打造異地多點(diǎn)辦公網(wǎng)絡(luò)

引言：隨著業(yè)務(wù)的不斷拓展，不少企業(yè)已形成了異地多點(diǎn)辦公的模式，為保證信息溝通順暢、協(xié)同辦公高效，企業(yè)必須搭建安全、高效、穩(wěn)定的多點(diǎn)辦公網(wǎng)絡(luò)。本文結(jié)合實(shí)際案例介紹了基于MPLS VPN技術(shù)的全網(wǎng)狀辦公網(wǎng)絡(luò)，這種辦公網(wǎng)絡(luò)能夠很好地滿足異地多點(diǎn)辦公的需求。

背景

某公司由于業(yè)務(wù)的原因，辦公地點(diǎn)分布在多個地區(qū)，其中公司總部位于A地，還有三個分支機(jī)構(gòu)分別在B、C、D三地辦公，其中公司的核心業(yè)務(wù)系統(tǒng)均部署在A地的數(shù)據(jù)中心，考慮到數(shù)據(jù)安全的因素，核心業(yè)務(wù)系統(tǒng)并未直接部署在公網(wǎng)之上，除A地用戶可以直接利用局域網(wǎng)訪問之外，其它三地用戶都需要通過各自本地的Internet線路，使用SSL VPN訪問。

隨著業(yè)務(wù)模式發(fā)生變化，公司更加強(qiáng)調(diào)多地之間信息共享、協(xié)同辦公，分支機(jī)構(gòu)不僅與總部之間有業(yè)務(wù)聯(lián)系，彼此之間也有信息溝通的需求，如視頻會議、文件共享等等，原有的這種以SSL VPN技術(shù)為支撐的辦公模式已經(jīng)不能滿足現(xiàn)有的需求，公司亟需打造一套安全、穩(wěn)定、高效的內(nèi)部辦公網(wǎng)絡(luò)，這套辦公網(wǎng)絡(luò)實(shí)施后必須能夠解決四地之間的信息孤島問題，而且保證較好的投入產(chǎn)出比。

實(shí)施思路

由于A、B、C、D四地網(wǎng)絡(luò)邏輯上屬于隔離狀態(tài)，IP地址并未進(jìn)行統(tǒng)一規(guī)劃，甚至存在IP網(wǎng)段重復(fù)使用的情況，為實(shí)現(xiàn)A、B、C、D四地之間網(wǎng)絡(luò)互通，必須對這四地的IP地址進(jìn)行重新規(guī)劃，否則網(wǎng)絡(luò)互通后會出現(xiàn)IP地址沖突、路由指向不明確的情況，嚴(yán)重影響辦公網(wǎng)絡(luò)的搭建。由于A地屬于數(shù)據(jù)中心且用戶數(shù)量較多，為減少變更IP所帶來的風(fēng)險(xiǎn)，可保持A地IP網(wǎng)段不變，其余三地以A地IP網(wǎng)段為基礎(chǔ)進(jìn)行擴(kuò)展，四地IP地址的規(guī)劃如表1所示。四地IP網(wǎng)段按照表1配置完以后，按照四地網(wǎng)絡(luò)彼此互通的原則，確定了一種解決方案：租用運(yùn)營商的MPLS VPN專網(wǎng)，建立A、B、C、D四地全網(wǎng)狀的辦公網(wǎng)絡(luò)。MPLS VPN專網(wǎng)是依托于運(yùn)營商的骨干網(wǎng)絡(luò)，采用MPLS（多協(xié)議標(biāo)記交換）協(xié)議，結(jié)合服務(wù)等級、流量控制等技術(shù)，為用戶在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)的虛擬專網(wǎng)。MPLS VPN專網(wǎng)非常適合搭建異地多點(diǎn)辦公網(wǎng)絡(luò)，可以輕松實(shí)現(xiàn)A、B、C、D四地網(wǎng)絡(luò)的直接通信，大大提高了各地之間的網(wǎng)絡(luò)通信效率；如果某地網(wǎng)絡(luò)出現(xiàn)故障，并不會影響其他地區(qū)之間的通信，而且運(yùn)營商的骨干網(wǎng)普遍具有多路由的冗余傳輸資源，可以自動、充分地迂回用戶節(jié)點(diǎn)間訪問的流量，因而在廣域網(wǎng)上也不存在單點(diǎn)故障，網(wǎng)絡(luò)整體具備很高的可靠性；MPLS VPN專網(wǎng)的安全性是通過路由隔離技術(shù)來實(shí)現(xiàn)的，利用兩層標(biāo)記，自動為不同用戶的節(jié)點(diǎn)建立不同的信道，使用戶的流量分別穿行在不同的“虛通道”中，實(shí)現(xiàn)了用戶流量的有效隔離；利用EBGP動態(tài)路由協(xié)議，實(shí)現(xiàn)路由的動態(tài)自適應(yīng)，任意一點(diǎn)只需要在CE路由器端進(jìn)行路由宣告，其余各點(diǎn)均可自動獲得相應(yīng)的路由，大大降低了網(wǎng)絡(luò)管理人員的維護(hù)負(fù)擔(dān)。未來如果分支機(jī)構(gòu)發(fā)生變更，只需要變更相應(yīng)分支機(jī)構(gòu)的接入線路即可輕松實(shí)現(xiàn)MPLS VPN專網(wǎng)的變更；從實(shí)施成本上考慮，由于網(wǎng)絡(luò)架構(gòu)為全網(wǎng)狀，各個節(jié)點(diǎn)的網(wǎng)絡(luò)流量相對均衡，所以對各個節(jié)點(diǎn)的CE路由器性能要求不高，只需要支持EBGP動態(tài)路由協(xié)議即可，MPLS VPN專網(wǎng)實(shí)際上只需支付本地的網(wǎng)絡(luò)通信費(fèi)用，就可以收到租用專線長途通信的效果，所以線路的租賃費(fèi)用也比點(diǎn)對點(diǎn)數(shù)據(jù)專線要便宜。圖1為MPLS VPN專網(wǎng)示意圖。

