MPLS VPN网络的设计与实施
摘 要:本文选择研究对象是cisco的MPLS VPN网络,具有经济适用,扩展性能强,传输范围大等优点,在实现两层标签传递数据的基础上,通过对路由协议的配置和RT值修改等,实现了使用四种不同的路由协议的客户之间的网络互通和实现分公司通信流量通过总公司控制的功能,MPLS VPN网络适用于大型的、跨区域的企业之间构建企业网络,通过GNS3仿真软件的测试,最终完成了MPLS VPN网络设计的三个功能的整体测试,验证了设计可行性。
关键词:MPLS VPN;两层标签; RT
Abstract:This paper choose the research object is cisco MPLS VPN network, have economy applicable, extension performance is strong, the advantages of large range of transmission, in the realization of two layer, on the basis of transfer data labels, right through the protocol configuration and RT value revision, etc., realized using four different routing protocol network communication between client and implementation branch traffic through corporation control function, MPLS VPN network is applicable to large, cross-regional enterprise between construction of enterprise network, by GNS3 simulation software test, Finally, the overall test of the three functions of MPLS VPN network design was completed, and the feasibility of the design was verified.
Keywords:MPLS VPN; Two layers of label;RT
一、研究背景和意义
随着现代社会的发展,大型企业内部的网络需求不断增加,对数据传输的速率要求越来越高,而且在信息传输的安全性和可靠性也是越来越重视,随之便诞生了MPLS VPN,多协议标签交换虚拟专用网技术既可以弥补了IP路由中存在的扩展性差、也解决了难以支撑大的流量工程等一系列问题,而且其自身通过标签转发所到达的速率也很快速,通过其特有的技术进而满足互联网各项业务的需求。
本论文是根据现现今的网络发展的需求而设计,当今社会,部分互联网运营商和许多企业都将MPLS VPN作为重要业务进行运作,其发展的前景不可谓不长远,尤其是对于大型企业而言,由于通讯是跨区域性的,不同的分支分部全国各地,运行MPLS VPN可以让管理和传输得到更好的保障。并且在全球范围内,MPLS VPN的搭建和发展,都是处于日益增长的阶段。
二、研究内容
研究的总体目标是建立一个应用于大型企业的MPLS VPN网络,其中通过对相关的专业名称和特殊技术应用进行阐述,然后通过各种命令的配置,实现MPLS VPN所特有的功能,借助GNS3虚拟器仿真模拟,搭建网络仿真拓扑,使我们更加清晰、更加快速地理解MPLS VPN所涉及的理论以及在现实中的实际应用。该网络架构可以连接公司的多个区域分支,运行多种路由协议,可以实行信息分流,通过RT配置,使得各个公司通讯相互隔离。为了保证公司内部能够安全地访问外网,我们需建立网络安全机制和流量控制机制,并且实现总公司对分公司的通讯之间流量控制。
MPLS参与客户的路由,并且大量的实施都是由 ISP 来完成,客户只需要极少的配置就能完成多个站点之间的互联。根据企业需求采用快速以太网进行组网,主要包括企业网络拓扑结构的设计、IP地址分配,路由重分布技术、MPLS的配置,LDP的配置,虚拟专用网VPN的配置、RIP、OSPF、EIGRP、BGP路由邻居搭建的配置、RT、RD值的配置、以及MP-BGP的配置等方面内容,为大型企业提供一个可供各个区域分部进行安全快速通信以及总部通讯控制,可扩展功能的网络环境。
