淺析MPLS VPN技術在南水北調中線計算機網絡中的應用

王敏

(南水北調中線局河南直管建管局， 鄭州450018)

【摘要】本文結合南水北調中線自動化應用系統(tǒng)較多、網絡帶寬需求大、計算機網絡共享等特點，提出了基于MPLS VPN技術的自動化業(yè)務系統(tǒng)計算機網絡實現方案，并針對MPLS VPN子系統(tǒng)之間、用戶至不同業(yè)務系統(tǒng)服務器之間的受控互訪的需求，探討了MPLS VPN互訪策略。

【關鍵詞】南水北調； MPLS VPN； 互訪策略； 計算機網絡

中圖分類號：TP393文獻標志碼： B

On Application of MPLS VPN Technology in South-to-North Water

Diversion Midline Computer Network

WANG Min

(South-to-NorthWaterDiversionMidlineBureauHenanConstructionAdministration,Zhengzhou450018,China)

Abstract：South-to-North Water Diversion Midline is characterized by more automation application systems, large network bandwidth demand, computer network sharing, etc. Realization plan of automated business system computer network based on MPLS VPN technique is proposed by combining with these characteristics. MPLS VPN mutual visit strategies are discussed aiming at controlled mutual visit demands among MPLS VPN subsystems, users and different business system servers.

Keywords：South-to-North Water Diversion; MPLS VPN; mutual visit strategies; computer network

MPLS VPN(Multi-Protocol Label Switching Virtual Private Network，多協議標簽交換虛擬專用網絡)是指采用MPLS技術在骨干的寬帶IP網絡上構建邏輯IP專網，通過在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，利用傳統(tǒng)路由技術的標簽交換實現的IP虛擬專用網絡，并結合差別服務、流量工程等相關技術，將基礎網絡可靠的性能、良好的擴展性、豐富的功能與專用網的安全、靈活、高效結合在一起，實現跨地域、安全、高速、可靠的數據、語音、圖像多業(yè)務通信。其主要優(yōu)勢包括：組網方式靈活、業(yè)務綜合能力強、安全性高、實時性、支持VPN內部IP多級別業(yè)務、提供端到端的QOS服務質量保障、擴展性強等。

南水北調中線干線工程自動化應用系統(tǒng)較多，且所需網絡帶寬較大，實時性和安全性要求高，各種應用系統(tǒng)共享一套計算機網絡系統(tǒng)。而MPLS VPN技術是目前技術最先進的VPN網絡組網技術，技術成熟，可管理性強，因此能夠在保證南水北調中線干線工程自動化應用系統(tǒng)數據信息傳遞安全可靠的前提下，遵循資源共享、帶寬共享、節(jié)省投資的原則，有效地利用光纖資源或傳輸帶寬，滿足多種靈活的業(yè)務需求。

1MPLS VPN技術在南水北調自動化業(yè)務系統(tǒng)中的應用

按照南水北調自動化業(yè)務系統(tǒng)業(yè)務網的高安全可靠性要求，結合南水北調中線工程需求，一方面在網絡結構的設計上采用層次化結構，按照業(yè)務類別進行物理劃分；另一方面，利用MPLS VPN技術將各應用系統(tǒng)在邏輯上劃分為獨立的網絡。根據現有MPLS VPN計算機網絡組網技術，整個網絡配置成一個MPLS域，將核心層、骨干層路由器配置成P設備，區(qū)域層和接入層路由器設備全部配置成PE設備；P和PE設備之間運行MPLS LDP協議，所有PE路由器之間運行MP-iBGP協議。

將接入層交換機作為CE，經二層鏈路采用靜態(tài)路由連接到接入層PE設備；PE設備為每個接入的VPN用戶建立并維護獨立的VRF，根據CE設備接入端口的不同，控制其進入相應的VPN中，實現與其他VPN應用系統(tǒng)和網管類流量的隔離。

總公司、分公司、管理處的各應用系統(tǒng)都通過專用的應用系統(tǒng)LAN交換機接入，局域網主干交換機作為CE，經二層鏈路采用靜態(tài)路由連接到接入層PE設備；PE設備為每個應用系統(tǒng)建立并維護獨立的VRF，根據CE設備接入端口的不同，控制其進入相應的應用系統(tǒng)VPN中，實現與其他應用系統(tǒng)和網管類流量的隔離。實現方案如圖1所示：

