随着经济快速发展及互联网+理念的深入，越来越多的企事业单位因业务发展进行了并购或建设了新园区（新机构）或派出员工，产生了大量的信息传输需求.传统租用运营商专线建设专用网的方式成本高且维护不便，而穿越公网的虚拟专用网（Virtual Private Network，VPN）技术既实现了专用网的功能达到‘公网专用’而且还价格低廉、安全可靠、可拓展性和可维护性好.市场需求也促进了网络基础实施的升级建设，一些新的技术如BGP、MPLS等技术在运营商网络中得到了广泛应用，并出现了多种VPN技术，如IPSec VPN、SSL VPN及MPLS VPN等〔1〕.但在如何充分发挥运营商/骨干网络强大的技术实力/先进特性、同时降低企事业单位内网升级及维护的成本和技术门槛方面，BGP/MPLS VPN获得了广泛的认同，其巨大的吸引力也促使其成为了网络技术的研究和应用热点.

据中国科学技术信息研究所2018版《中国科技期刊引证报告(核心版)》统计，在12种植物学类期刊中，《植物科学学报》核心影响因子0.896，排名第3；核心总被引频次1158，排名第6；综合评价总分排名第9。12种植物学类期刊统计结果见下表。

9月15日，2018京津冀汽修行业环保形势及污染防治政策技术研讨会暨“汽环联环保管家”汽修行业治理服务供需会在北京成功举办。来自行业内的科研院所权威专家、环保公司相关领导等作为嘉宾参加了此次研讨会，他们一起在会上充分探讨京津冀范围内汽车维修业的环保政策、法规、现状及发展趋势，交流和总结与VOCs排放相关的环保问题及控制技术需求。活动主办方也希望通过此次会议能够帮助汽修行业宣传VOCs政策，推动行业标准的建立，推动建立汽修行业全方位一站式解决方案，推动汽修行业绿色发展，让汽修企业专心经营生产，杜绝环保“红线”，进一步提升汽修行业绿色发展和环保治理水平。

本文重点是研究BGP/MPLS VPN的技术框架、原理，并基于Dynamips和思科unzip-c7200-js-mz.124-12.bin的IOS仿真设计并实现了一个BGP/MPLS VPN仿真实例网络，验证了BGP/MPLS VPN的工作原理，仿真设计方案还可直接移植到实际的网络中.

【编者按】近几年，新能源汽车产业持续保持着良好发展势头，世界各国都在大力发展新能源汽车，我国更是将其列入七大战略性新兴产业之中，新能源汽车的相关专业知识及维修技术学习也显得越来越重要。

一些观点认为，塑料吸管的“一次性属性”太明显，它很容易被随意遗弃在某个不起眼的角落，而不是像大件的塑料废物那样被妥善回收。

1 VPN技术

实验过程中根据需要设置抓包并分析所抓数据包、MPLS转发表及日志等信息.根据上文的BGP/MPLS VPN技术原理的研究，具体仿真步骤如下:

本实验基于Dynamips平台和思科unzip-c7200-js-mz.124-12.bin型号的IOS仿真了一个包含7台路由器的BGP/MPLS VPN网络（为了仿真的方便仅以一家公司为例），该网络设备间连接及接口信息如图6所示.

2 BGP/MPLS VPN技术

2.1MPLS技术

BGP（Border Gateway Protocol）即边界网关协议，因其良好的特性成为一种广泛应用在公网中的路由协议，既可于不同的自制系统（AS）域间传递路由信息即EBGP，也可以用于同一自制系统域内传递路由信息即iBGP.BGP基于TCP179端口建立BGP路由信息传输信道，在部署BGP时首先部署好内部网关协议（IGP，如OSPF等）使得本AS域内全网可通，方可建立BGP连接.在运行BGP的网络中会存在所谓的“路由黑洞”问题：如图2所示，域内运行了OPSF，R1和R2之间建立了iBGP连接，R2会学到61.1.1.0/24路由信息，当R2上访问61.1.1.0/24的数据包被路由到中间路由器RX时，因RX路由器没有61.1.1.0/24路由信息而造成路由失败的问题.一般可通过建立BGP全连接（Full mesh）或路由重分发或MPLS技术解决路由黑洞〔6〕.MPLS技术解决路由黑洞是因为其为BGP路由分发标签是根据更新源来分发的，而中间路由器由于本身运行了IGP（如OSPF）因此含有达到更新源的路由，所以也会为该路由分发标签，然后通过标签交换转发机制实现数据包转发.BGP协议的优势还在于其路由信息中可以携带很多属性，因此可以传递诸如VPNV4路由信息等，将私网路由信息从一个区域传递到另外一个区域.

