1、浅析 MPLS VPN 在通信企业 DCN 网络升级中的应用论文关键词:多协议标签交换 虚拟专用网 网络改造 安全隔离 论文摘要:MPLS 技术提供了类似于虚电路的标签交换业务,可以实现底层标签自动的分配,在业务的提供上比传统的 VPN技术更廉价,更快速和安全的数据传输。同时 MPLS VPN可以充分利用 MPLS技术的一些先进特性,提供流量工程能力、服务质量保证等。DCN 网络作为公司内部各营业、办公、网管、运维等各信息系统承载的网络平台,在应用系统整合的大趋势下,对网络健壮性、安全性及可控制管理性都提出了更高的要求。MPLS VPN 正是在这样的环境背景下,成为 DCN网络改造的必然。随着
2、公司的不断发展,DCN 网上承载的业务系统不断增多,除“97”系统外,还有如网管集中监控系统、电源监控系统、客服系统、OA 等及融合后 3G网管系统等,有些应用系统对安全性要求较高比如 OA和财务,有些系统对带宽和网络质量(QoS)要求较高。现有的网络不能满足“分而治之”的企业运作管理需要。由于信息系统集中整合的需要,实施此次 MPLS升级改造。通过本次改造工程的实施,优化网络结构,提高网络的安全性、可靠性及整个 DCN网的服务质量。由一张实体物理网实现虚拟多业务网,采用 MPLS VPN隔离各类业务系统,骨干以现有 DCN骨干网为基础构建,接入网采用灵活的方式到终端,满足企业内部应用的承载和
3、安全需求。最终,DCN 网络中的终端与主机须划入至各自所属的 MPLS VPN域中,实现各个 VPN域之间的通信隔离,同时在各个 VPN间建立数据通道,部署防火墙对经过数据通道的流量进行访问控制,实现对不同 VPN域的通信数据的有效安全控制。 1 MPLS VPN 技术简介 MPLS VPN是由若干不同的 site组成的集合,一个 site可以属于不同的 VPN,属于同一 VPN的 site具有 IP连通性,不同 VPN间可以有控制地实现互访与隔离。 MPLS VPN网络主要由 CE、PE 和 P等 3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供
4、商网络。设备与用户的 CE直接相连,负责 VPN业务接入,处理 VPN-IPv4路由,是 MPLS三层VPN的主要实现者:P(Provider Router,骨干网核心路由器)负责快速转发数据,不与 CE直接相连。在整个 MPLS VPN中,P、PE 设备需要支持MPLS的基本功能,CE 设备不必支持 MPLS。 PE 是 MPLS VPN网络的关键设备,根据 PE路由器是否参与客户的路由,MPLS VPN分成 Layer3 MPLS VPN和 Layer2 MPLS VPN。其中 Layer3 MPLS VPN遵循 RFC 2547BIS标准,使用 MBGP在 PE路由器之间分发路由信息,使
5、用 MPLS技术在 VPN站点之间传送数据,因而又称为 BGP/MPLS VPN。在 MPLS VPN网络中,对 VPN的所有处理都发生在 PE路由器上,为此,PE 路由器上起用了 VPNv4地址族,引入了 RD(Route Distinguisher)和RT(Route Target)等属性。RD 具有全局惟一性,通过将 8byte的 RD作为IPv4地址前缀的扩展,使不惟一的 IPv4地址转化为惟一的 VPNv4地址。VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RT 使用了 BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个 RT只能被一个 V
6、PN使用,它分成 Import RT和 Export RT,分别用于路由信息的导入和导出策略。在 PE路由器上针对每个 site都创建了一个虚拟路由转发表 VRF(VPN Routing Forwarding),VRF为每个 site维护逻辑上分离的路由表,每个 VRF都有 Import RT和Export RT属性。通过对 Import RT和 Export RT的合理配置,运营商可以构建不同拓扑类型的 VPN,如重叠式 VPN和 Hub-and-spoke VPN。 整个 MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和 VPN路由信息的分发过程,数据面则定义了
7、VPN数据的转发过程。在控制层面,P 路由器并不参与 VPN路由信息的交互,客户路由器是通过 CE和 PE路由器之间、PE 路由器之间的路由协议交互知道属于某个 VPN的网络拓扑信息。除了路由协议外,在控制层面工作的还有 LDP,它在整个 MPLS网络中进行标签的分发,形成数据转发的逻辑通道 LSP。在数据转发层面,MPLS VPN网络中传输的 VPN业务数据采用外标签(又称隧道标签)和内标签(又称 VPN标签)两层标签栈结构。当一个 VPN业务分组由 CE路由器发给入口 PE路由器后,PE 路由器查找该子接口对应的VRF表,从 VRF表中得到 VPN标签、初始外层标签以及到出口 PE路由器的
8、输出接口。当 VPN分组被打上两层标签之后,就通过 PE输出接口转发出去,然后在 MPLS骨干网中沿着 LSP被逐级转发。在出口 PE之前的最后一个 P路由器上,外层标签被弹出,P 路由器将只含有 VPN标签的分组转发给出口 PE路由器。出口 PE路由器根据内层标签查找对应的输出接口,在弹出 VPN标签后通过该接口将 VPN分组发送给正确的 CE路由器,从而实现了整个数据转发过程。 2 骨干迁移的三个关键问题 由于 DCN网络建设时间比较久,网络结构比较复杂,如何从全部使用 IP环境的 DCN过渡到全部使用 MPLS VPN环境的 DCN成了此次网络升级改造的重点。网络改造期间,网络的平稳运行
9、无论对于市场还是对于业务系统都是至关重要的,由于 MPLS VPN技术是对全省 DCN网络传输技术的彻底改变,如何在改变网络协议结构的同时让网络仍然健康地运行成为实现 MPLS VPN改造的首要问题。 过渡期间最应该考虑的关键三个问题是: 1)在 IP环境下,各域间路由的互通问题。实现方法是先将组成 DCN的各个 IP网络单元以地市为单位逐个改造为 MPLS VPN 网络单元,然后逐个与省公司建立 MP BGP邻居实现全网 MPLS VPN化。 2)受控互访的实现,即做到市公司在同一 VPN区域内部互相之间不可见;市公司在同一 VPN区域内部可以访问省公司;市公司访问处于不同 VPN区域的省公
