建設(shè)工程教育網(wǎng) > 建筑文苑 > 其他相關(guān) > 正文
2011-12-13 11:14 【大 中 小】【打印】【我要糾錯(cuò)】
關(guān)鍵詞:多協(xié)議標(biāo)簽交換 虛擬專用網(wǎng) 網(wǎng)絡(luò)改造 安全隔離
摘要:MPLS技術(shù)提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù),可以實(shí)現(xiàn)底層標(biāo)簽自動(dòng)的分配,在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價(jià),更快速和安全的數(shù)據(jù)傳輸。同時(shí)MPLS VPN可以充分利用MPLS技術(shù)的一些先進(jìn)特性,提供流量工程能力、服務(wù)質(zhì)量保證等。DCN網(wǎng)絡(luò)作為公司內(nèi)部各營(yíng)業(yè)、辦公、網(wǎng)管、運(yùn)維等各信息系統(tǒng)承載的網(wǎng)絡(luò)平臺(tái),在應(yīng)用系統(tǒng)整合的大趨勢(shì)下,對(duì)網(wǎng)絡(luò)健壯性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在這樣的環(huán)境背景下,成為DCN網(wǎng)絡(luò)改造的必然。
隨著公司的不斷發(fā)展,DCN網(wǎng)上承載的業(yè)務(wù)系統(tǒng)不斷增多,除“97”系統(tǒng)外,還有如網(wǎng)管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)、客服系統(tǒng)、OA等及融合后3G網(wǎng)管系統(tǒng)等,有些應(yīng)用系統(tǒng)對(duì)安全性要求較高比如OA和財(cái)務(wù),有些系統(tǒng)對(duì)帶寬和網(wǎng)絡(luò)質(zhì)量(QoS)要求較高,F(xiàn)有的網(wǎng)絡(luò)不能滿足“分而治之”的企業(yè)運(yùn)作管理需要。由于信息系統(tǒng)集中整合的需要,實(shí)施此次MPLS升級(jí)改造。通過本次改造工程的實(shí)施,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),提高網(wǎng)絡(luò)的安全性、可靠性及整個(gè)DCN網(wǎng)的服務(wù)質(zhì)量。由一張實(shí)體物理網(wǎng)實(shí)現(xiàn)虛擬多業(yè)務(wù)網(wǎng),采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng),骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建,接入網(wǎng)采用靈活的方式到終端,滿足企業(yè)內(nèi)部應(yīng)用的承載和安全需求。最終,DCN網(wǎng)絡(luò)中的終端與主機(jī)須劃入至各自所屬的MPLS VPN域中,實(shí)現(xiàn)各個(gè)VPN域之間的通信隔離,同時(shí)在各個(gè)VPN間建立數(shù)據(jù)通道,部署防火墻對(duì)經(jīng)過數(shù)據(jù)通道的流量進(jìn)行訪問控制,實(shí)現(xiàn)對(duì)不同VPN域的通信數(shù)據(jù)的有效安全控制。
1 MPLS VPN技術(shù)簡(jiǎn)介
MPLS VPN是由若干不同的site組成的集合,一個(gè)site可以屬于不同的VPN,屬于同一VPN的site具有IP連通性,不同VPN間可以有控制地實(shí)現(xiàn)互訪與隔離。
MPLS VPN網(wǎng)絡(luò)主要由CE.PE和P等3部分組成:CE(Custom Edge Router,用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)。設(shè)備與用戶的CE直接相連,負(fù)責(zé)VPN業(yè)務(wù)接入,處理VPN-IPv4路由,是MPLS三層VPN的主要實(shí)現(xiàn)者:P(Provider Router,骨干網(wǎng)核心路由器)負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù),不與CE直接相連。