季冬冬，于松民，艾青旺

（中國(guó)衛(wèi)星海上測(cè)控部，江蘇 江陰 214431）

0 引 言

當(dāng)前，企業(yè)對(duì)通信鏈路等業(yè)務(wù)需求呈現(xiàn)多樣化特征。辦公自動(dòng)化（Office Automation，OA）網(wǎng)、安全保障網(wǎng)以及生產(chǎn)運(yùn)行網(wǎng)這3網(wǎng)通過(guò)各自獨(dú)立的鏈路傳輸不同的業(yè)務(wù)，傳輸網(wǎng)絡(luò)處于相對(duì)分割的狀態(tài)，浪費(fèi)了大量網(wǎng)絡(luò)資源，不利于集中統(tǒng)一管理。為最大限度整合現(xiàn)有網(wǎng)絡(luò)資源，形成完整的業(yè)務(wù)傳輸網(wǎng)絡(luò)，滿(mǎn)足以企業(yè)間辦公OA網(wǎng)為基礎(chǔ)的承載網(wǎng)絡(luò)。采用交換虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）方式分別承載辦公OA網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)的需求，構(gòu)建高效集成的內(nèi)部專(zhuān)用網(wǎng)絡(luò)，適合部署應(yīng)用于企業(yè)間數(shù)據(jù)傳輸。

1 總體思路及方案目標(biāo)

企業(yè)公司總部與分部距離較遠(yuǎn)，需要跨越多個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)。企業(yè)局域網(wǎng)和廣域網(wǎng)采用開(kāi)放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）路由協(xié)議。企業(yè)間安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)以辦公OA網(wǎng)為承載，采用VPN技術(shù)構(gòu)建企業(yè)信息傳輸鏈路。企業(yè)間安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)通過(guò)隧道傳輸全網(wǎng)數(shù)據(jù)。在網(wǎng)絡(luò)設(shè)備仿真平臺(tái)（enterprise Network Simulation Platform，eNSP）模擬平臺(tái)設(shè)計(jì)一種企業(yè)網(wǎng)絡(luò)拓?fù)洌鐖D1所示。

圖1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?/p>

方案設(shè)計(jì)目標(biāo)主要包括3個(gè)方面，分別為隔離性要求、服務(wù)質(zhì)量要求和安全性要求。第一，隔離性要求。同網(wǎng)數(shù)據(jù)互通，3網(wǎng)之間路由和數(shù)據(jù)均不能互通，安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)中無(wú)廣域網(wǎng)路由。第二，服務(wù)質(zhì)量要求。3網(wǎng)數(shù)據(jù)在各自路由器出口限速，且數(shù)據(jù)在辦公OA網(wǎng)路由器匯合后，根據(jù)需求調(diào)整各網(wǎng)系數(shù)據(jù)EXP值。第三，安全性要求。3網(wǎng)數(shù)據(jù)通過(guò)VPN技術(shù)對(duì)源目的地址進(jìn)行封裝，在骨干鏈路中傳輸時(shí)無(wú)法通過(guò)互聯(lián)網(wǎng)協(xié)議（Internet Protocol，IP）地址區(qū)分業(yè)務(wù)類(lèi)型。

2 具體設(shè)計(jì)

2.1 協(xié)議體系

采用VPN技術(shù)實(shí)現(xiàn)3網(wǎng)數(shù)據(jù)隔離。通過(guò)隧道或加密技術(shù)在公共網(wǎng)絡(luò)上創(chuàng)建私用傳輸通道，將業(yè)務(wù)數(shù)據(jù)封裝在隧道中實(shí)現(xiàn)報(bào)文的邏輯隔離傳輸。VPN的隔離特性提供了某種程度的通信隱秘性和虛擬性，與底層承載網(wǎng)絡(luò)間保持資源獨(dú)立，即VPN資源不被網(wǎng)絡(luò)中非該VPN的業(yè)務(wù)所使用，確保VPN內(nèi)部信息不受外部侵?jǐn)_。目前，主流的VPN技術(shù)主要有多協(xié)議標(biāo)記（Multiprotocol Label Switching，MPLS）、保護(hù)網(wǎng)絡(luò)之間互連協(xié)議安全（Internet Protocol Security，IPSec）通信的標(biāo)準(zhǔn)以及通用路由封裝（Generic Route Encapsulation，GRE）等。

