基于bgpmplsvpn企業(yè)跨域組網(wǎng)仿真設(shè)計(jì)

0基于外部網(wǎng)絡(luò)實(shí)名的bgp、虛擬專(zhuān)網(wǎng)技術(shù)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，大量業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)也在增加。以往的ip網(wǎng)絡(luò)無(wú)法提供可靠的服務(wù)質(zhì)量，因?yàn)闆](méi)有連接特點(diǎn)。多協(xié)議標(biāo)簽交換(Multi-ProtocolLabelSwitching,MPLS)用戶(hù)個(gè)性化需求帶來(lái)增值業(yè)務(wù)的快速發(fā)展，MPLS技術(shù)逐漸被擴(kuò)展到了新的應(yīng)用領(lǐng)域，如與邊界網(wǎng)關(guān)協(xié)議(BorderGatewayProtocol,BGP)、虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)技術(shù)結(jié)合的BGPMPLSVPN技術(shù)就是一種應(yīng)用廣泛的3層VPN(Layer3VPN,L3VPN)技術(shù)1bmpmplsv公共服務(wù)技術(shù)1.1基于mpls的ip地址隔離技術(shù)一般MPLSVPN架構(gòu)將設(shè)備角色分為客戶(hù)端邊界路由器(CustomerEdge,CE)、運(yùn)營(yíng)商邊界路由器(ProviderEdgeRouter,PE)和運(yùn)營(yíng)商路由器(ProviderRouter,P)由于VPN業(yè)務(wù)采用私網(wǎng)IP地址，當(dāng)多個(gè)VPN業(yè)務(wù)連接到同一個(gè)PE上或是多個(gè)VPN業(yè)務(wù)相互通信時(shí)，就可能存在IP地址沖突問(wèn)題。為解決不同VPN私網(wǎng)路由沖突，MPLSVPN引入了VPN實(shí)例技術(shù)，即在PE設(shè)備上創(chuàng)建實(shí)例并與VPN業(yè)務(wù)進(jìn)行綁定，實(shí)現(xiàn)不同VPN業(yè)務(wù)路由隔離。創(chuàng)建VPN實(shí)例相當(dāng)于創(chuàng)建了單獨(dú)的VPN路由轉(zhuǎn)發(fā)表(VPNRoutingandForwarding,VRF)1.2pe設(shè)備上的車(chē)間價(jià)值的分配在BGPMPLSVPN網(wǎng)絡(luò)中，為確保每個(gè)業(yè)務(wù)VPN路由的唯一性，在PE設(shè)備上為每個(gè)VPN路由分配唯一的路由區(qū)分(RouteDistinguisher,RD)值，對(duì)不同的私網(wǎng)路由進(jìn)行區(qū)分1.3omousph值普通的MPLSVPN體系結(jié)構(gòu)是在一個(gè)自治系統(tǒng)(AutonomousSystem,AS)域內(nèi)運(yùn)行，不提供向其他AS傳遞VPN路由信息的功能。而跨域(Inter-AS)的MPLSVPN，可以實(shí)現(xiàn)AS之間VPN私網(wǎng)路由信息的交互傳遞2企業(yè)網(wǎng)絡(luò)設(shè)計(jì)2.1bgpmplsvpn技術(shù)某公司總部和分部距離較遠(yuǎn)，需要跨越多個(gè)區(qū)域運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行互連，為保證業(yè)務(wù)互通，要求采用BGPMPLSVPN技術(shù)來(lái)為公司多個(gè)業(yè)務(wù)提供安全、高效的跨域互通。圍繞需求，在網(wǎng)絡(luò)仿真工具平臺(tái)(EnterpriseNetworkSimulationPlatform,eNSP)2.2bgp/pe以病毒實(shí)現(xiàn)兩種路由連通方案由圖1可見(jiàn)，AS100、AS200為各區(qū)域運(yùn)營(yíng)商網(wǎng)絡(luò)，作為MPLS骨干網(wǎng)，CR1、CR4為ASBR設(shè)備，CR2、CR3、CR5、CR6為PE設(shè)備。AS65001為公司總部;CSW1、CSW2為CE設(shè)備，ASW1、ASW2為總部?jī)?nèi)部業(yè)務(wù)接入設(shè)備;業(yè)務(wù)用VLAN10/20/30/40進(jìn)行模擬。AS65002為分部網(wǎng)絡(luò)，CSW3、CSW4為CE設(shè)備，分部業(yè)務(wù)VLAN50通過(guò)ASW3設(shè)備接入。為保證業(yè)務(wù)數(shù)據(jù)傳遞的安全性，業(yè)務(wù)網(wǎng)段以VPNv4路由穿越運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行互通。