關鍵詞：多協(xié)議標簽交換　虛擬專用網　網絡改造　安全隔離

　　摘要：MPLS技術提供了類似于虛電路的標簽交換業(yè)務，可以實現底層標簽自動的分配，在業(yè)務的提供上比傳統(tǒng)的VPN技術更廉價，更快速和安全的數據傳輸。同時MPLS VPN可以充分利用MPLS技術的一些先進特性，提供流量工程能力、服務質量保證等。DCN網絡作為公司內部各營業(yè)、辦公、網管、運維等各信息系統(tǒng)承載的網絡平臺，在應用系統(tǒng)整合的大趨勢下，對網絡健壯性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在這樣的環(huán)境背景下，成為DCN網絡改造的必然。

　　隨著公司的不斷發(fā)展，DCN網上承載的業(yè)務系統(tǒng)不斷增多，除“97”系統(tǒng)外，還有如網管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)、客服系統(tǒng)、OA等及融合后3G網管系統(tǒng)等，有些應用系統(tǒng)對安全性要求較高比如OA和財務，有些系統(tǒng)對帶寬和網絡質量（QoS）要求較高。現有的網絡不能滿足“分而治之”的企業(yè)運作管理需要。由于信息系統(tǒng)集中整合的需要，實施此次MPLS升級改造。通過本次改造工程的實施，優(yōu)化網絡結構，提高網絡的安全性、可靠性及整個DCN網的服務質量。由一張實體物理網實現虛擬多業(yè)務網，采用MPLS VPN隔離各類業(yè)務系統(tǒng)，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端，滿足企業(yè)內部應用的承載和安全需求。最終，DCN網絡中的終端與主機須劃入至各自所屬的MPLS VPN域中，實現各個VPN域之間的通信隔離，同時在各個VPN間建立數據通道，部署防火墻對經過數據通道的流量進行訪問控制，實現對不同VPN域的通信數據的有效安全控制。

　　1 MPLS VPN技術簡介

　　MPLS VPN是由若干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現互訪與隔離。

　　MPLS VPN網絡主要由CE．PE和P等3部分組成：CE（Custom Edge Router，用戶網絡邊緣路由器）設備直接與服務提供商網絡。設備與用戶的CE直接相連，負責VPN業(yè)務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者：P（Provider Router，骨干網核心路由器）負責快速轉發(fā)數據，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS. PE是MPLS VPN網絡的關鍵設備，根據PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN.其中Layer3 MPLS VPN遵循RFC 2547BIS標準，使用MBGP在PE路由器之間分發(fā)路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLS VPN.在MPLS VPN網絡中，對VPN的所有處理都發(fā)生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD（Route Distinguisher）和RT（Route Target）等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴展，使不惟一的IPv4地址轉化為惟一的VPNv4地址。VPNv4地址對客戶端設備來說是不可見的，它只用于骨干網絡上路由信息的分發(fā)。RT使用了BGP中擴展團體屬性，用于路由信息的分發(fā)，具有全局惟一性，同一個RT只能被一個VPN使用，它分成Import RT和Export RT，分別用于路由信息的導入和導出策略。在PE路由器上針對每個site都創(chuàng)建了一個虛擬路由轉發(fā)表VRF（VPN Routing & Forwarding），VRF為每個site維護邏輯上分離的路由表，每個VRF都有Import RT和Export RT屬性。通過對Import RT和Export RT的合理配置，運營商可以構建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN.整個MPLS VPN體系結構可以分成控制面和數據面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，數據面則定義了VPN數據的轉發(fā)過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個VPN的網絡拓撲信息。除了路由協(xié)議外，在控制層面工作的還有LDP，它在整個MPLS網絡中進行標簽的分發(fā)，形成數據轉發(fā)的邏輯通道LSP.在數據轉發(fā)層面，MPLS VPN網絡中傳輸的VPN業(yè)務數據采用外標簽（又稱隧道標簽）和內標簽（又稱VPN標簽）兩層標簽棧結構。當一個VPN業(yè)務分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過PE輸出接口轉發(fā)出去，然后在MPLS骨干網中沿著LSP被逐級轉發(fā)。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉發(fā)給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發(fā)送給正確的CE路由器，從而實現了整個數據轉發(fā)過程。

