關鍵詞:多協(xié)議標簽交換 虛擬專用網(wǎng) 網(wǎng)絡改造 安全隔離
摘要:MPLS技術提供了類似于虛電路的標簽交換業(yè)務,可以實現(xiàn)底層標簽自動的分配,在業(yè)務的提供上比傳統(tǒng)的VPN技術更廉價����,更快速和安全的數(shù)據(jù)傳輸。同時MPLS VPN可以充分利用MPLS技術的一些先進特性��,提供流量工程能力���、服務質(zhì)量保證等�����。DCN網(wǎng)絡作為公司內(nèi)部各營業(yè)��、辦公����、網(wǎng)管、運維等各信息系統(tǒng)承載的網(wǎng)絡平臺�����,在應用系統(tǒng)整合的大趨勢下���,對網(wǎng)絡健壯性����、安全性及可控制管理性都提出了更高的要求�����。MPLS VPN正是在這樣的環(huán)境背景下�����,成為DCN網(wǎng)絡改造的必然。
隨著公司的不斷發(fā)展���,DCN網(wǎng)上承載的業(yè)務系統(tǒng)不斷增多�����,除“97”系統(tǒng)外�����,還有如網(wǎng)管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)���、客服系統(tǒng)�����、OA等及融合后3G網(wǎng)管系統(tǒng)等����,有些應用系統(tǒng)對安全性要求較高比如OA和財務��,有些系統(tǒng)對帶寬和網(wǎng)絡質(zhì)量(QoS)要求較高���,F(xiàn)有的網(wǎng)絡不能滿足“分而治之”的企業(yè)運作管理需要��。由于信息系統(tǒng)集中整合的需要����,實施此次MPLS升級改造。通過本次改造工程的實施��,優(yōu)化網(wǎng)絡結構�����,提高網(wǎng)絡的安全性����、可靠性及整個DCN網(wǎng)的服務質(zhì)量。由一張實體物理網(wǎng)實現(xiàn)虛擬多業(yè)務網(wǎng)��,采用MPLS VPN隔離各類業(yè)務系統(tǒng)�����,骨干以現(xiàn)有DCN骨干網(wǎng)為基礎構建���,接入網(wǎng)采用靈活的方式到終端��,滿足企業(yè)內(nèi)部應用的承載和安全需求����。最終,DCN網(wǎng)絡中的終端與主機須劃入至各自所屬的MPLS VPN域中���,實現(xiàn)各個VPN域之間的通信隔離�����,同時在各個VPN間建立數(shù)據(jù)通道�����,部署防火墻對經(jīng)過數(shù)據(jù)通道的流量進行訪問控制,實現(xiàn)對不同VPN域的通信數(shù)據(jù)的有效安全控制���。
1 MPLS VPN技術簡介
MPLS VPN是由若干不同的site組成的集合�����,一個site可以屬于不同的VPN���,屬于同一VPN的site具有IP連通性���,不同VPN間可以有控制地實現(xiàn)互訪與隔離。
MPLS VPN網(wǎng)絡主要由CE.PE和P等3部分組成:CE(Custom Edge Router����,用戶網(wǎng)絡邊緣路由器)設備直接與服務提供商網(wǎng)絡。設備與用戶的CE直接相連��,負責VPN業(yè)務接入��,處理VPN-IPv4路由����,是MPLS三層VPN的主要實現(xiàn)者:P(Provider Router,骨干網(wǎng)核心路由器)負責快速轉(zhuǎn)發(fā)數(shù)據(jù)��,不與CE直接相連���。在整個MPLS VPN中��,P�����、PE設備需要支持MPLS的基本功能��,CE設備不必支持MPLS. PE是MPLS VPN網(wǎng)絡的關鍵設備��,根據(jù)PE路由器是否參與客戶的路由�����,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN.其中Layer3 MPLS VPN遵循RFC 2547BIS標準���,使用MBGP在PE路由器之間分發(fā)路由信息����,使用MPLS技術在VPN站點之間傳送數(shù)據(jù)���,因而又稱為BGP/MPLS VPN.在MPLS VPN網(wǎng)絡中�����,對VPN的所有處理都發(fā)生在PE路由器上,為此��,PE路由器上起用了VPNv4地址族�����,引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性�����,通過將8byte的RD作為IPv4地址前綴的擴展����,使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址。VPNv4地址對客戶端設備來說是不可見的����,它只用于骨干網(wǎng)絡上路由信息的分發(fā)。RT使用了BGP中擴展團體屬性���,用于路由信息的分發(fā)����,具有全局惟一性����,同一個RT只能被一個VPN使用,它分成Import RT和Export RT���,分別用于路由信息的導入和導出策略�����。在PE路由器上針對每個site都創(chuàng)建了一個虛擬路由轉(zhuǎn)發(fā)表VRF(VPN Routing & Forwarding)��,VRF為每個site維護邏輯上分離的路由表�����,每個VRF都有Import RT和Export RT屬性�����。