廊坊廣電VPN組網(wǎng)方案及實(shí)施

摘 要 廊坊廣電IP城域網(wǎng)是全業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)平臺，廊坊銀行虛擬專網(wǎng)組網(wǎng)方案基于MPLS VPN技術(shù)，從設(shè)計(jì)原則、工作流程及思科路由器的配置等幾個(gè)方面詳細(xì)探討了廊坊銀行VPN的實(shí)施。

關(guān)鍵詞 MPLS VPN；廊坊銀行；網(wǎng)絡(luò)方案

中圖分類號：TN915 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）16-0067-02

網(wǎng)絡(luò)作為二十一世紀(jì)最重要的產(chǎn)物，它深刻地改變著人們的生活，它給人們的生活方式以及社會生產(chǎn)等都產(chǎn)生了巨大的沖擊和變革。廊坊廣電城域網(wǎng)數(shù)據(jù)平臺可為廊坊市各行業(yè)組建虛擬專用網(wǎng)。投入最低的代價(jià)、取得最好的成效，廊坊廣電為客戶提供了一個(gè)很好的選擇。以廊坊銀行VPN網(wǎng)絡(luò)為例，介紹一個(gè)利用現(xiàn)有廊坊廣電城域網(wǎng)絡(luò)資源提供完善的VPN網(wǎng)絡(luò)解決方案。

1 廊坊廣電IP城域網(wǎng)

廊坊廣電IP城域網(wǎng)絡(luò)所提供的鏈路是以層次化、簡單化的網(wǎng)絡(luò)設(shè)計(jì)為原則和前提，它以目前在國家國內(nèi)都運(yùn)營的先進(jìn)的IP骨干路由交換機(jī)Cisco 9000為鏈路核心，其目的就是要構(gòu)建一條高速化的電信級別城域網(wǎng)網(wǎng)絡(luò) 。

廊坊廣電IP城域網(wǎng)絡(luò)可提供：1）基于MPLS（多路協(xié)議標(biāo)簽交換）的IP VPN服務(wù)；2）因特網(wǎng)接入業(yè)務(wù)（ipoe專線、pppoe撥號）；3）VOD互動(dòng)點(diǎn)播業(yè)務(wù)；4）視頻監(jiān)控業(yè)務(wù)；5）其他專網(wǎng)專線業(yè)務(wù)。

該網(wǎng)絡(luò)主要是以IP包交換技術(shù)為核心，通過采用MPLS（Multi-Protocal Label Switching）技術(shù)的VPN功能來實(shí)現(xiàn)對各IP等業(yè)務(wù)的支持，提供二層/三層VPN、企業(yè)網(wǎng)互連服務(wù)。

1.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

IP城域網(wǎng)主干采用兩臺Cisco ASR 9000和六臺Cisco高端路由設(shè)備組成，主要是負(fù)責(zé)各種網(wǎng)絡(luò)的接入，例如網(wǎng)絡(luò)專線、局域網(wǎng)等網(wǎng)絡(luò)的接入等。主干網(wǎng)絡(luò)以及各條支線設(shè)備都是通過連1000Mbps的帶寬來接入。此外，該網(wǎng)絡(luò)還負(fù)責(zé)專線網(wǎng)絡(luò)、數(shù)據(jù)傳輸?shù)绕渌N類的網(wǎng)絡(luò)傳輸業(yè)務(wù)的接入等。

1.2 MPLS協(xié)議VPN技術(shù)

MPLS協(xié)議能夠通過VPN技術(shù)來大幅度地提高網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)數(shù)據(jù)的速度，同時(shí)它還具有極高的數(shù)據(jù)傳輸穩(wěn)定性。MPLS協(xié)議的這一功能已經(jīng)成為國際標(biāo)準(zhǔn)之一。

VPN是依靠Internet服務(wù)提供商ISP（Internet Service Provider）和網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP（Network Service Provider），在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。

MPLS VPN的主要工作方式是通過VPN三層技術(shù)來實(shí)現(xiàn)。VPN是一種用戶專用網(wǎng)絡(luò)，每一個(gè)VPN都只有一個(gè)ID，而相應(yīng)的VPN用戶也只能與其專屬網(wǎng)絡(luò)的成員進(jìn)行通信。VPN是一種新型的局域網(wǎng)絡(luò)通信。在VPN網(wǎng)絡(luò)中，服務(wù)商為每一個(gè)用戶都分配了一個(gè)特定的標(biāo)示符，被稱為RD，即路由標(biāo)示符。RD是服務(wù)商所提供的一種獨(dú)一無法的標(biāo)示。此外，VPN-IP地址也是服務(wù)商所提供的轉(zhuǎn)發(fā)表中的一種獨(dú)一無二的地址，它是由RD以及網(wǎng)絡(luò)用戶的IP地址相互連接而形成的。

