo)簽交換發(fā)送數(shù)據(jù),提高了數(shù)據(jù)發(fā)送的速度;根據(jù)RD值設(shè)置了互相隔離的VPN實(shí)例,這也使用戶數(shù)據(jù)的安全性得到了保障;BFHH模式降低了分部出口PE的帶寬,降低了總部匯聚設(shè)備的壓力,提升了網(wǎng)絡(luò)運(yùn)行的效率。

4 網(wǎng)絡(luò)仿真分析

在Linux環(huán)境下用NS2網(wǎng)絡(luò)軟件模擬了MPLS VPN、基于GRE和BFFH的MPLS VPN和L2TP VPN 3種網(wǎng)絡(luò)模式。使用Waxman隨機(jī)圖數(shù)學(xué)模型對(duì)網(wǎng)絡(luò)的性能進(jìn)行分析,在此模型中,圖中的結(jié)點(diǎn)滿足隨機(jī)分布,會(huì)生成1個(gè)滿足假設(shè)需求的網(wǎng)絡(luò)拓?fù)鋱D形,結(jié)點(diǎn)x與y之間存在邊的概率為

其中:d(x,y)為結(jié)點(diǎn)x到結(jié)點(diǎn)y的歐拉距離;L是歐拉距離最大值;參數(shù)α,β都屬于開區(qū)間(0,1),α的值越大,結(jié)點(diǎn)間的存在邊的概率就越大,β越大,網(wǎng)絡(luò)的稠密越高。在實(shí)驗(yàn)中取α=0.643,β=0.357,為了比較3種網(wǎng)絡(luò)的性能[7],做如下設(shè)定:

PM、PG和PL代表這3種網(wǎng)絡(luò)模型的性能,性能和2個(gè)因素相關(guān),第1是網(wǎng)絡(luò)參數(shù)fx,取決于網(wǎng)絡(luò)的時(shí)延、抖動(dòng)和丟包等參數(shù),第2是網(wǎng)絡(luò)代價(jià)cx,和網(wǎng)絡(luò)的建造代價(jià)有關(guān),定義網(wǎng)絡(luò)性能為

其中x屬于集合(M,G,L),M、G和L代表3種VPN網(wǎng)絡(luò)模型,a是網(wǎng)絡(luò)參數(shù),b是代價(jià)參數(shù),a與b之和為1。

定義代表MPLS VPN網(wǎng)絡(luò)相對(duì)于L2TP VPN網(wǎng)絡(luò)的優(yōu)化百分比其中i代表進(jìn)行實(shí)驗(yàn)的網(wǎng)絡(luò)結(jié)點(diǎn)數(shù)。模擬實(shí)驗(yàn)選取網(wǎng)絡(luò)結(jié)點(diǎn)的數(shù)目i取值為k到n(k＞4,4＜n≤115),i值每次加1,取θML的平均值為定義代表基于GRE和BFFH的MPLS VPN相對(duì)于L2TP VPN的優(yōu)化百分比θGL= ( (PG-PL) /PL)× 1 00%,其中i代表進(jìn)行實(shí)驗(yàn)的網(wǎng)絡(luò)結(jié)點(diǎn)數(shù)。模擬實(shí)驗(yàn)選取網(wǎng)絡(luò)結(jié)點(diǎn)的數(shù)目i取值為k到n(k＞4,4＜n≤ 115),i值每次加1,取θGL的平均值為

實(shí)驗(yàn)對(duì)公式(2)的參數(shù)a和b設(shè)置了2組數(shù)據(jù),首先當(dāng)a=0.5,b=0.5實(shí)驗(yàn)結(jié)果如圖9所示,MPLS VPN優(yōu)于L2TP VPN,AV(θML)=4.2%;基于GRE和BFFH的MPLS VPN也優(yōu)于L2TP VPN,AV(θGL)=4.5%。隨著結(jié)點(diǎn)數(shù)目的增加,基于GRE和BFFH的MPLS VPN的優(yōu)勢(shì)越明顯。其次當(dāng)a=0.3,b=0.7實(shí)驗(yàn)結(jié)果如圖10所示,因?yàn)榇鷥r(jià)低,基于GRE和BFFH的MPLS VPN的網(wǎng)絡(luò)優(yōu)勢(shì)明顯,AV(θGL)=4.8%,而MPLS VPN網(wǎng)絡(luò)隨著結(jié)點(diǎn)增加,代價(jià)增大,優(yōu)勢(shì)較小,AV(θML)=1.1%。

