1、MPLS VPN在通信企業(yè)DCN網(wǎng)絡(luò)晉級(jí)中的應(yīng)用PLSVPN在通信企業(yè)DN網(wǎng)絡(luò)晉級(jí)中的應(yīng)用摘要：PLS技術(shù)提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù)，可以實(shí)現(xiàn)底層標(biāo)簽自動(dòng)的分配，在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價(jià)，更快速和平安的數(shù)據(jù)傳輸。同時(shí)PLSVPN可以充分利用PLS技術(shù)的一些先進(jìn)特性，提供流量工程才能、效勞質(zhì)量保證等。DN網(wǎng)絡(luò)作為公司內(nèi)部各營業(yè)、辦公、網(wǎng)管、運(yùn)維等各信息系統(tǒng)承載的網(wǎng)絡(luò)平臺(tái)，在應(yīng)用系統(tǒng)整合的大趨勢下，對(duì)網(wǎng)絡(luò)強(qiáng)健性、平安性及可控制管理性都提出了更高的要求。PLSVPN正是在這樣的環(huán)境背景下，成為DN網(wǎng)絡(luò)改造的必然。關(guān)鍵詞：多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)網(wǎng)絡(luò)改造平安隔離隨著公司的不斷開展，

2、DN網(wǎng)上承載的業(yè)務(wù)系統(tǒng)不斷增多，除97系統(tǒng)外，還有如網(wǎng)管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)、客服系統(tǒng)、A等及交融后3G網(wǎng)管系統(tǒng)等，有些應(yīng)用系統(tǒng)對(duì)平安性要求較高比方A和財(cái)務(wù)，有些系統(tǒng)對(duì)帶寬和網(wǎng)絡(luò)質(zhì)量QS要求較高。現(xiàn)有的網(wǎng)絡(luò)不能滿足分而治之的企業(yè)運(yùn)作管理需要。由于信息系統(tǒng)集中整合的需要，施行此次PLS晉級(jí)改造。通過本次改造工程的施行，優(yōu)化網(wǎng)絡(luò)構(gòu)造，進(jìn)步網(wǎng)絡(luò)的平安性、可靠性及整個(gè)DN網(wǎng)的效勞質(zhì)量。由一張實(shí)體物理網(wǎng)實(shí)現(xiàn)虛擬多業(yè)務(wù)網(wǎng)，采用PLSVPN隔離各類業(yè)務(wù)系統(tǒng)，骨干以現(xiàn)有DN骨干網(wǎng)為根底構(gòu)建，接入網(wǎng)采用靈敏的方式到終端，滿足企業(yè)內(nèi)部應(yīng)用的承載和平安需求。最終，DN網(wǎng)絡(luò)中的終端與主機(jī)須劃入至各自所屬的PLS

3、VPN域中，實(shí)現(xiàn)各個(gè)VPN域之間的通信隔離，同時(shí)在各個(gè)VPN間建立數(shù)據(jù)通道，部署防火墻對(duì)經(jīng)過數(shù)據(jù)通道的流量進(jìn)展訪問控制，實(shí)現(xiàn)對(duì)不同VPN域的通信數(shù)據(jù)的有效平安控制。1PLSVPN技術(shù)簡介PLSVPN是由假設(shè)干不同的site組成的集合，一個(gè)site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實(shí)現(xiàn)互訪與隔離。PLSVPN網(wǎng)絡(luò)主要由E、PE和P等3部分組成：E(ustEdgeRuter，用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與效勞提供商網(wǎng)絡(luò)。設(shè)備與用戶的E直接相連，負(fù)責(zé)VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是PLS三層VPN的主要實(shí)現(xiàn)者：P(PrviderRute

4、r，骨干網(wǎng)核心路由器)負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與E直接相連。在整個(gè)PLSVPN中，P、PE設(shè)備需要支持PLS的根本功能，E設(shè)備不必支持PLS。PE是PLSVPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù)PE路由器是否參與客戶的路由，PLSVPN分成Layer3PLSVPN和Layer2PLSVPN。其中Layer3PLSVPN遵循RF2547BIS標(biāo)準(zhǔn)，使用BGP在PE路由器之間分發(fā)路由信息，使用PLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù)，因此又稱為BGP/PLSVPN。在PLSVPN網(wǎng)絡(luò)中，對(duì)VPN的所有處理都發(fā)生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD(RuteDistinguisher)和RT

