ISSN1006-7167
CN31-1707/T
RESEARCHANDEXPLORATIONINLABORATORY
第40卷第3期 Vol.40No.3
2021年3月Mar.2021 
DOI:
10.19927/j.cnki.syyt.2021.03.026
基于BGPMPLSVPN企业跨
域组网仿真设计
李永芳
(南京铁道职业技术学院通信信号学院,南京210031)
摘 要:为满足灵活扩展、安全可靠的建网需求,设计一种基于
BGPMPLSVPN企业跨域组网方案在eNSP仿真平台搭建网络结构,在设备上部署
OSPF、BGP、MPLSVPN等多种复杂协议,分析了BGPMPLSVPN技术中BGP对等体建立、VPN实例
创建、MPLS标签分发与交换、VPNv4私网路由跨域传递等配置过程。仿真结果表明,方案提高了网络转发效率,保障了企业私网路由传递的安全性,较好地满足了企业网络建设需求。
关键词:BGPMPLSVPN;网络仿真平台;多协议标签交换;OptionB跨域中图分类号:TN393.3   文献标志码:A   文章编号:
1006-7167(2021)03-0121-08SimulationDesignofEnterpriseCrossDomain
NetworkingBasedonBGPMPLSVPN
LIYongfang
(SchoolofCommunicationandSignal,NanjingInstituteofRailwayTechnology,Nanjing210031,China)
Abstract:Inordertomeettheneedsofflexibleexpa
nsion,securityandreliability,thispaperdesignsanenterprisecrossdomainnetworkingschemebasedonBGPMPLSVPN,buildsatopologyintheeNSPsimulationplatform,deploysOSPF,BGP,MPLSVPNandothercomplexprotocolsonthedevice.TheconfigurationprocessofBGPpeerestablishment,VPNinstancecreation,MPLSlabeldistributionandexchange,VPNv4privatenetworkroutingcrossdomaindeliveryinBGPMPLSVPNtechnologyisanalyzedindetail.Thesimulationresultsshowthattheschemeimprovestheefficiencyofnetworkforwarding,ensuresthesecurityofprivatenetworkrouting,andmeetstheneedsofenterprisenetworkconstruction.
Keywords:BGPMPLSVPN;networksimulationplatform;multi protocollabelswitching(MPLS)
;OptionBcrossdomain
收稿日期:
2019 11 12基金项目:江苏高校‘青蓝工程’优秀青年骨干教师培养资助项目(苏教师函〔2020
〕10
号);江苏省高校自然科学研究项目(17KJD520007);南京铁道职业技术学院‘青蓝工程’优秀青年骨干教师培养资助项目(RCQL19202
);南京铁道职业技术学院自然科学课题(
YZ20015
)作者简介:李永芳(1982-
),女,江苏连云港人,硕士,副教授,研究方向为数据通信与计算机仿真。
Tel.:138****6299;E mail:
lyongfang_mz@163.com
0 
 言随着互联网技术不断发展,业务数据海量增长,传统的IP网
络,面向无连接的特点,无法提供可靠的服务质量。多协议标签交换(Multi ProtocolLabel
Switching,MPLS)[1
]是一种IP骨
干网技术。MPLS在无连接的IP网络引入面向连接的标签交换概念,将3层路由技术与2层交换技术结合,采用一种基于标签转发的隧道技术,充分发挥了IP路由的灵活性和2层交换的简捷性。用户个性化需求带来增值业务的快速发展,MPLS技术逐渐被扩展到了新的应用领域,如与边界网关协议(BorderGatewayProtocol,BGP)、虚拟专用网络(VirtualPrivateNetwork,VPN)技术结合的BGPMPLS
