□馮國平

( 山西煤炭職業(yè)技術學院，山西 太原 030031)

隨著高校信息化的不斷建設與發(fā)展，校園網中各種新興業(yè)務模型也不斷涌現。當今數字化校園的業(yè)務體系架構中，業(yè)務系統可以分為以下幾大類：教學支撐平臺、電子教務平臺、科研平臺、數字圖書館、網絡服務、其他業(yè)務(一卡通)等。這些系統構成了高校校園網核心業(yè)務平臺，是學校的經脈，滲透在學校運轉的各個方面，在學校的發(fā)展中起著極其重要的作用。同時，近年來隨著高校的擴建、合并，很多學校存在2個以上的校區(qū)，各校區(qū)都設置了相同的職能部門，這就存在著不同校區(qū)相同部門及跨部門的業(yè)務系統的互通需求。原先針對不同部門不同業(yè)務類型采用的網絡建設邏輯隔離或物理隔離的方式已經在投入成本及可擴展性方面受到極大的制約，學校IT部門希望通過一個統一的網絡來為多種混合業(yè)務提供接入，實現多業(yè)務的融合，同時可以降低整體IT投資、簡化管理。

一、如何實現多業(yè)務融合

學校數字化校園的建設中，資源整合、網絡虛擬化是必然的發(fā)展趨勢，學校的各業(yè)務部門間既有橫向部門間的信息交互，又有縱向跨校區(qū)同部門的信息交互，在應用上，各部門用戶經授權能訪問縱向網絡的相應資源；同時各部門用戶經授權又能訪問橫向網絡資源。因此，將來整個校園網絡是由多條縱向專網、橫向專網相連接形成的復雜結構，如何保證各部門的橫向縱向網絡形成虛擬的獨立安全通道，進行邏輯網絡的安全隔離，同時又可以方便地進行業(yè)務擴展呢？通常采用VPN(Virtual Private Network)技術來提供虛擬的安全通道，從而實現網絡的安全隔離，但傳統的端到端隧道加密方案IPSEC VPN由于需要專用設備，配置復雜，新業(yè)務上線需要由維護者重新配置大量的內容，也無法實現安全隔離后業(yè)務的互訪，業(yè)務擴展性差，并不適合高校的業(yè)務往來模型。而MPLS VPN技術的出現，彌補了傳統VPN的不足，很好地解決了業(yè)務的安全性與可擴展性需求。MPLS VPN是基于標簽轉發(fā)技術的一種VPN，在數據通信設備上應用標簽交換協議來建立獨立的安全通道，同時為各VPN之間的互訪提供了可能。業(yè)務的部署和相互間的訪問權限的控制更為靈活方便，如為財務系統開辦一個獨立的VPN網絡，在需要訪問財務系統的VPN業(yè)務類型里導入財務VPN的RT信息，就可以實現業(yè)務間的互通。MPLS VPN的易部署易擴展性非常適合當今高校校園網多業(yè)務融合的需求。目前MPLS L3 VPN，即BGP/MPLS VPN技術比較成熟，已經形成標準。

以下是MPLS VPN相比傳統VPN的優(yōu)勢：1.安全性高。MPLSVPN采用了VRF、路由隔離(RT)、地址隔離(RD)等多種技術，同時在VPN內還可以運行如GRE、IPSEC等其他隧道加密技術提供安全保障。2.可擴展性。一臺設備可支持大量的VRF劃分；同一個VPN內用戶節(jié)點的擴容更為容易，用戶端的地址變更只需要在核心側回指路由即可。3.多協議承載。由于采用了屬于2.5層的標簽交換技術，可方便承載IPV4、IPV6數據、語音、視頻。4.服務質量保證?？刹捎肕PLS TE流量工程為各業(yè)務提供不同的服務級別。5.易管理維護。VPN統一由信息中心維護，對業(yè)務的上線及業(yè)務互相隔離及訪問的需求進行統一部署管理，減輕業(yè)務部門的負擔。6.設備投資少。不需要為每個隔離業(yè)務投入設備，只需要在骨干網支持標簽交換及BGP協議，用戶側只需要提供簡單的普通交換機或路由器即可。

二、MPLS VPN的工作原理

MPLS VPN與傳統的VPN不同，MPLS VPN不依靠封裝和加密技術，MPLS VPN依靠轉發(fā)表和數據包的標簽來創(chuàng)建一個安全的VPN。MPLS VPN中的設備如圖1所示。圖中：P(Provider Router)，指骨干網中的核心路由器，主要完成路由和快速轉發(fā)功能，不參與業(yè)務的接入。PE (Provider Edge Router)，指骨干網中的邊緣路由器，主要負責VPN業(yè)務的接入，即VRF的劃分；CE(Custom Edge)，直接與骨干邊緣相連的用戶設備； VRF(VPN Routing & Forwarding Instance)，虛擬路由轉發(fā)實例，包含到一個或多個直接相連的CE的路由和轉發(fā)表。報文是從CE設備發(fā)送到PE設備，其過程如圖2所示。CE將報文發(fā)給與其相連的VRF接口，PE在本VRF的路由表中進行查找，得到了該路由的公網下一跳地址(即：對端PE的loopback地址)和私網標簽。在把該報文封裝一層私網標簽后，在公網的標簽轉發(fā)表中查找下一跳地址，再封裝一層公網標簽后，交于MPLS轉發(fā)。

