BGP/MPLS VPN原理及安全实施

摘 要：从应用的角度探讨了BGP/MPLS VPN的方案实施和性能。

关键词：MPLS VPN　服务质量

1 BGP/MPLS VPN网络结构和原理

BGP/MPLS VPN的实现使用双层标签技术实现隧道，内部标签由边缘设备完成与用户站点的映射，控制在出口路由器上的转发，一般通过BGP分发。外层标签完成在MPI.S域中的转发，标识着本标签报文需要哪个边缘设备处理，一般通过LDP分发，或者在运营商希望实施流量工程时通过使用RSVP-TE或CR-LDP分发，核心层的设备P不需要也不可能知道内层标签的存在，只是按照栈顶标签来交换VPN分组，不会查看非栈顶标签。

1．1 BGP/MPLS VPN网络结构

网络体系结构如图1所示，由三种路由器P、PE、CE和用户站点组成。

P：是运营商核心的路由器，是运营商网络中的不与CE设备连接的任何路由器，相当于核心部分的标签交换路由器(LSR)，负责MPLS包的转发。

PE：服务提供商核心网边缘路由设备，相当于核心部分的标签边缘路由器(LER)。

CE：通常为VPN用户站点中的一个路由器或交换设备，接收和分发用户网络路由，CE路由器只与和它直接连接的PE建立路由对等关系，并彼此传播VPN路由信息。

用户站点：是VPN中的一个孤立的IP网络。如果某站点只有一台主机，那么该主机可以就是CE设备。

1．2 BGPAMPLS VPN的工作原理

(1)路由信息分发：因为采用了两层标签栈结构，所以P路由器并不参与VPN路由信息的交互，客户路由器通过CE和PE路由器之问、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/缺省路由，或采用IGP(RIPv2、OSPF)等动态路由协议，或建立EBGP连接等方式进行路由信息的交互。PE-PE之间通过采用MP-BGP进行路由信息的交互。正常的BGP(Border GatewayPmtoc01)协议能只传递IPv4的路由，它的扩展性好，可以在原来的基础上再定义新的属性，通过对BGP修改，把BGP4扩展成MP-BGP。PE路由器通过维持BGP网状连接或使用路由反射器来确保路由信息被分发给所有的PE路由器。

(2)数据转发：在MPKS网络中传输的VPN数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构，它们分别对应于两个层面的路由：域内路由和VPN路由。域内路由即MPI.S中的LSP是由PE路由器和P路由器通过运行LDP或RSVP(Resource Reservation Protoc01)建立的，它所产生的标签转发表用于VPN分组外层标签的交换。VPN路由是由PE路由器之间通过运行MP-BGP建立的，该协议跨越骨干网的P路由器分发VPN标签形成VPN路由。

2 BGP/MPLS VPN应用方案分析

某金融企业拥有若干业务网点，可以完成储蓄、清算、转帐等业务，各网点之间的业务需要实时联系，各种业务需要进行隔离的特点，在企业内部建立业务相互隔离的内部网络。本文仅以储蓄和清算业务为例讨论其解决方案的网络结构和配置，如图2所示。

2．1具体方案

企业主干网是MPLS网络，不同的业务网属于不同的VPN，可以用不同的RD来标识，图中假设RD：1010属于储蓄业务用户，而RD：99属于清算业务用户。然后具体配置PE，需要定义并且配置VRF、RD、RT，配置导入导出策略，配置MP-BGP协议、PE到CE的路由协议、配置连接CE的接口，将该接口和前面定义的VRF联系起来。图2中CEl、CE2组成一个VPN，CE3、CE4组成一个VPN，由于使用了VPN-IPv4地址，两个VPN可以使用相同的地址段，主机l和主机2分别使用地址10.1.1.0,8和10.1.1.1/8，主机3和主机4也可以使用地址10.1.1.0'8和10.1.1.1/8。则PEl的配置为：net=10.1.1.0/8，RD=1010:1，RT=100:1，label=18，Next_hop=PE2。