通過對Import RT和Export RT的合理配置��,運營商可以構建不同拓撲類型的VPN���,如重疊式VPN和Hub-and-spoke VPN.整個MPLS VPN體系結構可以分成控制面和數(shù)據(jù)面��,控制面定義了LSP的建立和VPN路由信息的分發(fā)過程�����,數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程���。在控制層面,P路由器并不參與VPN路由信息的交互����,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個VPN的網(wǎng)絡拓撲信息����。除了路由協(xié)議外,在控制層面工作的還有LDP��,它在整個MPLS網(wǎng)絡中進行標簽的分發(fā)����,形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP.在數(shù)據(jù)轉(zhuǎn)發(fā)層面,MPLS VPN網(wǎng)絡中傳輸?shù)腣PN業(yè)務數(shù)據(jù)采用外標簽(又稱隧道標簽)和內(nèi)標簽(又稱VPN標簽)兩層標簽棧結構�����。當一個VPN業(yè)務分組由CE路由器發(fā)給入口PE路由器后����,PE路由器查找該子接口對應的VRF表,從VRF表中得到VPN標簽�����、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后���,就通過PE輸出接口轉(zhuǎn)發(fā)出去����,然后在MPLS骨干網(wǎng)中沿著LSP被逐級轉(zhuǎn)發(fā)���。在出口PE之前的最后一個P路由器上�����,外層標簽被彈出��,P路由器將只含有VPN標簽的分組轉(zhuǎn)發(fā)給出口PE路由器�����。出口PE路由器根據(jù)內(nèi)層標簽查找對應的輸出接口�����,在彈出VPN標簽后通過該接口將VPN分組發(fā)送給正確的CE路由器����,從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程����。
2 骨干遷移的三個關鍵問題
由于DCN網(wǎng)絡建設時間比較久,網(wǎng)絡結構比較復雜��,如何從全部使用IP環(huán)境的DCN過渡到全部使用MPLS VPN環(huán)境的DCN成了此次網(wǎng)絡升級改造的重點����。網(wǎng)絡改造期間,網(wǎng)絡的平穩(wěn)運行無論對于市場還是對于業(yè)務系統(tǒng)都是至關重要的����,由于MPLS VPN技術是對全省DCN網(wǎng)絡傳輸技術的徹底改變,如何在改變網(wǎng)絡協(xié)議結構的同時讓網(wǎng)絡仍然健康地運行成為實現(xiàn)MPLS VPN改造的首要問題�����。
過渡期間最應該考慮的關鍵三個問題是:
1)在IP環(huán)境下�����,各域間路由的互通問題�����。實現(xiàn)方法是先將組成DCN的各個IP網(wǎng)絡單元以地市為單位逐個改造為MPLS VPN 網(wǎng)絡單元,然后逐個與省公司建立MP BGP鄰居實現(xiàn)全網(wǎng)MPLS VPN化���。
2)受控互訪的實現(xiàn)����,即做到市公司在同一VPN區(qū)域內(nèi)部互相之間不可見���;市公司在同一VPN區(qū)域內(nèi)部可以訪問省公司��;市公司訪問處于不同VPN區(qū)域的省公司業(yè)務��。方案設計中采用HUB-SPOKE方式和對PE.CE層面實施控制來實現(xiàn)���。
3)VPN劃分與IP地址整理,DCN網(wǎng)絡建設前期并未考慮各個應用系統(tǒng)的MPLS VPN劃分���,因此大多系統(tǒng)混雜在一起����,或者接在同一臺設備,或者干脆就在同一個網(wǎng)段中����,同時還存在生產(chǎn)與管理地址段混用的問題。具體系統(tǒng)混接的問題可以分為三類���,地址混用、設備支持能力不足以及第二地址問題�����。
3 DCN網(wǎng)絡改造升級的設計
DCN網(wǎng)絡改造解決方案是融合MPLS���、VPN和QOS技術的統(tǒng)一解決方案��。方案采用MPLS作為承載數(shù)據(jù)傳輸?shù)男聟f(xié)議�����,使用EIGRP作為主干IGP協(xié)議�����,MPLS VPN路由使用MP-IBGP以及路由反射器進行域內(nèi)傳送���,省公司采用背對背VRF方式與集團對接�����。
MPLS需要建立在IGP路由的基礎上��,IGP協(xié)議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性���,省骨干網(wǎng)使用的EIGRP協(xié)議,地市網(wǎng)絡根據(jù)自己網(wǎng)絡環(huán)境使用EIGRP或OSPF協(xié)議���。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)����。整個網(wǎng)絡IGP協(xié)議互通��。根據(jù)整體方案�����,各PE-CE路由協(xié)議保持原OSPF動態(tài)路由協(xié)議����,在PE設備將OSPF路由重分發(fā)至MP-BGP.
