三层MPLS VPN搭建多业务校园网

文/黄向农 赵琼 吴焕忠 罗必然

三层MPLS VPN搭建多业务校园网

文/黄向农 赵琼 吴焕忠 罗必然

基于三层MPLS VPN构建多业务校园网，实现相同VPN用户可以互相通信，不同VPN用户相互隔离，利用网管VPN站点监控所有专网业务和校园网普通业务，具有较高的可扩展性，在实现资源整合与网络虚拟化方面是一次有益的尝试。

中山大学校园网经过十多年建设，已经承载了许多业务，加强了学校教学、科研和管理等工作，满足用户对网络应用的需求。随着学校不断开展新应用，今后还会有更多业务需要校园网支撑。如图1所示，校园网被划分为核心层、校区骨干层、区域汇聚层、楼栋汇聚层和接入层，通过租用线路将四个校区互联起来，并使用统一的网络出口（边界层）。

不同的业务系统对网络平台的要求不同。例如，数字图书馆基于用户NetID账户授权方式对用户开放；一卡通与校园网其他业务逻辑隔离，用户在终端设备上以刷卡方式享受服务。在校园网上还部署有财务专网、公医专网、安防专网、视频专网和巡考专网等等。这些专网都有“隔离”的基本需求——运行在独立的网络平台上，以确保其安全性和可靠性。

目前对这些专网的部署方式是：物理隔离和逻辑隔离。采用物理隔离方式，需要使用更多的线路、安装更多的设备、投入更多的资金；采用逻辑隔离方式，需要利用传统VPN、ACL、路由过滤和VLAN等技术，实施起来较为复杂。不管是采用物理隔离还是逻辑隔离方式，网络的可扩展性都不太好。

为了降低整体IT投入，简化网络运维管理，将多种业务融合到一个网络上，实行资源整合和网络虚拟化是校园网建设的发展趋势。在此，我们结合学校网络实际情况来探讨基于MPLS VPN构建多业务校园网的实现方法。

图1 校园网拓扑

MPLS VPN概述

MPLS是一种多协议标签交换技术，它引入了基于标签的报文交换机制，由标签来规定报文通过网络的路径。MPLS VPN是一种基于MPLS技术的VPN解决方案，利用标签交换技术，通过LSP实现多点到多点的连接，MPLS VPN网络体系结构如图2所示。在MPLS VPN网络中，P路由器以标签交换方式转发报文，在PE路由器上创建虚拟路由器（VRF），PE通过VRF三层接口连接CE，由CE提供用户站点的接入。VPN成员在VRF上定义，它是由若干不同站点组成的集合，一个站点可以属于不同的VPN，属于同一VPN的站点之间具有IP连通性，不同VPN的站点之间可以有控制地实现互连与隔离。

MPLS的工作过程

MPLS骨干网络主要由标签交换路由器（LSR）、标签边缘路由器（LER，位于IP网络与MPLS网络之间的LSR）、标签分发协议（LDP或MP-iBGP）和IGP等构成。在每台LSR上，IGP根据所获得的路由信息建立路由表，然后由相关的标签分发协议据此创建转发等价类（FEC），绑定到本地标签、并将FEC和关联标签通告给相邻LSR、再与相邻LSR协商建立标签转发信息库（LFIB），最后得到基于每个FEC的LSP，即在LER之间建立了虚链路，使带上标签的报文可以按LSP规定的路径穿越MPLS网络。一个报文穿越MPLS网络的过程可概括为如下步骤：

图2 MPLS VPN网络体系结构

1.在MPLS入口，入站LER接收到一个报文，根据其路由所属的FEC，在LFIB中找到对应的标签并添加到该报文上，然后转发给下游LSR；

2.在MPLS域内，LSR只需根据报文所携带的标签，以基于LFIB交换顶层标签方式转发报文；若LFIB的对应出站标签为空标签，则会去掉报文的顶层标签后，再转发报文；

3.在MPLS出口，出站LER接收来自上游的报文，可能是IP报文，也可能是MPLS标签报文。

需要说明的是，为提高报文转发效率，凡是与直连路由和汇总路由相关的LSR会创建空标签，使其上游LSR在逻辑上成为倒数第二跳LSR。倒数第二跳LSR不作顶层标签交换，而直接去掉顶层标签，然后转发报文。若不是LER接收该报文，可能因没有路由而被丢弃。

