跨域虛擬專用網(wǎng)的研究與應(yīng)用

龔屹+王宏

摘要：針對(duì)MPLS和BGP構(gòu)建的VPN不支持跨自治系統(tǒng)域問(wèn)題，提出了一種跨自治系統(tǒng)域的背靠背解決方案。仿真實(shí)驗(yàn)測(cè)試驗(yàn)證方案是可行的。

關(guān)鍵詞：多協(xié)議標(biāo)簽交換 邊界網(wǎng)關(guān) 自治系統(tǒng)

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0042-02

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷增大，企業(yè)網(wǎng)絡(luò)需跨自治系統(tǒng)相連，而現(xiàn)有的MPLS和BGP構(gòu)建的VPN不支持跨自治系統(tǒng)，因此，互聯(lián)網(wǎng)工作組正在著力研究跨自治系統(tǒng)的虛擬專用網(wǎng)解決方案。本文針對(duì)MPLS和BGP構(gòu)建的虛擬專業(yè)網(wǎng)不支持跨自治系統(tǒng)域的問(wèn)題，對(duì)MPLS和BGP的體系結(jié)構(gòu)進(jìn)行了修改，使該技術(shù)構(gòu)建的虛擬專業(yè)網(wǎng)能跨自治系統(tǒng)通信，進(jìn)而擴(kuò)展了該技術(shù)的應(yīng)用。

1 技術(shù)原理

1.1 MPLS技術(shù)

通過(guò)VPN技術(shù)來(lái)構(gòu)建企業(yè)的虛擬私有網(wǎng)絡(luò)，其關(guān)鍵是要在公網(wǎng)中實(shí)現(xiàn)企業(yè)私有數(shù)據(jù)的承載。要實(shí)現(xiàn)用戶私有網(wǎng)絡(luò)數(shù)據(jù)穿越公網(wǎng)，必須依賴隧道技術(shù)。隧道技術(shù)是依賴報(bào)文封裝建立的，MPLS VPN技術(shù)也是一種隧道技術(shù)，它通過(guò)在IP報(bào)文前面加上MPLS標(biāo)簽實(shí)現(xiàn)報(bào)文封裝，這樣在數(shù)據(jù)轉(zhuǎn)發(fā)中路由器無(wú)需檢查數(shù)據(jù)內(nèi)部IP目的地址，根據(jù)標(biāo)簽就可以進(jìn)行轉(zhuǎn)發(fā)，從而加快了報(bào)文的轉(zhuǎn)發(fā)效率。MPLS在IP報(bào)文頭部加上了MPLS標(biāo)簽，這樣MPLS網(wǎng)絡(luò)中報(bào)文將通過(guò)標(biāo)簽完成轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)報(bào)文的設(shè)備是不知道被MPLS標(biāo)簽封裝在里面的這些私網(wǎng)報(bào)文存在的。

1.2 VRF與BGP技術(shù)

VPN組網(wǎng)結(jié)構(gòu)中通常分為私網(wǎng)和公網(wǎng)兩種類型：私網(wǎng)是用戶的自建網(wǎng)絡(luò)；而公網(wǎng)是指由運(yùn)營(yíng)商建設(shè)的公共網(wǎng)絡(luò)。VRF是解決不同VPN用戶地址沖突問(wèn)題的一門技術(shù)。若果在傳輸過(guò)程中的地址沖突問(wèn)題沒有得到解決，通過(guò)利用BGP技術(shù)中的RT、RD、私網(wǎng)標(biāo)簽可以解決傳輸過(guò)程當(dāng)中的地址沖突問(wèn)題。

