孫曉棟

摘要：網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)辦公得到廣泛應(yīng)用，但是由于地理位置等各種原因，導(dǎo)致同一個(gè)企業(yè)網(wǎng)內(nèi)部之間并不能使用由同一個(gè)運(yùn)營商提供的Internet資源，從而限制了企業(yè)網(wǎng)絡(luò)的發(fā)展。本文在華為數(shù)通設(shè)備專用模擬器里搭建模擬網(wǎng)絡(luò)拓?fù)?，?gòu)建出一個(gè)跨域MPLS VPN解決方案，提供一個(gè)不同于傳統(tǒng)的MPLS VPN體系結(jié)構(gòu)所提供的互連模型——跨域（Inter-AS）MPLS VPN。并通過控制面測試及數(shù)據(jù)層面測試等進(jìn)行功能驗(yàn)證，擴(kuò)展了現(xiàn)有的BGP協(xié)議和修改MPLS VPN體系框架的原理和過程。

Abstract： With the development of network technology， network office has been widely used. However， due to various reasons such as geographical location， the Internet resources provided by the same operator cannot be used within the same enterprise network， which limits the development of enterprise network. In this paper， we build an analog network topology in Huawei Communications Device Simulator， construct a cross-domain MPLS VPN solution， and provide a different interconnection model from the traditional MPLS VPN Architecture - - cross-domain （Inter-AS） MPLS VPN. The principle and process of the existing BGP protocol and the modification of MPLS VPN framework are extended through the functional verification of control plane test and data level test.

關(guān)鍵詞：VPN;MPLS;自治系統(tǒng);跨域

Key words： VPN;MPLS;autonomous system;cross-domain

中圖分類號(hào)：TN913.1+1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1006-4311（2019）27-0146-03

0 ?引言

本論文主要研究內(nèi)容是為服務(wù)提供商（Internet Service Provider，ISP）實(shí)現(xiàn)跨域企業(yè)網(wǎng)絡(luò)的總部與分支機(jī)構(gòu)之間互通提供虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）服務(wù)的一種解決方案，該解決方案的實(shí)現(xiàn)思路如下：在骨干網(wǎng)中，使用多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switching，MPLS）技術(shù)[1]實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā);使用邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BPG）技術(shù)[2]實(shí)現(xiàn)VPN路由信息分發(fā)。該方法為企業(yè)網(wǎng)提供網(wǎng)絡(luò)互聯(lián)協(xié)議（Internet Protocol，IP）骨干網(wǎng)外包服務(wù)，能快捷地建立一個(gè)VPN網(wǎng)絡(luò)來為客戶提供IP服務(wù)，靈活性強(qiáng)，可提供增值服務(wù)[3]。

1 ?跨域MPLS VPN的實(shí)驗(yàn)方案設(shè)計(jì)

該實(shí)驗(yàn)方案要求掌握跨域MPLS VPN的配置方法[4]，包括組網(wǎng)中常見的虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）、開放最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議、中間系統(tǒng)到中間系統(tǒng)（Intermediate system to intermediate system，IS-IS）協(xié)議、后向兼容（Multiprotocol Extensions for BGP，MP-BGP）協(xié)議、訪問控制列表（Access Control List，ACL）、交換路由等配置技術(shù)。

1.1 模擬器設(shè)備選型

該實(shí)驗(yàn)在華為網(wǎng)絡(luò)設(shè)備模擬器（Enterprise Network Simulation Platform，eNSP）上實(shí)現(xiàn)[5]，用到的設(shè)備包括：華為接入路由器AR2220、AR2240等，園區(qū)交換機(jī)S3700、S5700等，模擬終端為臺(tái)式電腦模擬器、FTP（File Transfer Protocol，文件傳輸協(xié)議）客戶端和HTTP客戶端;網(wǎng)絡(luò)設(shè)備之間的互連鏈路主要包括：G比特的千兆以太網(wǎng)鏈路，使用POS技術(shù)的廣域網(wǎng)鏈路和較低速的串行鏈路、雙絞線、光纖、串行線纜等[6]。

