李雷

（西南財(cái)經(jīng)大學(xué)，四川 成都 610075）

基于MPLS VPN的校園網(wǎng)多業(yè)務(wù)系統(tǒng)運(yùn)用*

李雷

（西南財(cái)經(jīng)大學(xué)，四川 成都 610075）

本文介紹了MPLS（Multi-Protocol Label Switching）及VPN（Virtual Private Network）技術(shù)，闡述了MPLS VPN技術(shù)的工作原理與實(shí)現(xiàn)方法，并通過某高?？傂^(qū)和分校區(qū)校園網(wǎng)絡(luò)建設(shè)的實(shí)例，詳細(xì)說明了MPLS VPN網(wǎng)絡(luò)技術(shù)在高校校園網(wǎng)中針對教學(xué)、科研和OA（辦公自動化）等多業(yè)務(wù)系統(tǒng)的綜合高效應(yīng)用。

MPLS VPN；多業(yè)務(wù)系統(tǒng)；校園網(wǎng)

一、引言

由于高校信息化程度不斷加深，校園網(wǎng)上各種管理應(yīng)用系統(tǒng)平臺不斷增加，各種各樣的網(wǎng)絡(luò)需求和安全問題對傳統(tǒng)校園網(wǎng)提出了巨大的挑戰(zhàn)，如何實(shí)現(xiàn)學(xué)校教學(xué)、科研、OA等多個(gè)業(yè)務(wù)系統(tǒng)的“隔離與受控訪問”，并能檢測、調(diào)節(jié)、設(shè)定不同業(yè)務(wù)優(yōu)先級，提供多等級校園網(wǎng)絡(luò)服務(wù)質(zhì)量，優(yōu)化網(wǎng)絡(luò)性能，成為校園網(wǎng)工程改造的難題。由于MPLS VPN技術(shù)能夠非常簡單地實(shí)現(xiàn)學(xué)校各部門之間的橫向和縱向互訪，并且在增加新的節(jié)點(diǎn)時(shí)，不需要對原有節(jié)點(diǎn)的配置進(jìn)行修改。所以相對其他VPN技術(shù)，采用MPLS技術(shù)組建的VPN具有更好的可維護(hù)性及可擴(kuò)展性，MPLS VPN更適合于組建較大規(guī)模的復(fù)雜的VPN網(wǎng)絡(luò)，已經(jīng)成為建設(shè)校園網(wǎng)的主流技術(shù)。

二、MPLS VPN技術(shù)原理

1．MPLS VPN 簡介

伴隨互聯(lián)網(wǎng)及網(wǎng)絡(luò)技術(shù)的發(fā)展，VPN技術(shù)被廣泛地應(yīng)用。通過VPN技術(shù)，可以借助于互聯(lián)網(wǎng)來構(gòu)建一個(gè)臨時(shí)的、安全的連接，從而實(shí)現(xiàn)在互聯(lián)網(wǎng)上安全地傳輸私有數(shù)據(jù)。早期的VPN主要使用永久虛電路（PVC）和隧道技術(shù)，隨著網(wǎng)絡(luò)連接范圍的擴(kuò)大，其可擴(kuò)展性和管理的問題越來越突出。為了解決這個(gè)問題，產(chǎn)生了基于MPLS的多VPN系統(tǒng)，通過在VPN系統(tǒng)中采用MPLS技術(shù)可以建設(shè)能夠支持多種業(yè)務(wù)級別并且能夠無限擴(kuò)展的全互連IP-VPN。

MPLS VPN一般采用圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)。其中VPN是由若干不同站點(diǎn)組成的集合，一個(gè)站點(diǎn)可以屬于不同的VPN，屬于同一VPN的站點(diǎn)具有IP連通性，不同VPN間可以有控制地實(shí)現(xiàn)互訪與隔離。

MPLS VPN網(wǎng)絡(luò)主要由三部分組成：CE、PE和P。CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；P路由器是運(yùn)營商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的LSR，它根據(jù)分組的外層標(biāo)簽對VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)，P路由器只維護(hù)PE路由器的路由信息而不維護(hù)VPN相關(guān)的路由信息；PE路由器是運(yùn)營商邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的LER，它根據(jù)存放的路由信息將來自CE路由器或LSP的VPN數(shù)據(jù)處理后進(jìn)行轉(zhuǎn)發(fā)，同時(shí)負(fù)責(zé)和其他PE路由器交換路由信息。

2．VPN路由轉(zhuǎn)發(fā)表

MPLS VPN通過VPN路由轉(zhuǎn)發(fā)表和MPLS中的LSP來實(shí)現(xiàn)路由隔離和信息隔離。在PE路由器上，存在有多個(gè)VRF表，這些VRF表是和PE路由器上的一個(gè)或多個(gè)子接口相對應(yīng)的，用于存放這些子接口所屬VPN路由信息。通常情況下，VRF表中只包含一個(gè)VPN的路由信息，但是當(dāng)子接口屬于多個(gè)VPN時(shí)，其所對應(yīng)的VRF表中就包含了子接口所屬的所有VPN的路由信息。