MP-BGP協(xié)議中的RT屬性和RD屬性分別解決了學(xué)習(xí)和撤銷私網(wǎng)路由中存在的問(wèn)題，但是，由于VPN地址的沖突在報(bào)文轉(zhuǎn)發(fā)過(guò)程中也會(huì)遇到困難。當(dāng)本地PE設(shè)備接收到另一個(gè)PE設(shè)備發(fā)來(lái)的私網(wǎng)報(bào)文，可是本地PE設(shè)備上已經(jīng)介入了多個(gè)VPN用戶，這些VPN用戶的地址可能是相同的，那么報(bào)文的目的地址就有可能在多個(gè)VPN用戶路由表中都存在，這樣就無(wú)法判斷按哪一個(gè)VPN用戶的路由表進(jìn)行報(bào)文轉(zhuǎn)發(fā)了。為了解決以上問(wèn)題，在報(bào)文前面添加一個(gè)特殊MPL私網(wǎng)Label，在本地PE設(shè)備發(fā)布路由的時(shí)候添加上，對(duì)端PE設(shè)備接收到該條路由后將該調(diào)路由上攜帶的MPLS私網(wǎng)Label與路由信息一同保存在對(duì)應(yīng)的VRF中。當(dāng)對(duì)端PE設(shè)備使用這條路由向本地PE設(shè)備發(fā)送報(bào)文時(shí)，在轉(zhuǎn)入MPLS公網(wǎng)隧道前，會(huì)附加MPLS私網(wǎng)Label于IP地址前，當(dāng)本地PE設(shè)備收到報(bào)文時(shí)會(huì)按照這個(gè)Label值，就可以將該報(bào)文正確轉(zhuǎn)發(fā)到對(duì)應(yīng)的VPN用戶。

2 跨域平臺(tái)的VPN構(gòu)建

2.1 方案設(shè)計(jì)

A組織機(jī)構(gòu)總部在昆明，公司在多個(gè)地市有分支機(jī)構(gòu)。公司為實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的共享，組建了自己的虛擬專用網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)各機(jī)構(gòu)間通信。隨著公司業(yè)務(wù)的遞增，VPN隧道的建立和維護(hù)也需成平方的增長(zhǎng)。公司最終決定將這部分業(yè)務(wù)外包給電信運(yùn)營(yíng)商。電信運(yùn)營(yíng)商需負(fù)責(zé)組織機(jī)構(gòu)A的業(yè)務(wù)數(shù)據(jù)交換，需在自己現(xiàn)有的平臺(tái)上實(shí)現(xiàn)與用戶進(jìn)行數(shù)據(jù)業(yè)務(wù)的對(duì)接。要完成兩平臺(tái)數(shù)據(jù)的無(wú)縫銜接需解決以下幾個(gè)方面的問(wèn)題。

（1）組織機(jī)構(gòu)A需要交換的數(shù)據(jù)是私網(wǎng)數(shù)據(jù)，而在公網(wǎng)當(dāng)中是識(shí)別不了該數(shù)據(jù)。在運(yùn)營(yíng)商的網(wǎng)絡(luò)當(dāng)中需要考慮采用哪種隧道技術(shù)來(lái)封裝該私網(wǎng)數(shù)數(shù)據(jù)，進(jìn)而承載該私網(wǎng)數(shù)據(jù)穿越公網(wǎng)。

（2）機(jī)構(gòu)間的隧道建立好后，需考慮在機(jī)構(gòu)之間選用哪種路由協(xié)議來(lái)傳遞私網(wǎng)數(shù)據(jù)。在運(yùn)營(yíng)商的設(shè)備間一級(jí)級(jí)的傳遞私網(wǎng)數(shù)據(jù)不可取，需考慮一種跨設(shè)備傳遞私網(wǎng)數(shù)據(jù)的路由協(xié)議。

（3）對(duì)于運(yùn)營(yíng)商的網(wǎng)絡(luò)而言，是給多用戶提供服務(wù)的。給多用戶服務(wù)會(huì)學(xué)習(xí)到每個(gè)用戶的私網(wǎng)地址，眾多的用戶有可能會(huì)采用相同的私網(wǎng)地址，會(huì)引起地址沖突。在運(yùn)營(yíng)商的網(wǎng)絡(luò)中需要解決私網(wǎng)地址沖突的問(wèn)題。

（4）當(dāng)多用戶的私網(wǎng)數(shù)據(jù)從運(yùn)營(yíng)商的一側(cè)，傳遞到另外一側(cè)時(shí)，需區(qū)分出不同用戶的私網(wǎng)數(shù)據(jù)。

（5）該網(wǎng)絡(luò)系統(tǒng)跨兩省份，兩省份網(wǎng)絡(luò)分別有各自的自治系統(tǒng)號(hào)。因此，需要考慮私網(wǎng)數(shù)據(jù)在自治系統(tǒng)間如何傳遞的問(wèn)題。

2.2 方案實(shí)現(xiàn)

