基于虚拟化的跨域VPN解决方案.pdf

《基于虚拟化的跨域VPN解决方案.pdf》由会员分享，可在线阅读，更多相关《基于虚拟化的跨域VPN解决方案.pdf（6页珍藏版）》请在咨信网上搜索。

1、针对目前运营商网络中构建的跨域虚拟私有网实现复杂、自治系统边界设备负载过重、存在单点故障等问题,提出了采用虚拟化方式构建跨域虚拟私有网的解决方案.该方案包括公网隧道的建立、本地V P N实例的建立、自治系统边界设备的虚拟化、边界设备私网路由的交互个关键步骤.为评估方案的可行性,对方案进行了测试与验证,测试与验证结果表明该方案达到了预期设计的目标.为了评估方案的优越性,与传统多跳E B G P方式构建的跨域虚拟私有网在交换容量、路由条目、标签条目等维度进行了对比分析.对比结果表明,采用该方案构建的跨域虚拟私有网增强了自治系统边界设备的数据处理能力,并减少了自治系统边界设备需处理的数据量,是一种构

2、建跨域私有网的改进方案.关键词:虚拟化;多协议标签交换;边界网关路由协议;自治系统边界设备;虚拟私有网中图法分类号T P S o l u t i o nt oC r o s s d o m a i nV P NB a s e do nV i r t u a l i z a t i o nT AOZ h i y o n g,Z HAN GJ i n,a n dYANG W a n g d o n gS o f t w a r eS c h o o l,C h a n g s h aS o c i a lW o r kC o l l e g e,C h a n g s h a ,C h i n a

3、C o l l e g eo fC o m p u t e rS c i e n c ea n dE l e c t r o n i cE n g i n e e r i n g,H u n a nU n i v e r s i t y,C h a n g s h a ,C h i n aC o l l e g eo fC o m p u t e rS c i e n c ea n dE l e c t r o n i cE n g i n e e r i n g,H u n a nN o r m a lU n i v e r s i t y,C h a n g s h a ,C h i n

4、aA b s t r a c t T oa d d r e s s t h ep r o b l e m so fc o m p l e xi m p l e m e n t a t i o no fc r o s s d o m a i nv i r t u a lp r i v a t en e t w o r k sb u i l t i nc u r r e n tc a r r i e rn e t w o r k s,e x c e s s i v e l o a do nd e v i c e sa t t h eb o r d e ro f a u t o n o m o u

5、ss y s t e m s,a n dt h ee x i s t e n c eo f s i n g l ep o i n t so f f a i l u r e,t h i sp a p e rp r o p o s e sas o l u t i o n f o rb u i l d i n gc r o s s d o m a i nv i r t u a l p r i v a t en e t w o r k sb yv i r t u a l i z a t i o n T h e s c h e m ec o n s i s t so f f o u r f u n d

6、a m e n t a ls t e p s:t h ee s t a b l i s h m e n to fp u b l i cn e t w o r kt u n n e l s,t h ee s t a b l i s h m e n to f l o c a lV P Ni n s t a n c e s,t h ev i r t u a l i z a t i o no fa u t o n o m o u ss y s t e mb o r d e rd e v i c e s,a n dt h e i n t e r a c t i o no fp r i v a t en

7、e t w o r kr o u t e so fb o r d e rd e v i c e s T oe v a l u a t e t h e f e a s i b i l i t ya n ds u p e r i o r i t yo f t h es c h e m e,c o m p a r a t i v ee x p e r i m e n t sa r ec o n d u c t e dw i t ht h ec r o s s d o m a i nv i r t u a lp r i v a t en e t w o r kc o n s t r u c t e d

8、b yt h et r a d i t i o n a lm u l t i h o pE B G Pa p p r o a c hi nt h ed i m e n s i o n so fs w i t c h i n gc a p a c i t y,r o u t ee n t r i e s,a n dl a b e le n t r i e s E x p e r i m e n t a lr e s u l t ss h o wt h a t t h ec r o s s d o m a i nv i r t u a l p r i v a t en e t w o r kc o