CEl、CE2具体数据转发过程如下：

①CEl接收到发往10.1.1.的IP数据包，查询路由表，把该IP数据包发送到PEl：

②PEl收到IP数据包后，根据其对应的VRF，给数据包打上标签18，该标签就是通过MP-BGP协议传来的。PEl继续查询全局转发表，获知要把数据发往10.1.1.1，必须先发送到PE2，而要发送到PE2，则必须打上由Pl告知的标签2。所以该lP包被打上了两个标签；

③P1接收到标签包后，分析顶层的标签，把项层标签换成4，继续发送到P2：

④P2和Pl一样做同样的操作，由于末次中继弹出机制，P2去掉标签4，直接把只带有一个标签的标签包发送到PE2；

⑤PE2收到标签包后，分析标签头，由于该标签8是它本地产生的，而且是本地唯一的，所以PE2很容易查出带有标签8的标签包应该去掉标签，恢复IP包原貌发出。CE2获得IP数据包后，进行路由查找，把数据发送到10.1.1.1/8网段上。

2．2该应用方案具有的性能特点

(1)BGP/MPLS VPN安全性采用寻址空间分离、路由隔离和信息隐藏等多种机制来实现的，提供了抗攻击和标签欺骗的手段。

寻址空间分离：MPLS核心采用VPN-IPv4地址路由，通过在IPv4路由上添加一个路由区分符(RD)，确保在VPN中独一无二的地址在MPLS核心中同样是独一无二的。通过地址隔离，使得属于某个VPN的用户只可能攻击他自己的网络，而无法攻击别人的网络。

路由分离：PE路由器为每一个VPN保持一个分离的路由表(VRF)。这些VRF不仅彼此独立，而且与全局路由表独立。即使有VPN用户网络使用相同的地址空间，也是完全隔离的。

核心隐藏：在MPLS内部连接到VPN的接口是PE，没有必要透露关于核心的任何信息给用户站点和CE。如果在PE和CE之间使用动态路由协议，CE唯一知道的信息是PE路由器的地址；如果不需要此信息，可以在PE和CE之间配置静态路由，彻底隐藏MPLS核心。CE路由器不知MPLS核心的存在，所有“标签”工作都应由PE完成。

(2)在OoS方面有良好的表现

MPLS最重要的优势能够为ISP提供现有传统IP路由技术所不能支持的要求保证QoS的业务。通过MPLS技术，sP可以提供各种新兴的增值业务，有效实施流量工程和计费管理措施，扩展和完善更高等级的基础服务。

目前比较成熟的解决方案是采用DiffServ(差分服务)，即在网络的边缘对IP业务流进行流量监控及分类，并且根据分类的结果对报文进行标记，在MPLS边缘设备上将IP的DSCP映射拷贝到MPLS标签的EXP域中，在中间KSR设备上，根据MPLS标签中的EXP域所指明的优先级进行队列调度。在PE设备与骨干网络之间的QoS控制可以基于隧道实现，目前已有几种MPLS差分服务方案如E-LSP、L-LSP等。

MPLS利用显式路由功能同时通过带有QoS参数的信令协议建立受约束标签交换路径(CR-LSP)，因而能够有效地实施流量工程。流量工程是基于业务流所需的资源和网络中的可用资源为业务流在穿越网络时进行选路，MPLS采用受约束的选路方式，控制网上的特定路由，减少阻塞。实质上是通过平衡QoS与网络中非QoS资源的使用来实现网络性能的优化，保证端到端的QoS。

对于一个VPN的业务而言，不同的站点之间传递的数据在骨干网络中采用隧道的方式通过，因此在PE设备与骨干网络之间的QoS控制可以基于隧道实现。该方案中用户可以将VPN的管理完全托管给骨干网络管理机构，自己不需要了解VPN的构造和连接。

3 结束语

BGP/MPLS VPN采用MPLS作为隧道机制实现透明报文传输，具备安全、高速交换、可靠性和高性能，支持QoS和流量工程等优点，有利于部署一些新型服务。其适用范围是高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如IT公司、金融业、贸易行业、新闻机构等，企业网的节点数较多，通常将达到几十个以上。