董旭源 常 鵬 王寶亮 張文彬
(天津大學(xué)信息與網(wǎng)絡(luò)中心 天津 300072)
校園網(wǎng)MPLSVPN系統(tǒng)的設(shè)計(jì)研究
董旭源 常 鵬 王寶亮 張文彬
(天津大學(xué)信息與網(wǎng)絡(luò)中心 天津 300072)
校園網(wǎng)的建設(shè)是國家信息化建設(shè)的重要組成部分,各大院校相繼將建設(shè)智慧校園作為一項(xiàng)重大任務(wù)。主要研究將MPLS VPN技術(shù)運(yùn)用到校園網(wǎng)當(dāng)中,不僅要實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā),還要兼顧其安全性和穩(wěn)定性。主要介紹MPLS VPN的原理及關(guān)鍵技術(shù)。結(jié)合高校校園網(wǎng)建設(shè)的現(xiàn)狀提出一組MPLS VPN實(shí)現(xiàn)校園網(wǎng)的組網(wǎng)模式,分析使用MPLS VPN實(shí)現(xiàn)校園網(wǎng)的部署情況,并且實(shí)驗(yàn)仿真校園網(wǎng)的組網(wǎng)環(huán)境。以兩種典型的校園應(yīng)用業(yè)務(wù)為例,分析網(wǎng)絡(luò)的性能,驗(yàn)證了MPLS VPN技術(shù)的主要優(yōu)勢(shì)。
多協(xié)議標(biāo)記交換 虛擬專用網(wǎng)絡(luò) 校園網(wǎng) 網(wǎng)絡(luò)仿真
隨著信息時(shí)代的到來,電信技術(shù)和業(yè)務(wù)飛速發(fā)展,數(shù)據(jù)通信技術(shù)得以應(yīng)用于大規(guī)模的商業(yè)活動(dòng)。電信網(wǎng)絡(luò)服務(wù)提供商、各個(gè)企業(yè)內(nèi)部的IT部門以及教育網(wǎng)絡(luò),尤其是那些跨國、跨地域的分布式企業(yè)的IT部門和多校區(qū)的校園網(wǎng)都在考慮如何建立內(nèi)部網(wǎng),并且還要保證內(nèi)部信息能夠安全、及時(shí)有效地在內(nèi)部傳遞,即要建立自己的VPN。虛擬專用網(wǎng)技術(shù)的不斷發(fā)展,MPLS VPN與傳統(tǒng)的VPN相比,具有可伸縮性更加強(qiáng)大、傳輸帶效率更高、組網(wǎng)費(fèi)用更低。校園網(wǎng)是教育信息化建設(shè)的重要組成部分,同時(shí)是開展教學(xué)、科研的重要渠道, 將MPLS VPN技術(shù)用于校園網(wǎng)的建設(shè)更有利于促進(jìn)智慧校園的建設(shè)和發(fā)展[1-2]。
本文先通過研究MPLS及VPN技術(shù),對(duì)其關(guān)鍵技術(shù)進(jìn)行探討,在此基礎(chǔ)上,將這兩種技術(shù)相結(jié)合,分析得出MPLS VPN的突出優(yōu)勢(shì)。在充分研究MPLS VPN可靠技術(shù)基礎(chǔ)之上,理解數(shù)字化階段建設(shè)構(gòu)建智能校園網(wǎng)的需求,對(duì)建設(shè)新的校園網(wǎng)提供一種靈活性強(qiáng)、可擴(kuò)展性好的方案,包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、技術(shù)特性優(yōu)勢(shì)分析等。真正實(shí)現(xiàn)不同業(yè)務(wù)的安全性與隱私性隔離以及路由機(jī)制的高效靈活性,實(shí)現(xiàn)校園網(wǎng)設(shè)計(jì)適應(yīng)當(dāng)前及未來的信息化發(fā)展[3,7]。
MPLS是多協(xié)議標(biāo)記交換的簡(jiǎn)稱,所謂多協(xié)議是指MPLS能夠支持多種網(wǎng)絡(luò)層協(xié)議,包括IPv4、IPv6、IPX等,并且能夠支持多種鏈路層技術(shù),如ATM、幀中繼、以太網(wǎng)以及PPP等。
