1、BGP MPLS/VPN技术在吉林省 DCN 网络改造中的设计与实现 摘要:通过分析 MPLS VPN 的技术优势,可以看出 MPLS VPN 在技术成熟度、部署方便、扩展性、兼容性等方面都满足 DCN 网的组网需求, MPLS VPN是针对我们的实际需求的一种最佳解决方案。 下载 关键词: MPLS VPN 路由器 一、 MPLS VPN 技术优势 MPLS VPN 技术优势: ( 1)安全性高:采用 MPLS 作为通道机制实现透明报文传输, MPLS 的标签交换路径( LSP)具有与 FR 和 ATMVCC 相类似的安全性;另外,由于CNCnet 的 MPLS 实现对用户透明,用户还可以采
2、用它已有的手段,如设置防火墙,采用数据安全加密等方法,进一步提高安全性。 ( 2)强大的扩展性:包括两点,网络中可以容纳的 VPN 数目很大;同一VPN 中的用户很容易扩充。 ( 3)业务的融合:提供了数据、语音和视频相融合的能力。 ( 4) 灵活的控制策略:可以制定特殊的控制策略,满足不同用户的特殊要求,实现增值服务。 ( 5)强大的管理功能:采用集中管理的方式,业务配置与调度统一平台。减轻了用户的负担。 ( 6)服务级别协议:目前有差别服务、流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证和更高的服务质量保证。 ( 7)为用户节省费用: 线路费:价格比租用专线节约。 设备费:用
3、户只须配备 CE 设备,不需要专门的 VPN 网关。 融合业务:通过融合语音数据业务来节约费用。 管理费用:用户不必进行专门管理维护。 人员费用:不必要雇用大量的专业技术人员。 二、组网需求分析 在吉林省 DCN 组网过程中,我们参考了目前几种成熟的组网方案,经过各方面的对比,最终选择了 MPLS VPN 的方式来组网。 以下是三种不同的 VPN 组网方式, IPSEC VPN 需要在用户端安装客户端软件,当用户的 VPN 策略稍微有所改变时,运行和长期维护两个方面都需要有大量的 IT 支持,这种模型不太适合在省企业网内部大范围部署;SSLVPN 比较适合用于移动用户的远程接入 , SSL V
4、PN 的移动用户使用标准的浏览器,无需安装客户端程序,即可通过 SSL VPN 隧道接入内部网。 SSL VPN 是一种基于应用层的 VPN,它避开了部署及管理必要客户软件的复杂性各项需求,在 Web 的易用性和安全性方面架起了一座桥梁。但对于一个企业来说不仅提供基于 Web 的应用,也同时提供大量不基于 Web 的应用,如OA、财务、 ERP 等应用。在现阶段, SSL VPN 只能访问基于 Web 的应用,所以这种模型也不适合在 DCN 内部署; MPLS VPN 在技术成熟度、部署方便,扩展性、兼容性等方面都满足 DCN网的组网需求,它是针对我们的实际需求的一种最佳解决方案。 三、 MP
5、LS/VPN 应用分析 虚拟专用网( VPN)为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。 1.MPLS 网络结构 MPLS 网络的基本构成单元是标签交换路由器 LSR( Lable Switch Router)。由 LSR 构成的网络叫做 MPLS 域,位于区域边缘和其他用户网络相连的 LSR 称为边缘标签交换路由器( LER, Labeled Edge Router),位于区域内部的L
6、SR 则称为核心标签交换路由器。核心 LSR 可以是支持 MPLS 的路由器,也可以是由 ATM 交换机等升级而成的 ATM-LSR。被标签的分组沿着由一系列LSR 构成的标签交换路径 LSP( Label Switched Path)传送,其中入口 LSR 叫 Ingress,出口 LSR 叫 Egress。 2.基于 MP-iBGP 协议的 MPLS VPN 的实现 BGP MPLS VPN,主要实现原理是使用 BGP 在运营商骨干网发布 VPN 路由信息,用 MPLS 来转发 VPN 业务流。 RFC2547 定义了允许服务提供商利用其IP 骨干网络为用户提供 VPN 服务的一种机制。
