淺談基于MPLS—VPN的分布式校園網(wǎng)

萬幸 李興華 羅萬波 黃敏

摘 要：隨著校園虛擬專用網(wǎng)的逐步普及，各大高校都在建設(shè)自己的虛擬專用網(wǎng)絡(luò)；傳統(tǒng)的基于二層VLAN的虛擬專用網(wǎng)絡(luò)存在很多問題，而MPLS-VPN是一種成熟的三層VPN技術(shù)，特別適合于多校區(qū)的分布式校園網(wǎng)絡(luò)，本文從組網(wǎng)架構(gòu)以及網(wǎng)絡(luò)安全等方面介紹了基于MPLS-VPN的分布式校園，并分析MPLS-VPN配置方面的細(xì)節(jié)。

關(guān)鍵詞：分布式校園網(wǎng)；MPLS；VPN；多校區(qū)

1 技術(shù)背景

MPLS-VPN業(yè)務(wù)是目前在IP網(wǎng)開展的一項(xiàng)重要業(yè)務(wù)，該業(yè)務(wù)主要面向政府、教育、企業(yè)等集團(tuán)用戶，能夠?yàn)榭蛻籼峁└呖煽俊⒏邘?、高安全的虛擬專業(yè)網(wǎng)絡(luò)。目前很多學(xué)校存在多校區(qū)聯(lián)合辦學(xué)的情況，電子圖書、教務(wù)系統(tǒng)以及網(wǎng)上辦公等的重要平臺(tái)一般放在某個(gè)校區(qū)的專用服務(wù)器上，其他校區(qū)的用戶要訪問這些資源，必須通過運(yùn)營商網(wǎng)絡(luò)進(jìn)行三層路由，因此可能存在網(wǎng)絡(luò)帶寬受限、網(wǎng)絡(luò)安全性低、網(wǎng)絡(luò)延時(shí)大等問題。為了更好的服務(wù)廣大校園用戶，有必要建設(shè)基于MPLS-VPN的虛擬專用網(wǎng)絡(luò)，使得各校區(qū)的校園用戶和服務(wù)器資源能夠?qū)崿F(xiàn)安全快速的數(shù)據(jù)交換。本文介紹了基于MPLS-VPN的分布式校園架構(gòu)以及相關(guān)的安全技術(shù)。

2 網(wǎng)絡(luò)的架構(gòu)

傳統(tǒng)基于VLAND的虛擬專線業(yè)務(wù)覆蓋方式，少量用戶時(shí)能夠滿足基本轉(zhuǎn)發(fā)要求， 但是不利于校園虛擬專線業(yè)務(wù)的長期發(fā)展，主要有如下缺點(diǎn)：

①VLAN實(shí)現(xiàn)用戶專線的方式太落后，電信等運(yùn)營商基本已經(jīng)淘汰此技術(shù)。

②VLAN技術(shù)實(shí)現(xiàn)用戶專線，單個(gè)業(yè)務(wù)使用同一個(gè)VLAN，會(huì)造成MAC地址表太大，難以維護(hù)。

③VLAN技術(shù)僅適合網(wǎng)內(nèi)專線，在實(shí)現(xiàn)跨區(qū)域或者跨運(yùn)營商實(shí)現(xiàn)對接是較為困難。

④VLAN方式全網(wǎng)僅能夠4096個(gè)專線業(yè)務(wù)，無法實(shí)現(xiàn)大規(guī)模專線用戶的接入。

MPLS-VPN能夠在邏輯上將客戶的數(shù)據(jù)和路由相互分離，在每個(gè)分校區(qū)之間通過服務(wù)提供商主干相互連接。用戶邊緣接入層（CE）是單個(gè)站點(diǎn)用戶業(yè)務(wù)的轉(zhuǎn)發(fā)匯聚點(diǎn)，CE 可直接通過MPLS-VPN城域網(wǎng)的各邊緣PE實(shí)現(xiàn)靈活接入；CE和PE之間采用千兆光纖鏈路互聯(lián)，且使用雙鏈路備份機(jī)制，實(shí)現(xiàn)業(yè)務(wù)的可靠轉(zhuǎn)發(fā).考慮到成本因素，一般每個(gè)校區(qū)配置1臺(tái)CE設(shè)備直接接入到運(yùn)營商PE，同時(shí)單臺(tái)CE設(shè)備能夠支撐5000以上的并發(fā)用戶。該方案具有投資小、建設(shè)周期短、接入方式靈活等特點(diǎn)，完全可以滿足現(xiàn)有校園網(wǎng)絡(luò)的業(yè)務(wù)需求。具體架構(gòu)如下：

①在運(yùn)營商城域網(wǎng)內(nèi)配置多臺(tái)PE路由器和1臺(tái)PE對接路由器。

②在PE路由器上啟用MPLS LDP協(xié)議，配置MP-BGP協(xié)議，使用MP-IBGP與核心P路由器相連，傳遞各個(gè)VPN內(nèi)部路由信息，使用普通IP技術(shù)和CE（原專線核心設(shè)備或者直接與用戶接入點(diǎn)）相連，傳遞各接入點(diǎn)信息。

