趙慧慧 陶駿
摘要:在企業(yè)網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上,針對企業(yè)網(wǎng)絡(luò)改造的需求,對MPLS VPN和BGP網(wǎng)絡(luò)協(xié)議的基本概念進(jìn)行了闡述。對網(wǎng)絡(luò)升級方案進(jìn)行了詳細(xì)介紹,并對網(wǎng)絡(luò)升級方案進(jìn)行了模擬仿真。根據(jù)網(wǎng)絡(luò)升級方案重新進(jìn)行了網(wǎng)絡(luò)構(gòu)建,描述了網(wǎng)絡(luò)設(shè)備的詳細(xì)配置,比較了網(wǎng)絡(luò)升級前后的網(wǎng)絡(luò)參數(shù),得出采用MPLS VPN和BGP構(gòu)建企業(yè)網(wǎng)絡(luò)具有較高優(yōu)越性的結(jié)論。
關(guān)鍵詞:網(wǎng)絡(luò)升級;MPLS;VPN;BGP
中圖分類號:TP393 文獻(xiàn)標(biāo)志碼:A 文章編號:1008-1739(2019)03-62-3
0 引言
隨著社會和經(jīng)濟(jì)的發(fā)展,越來越多的企業(yè)接入了互聯(lián)網(wǎng),接入互聯(lián)網(wǎng)的企業(yè)往往不局限在一個地點(diǎn),因?yàn)榭赡馨鄠€分公司和辦事處,這些分公司和辦事處一般都采取地址翻譯(NAT)方式接入到互聯(lián)網(wǎng)和總部通信,NAT方式雖然可以滿足通信的基本需求,但是也有以下缺陷:①NAT方式需要對應(yīng)路由器開啟NAT進(jìn)程,加大了路由器的負(fù)荷;②NAT方式造成局域網(wǎng)的IP地址對外是不可見的,造成分公司和辦事處無法直接訪問總部內(nèi)部的IP地址所對應(yīng)的應(yīng)用程序。
為解決這一問題,可以采取虛擬局域網(wǎng)的方式組建此類企業(yè)的局域網(wǎng),VPN的接入方式有很多種,比如L2TP VPN、GRE VPN和MPLS VPN,前2種都是采用傳統(tǒng)的路由進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),MPLS采取標(biāo)簽轉(zhuǎn)發(fā),效率高于前2種。經(jīng)過充分調(diào)研和論證后,本網(wǎng)絡(luò)方案采取基于MPLS VPN的方式構(gòu)建企業(yè)網(wǎng)絡(luò)。
1 MPLS VPN和BGP
MPLS VPN是指使用多協(xié)議標(biāo)記轉(zhuǎn)換技術(shù)在互聯(lián)網(wǎng)上構(gòu)建企業(yè)IP虛擬局域網(wǎng),實(shí)現(xiàn)跨地理區(qū)間的數(shù)據(jù)、語音和圖像等多業(yè)務(wù)安全快速的發(fā)送,并結(jié)合QoS等相關(guān)技術(shù),將公眾網(wǎng)可靠和擴(kuò)展性與專用網(wǎng)的安全和高效性結(jié)合在—起。MPLS VPN網(wǎng)絡(luò)主要包括:CE,PE,P三種路由器。①CE是用戶網(wǎng)絡(luò)邊緣路由器設(shè)備,直接與服務(wù)提供商網(wǎng)絡(luò)相連,不用配置VPN;②PE是服務(wù)提供商邊緣路由器設(shè)備,與用戶的CE直接相連,負(fù)責(zé)VPN業(yè)務(wù)接入,處理VPN-IPv4路由,是MPLS三層VPN的主要實(shí)現(xiàn)者;③P是服務(wù)提供商核心路由器設(shè)備,負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù),不與CE直接相連。在整個MPLS VPN中,只需要P,PE設(shè)備需要支持MPLS的基本功能,CE設(shè)備不必支持MPLS VPN功能。
BGP是指邊界網(wǎng)關(guān)協(xié)議,主要在2個自治域之間交換路由,MPLS VPN網(wǎng)絡(luò)中PE路由器之間需要通過BGP的M-BGP屬性來傳遞相關(guān)VPN屬性和路由,比如VPN的最重要的2個屬性路由目標(biāo)(RT)和路由區(qū)分(RD)值,都是通過M-BGP屬性傳遞的。
2 網(wǎng)絡(luò)構(gòu)建
企業(yè)在物理上有4部分:1個總公司和3個子公司,目前這4部分都通過租用互聯(lián)網(wǎng)專線的形式接入到某一通信運(yùn)營商,其網(wǎng)絡(luò)現(xiàn)狀拓?fù)淙鐖D1所示。
公司的總部和3個子公司在其出口路由器上部署NAT,然后通過靜態(tài)默認(rèn)路由指向相關(guān)的運(yùn)營商的路由器,在各部分的交換機(jī)上劃分VLAN,出口路由器上劃分子接口,交換機(jī)的VLAN都終結(jié)在出口路由器上。