為了減少路由器開(kāi)銷(xiāo)，PE與CE設(shè)備之間運(yùn)行BGP協(xié)議，僅允許將業(yè)務(wù)路由引入BGP協(xié)議。所有AS域內(nèi)均運(yùn)行開(kāi)放式最短路徑優(yōu)先協(xié)議(OpenShortestPathFirst,OSPF)，除公司總部運(yùn)行多區(qū)域以外，其他AS內(nèi)均運(yùn)行單區(qū)域。公司內(nèi)部采用多生成樹(shù)協(xié)議(MultipleSpanningTreeProtocol,MSTP)和虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol,VRRP)技術(shù)實(shí)現(xiàn)業(yè)務(wù)的可靠接入，總部與分部之間采用OptionB跨域方式實(shí)現(xiàn)不同VPN業(yè)務(wù)之間的通信。具體IP地址及業(yè)務(wù)劃分見(jiàn)表1。3流程分析3.1as6500運(yùn)行情況依據(jù)設(shè)計(jì)，對(duì)照表1在完成底層IP地址、MSTP與VRRP相關(guān)配置的基礎(chǔ)上，所有AS域內(nèi)通過(guò)運(yùn)行OSPF協(xié)議來(lái)實(shí)現(xiàn)域內(nèi)全網(wǎng)互通。AS100、AS200、AS65002均運(yùn)行單區(qū)域、單進(jìn)程?？偛緼S65001內(nèi)運(yùn)行多區(qū)域，以控制LSA的泛洪，其中CSW1與CSW2之間運(yùn)行Area0,ASW1與CSW1、CSW2之間運(yùn)行Area1,ASW2與CSW1、CSW2之間運(yùn)行Area2。CSW1上的相關(guān)配置如下:以此參考，完成CSW2、ASW2設(shè)備配置，不再贅述。設(shè)備配置完成后，在CSW1上運(yùn)行disospfrouting查看ospf路由，如圖2所示，設(shè)備已學(xué)習(xí)到AS內(nèi)的全部業(yè)務(wù)網(wǎng)段。由于篇幅限制，其他AS域的OSPF協(xié)議配置不再詳述。3.2建立內(nèi)部bgp對(duì)等體如圖1所示，在6臺(tái)路由器設(shè)備以及公司核心層CSW1～CSW44臺(tái)設(shè)備上運(yùn)行BGP協(xié)議。為實(shí)現(xiàn)路由傳遞，在域內(nèi)相鄰設(shè)備之間建立內(nèi)部BGP(InternalBGP,iBGP)對(duì)等體關(guān)系，通過(guò)對(duì)等體學(xué)習(xí)和傳遞路由信息。以CR2設(shè)備舉例，配置如下:其他設(shè)備配置不再贅述。在CR2執(zhí)行disbgppeer查看對(duì)等體關(guān)系建立情況，結(jié)果如圖3所示，CR2分別與CR1、CR3的環(huán)回口地址成功建立了對(duì)等體關(guān)系。3.3ldp標(biāo)簽在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)中，所有路由器上運(yùn)行MPLS協(xié)議，路由器通過(guò)標(biāo)簽分發(fā)協(xié)議(LabelDistributionProtocol,LDP)為每條內(nèi)部路由映射一個(gè)標(biāo)簽，并向自己的對(duì)等體進(jìn)行通告，以此來(lái)建立標(biāo)簽轉(zhuǎn)發(fā)表，指導(dǎo)數(shù)據(jù)轉(zhuǎn)發(fā)。需要在AS100、AS200域內(nèi)設(shè)備全局和設(shè)備互聯(lián)物理接口下同時(shí)開(kāi)啟MPLS和LDP協(xié)議。如CR3配置如下:在GE0/0/2物理接口下配置與GE0/0/1相同。其他路由器配置與CR3類(lèi)似。在設(shè)備上執(zhí)行相應(yīng)命令查看標(biāo)簽會(huì)話(huà)表，如圖4所示，CR3與CR1、CR2標(biāo)簽會(huì)話(huà)建立成功。3.4普通大學(xué)生對(duì)等體關(guān)系為了實(shí)現(xiàn)業(yè)務(wù)高可靠、安全傳輸，在MPLS公共網(wǎng)絡(luò)上建立私網(wǎng)連接隧道，將私網(wǎng)業(yè)務(wù)與公網(wǎng)業(yè)務(wù)進(jìn)行隔離。同時(shí)，建立多個(gè)VPN實(shí)例承載不同業(yè)務(wù)，實(shí)現(xiàn)私網(wǎng)業(yè)務(wù)之間的互相隔離。如圖1所示，在CR2～CR6這4臺(tái)PE設(shè)備上創(chuàng)建VPN實(shí)例，利用物理接口與相應(yīng)的業(yè)務(wù)私網(wǎng)路由進(jìn)行綁定，實(shí)現(xiàn)私網(wǎng)路由互相隔離。