2.1网络设计
首先,分成四个区域,分别是RED、BLUE、GREEN、YELLOW,通过标签在公网上转发客户数据,R5,R6,R7,R8分别代表允许RIP,OSPF,EIGRP,BGP的客户,模拟运行不同路由协议的分支,并在每个网络中搭建简单的网络拓扑,进行实验测试。R1,R4作为PE,之间配置MP-BGP,通过在PE上配置VRF进行隔离路由,因为如果R5和R6有相同路由,但是配置了VRF隔离,就不会产生影响,配置RD用于同步路由传递给另一个PE时,有区分相同的路由的用途,再配置RT用于管理所有的路由,通过重分布,使不同路由协议之间可以通信,使得网络互通,链路通过两层标签传输,实现MPLS VPN功能,完成基本通信功能。最后,通过修改RD值,使得总部公司R5对分公司R7,R8的通信流量进行控制,实现分公司通信流量需要通过总公司控制。
2.1.1 MPLS VPN配置思路
1.启用CEF转发功能
2.PE与P路由器之间,接口上启用MPLS IP
3.PE路由器与CE路由器之间,配置在共享PE上VRF隔离路由
4.正常传递路由,配置RD
5.路由通告CE,配置export RT和import RT
6.PE与CE之间,配置OSPF、RIP、EIGRP、BGP路由
7.PE与PE之间,配置MP-BGP协议传递VPNv4路由
2.1.2基本配置
(1)根据IP地址表规划
(2)实现MPLS区域的路由器之间互相通信,在R1、R2、R3、R4配置上配置OSPF,下表为R1上的配置,R2,R3,R4也要建立OSPF,宣告各自的网段,建立起邻居。
(3)实现允许客户私有路由表中有重叠的路由的功能,因为VRF跟全局路由表示隔离的,所以即便R5和R6有相同路由,也不会有影响。所以在R1创建VRF RED用于充当R5客户的虚拟路由转发表,创建VRF BLUE用于充当R6客户的虚拟路由转发表,在R4创建VRF GREEN用于充当R7的虚拟路由转发表,创建VRF YELLOW用于充当R8的虚拟路由转发表,并将它们连接CE的接口关联到VRF:
(4)实现CE客户和运营商PE之间相互通信,配置PE和CE的路由协议,在R5与R1间运行RIP,R6与R1间运行OSPF,R7与R4间运行EIGRP,R8与R4间运行BGP。四个区域都是在VRF上配置路由协议的,因为上一步已经将接口归属于VRF,并且全局上是没有配置地址的,模拟运行四种路由协议的客户网络。注意区分各种路由协议在全局路由下的配置和VRF下的配置。
(5)实现客户CE内部的相互通信,在客户R5内部网络部署RIP路由,在客户R6内部网络布置OSPF,在客户R7内部网络部署EIGRP,在客户R8内部网络部署BGP,并且全部都宣告相应的邻居,使CE之间的网络互通。
(6)为了实现内层标签分发功能,首先要在R1、R4上建立MP-BGP邻居关系,用于传递客户路由,中间运营商设备R2、R3是不进行客户路由地学习的,将客户的数据传递到达目标PE时,并且客户的数据可以正确地转发到相应的CE中。在R1和R4配置MP-BGP协议。
(7)因为客户自身使用私网地址,所以往往都有相同的路由配置出现,所以为了实现使相同路由在MPLS域可以传递,并且可以顺利地传递到目的地的功能,需要配置RD值,假设没有RD值,R1在传递R5和R6相同的路由到R4时,R4的BGP就会优选其中一条传递,丢弃另一条,而设置RD值后,R1在发出路由时,为每个VRF带一个RD值,每个VRF的RD值都是不一样的,这样路由传递到R4时,R4就可以识别,因为VRF只在本地有效,本地指的是R5到R1这一部分,所以RD的作用是用于同步路由传递给另一个PE时,区分相同的路由使用的,在R1和R4上分配设置RD。
(8)进行重分布使客户R5和R6能与PE路由器R1之间相互通信,客户R7和R8能与R4之间相互通信,需要注意一点,是要在相应的VRF上重分布,而不是在全局的路由上重分布,通过以上操作,R5和R6的路由都给到R1,然后是通过MP-BGP远程传递到R4上,双方之间进行重分布:
(9)实现目标PE可以将客户的路由信息转发到对端的客户中,比如R5的路由传递到R4时,R4没有R5路由去向的目的地址R7的消息,所以无法转发,此时,需要将路由归类,进行配置RT值,需要分别在R1上将RED标记为导出5:5,在R4的GREEN上标记为导入5:5,这样R5的路由就可以顺利转发到R7上,以此类推,R6到R8也是如此配置。RT的作用是用于管理所用的路由,在数据发出时,需要携带RT值,在接收端导进相应的RT值,便可以正常转发到相应的路由器上。
