基于负载分离的跨域虚拟专用网解决方案

陶志勇,王如龙,张 锦,3

(1.长沙民政学院软件学院,长沙410004;2.湖南大学软件学院,长沙410082; 3.湖南师范大学数学与计算机科学学院,长沙410012)

基于负载分离的跨域虚拟专用网解决方案

陶志勇1,2,王如龙2,张 锦2,3

(1.长沙民政学院软件学院,长沙410004;2.湖南大学软件学院,长沙410082; 3.湖南师范大学数学与计算机科学学院,长沙410012)

利用多协议标签交换和边界网关协议构建的虚拟专用网(VPN),在跨域平台中存在无法生成标签路径和边界设备负载过重的问题。为此,从标签分配原理和数据转发层面分析产生上述问题的根源,并提出背靠背方案和基于单跳EBGP的方案处理承载标签转发问题,但这些方案无法解决边界设备负载过重问题。进而基于多跳EBGP提出负载分离的VPN解决方案。通过扩展现有协议和修改系统架构,对传统VPN方案进行改进,并针对不同的网络环境给出具体配置方案。为评估方案性能,通过多项指标对比不同的解决方案。分析结果表明,基于负载分离的VPN解决方案能够解决标签问题和负载问题,是实现跨域VPN的有效方案。

多协议标签交换;边界网关协议;标签;自治系统;域;虚拟专用网

1 概述

因特网工程任务组(Internet Engineering Task Force,IETF)发布的RFC-2547描述了一种运营商通过IP骨干网为用户提供虚拟专用网(Virtual Private Network,VPN)[1]业务的方法。该方法通过扩展边界网关协议(Border Gateway Protocol,BGP)[2]为通过骨干网的私网数据分发VPN路由信息,并使用多协议标签交换 (Multiprotocol Label Switching, MPLS)[3]在VPN用户站点之间转发VPN流量。这种组网方式灵活性好、扩展性强,已越来越受运营商、电力、教育、政府部门的青睐[4-5]。

随着用户网络规模范围成倍增长,需要与另外一个服务提供商或另外的自治系统(Autonomous System,AS)相连的可能性的需求变得非常普遍[6-7]。MPLS和BGP构建的VPN体系结构是在同一个自治系统内运行,任何VPN的路由信息限定于在一个自治系统内按需扩散,它没有提供一个自治系统内的VPN路由信息向其他自治系统扩散的功能。因此,互联网工作组正在着力研究跨自治系统域或跨运营商的VPN的互联问题[7-8]。

针对MPLS和BGP构建的VPN不支持跨域的缺陷,本文从两方面着手解决该问题。首先提出2种侧重不同的VPN解决方案:背靠背解决方案和基于EBGP的解决方案,并分析2种方案的优缺点[2]。然后基于这2种方案,提出一种综合的跨域VPN解决方案:基于负载分离的跨域VPN解决方案,通过为BGP路由信息分配公网标签,实现2条标签交换路径的无缝对接,扩展了现有协议并修改了基于MPLS和BGP构建的VPN的体系框架。

2 相关研究

2.1 跨域问题

构建基于MPLS和BGP的跨域VPN,需要根据MPLS和BGP的原理进行合理设计。MPLS和BGP构建的VPN能实现私网数据穿越公网,并把私网数据准确地转发到相对应的接口,主要依赖于两层标签。一层是把数据发送到相对应的 PE(Provider Edge)设备的公网标签;另一层是把数据发送到PE设备对应接口的内层标签(如图1所示)。

图1 MPLS和BGP的组网

在这种模式中,公网标签和私网标签是实现私网数据穿越公网的关键。但将基于MPLS-BGP构建的VPN拓展到不同自治系统时,存在以下2个关键问题:

问题1 如何解决在自治系统间的设备上承载标签的转发,形成与之对应的标签转发路径。

MPLS和BGP技术构建的VPN公网标签转发路径的形成,需要在公网的设备上都要运行MPLS标签分配协议(Label Distribution Protocol,LDP)。LDP协议给Loopback地址分配标签后,会形成与之对应的标签转发路径,且要求Loopback地址的路由信息是IGP(Interior Gateway Protocol)。2个自治系统间设备上交互路由的协议都是采用的是 BGP, BGP是一种EGP的路由协议,通过BGP路由协议学习到的路由,无法通过LDP给它分配标签,形成标签转发表。公网标签转发表无法形成,导致在公网上无法建立一条逻辑通道,进而使得私网数据无法传输。另外,私网数据能正确地转发到PE设备的接口,还得依赖于BGP给它分配的私网标签,因此,在两台自治系统间的设备上,需要承载考虑私网标签的转发,进而解决私网数据正确地转发到与之对应的PE设备接口。

