基于MPLS和BGP的VPN方案优化

基于MPLS和BGP的VPN方案优化
陶志勇;王如龙;张锦
【摘要】针对 MPLS 和 BGP 构建的 VPN 扁平化组网特点与企业网络层次化设计思想相冲突的问题，分析这种扁平化组网产生的原因，并针对不同的企业网络环境，制定了对应的解决方案。

使扁平化组网特点和企业层次化设计思想得以融合，扩展了 MPLS 和BGP 构建的 VPN 应用领域，增强了网络的稳定性。

%In light of the contradiction between the hierarchical design idea of enterprises’network and the characteristic of VPN flat networking constructed on the basis of MPLS and BGP,we analyse the cause of generating such flat networking and further formulate the corresponding solutions for different enterprises’network circumsta nces,which integrates the hierarchical design idea of enterprises’network and the flat networking characteristics,expands the application scope of VPN constructed with MPLS and BGP,and enhances the stability of network.
【期刊名称】《计算机应用与软件》
【年(卷),期】2014(000)004
【总页数】5页(P115-118,132)
【关键词】多协议标签交换;边界网关路由协议;虚拟私有网
【作者】陶志勇;王如龙;张锦
【作者单位】长沙民政职业技术学院软件学院湖南长沙 410004; 湖南大学软件学院湖南长沙 410082;湖南大学软件学院湖南长沙 410082;湖南大学软件学院湖南长沙 410082
【正文语种】中文
【中图分类】TP393
0 引言
随着企业的发展，企业网络的规模不断扩大，GRE［1］、L2TP、IPSEC［2］这
些传统的技术构建的虚拟私有网VPN暴露出它的缺点，主要体现在两个方面。

一方面随着企业网络的不断扩大，VPN隧道的建立成N平方增长，由于这些传统VPN的隧道都是静态建立的，对于网络维护人员来说，任务繁重且容易出错。

另
一方面在这些VPN技术上对于站点间地址冲突的问题，以及站点间互访问控制难以解决，因此满足不了企业网络发展的需要［3，4］。

多协议标签交换［5］MPLS和边界网关协议［6］BGP 构建的VPN隧道的建立是动态的，而且通过RT(Route Target)技术，可以控制不同VPN用户间的互访关系，并可以将不同的业务规划在不同的VPN里面，根据不同业务规划出不同的VPN，再通过RT控制它们之间的互访。

因此，采用 MPLS和 BGP构建的VPN，越来越受电力、教育、政府等部门的青睐［7，8］。

MPLS和BGP构建的VPN，它的组网有一个特点，那就是网络的扁平化。

在网络当中所有公网的设备没有层次之分，不管设备性能如何，都要承受相同的性能考验。

这种扁平化的组网与层次化的企业网络设计思想是相冲突的。

本文针对该技术构建的VPN扁平化和层次化网络设计思想相冲突的问题，制定了不同的解决方案，有效地解决了扁平化与层次化的融合问题，扩展了该VPN技术在企业网络当中的应
用［9，10］。

1 扁平化原因
要想彻底解决MPLS和BGP构建的VPN扁平化与企业层次化设计思想融合问题，首先得找出这种技术构建的VPN产生扁平化的原因。

MPLS和BGP技术构建的VPN要实现私网数据穿越公网，需要在公网的设备上都要运行MPLS LDP(Label Distribution Protocol)协议。

LDP协议给Loopback地址分配标签后，会形成与之对应的标签转发路径，并给需要传送的私网数据建立起了一条逻辑通道。

而作为公网边缘的PE(Provider Edge)设备，它不但要处理公网数据，同时也要处理私网数据，导致这一结果通过图1分析，主要的原因有两个。

图1 MPLS和BGP的组网
通过图1分析，导致这一结果的原因之一是所有的PE设备都必须要学习网络中其它PE设备的Loopback地址路由信息，并给这个Loopback地址建立与之相对应的LSP隧道。