③MPLS-VPN所有的AS自治域內(nèi)路由采用MP-iBGP的實(shí)現(xiàn)方式，AS域間的路由使用EBGP的方式。

④利用現(xiàn)有的運(yùn)營商城域網(wǎng)，使用MP-IBGP與核心P路由器相連，傳遞各個(gè)VPN內(nèi)部路由信息，CE通過IGP協(xié)議獲取用戶路由。

⑤主校區(qū)、分校區(qū)以及聯(lián)合辦學(xué)點(diǎn)等CE接入點(diǎn)下用戶規(guī)模較大，此類接入點(diǎn)選用三層交換機(jī)作為CE，CE直接與PE三層互聯(lián)，實(shí)現(xiàn)業(yè)務(wù)的MPLS轉(zhuǎn)發(fā)。用戶邊緣接入層（CE）是單個(gè)site用戶業(yè)務(wù)的轉(zhuǎn)發(fā)匯聚點(diǎn)，CE 可直接通過MPLS-VPN城域網(wǎng)的各邊緣PE實(shí)現(xiàn)靈活接入；CE和PE之間采用千兆光纖鏈路互聯(lián)，且使用雙鏈路備份機(jī)制，實(shí)現(xiàn)業(yè)務(wù)的可靠轉(zhuǎn)發(fā)。

⑥利用現(xiàn)有光線等接入方式，或者根據(jù)用戶需求實(shí)現(xiàn)改造，實(shí)現(xiàn)專線需求用戶的快速接入。

⑦用戶可以自己分配地址，也可以由局方分配，IPv4地址采用A類私有地址，且每個(gè)接入用戶在同一個(gè)VPN內(nèi)為分配唯一的IP地址，IP地址數(shù)量完全能夠保證用戶的需求。

⑧MPLS PE地址分配。包括Loopback1地址和相互之間的互連地址分配、用戶地址分配等；在PE路由器內(nèi)通過VRF隔離VPN路由與數(shù)據(jù)，保護(hù)VPN的獨(dú)立安全。RD（路由區(qū)分符）規(guī)則的確定可以使用AS號(hào)（16bit）+自定義號(hào)碼（32bit）的方式。PE配置包括配置Loopback地址，啟動(dòng)MPLS，配VRF，PE-CE路由；配MBGP，PE-PE路由等等。

⑨作為運(yùn)營商來側(cè)，PE設(shè)備作為用戶接入的邊緣，余下實(shí)現(xiàn)VPN配置，路由轉(zhuǎn)發(fā)等功能，其功能和性能要求較高，建議使用高性能的路由器。要求能夠支持64K以上的VRF實(shí)例，支持十萬條以上的整機(jī)路由，單個(gè)VRF支持不少于32k的路由，支持百萬級(jí)的MAC和ARP表項(xiàng)?？梢詫?shí)現(xiàn)靜態(tài)、OSPF、RIPv2、IS-IS和BGP等多種路由協(xié)議，支持兩臺(tái)PE的熱備份協(xié)議，支持子接口功能和以太網(wǎng)、SDH等多種物理接口。

⑩MPLS-VPN所有的AS自治域內(nèi)路由采用MP-iBGP的實(shí)現(xiàn)方式，AS域間的路由使用EBGP的方式。

3 安全設(shè)計(jì)

通過設(shè)置防止對CE設(shè)備的信息的探測，保障CE設(shè)備的安全運(yùn)行；CE應(yīng)該關(guān)閉IP TLL、限制VTY 訪問、禁止通過VPN 登錄到CE 設(shè)備、SNMP 配置增加ACL、 防止VPN 用戶訪問CE，同時(shí)關(guān)閉不必要的網(wǎng)絡(luò)端口。

通過MPLS VPN MIB，通過SNMP 收集不同用戶接口的流量以及不同QoS 等級(jí)的流量。實(shí)現(xiàn)NetFlow 方式采集VPN 業(yè)務(wù)流量，分析網(wǎng)絡(luò)層（含MPLS 層）至應(yīng)用層的流量，提取校園用戶流量分析報(bào)告，從而實(shí)現(xiàn)查找和定位網(wǎng)絡(luò)流量攻擊行為，有利于實(shí)現(xiàn)VPN 安全。實(shí)現(xiàn)利用VRF-Ping、LSP ping 等MPLS VPN 除障工具，快速測試MPLS VPN 連通性。

4 總結(jié)

本文從總體上介紹了基于MPLS-VPN的分布式校園網(wǎng)絡(luò)組網(wǎng)架構(gòu)以及安全性的考慮，通過設(shè)計(jì)分布式的校園虛擬網(wǎng)可以極大地提高網(wǎng)絡(luò)的可用性和安全性，有助于提升校園的信息化水平。

課題項(xiàng)目：樂山職業(yè)技術(shù)學(xué)院科學(xué)研究計(jì)劃資助項(xiàng)目（KY2015008）。

作者簡介：

萬幸，男，樂山職業(yè)技術(shù)學(xué)院工程師，畢業(yè)于東南大學(xué)信息科學(xué)與工程學(xué)院，碩士研究生，曾任職于中國電信、中興通訊以及江蘇有線，主要研究方向?yàn)閷拵ЬW(wǎng)絡(luò)技術(shù)。