VPN技术就是一种应用广泛的3层VPN(Layer3VPN,L3VPN)技术[2
],利用BGP协议在MPLS骨干网上传递VPN私网路由信息,用MPLS来转发VPN业务
 第
40卷 数据。BGPMPLSVPN使用BGP多协议扩展
(MultiProtocolBGP,MP BGP)确保VPN的私网路由只在VPN内发布,并实现MPLSVPN成
员间的通信[3
],提升数据传递过程中的安全性。该技术正被越来越多的大型企事业单位和运营商所青睐。
1 BGPMPLSVPN
技术
1.1 
普通MPLSVPN技术一般MPLSVPN架构将设备角分为客户端边界路由器(CustomerEdge,CE)、运营商边界路由器(ProviderEdgeRouter,PE)和运营商路由器(ProviderRouter,P)[4
]。PE与CE之间建立外部BGP(ExternalBGP,EBGP)对等体关系,进行VPN实例绑定,在具体应
用中也可以采用多实例
CE(MultipleCE,MCE)方式。PE设备之间建立MP BGP关系,传递私网路由,PE与P
设备之间建立普通BGP对等体关系,传递公网路由。由于VPN业务采用私网IP地址,当多个VPN业
务连接到同一个PE上或是多个VPN业务相互通信时,就可能存在IP地址冲突问题。为解决不同VPN私网路由冲突,MPLSVPN引入了VPN实例技术,即在
PE设备上创建实例并与VPN业务进行绑定,实现不同VPN业务路由隔离。创建VPN实例相当于创建
了单独的VPN路由转发表(VPNRoutingandForwarding,
VRF)[5]。当PE收到来自不同业务的私网路由时,通过识别VPN实例将其添加至对应的VRF中。为此,一台PE设备上会存在一个公网路由表,以及一个或多个
VRF[6
]。1.2 BGPMPLSVPN技术在BGPMPLSVPN网络中,为确保每个业务VPN路由的唯一性,在PE设备上为每个VPN路由分配唯一的路由区分(RouteDistinguisher,RD)值,对不同的私网路由进行区分[7
]。同时,给每条私网路由赋予导入、导
出的路由目标(RouteTarget,RT)值,用于控制VPN路
由信息的发布。当2个VPN业务互通时,RD值可以设置不相同,但是RT值入和出方向的值必须跟对端VPN
业务的RT值匹配,否则会影响私网路由的通信。1.3 跨域MPLSVPN技术
普通的MPLSVPN体系结构是在一个自治系统(AutonomousSystem,AS)域内运行,不提供向其他AS传递VPN路
由信息的功能。而跨域(Inter AS)的MPLSVPN,可以实现AS之间VPN私网路由信息的交互传递[8]。当前主流的跨域方式有3种,分别为VPN OptionA、VPN OptionB、VPN OptionC。A方式中,将两个
AS之间的自治系统边界路由器(AutonomourSystemBorderRouter,ASBR)设备互为CE关系,VPN数据在ASBR之间是以普通IP数据转发,不携带任何标签[9]。B方式中,2台ASBR之间建立多协议外部BGP(MultiProtocol externalBGP,MP eBGP)对等体关系,传递VPN路
由,转发数据时,携带私网路由标签信息。C方式中,在不同AS的PE间建立MP eBGP对等体关系,以传递VPN路由,与A、B方式不同的是,
ASBR不再维护和交换VPN路由,以减少设备负担[10
]。3种方式各有所长,使用时需要结合具体网络环境和组网需求来进行选择。
2 
企业组网设计
2.1 
组网需求与网络结构设计某公司总部和分部距离较远,需要跨越多个区域运营商网络进行互连,为保证业务互通,要求采用BGPMPLSVPN技术来为公司多个业务提供安全、高效的跨域互通。围绕需求,在网络仿真工具平台(EnterpriseNetworkSimulationPlatform,eNSP)[11 16
],设计一种企业网络结构如图1所
示。图1 网络结构图
21
3期李永芳:基于BGPMPLSVPN企业跨域组网仿真设计 2.2 具体网络规划
由图1可见,AS100、AS200为各区域运营商网络,作为MPLS骨干网,CR1、CR4为ASBR设备,CR2、CR3、CR5、CR6为PE设