2.2 VPN技術(shù)比較

2.2.1 GRE技術(shù)

GRE通用路由封裝協(xié)議封裝網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)文，使其能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）報(bào)文中傳輸。GRE提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制，使報(bào)文能夠在異種網(wǎng)路中傳輸，異種報(bào)文傳輸?shù)耐ǖ婪Q(chēng)為T(mén)unnel。原始IP報(bào)文數(shù)據(jù)先發(fā)送至Tunnel源端進(jìn)行GRE封裝，根據(jù)Tunnel建立時(shí)確定的隧道源地址和目的地址新增GRE包頭，使用新的源地址和目的地址通過(guò)公共IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)至遠(yuǎn)端VPN網(wǎng)絡(luò)。GRE VPN轉(zhuǎn)發(fā)處理流程如圖2所示。區(qū)別于其他2種技術(shù)，僅有GRE技術(shù)支持組播業(yè)務(wù)。

圖2 GRE VPN轉(zhuǎn)發(fā)處理流程

2.2.2 IPSec VPN技術(shù)

IPSec是互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force，IETF）制定的開(kāi)放網(wǎng)絡(luò)安全協(xié)議組，主要依賴(lài)密碼技術(shù)在IP層提供認(rèn)證和加密機(jī)制，確保通信雙方傳輸數(shù)據(jù)的安全性。IPSec VPN的技術(shù)優(yōu)勢(shì)是實(shí)現(xiàn)數(shù)據(jù)來(lái)源認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)以及抗重放攻擊，在數(shù)據(jù)傳輸過(guò)程中降低數(shù)據(jù)泄漏和被竊聽(tīng)的風(fēng)險(xiǎn)。通過(guò)認(rèn)證頭標(biāo)（Authentication Header，AH）和封裝安全負(fù)載（IPSec Encapsulating Security Payload，ESP）2個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)IP數(shù)據(jù)包的安全傳輸。采用ESP封裝安全載荷協(xié)議提供密鑰協(xié)商，建立和維護(hù)安全聯(lián)盟（Security Association，SA）等服務(wù)。IPSec VPN轉(zhuǎn)發(fā)處理流程如圖3所示。

圖3 IPSec VPN轉(zhuǎn)發(fā)處理流程

2.2.3 MPLS VPN

MPLS VPN是在網(wǎng)絡(luò)路由和交換設(shè)備上運(yùn)用MPLS技術(shù)，結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)簽交換構(gòu)建VPN。在MPLS VPN模型中，網(wǎng)絡(luò)由骨干網(wǎng)與用戶(hù)各Site組成，一個(gè)VPN對(duì)應(yīng)一組Site的集合。邊界網(wǎng)關(guān)協(xié)議的多協(xié)議擴(kuò)展（Multiprotocol Extensions for Border Private Network，MP-BGP）用來(lái)在骨干網(wǎng)絡(luò)中傳遞VPN路由信息。MPLS用來(lái)將VPN業(yè)務(wù)從一個(gè)VPN站點(diǎn)轉(zhuǎn)發(fā)至另一個(gè)站點(diǎn)。MPLS網(wǎng)絡(luò)標(biāo)簽轉(zhuǎn)發(fā)處理流程如圖4所示。

圖4 MPLS網(wǎng)絡(luò)標(biāo)簽轉(zhuǎn)發(fā)處理流程

MPLS VPN的主要技術(shù)優(yōu)勢(shì)：配置簡(jiǎn)單、應(yīng)用靈活以及可擴(kuò)展性強(qiáng)；具有路由信息隔離、地址空間隔離、核心網(wǎng)絡(luò)隱藏及防標(biāo)簽欺騙等安全特性；支持服務(wù)質(zhì)量（Quality of Service，QoS）和流量工程，便于實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音及視頻的統(tǒng)一承載；能夠和路由反射器、GRE以及IPSec等技術(shù)聯(lián)合使用，適應(yīng)多種多樣的應(yīng)用場(chǎng)景。它的主要技術(shù)缺陷在于本身無(wú)法提供數(shù)據(jù)加密服務(wù)[1]。