在整個(gè)MPLS VPN中,P、PE設(shè)備需要支持MPLS的基本功能,CE設(shè)備不必支持MPLS. PE是MPLS VPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備,根據(jù)PE路由器是否參與客戶的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN.其中Layer3 MPLS VPN遵循RFC 2547BIS標(biāo)準(zhǔn),使用MBGP在PE路由器之間分發(fā)路由信息,使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù),因而又稱為BGP/MPLS VPN.在MPLS VPN網(wǎng)絡(luò)中,對(duì)VPN的所有處理都發(fā)生在PE路由器上,為此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性,通過將8byte的RD作為IPv4地址前綴的擴(kuò)展,使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址。VPNv4地址對(duì)客戶端設(shè)備來說是不可見的,它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。RT使用了BGP中擴(kuò)展團(tuán)體屬性,用于路由信息的分發(fā),具有全局惟一性,同一個(gè)RT只能被一個(gè)VPN使用,它分成Import RT和Export RT,分別用于路由信息的導(dǎo)入和導(dǎo)出策略。在PE路由器上針對(duì)每個(gè)site都創(chuàng)建了一個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(VPN Routing & Forwarding),VRF為每個(gè)site維護(hù)邏輯上分離的路由表,每個(gè)VRF都有Import RT和Export RT屬性。通過對(duì)Import RT和Export RT的合理配置,運(yùn)營(yíng)商可以構(gòu)建不同拓?fù)漕愋偷腣PN,如重疊式VPN和Hub-and-spoke VPN.整個(gè)MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面,控制面定義了LSP的建立和VPN路由信息的分發(fā)過程,數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面,P路由器并不參與VPN路由信息的交互,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔。除了路由協(xié)議外,在控制層面工作的還有LDP,它在整個(gè)MPLS網(wǎng)絡(luò)中進(jìn)行標(biāo)簽的分發(fā),形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP.在數(shù)據(jù)轉(zhuǎn)發(fā)層面,MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個(gè)VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后,PE路由器查找該子接口對(duì)應(yīng)的VRF表,從VRF表中得到VPN標(biāo)簽、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后,就通過PE輸出接口轉(zhuǎn)發(fā)出去,然后在MPLS骨干網(wǎng)中沿著LSP被逐級(jí)轉(zhuǎn)發(fā)。在出口PE之前的最后一個(gè)P路由器上,外層標(biāo)簽被彈出,P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對(duì)應(yīng)的輸出接口,在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器,從而實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過程。
2 骨干遷移的三個(gè)關(guān)鍵問題