MPLS VPN的工作过程

如图2所示，在MPLS VPN网络中，有三种类型的路由器：P（LSR）为骨干网核心路由器，负责MPLS报文的转发，不需了解VPN路由信息；CE为客户边缘设备，负责收发用户网络的IPv4路由，不必考虑MPLS标签；PE（LER）为提供商边缘路由器，负责处理VPN路由信息。PE拥有骨干网的路由信息和每一个VPN的路由信息（VRF），而且还相互隔离。

基于MPLS交换技术构建VPN时，PE除了运行LDP，还要运行MP-iBGP，其作用是在BGP对等体之间通告VPN路由信息和相应的标签，以及在VPN之间传送IPv4报文。

首先来看PE之间的路由与标签通告。在PE上创建VRF，并将PE指向CE的三层接口划入该VRF，再基于VRF配置RD和RT。从出站PE到入站PE之间的路由通告过程是：

1.一端VPN站点的IPv4路由经CE到达出站PE，结合RD构成VPNv4路由，为其绑定一个本地标签，若对应VRF指定了RT输出值，就将VPNv4路由重分布进MP-iBGP的环境中；

2.MP-iBGP通过MPLS骨干网LER之间的虚链路，将VPNv4路由信息和关联标签等通告给所有对等体；

3.入站PE接收到这些信息后，将绑定VPNv4路由的标签作为远程标签来处理，若接收到的RT输出值等于某个本地VRF的RT输入值，就将IPv4路由从MP-iBGP重分布到该VRF路由表中，最后这些IPv4路由经入站PE到达CE后通告到另一端VPN站点。

再来看VPN之间的报文转发。从入站PE到出站PE之间的报文转发过程如下：

1.当一个IP报文从CE进入入站PE时，该PE会根据接收该报文的接口来确定VRF，利用LFIB表查找其目的IPv4网络，将关联的远程标签（VPN标签）添加到IP报文上；

2.入站PE还要根据其MP-iBGP的下一跳IPv4地址，为该IP报文打上第二层标签（IGP标签），然后基于该标签穿越MPLS骨干网，到达出站PE；

3.在到达出站PE之前，IGP标签已被移除，MP-iBGP再去掉VPN标签，根据VRF路由表，以IPv4报文的形式从出站PE指向CE的VRF接口转发出去。

MPLS VPN规划设计

为了全网统一部署与实施，需要根据校园网的具体情况进行组网规划。

拓扑规划

在现有的校园网上进行MPLS VPN组网，由图1所示，可以将核心层和校区骨干层设备定义为P（LSR），区域汇聚层设备定义为PE（LER），楼栋汇聚层设备定义为CE。

地址规划

在三层MPLS VPN网络中不必刻意去考虑VPN的地址重叠问题，仍建议继续沿用校园网原有的地址规划方案进行实施。普通上网业务的地址规划是按楼栋（小区）为单位进行的，网关就近设在楼栋汇聚交换机上，可以认为是纵向部署的。而MPLS VPN业务是横向部署的，即一个业务分布到多个物理位置，如一卡通业务。但考虑到这些业务在每个楼栋汇聚层节点上的网络规模都较小，可以采用28位掩码为单位来分配网段（较大的节点就多给几个网段）。

在MPLS设备互连接口上启用LDP建立邻居关系时，需用到环回地址作为LSR的路由器ID。为了简化路由控制策略，将环回地址作为LDP会话源地址和MPBGP更新源地址，为其专门分配一段地址，且不与校园网IGP中的环回地址同段。