1.2 實(shí)驗(yàn)總體設(shè)計(jì)

跨域MPLS VPN網(wǎng)絡(luò)環(huán)境搭建拓?fù)淙鐖D1所示，網(wǎng)絡(luò)拓?fù)渌婕暗木W(wǎng)絡(luò)設(shè)備數(shù)量以及命名如表1所示。

1.3 實(shí)驗(yàn)要求

對(duì)于網(wǎng)絡(luò)拓?fù)渲蠸ite-1與ISP-1進(jìn)行互連時(shí)，平時(shí)的業(yè)務(wù)流量均走主鏈路，備份鏈路僅僅作為主鏈路故障時(shí)的備用鏈路，平時(shí)不作為業(yè)務(wù)流量的出口。

對(duì)于網(wǎng)絡(luò)拓?fù)渲蠭SP-1與ISP-2進(jìn)行互連時(shí)，正常情況下，AS間交互的路由信息和數(shù)據(jù)包流量均走帶寬較大的運(yùn)行POS協(xié)議的光纖鏈路，而帶寬較小的以太鏈路僅僅作為光纖鏈路故障時(shí)的備份鏈路，平時(shí)是不走業(yè)務(wù)流量。

對(duì)于網(wǎng)絡(luò)拓?fù)渲蠭SP-2和Site-2進(jìn)行互連時(shí)，分支站點(diǎn)僅僅使用一條出口鏈路作為連接ISP的鏈路，分支機(jī)構(gòu)的任何業(yè)務(wù)流量或非業(yè)務(wù)流量均只能通過這一條出口鏈路到ISP。

網(wǎng)絡(luò)拓?fù)渲校贗SP骨干網(wǎng)中各個(gè)網(wǎng)絡(luò)設(shè)備之間運(yùn)行動(dòng)態(tài)路由協(xié)議時(shí)，要對(duì)鄰居的合法性進(jìn)行驗(yàn)證。企業(yè)網(wǎng)分支站點(diǎn)訪問總部機(jī)構(gòu)的FTP、HTTP等服務(wù)器資源時(shí)，首先要經(jīng)過相關(guān)的認(rèn)證，認(rèn)證通過后獲取服務(wù)器資源，認(rèn)證失敗拒絕響應(yīng)。在企業(yè)網(wǎng)入口CE設(shè)備上配置相應(yīng)的安全策略，對(duì)要為所有企業(yè)內(nèi)部員工或公司客戶提供必要服務(wù)的網(wǎng)段、端口允許通過，可封禁一些不必要的源地址、目標(biāo)端口，以及容易收到共計(jì)的漏洞端口。

2 ?跨域MPLS VPN的構(gòu)建

2.1 網(wǎng)絡(luò)邏輯規(guī)劃

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D對(duì)整個(gè)試驗(yàn)中網(wǎng)總部機(jī)構(gòu)模塊、運(yùn)營商網(wǎng)絡(luò)1模塊、運(yùn)營商網(wǎng)絡(luò)2模塊、企業(yè)網(wǎng)分支站點(diǎn)模塊進(jìn)行機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備的設(shè)備型號(hào)、AS型號(hào)、功能、數(shù)量等參數(shù)的設(shè)計(jì)與匯總并對(duì)網(wǎng)絡(luò)的地址進(jìn)行規(guī)劃。

其中，企業(yè)總部機(jī)構(gòu)模塊的AS型號(hào)為300，運(yùn)營商網(wǎng)絡(luò)1模塊的AS型號(hào)為100，運(yùn)營商網(wǎng)絡(luò)2模塊的AS型號(hào)為200，企業(yè)網(wǎng)分支站點(diǎn)模塊的AS型號(hào)為300。企業(yè)網(wǎng)輸出路由器數(shù)量為1，企業(yè)網(wǎng)匯聚層及接入層交換機(jī)總數(shù)量為4，企業(yè)網(wǎng)員工普通及都功能終端總數(shù)量為8，企業(yè)網(wǎng)中心機(jī)房服務(wù)器數(shù)量為1，骨干網(wǎng)PE路由器數(shù)量為4，骨干網(wǎng)路由器數(shù)量為6，骨干網(wǎng)組播服務(wù)器數(shù)量為1。各網(wǎng)段IP地址為24位或者32位，部分IP地址為通過DHCP獲取及通過PPP鏈路的IPCP協(xié)議遠(yuǎn)端協(xié)商獲取。