9、 n s t r u c t e db y t h i s s c h e m e e n h a n c e s t h ed a t ap r o c e s s i n gc a p a b i l i t yo f t h e a u t o n o m o u ss y s t e mb o u n d a r yd e v i c e sa n dr e d u c e s t h e a m o u n t o f d a t a t ob ep r o c e s s e db y t h e a u t o n o m o u s s y s t e mb o u n d a

10、 r yd e v i c e s I ng e n e r a l,t h i s i m p r o v e ds c h e m e i sa d v a n c e da n de f f e c t i v e f o rb u i l d i n gc r o s s d o m a i nv i r t u a l p r i v a t en e t w o r k s K e y w o r d s V i r t u a l i z a t i o n,M u l t i p r o t o c o l l a b e l s w i t c h i n g,B o r d

11、 e rg a t e w a yr o u t i n gp r o t o c o l,A u t o n o m o u s s y s t e mb o u n d a r ys e v i c e,V i r t u a l p r i v a t en e t w o r k引言因特网工程组(I n t e r n e tE n g i n e e r i n gT a s kF o r c e,I E T F)发布的R F C ,阐释了在运营商的网络中采用多协议标签交换(M u l t i p r o t o c o lL a b e lS w i t c h i n g,MP

12、L S)与 边 界 网 关路由协议(B o r d e rG a t e w a yP r o t o c o l,B G P)为用户构建虚拟私有网(V i r t u a lP r i v a t eN e t w o r k,V P N)的解决方案.因该方案构建的虚拟私有网能有效隔离不同用户的私网数据,且稳定性与扩展性好,使得该方案构建的虚拟私有网的应用越来越广泛 .随着用户业务的不断扩张,其用户网络需跨不同自治系统(A u t o n o m o u s S y s t e m,A S).而R F C 所 提 供 的MP L S与B G P构建的虚拟私有网局限于在同一自治系统内(域内),

13、不能跨自治系统(域间)为用户提供服务.因此,研究跨不同自治系统来构建虚拟私有网,是亟待解决的问题.为了构建跨域的虚拟私有网,目前主要的解决方式有种:)背靠背方式,该方式在自治系统边界设备上为每一个用户提供单独的接口来构建跨域私有网;)单跳的E B G P方式,该方法在自治系统边界设备上传递扩展的B G P路由信息来构建跨域私有网;)多跳的E B G P方式,该方式在连接用户的边界设 备 上 传 递 扩 展 的B G P路 由 信 息 来 构 建 跨 域 私 有网 .上述种方式都存在一定的缺陷,背靠背与单跳的E B G P方式使得自治系统边界设备不但需处理私网的数据,而且需处理用户的公网数据;而

14、多跳的E B G P自治系统边界设备只需处理公网数据,私网数据由连接用户的边界设备来处理,减轻了 自治 系 统边 界 设 备 的 负 担,但 该 方 式 需 修 改MP L S V P N体系框架,实现复杂.因此,上述种方式有待进一步改进 .在运营商的网络中,一台自治系统边界设备需为上万甚至十万用户提供V P N的服务.背靠背、单跳的E B G P、多跳的E B G P方式都存在设备负载过重的问题,负载过重会影响用户业务数据的交互,严重时会导致网络瘫痪.为此,本文提出了一种虚拟化的跨域V P N解决方案 .I R F(I n t e l l i g e n tR e s i l i e n t

15、F r a m e w o r k)是一种网络设备虚拟化技术,以I R F智能弹性架构为关键字在知网上进行检索(截止检索日期为 年月 日),检索到学术期刊 篇,学位论 文篇,会 议 论 文篇.以 上 数 据 表 明,该技术的研究还处于起步阶段.而本文针对背靠背、单跳E B G P、多跳E B G P构建的跨域V P N都存在局限性的问题,提出了一种虚拟化的跨域V P N解决方案.该方案将通过网络设备虚拟化技术将多台自治系统边界设备虚拟成一个资源池,让资源池中的多台自治系统边界设备共同分担公网数据与私网 数 据 的 处 理 与 传 送,并 通 过MP L S与B G P技术为不同用户构建其独立的