MPLS技術(shù)是在20世紀(jì)90年代中期開始出現(xiàn)的一種交換技術(shù)。隨著Internet網(wǎng)絡(luò)的快速發(fā)展,人們對(duì)骨干網(wǎng)的要求越來越高,而基于IP技術(shù)的路由逐跳查找和轉(zhuǎn)發(fā)過程效率低下。并且網(wǎng)絡(luò)的需求也越來越多,用戶希望Internet網(wǎng)絡(luò)上不僅能夠提供郵件服務(wù)、Web服務(wù)等傳統(tǒng)業(yè)務(wù),還要能夠提供視頻、語音等需要大帶寬實(shí)時(shí)性的業(yè)務(wù)。而像ATM這樣曾被看好的能夠提供多業(yè)務(wù)的交換技術(shù)由于與廣泛部署和應(yīng)用的IP技術(shù)不相容,使得Internet網(wǎng)絡(luò)服務(wù)提供商不得不尋求新的技術(shù),以便能夠能很好地與IP技術(shù)融合,并且能夠像ATM一樣提供多業(yè)務(wù)服務(wù)。IETF所提出的MPLS技術(shù)吸收了ATM技術(shù)簡(jiǎn)單交換的思想和IP靈活的路由技術(shù),使得網(wǎng)絡(luò)技術(shù)取得極大突破。可以將MPLS技術(shù)看成二層交換技術(shù)與三層路由技術(shù)的集合模型,作為2.5層技術(shù),它將三層選路和二層報(bào)文轉(zhuǎn)發(fā)區(qū)分開,即一次選路多次轉(zhuǎn)發(fā),從而實(shí)現(xiàn)高速轉(zhuǎn)發(fā)。傳統(tǒng)IP網(wǎng)絡(luò)是盡力而為的服務(wù),而標(biāo)簽轉(zhuǎn)發(fā)通過標(biāo)簽來構(gòu)建了一條轉(zhuǎn)發(fā)路徑,從而具備了面向連接的特性,為管理網(wǎng)絡(luò)和運(yùn)營網(wǎng)絡(luò)提供了方便可靠的手段。
雖然MPLS的初衷是為了提高路由轉(zhuǎn)發(fā)效率而設(shè)計(jì)的,但它現(xiàn)在的應(yīng)用早已不局限于此。MPLS技術(shù)廣泛地應(yīng)用在網(wǎng)絡(luò)的流量工程和QOS當(dāng)中,是管理IP網(wǎng)絡(luò)流量、擁塞機(jī)制、提供網(wǎng)絡(luò)服務(wù)質(zhì)量的重要解決方案。MPLS VPN技術(shù)則在解決跨地區(qū)互聯(lián)、多業(yè)務(wù)擴(kuò)展等方面日益發(fā)揮重要作用,備受各大電信運(yùn)營商的青睞。
虛擬專用網(wǎng)技術(shù)(VPN)誕生已久,它是指利用共享的基礎(chǔ)設(shè)施網(wǎng)絡(luò)來構(gòu)筑私有網(wǎng)絡(luò)。這里的虛擬一詞是相對(duì)于傳統(tǒng)的私有網(wǎng)絡(luò)而言,在公共網(wǎng)絡(luò)上(如幀中繼、ATM、Internet網(wǎng)絡(luò))通過各種配置形成虛擬網(wǎng)絡(luò),用戶獲得的將是一個(gè)邏輯意義上的專網(wǎng)。它與租用專線組網(wǎng)的專網(wǎng)沒有什么差別,都實(shí)現(xiàn)了網(wǎng)絡(luò)的私有性,保證了非VPN用戶不能訪問VPN網(wǎng)絡(luò),內(nèi)部信息不會(huì)泄漏到外部網(wǎng)絡(luò),但是VPN與基礎(chǔ)設(shè)施網(wǎng)絡(luò)之間是隔離的。這種技術(shù)解決了各種商業(yè)問題,如移動(dòng)用戶接入問題、公司內(nèi)部之間通信問題、合作公司之間通信問題?,F(xiàn)在VPN與各種新技術(shù)結(jié)合,越來越復(fù)雜,它的優(yōu)點(diǎn)顯而易見,提供了更高的可靠性、擴(kuò)展性和安全性;降低了建立專用網(wǎng)絡(luò)的成本,同時(shí)提高了對(duì)現(xiàn)網(wǎng)絡(luò)資源的利用率;在應(yīng)用和管理上靈活,增加或刪除VPN節(jié)點(diǎn)不涉及硬件。
MPLS技術(shù)的一個(gè)重要應(yīng)用就是MPLS VPN。前面介紹了VPN與MPLS技術(shù),這兩者相互結(jié)合,形成的基于MPLS實(shí)現(xiàn)VPN有著巨大的優(yōu)勢(shì),能較好地滿足覆蓋VPN模式的安全性和隔離性,簡(jiǎn)化對(duì)等VPN的路由選擇。MPLS技術(shù)本身的特點(diǎn)使得基于IP網(wǎng)絡(luò)的MPLS VPN能夠無縫地融合ATM、幀中繼等二層網(wǎng)絡(luò),兼容性與擴(kuò)展好。并且MPLS中所建立的LSP是面向連接的轉(zhuǎn)發(fā)方式,相當(dāng)于傳統(tǒng)VPN技術(shù)中的隧道,實(shí)現(xiàn)VPN技術(shù)優(yōu)勢(shì)明顯[4-6]。