问题2 2个自治系统间设备负载过重问题。

任何跨自治系统间的私网路由,首先在单域系统内通过与自治系统边界设备建立连接关系,并把私网路由信息发送给自治系统边界设备,再由边界设备与对端边界设备进行数据的交互。该数据交互过程,使得2个自治系统间的设备不但成了公网路由数据的交互中心,同时,也成为处理私网路由数据的交互中心。另外,边界设备上对于公网标签的路由信息和私网路由都不能聚合,公网标签路由信息的聚合会影响标签转发表的形成,无法生成正确的标签转发路径。私网路由一旦聚合就会影响路由信息的特征,使得无法识别私网数据来自哪一个VPN网络。基于这些原因,使得自治系统边界设备不堪重负。

2.2 研究进展

解决上述问题是跨域VPN技术实用化的基础。综合考虑 MPLS和 BGP自身的特点,需对现有MPLS和BGP构建典型VPN的体系结构进行调整,以满足跨自治系统的要求。其中最关键的问题在于,基于MPLS和BGP构建的VPN在跨自治系统网络中无法生成标签转发路径,进而没法建立逻辑通道,使私网数据暴露在公网上,导致私网数据无法穿越公网。解决该问题是成功跨域VPN方案的关键所在,针对该问题,本文首先给出了2种侧重不同的解决方案。

2.2.1 背靠背解决方案

为实现私网数据能跨自治系统平台进行传输,给出的背靠背解决方案的主要思想包括以下3点: (1)在自治系统边界设备上创建多接口或子接口,使每一个VPN有与之对应的接口。(2)把不同的接口与各自接口对应的VPN绑定,实现域间传播路由的私有性。(3)自治系统边界设备上只运行普通的BGP,不运行LDP协议,在自治系统设备之间相对应的VPN实例下交互普通的IPV4路由。同时,每个自治系统边界设备把对方当CE设备看待。该方案拓扑如图2所示。

图2 背靠背方案拓扑

该方案具有如下优点:(1)对自治系统边界设备要求不高,只要支持原有的MPLS和BGP技术构建的VPN。(2)标签路径的建立,在这种方式下PE设备只要维护到本AS内的自治系统边界设备的标签就可以。(3)此方案应用起来非常简单,不要扩展协议和做任何的特殊设置,该方案属于天然支持,在需要跨域的VPN用户数量比较少的情况,可以考虑使用该方案,简单的也是最实用的。同时,基于背靠背方案构建的跨域VPN存在一些缺陷,包括:(1)不同VPN用户需要与之对应的接口,随着VPN用户数量的增加,该配置繁琐,且存在有的自治系统边界设备的物理接口不能创建逻辑子接口的情况。(2)由于需要在自治系统边界设备上为每个VPN用户建立独立的链路,如果有200个VPN用户,那么就需要建立200条链路,且需要建立200个BGP的邻居关系,所以这种跨域平台的VPN技术只适合VPN用户数量很少的情况。

2.2.2 基于单跳EGBP的解决方案

考虑到背靠背方案中存在的扩展困难、配置繁杂等问题,可以考虑采用单跳EBGP方案。该方案的基本设计思路包括如下3点:(1)2台自治系统边界设备除了建立普通BGP连接关系外,且还让它们建立 MP-BGP的连接关系。(2)在 ipv4-family vpnv4模式下交互不同VPN用户的私网数据,并采用路由策略的方式取消对VPN用户数据的过滤。同时,启动自治系统边界设备接口的MPLS转发功能。(3)收到自治系统边界设备发送过来的VPNV4的路由后,在发送自治系统内的PE时采用修改下一跳的方式发送给PE。

相比于背靠背方案,基于单跳EBGP的方案的不同之处在于自治系统边界设备上只需一条链路。此外,单跳EBGP方案的路由发布与背靠背方案也略有不同,包括:(1)自治系统边界asbrA把VPNA用户的路由加入到VPNV4的BGP路由表中,而在背靠背方案中把该路由加入到对应的VPNA的IP路由表中。(2)自治系统边界asbrA把VPNV4里的VPNA的BGP路由信息,通过MP-EBGP方式把路由信息重新分配私网标签后传递给asbrB。而在背靠背方式中在2个自治系统边界设备上传递的是普通的IPV4路由,而在单跳EBGP方案中传递的是VPNV4的路由。