16、虚拟私有网,在隔离不同用户数据的同时,实 现 其私 网数 据的 交 互.同 时,将 所 提方 案与传统方式构建的跨域V P N在包转发率、处理与维护路由条目数、处理与维 护 的标 签条 目数 等 维度 进行 对比,以验证该方案的优越性 .基于虚拟化的跨域V P N的方案设计 设计理念虚拟化的跨域V P N构建采用三层虚拟的设计理念,第一层虚拟是依托网络设备虚拟化技术将多台自治系统边界设备构建为一个资源池,由资源池中的设备负载分担公网数据与用户私网数据的识别与传输.第二层虚拟是借助MP L S在公网中建立虚拟私有网,为不同用户的私网数据穿越公网提供通道.第三层虚拟是利用B G P在边界设备与自治

17、系统边界设备上给不同用户分配不同的私网标签,为不同用户构建其对应的虚拟网络.网络模型为了验证设计理念的可行性,所提方案构建了一个实验所需要的网络模型,如图所示.图所示的网络模型需在自治系统间实现A用户总部与分部、B用户总部与分部的私网数据的交互.图网络模型F i g N e t w o r kM o d e l为了后续阐述的方便,对网络模型中的设备进行定义.A用户总部与B用户总部用l o o p b a c k地址来模拟,分别用U与U表示,A用户分部与B用户分部用l o o p b a c k地址来模拟,分别用U与U表示;连接A用户总部与B用户总部的运营商边界设备用P E表示,连接A用户分部与

18、B用户分部的运营商边界设备用P E表示;自治系统的运营商交换设备表示为P,自治系统的运营商交换设备表示为P;自治系统的 运 营 商 自 治 系 统 边 界 设 备A与B用A S B R与A S B R表示,自治系统的运营商自治系统边界设备C与D用A S B R与A S B R表示;运营商自治系统边界设备A与B虚拟化后的设备表示为A S B R,运营商自治系统边界设备C与D虚拟化后的设备表示为A S B R;A用户总部与分部构建的虚拟私有网表示为V PN,B用户总部与分部构建的虚拟私有网表示为V PN.方案设计实现实验模型中两个用户总部与分部的私网数据交互,在自动系统内与自治系统间均需构建传输私

19、网数据的传输通道.在自治系统内使用MP L S的标签分发协议(L a b l eD i s t r i b u t i o nP r o t o c o l,L D P)分配公网标签,形成承载私网数据的标签交换路径(L a b l eS w i t c h i n gP a t h,L S P).采 用 扩 展 的C o m p u t e rS c i e n c e计算机科学V o l ,N o ,S e p MB G P协议给不同用户私网数据分配私网标签,通过该私网标签形成V P N L S P,识别与区分不同用户的私网数据.在自治系统间传输私网数据时,由虚拟化后的自治系统边界设备A S

20、 B R 与A S B R 负载分担数据,并在A S B R 与A S B R 上给每个用户创建传输私网数据的专属接口,并通过B G P来交互不同用户的私网数据,进而实现两个用户总部与分部的私网数据交互.两个用户在自治系统内与自治系统间的数据交换过程如图所示.图私网用户的数据交换过程F i g D a t ae x c h a n g ep r o c e s so fp r i v a t en e t w o r ku s e r s保障图中两个用户总部与分部的私网数据交互,在实验模型中需完成公网隧道的建立、本地V P N实例的建立、自治系统边界设备的虚拟化、边界设备私网路由的交互个关键步

21、骤.)公网隧道的建立公网的边界设备P E与P E能识别公网与私网数据,而位于公网中的P与P无私网的路由信息,故识别不了A用户与B用户的私网数据.因此,需在自治系统内的P E,P,A S B R 与P E,P,A S B R 设备上部署MP L S,分配标签,形成标签转发表,并将私网数据封装在MP L S的标签内,使P与P读取外层MP L S标签来转发数据,进而通过MP L S生成的标签在公网中建立一条逻辑通道来承载不同用户的私网数据.公网隧道的建立需在设备上完成个方面的部署,以自治系统为例.首先启用P E,P,A S B R 设备的MP L S功能,其次在P E,P,A S B R 上运行m

