關(guān)鍵詞：多協(xié)議標簽交換　虛擬專(zhuān)用網(wǎng)　網(wǎng)絡(luò )改造　安全隔離

　　摘要：MPLS技術(shù)提供了類(lèi)似于虛電路的標簽交換業(yè)務(wù)，可以實(shí)現底層標簽自動(dòng)的分配，在業(yè)務(wù)的提供上比傳統的VPN技術(shù)更廉價(jià)，更快速和安全的數據傳輸。同時(shí)MPLS VPN可以充分利用MPLS技術(shù)的一些先進(jìn)特性，提供流量工程能力、服務(wù)質(zhì)量保證等。DCN網(wǎng)絡(luò )作為公司內部各營(yíng)業(yè)、辦公、網(wǎng)管、運維等各信息系統承載的網(wǎng)絡(luò )平臺，在應用系統整合的大趨勢下，對網(wǎng)絡(luò )健壯性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在這樣的環(huán)境背景下，成為DCN網(wǎng)絡(luò )改造的必然。

　　隨著(zhù)公司的不斷發(fā)展，DCN網(wǎng)上承載的業(yè)務(wù)系統不斷增多，除“97”系統外，還有如網(wǎng)管集中監控系統、電源監控系統、客服系統、OA等及融合后3G網(wǎng)管系統等，有些應用系統對安全性要求較高比如OA和財務(wù)，有些系統對帶寬和網(wǎng)絡(luò )質(zhì)量（QoS）要求較高�，F有的網(wǎng)絡(luò )不能滿(mǎn)足“分而治之”的企業(yè)運作管理需要。由于信息系統集中整合的需要，實(shí)施此次MPLS升級改造。通過(guò)本次改造工程的實(shí)施，優(yōu)化網(wǎng)絡(luò )結構，提高網(wǎng)絡(luò )的安全性、可靠性及整個(gè)DCN網(wǎng)的服務(wù)質(zhì)量。由一張實(shí)體物理網(wǎng)實(shí)現虛擬多業(yè)務(wù)網(wǎng)，采用MPLS VPN隔離各類(lèi)業(yè)務(wù)系統，骨干以現有DCN骨干網(wǎng)為基礎構建，接入網(wǎng)采用靈活的方式到終端，滿(mǎn)足企業(yè)內部應用的承載和安全需求。最終，DCN網(wǎng)絡(luò )中的終端與主機須劃入至各自所屬的MPLS VPN域中，實(shí)現各個(gè)VPN域之間的通信隔離，同時(shí)在各個(gè)VPN間建立數據通道，部署防火墻對經(jīng)過(guò)數據通道的流量進(jìn)行訪(fǎng)問(wèn)控制，實(shí)現對不同VPN域的通信數據的有效安全控制。

　　1 MPLS VPN技術(shù)簡(jiǎn)介

　　MPLS VPN是由若干不同的site組成的集合，一個(gè)site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實(shí)現互訪(fǎng)與隔離。

