論文關鍵詞：多協議標簽交換虛擬專用網網絡改造安全隔離

論文摘要：MPLS技術提供了類似于虛電路的標簽交換業務，可以實現底層標簽自動的分配，在業務的提供上比傳統的VPN技術更廉價，更快速和安全的數據傳輸。同時MPLS VPN可以充分利用MPLS技術的一些先進特性，提供流量工程能力、服務質量保證等。DCN網絡作為公司內部各營業、辦公、網管、運維等各信息系統承載的網絡平臺，在應用系統整合的大趨勢下，對網絡健壯性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在這樣的環境背景下，成為DCN網絡改造的必然。

隨著公司的不斷發展，DCN網上承載的業務系統不斷增多，除“97”系統外，還有如網管集中監控系統、電源監控系統、客服系統、OA等及融合后3G網管系統等，有些應用系統對安全性要求較高比如OA和財務，有些系統對帶寬和網絡質量（QoS）要求較高。現有的網絡不能滿足“分而治之”的企業運作管理需要。由于信息系統集中整合的需要，實施此次MPLS升級改造。通過本次改造工程的實施，優化網絡結構，提高網絡的安全性、可靠性及整個DCN網的服務質量。由一張實體物理網實現虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端，滿足企業內部應用的承載和安全需求。最終，DCN網絡中的終端與主機須劃入至各自所屬的MPLS VPN域中，實現各個VPN域之間的通信隔離，同時在各個VPN間建立數據通道，部署防火墻對經過數據通道的流量進行訪問控制，實現對不同VPN域的通信數據的有效安全控制。

1 MPLS VPN技術簡介

MPLS VPN是由若干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現互訪與隔離。

MPLS VPN網絡主要由CE、PE和P等3部分組成：CE(Custom Edge Router，用戶網絡邊緣路由器)設備直接與服務提供商網絡。設備與用戶的CE直接相連，負責VPN業務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者：P(Provider Router，骨干網核心路由器)負責快速轉發數據，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。

PE是MPLS VPN網絡的關鍵設備，根據PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標準，使用MBGP在PE路由器之間分發路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLS VPN。在MPLS VPN網絡中，對VPN的所有處理都發生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴展，使不惟一的IPv4地址轉化為惟一的VPNv4地址。VPNv4地址對客戶端設備來說是不可見的，它只用于骨干網絡上路由信息的分發。RT使用了BGP中擴展團體屬性，用于路由信息的分發，具有全局惟一性，同一個RT只能被一個VPN使用，它分成Import RT和Export RT，分別用于路由信息的導入和導出策略。在PE路由器上針對每個site都創建了一個虛擬路由轉發表VRF(VPN Routing & Forwarding)，VRF為每個site維護邏輯上分離的路由表，每個VRF都有Import RT和Export RT屬性。通過對Import RT和Export RT的合理配置，運營商可以構建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN。

整個MPLS VPN體系結構可以分成控制面和數據面，控制面定義了LSP的建立和VPN路由信息的分發過程，數據面則定義了VPN數據的轉發過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協議交互知道屬于某個VPN的網絡拓撲信息。除了路由協議外，在控制層面工作的還有LDP，它在整個MPLS網絡中進行標簽的分發，形成數據轉發的邏輯通道LSP。在數據轉發層面，MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過PE輸出接口轉發出去，然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器，從而實現了整個數據轉發過程。

2 骨干遷移的三個關鍵問題

由于DCN網絡建設時間比較久，網絡結構比較復雜，如何從全部使用IP環境的DCN過渡到全部使用MPLS VPN環境的DCN成了此次網絡升級改造的重點。網絡改造期間，網絡的平穩運行無論對于市場還是對于業務系統都是至關重要的，由于MPLS VPN技術是對全省DCN網絡傳輸技術的徹底改變，如何在改變網絡協議結構的同時讓網絡仍然健康地運行成為實現MPLS VPN改造的首要問題。

過渡期間最應該考慮的關鍵三個問題是：

1）在IP環境下，各域間路由的互通問題。實現方法是先將組成DCN的各個IP網絡單元以地市為單位逐個改造為MPLS VPN 網絡單元，然后逐個與省公司建立MP BGP鄰居實現全網MPLS VPN化。

2）受控互訪的實現，即做到市公司在同一VPN區域內部互相之間不可見；市公司在同一VPN區域內部可以訪問省公司；市公司訪問處于不同VPN區域的省公司業務。方案設計中采用HUB-SPOKE方式和對PE、CE層面實施控制來實現。

3）VPN劃分與IP地址整理，DCN網絡建設前期并未考慮各個應用系統的MPLS VPN劃分，因此大多系統混雜在一起，或者接在同一臺設備，或者干脆就在同一個網段中，同時還存在生產與管理地址段混用的問題。具體系統混接的問題可以分為三類，地址混用、設備支持能力不足以及第二地址問題。

3 DCN網絡改造升級的設計

DCN網絡改造解決方案是融合MPLS、VPN和QOS技術的統一解決方案。方案采用MPLS作為承載數據傳輸的新協議，使用EIGRP作為主干IGP協議，MPLS VPN路由使用MP-IBGP以及路由反射器進行域內傳送，省公司采用背對背VRF方式與集團對接。