2.2 關(guān)鍵協(xié)議配置實(shí)現(xiàn)

OSPF協(xié)議的配置實(shí)現(xiàn)：系統(tǒng)視圖下創(chuàng)建OSPF進(jìn)程1，OSPF進(jìn)程下創(chuàng)建區(qū)域0，然后配置OSPF的區(qū)域認(rèn)證，最后在區(qū)域視圖下宣告接口地址。

ISIS協(xié)議的配置實(shí)現(xiàn)：在系統(tǒng)試圖下，創(chuàng)建ISIS進(jìn)程100，將IS系統(tǒng)的級(jí)別配置為Level-2，擴(kuò)展ISIS的寬度量值。配置唯一標(biāo)識(shí)系統(tǒng)的NET地址和ISIS的路由域認(rèn)證。最后進(jìn)入接口視圖下，載接口視圖下使能ISIS進(jìn)程。

BGP與MP-BGP協(xié)議的配置實(shí)現(xiàn)：在系統(tǒng)視圖下，創(chuàng)建BGP進(jìn)程100和劃分AS100，指定對(duì)等體建立TCP連接的IP地址和本地建立TCP連接的更新源地址。進(jìn)入VPN-v4地址簇視圖下，開啟vpn-target對(duì)比策略，在VPN-v4地址簇視圖下建立MP-BGP。最后進(jìn)入VPN實(shí)例視圖，VPN實(shí)例視圖下建立BGP連接。

VPN實(shí)例創(chuàng)建的配置實(shí)現(xiàn)：在系統(tǒng)試圖下，創(chuàng)建VPN實(shí)例A。在VPN實(shí)例試圖下，配置VPN實(shí)例的RD值為100：200，出RT和入RT均為100：200。接口視圖下綁定VPN實(shí)例A，然后重新配置IP地址。最后，指定BGP反射器客戶端，關(guān)閉vpn-target對(duì)比策略，再指定VPN-v4反射器客戶端。

遠(yuǎn)端地址配置實(shí)現(xiàn)：進(jìn)入接口視圖，設(shè)置鏈路類型默認(rèn)為PPP鏈路，開啟PPP認(rèn)證，認(rèn)證協(xié)議為CHAP，接口綁定VPN實(shí)例A，配置IP地址，30位掩碼長度，使能為遠(yuǎn)端分配地址池的地址的能力。創(chuàng)建PPP地址池，配置地址池中地址的范圍。最后，進(jìn)入接口視圖，設(shè)置鏈路類型默認(rèn)為PPP鏈路，配置請(qǐng)求對(duì)端分配缺省路由，配置CHAP認(rèn)證的用戶名，配置CHAP認(rèn)證密碼，配置請(qǐng)求對(duì)端協(xié)商分配IP地址。

Mux-Vlan功能配置實(shí)現(xiàn)：在系統(tǒng)視圖下，創(chuàng)建VLAN100。將VLAN100配置為mux-vlan的主VLAN，將VLAN37配置為mux-vlan的隔離型從VLAN。進(jìn)入接口視圖，將接口類型修改為Access，默認(rèn)為Hybrid，接口劃分進(jìn)VLAN100，最后，接口下使能mux-vlan功能。

訪問控制列表ACL功能配置實(shí)現(xiàn)：在系統(tǒng)視圖下，創(chuàng)建一個(gè)高級(jí)ACL 3000。根據(jù)實(shí)驗(yàn)要求，允許對(duì)應(yīng)源目地址的HTTP服務(wù)報(bào)文通過，允許對(duì)應(yīng)源目地址的FTP服務(wù)控制命令通過，允許對(duì)應(yīng)源目地址的FTP服務(wù)數(shù)據(jù)報(bào)文通過，允許對(duì)應(yīng)源目地址的IP報(bào)文命令通過，允許對(duì)應(yīng)源目地址的IP協(xié)議回包報(bào)文通過，拒絕非授權(quán)源數(shù)據(jù)通過。