基于EBGP方案构建的跨域平台VPN具有如下优点:(1)自治系统间配置任务少,不需要在自治系统边界设备上建立本地的VPN用户,并在VPN用户视图下创建众多的BGP连接,进而使自治系统边界设备不要维护VPN的路由表以及邻居关系。(2)扩展性好,不管有多少VPN用户,都只需要在域间的自治系统设备上建立一个BGP连接,并只需要维护一条链路。

3 基于负载分离的跨域VPN实现方案

考虑到自治系统边界设备不但要维护公网路由,还需要接收所有PE设备发过来的私网路由,因此,负载问题必须在构建VPN方案中给出解决方案。而上述2种方案只是解决了私网数据可以跨域的问题,难以处理自治系统边界设备上的负载过重问题。

针对该问题,本文提出了一种综合上述方案优点的解决方案。该方案利用多跳EBGP方案,其基本思想(如图3所示)包括如下3点:(1)自治系统之间PE在ipv4-family vpnv4模式下建立EBGP的邻居关系,传递VPNV4的私网路由。(2)自治系统边界设备上建立普通的EBGP邻居关系,交互自治系统边界设备的直连路由与PE设备的回环地址信息,并启用向邻居发送标签路由的功能。(3)PE与自治系统边界之间建立普通的 IBGP的邻居关系,向IBGP的邻居发送标签路由。

图3 多跳EBGP方案拓扑

为了评估其性能,以图4所示网络拓扑为例给出了方案的实施过程,并分析了方案性能。图4给出了跨域平台的数据交互和标签交换过程。VPN1路由5.5.5.5在图中自治系统间控制平面的转发过程。(1)2台自治系统间的PE设备VPNV4路由信息的交互与背靠背方案中域内的VPNV4的交互一样,区别在于多跳EBGP方案只是跨自治系统交互VPNV4的路由。(2)在整个跨域平台上都需要维护2台PE设备回环地址的公网标签。

图4 多跳EBGP方案的标签与数据交互过程

针对上述拓扑结果,基于负载分离的VPN构建方案可以参考表1所示配置而实现。asbrB的配置与asbrA一样,另外,多跳EBGP方案的配置需要在自治系统边界设备上启用标签转发的功能,以及在peA和peB之间在ipv4-family vpnv4模式下建立EBGP的邻居关系,交互私网路由,并在peA、peB之间启用建立多跳EBGP的功能。

上述配置后,在peA设备查找公网标签和私网标签路径如图5所示。图中公网和私网的标签转发表的形成,给私网数据穿越公网创建了逻辑通道,并标识了不同VPN用户的数据。

在设备peA查找VPN实例相对应的路由表,如图6所示。图中显示的结果说明,peA设备已学习到自治系统200内peB的私网路由,且私网路由的交互直接在2台设备之间交互完成,两台自治系统边界设备不需要学习这些私网路由,进而减轻了边界设备的负担。

表1 基于负载分离的VPN构建方案的参考实现配置(asbrA)

图5 peA设备公网和私网标签表

根据上述方案的配置与实现,并对方案进行仿真实验与验证后,对不同的实现方案进行分析,如表2所示。可以发现,多跳EBGP方式自治系统边界设备上只需要维护公网路由,不需要维护私网路由。在标签方面,也只需要维护公网标签,不需要维护私网标签。私网路由和私网标签的维护都交给自治系统内PE设备去维护。相比前两种方案,基于负载分离的VPN实现方案可实现公网路由与私网在管理上的分离,并减轻自治系统边界设备的负担,进一步扩展了MPLS和BGP构建的VPN在网络中的应用。