在方案中要實(shí)現(xiàn)各地區(qū)數(shù)據(jù)的交互，關(guān)鍵是要實(shí)現(xiàn)各地區(qū)路由器的互通。

本方案使用MPLS和BGP構(gòu)建了跨自治系統(tǒng)的VPN，為了評(píng)估其方案的可行性，對(duì)本方案進(jìn)行測(cè)試。該方案的最終目的是實(shí)現(xiàn)相同VPN用戶站點(diǎn)的通信，在該仿真實(shí)驗(yàn)中，在pe1上用loopback1和Loopback2替代了與它相連接的兩臺(tái)CE設(shè)備，loopback1代表昆明組織機(jī)構(gòu)A，Loopback2代表昆明組織機(jī)構(gòu)B。在pe1設(shè)備上運(yùn)行dis ip routing-table vpn-instance vpn1，得到的結(jié)果如圖1所示。

圖中的顯示結(jié)果說(shuō)明設(shè)備間已完成報(bào)文的交互，并已學(xué)習(xí)到目的站點(diǎn)的私網(wǎng)路由信息。在pe1設(shè)備用ping-vpn-instance vpn1 8.8.8.8得到如圖2的顯示結(jié)果。

圖中的測(cè)試結(jié)果表明從組織機(jī)構(gòu)A的昆明總部去訪問(wèn)貴陽(yáng)分部是成功的，進(jìn)而證明該仿真實(shí)驗(yàn)的可行性。使MPLS和BGP構(gòu)建的VPN應(yīng)用于跨自治系統(tǒng)平臺(tái)的網(wǎng)絡(luò)中，擴(kuò)展了該技術(shù)的應(yīng)用領(lǐng)域。

3 結(jié)語(yǔ)

MPLS不能給外部網(wǎng)關(guān)路由信息分配標(biāo)簽，使MPLS與BGP構(gòu)建的VPN網(wǎng)絡(luò)無(wú)法跨自治系統(tǒng)域。本文針對(duì)該問(wèn)題，提出了一種解決方案，使MPLS和BGP構(gòu)建的VPN可以成功跨自治系統(tǒng)域，進(jìn)而使該技術(shù)支持跨自治系統(tǒng)平臺(tái)的VPN構(gòu)建，使該技術(shù)的應(yīng)用越來(lái)越廣泛。

參考文獻(xiàn)

[1]HOU Jianfeng，MA Mingkai. Research on PE-CE connection simulation in MPLS VPN[J].Computer Engineering，2010，36（12）：123-125.

[2]ZHANG Haiyan，UMANSKY Igor，LI Han.Linear Protection Switching in MPLS-TP， draft-zulr-mpls-tp- linear-protection-switching-02[S].January 11， 2011.

[3]LEE YW，KIM S，PARK J，el：al.A lightweigllt implementation of RSVP-TE protocol for MPLS-TE signaling[J].Computer Communications，2007，30（6）：1199-1204.

[4]任金秋，馬海龍，汪斌強(qiáng).跨域BGP/MPLS VPN在高性能路由器中的實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2009，35（3）：126-129.

摘要：針對(duì)MPLS和BGP構(gòu)建的VPN不支持跨自治系統(tǒng)域問(wèn)題，提出了一種跨自治系統(tǒng)域的背靠背解決方案。仿真實(shí)驗(yàn)測(cè)試驗(yàn)證方案是可行的。

關(guān)鍵詞：多協(xié)議標(biāo)簽交換 邊界網(wǎng)關(guān) 自治系統(tǒng)

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0042-02

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷增大，企業(yè)網(wǎng)絡(luò)需跨自治系統(tǒng)相連，而現(xiàn)有的MPLS和BGP構(gòu)建的VPN不支持跨自治系統(tǒng)，因此，互聯(lián)網(wǎng)工作組正在著力研究跨自治系統(tǒng)的虛擬專用網(wǎng)解決方案。本文針對(duì)MPLS和BGP構(gòu)建的虛擬專業(yè)網(wǎng)不支持跨自治系統(tǒng)域的問(wèn)題，對(duì)MPLS和BGP的體系結(jié)構(gòu)進(jìn)行了修改，使該技術(shù)構(gòu)建的虛擬專業(yè)網(wǎng)能跨自治系統(tǒng)通信，進(jìn)而擴(kuò)展了該技術(shù)的應(yīng)用。