备。AS65001为公司总部;CSW1、CSW2为CE设备,ASW1、ASW2为总部内部业务接入设备;业务用VLAN10/20/30/40进行模拟。AS65002为分部网络,CSW3、CSW4为CE设备,分部业务VLAN50通过ASW3设备接入。为保证业务数据传递的安全性,业务网段以VPNv4路由穿越运营商网络进行互通。为了减少路由器开销,PE与CE设备之间运行BGP协议,仅允许将业务路由引入BGP协议。所有AS域内均运行开放式最短路径优先协议(OpenShortestPathFirst,OSPF),除公司总部运行多区域以外,其他
AS内均运行单区域。公司内部采用多生成树协议(MultipleSpanningTreeProtocol,MSTP)和虚拟路由冗余协议(VirtualRouterRedundancyProtocol,
VRRP)技术实现业务的可靠接入,总部与分部之间采用OptionB跨域方式实现不同VPN业务之间的通信。具体IP地址及业务划分见表1。
1 IP
VLAN3 
过程分析
3.1 
域内网络连通性配置
依据设计,对照表1在完成底层IP地址、MSTP与VRRP相关配置的基础上,所有AS域内通过运行OSPF协议来实现域内全网互通。AS100、AS200、
AS65002均运行单区域、单进程。总部AS65001内运行多区域,以控制LSA的泛洪,其中CSW1与CSW2之
间运行Area0,ASW1与CSW1、CSW2之间运行Area1,ASW2与CSW1、CSW2之间运行Area2。  CSW1上的相关配置如下:
[CSW1]routerid7.7.7.7//设备身份标识ospf1
area0.0.0.0 //创建OSPF区域为0network7.7.7.70.0.0.0
network
192.168.1.00.0.0.3
area0.0.0.1 //创建OSPF区域为1network192.168.11.00.0.0.3
area0.0.0.2 //创建OSPF区域为2network192.168.12.00.0.0.3ASW1上的相关配置如下:[ASW1]ospf1
silent interfaceEthernet0/0/11silent interfaceEthernet0/0/12
//开启静默端口,禁止接收协议报文area0.0.0.1network
192.168.21.20.0.0.0
network192.168.11.20.0.0.0
network192.168.10.00.0.0.255
network192.168.20.00.0.0.255//
所有网段在区域1内宣告
以此参考,完成CSW2、ASW2设备配置,不再赘
述。设备配置完成后,在CSW1上运行disospfrouting查看ospf路由,如图2所示,设备已学习到AS内
的全部业务网段。由于篇幅限制,其他AS域的OSPF协议
配置不再详述。3.2 普通BGP对等体建立如图1所示,在6台
路由器设备以及公司核心层CSW1~CSW44台设备上运行BGP协
议。为实现路由传递,在域内相邻设备之间建立内部BGP(Internal
BGP,iBGP)对等体关系,通过对等体学习和传递路由信息。以CR2设
备举例,配置如下: 
[CR2]routerid2.2.2.2bgp100
peer1.1.1.1as number100
peer1.1.1.1connect interfaceLoopBack0//
指定与环回口连接
peer3.3.3.3as number100
peer3.3.3.3connect interfaceLoopBack0ipv4 familyunicast//
进入IPV4单
播视图undosynchronizationpeer1.1.1.1enable//与CR1建立iBGP对等体
peer3.3.3.3enable
//
与CR3建立iBGP对
等体3
21
 第
40卷
 图
2 CSW1
设备上OSPF域内路由表
  其他设备配置不再赘述。在CR2执行disbgp
peer查看对等体关系建立情况,结果如图3所示,CR2
分别与CR1、CR3的
环回口地址成功建立了对等体关系
3 CR2
设备上BGP对等体关系3.3 MPLS标签分发
在运营商骨干网络中,所有路由器上运行MPLS
协议,路由器通过标签分发协议(LabelDistributionpeer
Protocol,LDP)为每条内部路由映射一个标签,并向自己的对等体进行通告,以此来建立标签转发表,指导数据转发。需要在AS100、AS200域内设备全局和设备互联物理接口下同时开启MPLS和LDP协议。如CR3配置如下:[CR3]mplslsr id3.3.3.3
//
在MPLS域用LSRID标识设备身份