從網(wǎng)絡(luò)層次上看,MPLS VPN可分為基于 MPLS 的第二層VPN和基于MPLS的第三層VPN[5]。IETF在2003年成立了L2VPN的工作組,專門研究VPLS(Virtual Private LAN Service)和VPWS(Virtual Private Wire Service)的技術(shù)和應(yīng)用;2004年成立了L3 VPN的工作組,專門研究L3 VPN,而MPLS的L3 VPN技術(shù)則是他們研究的一個(gè)重要方向。第二層VPN和第三層 VPN 的區(qū)別在于CE路由器是否參與VPN的創(chuàng)建。并且二層VPN的數(shù)據(jù)使用的是二層幀頭(MAC幀頭)封裝,三層VPN使用三層報(bào)頭(IP報(bào)頭)封裝。目前三層MPLS VPN應(yīng)用廣泛,它與IP網(wǎng)絡(luò)兼容性好,能夠支持多種二層協(xié)議。
L3 MPLS VPN主要結(jié)合了BGP 的多協(xié)議擴(kuò)展(MP-BGP),通常稱為MPLS/BGP VPN,是MPLS L3 VPN 的一種實(shí)施模式。它利用IP網(wǎng)絡(luò),通過MPLS技術(shù)提前構(gòu)建LSP隧道,類似于虛電路,并使用MP-BGP協(xié)議,可以實(shí)現(xiàn)跨越不同運(yùn)營商網(wǎng)絡(luò)的互聯(lián)。
網(wǎng)絡(luò)拓樸結(jié)構(gòu)如圖1所示,對(duì)于校園網(wǎng)的構(gòu)建,可以以這種模式進(jìn)行組網(wǎng)。
圖1 MPLS VPN典型組網(wǎng)圖
BGP/MPLS VPN當(dāng)前的框架結(jié)構(gòu)中主要的網(wǎng)絡(luò)設(shè)備有骨干網(wǎng)核心路由器P(Provider)、骨干網(wǎng)邊緣路由器PE(Provider Edge Router)、用戶網(wǎng)絡(luò)路由器CE(Customer Edge)。其典型組網(wǎng)如圖1所示。P路由器相當(dāng)于MPLS中的LSR,作為骨干網(wǎng)核心路由器,不負(fù)責(zé)VPN的路由,僅需要實(shí)現(xiàn)MPLS轉(zhuǎn)發(fā)功能,一般依據(jù)VPN數(shù)據(jù)包的棧頂標(biāo)簽;PE路由器相當(dāng)于LER,作為網(wǎng)絡(luò)的邊界設(shè)備,一般負(fù)責(zé)VPN路由和骨干網(wǎng)內(nèi)部路由的交換,VPN路由存儲(chǔ)在VRF路由表中,內(nèi)部骨干網(wǎng)路由存儲(chǔ)在全局路由表中;CE是客戶端路由器,不需要負(fù)責(zé)VPN的功能,僅需要維護(hù)自己的路由條目,具有三層路由功能。
這三個(gè)路由器中,實(shí)施VPN業(yè)務(wù)的只有PE,是MPLS VPN的重要設(shè)備,性能要求比較高。這里的BGP/MPLS VPN是平面結(jié)構(gòu),各個(gè)PE沒有層級(jí)關(guān)系,不論分布在網(wǎng)絡(luò)的哪里,所具備的性能都是一樣的。
在MPLS網(wǎng)絡(luò)中能實(shí)現(xiàn)VPN功能主要通過以下來實(shí)現(xiàn):
1) VPN Site:MPLS VPN的體系構(gòu)架支持站點(diǎn)(site)這一概念。VPN包含了一個(gè)或多個(gè)站點(diǎn),因此可以這樣來理解,VPN本質(zhì)上是一組站點(diǎn)的集合,這些站點(diǎn)共同享有路由信息,組成一個(gè)互聯(lián)的網(wǎng)絡(luò)。但是對(duì)與外部來說,即不是VPN的站點(diǎn),則是一個(gè)隔離的網(wǎng)絡(luò),在某些復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中,一個(gè)站點(diǎn)可能屬于多個(gè)VPN。通過站點(diǎn)這一概念,有助于在實(shí)際的工程當(dāng)中實(shí)現(xiàn)多種復(fù)雜的連通性需求。我們通常所理解的總部與分部等就是site的具體體現(xiàn)。在MPLS組網(wǎng)中,一般將CE看作是一個(gè)站點(diǎn),CE中存在的多個(gè)接口可看作多個(gè)VPN。