設(shè)總部VLAN10、VLAN20對(duì)應(yīng)實(shí)例名為VPNA,VLAN30、VLAN40對(duì)應(yīng)實(shí)例名為VPNB，分別與CR2、CR3的GE0/0/0接口綁定。分部VLAN50對(duì)應(yīng)實(shí)例名為VPNC，與CR5、CR6的GE0/0/0接口綁定。為保證每條VPN路由的唯一性以及與其他VPN路由互通，需要為每個(gè)VPN實(shí)例自定義RD、RT值。如，設(shè)置總部實(shí)例VPNA、VPNB的RD值均為100∶1，出入方向RT值均為100∶200。分部實(shí)例VPNB,RD值為200∶1，為保證與總部的VPNA、VPNB互通，需要設(shè)置相同的出入方向RT值。分別在4臺(tái)PE設(shè)備的G0/0/0接口下綁定對(duì)應(yīng)的VPN實(shí)例。如CR2配置如下命令:此時(shí)，在CR2設(shè)備上執(zhí)行disbgpvpnv4vpninstanceVPNApeer來(lái)查看實(shí)例對(duì)等體關(guān)系，如圖5所示，與CSW1的對(duì)等體關(guān)系建立成功。同樣，在CR3創(chuàng)建實(shí)例VPNB,CR5、CR6設(shè)備上創(chuàng)建實(shí)例VPNC，配置過(guò)程不再贅述。3.5asbrt-pcr擴(kuò)增為確?？偛亢头植繕I(yè)務(wù)安全性互通，在骨干網(wǎng)跨域傳輸時(shí)，依然以VPNv4路由互通。由于普通BGP對(duì)等體只能傳遞公網(wǎng)IPv4單播路由，為在公網(wǎng)上傳遞VPNv4私網(wǎng)路由，需要建立MP-BGP對(duì)等體來(lái)實(shí)現(xiàn)。在不同AS域內(nèi)，ASBR分別與域內(nèi)PE設(shè)備建立MP-iBGP對(duì)等體關(guān)系。采用OptionB方式跨域時(shí)，ASBR設(shè)備上不需要?jiǎng)?chuàng)建VPN實(shí)例，需要在ASBR之間建立MP-eBGP對(duì)等體關(guān)系，傳遞VPNv4路由。同時(shí)，為確保能從對(duì)端設(shè)備接收到VPNv4路由，ASBR需要關(guān)閉RT值的過(guò)濾匹配功能。在CR1、CR4設(shè)備上完成如下配置命令:CR4設(shè)備上配置與CR1基本相同。在設(shè)備上查看對(duì)等體關(guān)系，結(jié)果如圖6所示，CR1分別與CR2～CR4成功建立MP-BGP對(duì)等體。4完成檢查4.1pn-smancevf路由在CR5、CR6其中一臺(tái)PE設(shè)備上輸入disiprouting-tablevpn-instanceVPNC命令，查看綁定的VPN實(shí)例VRF路由轉(zhuǎn)發(fā)表，結(jié)果如圖7所示。在VPNC路由表中可以學(xué)習(xí)到總部的所有業(yè)務(wù)網(wǎng)段路由。在PC5上分別發(fā)送ping包給其他業(yè)務(wù)網(wǎng)段PC進(jìn)行網(wǎng)絡(luò)連通性測(cè)試，結(jié)果如圖8、9所示，私網(wǎng)業(yè)務(wù)互訪(fǎng)成功。4.2業(yè)務(wù)數(shù)據(jù)跨域檢測(cè)在2臺(tái)ASBR設(shè)備CR1、CR4上查看一條私網(wǎng)路由，分析數(shù)據(jù)在OptionB方式下跨域傳遞過(guò)程，以192.168.10.0/24網(wǎng)段為例，查看結(jié)果如圖10、11所示。圖10表明，CR1從CR2(2.2.2.2)收到該條VPNv4路由，替換私網(wǎng)路由標(biāo)簽，且攜帶路由的RD值以及出方向的RT值。同時(shí)將該路由通告給對(duì)端CR4(10.10.14.2)設(shè)備。圖11表明，CR4從CR1(10.10.14.1)收到該條VPNv4路由，再次替換私網(wǎng)路由標(biāo)簽值，攜帶路由的RD值以及出方向的RT值。將該路由通告給MP-iBGP對(duì)等體CR5(5.5.5.5)、CR6(6.6.6.6)設(shè)備。分析可知，業(yè)務(wù)數(shù)據(jù)在跨域過(guò)程中，不是通過(guò)IPv4路由傳遞，而是以VPNv4私網(wǎng)路由進(jìn)行傳輸?shù)?。公網(wǎng)是基于IP路由表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，私網(wǎng)路由是基于標(biāo)簽轉(zhuǎn)發(fā)表來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)。在跨域過(guò)程中，私網(wǎng)與公網(wǎng)數(shù)據(jù)進(jìn)行隔離，提高了數(shù)據(jù)傳輸?shù)陌踩浴?主要網(wǎng)絡(luò)部署針對(duì)企業(yè)組網(wǎng)中高效、高安全等技術(shù)需求，提出一種基于BGPMPLSVPN企業(yè)跨域組網(wǎng)設(shè)計(jì)方案，并在eNSP模