MPLS VPN工作原理可以簡單地描述為以下四步：1.路由器或者IP+ATM交換機通過使用網絡服務供應商提供的內部網關協議(如OSPF、ISIS等)自動生成路由表。LDP標簽協議使用路由表中的拓撲技術在鄰近設備之間建立有價值的標簽。經過這樣的步驟后，在與目標節(jié)點之間建立了標簽交換路由器或者可配置的路由地圖，MPLS VPN的標簽是自動分配的。2.入口數據包進入標簽交換路由器中，在路由器中確定哪些第三層服務是需要的，如QoS和帶寬管理?；诼酚珊筒呗孕枨螅吘墭撕灲粨Q路由器選擇標簽，并在數據包頭中應用所選標簽，然后繼續(xù)向前傳遞數據包。3.核心標簽交換路由器讀取第一個數據的標簽，并用本地發(fā)送路由表中的新的標簽替換它，然后繼續(xù)傳遞數據包。這一步需要在每一個路由器躍點中重復進行。4.出口邊緣標簽交換路由器取下數據包頭中的標簽，讀取數據包頭信息，然后繼續(xù)傳遞數據包到目標網絡地址。

MPLS標簽在包括第三層信息的核心標簽交換路由器中被重新比較、計算交換標簽，允許每一個標簽交換路由器自動為每一個數據包糾正IP服務。路由表被重新計算以使路由器的每一個躍點都不在重新進行以上步驟。

三、MPLS VPN在高校校園網中的實現

在整個校園網絡中部署MPLS VPN，根據設備的作用將核心設備、區(qū)域匯聚、樓宇匯聚等分別設為P設備、PE設備、CE設備，將不同的業(yè)務部門或不同的應用劃入不同的VPN，然后在PE設備中建立相應的VRF，如財務VRF、教務處VRF、互聯網VRF、一卡通VRF等，對路由進行隔離，在MPLS域內通過動態(tài)分發(fā)的標簽實現隧道式的轉發(fā)。

學校MPLS VPN業(yè)務按如下規(guī)劃：1. VRF規(guī)則。VPN路由和轉發(fā)實例，是與一個或多個相連的客戶站點相關聯的路由和轉發(fā)表，VRF只有本地意義，網絡設計中VRF即相應應用系統相關聯的路由和轉發(fā)表。將需要隔離的業(yè)務劃入VPN，建立相關路由和轉發(fā)實例，其他業(yè)務保持原有的運行模式，如一卡通業(yè)務系統VPN劃分為XX(學校名縮寫)_YKT，校園監(jiān)控系統VPN劃分為XX(學校名縮寫)_XYJK。2. Route-Distinguisher規(guī)則。VPN設計中采用如下RD值的格式：16位自治系統號；32位用戶自定義數字。由于RD與VRF相捆綁，也即PE設備上每個VRF表中的所有VPN-IPv4路由將使用同一個RD值，RD值保證了VPN-IPv4路由在PE設備上的唯一性，所以必須全局統一分配，如表1所示。3. Route-Target規(guī)則。通過配置VRF(路由轉發(fā)實例)的route target屬性，可以實現不同業(yè)務的VPN。不同路由器通過route target相關聯而組成可以互相訪問的集合，也就是說，VPN的成員關系是通過路由所攜帶的route target屬性來獲得的。不同CE 通過PE 配置的VRF 里的Target實現互訪與隔離，從而組成不同的VPN。RT值的格式：16位自治系統號；32位用戶自定義數字，如表2所示(ASN由學校自行規(guī)劃私有BGP自治域號)。

四、采用MPLS VPN的優(yōu)勢

1. VPN實現網絡安全。VPN以多種方式增強了網絡的智能和安全性。具有高度的安全性，對于現在的網絡是極其重要的。2. 降低成本。由于 VPN獨立于初始的協議，這就使得接入用戶可以繼續(xù)使用傳統的設備，保護了用戶在現有硬件和軟件系統上的投資。3. 容易擴展。新的需要隔離的業(yè)務上線只需要創(chuàng)建新的VRF實例將業(yè)務系統間需要訪問的規(guī)則導入即可。4. 支持新興應用。許多專用網對于許多新興應用準備不足，如那些要求高帶寬的多媒體和協作交互式應用。MPLS VPN則可以支持各種高級的應用，如IP語音，IP傳真，還有各種協議，如RSIP、IPv6、MPLS、SNMPv3等。

總之，利用 MPLS VPN技術改造傳統的校園網，為校園數字化的進一步發(fā)展提供了可靠的技術保障。同時可以推動學校IT部門實現網絡資源提升，推動資源整合，保護學校的IT整體投資，實現網絡資源虛擬化，更加有利于學校信息化建設的發(fā)展。

參考文獻：

[1]王達.虛擬專用網(VPN)精解[M].北京:清華大學出版社,2004.

[2]Ivan Pepelnjak, Jim Guichard and Jeff Apcar.盧澤新，朱培棟，齊寧譯. MPLS和VPN體系結構(第2卷)[M]. 北京:人民郵電出版社,2004.

[3]李曉東.MPLS技術與實現[M].北京:電子工業(yè)出版社, 2002.

[4]石晶林，丁煒.MPLS寬帶網絡互聯技術[M].北京:人民郵電出版社,2001.

[5]Bruce Davie, Yakov Rekhter.羅志祥,朱志實,黃本雄等譯.多協議標簽交換技術與應用[M].北京:機械工業(yè)出版社,2001.

[6]彭暉.新型的骨干網路由平臺——MPLS[M].北京:人民郵電出版社,2002.

表1 VRF—RD對應屬性值

VRF名稱RD(ASN由學校自行規(guī)劃私有BGP自治域號)一卡通VRFASN:1校園監(jiān)控VRFASN:2互聯網VRFASN:3財務VRFASN:4，……

表2 VPN —RT對應屬性值

VPN名稱ExportRTImportRT一卡通VRFASN:1ASN:1校園監(jiān)控VRFASN:2ASN:2互聯網VRFASN:3ASN:3財務VRFASN:4ASN:4………………

圖1 MPLS VPN通信網絡結構

圖2 報文從CE到PE的轉發(fā)