公司出于辦公需要,構(gòu)建自己的Web和郵件服務(wù)器,而且要求Web和郵件服務(wù)器只能公司內(nèi)部職工訪問。如果把Web和郵件服務(wù)器配置私網(wǎng)IP地址直接下掛在總部的交換機(jī)下,此時只有總部的終端才能訪問這2個服務(wù)器,因?yàn)槭荖AT方式接入的,其余3個分公司的終端是無法進(jìn)行穿越NAT來訪問總部的服務(wù)器的。如果把Web和郵件服務(wù)器配置公網(wǎng)IP地址直接下掛在總部的路由器下,此時其余3個子公司是可以訪問Web和郵件服務(wù)器的,但是此時互聯(lián)網(wǎng)上的所有計(jì)算機(jī)都可以訪問Web和郵件服務(wù)器,不符合網(wǎng)絡(luò)要求。
因此,公司4個部分采用VPN的方式接入到運(yùn)營商的網(wǎng)絡(luò),VPN有多種接入方式,包括2層VPN和3層VPN,MPLSVPN屬于3層VPN,有保密性高和接入方便的特點(diǎn),本網(wǎng)絡(luò)改造方案采用MPLS VPN接入到運(yùn)營商的網(wǎng)絡(luò)。公司的4個部分的出口路由器充當(dāng)CE路由器,通信運(yùn)用商的接入路由器充當(dāng)PE路由器,運(yùn)營商的核心路由器充當(dāng)P路由器,新建的Web和郵件服務(wù)器直接下掛在總部的出口路由器下,具體拓?fù)鋱D如圖2所示。
3個子公司的CE路由器通過靜態(tài)協(xié)議與運(yùn)營商PE路由器通信,CE路由器通過默認(rèn)靜態(tài)路由指向Ⅲ路由器,路由器在VPN中把相關(guān)CE路由器的網(wǎng)段通過靜態(tài)路由指向CE路由器,PE和PE之間采用BGP協(xié)議通信。具體的IP地址規(guī)劃如表1所示。
MPLS VPN采用星型連接(hub-spoke)模式,只允許分公司和公司總部之間通信,不允許分公司之間進(jìn)行通信,這主要通過VPN的RT屬性的設(shè)置來實(shí)現(xiàn)的,具體的VPN設(shè)置屬性如表2所示。
總部的VPN發(fā)出的VPN路由屬性入RT值(RTIMPORT)正好等于分公司的出RT值(RT EXPORT),總部的VPN發(fā)出的VPN路由屬性RT EXPORT正好等于分公司的RT IMPORT,所以總部和分公司可以進(jìn)行通信。而任何—個分公司的RT EXPORT都不等于另一個分公司的RT IMPORT,所以分公司之間不能進(jìn)行通信。
具體PE的關(guān)鍵配置如下(PE設(shè)備為華為NE40E):
ipvpn-instance vpncom//配置VPN名稱
ipv4-family
route-distinguisher 100:8//配置RD和RT值
vpn-target200:8 export-extcommunity
vpn-target 100:8 import-extcommunity
bgp 100//配置BGP信息
peer1.1.1.2 as-number 100
peer 1.1.1.2 connect-interface LoopBack0
#
ipv4-fanuly unicast
undo synchronization
peer 1.1.1.2 enable
#
ipv4-family vpnv4
policyvpn-target
peer 1.1.1.2 enable
#
ipv4-fanulyvpn-instance vpna
import-route direct
import-route static
先用華為的ENSP模擬器對設(shè)計(jì)方案進(jìn)行仿真測試,具體如圖3所示。
仿真測試完畢后,對網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)構(gòu)建,網(wǎng)絡(luò)構(gòu)建完成后公司的網(wǎng)絡(luò)運(yùn)行正常,終端和服務(wù)器的訪問均正常,也滿足不讓公網(wǎng)上用戶的訪問要求,具體測試的訪問時延和丟包如表3所示。
測試后時延和丟包等性能參數(shù)明顯優(yōu)于網(wǎng)絡(luò)改造前,因?yàn)楦脑旌缶W(wǎng)絡(luò)不用進(jìn)行NAT地址翻譯,而且不在使用路由表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),而是采取性能更優(yōu)越的MPLS標(biāo)簽轉(zhuǎn)換來發(fā)送數(shù)據(jù)包。
3 結(jié)束語
本文介紹了一種基于MPLS VPN,BGP方式的企業(yè)局域網(wǎng)的構(gòu)建方式,其特點(diǎn)是配置簡單、管理靈活及安全高效,但是構(gòu)建方案中沒有考慮IPv6和QoS,PE和CE之間沒有采取可以達(dá)到負(fù)載均衡的動態(tài)協(xié)議,如EBGP和OSPF協(xié)議,這都是下一步的研究方向。