  

图1 LSR MPLS转发过程Figure 1 LSR MPLS forward process

2.2 BGP技术

MPLS技术是一种结合了传统路由交换技术的新型数据包转发机制，既支持IP网络也支持ATM等非IP网络.MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、QoS和流量工程等重大问题时性能卓越.运行了MPLS的路由器称为标签转发路由器（LSR），LSR对每个路由条目形成一个标签并且分发给邻居，同时也会从邻居收到针对该路由条目的标签，从而形成标签转发表（LFIB）.当数据包进入边界LSR时首先会在该包的数据链路层和网络层之间插入标签（该标签是从邻居收到的）并转发给LSR，LSR则直接根据LFIB更新标签（如图1所示，将由自己发出的标签“17”改成自己收到的标签“16”）并转发.LSR MPLS转发过程如图1 MPLS转发过程所示〔4-5〕.

  

图2 BGP路由黑洞Figure 2 BGP routing black hole

2.3BGP/MPLS VPN技术

当PE收到对端内网发往本端内网的数据时，由于本端所连接企业内网网段地址可能相同，因此通过常规路由方式就不知道该数据应该发往哪个CE.MPLS可以为不同CE的相同私网路由分发标签，该标签也会传递到对端PE，连同为解决BGP路由黑洞引入的标签，形成了2层标签.外层标签是为BGP更新源路由分配的，里层标签为到达VPN的私网路由分配的.BGP/MPLS VPN数据转发如图5所示（以甲公司分支数据传递到甲公司总部为例）.

后一类综合类院校的旅游酒店管理专业实训基地大多数还停留在技能训练层面，少部分达到生产性层面，极少做到运营类层面。

  

图3 BGP/MPLS VPN网络框架Figure 3 Framework of BGP/MPLS VPN

VRF可以理解为用来隔离不同企事业单位私有路由信息的区域，PE需要为每一个VPN站点创建一个VRF，其通常包含与本站点相关的路由表、转发表、接口（子接口）、路由实例以及路由策略等信息.为区分不同企业可能使用了相同IP网段，引入了RD（Route Distinguisher），RD与IP一起构成了12字节的VPNv4地址，一起被携带在BGP Update报文中传给对端PE，对端PE收到后为了知道是发往具体CE又引入了RT（Route Target）.

RT同RD一样，但分为Import和Export，Export属性会随VPNv4路由重分发到BGP，然后通过BGP连接发送到对端，而Import属性则用于与收到对端发来的VPNv4路由中携带的Export属性匹配，匹配成功的则发往对应CE〔7〕.因此VPNv4路由信息除了含有目标网络地址等常规信息外还携带了RD和RT，实现了VPN站点间私网路由的准确收发.BGP/MPLS VPN私网路由转发如图4所示（以甲公司总部私网路由传到甲公司分支为例）.

综上所述，BGP/MPLS VPN技术中通过BGP可以以VPNv4的形式替企事业单位传递内网路由，从而实现了站点到站点的VPN功能，而通过MPLS技术解决了路由黑洞问题，因此是一个很好的VPN技术框架.BGP/MPLS VPN网络框架如图3所示，其中PE（Provider Edge）为运营商网络边界设备，CE（Custom Edge）为客户网边界设备，P（Provider）为运营商网络骨干设备.运营商一个PE可以连接多个企业的CE，因此PE既有运营商公网的路由也有不同企事业单位的私网路由，为实现安全隔离，引入了VRF（Virtual Routing Forwarding）.

  

图4 BGP/MPLS VPN私网路由转发过程Figure 4 Forwarding process of private routing in BGP/MPLS VPN

  

图5 BGP/MPLS VPN私网数据转发过程Figure 5 Forwarding process of data in BGP/MPLS VPN

3 BGP/MPLS VPN网络设计与虚拟仿真

3.1 BGP/MPLS VPN网络拓扑图及仿真

MPLS VPN是一种利用多协议标记交换（Multi-Protocol Label Switching，MPLS）技术的VPN，利用公网BGP路由协议很好的实现了站点到站点访问，也称BGP/MPLS VPN.