表1 四地IP地址的規(guī)劃

圖1 MPLS VPN專網(wǎng)示意圖

實(shí)施步驟

為A、B、C、D四地組建MPLS VPN專網(wǎng)，首先需要向運(yùn)營商申請資源，包括AS域的申請、各地線路的帶寬以及保障等級、每個站點(diǎn)能夠發(fā)布的路由條目數(shù)量，同時(shí)規(guī)劃PE和CE之間的互聯(lián)地址，提供給運(yùn)營商，本文MPLS VPN線路互聯(lián)地址規(guī)劃如表2所示。待運(yùn)營商局端調(diào)試完畢后，還需要在本端CE路由器進(jìn)行相應(yīng)配置，由于四地CE路由器配置方法基本一致，下面以A地CE路由器配置為例，具體步驟如下：

1.配置CE端的接口地址。MPLS VPN線路支持多種主流標(biāo)準(zhǔn)接口的接入，本文采用RJ45以太口。首先通過Telnet登錄A地的CE路由器，在對應(yīng)的以太接口下，配置相應(yīng)的接口地址，并開啟接口，具體命令如下：

Router（config）#interface FastEthernet2/0

Router（config-if）#description MPLS VPN

Router（config-if）#ip address 192.168.222.1 255.255.255.252

表2 MPLS VPN線路互聯(lián)地址規(guī)劃

Router（config-if）#no shut

Router（config-if）#do write

完成上述步驟后，可以進(jìn)行CE和PE之間的聯(lián)通性測試，在CE路由器上直接ping對端的PE接口地址192.168.222.2，如果能夠ping通，說明本地與運(yùn)營商之間已經(jīng)對接成功。

2.創(chuàng) 建BGP AS域。AS域號1919由運(yùn)營商分配，neighbor AS域由運(yùn)營商指定為4809，并發(fā)布本地相關(guān)路由，具體命令如下所示：

Router（config）#router bgp 1919

Router（config-router）# network 172.19.4.0 mask 255.255.255.0

Router（config-router）# network 172.19.5.0 mask 255.255.255.0

Router（config-router）# neighbor 192.168.222.2 remote-as 4809

Router（config-router）# no auto-summary

Router（config-router）# do write

3.創(chuàng)建宣告網(wǎng)段的本地路由。利用步驟2將A地網(wǎng)段進(jìn)行發(fā)布后，必須在本地CE端路由器上針對該網(wǎng)段創(chuàng)建同樣的目的地址路由，而且不能隨便使用路由匯總，步驟2中發(fā)布的每個本地網(wǎng)段，都必須設(shè)置對應(yīng)獨(dú)立的靜態(tài)路由，否則這些網(wǎng)段將無法廣播到其他節(jié)點(diǎn)；如果該網(wǎng)段是直接連接在CE路由器上，則不需要單獨(dú)設(shè)置路由，直接使用自動生成的直連路由即可。具體命令如下：

Router（config）# ip route 172.19.4.0 255.255.255.0 192.168.220.1

Router（config）# ip route 172.19.5.0 255.255.255.0 192.168.220.1

其中192.168.220.1是與路由器互聯(lián)的核心交換機(jī)的接口地址。

完成上述三個步驟后，A地CE路由器已經(jīng)配置完畢，以同樣的方法對其余三地的CE路由器進(jìn)行配置，配置的參數(shù)中只有CE路由器接口地址、PE路由器的接口地址和需要發(fā)布的本地路由會相應(yīng)發(fā)生變化，其他均保持不變；然后在各地的CE路由器上使用show bgp all命令查看是否已經(jīng)成功獲得其他各地的BGP動態(tài)路由，如果各地都能獲得對應(yīng)路由，說明整個MPLS VPN專網(wǎng)已經(jīng)調(diào)試完畢，可以交付使用。

總結(jié)

評估辦公網(wǎng)絡(luò)優(yōu)劣的一個很重要的標(biāo)準(zhǔn)就是網(wǎng)絡(luò)能否靈活適應(yīng)企業(yè)的業(yè)務(wù)變更，辦公網(wǎng)絡(luò)不能成為阻礙企業(yè)業(yè)務(wù)發(fā)展的瓶頸，而應(yīng)成為促進(jìn)企業(yè)發(fā)展的催化劑。本文所介紹的MPLS VPN專網(wǎng)能夠適應(yīng)多種辦公環(huán)境，特別是對于異地多點(diǎn)辦公的環(huán)境有著天然的適應(yīng)優(yōu)勢，相信能夠?yàn)槠髽I(yè)提供性價(jià)比最優(yōu)的解決方案。