BGP/MPLS VPN技术分析

◆马蕴一

（辽宁工程技术大学软件学院 辽宁 125100）

1 引言

VPN技术是基于隧道加密，利用公共网络解决不同地点的企事业单位之间内部资源无障碍互访的一种手段。BGP/MPLS VPN是通过使用MPLS标签和BGP协议来实现VPN的一种方式。BGP/MPLS VPN完全由运营商来创建和维护隧道，用户只需管理所在区域内部的网络，这样的实现方式大大降低了用户的管理成本。同时，相比较专线的实现方式也降低了成本的投入。目前，BGP/MPLS VPN是实现VPN的一种重要的手段，也是未来VPN技术不断发展的一种趋势，获得了广大用户和运营商的青睐。

2 BGP/MPLS VPN技术基础

VPN：虚拟专用网，基于公共网络，利用隧道、加密等技术，为用户构建的虚拟专用网络

MPLS：多协议标签交换，一种用于快速数据包交换和路由的体系

BGP：边界网关协议，用于AS和AS之间传递大量的路由信息

CE：用户网络边缘设备

PE：供应商网络边缘设备

P：供应商网络的骨干设备

Site：指相互具有IP连通性的一组IP系统，且该系统IP连通性不需要通过ISP运营商实现。公司的分部或总部之类的一个局域网可以是一个site

VPN-instance：VPN实例即VRF，相当把大的路由器虚拟出不同的小路由器

RD：路由区分器，用来区分相同地址空间的IPv4前缀

VPN-IPv4路由：加上RD标签之后的IPv4路由，运行在ISP域内部

RT：用于控制VPN路由信息的发布，将PE上接收到的VPNv4前缀通告给CE设备。

MP-BGP：是一种扩展的BGP协议，用来转发VPN-IPv4路由

3 BGP/MPLS VPN规划设计

要想实现在公网上实现VPN需要解决如下的三个问题才可以很好实现BGP/MPLS VPN技术。

3.1 如何在同一台PE上与不同CE之间路由信息的隔离

一台PE设备连接多台CE设备。在CE和PE之间运行动态路由协议，可能导致路由信息来回窜，造成两个VPN之间无法进行隔离。因此PE需要将收到不同VPN的路由信息进行缓存下来，实现将两个路由信息的隔离。

通过引入VRF功能组件解决上述的问题。VRF相当于在大路由器又划分出多个逻辑上完全隔开的小路由器。大路由器维护ISP公网的路由表，小路由器维护VPN路由转发表，这些路由表是相对独立互不影响的。因此路由信息不会窜，进而解决了同一台PE设备对不同客户CE设备的隔离问题。

3.2 如何容许通告重叠客户私有路由并在公网上传递

两个VPN site将路由信息传递到PE设备是相同的路由信息，对端的CE设备可能收到同一份路由信息。

通过引入RD地址区分器，来区分使用相同地址空间的IPv4地址。真正的VPN-IPv4地址由RD前缀+IPv4地址构成的。相同的地址空间的IP地址有不同的RD时，路由器会认为是不同的VPN-IPv4地址。因此会按照不同的地址全部转发，容许通告重叠客户的私有路由。

BGP能跨多个设备传输大量路由，在公网上传递私网路由，最正确的协议就是BGP。可以结合MPLS技术和运行MP-BGP协议。但是，如果VPN1和VPN2的地址是重叠的，传送的是VPN1里面的网段或者VPN2里面的网段。这个时候要使用MP-BGP扩展的BGP协议实现正确处理VPN-IPv4路由。

3.3 PE如何将所接收到的VPNv4路由通告给CE设备

当对端的PE设备接收到了IPv4路由，只通过RD无法进行区分是属于哪个VPN site，该给哪个PE设备。引入RT控制VPN路由信息的发布将PE上接收到的VPNv4前缀通告给CE设备。对端的PE设备收到VPNv4的路由之后，比较传递过来的路由信息携带RT出向的RD值与自身的VRF的入向的RT值，相同，则传递给对应的CE设备。

3.4 BGP/MPLS VPN数据转发

BGP/MPLS VPN数据转发，核心的问题在于普通的IPv4路由和VPN IPv4路由之间的转换。CE和PE间运行普通IPv4路由，PE之间运行VPNv4路由，具体数据转发流程如下：

（1）VPN site内部运行IGP协议，发送端CE将BGP路由表进行引入；

（2）向PE设备传递BGP Update的更新报文；

（3）PE设备把信息放到VRF路由表当中，运行MP-BGP协议，传递VPN-IPv4路由；

（4）P设备发送携带了Label，RD，Export-RT等信息的BGP Update，传给出口的边界PE设备；

（5）在出口的PE设备上要进行路由交叉和隧道迭代，更新到VRF路由表中。去掉RT值和RD值，用普通BGPIPv4报文的BGP实现路由传递；

（6）接收端CE设备将BGP路由表引入到IGP路由表，在VPN site内部运行IGP协议。

4 对BGP/MPLS VPN的部署

从安全性的角度考虑，应该在PE设备上进行一些安全性的配置。在实际的链路的部署和设备选择上，应该考虑一些支持FW（防火墙），SSL（安全套接字）+，IPS（入侵防御），ACG（应用控制网关），防病毒的功能模块的路由器作为实现BGP/MPLS VPN的PE设备。

从EAD准入控制的角度考虑，BGP/MPLS VPN的组网需要在网络边缘设备CE和PE设备上做接入认证点，对各VPN的用户执行不同的安全认证策略。部署EAD准入控制需要考虑网络规模和网络带宽优化的问题。

目前随着网络规模的扩大，IPv6逐渐开始广泛应用。当前网络的部署处于IPv4和IPv6共存的阶段，设计BGP/MPLS VPN的实现的时候也要考虑部署IPv6。在IPv6的分支上运行RIPng和OSPFv3，来实现IPv4和IPv6网络的互通。

5 BGP/MPLS VPN性能评价

隧道机制对客户和运营商的设备透明，客户根本感受不到穿越了运营商，穿过了隧道。该隧道的创建和维护由运营商来完成，降低了管理的成本；客户维护VPN site内的路由对私网标签的分配；运营商对ISP公网的标签的分配，有效降低了双方的维护成本；

结合了H3C智能广域网安全性的解决方案之后可以形成二层到七层的立体的网络安全保护，提高网络安全性，还可以进行认证计费，准入控制，形成可视可控可度量的精简化管理体系。同时，部署IPv6符合可持续发展的需要，也弥补了IPv4网络环境下的不足。

6 结论

BGP/MPLS VPN技术是实现VPN的一种重要的手段，也是实现广域网的一种常用方式。如何结合最新的技术，使用最新的网络设备，结合智能广域网解决方案规划部署一个可持续发展，智能一体化面向业务统一管理的高质量链路，将是未来VPN技术发展的一种趋势。