　　2 骨干遷移的三個關鍵問題

　　由于DCN網絡建設時間比較久，網絡結構比較復雜，如何從全部使用IP環(huán)境的DCN過渡到全部使用MPLS VPN環(huán)境的DCN成了此次網絡升級改造的重點。網絡改造期間，網絡的平穩(wěn)運行無論對于市場還是對于業(yè)務系統(tǒng)都是至關重要的，由于MPLS VPN技術是對全省DCN網絡傳輸技術的徹底改變，如何在改變網絡協(xié)議結構的同時讓網絡仍然健康地運行成為實現MPLS VPN改造的首要問題。

　　過渡期間最應該考慮的關鍵三個問題是：

　　1）在IP環(huán)境下，各域間路由的互通問題。實現方法是先將組成DCN的各個IP網絡單元以地市為單位逐個改造為MPLS VPN 網絡單元，然后逐個與省公司建立MP BGP鄰居實現全網MPLS VPN化。

　　2）受控互訪的實現，即做到市公司在同一VPN區(qū)域內部互相之間不可見；市公司在同一VPN區(qū)域內部可以訪問省公司；市公司訪問處于不同VPN區(qū)域的省公司業(yè)務。方案設計中采用HUB-SPOKE方式和對PE．CE層面實施控制來實現。

　　3）VPN劃分與IP地址整理，DCN網絡建設前期并未考慮各個應用系統(tǒng)的MPLS VPN劃分，因此大多系統(tǒng)混雜在一起，或者接在同一臺設備，或者干脆就在同一個網段中，同時還存在生產與管理地址段混用的問題。具體系統(tǒng)混接的問題可以分為三類，地址混用、設備支持能力不足以及第二地址問題。

　　3 DCN網絡改造升級的設計

　　DCN網絡改造解決方案是融合MPLS、VPN和QOS技術的統(tǒng)一解決方案。方案采用MPLS作為承載數據傳輸的新協(xié)議，使用EIGRP作為主干IGP協(xié)議，MPLS VPN路由使用MP-IBGP以及路由反射器進行域內傳送，省公司采用背對背VRF方式與集團對接。

　　MPLS需要建立在IGP路由的基礎上，IGP協(xié)議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性，省骨干網使用的EIGRP協(xié)議，地市網絡根據自己網絡環(huán)境使用EIGRP或OSPF協(xié)議。所有協(xié)議在省網和市網之間重分發(fā)。整個網絡IGP協(xié)議互通。根據整體方案，各PE-CE路由協(xié)議保持原OSPF動態(tài)路由協(xié)議，在PE設備將OSPF路由重分發(fā)至MP-BGP.

　　各業(yè)務VPN互訪通過防火墻來實現。由于目前將DCN全網業(yè)務基本劃分為MS、BS、OS和OTHER這四個大的系統(tǒng)，跨系統(tǒng)流量如何導通成為一個較為重要的問題。如果全部使用重疊VPN的方式，一方面增加了維護的復雜度，另一方面違背了建設MPLS VPN的根本目標，重新給各業(yè)務系統(tǒng)帶來了安全隱患。采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統(tǒng)，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴格的安全策略，對各VPN之間流量進行過濾，這樣隔離的各MPLS VPN之間可以安全的進行數據通信，這樣即解決了各業(yè)務系統(tǒng)之間的互通問題，也保證了各業(yè)務系統(tǒng)的安全。

　　綜合前面所述，主要采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統(tǒng)，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。

　　將各業(yè)務VPN為HUB－SPOKE模式，即各地市業(yè)務系統(tǒng)僅可與省中心進行通信，相互之間不可見，不能進行相互訪問。

　　在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據各VPN業(yè)務的訪問需求作相應的訪問控制，各VPN業(yè)務之間通過防火墻進行訪問。

　　4 MPLS VPN對DCN網絡的重要意義

　　由于應用系統(tǒng)整合方向是集團公司集中和省公司集中。集團、省集中應用系統(tǒng)通過DCN網絡進行信息交互，而應用系統(tǒng)整合除功能整合外，其物理整合和集中的形勢則表現為集中的企業(yè)數據中心，MPLS升級的重要意義體現在：

