研究基于SDN采用MPLS构筑校园VPN的方法
来源:UC论文网2015-12-15 23:04
【摘 要】首先提出了一种基于最新网络技术SDN,利用控制器的流表控制技术以及OpenFlow交换机的快速转发技术,简单快捷地提供数据网络上的MPLS VPN的技术解决方法,随后还给出了2种在
【关键词】SDN OpenFlow交换机 流表 MPLS-VPN 网络功能虚拟化
1 引言
MPLS VPN(Multiple Protocol Label Switching Virtual Private Network,多协议标签交换虚拟专用网络)是一种在校园网和运营商网络中广泛应用的构筑VPN的技术方法,该技术成熟、稳定、安全性好且开展性强。但由于MPLS标签是在IP标签之前增加的一层,因此在网络配置时给网络工程师带来了相当大的工作量,配置复杂,维护运营困难。
基于技术发展的考虑,未来网络设备将基本由SDN网络架构来取代,现网设备可考虑采用NFV技术虚拟化资源,融合SDN(Software Defined Network,软件定义网络)网络架构。因此,MPLS VPN也必然基于SDN网络基础发展起来。可喜的是,基于SDN的MPLS VPN配置部署得到了极大的简化,拥有广阔的发展前景。进一步讲,移动核心网EPC(Evolved Packet Core,演进分组核心网)也将从这项技术的发展中获得不少益处。
2 传统MPLS VPN实现方法
如图1所示,通常采用的3层MPLS VPN实现过程复杂,涉及到多个路由协议。
要启用MPLS VPN,配置的内容包括以下步骤:
(1)核心路由器R2-PE,R3-P和R4-PE之间启用IGP(Interior Gateway Protocol,内部网关协议)中的OSPF(Open Shortest Path First,开放式最短路径优先协议);
(2)核心路由器之间端口配置MPLS协议;
(3)运营商边缘路由器R2-PE和R4-PE之间启用VRF(Virtual Router Forwarding,虚拟路由转发)协议和多协议BGP(MP-BGP);
(4)CE到PE之间(包括R1-CE和R2-PE之间,R5-CE和R4-PE之间)配置路由协议如EIGRP(Enhanced Interior Gateway Routing Protocol,增强内部网关路由线路协议);
(5)CE与PE VRF之间进行路由重分布。
可见,配置步骤非常多,运营维护也比较复杂,过长的配置命令清单让人望而生畏。以下把第3步中,在两个PE上配置启用VRF,并将其与客户连接的命令代码列出作为示例:
(1)R2-PE上的部分配置:
ip vrf CA
rd 1:100
route-target export 1:100
route-target import 1:100
!
ip vrf CB
rd 1:200
route-target export 1:200
route-target import 1:200
!
interface Serial1/0
description ConnectionToR1
ip vrf forwarding CA
ip address 172.16.1.1 255.255.255.252
!
interface Serial1/1
description ConnectionToR2
ip vrf forwarding CB
ip address 192.168.1.1 255.255.255.252
(2)R4-PE上的部分配置:
ip vrf CA
rd 1:100
route-target export 1:100
route-target import 1:100
!
ip vrf CB
rd 1:200
route-target export 1:200
route-target import 1:200
!
interface Serial1/3
description ConnectionToR4
ip vrf forwarding CA
ip address 172.16.2.1 255.255.255.252
!
interface Serial2/1
description ConnectionToR5
ip vrf forwarding CB
ip address 192.168.2.1 255.255.255.252
!