7、PE1 路由器根据数据报文到达的接口,以及目的地址信息在查找相应VPN-instance 转发表,匹配后将报文转发出去,同时打上两个标签 1001、22,其中 22 为外层标签, 1001 为内层标签。 报文通过 MPLS 网络传送到 PE2 中,报文从 PE2 的前一跳转发出来时已经剥离外层标签, PE2 收到的报文是仅包含内层标签的 MPLS 报文, PE2 通过内标签和目的地址信息查找 VPN-instance 表项,并确定报文发送的出接口,从而到达 CE2。 CE2 接收到 IP 报文后,根据正常的 IP 转发过程将报文传送到目的主机,数据报文传送过程结束。 四、 DCN 网 MPLS
8、 VPN 的设计与实现 1.DCN 网中 MPLS VPN 方案设计 方案设计图 2.DCN 骨干域内 VPN 划分原则 省运营支撑系统中建立六 套新业务系统,分别为计费账务系统、综合结算系统、联机采集系统、综合服务提供平台、资源管理系统、交换网网管系统。 各系统的数据访问模型为:在各地市数据需要相互隔离,但是必须和省中心相应业务互访。省中心 6套业务系统之间需要互访,同时省中心 6套业务还要同原 DCN 网上承载的业务和国家级 DCN 网络互访。 经过以上分析,划分 VPN 的结果为:各地市划分 5 个 VPN,分别为计费账务系统、综合结算系统、综合服务提供平台、资源管理系统、交换网网管系统
9、;省中心划分一个 VPN,该 VPN 在 import VPN 路由的时候,将同时导入其他 5 个 VPN 的路由。各地市在导入路由时,可以使用 route-filter 导入 X 里相应的网段;其他业务都划分为非 VPN 业务。需要将省中心 VPN 里的路由导入近 inet.0 路由表, 来实现非 VPN 业务和省中心的互访。 3.DCN 网中 LSP 的建立 LSP 的建立 ,在转发数据流时,可以用 GRE Tunnel,也可以用 MPLS LSP。由于路由设备上没有支持 GRE的 Tunnel PIC硬件卡,我们只考虑 LSP。为了在骨干网上转发 VPN流量,必须在 学到路由的 PE路由
10、器和广播路由的 PE路由器之间建立 LSP。 如果希望为 LSP 分配带宽或使用流量工程为 LSP 选择一条明确的路径,那么则使用 RSVP。基于 RSVP 的 LSP 支持特定的服务质量 (QoS)保障和 /或特定的流量工程目标。基于 RSVP的 LSP的优先权要高于基于 LDP的 LSP。如果基于 LDP 的 LSP 和基于 RSVP 的 LSP 都位于一对 PE 路由器之间,入口标记交换路由器 (LSR)选择基于 RSVP 的 LSP,而不是基于 LDP 的 LSP。我们知道,MPLS LSP 是单向的点对点的路径,每两点间通信要建立两条 LSP,一去一回,才能完成双向通信。如果 DCN
11、里 14个点都作为 PE,那么需要建立和维护 240多条 LSP,这将使维护人员不堪重负。从这里出发,我们考虑两种协议带来的优缺点。 LDP优点:如果选择使用 LDP,那么将在骨干中建立一个全网状尽力而为的 LSP,以支持 PE 到 PE 全连接能力。建立时只需要在相应的端口 Enable LDP,它能够自动建立到所有 PE 的 LSP,开通简单易行。 LDP缺点:对 LSP无法进行控制,它根据 IGP的最短路径建立 LSP,不支持特定的服务质量 (QoS)保障和 /或特定的流量工程 。 RSVP 优点:可以对 LSP 进行控制,支持支持特定的服务质量 (QoS)保障和 /或特定的流量工程,均
12、衡网络上流量负载。有更好的路径失败保护,可以快速重路由。 PSVP 缺点:使用 RSVP,那么将需要手工在骨干网中建立一个全网状的LSP,也就是手工配置多条 LSP,配置复杂。 吉林省 DCN 网络分为省网和各地市 DCN 两个层面,根据省中心与各分公司数据访问的模型,各分公司与省中心互访,各分公司间不进行数据互访,所以在省中心与各分公司间使用 RSVP 协议手工建立 LSP。 参考文献: Jim GuichardFrancois LeFaucheurJean-Philippe Vasseur 著 陈武译。MPLS 网络设计权威指南 M。北京:人民邮电出版社, 2007.1 Luc De Ghein 著陈麒帆译。 MPLS 技术构架 M .北京:人民邮电出版社,2008.1