mpls //开启全局MPLS协议mplsldp //开启全局LDP协议interfac
eGigabitEthernet0/0/1mpls //开启物理接口下MPLS协议mplsldp //开启物理接口下LDP协议在GE0/0/2物理接口下配置与GE0/0/1相同。其他路由器配置与CR3类似。在设备上执行相应命令查看标签会话表,如图4所示,CR3与CR1、CR2标签会话建立成功。图
4 CR3
设备上LDP会话表
21
 第3期
李永芳:基于BGPMPLSVPN企业跨域组网仿真设计 
3.4 VPN实例创建与绑定
为了实现业务高可靠、安全传输,在MPLS公共网络上建立私网连接隧道,将私网业务与公网业务
进行隔离。同时,建立多个VPN实例承载不同业务,实现私网业务之间的互相隔离。如图1所示,在CR2~
CR6这4台PE设备上创建VPN实例,利用物理接口与相应的业务私网路由进行绑定,实现私网路由互相
隔离。设总部VLAN10、VLAN20对应实例名为VPNA,VLAN30、VLAN40对应实例名为VPNB,分别与
CR2、CR3的GE0/0/0接口绑定。分部VLAN50对应实例名为VPNC,与CR5、CR6的GE0/0/0接口绑定。
为保证每条VPN路由的唯一性以及与其他VPN路由互通,需要为每个VPN实例自定义RD、RT值。如,设置总部实例VPNA、VPNB的RD值均为100∶1,出入方向RT值均为100∶200。分部实例
VPNB,RD值为200∶1,为保证与总部的VPNA、VPNB互通,需要设置相同的出入方向RT值。分别在4台
PE设备的G0/0/0接口下绑定对应的VPN实例。如CR2配置如下命令:
[CR2]ipvpn instanceVPNA //创建VPNA实例
ipv4 family
route distinguisher100∶1 //RD值100∶1
vpn target100∶200export extcommunity
//出方向RT值100∶200
vpn target100∶200import extcommunity
//入方向RT值100∶200
interfaceGigabitEthernet0/0/0
ipbindingvpn instanceVPNA
//在物理接口下绑定实例VPNA
ipv4 familyvpn instanceVPNA
//VPNA实例视图
peer192.168.2.2as number65001
//指定对端为自己的eBGP对等体
此时,在CR2设备上执行disbgpvpnv4vpn
instanceVPNApeer来查看实例对等体关系,如图5所示,与CSW1的对等体关系建立成功。
图5 CR2设备上VPNv4的对等体关系
  同样,在CR3创建实例VPNB,CR5、CR6设备上创建实例VPNC,配置过程不再赘述。
3.5 私网路由跨域传递
为确保总部和分部业务安全性互通,在骨干网跨域传输时,依然以VPNv4路由互通。由于普通BGP对等体只能传递公网IPv4单播路由,为在公网上传递
VPNv4私网路由,需要建立MP BGP对等体来实现。在不同AS域内,ASBR分别与域内P
E设备建立MP
iBGP对等体关系。采用OptionB方式跨域时,ASBR设备上不需要创建VPN实例,需要在ASBR之间建立
MP eBGP对等体关系,传递VPNv4路由。同时,为确保能从对端设备接收到VPNv4路由,ASBR需要关闭
RT值的过滤匹配功能。在CR1、CR4设备上完成如下配置命令:
[CR1]bgp100
peer10.10.14.2as number200
//直连口建立对等体
ipv4 familyunicast //进入ipv4视图
undosynchronization
peer10.10.14.2enable
//与CR4建立普通eBGP对等体关系
ipv4 familyvpnv4 //进入vpnv4视图
undopolicyvpn target
//取消RT值过滤功能
peer2.2.2.2enable
//与CR2建立MP iBGP对等体关系
peer3.3.3.3enable
//与CR3建立MP iBGP对等体关系
peer10.10.14.2enable
//与CR4建立MP eBGP对等体关系
CR4设备上配置与CR1基本相同。在设备上查看对等体关系,结果如图6所示,CR1分别与CR2~
CR4成功建立MP BGP对等体。
521

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。