各業(yè)務VPN互訪通過防火墻來實現(xiàn)。由于目前將DCN全網(wǎng)業(yè)務基本劃分為MS、BS����、OS和OTHER這四個大的系統(tǒng),跨系統(tǒng)流量如何導通成為一個較為重要的問題��。如果全部使用重疊VPN的方式��,一方面增加了維護的復雜度��,另一方面違背了建設MPLS VPN的根本目標���,重新給各業(yè)務系統(tǒng)帶來了安全隱患。采用防火墻和重疊VPN配合方式實現(xiàn)跨域互訪�����,省公司不同域的終端和主機通過省公司防火墻實現(xiàn)跨域互訪���,地市公司終端或主機需要跨域訪問省公司系統(tǒng)���,通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪���。通過在防火墻上配置嚴格的安全策略���,對各VPN之間流量進行過濾����,這樣隔離的各MPLS VPN之間可以安全的進行數(shù)據(jù)通信�����,這樣即解決了各業(yè)務系統(tǒng)之間的互通問題����,也保證了各業(yè)務系統(tǒng)的安全。
綜合前面所述�����,主要采用防火墻和重疊VPN配合方式實現(xiàn)跨域互訪��,省公司不同域的終端和主機通過省公司防火墻實現(xiàn)跨域互訪��,地市公司終端或主機需要跨域訪問省公司系統(tǒng)����,通過地市防火墻連通到不同的域中��,然后通過MPLS鏈路上連互訪�����。
將各業(yè)務VPN為HUB-SPOKE模式���,即各地市業(yè)務系統(tǒng)僅可與省中心進行通信,相互之間不可見���,不能進行相互訪問��。
在省公司和地市公司核心路由器連接防火墻�����,將防火墻的不同端口接入到不同VPN域中。在防火墻上根據(jù)各VPN業(yè)務的訪問需求作相應的訪問控制���,各VPN業(yè)務之間通過防火墻進行訪問��。
4 MPLS VPN對DCN網(wǎng)絡的重要意義
由于應用系統(tǒng)整合方向是集團公司集中和省公司集中����。集團、省集中應用系統(tǒng)通過DCN網(wǎng)絡進行信息交互����,而應用系統(tǒng)整合除功能整合外,其物理整合和集中的形勢則表現(xiàn)為集中的企業(yè)數(shù)據(jù)中心�����,MPLS升級的重要意義體現(xiàn)在:
1)全網(wǎng)絡覆蓋:應用系統(tǒng)整合后���,系統(tǒng)集中統(tǒng)一部署服務器���,滿足地市、縣客戶端遠程訪問省級應用系統(tǒng)服務器��,集團公司級應用系統(tǒng)和省級應用系統(tǒng)之間有信息交互的應用需求���。
2)系統(tǒng)受控安全互訪需求:企業(yè)運作需要��,不同應用系統(tǒng)間又有互訪的要求���。例如:營帳綜合客戶端,處于辦公網(wǎng)���,兼顧辦公和營帳工作���,需訪問營帳系統(tǒng)����;網(wǎng)管綜合客戶端��,兼顧網(wǎng)管工作和辦公管理�����、資源管理����、工單、故障單工作���,經(jīng)常在兩網(wǎng)間切換���;因此需要DCN網(wǎng)絡進行安全隔離的同時����,支持系統(tǒng)間受控互訪����,通過用戶身份識別�����、訪問授權�����、隧道加密��、安全策略部署等技術保證被訪系統(tǒng)的安全��。
3)可用性要求:隨著信息化建設的深入�����,系統(tǒng)功能將逐步得到完善���,傳送的信息內(nèi)容將日趨豐富�����,VPN顆粒將趨向細化���,VPN拓撲將日益復雜��,對現(xiàn)有企業(yè)網(wǎng)絡的交換容量�����、處理能力�����、鏈路連接能力以及VPN支持能力是網(wǎng)絡規(guī)劃建設中必需著重考慮的問題��。
