MPLS VPN在高校網(wǎng)絡(luò)中的應(yīng)用研究

□馮國平

( 山西煤炭職業(yè)技術(shù)學(xué)院，山西 太原 030031)

隨著高校信息化的不斷建設(shè)與發(fā)展，校園網(wǎng)中各種新興業(yè)務(wù)模型也不斷涌現(xiàn)。當(dāng)今數(shù)字化校園的業(yè)務(wù)體系架構(gòu)中，業(yè)務(wù)系統(tǒng)可以分為以下幾大類：教學(xué)支撐平臺、電子教務(wù)平臺、科研平臺、數(shù)字圖書館、網(wǎng)絡(luò)服務(wù)、其他業(yè)務(wù)(一卡通)等。這些系統(tǒng)構(gòu)成了高校校園網(wǎng)核心業(yè)務(wù)平臺，是學(xué)校的經(jīng)脈，滲透在學(xué)校運轉(zhuǎn)的各個方面，在學(xué)校的發(fā)展中起著極其重要的作用。同時，近年來隨著高校的擴(kuò)建、合并，很多學(xué)校存在2個以上的校區(qū)，各校區(qū)都設(shè)置了相同的職能部門，這就存在著不同校區(qū)相同部門及跨部門的業(yè)務(wù)系統(tǒng)的互通需求。原先針對不同部門不同業(yè)務(wù)類型采用的網(wǎng)絡(luò)建設(shè)邏輯隔離或物理隔離的方式已經(jīng)在投入成本及可擴(kuò)展性方面受到極大的制約，學(xué)校IT部門希望通過一個統(tǒng)一的網(wǎng)絡(luò)來為多種混合業(yè)務(wù)提供接入，實現(xiàn)多業(yè)務(wù)的融合，同時可以降低整體IT投資、簡化管理。

一、如何實現(xiàn)多業(yè)務(wù)融合

學(xué)校數(shù)字化校園的建設(shè)中，資源整合、網(wǎng)絡(luò)虛擬化是必然的發(fā)展趨勢，學(xué)校的各業(yè)務(wù)部門間既有橫向部門間的信息交互，又有縱向跨校區(qū)同部門的信息交互，在應(yīng)用上，各部門用戶經(jīng)授權(quán)能訪問縱向網(wǎng)絡(luò)的相應(yīng)資源；同時各部門用戶經(jīng)授權(quán)又能訪問橫向網(wǎng)絡(luò)資源。因此，將來整個校園網(wǎng)絡(luò)是由多條縱向?qū)＞W(wǎng)、橫向?qū)＞W(wǎng)相連接形成的復(fù)雜結(jié)構(gòu)，如何保證各部門的橫向縱向網(wǎng)絡(luò)形成虛擬的獨立安全通道，進(jìn)行邏輯網(wǎng)絡(luò)的安全隔離，同時又可以方便地進(jìn)行業(yè)務(wù)擴(kuò)展呢？通常采用VPN(Virtual Private Network)技術(shù)來提供虛擬的安全通道，從而實現(xiàn)網(wǎng)絡(luò)的安全隔離，但傳統(tǒng)的端到端隧道加密方案IPSEC VPN由于需要專用設(shè)備，配置復(fù)雜，新業(yè)務(wù)上線需要由維護(hù)者重新配置大量的內(nèi)容，也無法實現(xiàn)安全隔離后業(yè)務(wù)的互訪，業(yè)務(wù)擴(kuò)展性差，并不適合高校的業(yè)務(wù)往來模型。而MPLS VPN技術(shù)的出現(xiàn)，彌補(bǔ)了傳統(tǒng)VPN的不足，很好地解決了業(yè)務(wù)的安全性與可擴(kuò)展性需求。MPLS VPN是基于標(biāo)簽轉(zhuǎn)發(fā)技術(shù)的一種VPN，在數(shù)據(jù)通信設(shè)備上應(yīng)用標(biāo)簽交換協(xié)議來建立獨立的安全通道，同時為各VPN之間的互訪提供了可能。業(yè)務(wù)的部署和相互間的訪問權(quán)限的控制更為靈活方便，如為財務(wù)系統(tǒng)開辦一個獨立的VPN網(wǎng)絡(luò)，在需要訪問財務(wù)系統(tǒng)的VPN業(yè)務(wù)類型里導(dǎo)入財務(wù)VPN的RT信息，就可以實現(xiàn)業(yè)務(wù)間的互通。MPLS VPN的易部署易擴(kuò)展性非常適合當(dāng)今高校校園網(wǎng)多業(yè)務(wù)融合的需求。目前MPLS L3 VPN，即BGP/MPLS VPN技術(shù)比較成熟，已經(jīng)形成標(biāo)準(zhǔn)。