3 ?實(shí)驗(yàn)驗(yàn)證

3.1 控制層面測試

運(yùn)營商骨干網(wǎng)所有設(shè)備都可以互相學(xué)習(xí)到對(duì)方的路由信息，表示運(yùn)營商骨干網(wǎng)內(nèi)部的IGP鄰居關(guān)系、報(bào)文交互以及路由計(jì)算都沒有問題，在系統(tǒng)視圖下輸入display ip routing-table命令即可查看路由表學(xué)習(xí)內(nèi)容。

CE設(shè)備可以互相學(xué)習(xí)到對(duì)端的私網(wǎng)路由信息，表示企業(yè)網(wǎng)的私網(wǎng)路由信息學(xué)習(xí)是正常，可以實(shí)現(xiàn)正常的數(shù)據(jù)訪問，同樣在系統(tǒng)視圖下輸入display ip routing-table命令即可以查看路由學(xué)習(xí)內(nèi)容。

3.2 控制層面測試

總部機(jī)構(gòu)或分支站點(diǎn)的任意一臺(tái)主機(jī)，都可以通過運(yùn)營商網(wǎng)絡(luò)訪問位于總部機(jī)房服務(wù)器的FTP服務(wù)和HTTP服務(wù)，表明除了實(shí)現(xiàn)了基本的訪問需求之外，包括DHCP、FTP、HTTP等其他功能需求也可以正常實(shí)現(xiàn)，分別在終端上獲取總部服務(wù)器FTP服務(wù)、HTTP服務(wù)即可實(shí)現(xiàn)驗(yàn)證。

4 ?總結(jié)

跨域MPLS VPN網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)，詳細(xì)參考了現(xiàn)網(wǎng)環(huán)境下VPN的部署方案，針對(duì)跨域VPN部署遇到的問題提出了一種基于MPLS/BGP的解決方案，詳細(xì)解釋了跨域VPN所遇到的技術(shù)難題和注意事項(xiàng)，設(shè)計(jì)出跨域MPLS VPN的基本拓?fù)?，尤其?duì)本網(wǎng)絡(luò)所設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)溥M(jìn)行了詳細(xì)的描述，首先從協(xié)議層面進(jìn)行了分析，包括最底層的IGP層面到BGP層面，再到MPLS層面。在跨域時(shí)使用Wire Shark抓包軟件抓取了鏈路上傳遞的協(xié)議報(bào)文和訪問數(shù)據(jù)包，詳細(xì)分析了報(bào)文特定字段的格式和作用，更有利于學(xué)生對(duì)協(xié)議原理的理解和在實(shí)際工作過程中對(duì)運(yùn)行協(xié)議的維護(hù)，尤其是存在VPN的場景下，可以參考本設(shè)計(jì)的設(shè)計(jì)過程和分析過程來分析各VPN路由學(xué)習(xí)過程和VPN數(shù)據(jù)報(bào)文的傳遞過程。

參考文獻(xiàn)：

[1]胡元軍.MPLS-VPN在多校區(qū)的應(yīng)用[J].信息與電腦，2019（9）：170-171，174.

[2]趙慧慧，陶駿.基于MPLS VPN和BGP的企業(yè)網(wǎng)絡(luò)構(gòu)建[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)，2019（2）：62-64.

[3]范玲玉，王毅，何璕.基于MPLS VPN的承載網(wǎng)多業(yè)務(wù)應(yīng)用[J].冶金動(dòng)力，2019（3）：74-77.

[4]涂文杰.HCNP路由交換實(shí)驗(yàn)指南[M].北京：人民郵電出版社，2014.

[5]王達(dá).華為路由器學(xué)習(xí)指南[M].北京：人民郵電出版社，2014.

[6]鐘鳴，魏允韜譯.虛擬專用網(wǎng)的創(chuàng)建與實(shí)現(xiàn)[M].機(jī)械工業(yè)出版社，2000.