　　MPLS VPN網(wǎng)絡(luò )主要由CE．PE和P等3部分組成：CE（Custom Edge Router，用戶(hù)網(wǎng)絡(luò )邊緣路由器）設備直接與服務(wù)提供商網(wǎng)絡(luò )。設備與用戶(hù)的CE直接相連，負責VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實(shí)現者：P（Provider Router，骨干網(wǎng)核心路由器）負責快速轉發(fā)數據，不與CE直接相連。在整個(gè)MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS. PE是MPLS VPN網(wǎng)絡(luò )的關(guān)鍵設備，根據PE路由器是否參與客戶(hù)的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN.其中Layer3 MPLS VPN遵循RFC 2547BIS標準，使用MBGP在PE路由器之間分發(fā)路由信息，使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數據，因而又稱(chēng)為BGP/MPLS VPN.在MPLS VPN網(wǎng)絡(luò )中，對VPN的所有處理都發(fā)生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD（Route Distinguisher）和RT（Route Target）等屬性。RD具有全局惟一性，通過(guò)將8byte的RD作為IPv4地址前綴的擴展，使不惟一的IPv4地址轉化為惟一的VPNv4地址。VPNv4地址對客戶(hù)端設備來(lái)說(shuō)是不可見(jiàn)的，它只用于骨干網(wǎng)絡(luò )上路由信息的分發(fā)。RT使用了BGP中擴展團體屬性，用于路由信息的分發(fā)，具有全局惟一性，同一個(gè)RT只能被一個(gè)VPN使用，它分成Import RT和Export RT，分別用于路由信息的導入和導出策略。在PE路由器上針對每個(gè)site都創(chuàng )建了一個(gè)虛擬路由轉發(fā)表VRF（VPN Routing & Forwarding），VRF為每個(gè)site維護邏輯上分離的路由表，每個(gè)VRF都有Import RT和Export RT屬性。通過(guò)對Import RT和Export RT的合理配置，運營(yíng)商可以構建不同拓撲類(lèi)型的VPN，如重疊式VPN和Hub-and-spoke VPN.整個(gè)MPLS VPN體系結構可以分成控制面和數據面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過(guò)程，數據面則定義了VPN數據的轉發(fā)過(guò)程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶(hù)路由器是通過(guò)CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個(gè)VPN的網(wǎng)絡(luò )拓撲信息。除了路由協(xié)議外，在控制層面工作的還有LDP，它在整個(gè)MPLS網(wǎng)絡(luò )中進(jìn)行標簽的分發(fā)，形成數據轉發(fā)的邏輯通道LSP.在數據轉發(fā)層面，MPLS VPN網(wǎng)絡(luò )中傳輸的VPN業(yè)務(wù)數據采用外標簽（又稱(chēng)隧道標簽）和內標簽（又稱(chēng)VPN標簽）兩層標簽棧結構。當一個(gè)VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過(guò)PE輸出接口轉發(fā)出去，然后在MPLS骨干網(wǎng)中沿著(zhù)LSP被逐級轉發(fā)。在出口PE之前的最后一個(gè)P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉發(fā)給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過(guò)該接口將VPN分組發(fā)送給正確的CE路由器，從而實(shí)現了整個(gè)數據轉發(fā)過(guò)程。

　　2 骨干遷移的三個(gè)關(guān)鍵問(wèn)題

　　由于DCN網(wǎng)絡(luò )建設時(shí)間比較久，網(wǎng)絡(luò )結構比較復雜，如何從全部使用IP環(huán)境的DCN過(guò)渡到全部使用MPLS VPN環(huán)境的DCN成了此次網(wǎng)絡(luò )升級改造的重點(diǎn)。網(wǎng)絡(luò )改造期間，網(wǎng)絡(luò )的平穩運行無(wú)論對于市場(chǎng)還是對于業(yè)務(wù)系統都是至關(guān)重要的，由于MPLS VPN技術(shù)是對全省DCN網(wǎng)絡(luò )傳輸技術(shù)的徹底改變，如何在改變網(wǎng)絡(luò )協(xié)議結構的同時(shí)讓網(wǎng)絡(luò )仍然健康地運行成為實(shí)現MPLS VPN改造的首要問(wèn)題。

　　過(guò)渡期間最應該考慮的關(guān)鍵三個(gè)問(wèn)題是：

　　1）在IP環(huán)境下，各域間路由的互通問(wèn)題。實(shí)現方法是先將組成DCN的各個(gè)IP網(wǎng)絡(luò )單元以地市為單位逐個(gè)改造為MPLS VPN 網(wǎng)絡(luò )單元，然后逐個(gè)與省公司建立MP BGP鄰居實(shí)現全網(wǎng)MPLS VPN化。

　　2）受控互訪(fǎng)的實(shí)現，即做到市公司在同一VPN區域內部互相之間不可見(jiàn)；市公司在同一VPN區域內部可以訪(fǎng)問(wèn)省公司；市公司訪(fǎng)問(wèn)處于不同VPN區域的省公司業(yè)務(wù)。方案設計中采用HUB-SPOKE方式和對PE．CE層面實(shí)施控制來(lái)實(shí)現。

　　3）VPN劃分與IP地址整理，DCN網(wǎng)絡(luò )建設前期并未考慮各個(gè)應用系統的MPLS VPN劃分，因此大多系統混雜在一起，或者接在同一臺設備，或者干脆就在同一個(gè)網(wǎng)段中，同時(shí)還存在生產(chǎn)與管理地址段混用的問(wèn)題。具體系統混接的問(wèn)題可以分為三類(lèi)，地址混用、設備支持能力不足以及第二地址問(wèn)題。

　　3 DCN網(wǎng)絡(luò )改造升級的設計

　　DCN網(wǎng)絡(luò )改造解決方案是融合MPLS、VPN和QOS技術(shù)的統一解決方案。方案采用MPLS作為承載數據傳輸的新協(xié)議，使用EIGRP作為主干IGP協(xié)議，MPLS VPN路由使用MP-IBGP以及路由反射器進(jìn)行域內傳送，省公司采用背對背VRF方式與集團對接。