22、p l s l s r i d,使用设备的l o o p b a c k接口来标识设备的身份,再次在台设备的接口上启动MP L S与MP L S L D P协议,给l o o p b a c k接口分配标签,并使接口具备标签转发的能力.自治系统的公网隧道的建立的部署与自治系统相同,在此不再赘述.)本地V P N实例的建立公网隧道的建立为A用户与B用户的私网数据穿越公网夯实了基础,而两个用户私网数据的识别与隔离需在P E与P E、A S B R 与A S B R 上建立本地的V P N实例.在设备上运行i p v p n i n s t a n c e指令给两个用户建立本地的V P N实例,并在

23、V P N实 例下 执行r o u t e d i s t i n g u i s h e r与v p n t a r g e t指令,为两个用户的私网数据打上不同的标记,并通过多进程与虚拟路由技术为每一个用户在P E与P E、A S B R 与A S B R 上建立独立的实例路由表,进而分辨出不同用户私网数据,并实现不同用户私网数据的相互隔离.)自治系统边界设备的虚拟化位于自治系统边界的设备不但需承载公网数据,而且需承载私网数据,当用户数呈上万增长时,负载过重,影响业务数据的正常交互.故需要网络设备虚拟化技术I R F将自治系统边界A S B R与A S B R、A S B R与A S B

24、R虚拟化,虚拟化后由两台自治系统边界设备共同负载分担数据的接收与传送.而实现A S B R与A S B R、A S B R与A S B R来负载分担用户数据,首先需通过i r fm e m b e r指令分别给A S B R与A S B R、A S B R与A S B R赋予不同的成员编号,标识其设备在资源池中的身份,同时方便后续通过成员编号来管理设备;其次使用i r f p o r t指令将图中A S B R与A S B R、A S B R与A S B R相连的物理端口加入到虚拟化的逻辑端口下,使用逻辑端口下的物理端口交互虚拟化所需的协议报文;最后在A S B R与A S B R上执行i r

25、 fm e m b e rp r i o r i t y 指令,操控A S B R与A S B R成为资源池中的M a s t e r设备.通过上述步骤分别在A S B R与A S B R、A S B R与A S B R上构建了一个资源池,可以在M a s t e r设备上通过i r fs w i t c h t om e m b e r i d指令管理与调度资源池中从设备的资源,并由两台设备共同承担公网数据与私网数据的传输,实现数据的负载分担.后续如资源池中的两台设备随着用户数倍增,则还存在数据负载过重的问题,可以在资源池中再添加设备,新增设备到资源池时,支持“热插拔”,不影响资源池的正常运

26、行,无须中断业务.)边界设备私网路由的交互实现图中U与U、U与U的私网数据的交互分为两个部分:在域内和在域间.考虑到实验模型中P与P不能学习私网数据的路由信息,故采用B G P路由协议.因B G P路由协议可以跨设备建立邻居关系交互私网数据的路由信息,所以在自治系统内的P E与A S B R、P E与A S B R 上采用扩展后的MP B G P交互私网数据的路由信息,而在自治系统间的A S B R 与A S B R 上也采用B G P来交互私网数据的路由信息.首先在自治系统的边界设备P E与A S B R 上运行B G P协议后,执行p e e r与a d d r e s s f a m i

27、 l yi p v u n i c a s t指令建 立 普 通 的B G P邻 居 关 系,然 后 执 行a d d r e s s f a m i l yv p n v 建立扩展的B G P邻居关系,最后执行i pv p n i n s t a n c ev p n 与i pv p n i n s t a n c ev p n,并通过i m p o r t r o u t ed i r e c t指令将U与U的私网数据分别引入到v p n 与v p n 的实例中,实现将U与U的私网数据由P E传送给A S B R,在自治系统内完成了U与U私网数据的路由交互.自治系统内U与U的私网数据的路由

28、信息由P E传送给A S B R 的方式与上述部署相同,在此不再赘述.上述部署完成了不同用户私网数据在域内边界设备的交互,在域间的私网数据路由信息的交互在A S B R 与A S B R 上给每个用户创建专属的接口,并在该接口下通过B G P协议完成不同用户私网数据路由信息的交互.具体的部署是先在A S B R 与A S B R 相连接的主接口下创建两个子接口,并在子接口下执行i pb i n d i n gv p n i n s t a n c e指令让两个子接口分别与实例v p n 与v p n 绑定,然后在B G P路由协议的i pv p n 陶志勇,等:基于虚拟化的跨域V P N解决方