1 技術(shù)原理

1.1 MPLS技術(shù)

通過(guò)VPN技術(shù)來(lái)構(gòu)建企業(yè)的虛擬私有網(wǎng)絡(luò)，其關(guān)鍵是要在公網(wǎng)中實(shí)現(xiàn)企業(yè)私有數(shù)據(jù)的承載。要實(shí)現(xiàn)用戶私有網(wǎng)絡(luò)數(shù)據(jù)穿越公網(wǎng)，必須依賴隧道技術(shù)。隧道技術(shù)是依賴報(bào)文封裝建立的，MPLS VPN技術(shù)也是一種隧道技術(shù)，它通過(guò)在IP報(bào)文前面加上MPLS標(biāo)簽實(shí)現(xiàn)報(bào)文封裝，這樣在數(shù)據(jù)轉(zhuǎn)發(fā)中路由器無(wú)需檢查數(shù)據(jù)內(nèi)部IP目的地址，根據(jù)標(biāo)簽就可以進(jìn)行轉(zhuǎn)發(fā)，從而加快了報(bào)文的轉(zhuǎn)發(fā)效率。MPLS在IP報(bào)文頭部加上了MPLS標(biāo)簽，這樣MPLS網(wǎng)絡(luò)中報(bào)文將通過(guò)標(biāo)簽完成轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)報(bào)文的設(shè)備是不知道被MPLS標(biāo)簽封裝在里面的這些私網(wǎng)報(bào)文存在的。

1.2 VRF與BGP技術(shù)

VPN組網(wǎng)結(jié)構(gòu)中通常分為私網(wǎng)和公網(wǎng)兩種類型：私網(wǎng)是用戶的自建網(wǎng)絡(luò)；而公網(wǎng)是指由運(yùn)營(yíng)商建設(shè)的公共網(wǎng)絡(luò)。VRF是解決不同VPN用戶地址沖突問(wèn)題的一門技術(shù)。若果在傳輸過(guò)程中的地址沖突問(wèn)題沒有得到解決，通過(guò)利用BGP技術(shù)中的RT、RD、私網(wǎng)標(biāo)簽可以解決傳輸過(guò)程當(dāng)中的地址沖突問(wèn)題。

MP-BGP協(xié)議中的RT屬性和RD屬性分別解決了學(xué)習(xí)和撤銷私網(wǎng)路由中存在的問(wèn)題，但是，由于VPN地址的沖突在報(bào)文轉(zhuǎn)發(fā)過(guò)程中也會(huì)遇到困難。當(dāng)本地PE設(shè)備接收到另一個(gè)PE設(shè)備發(fā)來(lái)的私網(wǎng)報(bào)文，可是本地PE設(shè)備上已經(jīng)介入了多個(gè)VPN用戶，這些VPN用戶的地址可能是相同的，那么報(bào)文的目的地址就有可能在多個(gè)VPN用戶路由表中都存在，這樣就無(wú)法判斷按哪一個(gè)VPN用戶的路由表進(jìn)行報(bào)文轉(zhuǎn)發(fā)了。為了解決以上問(wèn)題，在報(bào)文前面添加一個(gè)特殊MPL私網(wǎng)Label，在本地PE設(shè)備發(fā)布路由的時(shí)候添加上，對(duì)端PE設(shè)備接收到該條路由后將該調(diào)路由上攜帶的MPLS私網(wǎng)Label與路由信息一同保存在對(duì)應(yīng)的VRF中。當(dāng)對(duì)端PE設(shè)備使用這條路由向本地PE設(shè)備發(fā)送報(bào)文時(shí)，在轉(zhuǎn)入MPLS公網(wǎng)隧道前，會(huì)附加MPLS私網(wǎng)Label于IP地址前，當(dāng)本地PE設(shè)備收到報(bào)文時(shí)會(huì)按照這個(gè)Label值，就可以將該報(bào)文正確轉(zhuǎn)發(fā)到對(duì)應(yīng)的VPN用戶。

2 跨域平臺(tái)的VPN構(gòu)建

2.1 方案設(shè)計(jì)

