基于bgpmplsvpn企业跨域组网仿真设计

基于bgpmplsvpn企业跨域组网仿真设计

0基于外部网络实名的bgp、虚拟专网技术随着互联网技术的发展，大量业务数据的存储也在增加。以往的ip网络无法提供可靠的服务质量，因为没有连接特点。多协议标签交换(Multi-ProtocolLabelSwitching,MPLS)用户个性化需求带来增值业务的快速发展，MPLS技术逐渐被扩展到了新的应用领域，如与边界网关协议(BorderGatewayProtocol,BGP)、虚拟专用网络(VirtualPrivateNetwork,VPN)技术结合的BGPMPLSVPN技术就是一种应用广泛的3层VPN(Layer3VPN,L3VPN)技术1bmpmplsv公共服务技术1.1基于mpls的ip地址隔离技术一般MPLSVPN架构将设备角色分为客户端边界路由器(CustomerEdge,CE)、运营商边界路由器(ProviderEdgeRouter,PE)和运营商路由器(ProviderRouter,P)由于VPN业务采用私网IP地址，当多个VPN业务连接到同一个PE上或是多个VPN业务相互通信时，就可能存在IP地址冲突问题。为解决不同VPN私网路由冲突，MPLSVPN引入了VPN实例技术，即在PE设备上创建实例并与VPN业务进行绑定，实现不同VPN业务路由隔离。创建VPN实例相当于创建了单独的VPN路由转发表(VPNRoutingandForwarding,VRF)1.2pe设备上的车间价值的分配在BGPMPLSVPN网络中，为确保每个业务VPN路由的唯一性，在PE设备上为每个VPN路由分配唯一的路由区分(RouteDistinguisher,RD)值，对不同的私网路由进行区分1.3omousph值普通的MPLSVPN体系结构是在一个自治系统(AutonomousSystem,AS)域内运行，不提供向其他AS传递VPN路由信息的功能。而跨域(Inter-AS)的MPLSVPN，可以实现AS之间VPN私网路由信息的交互传递2企业网络设计2.1bgpmplsvpn技术某公司总部和分部距离较远，需要跨越多个区域运营商网络进行互连，为保证业务互通，要求采用BGPMPLSVPN技术来为公司多个业务提供安全、高效的跨域互通。围绕需求，在网络仿真工具平台(EnterpriseNetworkSimulationPlatform,eNSP)2.2bgp/pe以病毒实现两种路由连通方案由图1可见，AS100、AS200为各区域运营商网络，作为MPLS骨干网，CR1、CR4为ASBR设备，CR2、CR3、CR5、CR6为PE设备。AS65001为公司总部;CSW1、CSW2为CE设备，ASW1、ASW2为总部内部业务接入设备;业务用VLAN10/20/30/40进行模拟。AS65002为分部网络，CSW3、CSW4为CE设备，分部业务VLAN50通过ASW3设备接入。为保证业务数据传递的安全性，业务网段以VPNv4路由穿越运营商网络进行互通。为了减少路由器开销，PE与CE设备之间运行BGP协议，仅允许将业务路由引入BGP协议。所有AS域内均运行开放式最短路径优先协议(OpenShortestPathFirst,OSPF)，除公司总部运行多区域以外，其他AS内均运行单区域。公司内部采用多生成树协议(MultipleSpanningTreeProtocol,MSTP)和虚拟路由冗余协议(VirtualRouterRedundancyProtocol,VRRP)技术实现业务的可靠接入，总部与分部之间采用OptionB跨域方式实现不同VPN业务之间的通信。具体IP地址及业务划分见表1。3流程分析3.1as6500运行情况依据设计，对照表1在完成底层IP地址、MSTP与VRRP相关配置的基础上，所有AS域内通过运行OSPF协议来实现域内全网互通。AS100、AS200、AS65002均运行单区域、单进程。总部AS65001内运行多区域，以控制LSA的泛洪，其中CSW1与CSW2之间运行Area0,ASW1与CSW1、CSW2之间运行Area1,ASW2与CSW1、CSW2之间运行Area2。CSW1上的相关配置如下:以此参考，完成CSW2、ASW2设备配置，不再赘述。设备配置完成后，在CSW1上运行disospfrouting查看ospf路由，如图2所示，设备已学习到AS内的全部业务网段。由于篇幅限制，其他AS域的OSPF协议配置不再详述。3.2建立内部bgp对等体如图1所示，在6台路由器设备以及公司核心层CSW1～CSW44台设备上运行BGP协议。