　　MPLS需要建立在IGP路由的基礎上，IGP協(xié)議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性，省骨干網(wǎng)使用的EIGRP協(xié)議，地市網(wǎng)絡(luò )根據自己網(wǎng)絡(luò )環(huán)境使用EIGRP或OSPF協(xié)議。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)。整個(gè)網(wǎng)絡(luò )IGP協(xié)議互通。根據整體方案，各PE-CE路由協(xié)議保持原OSPF動(dòng)態(tài)路由協(xié)議，在PE設備將OSPF路由重分發(fā)至MP-BGP.

　　各業(yè)務(wù)VPN互訪(fǎng)通過(guò)防火墻來(lái)實(shí)現。由于目前將DCN全網(wǎng)業(yè)務(wù)基本劃分為MS、BS、OS和OTHER這四個(gè)大的系統，跨系統流量如何導通成為一個(gè)較為重要的問(wèn)題。如果全部使用重疊VPN的方式，一方面增加了維護的復雜度，另一方面違背了建設MPLS VPN的根本目標，重新給各業(yè)務(wù)系統帶來(lái)了安全隱患。采用防火墻和重疊VPN配合方式實(shí)現跨域互訪(fǎng)，省公司不同域的終端和主機通過(guò)省公司防火墻實(shí)現跨域互訪(fǎng)，地市公司終端或主機需要跨域訪(fǎng)問(wèn)省公司系統，通過(guò)地市防火墻連通到不同的域中，然后通過(guò)MPLS鏈路上連互訪(fǎng)。通過(guò)在防火墻上配置嚴格的安全策略，對各VPN之間流量進(jìn)行過(guò)濾，這樣隔離的各MPLS VPN之間可以安全的進(jìn)行數據通信，這樣即解決了各業(yè)務(wù)系統之間的互通問(wèn)題，也保證了各業(yè)務(wù)系統的安全。

　　綜合前面所述，主要采用防火墻和重疊VPN配合方式實(shí)現跨域互訪(fǎng)，省公司不同域的終端和主機通過(guò)省公司防火墻實(shí)現跨域互訪(fǎng)，地市公司終端或主機需要跨域訪(fǎng)問(wèn)省公司系統，通過(guò)地市防火墻連通到不同的域中，然后通過(guò)MPLS鏈路上連互訪(fǎng)。

　　將各業(yè)務(wù)VPN為HUB－SPOKE模式，即各地市業(yè)務(wù)系統僅可與省中心進(jìn)行通信，相互之間不可見(jiàn)，不能進(jìn)行相互訪(fǎng)問(wèn)。

　　在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據各VPN業(yè)務(wù)的訪(fǎng)問(wèn)需求作相應的訪(fǎng)問(wèn)控制，各VPN業(yè)務(wù)之間通過(guò)防火墻進(jìn)行訪(fǎng)問(wèn)。

　　4 MPLS VPN對DCN網(wǎng)絡(luò )的重要意義

　　由于應用系統整合方向是集團公司集中和省公司集中。集團、省集中應用系統通過(guò)DCN網(wǎng)絡(luò )進(jìn)行信息交互，而應用系統整合除功能整合外，其物理整合和集中的形勢則表現為集中的企業(yè)數據中心，MPLS升級的重要意義體現在：

　　1）全網(wǎng)絡(luò )覆蓋：應用系統整合后，系統集中統一部署服務(wù)器，滿(mǎn)足地市、縣客戶(hù)端遠程訪(fǎng)問(wèn)省級應用系統服務(wù)器，集團公司級應用系統和省級應用系統之間有信息交互的應用需求。

　　2）系統受控安全互訪(fǎng)需求：企業(yè)運作需要，不同應用系統間又有互訪(fǎng)的要求。例如：營(yíng)帳綜合客戶(hù)端，處于辦公網(wǎng)，兼顧辦公和營(yíng)帳工作，需訪(fǎng)問(wèn)營(yíng)帳系統；網(wǎng)管綜合客戶(hù)端，兼顧網(wǎng)管工作和辦公管理、資源管理、工單、故障單工作，經(jīng)常在兩網(wǎng)間切換；因此需要DCN網(wǎng)絡(luò )進(jìn)行安全隔離的同時(shí)，支持系統間受控互訪(fǎng)，通過(guò)用戶(hù)身份識別、訪(fǎng)問(wèn)授權、隧道加密、安全策略部署等技術(shù)保證被訪(fǎng)系統的安全。