(10)此时,客户R5上已经有客户R7的路由,但是R5却ping不通R7,因为在R2,R3上出现路由黑洞问题,所以要启用MPLS解决路由黑洞问题,注意R1、R2、R3、R4相互连接的接口都得启用LDP协议和开启mpls ip。
通过以上配置,可以实现MPLS VPN两层标签转发功能,实现客户与客户之间的网络通信,解决了重叠路由的传递问题、内层标签分发问题、路由正确传递问题和路由黑洞问题。
(11)以下是扩展功能,假设R5为公司总部,R6、R7、R8都为分公司,通过配置,实现R7访问R8,数据传输的路线是R7—R5—R8,即R7传递数据到R5,R5再转发到R8,从而使总公司对分公司的数据流量可以得到有效地监测。
首先,R9模拟为外网,将R5上配置NAT,与外网进行访问。
接下来,将R1上的vrf RED和vrf BLUE,以及R4上的vrf GREEN, vrf YELLOW的import RT全部down掉,要重新配置import RT。
其次,解决路由传递的问题,R5下发默认路由,重分布进入和接收三个分支站点的路由,并且在R5上配置接收R6,R7,R8的RT值,通过RT值使所有的分公司都可以将数据传递到总公司。
2.1.3 实验结果
(1)测试R5和R7之间的连通性:
图 2-1 连通
(2)实现R7访问R8
图2-2 访问路径
由上可得,R7访问R8时,通过对RT值的修改,可以达到访问路径是:R7—R4—R3----R2—R1------R5------R1------R2-----R3-----R4------R8,实现了由R5进行流量控制,在r5那里做行为接收器,目的是达到了,但是同时也造成了R5处的网络负载变大了。
(3)查看MP-BGP自动为每条VPNv4路由前缀所分配的私网标签
图2-3 私网标签
查看数据转发过程的标签表项,查看公网标签
图2-4 公网标签
三、结论
论文研究结果证明了MPLS VPN利用标签传输这种技术的可行性,可以很好地符合当今大型企业内部网络搭建的需求,并且也可以应对复杂、多种的路由协议的网络场景,在安全性方面,因为客户部分不需要考虑传输过程中的设备部署,都是由运营商处理,所以也是安全系数较高,并且在经济方面,也是利用运营商闲置的带宽资源进行配置的,所以经济方面所需的费用远小于传统的网络,本设计理论上实现了基本的MPLS VPN传输数据的功能,通过仿真软件成功验证各种功能的实验效果。
本人补充了结合实际这一模块,构建了一个符合现实网络的大体模型,并且总结了排错思路,有助于仿真过程遇到问题,可以进行系统性地排错,更容易找到问题所在。每个区域分支也都独自搭建了一个小型的网络进行模拟实验,结合当下使用较多的路由协议,如RIP、EIGRP、OSPF和BGP,用于仿真复杂的网络路由环境,并且对实际会出现的问题做了仿真实验,比如总公司控制分公司的通信,分公司不同路由协议进行通信,分公司通信隔离等。
自己研究的不足之处,在R7访问R8时,虽然满足了原本流量控制的要求,可以在R5处放置行为接收器进行管理流量,但是由于分支客户的数据流量都会流经R5再转发到目标区域,所以也存在网络负载变大的弊端。同时,在R6与R5的通信部分,没有实现R6的访问控制,如果想让R6被R5控制通讯,因为是在一台PE上,而且所涉及的路由协议比较多,所以在共享PE操作起来比较困难,解决方案是将PE改成两台PE的话,操作起来就相对简单点容易。而且在分公司的网络建构上,虽然CE的网络搭建不是重点,但是CE上的配置太过简单,也就导致无法准确地仿真如今复杂的企业网络,这也是不足的一点。
其他
研究目的:IP地址分配,路由重分布技术、MPLS的配置,LDP的配置,虚拟专用网VPN的配置、RIP、OSPF、EIGRP、BGP路由邻居搭建的配置、RT、RD值的配置、以及MP-BGP的配置。
设备数量:
基本原理:MPLS-VPN是指采用MPLS(多协议标记转换)技术在骨干的宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起。
扫一扫
2096
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