以下是MPLS VPN相比傳統(tǒng)VPN的優(yōu)勢：1.安全性高。MPLSVPN采用了VRF、路由隔離(RT)、地址隔離(RD)等多種技術(shù)，同時在VPN內(nèi)還可以運行如GRE、IPSEC等其他隧道加密技術(shù)提供安全保障。2.可擴(kuò)展性。一臺設(shè)備可支持大量的VRF劃分；同一個VPN內(nèi)用戶節(jié)點的擴(kuò)容更為容易，用戶端的地址變更只需要在核心側(cè)回指路由即可。3.多協(xié)議承載。由于采用了屬于2.5層的標(biāo)簽交換技術(shù)，可方便承載IPV4、IPV6數(shù)據(jù)、語音、視頻。4.服務(wù)質(zhì)量保證?？刹捎肕PLS TE流量工程為各業(yè)務(wù)提供不同的服務(wù)級別。5.易管理維護(hù)。VPN統(tǒng)一由信息中心維護(hù)，對業(yè)務(wù)的上線及業(yè)務(wù)互相隔離及訪問的需求進(jìn)行統(tǒng)一部署管理，減輕業(yè)務(wù)部門的負(fù)擔(dān)。6.設(shè)備投資少。不需要為每個隔離業(yè)務(wù)投入設(shè)備，只需要在骨干網(wǎng)支持標(biāo)簽交換及BGP協(xié)議，用戶側(cè)只需要提供簡單的普通交換機(jī)或路由器即可。

二、MPLS VPN的工作原理

MPLS VPN與傳統(tǒng)的VPN不同，MPLS VPN不依靠封裝和加密技術(shù)，MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)簽來創(chuàng)建一個安全的VPN。MPLS VPN中的設(shè)備如圖1所示。圖中：P(Provider Router)，指骨干網(wǎng)中的核心路由器，主要完成路由和快速轉(zhuǎn)發(fā)功能，不參與業(yè)務(wù)的接入。PE (Provider Edge Router)，指骨干網(wǎng)中的邊緣路由器，主要負(fù)責(zé)VPN業(yè)務(wù)的接入，即VRF的劃分；CE(Custom Edge)，直接與骨干邊緣相連的用戶設(shè)備； VRF(VPN Routing & Forwarding Instance)，虛擬路由轉(zhuǎn)發(fā)實例，包含到一個或多個直接相連的CE的路由和轉(zhuǎn)發(fā)表。報文是從CE設(shè)備發(fā)送到PE設(shè)備，其過程如圖2所示。CE將報文發(fā)給與其相連的VRF接口，PE在本VRF的路由表中進(jìn)行查找，得到了該路由的公網(wǎng)下一跳地址(即：對端PE的loopback地址)和私網(wǎng)標(biāo)簽。在把該報文封裝一層私網(wǎng)標(biāo)簽后，在公網(wǎng)的標(biāo)簽轉(zhuǎn)發(fā)表中查找下一跳地址，再封裝一層公網(wǎng)標(biāo)簽后，交于MPLS轉(zhuǎn)發(fā)。