10、司业务。方案设计中采用 HUB-SPOKE方式和对 PE、CE层面实施控制来实现。 3)VPN 划分与 IP地址整理,DCN 网络建设前期并未考虑各个应用系统的 MPLS VPN划分,因此大多系统混杂在一起,或者接在同一台设备,或者干脆就在同一个网段中,同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类,地址混用、设备支持能力不足以及第二地址问题。 3 DCN 网络改造升级的设计 DCN 网络改造解决方案是融合 MPLS、VPN 和 QOS技术的统一解决方案。方案采用 MPLS作为承载数据传输的新协议,使用 EIGRP作为主干 IGP协议,MPLS VPN路由使用 MP-IB
11、GP以及路由反射器进行域内传送,省公司采用背对背 VRF方式与集团对接。 MPLS 需要建立在 IGP路由的基础上,IGP 协议对 MPLS的主要作用就是保证 MPLS邻居之间的可达性和 MBGP邻居之间的可达性,省骨干网使用的 EIGRP协议,地市网络根据自己网络环境使用 EIGRP或 OSPF协议。所有协议在省网和市网之间重分发。整个网络 IGP协议互通。根据整体方案,各 PE-CE路由协议保持原 OSPF动态路由协议,在 PE设备将 OSPF路由重分发至 MP-BGP。 各业务 VPN互访通过防火墙来实现。由于目前将 DCN全网业务基本划分为 MS、BS、OS 和 OTHER这四个大的系
12、统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠 VPN的方式,一方面增加了维护的复杂度,另一方面违背了建设 MPLS VPN的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠 VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过 MPLS链路上连互访。通过在防火墙上配置严格的安全策略,对各 VPN之间流量进行过滤,这样隔离的各 MPLS VPN之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。 综合前面所述,主要采用
13、防火墙和重叠 VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过 MPLS链路上连互访。 将各业务 VPN为 HUBSPOKE 模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。 在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同 VPN域中。在防火墙上根据各 VPN业务的访问需求作相应的访问控制,各 VPN业务之间通过防火墙进行访问。 4 MPLS VPN 对 DCN网络的重要意义 由于应用系统整合方向是集团公司集中和省公司集中。集团
14、、省集中应用系统通过 DCN网络进行信息交互,而应用系统整合除功能整合外,其物理整合和集中的形势则表现为集中的企业数据中心,MPLS 升级的重要意义体现在: 1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。 2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要 DCN网络进行安全隔离的同时,支持系统间受控
15、互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。 3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,VPN 颗粒将趋向细化,VPN 拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及 VPN支持能力是网络规划建设中必需着重考虑的问题。 4)可靠性要求:DCN 网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对 DCN网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关
16、键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。 5)服务质量要求:DCN 网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。 在保证 DCN网络安全运行的前提下,有步骤、分阶段实施 MPLS改造,并按照规划设计应用 RT策略实现各系统互访受控与隔离。目前,改造后的 DCN网络运行状况良好。 在实现 MPLS VPN后,受控互访则变得相对轻松,仅仅需要在各个MPLS VP
17、N路由环境之间的数据通道上部署防火墙即可对各 VPN间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用 MPLS VPN隔离各类业务系统,骨干以现有 DCN骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的 VPN业务接入机制。 5 结束语 MPLS VPN网络改造的实现,极大的提高的 DCN网络的安全性,为前台营业、办公 OA、运维网络监控等各项不同的业务网络应用提供可靠地保证。 参考文献: 1 范亚芹,张丽翠,宋维刚.可提供 MPLS VPN网络安全性保障的解决方案J.吉林大学学报:信息科学版,2005(03). 2 陈东胜.电信 DCN/OA网上 MPLS VPN应用探讨J.广东通信技术,2002(07). 3 胡毅.虚拟数据专网(MPLS-VPN)技术及其在企业通信信息一体化建设中的应用A.黑龙江省通信学会学术年会论文集C,2005.
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。