3 SDN基本架构与技术思路
SDN是近年在业界逐步兴起的网络技术,其基本思想是:避开网络设备部件已经大规模部署运营便不可动摇的困难,采用“controller-OpenFlow交换机”架构,将路由器、交换机的控制部分和转发部分分离,使得网络的演进、网络新技术的试验不再受运营和具体厂家设备的限制。这是未来数据网络设备的发展方向。
SDN对数据包的控制主要体现在对包头的处理,首先按照流表对包头各字节进行匹配,然后遵照行动集进行处理转发,实现网络通信,具体如图2所示:图2 流表处理过程示意图
根据定义,任何一个OpenFlow交换机必须支持下列4项基本行动:
(1)向给定端口快速转发流包;
(2)为流包再打包,并发至控制器controller;
(3)丢掉流包;
(4)通过交换机的正常处理通道转发流包。
根据需要,网络设计人员可以增加其他的流表行动集,构成新的流包转发和数据通信。SDN的这个设计思路为未来的网络通信业务发展提供了无限的发展空间。
4 新方法实现校园VPN
如前所述,在目前数据互联网如校园网中,如果建立MPLS-VPN,需要IGP、LDP(Label Distributing Protocol,标签分发协议)和IPV4 VRF 3层路由技术支持,配置过程复杂,维护艰难。
通过SDN的“控制器controller – OpenFlow交换机”的架构,在控制器controller中对流表进行规划设计,勾画出各个VPN的链接站点,达到VPN运行目的。在流表定义中,仍然采用MPLS标签作为VPN的识别基础。
4.1 系统结构描述
一般SDN的组成,可以有如图3所示的结构图:
图3 校园SDN网络结构图
(1)校园网由多个OpenFlow交换机组成;
(2)一个控制器controller:控制全网,定义流表配置,规划通信流量逻辑;
(3)OpenFlow交换机:与controller通过OpenFlow协议交流控制信息,按照controller要求转发数据。
假定校园网中有2个专业系需要建立2个VPN,CS(Computer Science department,计算机科学系)-VPN和EE(Electronic Engineering department,电子工程系)-VPN,以便这2个专业系相互之间进行必要的网络隔离,通过SDN实现的方法如下所述。
4.2 VPN实现方法论述
(1)方法1:固定标签VPN
如图4所示,在controller的流表上定义,并在VPN的沿途OpenFlow Switch上配置相同的MPLS标签,如CS-VPN采用标签16,EE-VPN采用标签17,以此类推。
图4 固定标签VPN示意图
(2)方法2:可变标签VPN
如图5所示,在controller的流表上定义,在VPN的沿途OpenFlow交换机上配置一系列的MPLS标签,如CS-VPN分别配置16、17、18,EE-VPN分别配置21、22、23(也可以采用自动配置方法:交换机启用LDP,自动生成标签,再反馈到controller控制器上,controller控制器生成流表,控制VPN转发)。
图5 可变标签VPN示意图
标签定义之后,OpenFlow交换机将按照流表行动集进行数据包转发,形成各自VPN内的通信。
5 SDN与NFV结合,构筑更大规模VPN
目前基于SDN部署VPN的发展,由于需要全部部署OpenFlow交换机,因此比较适用于小规模的网络,比如校园网。这些网络属于试验性质,范围小,可较好部署新的OpenFlow交换机,有进一步研究发展的空间。
基于网络发展的成本考虑,现在全世界的运营商采用了大量的网络设备,这些设备全部替换为OpenFlow交换机不太现实。因此业界发展出了一种新的技术即NFV,如图6所示,该技术采用软件虚拟化网络设备,紧密结合现网设备,硬件设备基本不需替换,这样可以弹性部署OpenFlow交换机,仍然采用SDN controller控制全网设备,达到MPLS VPN全网部署通行,未来城域网及运营商的大网中部署运营VPN也会更加容易。
图6 NFV虚拟化示意图
6 结论
本文将MPLS VPN的繁琐配置与维护简化到SDN的控制器controller上进行流表定义,简单易行,概念清晰,超越网络3层路由方面的各种复杂操作。本方法可以先在校园网等较小范围网络部署运营,待机制成熟,如NFV技术成熟时,则可在运营商城域网和广域网中部署,到时,移动通信网络也将是巨大的受益者。
参考文献:
[1] ONF国际组织. OpenFlow-spec-v1.3.1[EB/OL]. (2012-09-06)[2015-07-09]. https://www.opennetworking.org/en/sdn-resources/technical-library.
[2] ONF国际组织. OpenFlow: Enabling Innovation in Campus Networks[EB/OL]. (2008)[2015-07-09]. https://www.opennetworking.org/.
[3] ONF国际组织. Software-Defined Networking: The New Norm for Networks[EB/OL]. (2012)[2015-07-09]. https://www.opennetworking.org/.
[4] ONF国际组织. Flow Visor: A Network Virtualization Layer[EB/OL]. (2009)[2015-07-09]. https://www.opennetworking.org/.
[5] MPLS VPN实验配置[EB/OL]. (2012)[2015-07-09]. http://wenku.baidu.com/link?url=AD93fddYL_DAEe_yQOrPV2OLBVL9tKJD2IJ7YPuRwvMFnjyyo9EJj8xVwrOWXPB5IIN7duOvIJgktj4XE478GYcG0lxMh06BVWVmt076-V7.
[6] 郭恩阳,范云凌,陈文华. 基于SDN框架下的EPC策略控制系统研究[J]. 移动通信, 2014,38(24): 46-51.
[7] 郭恩阳,范云凌,陈文华. 移动分组域核心网向SDN架构EPC演进的发展展望[J]. 移动通信, 2013,37(14): 78-82.
[8] Cisco System. MPLS VPN技术构架[EB/OL]. (2008)
[2015-07-09]. http://wenku.baidu.com/view/9c8fce6a7
e21af45b307a8ce.html.