由于DCN網(wǎng)絡(luò)建設(shè)時(shí)間比較久,網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,如何從全部使用IP環(huán)境的DCN過渡到全部使用MPLS VPN環(huán)境的DCN成了此次網(wǎng)絡(luò)升級(jí)改造的重點(diǎn)。網(wǎng)絡(luò)改造期間,網(wǎng)絡(luò)的平穩(wěn)運(yùn)行無論對(duì)于市場(chǎng)還是對(duì)于業(yè)務(wù)系統(tǒng)都是至關(guān)重要的,由于MPLS VPN技術(shù)是對(duì)全省DCN網(wǎng)絡(luò)傳輸技術(shù)的徹底改變,如何在改變網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)的同時(shí)讓網(wǎng)絡(luò)仍然健康地運(yùn)行成為實(shí)現(xiàn)MPLS VPN改造的首要問題。
過渡期間最應(yīng)該考慮的關(guān)鍵三個(gè)問題是:
1)在IP環(huán)境下,各域間路由的互通問題。實(shí)現(xiàn)方法是先將組成DCN的各個(gè)IP網(wǎng)絡(luò)單元以地市為單位逐個(gè)改造為MPLS VPN 網(wǎng)絡(luò)單元,然后逐個(gè)與省公司建立MP BGP鄰居實(shí)現(xiàn)全網(wǎng)MPLS VPN化。
2)受控互訪的實(shí)現(xiàn),即做到市公司在同一VPN區(qū)域內(nèi)部互相之間不可見;市公司在同一VPN區(qū)域內(nèi)部可以訪問省公司;市公司訪問處于不同VPN區(qū)域的省公司業(yè)務(wù)。方案設(shè)計(jì)中采用HUB-SPOKE方式和對(duì)PE.CE層面實(shí)施控制來實(shí)現(xiàn)。
3)VPN劃分與IP地址整理,DCN網(wǎng)絡(luò)建設(shè)前期并未考慮各個(gè)應(yīng)用系統(tǒng)的MPLS VPN劃分,因此大多系統(tǒng)混雜在一起,或者接在同一臺(tái)設(shè)備,或者干脆就在同一個(gè)網(wǎng)段中,同時(shí)還存在生產(chǎn)與管理地址段混用的問題。具體系統(tǒng)混接的問題可以分為三類,地址混用、設(shè)備支持能力不足以及第二地址問題。
3 DCN網(wǎng)絡(luò)改造升級(jí)的設(shè)計(jì)
DCN網(wǎng)絡(luò)改造解決方案是融合MPLS、VPN和QOS技術(shù)的統(tǒng)一解決方案。方案采用MPLS作為承載數(shù)據(jù)傳輸?shù)男聟f(xié)議,使用EIGRP作為主干IGP協(xié)議,MPLS VPN路由使用MP-IBGP以及路由反射器進(jìn)行域內(nèi)傳送,省公司采用背對(duì)背VRF方式與集團(tuán)對(duì)接。
MPLS需要建立在IGP路由的基礎(chǔ)上,IGP協(xié)議對(duì)MPLS的主要作用就是保證MPLS鄰居之間的可達(dá)性和MBGP鄰居之間的可達(dá)性,省骨干網(wǎng)使用的EIGRP協(xié)議,地市網(wǎng)絡(luò)根據(jù)自己網(wǎng)絡(luò)環(huán)境使用EIGRP或OSPF協(xié)議。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)。整個(gè)網(wǎng)絡(luò)IGP協(xié)議互通。根據(jù)整體方案,各PE-CE路由協(xié)議保持原OSPF動(dòng)態(tài)路由協(xié)議,在PE設(shè)備將OSPF路由重分發(fā)至MP-BGP.
各業(yè)務(wù)VPN互訪通過防火墻來實(shí)現(xiàn)。由于目前將DCN全網(wǎng)業(yè)務(wù)基本劃分為MS、BS、OS和OTHER這四個(gè)大的系統(tǒng),跨系統(tǒng)流量如何導(dǎo)通成為一個(gè)較為重要的問題。如果全部使用重疊VPN的方式,一方面增加了維護(hù)的復(fù)雜度,另一方面違背了建設(shè)MPLS VPN的根本目標(biāo),重新給各業(yè)務(wù)系統(tǒng)帶來了安全隱患。采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪,省公司不同域的終端和主機(jī)通過省公司防火墻實(shí)現(xiàn)跨域互訪,地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng),通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴(yán)格的安全策略,對(duì)各VPN之間流量進(jìn)行過濾,這樣隔離的各MPLS VPN之間可以安全的進(jìn)行數(shù)據(jù)通信,這樣即解決了各業(yè)務(wù)系統(tǒng)之間的互通問題,也保證了各業(yè)務(wù)系統(tǒng)的安全。