2.3 VPN技術(shù)選擇

對(duì)比幾種VPN技術(shù)，GRE和IPSec VPN均需要不同的隧道源和目標(biāo)，需要在出口路由器配置多個(gè)環(huán)回口充當(dāng)隧道源和目標(biāo)，配置不夠靈活。此外，IPSec VPN中需要兩端協(xié)商的參數(shù)較多，一端配置錯(cuò)誤會(huì)導(dǎo)致兩端通信失敗。MPLS VPN配置靈活，擴(kuò)展性強(qiáng)，非常適于構(gòu)建主干鏈路網(wǎng)絡(luò)。IPSec VPN具有較強(qiáng)的安全性，但企業(yè)各業(yè)務(wù)網(wǎng)已購(gòu)買(mǎi)相應(yīng)安全設(shè)備加密數(shù)據(jù)，因此安全性不必作為VPN技術(shù)選定的重要條件。企業(yè)網(wǎng)中有組播數(shù)據(jù)傳輸，因此選定MPLS VPN+GRE的技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)融合。各隧道技術(shù)特點(diǎn)如表1所示[2]。

表1 隧道技術(shù)特點(diǎn)比較表

2.4 路由協(xié)議

為實(shí)現(xiàn)三網(wǎng)合一傳輸，需將企業(yè)安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)路由器上聯(lián)口接入辦公OA網(wǎng)路由器，通過(guò)專(zhuān)用MPLS VPN通道進(jìn)入辦公OA網(wǎng)，3網(wǎng)數(shù)據(jù)經(jīng)運(yùn)營(yíng)商網(wǎng)絡(luò)傳輸至企業(yè)分部，最終接入對(duì)應(yīng)網(wǎng)系。

3網(wǎng)所涉及設(shè)備為企業(yè)辦公OA網(wǎng)、安全保障網(wǎng)以及生產(chǎn)運(yùn)行網(wǎng)路由器，局域網(wǎng)和廣域網(wǎng)全部采用OSPF路由協(xié)議。第一，各網(wǎng)系匯聚交換機(jī)和路由器之間啟用OSPF動(dòng)態(tài)路由協(xié)議；第二，3網(wǎng)路由器之間啟用OSPF動(dòng)態(tài)路由協(xié)議，處于同一OSPF域中，路由優(yōu)先級(jí)默認(rèn)；第三，3網(wǎng)路由器OSPF進(jìn)程中宣告各自?xún)?nèi)網(wǎng)網(wǎng)段；第四，辦公OA網(wǎng)路由器OSPF進(jìn)程中引入BGP路由。

2.5 廣域網(wǎng)路由配置

所涉及設(shè)備為辦公OA網(wǎng)兩端路由器和中間節(jié)點(diǎn)路由器。各路由器啟用動(dòng)態(tài)OSPF路由協(xié)議實(shí)現(xiàn)鏈路互通，兩端辦公OA網(wǎng)路由器啟用BGP路由協(xié)議形成內(nèi)部BGP協(xié)議（Internal Border Gateway Protocol，IBGP）鄰居關(guān)系。第一，企業(yè)兩端辦公OA網(wǎng)路由器之間啟用動(dòng)態(tài)OSPF路由協(xié)議。各路由器均位于OSPF骨干區(qū)域中，默認(rèn)路由優(yōu)先級(jí)。第二，由于MPLS VPN技術(shù)依托BGP路由協(xié)議方能實(shí)現(xiàn)，企業(yè)辦公OA網(wǎng)兩端路由器需啟用BGP路由協(xié)議。處于同一AS中，互為IBGP鄰居關(guān)系，AS號(hào)為100，其余路由器不啟用BGP路由協(xié)議。第三，廣域網(wǎng)路由器OSPF進(jìn)程中宣告各自?xún)?nèi)網(wǎng)網(wǎng)段。第四，兩端辦公OA網(wǎng)路由器使用loopback地址建立IBGP鄰居，需在OSPF進(jìn)程中宣告各自的loopback地址。

3 服務(wù)質(zhì)量保證策略

為提供最佳的服務(wù)質(zhì)量，保證各網(wǎng)系部署的服務(wù)質(zhì)量，采用優(yōu)先級(jí)劃分、用戶(hù)接入端口流量監(jiān)管、優(yōu)先級(jí)隊(duì)列調(diào)度以及廣域網(wǎng)出口限速等技術(shù)手段，優(yōu)先保證高優(yōu)先級(jí)信息的正常傳輸。