MPLS VPN工作原理可以簡單地描述為以下四步：1.路由器或者IP+ATM交換機(jī)通過使用網(wǎng)絡(luò)服務(wù)供應(yīng)商提供的內(nèi)部網(wǎng)關(guān)協(xié)議(如OSPF、ISIS等)自動生成路由表。LDP標(biāo)簽協(xié)議使用路由表中的拓?fù)浼夹g(shù)在鄰近設(shè)備之間建立有價值的標(biāo)簽。經(jīng)過這樣的步驟后，在與目標(biāo)節(jié)點之間建立了標(biāo)簽交換路由器或者可配置的路由地圖，MPLS VPN的標(biāo)簽是自動分配的。2.入口數(shù)據(jù)包進(jìn)入標(biāo)簽交換路由器中，在路由器中確定哪些第三層服務(wù)是需要的，如QoS和帶寬管理?；诼酚珊筒呗孕枨螅吘墭?biāo)簽交換路由器選擇標(biāo)簽，并在數(shù)據(jù)包頭中應(yīng)用所選標(biāo)簽，然后繼續(xù)向前傳遞數(shù)據(jù)包。3.核心標(biāo)簽交換路由器讀取第一個數(shù)據(jù)的標(biāo)簽，并用本地發(fā)送路由表中的新的標(biāo)簽替換它，然后繼續(xù)傳遞數(shù)據(jù)包。這一步需要在每一個路由器躍點中重復(fù)進(jìn)行。4.出口邊緣標(biāo)簽交換路由器取下數(shù)據(jù)包頭中的標(biāo)簽，讀取數(shù)據(jù)包頭信息，然后繼續(xù)傳遞數(shù)據(jù)包到目標(biāo)網(wǎng)絡(luò)地址。

MPLS標(biāo)簽在包括第三層信息的核心標(biāo)簽交換路由器中被重新比較、計算交換標(biāo)簽，允許每一個標(biāo)簽交換路由器自動為每一個數(shù)據(jù)包糾正IP服務(wù)。路由表被重新計算以使路由器的每一個躍點都不在重新進(jìn)行以上步驟。

三、MPLS VPN在高校校園網(wǎng)中的實現(xiàn)

在整個校園網(wǎng)絡(luò)中部署MPLS VPN，根據(jù)設(shè)備的作用將核心設(shè)備、區(qū)域匯聚、樓宇匯聚等分別設(shè)為P設(shè)備、PE設(shè)備、CE設(shè)備，將不同的業(yè)務(wù)部門或不同的應(yīng)用劃入不同的VPN，然后在PE設(shè)備中建立相應(yīng)的VRF，如財務(wù)VRF、教務(wù)處VRF、互聯(lián)網(wǎng)VRF、一卡通VRF等，對路由進(jìn)行隔離，在MPLS域內(nèi)通過動態(tài)分發(fā)的標(biāo)簽實現(xiàn)隧道式的轉(zhuǎn)發(fā)。