綜合前面所述,主要采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪,省公司不同域的終端和主機(jī)通過省公司防火墻實(shí)現(xiàn)跨域互訪,地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng),通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪。
將各業(yè)務(wù)VPN為HUB-SPOKE模式,即各地市業(yè)務(wù)系統(tǒng)僅可與省中心進(jìn)行通信,相互之間不可見,不能進(jìn)行相互訪問。
在省公司和地市公司核心路由器連接防火墻,將防火墻的不同端口接入到不同VPN域中。在防火墻上根據(jù)各VPN業(yè)務(wù)的訪問需求作相應(yīng)的訪問控制,各VPN業(yè)務(wù)之間通過防火墻進(jìn)行訪問。
4 MPLS VPN對(duì)DCN網(wǎng)絡(luò)的重要意義
由于應(yīng)用系統(tǒng)整合方向是集團(tuán)公司集中和省公司集中。集團(tuán)、省集中應(yīng)用系統(tǒng)通過DCN網(wǎng)絡(luò)進(jìn)行信息交互,而應(yīng)用系統(tǒng)整合除功能整合外,其物理整合和集中的形勢(shì)則表現(xiàn)為集中的企業(yè)數(shù)據(jù)中心,MPLS升級(jí)的重要意義體現(xiàn)在:
1)全網(wǎng)絡(luò)覆蓋:應(yīng)用系統(tǒng)整合后,系統(tǒng)集中統(tǒng)一部署服務(wù)器,滿足地市、縣客戶端遠(yuǎn)程訪問省級(jí)應(yīng)用系統(tǒng)服務(wù)器,集團(tuán)公司級(jí)應(yīng)用系統(tǒng)和省級(jí)應(yīng)用系統(tǒng)之間有信息交互的應(yīng)用需求。
2)系統(tǒng)受控安全互訪需求:企業(yè)運(yùn)作需要,不同應(yīng)用系統(tǒng)間又有互訪的要求。例如:營(yíng)帳綜合客戶端,處于辦公網(wǎng),兼顧辦公和營(yíng)帳工作,需訪問營(yíng)帳系統(tǒng);網(wǎng)管綜合客戶端,兼顧網(wǎng)管工作和辦公管理、資源管理、工單、故障單工作,經(jīng)常在兩網(wǎng)間切換;因此需要DCN網(wǎng)絡(luò)進(jìn)行安全隔離的同時(shí),支持系統(tǒng)間受控互訪,通過用戶身份識(shí)別、訪問授權(quán)、隧道加密、安全策略部署等技術(shù)保證被訪系統(tǒng)的安全。
3)可用性要求:隨著信息化建設(shè)的深入,系統(tǒng)功能將逐步得到完善,傳送的信息內(nèi)容將日趨豐富,VPN顆粒將趨向細(xì)化,VPN拓?fù)鋵⑷找鎻?fù)雜,對(duì)現(xiàn)有企業(yè)網(wǎng)絡(luò)的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網(wǎng)絡(luò)規(guī)劃建設(shè)中必需著重考慮的問題。
4)可靠性要求:DCN網(wǎng)絡(luò)承載著企業(yè)運(yùn)作所需的重要應(yīng)用和數(shù)據(jù),在整個(gè)信息化系統(tǒng)中起到中樞神經(jīng)的作用,網(wǎng)絡(luò)故障將影響企業(yè)正常運(yùn)作。信息系統(tǒng)整合將導(dǎo)致地域性和功能性集中化程度的提高,從而增加了對(duì)DCN網(wǎng)絡(luò)的依賴。必需充分考慮網(wǎng)絡(luò)高可靠性,避免網(wǎng)絡(luò)設(shè)備和鏈路的單點(diǎn)故障,保證關(guān)鍵應(yīng)用系統(tǒng)的訪問和接入,保證作為應(yīng)用系統(tǒng)核心的企業(yè)數(shù)據(jù)中心的高效可靠的連接。