　　1）全網絡覆蓋：應用系統(tǒng)整合后，系統(tǒng)集中統(tǒng)一部署服務器，滿足地市、縣客戶端遠程訪問省級應用系統(tǒng)服務器，集團公司級應用系統(tǒng)和省級應用系統(tǒng)之間有信息交互的應用需求。

　　2）系統(tǒng)受控安全互訪需求：企業(yè)運作需要，不同應用系統(tǒng)間又有互訪的要求。例如：營帳綜合客戶端，處于辦公網，兼顧辦公和營帳工作，需訪問營帳系統(tǒng)；網管綜合客戶端，兼顧網管工作和辦公管理、資源管理、工單、故障單工作，經常在兩網間切換；因此需要DCN網絡進行安全隔離的同時，支持系統(tǒng)間受控互訪，通過用戶身份識別、訪問授權、隧道加密、安全策略部署等技術保證被訪系統(tǒng)的安全。

　　3）可用性要求：隨著信息化建設的深入，系統(tǒng)功能將逐步得到完善，傳送的信息內容將日趨豐富，VPN顆粒將趨向細化，VPN拓撲將日益復雜，對現有企業(yè)網絡的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網絡規(guī)劃建設中必需著重考慮的問題。

　　4）可靠性要求：DCN網絡承載著企業(yè)運作所需的重要應用和數據，在整個信息化系統(tǒng)中起到中樞神經的作用，網絡故障將影響企業(yè)正常運作。信息系統(tǒng)整合將導致地域性和功能性集中化程度的提高，從而增加了對DCN網絡的依賴。必需充分考慮網絡高可靠性，避免網絡設備和鏈路的單點故障，保證關鍵應用系統(tǒng)的訪問和接入，保證作為應用系統(tǒng)核心的企業(yè)數據中心的高效可靠的連接。

　　5）服務質量要求：DCN網絡是在同一物理網絡上承載多個相對獨立的業(yè)務系統(tǒng)，各業(yè)務系統(tǒng)為不同的職能部門開展業(yè)務提供服務，其數據流程和管理方式都存在差異，不同業(yè)務系統(tǒng)，需要網絡平臺提供差別服務，如對帶寬、實時性有不同的要求，網絡必須具備帶寬管理、資源預留、服務等級設置的能力。

　　在保證DCN網絡安全運行的前提下，有步驟、分階段實施MPLS改造，并按照規(guī)劃設計應用RT策略實現各系統(tǒng)互訪受控與隔離。目前，改造后的DCN網絡運行狀況良好。

　　在實現MPLS VPN后，受控互訪則變得相對輕松，僅僅需要在各個MPLS VPN路由環(huán)境之間的數據通道上部署防火墻即可對各VPN間也就是各應用系統(tǒng)間的訪問進行控制。隨著受控互訪的實現，全覆蓋、可用、可靠、優(yōu)化傳輸以及可管理等周邊需求的實現也變得比較容易。一張實體物理網、虛擬多業(yè)務網，采用MPLS VPN隔離各類業(yè)務系統(tǒng)，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端。獨立統(tǒng)一的一張實體物理網，滿足企業(yè)內部應用的承載需求。虛擬多業(yè)務網，統(tǒng)一的業(yè)務隔離、受控互訪機制和統(tǒng)一的VPN業(yè)務接入機制。

　　5 結束語

　　MPLS VPN網絡改造的實現，極大的提高的DCN網絡的安全性，為前臺營業(yè)、辦公OA．運維網絡監(jiān)控等各項不同的業(yè)務網絡應用提供可靠地保證。

　　參考文獻：

　　[1] 范亞芹，張麗翠，宋維剛�？商峁㎝PLS VPN網絡安全性保障的解決方案[J].吉林大學學報：信息科學版，2005（03）。

　　[2] 陳東勝。電信DCN/OA網上MPLS VPN應用探討[J].廣東通信技術，2002（07）。

　　[3] 胡毅。虛擬數據專網（MPLS-VPN）技術及其在企業(yè)通信信息一體化建設中的應用[A].黑龍江省通信學會學術年會論文集[C]，2005.