　　3）可用性要求：隨著(zhù)信息化建設的深入，系統功能將逐步得到完善，傳送的信息內容將日趨豐富，VPN顆粒將趨向細化，VPN拓撲將日益復雜，對現有企業(yè)網(wǎng)絡(luò )的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網(wǎng)絡(luò )規劃建設中必需著(zhù)重考慮的問(wèn)題。

　　4）可靠性要求：DCN網(wǎng)絡(luò )承載著(zhù)企業(yè)運作所需的重要應用和數據，在整個(gè)信息化系統中起到中樞神經(jīng)的作用，網(wǎng)絡(luò )故障將影響企業(yè)正常運作。信息系統整合將導致地域性和功能性集中化程度的提高，從而增加了對DCN網(wǎng)絡(luò )的依賴(lài)。必需充分考慮網(wǎng)絡(luò )高可靠性，避免網(wǎng)絡(luò )設備和鏈路的單點(diǎn)故障，保證關(guān)鍵應用系統的訪(fǎng)問(wèn)和接入，保證作為應用系統核心的企業(yè)數據中心的高效可靠的連接。

　　5）服務(wù)質(zhì)量要求：DCN網(wǎng)絡(luò )是在同一物理網(wǎng)絡(luò )上承載多個(gè)相對獨立的業(yè)務(wù)系統，各業(yè)務(wù)系統為不同的職能部門(mén)開(kāi)展業(yè)務(wù)提供服務(wù)，其數據流程和管理方式都存在差異，不同業(yè)務(wù)系統，需要網(wǎng)絡(luò )平臺提供差別服務(wù)，如對帶寬、實(shí)時(shí)性有不同的要求，網(wǎng)絡(luò )必須具備帶寬管理、資源預留、服務(wù)等級設置的能力。

　　在保證DCN網(wǎng)絡(luò )安全運行的前提下，有步驟、分階段實(shí)施MPLS改造，并按照規劃設計應用RT策略實(shí)現各系統互訪(fǎng)受控與隔離。目前，改造后的DCN網(wǎng)絡(luò )運行狀況良好。

　　在實(shí)現MPLS VPN后，受控互訪(fǎng)則變得相對輕松，僅僅需要在各個(gè)MPLS VPN路由環(huán)境之間的數據通道上部署防火墻即可對各VPN間也就是各應用系統間的訪(fǎng)問(wèn)進(jìn)行控制。隨著(zhù)受控互訪(fǎng)的實(shí)現，全覆蓋、可用、可靠、優(yōu)化傳輸以及可管理等周邊需求的實(shí)現也變得比較容易。一張實(shí)體物理網(wǎng)、虛擬多業(yè)務(wù)網(wǎng)，采用MPLS VPN隔離各類(lèi)業(yè)務(wù)系統，骨干以現有DCN骨干網(wǎng)為基礎構建，接入網(wǎng)采用靈活的方式到終端。獨立統一的一張實(shí)體物理網(wǎng)，滿(mǎn)足企業(yè)內部應用的承載需求。虛擬多業(yè)務(wù)網(wǎng)，統一的業(yè)務(wù)隔離、受控互訪(fǎng)機制和統一的VPN業(yè)務(wù)接入機制。

　　5 結束語(yǔ)

　　MPLS VPN網(wǎng)絡(luò )改造的實(shí)現，極大的提高的DCN網(wǎng)絡(luò )的安全性，為前臺營(yíng)業(yè)、辦公OA．運維網(wǎng)絡(luò )監控等各項不同的業(yè)務(wù)網(wǎng)絡(luò )應用提供可靠地保證。

　　參考文獻：

　　[1] 范亞芹，張麗翠，宋維剛�？商峁㎝PLS VPN網(wǎng)絡(luò )安全性保障的解決方案[J].吉林大學(xué)學(xué)報：信息科學(xué)版，2005（03）。

　　[2] 陳東勝。電信DCN/OA網(wǎng)上MPLS VPN應用探討[J].廣東通信技術(shù)，2002（07）。

　　[3] 胡毅。虛擬數據專(zhuān)網(wǎng)（MPLS-VPN）技術(shù)及其在企業(yè)通信信息一體化建設中的應用[A].黑龍江省通信學(xué)會(huì )學(xué)術(shù)年會(huì )論文集[C]，2005.