A組織機(jī)構(gòu)總部在昆明，公司在多個(gè)地市有分支機(jī)構(gòu)。公司為實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的共享，組建了自己的虛擬專用網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)各機(jī)構(gòu)間通信。隨著公司業(yè)務(wù)的遞增，VPN隧道的建立和維護(hù)也需成平方的增長(zhǎng)。公司最終決定將這部分業(yè)務(wù)外包給電信運(yùn)營(yíng)商。電信運(yùn)營(yíng)商需負(fù)責(zé)組織機(jī)構(gòu)A的業(yè)務(wù)數(shù)據(jù)交換，需在自己現(xiàn)有的平臺(tái)上實(shí)現(xiàn)與用戶進(jìn)行數(shù)據(jù)業(yè)務(wù)的對(duì)接。要完成兩平臺(tái)數(shù)據(jù)的無(wú)縫銜接需解決以下幾個(gè)方面的問(wèn)題。

（1）組織機(jī)構(gòu)A需要交換的數(shù)據(jù)是私網(wǎng)數(shù)據(jù)，而在公網(wǎng)當(dāng)中是識(shí)別不了該數(shù)據(jù)。在運(yùn)營(yíng)商的網(wǎng)絡(luò)當(dāng)中需要考慮采用哪種隧道技術(shù)來(lái)封裝該私網(wǎng)數(shù)數(shù)據(jù)，進(jìn)而承載該私網(wǎng)數(shù)據(jù)穿越公網(wǎng)。

（2）機(jī)構(gòu)間的隧道建立好后，需考慮在機(jī)構(gòu)之間選用哪種路由協(xié)議來(lái)傳遞私網(wǎng)數(shù)據(jù)。在運(yùn)營(yíng)商的設(shè)備間一級(jí)級(jí)的傳遞私網(wǎng)數(shù)據(jù)不可取，需考慮一種跨設(shè)備傳遞私網(wǎng)數(shù)據(jù)的路由協(xié)議。

（3）對(duì)于運(yùn)營(yíng)商的網(wǎng)絡(luò)而言，是給多用戶提供服務(wù)的。給多用戶服務(wù)會(huì)學(xué)習(xí)到每個(gè)用戶的私網(wǎng)地址，眾多的用戶有可能會(huì)采用相同的私網(wǎng)地址，會(huì)引起地址沖突。在運(yùn)營(yíng)商的網(wǎng)絡(luò)中需要解決私網(wǎng)地址沖突的問(wèn)題。

（4）當(dāng)多用戶的私網(wǎng)數(shù)據(jù)從運(yùn)營(yíng)商的一側(cè)，傳遞到另外一側(cè)時(shí)，需區(qū)分出不同用戶的私網(wǎng)數(shù)據(jù)。

（5）該網(wǎng)絡(luò)系統(tǒng)跨兩省份，兩省份網(wǎng)絡(luò)分別有各自的自治系統(tǒng)號(hào)。因此，需要考慮私網(wǎng)數(shù)據(jù)在自治系統(tǒng)間如何傳遞的問(wèn)題。

2.2 方案實(shí)現(xiàn)

在方案中要實(shí)現(xiàn)各地區(qū)數(shù)據(jù)的交互，關(guān)鍵是要實(shí)現(xiàn)各地區(qū)路由器的互通。

本方案使用MPLS和BGP構(gòu)建了跨自治系統(tǒng)的VPN，為了評(píng)估其方案的可行性，對(duì)本方案進(jìn)行測(cè)試。該方案的最終目的是實(shí)現(xiàn)相同VPN用戶站點(diǎn)的通信，在該仿真實(shí)驗(yàn)中，在pe1上用loopback1和Loopback2替代了與它相連接的兩臺(tái)CE設(shè)備，loopback1代表昆明組織機(jī)構(gòu)A，Loopback2代表昆明組織機(jī)構(gòu)B。在pe1設(shè)備上運(yùn)行dis ip routing-table vpn-instance vpn1，得到的結(jié)果如圖1所示。

圖中的顯示結(jié)果說(shuō)明設(shè)備間已完成報(bào)文的交互，并已學(xué)習(xí)到目的站點(diǎn)的私網(wǎng)路由信息。在pe1設(shè)備用ping-vpn-instance vpn1 8.8.8.8得到如圖2的顯示結(jié)果。

圖中的測(cè)試結(jié)果表明從組織機(jī)構(gòu)A的昆明總部去訪問(wèn)貴陽(yáng)分部是成功的，進(jìn)而證明該仿真實(shí)驗(yàn)的可行性。使MPLS和BGP構(gòu)建的VPN應(yīng)用于跨自治系統(tǒng)平臺(tái)的網(wǎng)絡(luò)中，擴(kuò)展了該技術(shù)的應(yīng)用領(lǐng)域。