在MPLS和BGP技术构建的VPN网络中它的公网隧道是动态建立的，在网络中公网设备上只要运行MPLS LDP协议，设备之间就会动态地建立起
隧道，这是MPLS和BGP技术构建的VPN的优点。

但是它的这个优点是以舍弃
路由汇聚为代价的。

在MPLS和BGP技术构建的VPN网络中，当私网报文到达PE设备上时，要通过具体的Loopback地址与之对应的转发等价类里的标签来封装私网报文。

如果给这些Loopback地址配置了路由汇聚，那么在路由表中就找
不到具体的Loopback地址相对应的路由信息，更谈不上找到转发等价类与之绑
定的标签。

因此，MPLS VPN网络中每个PE设备的Loopback的地址信息，都
应该在路由表中找到与之对应的路由表项，且这个表项是没有被汇聚的表项，否则就会导致私网报文无法成功穿透公网。

第二个原因是私网路由信息在PE设备上通告后，对端的PE设备收到这些私网路
由信息后，不能对这些私网路由进行路由汇聚，只要与该PE设备建立对等体关系
的所有PE设备都会学习到相同数目的私网路由信息。

不能给这些私网路由做路由汇聚是由于采用了BGP路由协议。

在BGP路由协议中，给私网路由打上了RT、RD(Route Distinguisher)及私网标签标记。

对端PE设备收到私网路由时，根据
这些标记把私网路由学习到不同的VPN中，并转发给不同的VPN用户。

如果在
对端PE设备上做了路由汇聚，就会改变这些私网路由的特征，影响数据报文的正常转发。

MPLS和BGP技术构建的VPN以上这两个特点，决定了公网中边缘PE设备不但要处理公网报文，还要处理私网报文，这对设备的性能提出了要求。

设备要能承受处理这两方面报文的压力。

在层次化的企业网络中，边缘设备相比汇聚、核心层的设备性能要差些。

因此，MPLS和BGP技术构建的VPN与层次鲜明的层次化组
网结构是相冲突的。

怎么给连接用户的PE设备减轻负担，是急需解决的一个难题。

2 基于MPLS和BGP的VPN方案设计
2.1 初始设计
某运营商网络覆盖全省，采用的是层次化的设计思想，把网络分为三层，核心层、汇聚层和接入层。

核心、汇聚、接入层设备分别采用华三CR16000K、SR8800、SR6600设备。

同时，该运营商采用MPLS和BGP技术构建的VPN为企业的分
支机构以及出差员工需远程接入企业内网提供VPN服务。

如图2所示。

图2 常见的MPLS和BGP组网
在图2中，VPN1和VPN2分别表示不同的企业网络。

采用MPLS和BGP技术构建的VPN有效地解决了隧道建立全连接、站点间地址冲突、站点间互访控制等问题。

但随着需提供该服务的企业增多，以及企业间数据量的增大，使运营商连接企业的边缘设备负载越来越重。

尤其是连接企业总部的边缘设备，它成了企业数据汇聚中心点，该边缘已不堪重负。

针对运营商连接VPN1和VPN2总部PE设备不
堪重负的问题，通过图2来进行分析，发现MPLS和BGP技术构建的VPN使得
公网中的设备既要处理公网报文，同时也要处理私网报文。

要给边缘的PE设备减轻负担，只能从减少设备处理报文方面着手。

2.2 基本优化
针对该问题，一种优化思路是，让性能更优越的汇聚层设备来承担处理公网和私网的报文，接入层设备只处理私网报文。

该设计思想的具体的实现如下。

(1)在汇聚层设备和接入层设备所连接的接口上创建逻辑子接口。

(2)为了让汇聚层设备和接入层设备区分不同VPN用户的数据，在汇聚层和接入层上都建立本地VPN，并让本地VPN分别与子接口绑定。

(3)在接入层和汇聚设备上启用路由协议多进程，汇聚层设备通过BGP学习到的不同VPN用户私网路由信息，采用多进程的形式发送给接入层设备，接入层再通过多进程的方式发送给不同的VPN用户;同样，接入层设备设备采用多进程学习不同VPN用户的私网路由路由，通过多进程技术再发送给汇聚层设备，如图3所示。