2) VRF:MPLS VPN網(wǎng)絡(luò)中所有PE路由器都包含若干與VPN相關(guān)的路由表和,其一張全局轉(zhuǎn)發(fā)表。全局轉(zhuǎn)發(fā)表是用來在骨干網(wǎng)絡(luò)中進(jìn)行報(bào)文的轉(zhuǎn)發(fā),提供了P、PE路由器之間的路由信息。與VPN相關(guān)的路由表是VPN路由轉(zhuǎn)發(fā)實(shí)例,稱為VRF,一個(gè)PE上會(huì)有多個(gè)VRF,它們之間相互隔離獨(dú)立。
3) 路由區(qū)分符(RD):RD屬性方便了VPN用戶使用自己的私有網(wǎng)絡(luò)地址。在對(duì)等VPN模型中,用戶自己規(guī)劃管理VPN的地址,必然會(huì)使用私有網(wǎng)絡(luò)地址,當(dāng)運(yùn)營商所連接的VPN路由器上出現(xiàn)了相同的地址值時(shí)將會(huì)引發(fā)地址空間重疊問題,解決這個(gè)問題并不容易,這也通常是部署VPN遇到的主要問題之一。RD屬性完美的解決了這一困境,它通過在的IPv4地址前附加一個(gè)8字節(jié)的RD字段構(gòu)成VPNv4地址,用于在PE之間傳遞VPN路由。這個(gè)VPNv4地址在每個(gè)VRF表中具有唯一性,一般同一VPN使用相等的RD值,不相同的VPN使用不等的RD值。為了支持RD屬性,需要使用MP-BGP協(xié)議,它能識(shí)別并處理VPNv4地址。在路由更新報(bào)文中將攜帶 RD值,但RD無法進(jìn)行路由選擇,不決定如何發(fā)送或接受路由,只是分離不同的VRF,本地有效。
4) 路由目標(biāo)(RT):為了實(shí)現(xiàn)VRF的隔離,還需要添加VRF的輸入和輸出策略,用來決定將哪些路由放入VRF中,以及能夠?qū)⒛男┞酚上蛲馔ǜ?。RT就是用來控制VRF路由的收發(fā)和過濾,它使用了BGP的擴(kuò)展community屬性,在一個(gè)VRF中,發(fā)布路由時(shí)使用RT的export規(guī)則,在接收端PE上,則根據(jù)RT的import規(guī)則進(jìn)行檢查,match就在該VRF中添加路由。
隨著科技的高速發(fā)展,網(wǎng)絡(luò)也不斷日益擴(kuò)大,網(wǎng)絡(luò)設(shè)備數(shù)量增多,網(wǎng)絡(luò)拓?fù)涓訌?fù)雜,路由條目不斷增加,IGP不能滿足目前的網(wǎng)絡(luò)需求。這就促使我們對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行劃分,劃分出來的區(qū)域就成為autonomous system(AS),IGP協(xié)議負(fù)責(zé)同一個(gè)AS內(nèi)部路由的交互,而要實(shí)現(xiàn)全網(wǎng)通,即不同AS域的通信,則由EGP協(xié)議實(shí)現(xiàn)。但是由于EGP的使用有很多局限性,不能很好解決AS互聯(lián),由此BGP應(yīng)運(yùn)而生。
BGP在一定的程度上與RIP有某些相似處,都是以跳數(shù)為度量值的路由協(xié)議,不同的是BGP的一跳劃分粒度大。BGP的發(fā)展經(jīng)歷了不同的階段,隨著AS域間的通信要求越來越高,促使BGP協(xié)議不斷發(fā)展,逐步成為Internet體系結(jié)構(gòu)的基礎(chǔ)協(xié)議。從1989年的最早版本BGP1開始,到1990年的BGP2、1993年的BGP3,發(fā)展到了1995年開始開發(fā)的新版本BGP4(RFC1771),以及1998年發(fā)布的BGP4的多協(xié)議擴(kuò)展(RFC2283)。