3 結(jié)語(yǔ)

MPLS不能給外部網(wǎng)關(guān)路由信息分配標(biāo)簽，使MPLS與BGP構(gòu)建的VPN網(wǎng)絡(luò)無(wú)法跨自治系統(tǒng)域。本文針對(duì)該問(wèn)題，提出了一種解決方案，使MPLS和BGP構(gòu)建的VPN可以成功跨自治系統(tǒng)域，進(jìn)而使該技術(shù)支持跨自治系統(tǒng)平臺(tái)的VPN構(gòu)建，使該技術(shù)的應(yīng)用越來(lái)越廣泛。

參考文獻(xiàn)

[1]HOU Jianfeng，MA Mingkai. Research on PE-CE connection simulation in MPLS VPN[J].Computer Engineering，2010，36（12）：123-125.

[2]ZHANG Haiyan，UMANSKY Igor，LI Han.Linear Protection Switching in MPLS-TP， draft-zulr-mpls-tp- linear-protection-switching-02[S].January 11， 2011.

[3]LEE YW，KIM S，PARK J，el：al.A lightweigllt implementation of RSVP-TE protocol for MPLS-TE signaling[J].Computer Communications，2007，30（6）：1199-1204.

[4]任金秋，馬海龍，汪斌強(qiáng).跨域BGP/MPLS VPN在高性能路由器中的實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2009，35（3）：126-129.

摘要：針對(duì)MPLS和BGP構(gòu)建的VPN不支持跨自治系統(tǒng)域問(wèn)題，提出了一種跨自治系統(tǒng)域的背靠背解決方案。仿真實(shí)驗(yàn)測(cè)試驗(yàn)證方案是可行的。

關(guān)鍵詞：多協(xié)議標(biāo)簽交換 邊界網(wǎng)關(guān) 自治系統(tǒng)

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0042-02

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷增大，企業(yè)網(wǎng)絡(luò)需跨自治系統(tǒng)相連，而現(xiàn)有的MPLS和BGP構(gòu)建的VPN不支持跨自治系統(tǒng)，因此，互聯(lián)網(wǎng)工作組正在著力研究跨自治系統(tǒng)的虛擬專用網(wǎng)解決方案。本文針對(duì)MPLS和BGP構(gòu)建的虛擬專業(yè)網(wǎng)不支持跨自治系統(tǒng)域的問(wèn)題，對(duì)MPLS和BGP的體系結(jié)構(gòu)進(jìn)行了修改，使該技術(shù)構(gòu)建的虛擬專業(yè)網(wǎng)能跨自治系統(tǒng)通信，進(jìn)而擴(kuò)展了該技術(shù)的應(yīng)用。

1 技術(shù)原理

1.1 MPLS技術(shù)

通過(guò)VPN技術(shù)來(lái)構(gòu)建企業(yè)的虛擬私有網(wǎng)絡(luò)，其關(guān)鍵是要在公網(wǎng)中實(shí)現(xiàn)企業(yè)私有數(shù)據(jù)的承載。要實(shí)現(xiàn)用戶私有網(wǎng)絡(luò)數(shù)據(jù)穿越公網(wǎng)，必須依賴隧道技術(shù)。隧道技術(shù)是依賴報(bào)文封裝建立的，MPLS VPN技術(shù)也是一種隧道技術(shù)，它通過(guò)在IP報(bào)文前面加上MPLS標(biāo)簽實(shí)現(xiàn)報(bào)文封裝，這樣在數(shù)據(jù)轉(zhuǎn)發(fā)中路由器無(wú)需檢查數(shù)據(jù)內(nèi)部IP目的地址，根據(jù)標(biāo)簽就可以進(jìn)行轉(zhuǎn)發(fā)，從而加快了報(bào)文的轉(zhuǎn)發(fā)效率。MPLS在IP報(bào)文頭部加上了MPLS標(biāo)簽，這樣MPLS網(wǎng)絡(luò)中報(bào)文將通過(guò)標(biāo)簽完成轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)報(bào)文的設(shè)備是不知道被MPLS標(biāo)簽封裝在里面的這些私網(wǎng)報(bào)文存在的。