图6 peA设备VPN实例路由表

表2 方案特性对比

4 结束语

标签路径无法形成与自治系统间设备承载过重的问题,影响了MPLS和BGP构建的VP在跨域平台中的应用。为此,本文提出了 2种解决方案,这2种方案能够部分解决跨域难题,背靠背方案能够实现跨域平台私网数据的交互,基于单跳EBGP的方案具有更好的扩展性,但是均无法解决负载过重的问题。进而,提出了一种综合性的跨域VPN实现方案。在理论上,该方案对原协议进行了扩展。为了评估该方案的可行性,本文从可维护性、扩展性、负载等角度对比了12个方面的指标,结果表明,提出的方案在跨域VPN实现方面更具有优势,能有效解决MPLS和BGP构建的VPN跨域问题[9-10],实现该技术在跨域平台中的应用。

[1] Rahman M A,KabirA H,LutfullahK A,etal. Performance Analysis and the Study of the Behavior of MPLS Protocols[C]//Proc.of International Conference on Computer and Communication Engineering.[S.l.]: IEEE Press,2008:13-15.

[2] 侯剑锋,马 明.MPLS VPN中PE-CE互连仿真研究[J].计算机工程,2010,36(12):123-125.

[3] Rahman M A,Kabir A H,Lutfullah K A M,et al. Performance Analysis and the Study of the Behavior of MPLS Protocols[C]//Proc.of International Conference on Computer and Communication Engineering.Kuala Lumpur,Malaysia:[s.n.],2008:226-229.

[4] Zhang Haiyan,Igor U,Li Han.Linear Protection Switching in MPLS-TP[Z].2011.

[5] Lee Y W,Kim S,Park J,el al.A Light Weight Implementation of RSVP-TE Protocol for MPLS-TE Signaling [J].Computer Communications,2007,30(6):1199-1204.

[6] Chu J,Lea C T.Optimal Link Weights for IP-based Networks Supporting Hose-model VPN[J].IEEE/ACM Transactions on Networking,2009,17(3):778-788.

[7] 任金秋,马海龙,汪斌强.跨域BGP/MPLS VPN在高性能路由器中的实现[J].计算机工程,2009,35(3): 126-129.

[8] Vitch P J.Enterprise Buyer's Guide to Layer 3 MPLS VPN Service[J].Enterprise Network&Servers,2005, (11):18-20.

[9] Matinez R,Pinart C,Cugini F,et al.Challenges and Require-mentsforIntroducing Impairment-awareness into the Management and Control Planes of ASON/ GMPLS WDM Networks[J].IEEE Communications Magazine,2006,44(12):76-85.

[10] 卢众宁,苏厚勤.MPLS-VPN在企业ERP实施过程中的应用研究[J].计算机应用与软件,2012,29(2): 90-93.

编辑 金胡考

Crossing-domain Virtual Private Network Solution Based on Load-separation

TAO Zhi-yong1,2,WANG Ru-long2,ZHANG Jin2,3
(1.Software School,Changsha Social Work College,Changsha 410004,China;
2.Software School,Hunan University,Changsha 410082,China;
3.College of Mathematics and Computer Science,Hunan Normal University,Changsha 410012,China)

When Virtual Private Network(VPN)constructed by Multiprotocol Label Switching(MPLS)and Border Gateway Protocol(BGP)is used in crossing domain platform,the label path can not be found and boundary devices are overloaded.Aiming at these problems,this paper analyses the fundamental reasons on the basis of label distribution and data forwarding plane.It brings forward two schemes,namely back to back project and single hop scheme based on EBGP to solve the problem of label distribution.However,the problem of overloading remains to be unsolved.Then this paper further proposes load-separation VPN solution based on multi-hop EBGP.In detail,the scheme improves the traditional VPN scheme by extending the existing protocols and modifying the systematic framework and brings forward specific configuration according to different network environment.This paper evaluates the performance of the schemes by comparing the different solutions through many indexes and the results indicate that load-separation VPN scheme is effective in realizing crossing-domain VPN and can solve both label distribution and overloading.

Multiprotocol Label Switching(MPLS);Border Gateway Protocol(BGP);lable;Autonomous System (AS);domain;Virtual Private Network(VPN)

1000-3428(2014)09-0106-05

A

TP393

10.3969/j.issn.1000-3428.2014.09.022

国家自然科学基金资助项目(60901080);国家“863”计划基金资助项目(2009AA010314);湖南省教育厅基金资助项目“面向集成的VPN构建策略研究与实现”(13C1051)。

陶志勇(1980-),男,高级工程师、硕士,主研方向:网络结构及优化,传感器网络;王如龙,教授;张 锦(通讯作者),副教授、博士后。

2013-09-22

2013-12-10E-mail:mail_zhangjin@163.com