在MPLS VPN組網(wǎng)當(dāng)中,BGP路由技術(shù)發(fā)揮了至關(guān)重要的作用。在將網(wǎng)絡(luò)劃分為不同的AS(即自制系統(tǒng))域時(shí),BGP路由協(xié)議通過對(duì)不同自治系統(tǒng)的路由傳播控制和策略路由,能很好地實(shí)現(xiàn)網(wǎng)絡(luò)管理的目的。但是BGP協(xié)議不只是作為AS域的路由協(xié)議,也可以用于AS內(nèi)部,是一個(gè)具有兩種作用的協(xié)議。該協(xié)議本身具有很強(qiáng)的擴(kuò)展性,與MPLS技術(shù)結(jié)合能夠支持不同的協(xié)議族,如IPV4和IPV6。當(dāng)網(wǎng)絡(luò)中需要增加新的MPLS節(jié)點(diǎn)時(shí),BGP協(xié)議能夠根據(jù)其同步原則對(duì)網(wǎng)絡(luò)拓?fù)涞淖兓龀隹焖俜磻?yīng),控制路由,清除環(huán)路;網(wǎng)絡(luò)線路出現(xiàn)故障時(shí),多條BGP路由能夠相互備份,保持連通,提高了網(wǎng)絡(luò)的可靠性[8]。
現(xiàn)階段各大高校紛紛加快建設(shè)一個(gè)高性能、安全可靠的校園網(wǎng)絡(luò),實(shí)現(xiàn)智慧校園。校園網(wǎng)的建設(shè)源于上世紀(jì)80年代,在教育科研網(wǎng)CERNET的推動(dòng)下,至今全國校園網(wǎng)的建設(shè)已經(jīng)具有一定規(guī)模了。在信息化時(shí)代的大背景下,通過校園網(wǎng)能夠?qū)⑿@內(nèi)的各種資源進(jìn)行整合,方便地進(jìn)行信息服務(wù)、資源共享、網(wǎng)絡(luò)教學(xué)、遠(yuǎn)程接入和網(wǎng)上辦公;同時(shí)實(shí)現(xiàn)與外部網(wǎng)絡(luò)、教育網(wǎng)絡(luò)的無障礙連通,提供寬帶接入,實(shí)現(xiàn)上網(wǎng)服務(wù)以及信息共享。
校園網(wǎng)按區(qū)域劃分可以分為:辦公教學(xué)區(qū)、學(xué)生宿舍區(qū)、校園網(wǎng)網(wǎng)絡(luò)信息中心區(qū)和分校區(qū)這四大區(qū)域,基于MPLS VPN的網(wǎng)絡(luò)拓?fù)淇稍O(shè)計(jì)如圖2所示。綜合考慮各種業(yè)務(wù)系統(tǒng)的需求,為每種業(yè)務(wù)靈活建立虛擬的獨(dú)立網(wǎng)絡(luò),實(shí)現(xiàn)各VPN互聯(lián),不同VPN之間路由隔離,實(shí)現(xiàn)高性能的互聯(lián)網(wǎng)絡(luò)。這種網(wǎng)絡(luò)結(jié)構(gòu)不設(shè)置P路由器,核心層通過PE路由器進(jìn)行全網(wǎng)狀互聯(lián),保證可靠性,CE路由器作為接入各個(gè)VPN的服務(wù)器,保證安全性。
圖2 MPLS VPN實(shí)現(xiàn)校園網(wǎng)拓?fù)鋱D
2.2.1 實(shí)驗(yàn)相關(guān)參數(shù)說明
根據(jù)前面對(duì)校園網(wǎng)構(gòu)建的介紹以及理論的詳細(xì)說明,我們使用網(wǎng)絡(luò)仿真工具GNS3和抓包工具wireshark來搭建網(wǎng)絡(luò)拓?fù)?,進(jìn)行網(wǎng)絡(luò)環(huán)境的模擬,以真實(shí)地反映實(shí)際效果。使用的GNS3的版本為0.8.6,實(shí)驗(yàn)過程中掛載了兩種CISCO路由器的IOS鏡像,分別是C7200和C3640, Wireshark的版本為1.12.1,這款工具可以針對(duì)GNS3中的路由器線路上的流量進(jìn)行抓包分析。
在此實(shí)驗(yàn)中共使用了8臺(tái)思科的路由器來模擬仿真校園網(wǎng)絡(luò)中的兩個(gè)業(yè)務(wù):教務(wù)在線和校園辦公。其中4臺(tái)路由器為C3640系列的路由器,作為MPLS VPN網(wǎng)絡(luò)中的PE和P路由器;其余4臺(tái)作為CE路由器,連接具體得用戶VPN網(wǎng)絡(luò)。