1.2 VRF與BGP技術(shù)

VPN組網(wǎng)結(jié)構(gòu)中通常分為私網(wǎng)和公網(wǎng)兩種類型：私網(wǎng)是用戶的自建網(wǎng)絡(luò)；而公網(wǎng)是指由運(yùn)營(yíng)商建設(shè)的公共網(wǎng)絡(luò)。VRF是解決不同VPN用戶地址沖突問(wèn)題的一門技術(shù)。若果在傳輸過(guò)程中的地址沖突問(wèn)題沒有得到解決，通過(guò)利用BGP技術(shù)中的RT、RD、私網(wǎng)標(biāo)簽可以解決傳輸過(guò)程當(dāng)中的地址沖突問(wèn)題。

MP-BGP協(xié)議中的RT屬性和RD屬性分別解決了學(xué)習(xí)和撤銷私網(wǎng)路由中存在的問(wèn)題，但是，由于VPN地址的沖突在報(bào)文轉(zhuǎn)發(fā)過(guò)程中也會(huì)遇到困難。當(dāng)本地PE設(shè)備接收到另一個(gè)PE設(shè)備發(fā)來(lái)的私網(wǎng)報(bào)文，可是本地PE設(shè)備上已經(jīng)介入了多個(gè)VPN用戶，這些VPN用戶的地址可能是相同的，那么報(bào)文的目的地址就有可能在多個(gè)VPN用戶路由表中都存在，這樣就無(wú)法判斷按哪一個(gè)VPN用戶的路由表進(jìn)行報(bào)文轉(zhuǎn)發(fā)了。為了解決以上問(wèn)題，在報(bào)文前面添加一個(gè)特殊MPL私網(wǎng)Label，在本地PE設(shè)備發(fā)布路由的時(shí)候添加上，對(duì)端PE設(shè)備接收到該條路由后將該調(diào)路由上攜帶的MPLS私網(wǎng)Label與路由信息一同保存在對(duì)應(yīng)的VRF中。當(dāng)對(duì)端PE設(shè)備使用這條路由向本地PE設(shè)備發(fā)送報(bào)文時(shí)，在轉(zhuǎn)入MPLS公網(wǎng)隧道前，會(huì)附加MPLS私網(wǎng)Label于IP地址前，當(dāng)本地PE設(shè)備收到報(bào)文時(shí)會(huì)按照這個(gè)Label值，就可以將該報(bào)文正確轉(zhuǎn)發(fā)到對(duì)應(yīng)的VPN用戶。

2 跨域平臺(tái)的VPN構(gòu)建

2.1 方案設(shè)計(jì)

A組織機(jī)構(gòu)總部在昆明，公司在多個(gè)地市有分支機(jī)構(gòu)。公司為實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的共享，組建了自己的虛擬專用網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)各機(jī)構(gòu)間通信。隨著公司業(yè)務(wù)的遞增，VPN隧道的建立和維護(hù)也需成平方的增長(zhǎng)。公司最終決定將這部分業(yè)務(wù)外包給電信運(yùn)營(yíng)商。電信運(yùn)營(yíng)商需負(fù)責(zé)組織機(jī)構(gòu)A的業(yè)務(wù)數(shù)據(jù)交換，需在自己現(xiàn)有的平臺(tái)上實(shí)現(xiàn)與用戶進(jìn)行數(shù)據(jù)業(yè)務(wù)的對(duì)接。要完成兩平臺(tái)數(shù)據(jù)的無(wú)縫銜接需解決以下幾個(gè)方面的問(wèn)題。

（1）組織機(jī)構(gòu)A需要交換的數(shù)據(jù)是私網(wǎng)數(shù)據(jù)，而在公網(wǎng)當(dāng)中是識(shí)別不了該數(shù)據(jù)。在運(yùn)營(yíng)商的網(wǎng)絡(luò)當(dāng)中需要考慮采用哪種隧道技術(shù)來(lái)封裝該私網(wǎng)數(shù)數(shù)據(jù)，進(jìn)而承載該私網(wǎng)數(shù)據(jù)穿越公網(wǎng)。

（2）機(jī)構(gòu)間的隧道建立好后，需考慮在機(jī)構(gòu)之間選用哪種路由協(xié)議來(lái)傳遞私網(wǎng)數(shù)據(jù)。在運(yùn)營(yíng)商的設(shè)備間一級(jí)級(jí)的傳遞私網(wǎng)數(shù)據(jù)不可取，需考慮一種跨設(shè)備傳遞私網(wǎng)數(shù)據(jù)的路由協(xié)議。