图3 基本优化的MPLS和BGP组网
在图3中，UPE1设备成为了私网网络设备，替代原来PE设备完成各VPN用户网络的接入任务，与原来的PE设备相比，UPE1无需学习公网路由，另外全网其它的PE发布的私网路由可以在UPE1上联的PE上进行聚合后再通过PE和UPE1之间运行的私网路由协议发布给UPE1，这样，UPE1上的路由压力大大降低。

同时，UPE1设备上无需再运行MPLS和BGP，也不需要再维护MPLS的标签交换路径，或建立BGP邻居等，设备功能方面的要求也得到了简化，充分满足了层次化组网的要求。

具体的实现只需要在原来的配置基础上稍做改动就可以解决UPE1设备负载过重的问题。

实施通过如图4所示。

图4 实验拓扑与实物图
实验各设备接口的IP地址和子网掩码如表1所示。

表1 各设备接口地址分配表?
要减轻UPE1设备的负担，与常见配置一样，需要完成以下配置:
(1)在各设备接口分配IP地址，并配置路由。

(2)在PE1与UPE4上建立公网隧道。

(3)在UPE1、PE1、UPE4上建立本地VPN。

(4)在PE1、UPE4上配置BGP。

另外，需在汇聚层设备PE1和接入层设备UPE1上需要增加表2的配置，完成汇
聚层设备和接入层设备路由信息的交互。

表2 PE1与UPE1设备的配置?
完成上述配置后，在总部的CE1设备上去PING分支机构的CE3设备得到的结果如图5所示。

图5 CE1访问CE3设备结果
根据图5的结果，证明该实验设备间连接关系、公网隧道、设备互访都是正常的。

实验实现了不同地域间VPN用户的通信。

通过上述方案构建的VPN和常见组网方式构建的VPN接入层设备有以下区别，
如表3所示。

表3 常见与基本优化组网接入层设备数据对比?
续表3?
通过上述分析得出，基本优化方案构建的VPN有如下一些优点:
(1)接入层设备要求简单。

只要支持虚拟路由技术即可，无需支持BGP和MPLS技术。

(2)接入层设备的路由等方面性能要求低。

一方面接入层设备不需要学习公网路由，也不需要维护标签转发路径，另一方面接入层设备上联的PE设备可以将私网路由聚合后再发给接入层设备，使接入层的私网路由有效的得到了控制。