圖1　BGP/MPLS VPN部署方案

2MPLS VPN互訪策略在南水北調自動化業(yè)務系統(tǒng)中的應用

按照MPLS VPN劃分的原則，不同MPLS VPN之間不能互相訪問，這確保了VPN的安全可靠性。但是，南水北調中線干線工程自動化應用系統(tǒng)之間存在MPLS VPN子系統(tǒng)之間、用戶至不同業(yè)務系統(tǒng)服務器之間的受控互訪的需求。也就是說，網絡需要方便地控制不同MPLS VPN之間的互訪，而且要實現嚴格控制互訪；同時，為保障各業(yè)務系統(tǒng)安全，需要對用戶訪問采取控制措施。

2.1 MPLS VPN子系統(tǒng)之間互訪

通過BGP MPLS VPN提供了Extranet VPN和Hub-spoke的方式，通過MP-BGP協議配置建立路由信息，來達到不同VPN之間的路由擴散；通過VPN內部的路由器(或防火墻)做地址過濾、報文過濾等方式控制訪問的用戶。上述兩種方式結合使用，實現了子系統(tǒng)的靈活受控互訪。

2.2應用終端交互訪問不同MPLS VPN

2.2.1方案一：NAT方案

此種方案是將多用途終端主機的業(yè)務流在CE進行分類，不同的業(yè)務流進行不同的靜態(tài)NAT(映射不同的IP地址)。對每個業(yè)務系統(tǒng)的主機/服務器可以分配連續(xù)的地址空間，PE設備只需要維護較為簡單的路由表，CE配置確定后一般不需要修改。如圖2所示：

圖2　NAT方案示意圖

2.2.2方案二：PE節(jié)點作訪問控制

在PE設備上，通過多角色主機技術，將某個VRF中指定的路由(特殊終端的路由)，引入到另外一個VRF中，在PE的CE側接口上配置策略路由，當流量匹配ACL，則重定向到VPN組，查找并轉發(fā)，從而實現不同的MPLS VPN可以同時訪問該特殊終端。如圖3所示：

圖3　PE控制方案示意圖

2.2.3方案三：802.1X強制認證+Windows域管理

802.1X協議在利用IEEE 802局域網優(yōu)勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段，與VRF路由表的導入導出機制結合使用，從而達到接受合法用戶接入、保護網絡安全的目的。用戶訪問其他MPLS VPN，需要禁用、再啟用網卡，重新輸入不同MPLS VPN的不同身份信息實現。

顯然，基于PE節(jié)點作訪問控制的方案配置簡單，傳輸效率高，互通網絡可靠性強，無論從網絡實現、網絡性能、網絡安全以及網絡管理各方面分析，更適用于南水北調中線干線工程自動化各系統(tǒng)應用終端交互訪問不同的MPLS VPN。

3結語

目前，MPLS VPN技術、MPLS VPN子系統(tǒng)之間互訪策略已經部署應用于南水北調中線工程自動化系統(tǒng)計算機網絡。此外，針對用戶至不同MPLS VPN子系統(tǒng)業(yè)務系統(tǒng)服務器之間的受控互訪的需求，本文也提出了可供參考的MPLS VPN之間互訪策略。

實踐表明，MPLS VPN技術在數據信息傳遞安全可靠的前提下，很好地實現了南水北調中線工程自動化系統(tǒng)應用系統(tǒng)多、網絡帶寬大、計算機網絡共享，以及MPLS VPN之間受控互訪等多種業(yè)務需求；而且實施簡單高效，運行可管理性強，有效保障了南水北調中線工程自動化系統(tǒng)計算機網絡的可控性、靈活性和穩(wěn)定性。

參考文獻

[1]長江勘測規(guī)劃設計研究院. 南水北調中線一期工程項目建議書(修訂本)[R].2004.

[2]長江勘測規(guī)劃設計研究院. 南水北調中線一期工程可行性研究總報告[R].2005.

[3]侯召成. 南水北調中線干線工程自動化調度與運行管理決策系統(tǒng)關鍵技術問題研究[R]. 北京：中國水利水電科學研究院，2006.

[4]倪賡. MPLS VPN組網設計與實現[D]. 北京：北京郵電大學,2009.

[5]田開岳. MPLS VPN技術在電力調度數據網中的應用[J]. 科學與財富,2013(9).

[6]郁建生. 南水北調計算機網絡體系的設計[J]. 水利信息化,2011(6).

[7]趙立. 數據網技術在電力調度中的應用研究[J]. 科技與企業(yè),2012(21).