VPN中IP地址的規(guī)劃是由客戶自行制訂的，因而有可能會出現(xiàn)客戶選擇在RFC1918中定義的私有地址作為他們的站點(diǎn)地址或者不同的VPN使用相同的地址域，即地址重疊。地址重疊將導(dǎo)致BGP無法區(qū)分來自不同VPN的重疊路由，而導(dǎo)致某個(gè)站點(diǎn)不可達(dá)。

MPLS VPN在使用多個(gè)VRF表的基礎(chǔ)上，引入了路由區(qū)分符RD。RD具有全局唯一性，通過將8個(gè)字節(jié)的RD作為IPv4地址前綴的擴(kuò)展，使不唯一的IPv4地址轉(zhuǎn)化為唯一的VPN-IPv4地址，如圖2所示。VPN-IPv4地址對客戶端設(shè)備來說是不可見的，它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。

圖2 VPN-IPv4前綴格式

RD和VRF表之間建立了一一對應(yīng)的關(guān)系。通常情況下，對于不同PE路由器上屬于同一個(gè)VPN的子接口，為其所對應(yīng)的VRF表分配相同的RD。如果VPN和VRF之間沒有一一對應(yīng)的映射，路由器如何知道要將哪條路由插入到哪個(gè)VRF中呢？MPLS VPN通過引入路由目標(biāo)RT來解決這一情況。從VRF導(dǎo)出時(shí)，將使用一個(gè)或多個(gè)RT對每條VPN路由進(jìn)行標(biāo)記。

RT分成Import RT和Export RT，分別用于路由信息的導(dǎo)入、導(dǎo)出策略。當(dāng)從VRF表中導(dǎo)出VPN路由時(shí)，要用Export RT對VPN路由進(jìn)行標(biāo)記；在往VRF表中導(dǎo)入VPN路由時(shí)，只有所帶RT標(biāo)記與VRF表中任意一個(gè)Import RT相符的路由才會被導(dǎo)入到VRF表中。RT具有全局唯一性，并且只能被一個(gè)VPN使用。

三、某高校MPLS VPN架構(gòu)

1．組網(wǎng)需求

某高校總校區(qū)在成都，在綿陽還擁有一個(gè)分校區(qū)。在學(xué)校原有網(wǎng)絡(luò)中，總校區(qū)和分校區(qū)的三種主要業(yè)務(wù)：教學(xué)、科研和OA（辦公自動化）使用不同的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路，不僅成本昂貴而且管理不便。學(xué)校希望能夠在總校區(qū)和分校區(qū)之間建立一個(gè)統(tǒng)一、高效、可維護(hù)的數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)不同業(yè)務(wù)之間的隔離和相同業(yè)務(wù)之間的連通；并且可以進(jìn)一步擴(kuò)展外部網(wǎng)絡(luò)，方便以后學(xué)校網(wǎng)絡(luò)的進(jìn)一步擴(kuò)建。

2．方案拓?fù)?/p>

圖3中，成都總校區(qū)和綿陽分校區(qū)兩地之間由運(yùn)營商提供的MPLS VPN骨干網(wǎng)PE1、PE2和P相連。不同的業(yè)務(wù)屬于不同的VPN站點(diǎn)，但是運(yùn)用同一個(gè)MPLSVPN骨干網(wǎng)。這樣不僅實(shí)現(xiàn)了教學(xué)、科研、OA辦公系統(tǒng)三種不同業(yè)務(wù)之間的隔離，相同業(yè)務(wù)的連通，而且方便了學(xué)校的統(tǒng)一管理。

四、MPLS VPN方案配置

1．配置 CE

CE路由器作為用戶端設(shè)備，僅需要做一些基本的配置，就能夠?qū)崿F(xiàn)與PE設(shè)備進(jìn)行路由信息的交換。常用的路由交換方式有RIP、OSPF、EBGP、靜態(tài)路由等。本次實(shí)驗(yàn)運(yùn)用最簡單的靜態(tài)路由協(xié)議進(jìn)行配置。配置語句：

ZXR10(config)#ip route x.x.x.x x.x.x.x interface

2．配置 PE

（1）定義VPN路由轉(zhuǎn)發(fā)實(shí)例VRF

ZXR10(config)#ip vrf vrfname

ZXR10(config-vrf)#rd ASN：nn

ZXR10(config-vrf)#route-target import ASN：nn

ZXR10(config-vrf)#route-target export ASN：nn

（2）定義指定的接口與VRF關(guān)聯(lián)

如果這個(gè)接口預(yù)先配置了IP地址，那么原IP地址消失，必須重新配置。配置語句：

ZXR10(config)#interface fei_1/1

流域管理與區(qū)域管理相結(jié)合，是水法確立的水資源保護(hù)管理制度。通過長期的探索與實(shí)踐，以流域?yàn)閱卧饔蚺c區(qū)域相結(jié)合、水利與環(huán)保相聯(lián)合的黃河水資源保護(hù)管理體系已初步形成，在業(yè)務(wù)合作、信息共享等方面成效顯著。