为实现路由传递，在域内相邻设备之间建立内部BGP(InternalBGP,iBGP)对等体关系，通过对等体学习和传递路由信息。以CR2设备举例，配置如下:其他设备配置不再赘述。在CR2执行disbgppeer查看对等体关系建立情况，结果如图3所示，CR2分别与CR1、CR3的环回口地址成功建立了对等体关系。3.3ldp标签在运营商骨干网络中，所有路由器上运行MPLS协议，路由器通过标签分发协议(LabelDistributionProtocol,LDP)为每条内部路由映射一个标签，并向自己的对等体进行通告，以此来建立标签转发表，指导数据转发。需要在AS100、AS200域内设备全局和设备互联物理接口下同时开启MPLS和LDP协议。如CR3配置如下:在GE0/0/2物理接口下配置与GE0/0/1相同。其他路由器配置与CR3类似。在设备上执行相应命令查看标签会话表，如图4所示，CR3与CR1、CR2标签会话建立成功。3.4普通大学生对等体关系为了实现业务高可靠、安全传输，在MPLS公共网络上建立私网连接隧道，将私网业务与公网业务进行隔离。同时，建立多个VPN实例承载不同业务，实现私网业务之间的互相隔离。如图1所示，在CR2～CR6这4台PE设备上创建VPN实例，利用物理接口与相应的业务私网路由进行绑定，实现私网路由互相隔离。设总部VLAN10、VLAN20对应实例名为VPNA,VLAN30、VLAN40对应实例名为VPNB，分别与CR2、CR3的GE0/0/0接口绑定。分部VLAN50对应实例名为VPNC，与CR5、CR6的GE0/0/0接口绑定。为保证每条VPN路由的唯一性以及与其他VPN路由互通，需要为每个VPN实例自定义RD、RT值。如，设置总部实例VPNA、VPNB的RD值均为100∶1，出入方向RT值均为100∶200。分部实例VPNB,RD值为200∶1，为保证与总部的VPNA、VPNB互通，需要设置相同的出入方向RT值。分别在4台PE设备的G0/0/0接口下绑定对应的VPN实例。如CR2配置如下命令:此时，在CR2设备上执行disbgpvpnv4vpninstanceVPNApeer来查看实例对等体关系，如图5所示，与CSW1的对等体关系建立成功。同样，在CR3创建实例VPNB,CR5、CR6设备上创建实例VPNC，配置过程不再赘述。3.5asbrt-pcr扩增为确保总部和分部业务安全性互通，在骨干网跨域传输时，依然以VPNv4路由互通。由于普通BGP对等体只能传递公网IPv4单播路由，为在公网上传递VPNv4私网路由，需要建立MP-BGP对等体来实现。在不同AS域内，ASBR分别与域内PE设备建立MP-iBGP对等体关系。采用OptionB方式跨域时，ASBR设备上不需要创建VPN实例，需要在ASBR之间建立MP-eBGP对等体关系，传递VPNv4路由。同时，为确保能从对端设备接收到VPNv4路由，ASBR需要关闭RT值的过滤匹配功能。在CR1、CR4设备上完成如下配置命令:CR4设备上配置与CR1基本相同。在设备上查看对等体关系，结果如图6所示，CR1分别与CR2～CR4成功建立MP-BGP对等体。4完成检查4.1pn-smancevf路由在CR5、CR6其中一台PE设备上输入disiprouting-tablevpn-instanceVPNC命令，查看绑定的VPN实例VRF路由转发表，结果如图7所示。在VPNC路由表中可以学习到总部的所有业务网段路由。在PC5上分别发送ping包给其他业务网段PC进行网络连通性测试，结果如图8、9所示，私网业务互访成功。4.2业务数据跨域检测在2台ASBR设备CR1、CR4上查看一条私网路由，分析数据在OptionB方式下跨域传递过程，以192.168.10.0/24网段为例，查看结果如图10、11所示。图10表明，CR1从CR2(2.2.2.2)收到该条VPNv4路由，替换私网路由标签，且携带路由的RD值以及出方向的RT值。同时将该路由通告给对端CR4(10.10.14.2)设备。图11表明，CR4从CR1(10.10.14.1)收到该条VPNv4路由，再次替换私网路由标签值，携带路由的RD值以及出方向的RT值。将该路由通告给MP-iBGP对等体CR5(5.5.5.5)、CR6(6.6.6.6)设备。分析可知，业务数据在跨域过程中，不是通过IPv4路由传递，而是以VPNv4私网路由进行传输的。公网是基于IP路由表进行数据转发，私网路由是基于标签转发表来转发数据。在跨域过程中，私网与公网数据进行隔离，提高了数据传输的安全性。5主要网络部署针对企业组网中高效、高安全等技术需求，提出一种基于BGPMPLSVPN企业跨域组网设计方案，并在eNSP模