BGP（邊界網(wǎng)關(guān)路由協(xié)議）是一個(gè)路由信息分布協(xié)議，它主要是利用用戶的共有屬性以及具有擴(kuò)展性質(zhì)的多協(xié)議來對VPN的連接性進(jìn)行定義的。通過MPLS與BGP相結(jié)合的三層VPN在確保安全性的基礎(chǔ)上為解決骨干網(wǎng)絡(luò)的擴(kuò)展性提供了有效的技術(shù)手段。在VPN中，BGP只能對有相同VPN的成員進(jìn)行信息發(fā)布，此外，BGP主要是通過分離流量來維持信息發(fā)布的安全性，這是因?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)是通過一定被定義的特殊途徑LSP來進(jìn)行轉(zhuǎn)發(fā)的，通過LSP途徑轉(zhuǎn)發(fā)的數(shù)據(jù)是無法被改變的。而這種基于MPLS的VPN技術(shù)所使用的標(biāo)簽化的運(yùn)行模式表現(xiàn)的是一種穩(wěn)定、安全的保密性能。服務(wù)商在使用VPN時(shí)，將VPN與特定的接口進(jìn)行連接，進(jìn)而通過用戶入口的標(biāo)簽來對數(shù)據(jù)的轉(zhuǎn)發(fā)進(jìn)行識別。這種運(yùn)行模式被稱為Spoof端口運(yùn)行模式，它主要是讓VPN網(wǎng)絡(luò)免于受到攻擊。

2 廊坊廣電VPN方案

2.1 組網(wǎng)設(shè)計(jì)

以廊坊銀行為例，通過對廊坊銀行VPN項(xiàng)目的調(diào)研和分析，設(shè)計(jì)實(shí)現(xiàn)廊坊銀行各個(gè)節(jié)點(diǎn)之間聯(lián)網(wǎng)，確保廊坊銀行各網(wǎng)點(diǎn)業(yè)務(wù)的正常運(yùn)行，廊坊銀行對于局域網(wǎng)的要求是非常高的，主要表現(xiàn)在銀行業(yè)務(wù)對網(wǎng)絡(luò)的安全性、穩(wěn)定性、流暢性、高速性等要求的規(guī)格都是比較高的。

此外，廊坊銀行的組網(wǎng)設(shè)計(jì)也采用了較為成熟、高效的VPN技術(shù)。使得網(wǎng)絡(luò)運(yùn)行系統(tǒng)有足夠的帶寬，并且能夠以此為基礎(chǔ)來開發(fā)豐富的應(yīng)用。確保所采用的技術(shù)都是目前成熟并可靠的技術(shù)。

2.2 安全性

通過采用VPN技術(shù)來進(jìn)行組網(wǎng)設(shè)計(jì)，而采用MPLS技術(shù)來保護(hù)數(shù)據(jù)包的傳輸；MPLS技術(shù)經(jīng)過國際權(quán)威檢測，它的安全性能與ATM技術(shù)是相同的。

2.3 暢通性

通過采用VPN技術(shù)搭建的主干網(wǎng)絡(luò)能夠保持?jǐn)?shù)據(jù)傳輸?shù)臅惩ㄐ?，這主要是由于它根據(jù)用戶的需求，可以將網(wǎng)絡(luò)的帶寬達(dá)到千兆容量，這一帶寬完全能夠滿足銀行系統(tǒng)網(wǎng)上業(yè)務(wù)的帶寬需求，此外，VPN技術(shù)還為網(wǎng)絡(luò)系統(tǒng)的升級留下了足夠的帶寬。

3 廊坊廣電VPN數(shù)據(jù)流程

基于MPLS協(xié)議的VPN的基本工作方式是采用三層數(shù)據(jù)技術(shù)來實(shí)現(xiàn)的。即每一個(gè)VPN都有屬于自己的VPN-ID，VPN用戶也只能與相同VPN網(wǎng)絡(luò)中的成員進(jìn)行通信和數(shù)據(jù)傳輸，也只有擁有相同VPN-ID的成員才能進(jìn)入VPN網(wǎng)絡(luò)。其中CE代表客戶端路由器，PE代表廣電MPLS-VPN接入路由器，P為廣電MPLS-VPN核心路由器。下面就三類路由器功能進(jìn)行一一介紹：

1）CE設(shè)備：CE和PE之間采用ospf路由協(xié)議，在PE上進(jìn)行VPN內(nèi)的ospf路由協(xié)議與BGP路由協(xié)議的重分布?；虿捎渺o態(tài)路由進(jìn)行路由信息的宣告。

2）PE設(shè)備：在CE用戶數(shù)據(jù)進(jìn)入PE后，能夠在PE接口處對廊坊銀行的VPN進(jìn)行識別，然后進(jìn)入廊坊銀行VPN路由表對地址信息進(jìn)行讀取，并且在傳送的數(shù)據(jù)包上進(jìn)行VPN標(biāo)記。為到達(dá)目的端的PE，在起始的PE讀取骨干路由的信息，得到下一跳的P路由器地址，并在前傳數(shù)據(jù)包上打上外層標(biāo)記。endprint