網(wǎng)絡(luò)地址的選取上做了如下規(guī)劃:互聯(lián)網(wǎng)絡(luò)上的IP地址,即MPLS域內(nèi)的地址選用10.0.0.0/8的A類私有網(wǎng)段地址,這樣編址連續(xù)簡(jiǎn)潔,提高網(wǎng)絡(luò)地址的使用率,在使用路由匯總等技術(shù)時(shí)有利于進(jìn)一步簡(jiǎn)化路由表?xiàng)l目,降低了設(shè)備運(yùn)行的成本。同時(shí)實(shí)驗(yàn)過程中操作也比較方便,接口對(duì)接不易出錯(cuò),拓?fù)浣Y(jié)構(gòu)清晰明了。
網(wǎng)絡(luò)業(yè)務(wù)的劃分則分別由四個(gè)CE路由器引入,主校區(qū)中的CE1負(fù)責(zé)教務(wù)在線業(yè)務(wù)流量,CE2負(fù)責(zé)校內(nèi)辦公的業(yè)務(wù)流量;其他校區(qū)中的CE3負(fù)責(zé)教務(wù)在線業(yè)務(wù)流量,CE4負(fù)責(zé)校內(nèi)辦公業(yè)務(wù)流量。這兩個(gè)業(yè)務(wù)的流量通過匯聚層的核心交換機(jī)同時(shí)也是MPLS中的PE路由器接入核心層進(jìn)行交互,這兩個(gè)業(yè)務(wù)的工作網(wǎng)絡(luò)均在192.168.0.0/24網(wǎng)段上,但是不同業(yè)務(wù)之間是沒有交叉的,他們屬于不同的VPN業(yè)務(wù)。
網(wǎng)絡(luò)路由協(xié)議的選擇:MPLS骨干網(wǎng)路由器協(xié)議選擇ospf協(xié)議,具有較快的收斂速度和較好的擴(kuò)展性;PE與CE之間采用MP-BGP協(xié)議與RIP協(xié)議,PE-PE之間采用MP-BGP協(xié)議。
2.2.2 實(shí)驗(yàn)操作
根據(jù)網(wǎng)絡(luò)模型搭建拓?fù)淙鐖D3所示。
圖3 搭建仿真拓?fù)鋱D
各路由器接口地址信息如下:
R1 f1/0 198.162.1.1/24-----------R2 f1/0 192.168.1.2/24
R2 s0/0 10.1.10.1/24-----------R3 s0/1 10.1.10.2
R3 s0/0 10.1.20.1/24-----------R4 s0/0 10.1.20.2
R4 s0/0 10.1.30.1/24-----------R5 s0/1 10.1.30.2
R5 f1/0 192.168.4.1/24-----------R6 f1/0 192.168.4.2
R8 f1/0 192.168.5.1/24-----------R2 f1/0 192.168.5.2
R7 f1/0 192.168.7.1/24-----------R5 f1/0 192.168.7.2
R1 lo0 1.1.1.1 R2 lo0 10.1.1.2 R3 lo0 10.1.1.3
R4 lo0 10.1.1.4
R5 lo0 10.1.1.5 R6 lo0 2.2.2.2 R7 lo0 3.3.3.3
R8 lo0 4.4.4.4
當(dāng)全網(wǎng)沒有開啟MPLS時(shí),僅使用BGP和OSPF路由協(xié)議互聯(lián)時(shí),R1是教務(wù)在線的路由表,應(yīng)只包含與R6相關(guān)路由,但是該路由表中還包含與R7和R8的互訪路由信息,沒有對(duì)路由進(jìn)行隔離。觀察R7也會(huì)發(fā)現(xiàn)同樣的問題。
使用ping的擴(kuò)展命令來查看網(wǎng)絡(luò)的性能,如圖4所示。
圖4 R1到R6的丟包與延時(shí)情況
從圖中看出,100條ICMP包有丟失的情況,從源地址192.168.1.1發(fā)包到目的地址192.168.4.2的最低延時(shí)為116 ms,平均延時(shí)為157 ms,最高延時(shí)為212 ms。
現(xiàn)在使用MPLS技術(shù)實(shí)現(xiàn)互聯(lián),首先在MPLS骨干網(wǎng)中配置OSPF并查看MPLS骨干網(wǎng)路由表,確認(rèn)IGP工作正常。在任一MPLS域內(nèi)路由器查看路由,如R2,確認(rèn)IGP可達(dá)。在R2、R3、R4、R5上開啟MPLS,如圖5所示,查看MPLS標(biāo)簽分發(fā)是否正常。