  

图6 BGP/MPLS VPN网络拓扑Figure 6 Topology of a BGP/MPLS VPN network

VNP是一种基于公网传输私网信息的技术，可实现远程访问和站点到站点间的访问.目前常见的VPN技术主要有：SSL VPN、IPSec VPN、GRE VPN及MPLS VPN等.SSL VPN即安全套接层（Secure Sockets Layer）VPN以HTTPS为基础的VPN技术，基于SSL协议提供的证书身份认证、数据加密和消息完整性验证机制，实现基于Web的远程安全访问内网.IPSec VPN是基于IPSec框架的VPN技术，IPSec即IP Security是一种实现IP层安全的技术框架，是由IETF设计的端到端IP通信的数据安全性的机制，可以实现远程访问也可实现站点到站点的访问，安全性比较好，一般由企业自己维护，技术要求较高，且不能传递对端私网路由〔2〕.GRE VPN（Generic Routing Encapsulation）即通用路由封装协议，通过将携带私网信息的网络层（如IP）数据报封装成一个新的网络层（如IP）数据包的数据部分，然后通过公网传输，通常结合IPSec VPN来传递私网路由信息实现站点到站点的访问〔3〕.

（2）配置路由协议，本实验中在R1至R5等5台路由器上配置OSPF，实现全网可达；

（1）编写仿真拓扑文件，按照图6所标识信息配置各路由器相应接口的IP地址，并且在R6、R4、R1、R2、R3、R5、R7上启用环回0分别设置IP为6.6.6.6/24、4.4.4.4/24、1.1.1.1/24、2.2.2.2/24、3.3.3.3/24、5.5.5.5/24、7.7.7.7/24以备测试用（步骤1-3可参考文献〔5〕）；

（3）配置MPLS：本实验中在R4的S1/1、R5的S1/1和S1/0、R2的S1/0和S1/1、R3的S1/1和S1/0、R5的S1/0端口配置MPLS；

（4）配置R6与R4、R7与R5实现企业与运营商网络连通，本实验中选择RIPv2路由协议，R6上6.6.6.0/网段模拟公司总部内网、R7上7.7.7.0/24网段模拟公司分支机构内网；

（5）在R4、R6上创建VRF，分别将接口s1/0、s1/1及私网路由（RIPv2）添加到该VRF并配置BGP（通过lo0口建立iBGP连接）；

2013年12月，永康市水资源监控能力建设项目——水务信息系统（一期）通过初验，第二期项目正在实施中。将水务自动监测雨量点48个、水位点30个等监控信息进行整合；年地下水取水量2万m3以上的在线监测率达到67%，环保部门对71家重点户实现了用水量和排污量的实时监控。

（6）在R4、R6上双向重分发RIPv2和BGP，完毕.

3.2BGP/MPLS VPN私网路由转发分析

经过（1）、（2）、（3）步骤后，查看R2上的LFIB表如图7所示，同样在R1、R3、R4上也可以看到关于4.4.4.4/32、5.5.5.5/32路由的标签信息.

  

图7 配置MPLS后R2的LFIB表Figure 7 LFIB table of R2 after configuring MPLS

经过（4）、（5）、（6）步骤创建VRF区域A并且将s1/0添加到该区域后，在R4上附加VRF信息后ping R6的64.1.1.6可通.原因是64.1.1.0/24网段的路由信息存在于VRF区域A，6.6.6.0/24路由信息也一样存在VRF区域A.同样在R5上的也存在类似情况.

把RIPv2重发布到BGP后，R4上会查看到关于6.6.6.0/24及64.1.1.0/24的VPNv4路由信息，在R5上也会看到该路由信息，如图8所示，说明R5上已学到对端的私网路由，并且下一跳均为更新源4.4.4.4.在R5上的VRF路由表中会看到标记为B的关于6.6.6.0/24及64.1.1.0/24的路由条目.并且R4上的LFIB表如图9所示，标签为24的数据包将弹出所有标签.进一步可查看到R4上MPLS针对6.6.6.0/24网段的VPNv4路由分配的（内层）标签为24，如图10所示.双向重分发RIPv2和BGP后，在R6、R7上均会看到对端的私网路由，以R7为例如图11所示.同样，在R4上重分发后R6上也会看到包含到达对端私网7.7.7.0/24及57.1.1.0/24的路由.表明BGP/MPLS VPN成功将私网路由传递到对端了.