5)服務(wù)質(zhì)量要求:DCN網(wǎng)絡(luò)是在同一物理網(wǎng)絡(luò)上承載多個(gè)相對(duì)獨(dú)立的業(yè)務(wù)系統(tǒng),各業(yè)務(wù)系統(tǒng)為不同的職能部門開展業(yè)務(wù)提供服務(wù),其數(shù)據(jù)流程和管理方式都存在差異,不同業(yè)務(wù)系統(tǒng),需要網(wǎng)絡(luò)平臺(tái)提供差別服務(wù),如對(duì)帶寬、實(shí)時(shí)性有不同的要求,網(wǎng)絡(luò)必須具備帶寬管理、資源預(yù)留、服務(wù)等級(jí)設(shè)置的能力。
在保證DCN網(wǎng)絡(luò)安全運(yùn)行的前提下,有步驟、分階段實(shí)施MPLS改造,并按照規(guī)劃設(shè)計(jì)應(yīng)用RT策略實(shí)現(xiàn)各系統(tǒng)互訪受控與隔離。目前,改造后的DCN網(wǎng)絡(luò)運(yùn)行狀況良好。
在實(shí)現(xiàn)MPLS VPN后,受控互訪則變得相對(duì)輕松,僅僅需要在各個(gè)MPLS VPN路由環(huán)境之間的數(shù)據(jù)通道上部署防火墻即可對(duì)各VPN間也就是各應(yīng)用系統(tǒng)間的訪問進(jìn)行控制。隨著受控互訪的實(shí)現(xiàn),全覆蓋、可用、可靠、優(yōu)化傳輸以及可管理等周邊需求的實(shí)現(xiàn)也變得比較容易。一張實(shí)體物理網(wǎng)、虛擬多業(yè)務(wù)網(wǎng),采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng),骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建,接入網(wǎng)采用靈活的方式到終端。獨(dú)立統(tǒng)一的一張實(shí)體物理網(wǎng),滿足企業(yè)內(nèi)部應(yīng)用的承載需求。虛擬多業(yè)務(wù)網(wǎng),統(tǒng)一的業(yè)務(wù)隔離、受控互訪機(jī)制和統(tǒng)一的VPN業(yè)務(wù)接入機(jī)制。
5 結(jié)束語(yǔ)
MPLS VPN網(wǎng)絡(luò)改造的實(shí)現(xiàn),極大的提高的DCN網(wǎng)絡(luò)的安全性,為前臺(tái)營(yíng)業(yè)、辦公OA.運(yùn)維網(wǎng)絡(luò)監(jiān)控等各項(xiàng)不同的業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用提供可靠地保證。
參考文獻(xiàn):
[1] 范亞芹,張麗翠,宋維剛?商峁㎝PLS VPN網(wǎng)絡(luò)安全性保障的解決方案[J].吉林大學(xué)學(xué)報(bào):信息科學(xué)版,2005(03)。
[2] 陳東勝。電信DCN/OA網(wǎng)上MPLS VPN應(yīng)用探討[J].廣東通信技術(shù),2002(07)。
[3] 胡毅。虛擬數(shù)據(jù)專網(wǎng)(MPLS-VPN)技術(shù)及其在企業(yè)通信信息一體化建設(shè)中的應(yīng)用[A].黑龍江省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C],2005.
1、凡本網(wǎng)注明“來源:建設(shè)工程教育網(wǎng)”的所有作品,版權(quán)均屬建設(shè)工程教育網(wǎng)所有,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、鏈接、轉(zhuǎn)貼或以其他方式使用;已經(jīng)本網(wǎng)授權(quán)的,應(yīng)在授權(quán)范圍內(nèi)使用,且必須注明“來源:建設(shè)工程教育網(wǎng)”。違反上述聲明者,本網(wǎng)將追究其法律責(zé)任。
2、本網(wǎng)部分資料為網(wǎng)上搜集轉(zhuǎn)載,均盡力標(biāo)明作者和出處。對(duì)于本網(wǎng)刊載作品涉及版權(quán)等問題的,請(qǐng)作者與本網(wǎng)站聯(lián)系,本網(wǎng)站核實(shí)確認(rèn)后會(huì)盡快予以處理。
本網(wǎng)轉(zhuǎn)載之作品,并不意味著認(rèn)同該作品的觀點(diǎn)或真實(shí)性。如其他媒體、網(wǎng)站或個(gè)人轉(zhuǎn)載使用,請(qǐng)與著作權(quán)人聯(lián)系,并自負(fù)法律責(zé)任。
3、本網(wǎng)站歡迎積極投稿。