29、案i n s t a n c ev p n 与v p n 下,通过p e e r指令在其用户相对应的专属子接口下建立B G P邻居关系,并在专属的子接口下交互两个用户的私网数据的路由信息,进而实现U与U、U与U的私网数据的交互.当运营商网络承载用户数不多时,采用该方式来部署跨域V P N的 实 现 过 程 简 单,管 理 方 便,不 需 要 修 改 协 议 与MP L S的体系结构.但该方式存在个缺点:()扩展性差,有多少个用户则需在A S B R 与A S B R 上建立多少个本地的V P N实例,随着用户的增多,工作量成倍增长;()有多少个用户就需在A S B R 与A S B R 相连的

30、主接口下创建多少个用户的专属接口与I P地址,接口与地址占用率高;()A S B R 与A S B R 相连的主接口若不能创建逻辑接口,则该方案无法实施.针对上述问题,对虚拟化的跨域V P N解决方案进行了改进.改后的方案公网隧道的建立、自治系统边界设备的虚拟化与改前的解决方案相同.不同之处在于,在A S B R 与A S B R 上无须创建交互私网数据路由信息的专属接口,也不需要在A S B R 与A S B R 建 立 本 地 的V P N实 例,只 需 在A S B R 与A S B R 上建立MP B G P的邻居关系,并将用户私网数据的路由信息在V P NV 下进行交互,且启动A S

31、 B R 与A S B R 相连接口的标签转发功能,进而完成不同用户私网路由信息在A S B R 与A S B R 间的交互.具体的部署是进入A S B R 与A S B R 相连的接口,执行m p l se n a b l e,使接口具有处理标签的能力,然后在B G P路由协议视图下执行a d d r e s s f a m i l yv p n v,并通过p e e r指令建立V P NV 的邻居关系,最后通 过u n d op o l i c yv p n t a r g e t指 令 将 域 内 的 私 网 数据路由信息 通 过B G P路 由 协 议 在 域 间 的A S B R 与

32、A S B R 上进行交互,进而完成U与U、U与U的私网 数据的交互.性能评估 方案验证为验证方案部署是否达到了预期的目标,对方案进行相应的验证.)网络设备虚拟化的建立在A S B R与A S B R上通过执行d i s i r f指令查看A S B R与A S B R、A S B R与A S B R是否虚拟化成功,图所示的m a s t e r与s t a n d b y的状态充分说明自治系统边界设备A S B R与A S B R、A S B R与A S B R已成功虚拟化,两台设备能共同承担公网数据与私网数据的处理与传输.图虚拟化状态结果图F i g V i r t u a l i z a

33、 t i o ns t a t u s r e s u l t sg r a p h)公网隧道的L S P的建立在A S B R与A S B R上执行d i sm p l sl d pl s p指令,得到图所示的状态结果,图所示的状态结果显示P E,P,A S B R,P E,P,A S B R的l o o p b a c k接口MP L S已分配了公网标签.至此,图所示的自治系统内的公网L S P已形成,为U与U、U与U的私网数据穿越公网提供了通道.图公网的L S P状态结果F i g L S Ps t a t u s r e s u l t so fp u b l i cn e t w o

34、 r k)域内与域间私网的V P N L S P路径的建立私网的V P N L S P用来识别与区分不同用户的私网数据,其i n l a b l e是设备分配给别的设备使用的标签,而o u t l a b l e是别的设备分配给本设备使用的标签.在A S B R与A S B R上执行d i sb g pr o u t i n g t a b l ev p n v i n l a b l e|b e g i nN e t w o r k后,其私网的V P N L S P状态结果如图所示.图私网的L S P状态结果F i g L S Ps t a t u s r e s u l t so fp r

35、 i v a t en e t w o r k以 为例,阐述其私网的V P N L S P.图中显示 的o u t l a b l e为 ,其n e x t h o p为 ,即说明该标签为P E分配给A S B R使用;i n l a b l e为 ,为A S B R分配给A S B R的标签.在A S B R上的 状态显示,o u t l a b l e为 ,i n l a b l e为 ,其中 是A S B R分配给A S B R的,而 是A S B R设备分配给P E的,图所示的状态结果表明在域内与域间的私网V P N L S P已成功建立.)私网用户数据互访测试为验证在域内与域间能承载