圖9 模擬實(shí)驗(yàn)結(jié)果圖(a=0.5,b=0.5)

圖10 模擬實(shí)驗(yàn)結(jié)果圖(a=0.3,b=0.7)

5 網(wǎng)絡(luò)構(gòu)建

使用新提出的網(wǎng)絡(luò)模型對(duì)某企業(yè)的網(wǎng)絡(luò)進(jìn)行了構(gòu)建,此企業(yè)具有1個(gè)總部和2個(gè)分部,這3個(gè)物理區(qū)域的企業(yè)通過租用運(yùn)營(yíng)商的電路互聯(lián),CE設(shè)備為新華三集團(tuán)的MSR3620路由器,P和PE設(shè)備為新華三集團(tuán)的F100防火墻,具體網(wǎng)絡(luò)拓?fù)鋱D如圖11所示。

圖11 網(wǎng)絡(luò)構(gòu)建拓?fù)鋱D

CE路由器負(fù)責(zé)用戶接入,CE上配置子接口,負(fù)責(zé)接入不同VLAN的數(shù)據(jù),CE上配置默認(rèn)靜態(tài)路由把用戶數(shù)據(jù)包發(fā)送給PE;PE上啟動(dòng)MPLS和LDP進(jìn)程并進(jìn)行VRF(虛擬路由轉(zhuǎn)發(fā))配置,設(shè)定相關(guān)的RT和RD值,配置指向客戶路由網(wǎng)段的靜態(tài)路由,配置和其他PE路由器邏輯相連的BGP協(xié)議,配置和P路由器互聯(lián)的IGP協(xié)議,總部PE和分部PE的互訪采用BFHH模式;P路由器啟動(dòng)MPLS和LDP進(jìn)程,配置和P路由器互聯(lián)的IGP協(xié)議,配置與其他P路由器通信的GRE隧道[8]。

網(wǎng)絡(luò)構(gòu)建完畢后,網(wǎng)絡(luò)管理系統(tǒng)檢測(cè)到分部CE到總部CE的24小時(shí)時(shí)延如圖12所示。圖12中時(shí)延均小于60 ms,屬于正常時(shí)延范圍(告警值110 ms)。24小時(shí)觀測(cè)的丟包和抖動(dòng)個(gè)數(shù)如表1所示。24小時(shí)的丟包次數(shù)屬于正常時(shí)延范圍(告警值20個(gè)),24小時(shí)的抖動(dòng)次數(shù)屬于正常時(shí)延范圍(告警值40個(gè))[9]。

圖12 CE之間時(shí)延

表1 丟包和抖動(dòng)次數(shù)

6 小結(jié)

傳統(tǒng)的NAT組網(wǎng)模式只能滿足單物理區(qū)域的企業(yè)連接互聯(lián)網(wǎng),具有多個(gè)物理區(qū)域的企業(yè)接入互聯(lián)網(wǎng)需要通過專線和VPN模式,專線和傳統(tǒng)MPLS VPN組網(wǎng)模式需要向運(yùn)營(yíng)商支付高昂的電路租金,本研究提出了一種基于GRE隧道和BFFH模式的MPLS VPN組網(wǎng)模型,其對(duì)于通信運(yùn)營(yíng)商完全透明,在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上升級(jí)構(gòu)建網(wǎng)絡(luò),不會(huì)增加企業(yè)任何成本,而且具有高效、快速和安全的特點(diǎn)。模擬仿真結(jié)果良好,在實(shí)際的網(wǎng)絡(luò)建成后,時(shí)延、抖動(dòng)和丟包等網(wǎng)絡(luò)性能參數(shù)滿足企業(yè)的要求。

下一步研究方向是:通過IPSEC模式對(duì)經(jīng)過GRE隧道用戶業(yè)務(wù)數(shù)據(jù)進(jìn)行加密處理[10],通過SDN機(jī)制對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一的管理[11],從而進(jìn)一步提高網(wǎng)絡(luò)的運(yùn)行效率。