ZXR10(config-if)#ip vrf forwarding vpnname

（3）定義 VRF 路由

PE路由器可以定義靜態(tài)路由，也可以運(yùn)行動態(tài)路由協(xié)議與CE路由器自動交互。靜態(tài)路由的配置中需要通過IP route命令指定VRF。對于不同的動態(tài)路由協(xié)議，PE上配置方法不同。目前版本支持rip，ospf，is-is，bgp四種協(xié)議，本次實(shí)驗(yàn)運(yùn)用的是bgp協(xié)議。配置語句：

ZXR10(config)#router bgp xxx

ZXR10(config-router)#address-family ipv4 vrf vrfname

ZXR10(config-router-af)#redistribute connected

ZXR10(config-router-af)#neighbor x.x.x.x remote-as yyy

（4）配置 MP-BGP 協(xié)議

配置語句：

ZXR10(config)#router bgp xxx

ZXR10(config-router)#no synchronization

ZXR10(config-router)#no bgp default route-target filter

ZXR10(config-router)#no bgp default ipv4-unicast

ZXR10(config-router)#neighbor x.x.x.x remote-as xxx

ZXR10(config-router)#neighbor x.x.x.x update-source loopback1

ZXR10(config-router)#address-family ipv4 vrf vrfname

ZXR10(config-router-af)#redistribute connected

ZXR10(config-router-af)#redistribute igp

ZXR10(config-router)#address-family vpnv4

ZXR10(config-router-af)#neighbor x.x.x.x activate

3．配置 P

P路由器不需要維護(hù)VPN路由，但需要保證數(shù)據(jù)傳輸?shù)倪B通性，需要如下配置：在P與PE相連的各接口上啟動IGP路由協(xié)議，如RIP、OSPF等，并引入直連路由或靜態(tài)路由，實(shí)現(xiàn)PE內(nèi)部的互通。配置語句：

ZXR10(config)#router ospf 1

ZXR10(config-router)#network x.x.x.x x.x.x.x area 0

ZXR10(config-router)#network x.x.x.x x.x.x.x area 0

五、結(jié)束語

運(yùn)用MPLS VPN技術(shù)，可以為學(xué)校網(wǎng)絡(luò)建設(shè)帶來以下幾個(gè)方面的好處：

1.流量控制

在數(shù)據(jù)包的傳輸過程中，不同的標(biāo)簽在網(wǎng)絡(luò)中接受不同的QoS服務(wù)，學(xué)校只需要對不同部門業(yè)務(wù)的流量進(jìn)行限制就能達(dá)到控制流量的作用，實(shí)現(xiàn)對學(xué)校網(wǎng)絡(luò)的智能管理。

2.數(shù)據(jù)傳輸快速穩(wěn)定

MPLS技術(shù)利用短小的4個(gè)字節(jié)標(biāo)簽，采用精確匹配的方式取代了傳統(tǒng)路由器的最長匹配尋徑方式，節(jié)省了查找路由表的時(shí)間，使數(shù)據(jù)傳輸?shù)乃俣雀涌焖俜€(wěn)定。

3.安全性更高

數(shù)據(jù)包在骨干網(wǎng)的轉(zhuǎn)發(fā)過程中，路由器只需要查看其添加的標(biāo)簽內(nèi)容來決定轉(zhuǎn)發(fā)路徑，而不用像普通的網(wǎng)絡(luò)傳輸一樣，需要打開IP數(shù)據(jù)包的頭部查看其具體的目的IP地址。這樣大大減小了數(shù)據(jù)泄露和丟失的幾率，增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

4.支持多種業(yè)務(wù)間的隔離

MPLS VPN的一大優(yōu)勢就是可以在網(wǎng)絡(luò)內(nèi)部通過單一的標(biāo)簽交換機(jī)制，運(yùn)用同一條骨干網(wǎng)絡(luò)，只需要使用不同的接入設(shè)備，就能實(shí)現(xiàn)不同業(yè)務(wù)之間的隔離。

5.易于擴(kuò)展

學(xué)校以后如果還要增加新的業(yè)務(wù)或建設(shè)新的分校區(qū)，則只需要在骨干網(wǎng)的邊緣增添相應(yīng)的邊緣路由器，在該路由器上完成簡單的配置就能實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展，而各企業(yè)站點(diǎn)和運(yùn)營商核心路由器的配置基本不變，大大節(jié)省了工作量。

[1]陶國芳.基于CISCO路由器的BGP/MPLS VPN的研究與實(shí)現(xiàn)[J].電子技術(shù)應(yīng)用,2006(10).

[2]陳雪非,黃河,李蓬.MPLS VPN關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2007(7).

[3]榮莉,蔡洪斌,孟林.基于BGP/MPLS的VPN的原理與政務(wù)網(wǎng)規(guī)劃[J].電腦與信息技術(shù),2008(8).

[4]陳淑瑜.BGP/MPLS VPN原理及安全實(shí)施[J].電腦學(xué)習(xí),2007(8).

[5]余勇.淺談BGP/MPLS VPN的原理與實(shí)現(xiàn)[J].電腦知識與技術(shù),2006(14).

TP393.18

A

1673-8454（2011）03-0019-03

*本文為四川省科技廳軟科學(xué)項(xiàng)目（2010ZR0023）成果。

（編輯：金冉）