5、(RuteTarget)等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴(kuò)展，使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址。VPNv4地址對(duì)客戶端設(shè)備來說是不可見的，它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。RT使用了BGP中擴(kuò)展團(tuán)體屬性，用于路由信息的分發(fā)，具有全局惟一性，同一個(gè)RT只能被一個(gè)VPN使用，它分成IprtRT和ExprtRT，分別用于路由信息的導(dǎo)入和導(dǎo)出策略。在PE路由器上論文聯(lián)盟.Ll.針對(duì)每個(gè)site都創(chuàng)立了一個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(VPNRutingFrarding)，VRF為每個(gè)site維護(hù)邏輯上別離的路由表，每個(gè)VRF都有IprtRT和ExprtR

6、T屬性。通過對(duì)IprtRT和ExprtRT的合理配置，運(yùn)營商可以構(gòu)建不同拓?fù)漕愋偷腣PN，如重疊式VPN和Hub-and-spkeVPN。整個(gè)PLSVPN體系構(gòu)造可以分成控制面和數(shù)據(jù)面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，數(shù)據(jù)面那么定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過E和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔?。除了路由協(xié)議外，在控制層面工作的還有LDP，它在整個(gè)PLS網(wǎng)絡(luò)中進(jìn)展標(biāo)簽的分發(fā)，形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。在數(shù)據(jù)轉(zhuǎn)發(fā)層面，PLSVPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(

7、又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧構(gòu)造。當(dāng)一個(gè)VPN業(yè)務(wù)分組由E路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對(duì)應(yīng)的VRF表，從VRF表中得到VPN標(biāo)簽、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后，就通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在PLS骨干網(wǎng)中沿著LSP被逐級(jí)轉(zhuǎn)發(fā)。在出口PE之前的最后一個(gè)P路由器上，外層標(biāo)簽被彈出，P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對(duì)應(yīng)的輸出接口，在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的E路由器，從而實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過程。2骨干遷移的三個(gè)關(guān)鍵問題由于DN網(wǎng)絡(luò)建

8、立時(shí)間比較久，網(wǎng)絡(luò)構(gòu)造比較復(fù)雜，如何從全部使用IP環(huán)境的DN過渡到全部使用PLSVPN環(huán)境的DN成了此次網(wǎng)絡(luò)晉級(jí)改造的重點(diǎn)。網(wǎng)絡(luò)改造期間，網(wǎng)絡(luò)的平穩(wěn)運(yùn)行無論對(duì)于市場還是對(duì)于業(yè)務(wù)系統(tǒng)都是至關(guān)重要的，由于PLSVPN技術(shù)是對(duì)全省DN網(wǎng)絡(luò)傳輸技術(shù)的徹底改變，如何在改變網(wǎng)絡(luò)協(xié)議構(gòu)造的同時(shí)讓網(wǎng)絡(luò)仍然安康地運(yùn)行成為實(shí)現(xiàn)PLSVPN改造的首要問題。過渡期間最應(yīng)該考慮的關(guān)鍵三個(gè)問題是：1在IP環(huán)境下，各域間路由的互通問題。實(shí)現(xiàn)方法是先將組成DN的各個(gè)IP網(wǎng)絡(luò)單元以地市為單位逐個(gè)改造為PLSVPN網(wǎng)絡(luò)單元，然后逐個(gè)與省公司建立PBGP鄰居實(shí)現(xiàn)全網(wǎng)PLSVPN化。2受控互訪的實(shí)現(xiàn)，即做到市公司在同一VPN區(qū)域內(nèi)部

9、互相之間不可見；市公司在同一VPN區(qū)域內(nèi)部可以訪問省公司；市公司訪問處于不同VPN區(qū)域的省公司業(yè)務(wù)。方案設(shè)計(jì)中采用HUB-SPKE方式和對(duì)PE、E層面施行控制來實(shí)現(xiàn)。3VPN劃分與IP地址整理，DN網(wǎng)絡(luò)建立前期并未考慮各個(gè)應(yīng)用系統(tǒng)的PLSVPN劃分，因此大多系統(tǒng)混雜在一起，或者接在同一臺(tái)設(shè)備，或者干脆就在同一個(gè)網(wǎng)段中，同時(shí)還存在消費(fèi)與管理地址段混用的問題。詳細(xì)系統(tǒng)混接的問題可以分為三類，地址混用、設(shè)備支持才能缺乏以及第二地址問題。3DN網(wǎng)絡(luò)改造晉級(jí)的設(shè)計(jì)DN網(wǎng)絡(luò)改造解決方案是交融PLS、VPN和QS技術(shù)的統(tǒng)一解決方案。方案采用PLS作為承載數(shù)據(jù)傳輸?shù)男聟f(xié)議，使用EiGRP作為主干IGP協(xié)議，P