36、U与U、U与U的私网数据,在P E上执行d i s i pr o u t i n g t a b l ev p n i n s t a n c ev p n|e x c l u d eD i r与d i s i pr o u t i n g t a b l ev p n i n s t a n c ev p n|e x c l u d eD i r,以及执行p i n g v p n i n s t a n c ev p n c a 与p i n g v p n i n s t a n c ev p n c a 指令,得到的结果如图所示.图中的结果显示,P E的v p n 与v p n 实例路

37、由表中通过B G P路由协议已学习到分部U与U的私网路由数据,并通过p i n g指令测试,U与U、U与U私网数据交互正常.C o m p u t e rS c i e n c e计算机科学V o l ,N o ,S e p 图用户私网数据互访测试图F i g U s e rp r i v a t en e t w o r kd a t am u t u a l a c c e s s t e s t c h a r t 性能分析为了评估该方案的优越性,与传统的跨域最优方案多跳的E B G P方式进行定性与定量的对比.)定性对比定性对比包括可管理性、可靠性、资源利用率等个方面.表所列的个维度的

38、对比情况说明,采用虚拟化方式构建跨域私有网优于多跳的E B G P方式构建的跨域私有网,特别是在数据处理能力及设备的减负方面,优势明显.表两种方案的数据对比T a b l eD a t ac o m p a r i s o no f t w os c h e m e s对比项目虚拟化方案E B G P方式可管理性多台设备虚拟化后,通过一台设备能管理其他设备,易管理随着用户数增加,管理繁琐可靠性实现设备冗余,可靠性好设备独立工作,会产生单点故障,可靠性差资源利用率虚拟后能实现资源统一调度与管理,利用率高设备间独立工作,资源利用率低需要维护标签类型种种包转发率高低扩展性好差C P U与内存使用率只

39、需处理种类型标签,使用率低需处 理种 类 型 标 签 及A C L与路由策略,使用率高)定量对比本文方案采集了传统方案与本方案自治系统边界设备A S B R的交换容量、路由条目、标签 条目 的数 据,借 助E X C E L,导入了采集的数据,并用带数据标记的折线图生成了图表,对比情况如下文所述.()交换容量交换容量是衡量交换机能吞吐的最大数据量,是衡量交换机处理数据能力的重要指标.该方案采用网络设备虚拟化技术将位于自治系统边界的多台A S B R设备虚拟成一个资源池,让资源池中的设备共同负载分担其数据的处理,大大提升了设备的数据处理能力.图给出了本文方案与传统的多跳E B G P方式采用H

40、C S V Q S G E设备来构建跨域虚拟私有网的交换容量的数据对比结果,单台设备的交换容量是 T b p s.多跳E B G P方式构建的跨域虚拟私有网,因每台交换机是独立工作,增加交换机也不能实现交换机资源的整合,交换容量还是单台的处理能力.而本文方案能将多台交换机资源统一调度与管理,随着交换机数量的增加,其交换机处理数据的交换容量也相应地增长,当资源池的交换机数量为时,其交换容量能达到 T b p s,使自治系统边界设备的数据处理能力得到明显的提升.图两种方案交换容量的对比F i g C o m p a r i s o no f e x c h a n g ec a p a c i t

41、 yo f t w os c h e m e s()路由条目传统的多跳E B G P方式实现的跨域虚拟私有网,因私网数据的路由信息交互是在两台P E设备上直接交互,连接在两台P E内的所有设备都需要给P E的l o o p b a c k地址分配标签,并将私网数据封装在标签中,才能实现私网数据穿越公网.而MP L S只能给域内的内部网关路由分配标签,域间是外部网关路由,MP L S无法分配标签.为此,多跳E B G P方式修改了MP L S体系结构,采用B G P在域间的A S B R上交互l o o p b a c k地址的路由,并为其分配标签,进而实现私网数据在域间的交互.但该方式使得位于