以校内业务为主的网络，一般只分配“私网”地址，如要访问Internet可经NAT实现。

路由规划

1.LDP需要通过IGP建立TCP连接，用于在LSR之间生成LSP。目前校园网部署的IGP为OSPF，骨干区域涉及校园网的核心层和校区骨干层，非骨干区域按校区划分，ABR设在校区骨干层上，而且每个校区都设置成Total NSSA特殊区域，以限制各类LSA穿越ABR，进而减少路由条目。但在这种OSPF配置模式下，不满足MPLS网络部署的要求，这是因为在ABR（LER的上游）已经过滤了所有路由，只有一条下发的默认路由用于区域间的访问，所以无法在MPLS网络中建立虚链路。解决方法是：将校区的Total NSSA区域改为NSSA区域，允许LSA3通过，使作为LDP会话源地址和MP-BGP更新源地址的环回地址的路由在LER之间可达，保证彼此间生成LSP。

2.MP-iBGP采 用 私 有 的AS号64512，在PE之间建立BGP邻接关系。由于区域汇聚层设备较多，任意PE之间都要建立BGP邻接关系，所以不便于维护，而且可扩展性不好。解决方法是多部署一台BGP反射路由器，使所有PE只需与反射路由器建立邻接关系。

3.PE和CE之间运行的是eBGP时，eBGP与MP-iBGP可以自动进行双向重分布，而PE和CE之间运行的是IGP时，IGP与MP-iBGP需要手动进行双向重分布，IGP可以采用静态路由或OSPF等，并为每个VRF进行路由配置。

MPLS VPN相关的规划

1.20位MPLS标签的可用范围是16至1048575，目前校园网IPv4路由少于1000，为了便于维护，可为每个LSR划定分发的标签范围：i×10000至i×10000+9999，其中i为MPLS网络中LSR的设备编号。目前LSR数量有20台左右，i从1开始依次编号。

2.每个VPN即为一个VLAN，应该使各校区相同业务VPN的vid值都相同。因为VPN可能会与普通业务共用CE，应按校园网VLAN规划方案统一对vid进行规划，避免冲突。

图3 基于三层MPLS VPN构建多业务校园网的架构示意

3.为每个VRF定义名字，采用业务名称的拼音字母或英文的缩写。例如，一卡通为YiKaTong。

4.RD采用ASN+k:vid的格式，其中ASN是MP-iBGP的AS号，即64512，如一卡通的vid是18，那么RD值就为64512:18，这时k=0。若CE双宿主连接两台PE，在路由反射器环境中，仍有两条路由到CE，可设置两个RD，对应k=0和1，即两个RD分别是64512:18和64513:18。

5.RT也采用RD的格式，其值设置与对应VRF的RD相同。VPN路由导入和导出操作分别对应Export和Import属性，如果将Export和Import属性值设置为一样，使相同VPN可互访；如果不同VPN互访，就要设置包含其他VPN的Import属性值。

多业务网络的部署

当MPLS VPN骨干网络配置完成后，不管是原来的普通业务还是新设的专网业务，都会运行在MPLS VPN骨干网之上，只不过在PE上普通业务使用全局路由，而专网业务使用各自的VRF路由。在不改变校园网原来物理拓扑的环境下实施多业务网络的架构如图3所示。当然，这样的部署要求在楼栋汇聚层上的CE设备能够区分和隔离全局路由和VRF，这要求设备需支持Multi-VRF CE功能。目前一般三层交换机的静态路由会支持该功能，如锐捷RG-S5750、H3C S5800等，都可作为CE设备。部署时可以配置CE的子接口（或trunk链路）上联PE 若干个VRF三层接口，并通过trunk链路下联接入层设备，将VPN的VRF与VLAN关联起来。

网管VPN需要访问所有的专网业务VPN以及普通业务，设置该VRF可以与全局路由互通，以用于监管校园网日常运行。为了便于控制，网管VPN站点设置在数据中心站点内，以便通过NAT让其他VPN访问数据中心的业务，如DNS，甚至访问校外可信站点。

基于三层MPLS VPN构建多业务校园网，实现相同VPN用户可以互相通信，不同VPN用户相互隔离，利用网管VPN站点监控所有专网业务和校园网普通业务，其他VPN站点只能通过单一安全节点，利用NAT技术有控制地访问校园网其他业务，以至访问指定的可信Internet目标主机。该方案部署简单可行，具有较高的可扩展性，在实现资源整合与网络虚拟化方面是一次有益的尝试。

（作者单位为中山大学网络与信息技术中心）