10、LSVPN路由使用P-IBGP以及路由反射器進(jìn)展域內(nèi)傳送，省公司采用背對(duì)背VRF方式與集團(tuán)對(duì)接。PLS需要建立在IGP路由的根底上，IGP協(xié)議對(duì)PLS的主要作用就是保證PLS鄰居之間的可達(dá)性和BGP鄰居之間的可達(dá)性，省骨干網(wǎng)使用的EIGRP協(xié)議，地市網(wǎng)絡(luò)根據(jù)自己網(wǎng)絡(luò)環(huán)境使用EIGRP或SPF協(xié)議。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)。整個(gè)網(wǎng)絡(luò)IGP協(xié)議互通。根據(jù)整體方案，各PE-E路由協(xié)議保持原SPF動(dòng)態(tài)路由協(xié)議，在PE設(shè)備將SPF路由重分發(fā)至P-BGP。各業(yè)務(wù)VPN互訪通過防火墻來實(shí)現(xiàn)。由于目前將DN全網(wǎng)業(yè)務(wù)根本劃分為S、BS、S和THER這四個(gè)大的系統(tǒng)，跨系統(tǒng)流量如何導(dǎo)通成為一個(gè)較為重要的問題。

11、假設(shè)全部使用重疊VPN的方式，一方面增加了維護(hù)的復(fù)雜度，另一方面違犯了建立PLSVPN的根本目的，重新給各業(yè)務(wù)系統(tǒng)帶來了平安隱患。采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪，省公司不同域的終端和主機(jī)通過省公司防火墻實(shí)現(xiàn)跨域互訪，地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng)，通過地市防火墻連通到不同的域中，然后通過PLS鏈路上連互訪。通過在防火墻上配置嚴(yán)格的平安策略，對(duì)各VPN之間流量進(jìn)展過濾，這樣隔離的各PLSVPN之間可以平安的進(jìn)展數(shù)據(jù)通信，這樣即解決了各業(yè)務(wù)系統(tǒng)之間的互通問題，也保證了各業(yè)務(wù)系統(tǒng)的平安。綜合前面所述，主要采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪，省公司不同域的終端和主機(jī)通過省

12、公司防火墻實(shí)現(xiàn)跨域互訪，地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng)，通過地市防火墻連通到不同的域中，然后通過PLS鏈路上連互訪。將各業(yè)務(wù)VPN為HUBSPKE形式，即各地市業(yè)務(wù)系統(tǒng)僅可與省中心進(jìn)展通信，互相之間不可見，不能進(jìn)展互相訪問。在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據(jù)各VPN業(yè)務(wù)的訪問需求作相應(yīng)的訪問控制，各VPN業(yè)務(wù)之間通過防火墻進(jìn)展訪問。4PLSVPN對(duì)DN網(wǎng)絡(luò)的重要意義由于應(yīng)用系統(tǒng)整合方向是集團(tuán)公司集中和省公司集中。集團(tuán)、省集中應(yīng)用系統(tǒng)通過DN網(wǎng)絡(luò)進(jìn)展信息交互，而應(yīng)用系統(tǒng)整合除功能整合外，其物理整合和集中的形勢那么表現(xiàn)為集中的企