4)可靠性要求:DCN網(wǎng)絡承載著企業(yè)運作所需的重要應用和數(shù)據(jù)���,在整個信息化系統(tǒng)中起到中樞神經(jīng)的作用,網(wǎng)絡故障將影響企業(yè)正常運作��。信息系統(tǒng)整合將導致地域性和功能性集中化程度的提高�����,從而增加了對DCN網(wǎng)絡的依賴���。必需充分考慮網(wǎng)絡高可靠性�����,避免網(wǎng)絡設備和鏈路的單點故障����,保證關鍵應用系統(tǒng)的訪問和接入��,保證作為應用系統(tǒng)核心的企業(yè)數(shù)據(jù)中心的高效可靠的連接����。
5)服務質(zhì)量要求:DCN網(wǎng)絡是在同一物理網(wǎng)絡上承載多個相對獨立的業(yè)務系統(tǒng),各業(yè)務系統(tǒng)為不同的職能部門開展業(yè)務提供服務���,其數(shù)據(jù)流程和管理方式都存在差異���,不同業(yè)務系統(tǒng),需要網(wǎng)絡平臺提供差別服務��,如對帶寬��、實時性有不同的要求�����,網(wǎng)絡必須具備帶寬管理、資源預留��、服務等級設置的能力���。
在保證DCN網(wǎng)絡安全運行的前提下��,有步驟���、分階段實施MPLS改造,并按照規(guī)劃設計應用RT策略實現(xiàn)各系統(tǒng)互訪受控與隔離�����。目前����,改造后的DCN網(wǎng)絡運行狀況良好。
在實現(xiàn)MPLS VPN后����,受控互訪則變得相對輕松,僅僅需要在各個MPLS VPN路由環(huán)境之間的數(shù)據(jù)通道上部署防火墻即可對各VPN間也就是各應用系統(tǒng)間的訪問進行控制��。隨著受控互訪的實現(xiàn),全覆蓋��、可用����、可靠���、優(yōu)化傳輸以及可管理等周邊需求的實現(xiàn)也變得比較容易�����。一張實體物理網(wǎng)����、虛擬多業(yè)務網(wǎng)���,采用MPLS VPN隔離各類業(yè)務系統(tǒng)�����,骨干以現(xiàn)有DCN骨干網(wǎng)為基礎構建�����,接入網(wǎng)采用靈活的方式到終端��。獨立統(tǒng)一的一張實體物理網(wǎng)���,滿足企業(yè)內(nèi)部應用的承載需求��。虛擬多業(yè)務網(wǎng)���,統(tǒng)一的業(yè)務隔離、受控互訪機制和統(tǒng)一的VPN業(yè)務接入機制���。
5 結束語
MPLS VPN網(wǎng)絡改造的實現(xiàn)���,極大的提高的DCN網(wǎng)絡的安全性,為前臺營業(yè)���、辦公OA.運維網(wǎng)絡監(jiān)控等各項不同的業(yè)務網(wǎng)絡應用提供可靠地保證���。
參考文獻:
[1] 范亞芹,張麗翠�����,宋維剛�����?商峁㎝PLS VPN網(wǎng)絡安全性保障的解決方案[J].吉林大學學報:信息科學版���,2005(03)�����。
[2] 陳東勝。電信DCN/OA網(wǎng)上MPLS VPN應用探討[J].廣東通信技術��,2002(07)��。
[3] 胡毅����。虛擬數(shù)據(jù)專網(wǎng)(MPLS-VPN)技術及其在企業(yè)通信信息一體化建設中的應用[A].黑龍江省通信學會學術年會論文集[C],2005.
責任編輯:棋雯