（3）對(duì)于運(yùn)營(yíng)商的網(wǎng)絡(luò)而言，是給多用戶提供服務(wù)的。給多用戶服務(wù)會(huì)學(xué)習(xí)到每個(gè)用戶的私網(wǎng)地址，眾多的用戶有可能會(huì)采用相同的私網(wǎng)地址，會(huì)引起地址沖突。在運(yùn)營(yíng)商的網(wǎng)絡(luò)中需要解決私網(wǎng)地址沖突的問(wèn)題。

（4）當(dāng)多用戶的私網(wǎng)數(shù)據(jù)從運(yùn)營(yíng)商的一側(cè)，傳遞到另外一側(cè)時(shí)，需區(qū)分出不同用戶的私網(wǎng)數(shù)據(jù)。

（5）該網(wǎng)絡(luò)系統(tǒng)跨兩省份，兩省份網(wǎng)絡(luò)分別有各自的自治系統(tǒng)號(hào)。因此，需要考慮私網(wǎng)數(shù)據(jù)在自治系統(tǒng)間如何傳遞的問(wèn)題。

2.2 方案實(shí)現(xiàn)

在方案中要實(shí)現(xiàn)各地區(qū)數(shù)據(jù)的交互，關(guān)鍵是要實(shí)現(xiàn)各地區(qū)路由器的互通。

本方案使用MPLS和BGP構(gòu)建了跨自治系統(tǒng)的VPN，為了評(píng)估其方案的可行性，對(duì)本方案進(jìn)行測(cè)試。該方案的最終目的是實(shí)現(xiàn)相同VPN用戶站點(diǎn)的通信，在該仿真實(shí)驗(yàn)中，在pe1上用loopback1和Loopback2替代了與它相連接的兩臺(tái)CE設(shè)備，loopback1代表昆明組織機(jī)構(gòu)A，Loopback2代表昆明組織機(jī)構(gòu)B。在pe1設(shè)備上運(yùn)行dis ip routing-table vpn-instance vpn1，得到的結(jié)果如圖1所示。

圖中的顯示結(jié)果說(shuō)明設(shè)備間已完成報(bào)文的交互，并已學(xué)習(xí)到目的站點(diǎn)的私網(wǎng)路由信息。在pe1設(shè)備用ping-vpn-instance vpn1 8.8.8.8得到如圖2的顯示結(jié)果。

圖中的測(cè)試結(jié)果表明從組織機(jī)構(gòu)A的昆明總部去訪問(wèn)貴陽(yáng)分部是成功的，進(jìn)而證明該仿真實(shí)驗(yàn)的可行性。使MPLS和BGP構(gòu)建的VPN應(yīng)用于跨自治系統(tǒng)平臺(tái)的網(wǎng)絡(luò)中，擴(kuò)展了該技術(shù)的應(yīng)用領(lǐng)域。

3 結(jié)語(yǔ)

MPLS不能給外部網(wǎng)關(guān)路由信息分配標(biāo)簽，使MPLS與BGP構(gòu)建的VPN網(wǎng)絡(luò)無(wú)法跨自治系統(tǒng)域。本文針對(duì)該問(wèn)題，提出了一種解決方案，使MPLS和BGP構(gòu)建的VPN可以成功跨自治系統(tǒng)域，進(jìn)而使該技術(shù)支持跨自治系統(tǒng)平臺(tái)的VPN構(gòu)建，使該技術(shù)的應(yīng)用越來(lái)越廣泛。

參考文獻(xiàn)

[1]HOU Jianfeng，MA Mingkai. Research on PE-CE connection simulation in MPLS VPN[J].Computer Engineering，2010，36（12）：123-125.

[2]ZHANG Haiyan，UMANSKY Igor，LI Han.Linear Protection Switching in MPLS-TP， draft-zulr-mpls-tp- linear-protection-switching-02[S].January 11， 2011.

[3]LEE YW，KIM S，PARK J，el：al.A lightweigllt implementation of RSVP-TE protocol for MPLS-TE signaling[J].Computer Communications，2007，30（6）：1199-1204.

[4]任金秋，馬海龍，汪斌強(qiáng).跨域BGP/MPLS VPN在高性能路由器中的實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2009，35（3）：126-129.