3.1 業(yè)務(wù)優(yōu)先級(jí)劃分

對(duì)于需經(jīng)廣域網(wǎng)實(shí)時(shí)傳輸?shù)臄?shù)據(jù)流，在業(yè)務(wù)接入端口處采用4元組（源IP地址、目的IP地址、目的端口號(hào)以及傳輸協(xié)議），根據(jù)業(yè)務(wù)的重要性和優(yōu)先級(jí)劃分業(yè)務(wù)流。優(yōu)先級(jí)劃分規(guī)則見(jiàn)表2。

表2 業(yè)務(wù)優(yōu)先級(jí)劃分規(guī)則

3.2 用戶(hù)接入流量監(jiān)管

在業(yè)務(wù)流分類(lèi)的基礎(chǔ)上，在用戶(hù)接入端口部署流量監(jiān)管（Commit Access Rate，CAR）策略，采用單速單桶模式,即峰值信息速率（Peak Information Rate，PIR）與承諾信息速率（Committed Information Rate，CIR）設(shè)置為相等。初始令牌桶容量為1 s信息平均流入字節(jié)數(shù)。對(duì)于超出PIR的流量，標(biāo)記為紅色和黃色，監(jiān)管行為設(shè)置為丟棄。流量監(jiān)管速率設(shè)置規(guī)則：實(shí)時(shí)數(shù)據(jù)信息速率小于1 024 b/s的按照1 024 b/s限速；信息速率高于1 024 kb/s的，根據(jù)實(shí)際速率按照1 024 kb/s的整數(shù)倍限速；對(duì)于非實(shí)時(shí)數(shù)據(jù)不限速。

3.3 優(yōu)先級(jí)隊(duì)列調(diào)度

第一，在各網(wǎng)系業(yè)務(wù)數(shù)據(jù)交換設(shè)備接入端口啟用優(yōu)先級(jí)信任機(jī)制。第二，在各網(wǎng)系核心及路由器出口啟用優(yōu)先級(jí)隊(duì)列調(diào)度（Priority Queuing，PQ），實(shí)現(xiàn)不同業(yè)務(wù)的優(yōu)先級(jí)排隊(duì)，確保高優(yōu)先級(jí)的業(yè)務(wù)流優(yōu)先傳輸。第三，在辦公OA網(wǎng)路由器出口啟用加權(quán)隊(duì)列調(diào)度。

3.4 網(wǎng)系間優(yōu)先級(jí)劃分

各網(wǎng)系之間采用MPLS DiffServ流分類(lèi)方案，使用MPLS報(bào)文首部的Exp字段來(lái)承載DiffServ信息。EXP可通過(guò)承載在LSP中的IP數(shù)據(jù)包的DSCP或IP Preference映射配置，也可手動(dòng)配置，映射關(guān)系如表3所示。

表3 優(yōu)先級(jí)映射關(guān)系表

采用Pipe模式，在MPLS域入節(jié)點(diǎn)為MPLS外層標(biāo)簽的EXP字段重新賦值。從MPLS入節(jié)點(diǎn)到出節(jié)點(diǎn)，各VPN業(yè)務(wù)數(shù)據(jù)均按照網(wǎng)系規(guī)劃優(yōu)先級(jí)進(jìn)行QoS調(diào)度，直到業(yè)務(wù)數(shù)據(jù)出MPLS域后，根據(jù)原來(lái)攜帶的COS值轉(zhuǎn)發(fā)。各網(wǎng)系MPLS EXP值及DSCP值如表4所示。

表4 網(wǎng)系優(yōu)先級(jí)參數(shù)設(shè)置表

4 地址規(guī)劃

安全保障網(wǎng)及生產(chǎn)運(yùn)行網(wǎng)路由器上聯(lián)均采用29位掩碼，路由器下聯(lián)至終端設(shè)備均采用24位掩碼。辦公OA網(wǎng)接入交換機(jī)上聯(lián)至路由均采用29位掩碼，接入交換機(jī)下聯(lián)至終端設(shè)備均采用24位掩碼。安全保障網(wǎng)及生產(chǎn)運(yùn)行網(wǎng)GRE Tunnle接口地址采用192.168.100.0/24和192.168.200.0/24網(wǎng)段，新增IP報(bào)頭的源地址和目的IP地址分別采用CE上聯(lián)口地址。網(wǎng)絡(luò)地址規(guī)劃如表5所示。