MPLS需要建立在IGP路由的基礎上，IGP協議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性，省骨干網使用的EIGRP協議，地市網絡根據自己網絡環境使用EIGRP或OSPF協議。所有協議在省網和市網之間重分發。整個網絡IGP協議互通。根據整體方案，各PE-CE路由協議保持原OSPF動態路由協議，在PE設備將OSPF路由重分發至MP-BGP。 各業務VPN互訪通過防火墻來實現。由于目前將DCN全網業務基本劃分為MS、BS、OS和OTHER這四個大的系統，跨系統流量如何導通成為一個較為重要的問題。如果全部使用重疊VPN的方式，一方面增加了維護的復雜度，另一方面違背了建設MPLS VPN的根本目標，重新給各業務系統帶來了安全隱患。采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴格的安全策略，對各VPN之間流量進行過濾，這樣隔離的各MPLS VPN之間可以安全的進行數據通信，這樣即解決了各業務系統之間的互通問題，也保證了各業務系統的安全。

綜合前面所述，主要采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。

將各業務VPN為HUB－SPOKE模式，即各地市業務系統僅可與省中心進行通信，相互之間不可見，不能進行相互訪問。

在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據各VPN業務的訪問需求作相應的訪問控制，各VPN業務之間通過防火墻進行訪問。

4 MPLS VPN對DCN網絡的重要意義

由于應用系統整合方向是集團公司集中和省公司集中。集團、省集中應用系統通過DCN網絡進行信息交互，而應用系統整合除功能整合外，其物理整合和集中的形勢則表現為集中的企業數據中心，MPLS升級的重要意義體現在：

1）全網絡覆蓋：應用系統整合后，系統集中統一部署服務器，滿足地市、縣客戶端遠程訪問省級應用系統服務器，集團公司級應用系統和省級應用系統之間有信息交互的應用需求。

2）系統受控安全互訪需求：企業運作需要，不同應用系統間又有互訪的要求。例如：營帳綜合客戶端，處于辦公網，兼顧辦公和營帳工作，需訪問營帳系統；網管綜合客戶端，兼顧網管工作和辦公管理、資源管理、工單、故障單工作，經常在兩網間切換；因此需要DCN網絡進行安全隔離的同時，支持系統間受控互訪，通過用戶身份識別、訪問授權、隧道加密、安全策略部署等技術保證被訪系統的安全。

3）可用性要求：隨著信息化建設的深入，系統功能將逐步得到完善，傳送的信息內容將日趨豐富，VPN顆粒將趨向細化，VPN拓撲將日益復雜，對現有企業網絡的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網絡規劃建設中必需著重考慮的問題。

4）可靠性要求：DCN網絡承載著企業運作所需的重要應用和數據，在整個信息化系統中起到中樞神經的作用，網絡故障將影響企業正常運作。信息系統整合將導致地域性和功能性集中化程度的提高，從而增加了對DCN網絡的依賴。必需充分考慮網絡高可靠性，避免網絡設備和鏈路的單點故障，保證關鍵應用系統的訪問和接入，保證作為應用系統核心的企業數據中心的高效可靠的連接。

5）服務質量要求：DCN網絡是在同一物理網絡上承載多個相對獨立的業務系統，各業務系統為不同的職能部門開展業務提供服務，其數據流程和管理方式都存在差異，不同業務系統，需要網絡平臺提供差別服務，如對帶寬、實時性有不同的要求，網絡必須具備帶寬管理、資源預留、服務等級設置的能力。

在保證DCN網絡安全運行的前提下，有步驟、分階段實施MPLS改造，并按照規劃設計應用RT策略實現各系統互訪受控與隔離。目前，改造后的DCN網絡運行狀況良好。

在實現MPLS VPN后，受控互訪則變得相對輕松，僅僅需要在各個MPLS VPN路由環境之間的數據通道上部署防火墻即可對各VPN間也就是各應用系統間的訪問進行控制。隨著受控互訪的實現，全覆蓋、可用、可靠、優化傳輸以及可管理等周邊需求的實現也變得比較容易。一張實體物理網、虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端。獨立統一的一張實體物理網，滿足企業內部應用的承載需求。虛擬多業務網，統一的業務隔離、受控互訪機制和統一的VPN業務接入機制。

5 結束語

MPLS VPN網絡改造的實現，極大的提高的DCN網絡的安全性，為前臺營業、辦公OA、運維網絡監控等各項不同的業務網絡應用提供可靠地保證。

參考文獻：

[1] 范亞芹，張麗翠，宋維剛.可提供MPLS VPN網絡安全性保障的解決方案[J].吉林大學學報:信息科學版，2005(03).

[2] 陳東勝.電信DCN/OA網上MPLS VPN應用探討[J].廣東通信技術，2002(07).

[3] 胡毅.虛擬數據專網(MPLS-VPN)技術及其在企業通信信息一體化建設中的應用[A].黑龍江省通信學會學術年會論文集[C]，2005.