  

图8 R4上重分发RIPv2到BGP后R5上的VPNv4路由表Figure 8 VPNv4 routing table on R5 after redistributing RIPv2 to BGP on R4

  

图9 路由重分发后R4上的LFIB表（部分）Figure 9 LFIB table（partition）on R4 after route redistribution

  

图10 路由重分发后R4上的VPNv4标签表Figure 10 The VPNv4 label on R4 after redistribution routing

  

图11 R5上重分发BGP到RIPv2后R7上的路由表（部分）Figure 11 The routing table（partition）on the R7 after RIPv2 is redistributed BGP on R5

3.3BGP/MPLS VPN私网数据通信分析

首先进行连通性测试分析：在R6上ping 7.7.7.7 source 6.6.6.6，测试结果如图12所示，表明由该公司总部内网到该公司分支内网VPN数据传输成功.

  

图12 R6上ping 7.7.7.7 source 6.6.6.6Figure 12 Ping 7.7.7.7 source 6.6.6.6 on R6

为了更近一步分析，分别在R2的s1/0口、R1的s1/1口及R4的s1/0口抓包.分析R2 s1/0口抓获的返回的数据包如图13所示，栈底标签为1为最里层标签即24，标签19则为外层标签，分别与图10、图7中的信息一致，印证了BGP/MPLS VPN中外层标签是为了将数据包传递到PE端，内层标签则是为了将数据传递到VPN站点内网.分析R1 s1/1口抓获的返回的数据包：R1相对于标签24表示的路由为倒数第二跳，为提高转发效率，在倒数第二跳弹出该标签，所以看到的数据包仅含内层标签，如图14所示，印证了文献6中关于倒数第二跳优化机制.分析R4 s1/0口抓获的数据包，为不含标签的纯IP报文，如图15所示.

  

图13 R2 s1/0口抓获的返回数据包Figure 13 Return packets captured on R2 s1/0

  

图14 R1 s1/1口抓获的返回数据包Figure 14 Return packets captured on R1 s1/1

  

图15 R4 s1/0抓获的返回数据包Figure 15 Return packets captured on R4 s1/0

通过以上仿真实验，抓获了BGP/MPLS VPN网络中的数据包并结合VRF路由表、VPNv4标签表、VPNv4路由表及LFIB表等信息分析了BGP/MPLS VPN技术中私网路由信息和私网数据信息的转发的详细过程，验证了BGP/MPLS VPN整个工作机制和原理.

4 结语

本文主要研究了BGP/MPLS VPN技术框架、原理，并基于Dynamips平台及思科unzip-c7200-js-mz.124-12.bin的IOS仿真设计并实现了一个BGP/MPLS VPN仿真实例网络.基于该网络通过对MPLS转发表、VRF路由表等相关信息和抓获的数据包的分析，清晰验证了BGP/MPLS VPN技术原理，也为进一步研究MPLS流量工程的奠定了基础.并且该仿真设计方案可直接移植到实际网络中，指导企事业部署BGP/MPLS VPN，有一定应用价值.

此事至少可反映出两个信息：其一，人们对假话早已习惯成自然，说点假话在当今实在算不上什么事。其二，官僚主义和形式主义的极致就是弄虚作假。党的十八大后，官员们都知道腐败不能再搞了，但弄虚作假的惯性仍很大。可见，从某种角度上说，形式主义、官僚主义比腐败还要难反。

参考文献

〔1〕陈柱，王烁.MPLS VPN与IPSec VPN的优劣对比〔J〕.移动通信，2016，40（12）:24-28.

〔2〕董旭源，常鹏，王宝亮，等.校园网MPLS VPN系统的设计研究〔J〕.计算机应用与软件，2017，34（10）:209-213.

〔3〕宋元成，李满坡，杨宁，等.BGP/MPLS VPN在OMNET++中的仿真设计与实现〔J〕.计算机应用，2013，33（S2）:25-29.

〔4〕王广泽，汪鹏，罗智勇，等.一种MPLS VPN的分散校区图书馆教育网组建模型〔J〕.哈尔滨理工大学学报，2017，22（03）:31-35.

〔5〕熊建辉.MPLS转发机制的研究与仿真实现〔J〕.萍乡学院学报，2017，34（6）:77-80.

〔6〕梁海英，罗琳，于晓鹏.基于BGP/MPLS VPN技术的跨域校园网仿真分析〔J〕.吉林大学学报（信息科学版），2013，31（02）:177-182.

〔7〕卢众宁，苏厚勤.MPLS-VPN在企业ERP实施过程中的应用研究〔J〕.计算机应用与软件，2012，29（02）:190-191，242.