(3)通过这种方式构建的VPN组网，无需在原来的组网中增加任何新技术和设备，
改造起来很方便。

2.3 深入优化
采用优化一构建的VPN组网存在一些缺陷，具体表现如下。

(1)接入层设备和汇聚层设备需要建立多个逻辑子接口，而只有以太网和FR接口可以创建逻辑子接口，当接入层和汇聚层设备不是该接口时，该技术无法实现。

(2)当接入层设备接入的VPN用户较多时，汇聚层设备和接入层设备之间需要创建大量的逻辑通道，配置维护相对繁琐。

(3)将接入层的PE设备改成UPE后，UPE设备转变成了私网设备，公网上的网管将无法管理到该设备。

由于该方案存在一定的缺陷，所以它比较适合下述的一些场景。

(1)连接用户的接入层PE设备不堪重负，出现设备路由空间不足，设备性能不够等问题时使用。

(2)接入层PE和汇聚层之间的接口可以创建逻辑接口，比如说是以太网接口或FR 接口。

如果企业网络当中汇聚层的设备和接入层的设备不是以太网和FR接口时，优化一方案无法实现。

因此，期待有更好的技术来解决接入层PE设备不堪重负的问题。

分层PE技术的MPLS VPN组网技术不存在上述缺点，而且还能解决接入层PE设备不堪重负的问题。

如图6所示。

图6 深入优化的MPLS和BGP组网
图6和图2一样，公私网分界线不变，但是通过这种MPLS和BGP构建的VPN 组网可以减轻接入层UPE设备的压力。

具体的实现的方法如下。

(1)SPE1和UPE1设备上都运行MP-BGP动态路由协议。

(2)SPE1设备设置成UPE1设备的路由反射器。

(3)SPE1设备在反射路由信息给UPE1设备时，把下一跳属性修改成自己的
Loopback地址，同时把其它PE设备发布给它的私网路由聚合成一条缺省路由发给UPE1设备。

在SPE1和UPE1设备上具体的配置如表4所示。

表4 SPE1与UPE1设备的配置?
通过上述方案构建的VPN和常见组网方式构建的VPN接入层设备有以下区别，
如表5所示。

表5 常见与深入优化组网接入层设备数据对比?
通过上述分析，得出UPE1设备上收到的私网路由只有缺省路由，私网路由信息得到了很好的控制;另一方面收到的私网路由的下一跳是 SPE1设备，在 UPE1设备
上只需要维护到SPE1的MPLS隧道就可以了，报文会在SPE上解封装，通过重
新查私网路由表再次用MPLS的标签来封装私网报文。

这样，UPE1上可以不学习除SPE1设备以外的其它的公网路由，也不需要维护其它的标签交换路径，UPE1
上公网路由的压力也大大降低。

该方案实现不但减轻了接入层PE设备处理公网报文的负担，而且还减轻了处理私网报文的负担，使MPLS和BGP技术构建的
VPN应用的范围越来越广。

3 结语
网络设备不堪负载会影响到网络系统的稳定性。

本文分析了接入层设备不堪负载的原因，是MPLS和BGP构建的VPN扁平化组网特点与层次化的设计思想相冲突。

针对该问题，根据不同的企业网络环境，制定了与之对应的解决方案，有效地解决了MPLS和BGP扁平化组网特点与层次化的设计思想融合问题，从而扩展了MPLS和BGP技术的应用范围，加强了网络的稳定性。

参考文献
［1］裴郁.MPLS VPN组网研究与实现［D］.上海:复旦大学，2007:36-37.
［2］刘化君.基于IPSec的VPN技术应用与实现［J］.电脑开发与应用，2010，23(3):65-67.
［3］杨彦彬，冯久超.基于VPN技术的组网方案探讨［J］.计算机科学，2008，35(9):110-112.
［4］侯剑锋，马明凯，李向红.MPLS VPN中动态服务质量机制的应用［J］.计算机工程，2010，36(3):106-108.
［5］Matinez R，Pinart C，Cugini F，et al.Challenges and requirements
for introducing impairment-awareness into the management and control planes of ASON/GMPLS WDM networks［J］.IEEE Communications Magazine，2006，44(12):76-85.
［6］任金秋，马海龙，汪斌强.跨域BGP/MPLS VPN在高性能路由器中的实现［J］.计算机工程，2009，35(3):126-129.
［7］侯剑锋，马明.MPLS VPN中PE-CE互连仿真研究［J］.计算机工程，2010，36(12):123-125.
［8］曾文龙，王晟，王雄.IGP/MPLS混合的IP网络不确定流量规划方法［J］.计算机应用，2011，31(5):1176-1179.
［9］Rahman M A，Kabir A H，Lutfullah K A，et al.Performance analysis and the study of the behavior of MPLS protocols［C］//International Conference on Computer and Communication Engineering ICCCE，
2008:13-15.
［10］卢众宁，苏厚勤.MPLS-VPN在企业ERP实施过程中的应用研究［J］.计算机应用与软件，2012，29(2):90-93.。