3）P設(shè)備：讀取外層標(biāo)記的信息決定下一跳；PE 與P之間采用IGP相互學(xué)習(xí)路由信息，采用LDP協(xié)議進(jìn)行路由信息與標(biāo)記（骨干網(wǎng)絡(luò)中的標(biāo)記，外層標(biāo)記）的綁定。

4 廊坊廣電VPN實(shí)現(xiàn)

廊坊銀行MPLS VPN網(wǎng)絡(luò)的基本框架中各分支結(jié)構(gòu)通過CE接入廣電骨干網(wǎng)絡(luò)，并通過MPLS VPN核心網(wǎng)絡(luò)實(shí)現(xiàn)同級分支機(jī)構(gòu)的不同部門在橫向網(wǎng)絡(luò)層邏輯上的安全隔離。將不同業(yè)務(wù)系統(tǒng)劃分在不同的VPN中，實(shí)現(xiàn)縱向網(wǎng)絡(luò)層利用相同業(yè)務(wù)系統(tǒng)的部門信息共享。最后將提供的特殊應(yīng)用服務(wù)如：視頻會議、視頻監(jiān)控等業(yè)務(wù)，各自劃分到一個(gè)VPN中。實(shí)現(xiàn)所有分支機(jī)構(gòu)的數(shù)據(jù)共享。

4.1 CE配置

CE為客戶邊緣路由器，需要進(jìn)行一些基本配置，讓它能夠與PE路由器進(jìn)行路由信息交換。例如：接口IP配置、路由協(xié)議等。目前使用最廣泛的路由協(xié)議有靜態(tài)路由和動(dòng)態(tài)路由。動(dòng)態(tài)路由協(xié)議有：OSPF、EIGRP等。

4.2 PE配置

在MPLS網(wǎng)絡(luò)環(huán)境中，PE與CE直連，還與P路由器直連。PE主要處理標(biāo)簽的壓入和分發(fā)以及VPN路由信息處理等。主要配置：接口IP、路由協(xié)議、MPLS基本功能等。

4.3 P配置

雖然P和PE直連，但對于P路由器來說，PE之間的路由信息交互是透明的。P路由器不需要維護(hù)VPN路由，只需要保證網(wǎng)絡(luò)的連通性，并配合PE建立LSP即可。

通過查看P、PE路由器上的LIB表項(xiàng)，可以知道運(yùn)行了MPLS VPN的路由器均為自身路由表項(xiàng)分配標(biāo)簽，通過查看路由器里的實(shí)時(shí)路由表、路由跟蹤tracert功能，驗(yàn)證了VPN站點(diǎn)之間的連通性。

5 結(jié)束語

隨著企事業(yè)單位業(yè)務(wù)不斷擴(kuò)大，對整體網(wǎng)絡(luò)性能要求也越來越高，因此，建設(shè)一個(gè)更加高效、安全、靈活、完善的企業(yè)網(wǎng)絡(luò)也勢在必行。要實(shí)現(xiàn)這些需求，就必須要有相應(yīng)完備的技術(shù)支持，而MPLS-VPN技術(shù)的引入，恰好解決了這些需求，為企業(yè)的動(dòng)態(tài)發(fā)展提供了良好的支撐。通過利用PE路由器上的RT來靈活控制VPN的互訪和隔離，實(shí)現(xiàn)了網(wǎng)絡(luò)的安全隔離。加上MPLS強(qiáng)大的流量工程功能，為企業(yè)的數(shù)據(jù)穩(wěn)定快速傳輸提供了強(qiáng)有力的后盾。說明MPLS技術(shù)是今后大規(guī)模IP數(shù)據(jù)網(wǎng)絡(luò)應(yīng)用的發(fā)展方向。

廊坊廣電的VPN技術(shù)具有可以信賴的安全性、可靠性；廊坊廣電為廊坊銀行網(wǎng)絡(luò)功能的運(yùn)行和拓展等提供了一個(gè)十分安全、高速、高效的運(yùn)行平臺，通過這個(gè)平臺，除了能夠保證各項(xiàng)活動(dòng)的安全運(yùn)行，同時(shí)該平臺還提供了視頻會議、遠(yuǎn)程監(jiān)控等系統(tǒng)功能。

參考文獻(xiàn)

[1]W.Richard Stevens.TCP/IP協(xié)議詳解卷1：協(xié)議[M].北京.機(jī)械工業(yè)出版社，2000.

[2]Michael Wynston.Csico Enterprise Management Solutions[M].USA： Cisco Press ， 2001.

[3]Jeff Doyle，等.TCP/IP路由技術(shù)（第一卷）[M].北京.人民郵電出版社，2007.

[4]Jeff Doyle，等.TCP/IP路由技術(shù)（第二卷）[M].北京.人民郵電出版社，2009.

[5]Ivan Pepelnjak，等.MPLS和VPN體系結(jié)構(gòu)北京[M].人民郵電出版社，2010.

作者簡介

崔志山（1977-），男，河北廊坊人，工程師，本科，研究方向：數(shù)據(jù)通信。endprint