圖5 R2標(biāo)簽分發(fā)信息
使用ping的擴(kuò)展命令來測(cè)試網(wǎng)絡(luò)的延時(shí)和丟包情況,如圖6所示,從圖上可以看出丟包率變小了,并且網(wǎng)絡(luò)的延時(shí)與之前相比大大減小。
圖6 ping擴(kuò)展命令測(cè)試
通過實(shí)驗(yàn)仿真的對(duì)比結(jié)果可以看出,MPLS VPN技術(shù)實(shí)現(xiàn)了路由的隔離,不用像傳統(tǒng)的VPN技術(shù)配置復(fù)雜的隧道和加密技術(shù),用戶使用和維護(hù)比較便捷,網(wǎng)絡(luò)配置比較清晰;使用了MP-BGP協(xié)議,支持多種路由協(xié)議和CIDR,能夠支撐網(wǎng)絡(luò)大量的路由條目,并可以簡(jiǎn)化路由表,節(jié)省硬件的存儲(chǔ)空間;由于MPLS是一種基礎(chǔ)網(wǎng)路技術(shù),不需要對(duì)當(dāng)前已有的網(wǎng)絡(luò)拓?fù)渥鞲淖?,?jié)省了網(wǎng)絡(luò)升級(jí)的成本;網(wǎng)絡(luò)的傳輸速率得到了很大的提高,有效減少了網(wǎng)絡(luò)節(jié)點(diǎn)的延遲和丟包率,比使用純IP網(wǎng)絡(luò)的性能好;擴(kuò)展性強(qiáng),增加VPN節(jié)點(diǎn)時(shí)只需接入CE路由器,配置CE與PE的互聯(lián)就可以實(shí)現(xiàn)VPN服務(wù),而對(duì)骨干網(wǎng)絡(luò)不做任何修改,與傳統(tǒng)的對(duì)等模型和重疊模型相比,減少了硬件的關(guān)聯(lián)。由此可見,使用MPLS VPN技術(shù)能夠?qū)崿F(xiàn)低成本高性價(jià)比校園網(wǎng)。
本論文通過研究MPLS技術(shù)和VPN技術(shù)的原理和關(guān)鍵技術(shù)路線,引出了MPLS VPN技術(shù),論述了MPLS VPN的技術(shù)原理,分析了與以往的技術(shù)相比,MPLS VPN的優(yōu)勢(shì)。將MPLS VPN技術(shù)與校園網(wǎng)建設(shè)的需求相結(jié)合,提出了用MPLS VPN技術(shù)實(shí)現(xiàn)校園網(wǎng)的組網(wǎng)方案,采用實(shí)驗(yàn)仿真的手段,模擬真實(shí)環(huán)境的網(wǎng)絡(luò)架構(gòu),比較了使用傳統(tǒng)路由技術(shù)與使用MPLS VPN技術(shù)的網(wǎng)絡(luò)性能差異,突出了基于MPLS VPN建設(shè)校園網(wǎng)具有安全性好、擴(kuò)展性強(qiáng)的優(yōu)點(diǎn)。
[1] Halimi A, Statovci-Halimi B. Overview on MPLS Virtual Private Networks[J]. Photonic Network Communications, 2002, 4(2):115-131.
[2] Lan J, Lin B Y. Research for service deployment based on MPLS L3 VPN technology[C]//International Conference on Mechatronic Science, Electric Engineering and Computer. IEEE, 2011:1484-1488.
[3] 吳文皓. 校園網(wǎng)環(huán)境下的MPLS技術(shù)研究與仿真[D]. 哈爾濱:哈爾濱理工大學(xué),2013.
[4] Hou J F, Ming-Kai M A, Xiang-Hong L I. Application of Dynamic QoS Mechanism in MPLS VPN[J]. Computer Engineering, 2010, 36(3):106-108.