42、自治系统边界的A S B R的B G P路由表中不但需维护用户的私网路由信息,还需维护P E的l o o p b a c k地址的路由信息.而本文方案的A S B R的B G P路由表中不需要维护该路由,只需维护用户的私网路由信息.以该方案为例,采用本文方案A S B R的B G P路由表中只需维护条路由条目,而采用传统的多跳E B G P方式需维护条.设两自治系统的P E两两之间交互路由,不相互交叉交互路由,且后续增加到自治系统的P E所连接的每个用户有一条私网路由,一个P E连接两个用户,当两个自治系统的P E设备各达到 台时,采用本文方案只需要维护 条路由条目,而采用传统的多跳E B G

43、 P方式需要维护 条路由条目,如图所示.图中的状态结果表明,随着两自治系统内P E设备数量的不断增加,本文方案比传统的多跳E B G P方式需维护的路由条目数量少很多,减轻了A S B R的负载.图两种方案路由条目数的对比F i g C o m p a r i s o no f t h en u m b e ro f r o u t i n ge n t r i e so f t w os c h e m e s()标签条目采用本 文 方 案 构 建 的 跨 域 私 有 网,A S B R只 需 维 护MP L S分配的公网标签及MP B G P分配的私网标签.而传统的多跳E B G P方式A

44、 S B R还需维护B G P给P E的l o o p b a c k在域间分配的公网标签,且为了给l o o p b a c k地址在域间分配公网标签,在A S B R上需给每个l o o p b a c k部署访问控制列表来匹配l o o p b a c k地址,并通过路由策略为l o o p b a c k地址分配标签,两个自治系统的P E数增多,使得A S B R的C P U与内存的使用率加大,增加了A S B R设备的负担.图给出陶志勇,等:基于虚拟化的跨域V P N解决方案了本文方案与传统的多跳E B G P方式维护的标签数的对比,两自治系统各一台P E时,采用本文方案A S B

45、R维护的标签数为,而采用传统的多跳E B G P方式需维护条,随着两自治系统P E数的增加,两种方案维护的标签数的差距越明显.当各自治系统的P E数达 时,采用本文方案需要维护的标签数为 ,而传统的多跳E B G P方式达到了 .对比数据说明本文方案给A S B R设备需处理与维护的标签数大大减少,减轻了A S B R设备的负担,优于传统的多跳E B G P方式.图两种方案的标签条目数的对比F i g C o m p a r i s o no f t h en u m b e ro f l a b e l e n t r i e so f t w os c h e m e s结束语针对MP L

46、 S与B G P构建的跨域虚拟私有网接入的用户数增多,导致自治系统边界设备负载过重,影响用户数据的正常交互,本文提出了虚拟化的设计方案,构建网络模型,部署与实施虚拟化的设计方案,为解决该设计理念自治系统边界设备不能创建逻辑接口导致方案无法实施的问题,对该方案进行了优化.为评估方案的可行性与优越性,对虚拟化建立、公网的L S P、私网的L S P等进行了测试与验证,验证与测试结果表明了方案的可行性.同时,将虚拟化构建的跨域私有网与传统的E B G P方式构建的跨域私有网在交换容量、路由条目、标签条目的个方面,以及表所列的个方面,共计 个维度进行了对比.对比的结果表明,该方案在A S B R的数据

47、处理能力及给A S B R减负方面,明显优于传统的方案.因学校网络实验室条件有限,无法测试方案的延时、并发数等,后续准备购买相应的设备,测试两种方案的延时与并发数等数据.此外,后续将研究软件定义网络(S o f t w a r eD e f i n e dN e t w o r k,S D N)在跨域虚拟私有网中的应用.参 考 文 献MAPY,YAN GGM,MA ODF,e t a l R e a l i z a t i o no f i n t e l l i g e n tr o u t i n gb a s e do nS R v MP L Sd u a l f o r w a r d i n gp l a n eJ O p t i c a lC o mm u n i c a t i o nR e s e a r c h,():C HE NFQ,D OUJ,Z HAN GD V R Fc o n f i g u r a t i o nd e s i g na n ds i m u l a t i o nb a s e do nB G P/MP L SV P NJ J o u r n a lo fC h e n g d uU n i v e r s i