學(xué)校MPLS VPN業(yè)務(wù)按如下規(guī)劃：1. VRF規(guī)則。VPN路由和轉(zhuǎn)發(fā)實例，是與一個或多個相連的客戶站點相關(guān)聯(lián)的路由和轉(zhuǎn)發(fā)表，VRF只有本地意義，網(wǎng)絡(luò)設(shè)計中VRF即相應(yīng)應(yīng)用系統(tǒng)相關(guān)聯(lián)的路由和轉(zhuǎn)發(fā)表。將需要隔離的業(yè)務(wù)劃入VPN，建立相關(guān)路由和轉(zhuǎn)發(fā)實例，其他業(yè)務(wù)保持原有的運行模式，如一卡通業(yè)務(wù)系統(tǒng)VPN劃分為XX(學(xué)校名縮寫)_YKT，校園監(jiān)控系統(tǒng)VPN劃分為XX(學(xué)校名縮寫)_XYJK。2. Route-Distinguisher規(guī)則。VPN設(shè)計中采用如下RD值的格式：16位自治系統(tǒng)號；32位用戶自定義數(shù)字。由于RD與VRF相捆綁，也即PE設(shè)備上每個VRF表中的所有VPN-IPv4路由將使用同一個RD值，RD值保證了VPN-IPv4路由在PE設(shè)備上的唯一性，所以必須全局統(tǒng)一分配，如表1所示。3. Route-Target規(guī)則。通過配置VRF(路由轉(zhuǎn)發(fā)實例)的route target屬性，可以實現(xiàn)不同業(yè)務(wù)的VPN。不同路由器通過route target相關(guān)聯(lián)而組成可以互相訪問的集合，也就是說，VPN的成員關(guān)系是通過路由所攜帶的route target屬性來獲得的。不同CE 通過PE 配置的VRF 里的Target實現(xiàn)互訪與隔離，從而組成不同的VPN。RT值的格式：16位自治系統(tǒng)號；32位用戶自定義數(shù)字，如表2所示(ASN由學(xué)校自行規(guī)劃私有BGP自治域號)。

四、采用MPLS VPN的優(yōu)勢

1. VPN實現(xiàn)網(wǎng)絡(luò)安全。VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。具有高度的安全性，對于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。2. 降低成本。由于 VPN獨立于初始的協(xié)議，這就使得接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。3. 容易擴(kuò)展。新的需要隔離的業(yè)務(wù)上線只需要創(chuàng)建新的VRF實例將業(yè)務(wù)系統(tǒng)間需要訪問的規(guī)則導(dǎo)入即可。4. 支持新興應(yīng)用。許多專用網(wǎng)對于許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。MPLS VPN則可以支持各種高級的應(yīng)用，如IP語音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等。

總之，利用 MPLS VPN技術(shù)改造傳統(tǒng)的校園網(wǎng)，為校園數(shù)字化的進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。同時可以推動學(xué)校IT部門實現(xiàn)網(wǎng)絡(luò)資源提升，推動資源整合，保護(hù)學(xué)校的IT整體投資，實現(xiàn)網(wǎng)絡(luò)資源虛擬化，更加有利于學(xué)校信息化建設(shè)的發(fā)展。

參考文獻(xiàn)：

[1]王達(dá).虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社,2004.

[2]Ivan Pepelnjak, Jim Guichard and Jeff Apcar.盧澤新，朱培棟，齊寧譯. MPLS和VPN體系結(jié)構(gòu)(第2卷)[M]. 北京:人民郵電出版社,2004.

[3]李曉東.MPLS技術(shù)與實現(xiàn)[M].北京:電子工業(yè)出版社, 2002.

[4]石晶林，丁煒.MPLS寬帶網(wǎng)絡(luò)互聯(lián)技術(shù)[M].北京:人民郵電出版社,2001.

[5]Bruce Davie, Yakov Rekhter.羅志祥,朱志實,黃本雄等譯.多協(xié)議標(biāo)簽交換技術(shù)與應(yīng)用[M].北京:機(jī)械工業(yè)出版社,2001.

[6]彭暉.新型的骨干網(wǎng)路由平臺——MPLS[M].北京:人民郵電出版社,2002.

表1 VRF—RD對應(yīng)屬性值

VRF名稱RD(ASN由學(xué)校自行規(guī)劃私有BGP自治域號)一卡通VRFASN:1校園監(jiān)控VRFASN:2互聯(lián)網(wǎng)VRFASN:3財務(wù)VRFASN:4，……

表2 VPN —RT對應(yīng)屬性值

VPN名稱ExportRTImportRT一卡通VRFASN:1ASN:1校園監(jiān)控VRFASN:2ASN:2互聯(lián)網(wǎng)VRFASN:3ASN:3財務(wù)VRFASN:4ASN:4………………

圖1 MPLS VPN通信網(wǎng)絡(luò)結(jié)構(gòu)

圖2 報文從CE到PE的轉(zhuǎn)發(fā)