[5] Parra O J S, Rubio G L, Castellanos L. MPLS/VPN/BGP Networks evaluation techniques[C]//Engineering Applications. IEEE, 2012:1-6.
[6] 陳雪非, 黃河, 李蓬. MPLS VPN關(guān)鍵技術(shù)研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2007, 28(13):3138-3140,3150.
[7] 劉俊斌, 王勇. 基于MPLS VPN技術(shù)多校區(qū)校園網(wǎng)應(yīng)用研究[J]. 價(jià)值工程, 2014(3):188-190.
[8] 韓海雯, 張瀟元. 基于BGP協(xié)議的MPLS VPN構(gòu)建機(jī)制分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2008, 29(5):1104-1107.
DESIGNANDRESEARCHOFCAMPUSNETWORKSYSTEMBASEDONMPLSVPN
Dong Xuyuan Chang Peng Wang Baoliang Zhang Wenbin
(InformationandNetworkCenter,TianjinUniversity,Tianjin300072,China)
The construction of the campus network is an important part of the national information construction. Universities take the construction of smart campus as a major task successively. The main research is to use MPLS VPN technology in campus network, not only achieve high-speed data transmission, but also take into account the safety and stability. This paper mainly introduces the principle and key technology of MPLS VPN. Combined with the present situation of campus network construction, a set of MPLS VPN campus network model is put forward. The deployment of campus network is analyzed by using MPLS VPN, and the network environment of the campus network is simulated. Combined with the status of university campus network construction, we proposed a set of MPLS VPN networking mode of campus network, analyze the situation of using MPLS VPN to achieve the deployment of campus network, and simulated the network environment of the campus network by experiment. Taking two typical campus applications as an example, the performance of the network is analyzed, and the main advantages of MPLS VPN technology are verified.
MPLS VPN Campus network Network simulation
TP393
A
10.3969/j.issn.1000-386x.2017.10.036
2016-12-22。董旭源,副研究員,主研領(lǐng)域:信息系統(tǒng),數(shù)據(jù)庫,軟件開發(fā)。常鵬,助理研究員。王寶亮,高工。張文彬,助理研究員。