表5 網(wǎng)絡(luò)地址規(guī)劃

5 網(wǎng)絡(luò)遷移調(diào)整策略

企業(yè)現(xiàn)有的傳輸模式中3網(wǎng)分別通過(guò)3個(gè)路由器獨(dú)立傳輸業(yè)務(wù)。為實(shí)現(xiàn)三網(wǎng)合一傳輸，將安全保障網(wǎng)、生產(chǎn)運(yùn)行網(wǎng)路由器出口調(diào)整連接至辦公OA網(wǎng)路由器，使辦公OA網(wǎng)路由器出口接入運(yùn)營(yíng)商網(wǎng)絡(luò)。各子網(wǎng)內(nèi)部設(shè)備連接關(guān)系無(wú)須調(diào)整。

AS100為MPLS VPN主干網(wǎng)絡(luò)搭載在辦公OA網(wǎng)鏈路上，通過(guò)運(yùn)行OSPF實(shí)現(xiàn)主干網(wǎng)絡(luò)IGP路由可達(dá)。運(yùn)營(yíng)商路由器為P設(shè)備，兩端辦公OA網(wǎng)路由器為PE設(shè)備，安全保障和生產(chǎn)運(yùn)行網(wǎng)路由器為CE設(shè)備，各業(yè)務(wù)網(wǎng)內(nèi)部相互獨(dú)立。為保證各業(yè)務(wù)網(wǎng)數(shù)據(jù)獨(dú)立傳輸，安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)數(shù)據(jù)以MP BGP路由通過(guò)辦公OA網(wǎng)主干鏈路傳輸。主干鏈路兩端路由器運(yùn)行BGP協(xié)議，建立IBGP鄰居，在BGP中引入業(yè)務(wù)網(wǎng)內(nèi)部OSPF路由。所有域內(nèi)IGP路由均采用OSPF路由。除主干鏈路運(yùn)行多區(qū)域外，企業(yè)內(nèi)部均運(yùn)行單區(qū)域，并引入BGP路由。通過(guò)以上配置可實(shí)現(xiàn)各業(yè)務(wù)網(wǎng)通過(guò)辦公OA網(wǎng)主干鏈路獨(dú)立傳輸。各區(qū)域運(yùn)行的網(wǎng)絡(luò)協(xié)議如表6所示[3]。

表6 各區(qū)域運(yùn)行網(wǎng)絡(luò)協(xié)議一覽

AS100作為MPLS骨干網(wǎng)，總公司辦公OA網(wǎng)ER和分公司辦公OA網(wǎng)ER為P設(shè)備，中間運(yùn)營(yíng)商設(shè)備為P設(shè)備，總公司和分公司的安全保障網(wǎng)ER和生產(chǎn)運(yùn)行網(wǎng)ER為CE設(shè)備。為保證業(yè)務(wù)數(shù)據(jù)傳遞的安全性，業(yè)務(wù)網(wǎng)段以VPNv4路由穿越運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行互通。

以辦公OA網(wǎng)P設(shè)備為例，相關(guān)配置為

完成兩端配置后可在兩端PE設(shè)備上通過(guò)對(duì)等體學(xué)到對(duì)端子網(wǎng)的路由，總公司PE設(shè)備VPNv4路由如圖5所示。

圖5 總公司PE設(shè)備VPNv4路由

查看IP路由表，均沒(méi)有到對(duì)端子網(wǎng)的IP路由，說(shuō)明實(shí)現(xiàn)了單播隔離功能[4]。

在整個(gè)網(wǎng)絡(luò)單播業(yè)務(wù)傳輸配置完成后，配置組播業(yè)務(wù)。辦公OA網(wǎng)的組播業(yè)務(wù)傳輸基于OSPF路由，在主干鏈路的路由器和交換機(jī)接口使能PIM SM完成組播業(yè)務(wù)傳輸。

由于MPLS VPN不支持組播業(yè)務(wù)，安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)使用GRE隧道封裝，以滿(mǎn)足組播業(yè)務(wù)的傳輸。在對(duì)應(yīng)業(yè)務(wù)網(wǎng)的路由器CE上創(chuàng)建tunnel接口，將接口協(xié)議設(shè)置為GRE，以核心出口作為source地址，以對(duì)端核心出口地址為destination地址，并在tunnel接口中使能PIM SM協(xié)議，通過(guò)GRE封裝完成組播業(yè)務(wù)的傳輸。