13、業(yè)數(shù)據(jù)中心，PLS晉級(jí)的重要意義表達(dá)在：1全網(wǎng)絡(luò)覆蓋：應(yīng)用系統(tǒng)整合后，系統(tǒng)集中統(tǒng)一部署效勞器，滿足地市、縣客戶端遠(yuǎn)程訪問省級(jí)應(yīng)用系統(tǒng)效勞器，集團(tuán)公司級(jí)應(yīng)用系統(tǒng)和省級(jí)應(yīng)用系統(tǒng)之間有信息交互的應(yīng)用需求。2系統(tǒng)受控平安互訪需求：企業(yè)運(yùn)作需要，不同應(yīng)用系統(tǒng)間又有互訪的要求。例如：營帳綜合客戶端，處于辦公網(wǎng)，兼顧辦公和營帳工作，需訪問營帳系統(tǒng)；網(wǎng)管綜合客戶端，兼顧網(wǎng)管工作和辦公管理、資源管理、工單、故障單工作，經(jīng)常在兩網(wǎng)間切換；因此需要DN網(wǎng)絡(luò)進(jìn)展平安隔離的同時(shí)，支持系統(tǒng)間受控互訪，通過用戶身份識(shí)別、訪問授權(quán)、隧道加密、平安策略部署等技術(shù)保證被訪系統(tǒng)的平安。3可用性要求：隨著信息化建立的深化，系統(tǒng)功能將

14、逐步得到完善，傳送的信息內(nèi)容將日趨豐富，VPN顆粒將趨向細(xì)化，VPN拓?fù)鋵⑷找鎻?fù)雜，對(duì)現(xiàn)有企業(yè)網(wǎng)絡(luò)的交換容量、處理才能、鏈路連接才能以及VPN支持才能是網(wǎng)絡(luò)規(guī)劃建立中必需著重考慮的問題。4可靠性要求：DN網(wǎng)絡(luò)承載著企業(yè)運(yùn)作所需的重要應(yīng)用和數(shù)據(jù)，在整個(gè)信息化系統(tǒng)中起到中樞神經(jīng)的作用，網(wǎng)絡(luò)故障將影響企業(yè)正常運(yùn)作。信息系統(tǒng)整合將導(dǎo)致地域性和功能性集中化程度的進(jìn)步，從而增加了對(duì)DN網(wǎng)絡(luò)的依賴。必需充分考慮網(wǎng)絡(luò)高可靠性，防止網(wǎng)絡(luò)設(shè)備和鏈路的單點(diǎn)故障，保證關(guān)鍵應(yīng)用系統(tǒng)的訪問和接入，保證作為應(yīng)用系統(tǒng)核心的企業(yè)數(shù)據(jù)中心的高效可靠的連接。5效勞質(zhì)量要求：DN網(wǎng)絡(luò)是在同一物理網(wǎng)絡(luò)上承載多個(gè)相對(duì)獨(dú)立的業(yè)務(wù)系統(tǒng)，各業(yè)

15、務(wù)系統(tǒng)為不同的職能部門開展業(yè)務(wù)提供效勞，其數(shù)據(jù)流程和管理方式都存在差異，不同業(yè)務(wù)系統(tǒng)，需要網(wǎng)絡(luò)平臺(tái)提供差異效勞，如對(duì)帶寬、實(shí)時(shí)性有不同的要求，網(wǎng)絡(luò)必須具備帶寬管理、資源預(yù)留、效勞等級(jí)設(shè)置的才能。在保證DN網(wǎng)絡(luò)平安運(yùn)行的前提下，有步驟、分階段施行PLS改造，并按照規(guī)劃設(shè)計(jì)應(yīng)用RT策略實(shí)現(xiàn)各系統(tǒng)互訪受控與隔離。目前，改造后的DN網(wǎng)絡(luò)運(yùn)行狀況良好。在實(shí)現(xiàn)PLSVPN后，受控互訪那么變得相對(duì)輕松，僅僅需要在各個(gè)PLSVPN路由環(huán)境之間的數(shù)據(jù)通道上部署防火墻即可對(duì)各VPN間也就是各應(yīng)用系統(tǒng)間的訪問進(jìn)展控制。隨著受控互訪的實(shí)現(xiàn)，全覆蓋、可用、可靠、優(yōu)化傳輸以及可管理等周邊需求的實(shí)現(xiàn)也變得比較容易。一張實(shí)體物理網(wǎng)、虛擬多業(yè)務(wù)網(wǎng)，采用PLSVPN隔離各類業(yè)務(wù)系統(tǒng)，骨干以現(xiàn)有DN骨干網(wǎng)為根底構(gòu)建，接入網(wǎng)采用靈敏的方式到終端。獨(dú)立統(tǒng)一的一張實(shí)體物理網(wǎng)，滿足企業(yè)內(nèi)部應(yīng)用的承載需求。虛擬多業(yè)務(wù)網(wǎng)，統(tǒng)一的業(yè)務(wù)隔離、受控互訪機(jī)制和統(tǒng)一的VPN