為實(shí)現(xiàn)組播業(yè)務(wù)，通過(guò)tunnel隧道傳輸，在組播接收端的交換機(jī)中寫(xiě)入RPF靜態(tài)路由，使得下一跳接口為tunnel接口，即

ip rpf-route-static X.X.X.X 26 Tunnel 0/0/0

以安全保障為例，在CE設(shè)備查看組播路由表，組播數(shù)據(jù)均通過(guò)GRE隧道進(jìn)行傳輸。安全保障網(wǎng)CE設(shè)備組播路由表如圖6所示[5]。

圖6 安全保障網(wǎng)CE設(shè)備組播路由表

6 安全設(shè)計(jì)

采用MPLS VPN+GRE技術(shù)，使得不同的業(yè)務(wù)網(wǎng)通過(guò)不同的VPN隧道實(shí)現(xiàn)不同業(yè)務(wù)網(wǎng)的隔離。數(shù)據(jù)傳輸時(shí)，VPN隧道封裝源目的地址。在運(yùn)營(yíng)商網(wǎng)絡(luò)傳輸時(shí)，無(wú)法通過(guò)IP地址區(qū)分業(yè)務(wù)類(lèi)型。企業(yè)各業(yè)務(wù)網(wǎng)已有相應(yīng)安全產(chǎn)品加密數(shù)據(jù)，可充分保障安全性[6]。

7 效果預(yù)估

經(jīng)過(guò)ENSP仿真驗(yàn)證，企業(yè)間安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)以辦公OA網(wǎng)為承載，采用VPN技術(shù)構(gòu)建企業(yè)信息傳輸鏈路，實(shí)現(xiàn)了同網(wǎng)數(shù)據(jù)互通，3網(wǎng)之間路由和數(shù)據(jù)均不能互通。企業(yè)間安全保障網(wǎng)和生產(chǎn)運(yùn)行網(wǎng)單播數(shù)據(jù)直接通過(guò)MPLS VPN傳輸至對(duì)端。組播數(shù)據(jù)先在CE端封裝GRE（新增IP報(bào)頭的源地址和目的IP地址分別為CE上聯(lián)口地址），封裝完成后通過(guò)MPLS VPN傳輸至對(duì)端，同時(shí)通過(guò)QoS區(qū)分各業(yè)務(wù)。單播及組播業(yè)務(wù)測(cè)試見(jiàn)表7和表8。檢查業(yè)務(wù)網(wǎng)路由表，不存在到達(dá)其他網(wǎng)系的路由，驗(yàn)證了3網(wǎng)的隔離性。

表7 單播業(yè)務(wù)驗(yàn)證測(cè)試表

表8 單播業(yè)務(wù)驗(yàn)證測(cè)試表

8 結(jié) 論

針對(duì)企業(yè)組網(wǎng)中高效和高安全等技術(shù)需求，提出一種基于BGP MPLS VPN企業(yè)跨域組網(wǎng)設(shè)計(jì)方案，并在eNSP模擬環(huán)境中仿真，在企業(yè)內(nèi)網(wǎng)及骨干網(wǎng)設(shè)備上部署OSPF、BGP以及MPLS VPN等多種復(fù)雜協(xié)議。圍繞業(yè)務(wù)數(shù)據(jù)跨域傳遞過(guò)程，配置和分析BGP對(duì)等體建立、VPN實(shí)例創(chuàng)建、MPLS標(biāo)簽分發(fā)與交換以及VPNv4業(yè)務(wù)數(shù)據(jù)跨域傳輸?shù)葍?nèi)容。結(jié)果表明，方案為私網(wǎng)路由分配標(biāo)簽，建立VPNv4業(yè)務(wù)傳輸隧道，為業(yè)務(wù)數(shù)據(jù)傳遞提供安全保障，增加VPN實(shí)例可以靈活擴(kuò)展企業(yè)增值業(yè)務(wù)，滿(mǎn)足企業(yè)網(wǎng)絡(luò)建設(shè)中安全、靈活以及高效等性能需求[7]。