MPLS VPN在通信企业DCN网络升级中的应用

1、MPLS VPN在通信企业DCN网络晋级中的应用PLSVPN在通信企业DN网络晋级中的应用摘要：PLS技术提供了类似于虚电路的标签交换业务，可以实现底层标签自动的分配，在业务的提供上比传统的VPN技术更廉价，更快速和平安的数据传输。同时PLSVPN可以充分利用PLS技术的一些先进特性，提供流量工程才能、效劳质量保证等。DN网络作为公司内部各营业、办公、网管、运维等各信息系统承载的网络平台，在应用系统整合的大趋势下，对网络强健性、平安性及可控制管理性都提出了更高的要求。PLSVPN正是在这样的环境背景下，成为DN网络改造的必然。关键词：多协议标签交换虚拟专用网网络改造平安隔离随着公司的不断开展，

2、DN网上承载的业务系统不断增多，除97系统外，还有如网管集中监控系统、电源监控系统、客服系统、A等及交融后3G网管系统等，有些应用系统对平安性要求较高比方A和财务，有些系统对带宽和网络质量QS要求较高。现有的网络不能满足分而治之的企业运作管理需要。由于信息系统集中整合的需要，施行此次PLS晋级改造。通过本次改造工程的施行，优化网络构造，进步网络的平安性、可靠性及整个DN网的效劳质量。由一张实体物理网实现虚拟多业务网，采用PLSVPN隔离各类业务系统，骨干以现有DN骨干网为根底构建，接入网采用灵敏的方式到终端，满足企业内部应用的承载和平安需求。最终，DN网络中的终端与主机须划入至各自所属的PLS

3、VPN域中，实现各个VPN域之间的通信隔离，同时在各个VPN间建立数据通道，部署防火墙对经过数据通道的流量进展访问控制，实现对不同VPN域的通信数据的有效平安控制。1PLSVPN技术简介PLSVPN是由假设干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。PLSVPN网络主要由E、PE和P等3部分组成：E(ustEdgeRuter，用户网络边缘路由器)设备直接与效劳提供商网络。设备与用户的E直接相连，负责VPN业务接入，处理VPN-IPv4路由，是PLS三层VPN的主要实现者：P(PrviderRute

4、r，骨干网核心路由器)负责快速转发数据，不与E直接相连。在整个PLSVPN中，P、PE设备需要支持PLS的根本功能，E设备不必支持PLS。PE是PLSVPN网络的关键设备，根据PE路由器是否参与客户的路由，PLSVPN分成Layer3PLSVPN和Layer2PLSVPN。其中Layer3PLSVPN遵循RF2547BIS标准，使用BGP在PE路由器之间分发路由信息，使用PLS技术在VPN站点之间传送数据，因此又称为BGP/PLSVPN。在PLSVPN网络中，对VPN的所有处理都发生在PE路由器上，为此，PE路由器上起用了VPNv4地址族，引入了RD(RuteDistinguisher)和RT

5、(RuteTarget)等属性。RD具有全局惟一性，通过将8byte的RD作为IPv4地址前缀的扩展，使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。RT使用了BGP中扩展团体属性，用于路由信息的分发，具有全局惟一性，同一个RT只能被一个VPN使用，它分成IprtRT和ExprtRT，分别用于路由信息的导入和导出策略。在PE路由器上论文联盟.Ll.针对每个site都创立了一个虚拟路由转发表VRF(VPNRutingFrarding)，VRF为每个site维护逻辑上别离的路由表，每个VRF都有IprtRT和ExprtR

6、T属性。通过对IprtRT和ExprtRT的合理配置，运营商可以构建不同拓扑类型的VPN，如重叠式VPN和Hub-and-spkeVPN。整个PLSVPN体系构造可以分成控制面和数据面，控制面定义了LSP的建立和VPN路由信息的分发过程，数据面那么定义了VPN数据的转发过程。在控制层面，P路由器并不参与VPN路由信息的交互，客户路由器是通过E和PE路由器之间、PE路由器之间的路由协议交互知道属于某个VPN的网络拓扑信息。除了路由协议外，在控制层面工作的还有LDP，它在整个PLS网络中进展标签的分发，形成数据转发的逻辑通道LSP。在数据转发层面，PLSVPN网络中传输的VPN业务数据采用外标签(

7、又称隧道标签)和内标签(又称VPN标签)两层标签栈构造。当一个VPN业务分组由E路由器发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在PLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的E路由器，从而实现了整个数据转发过程。2骨干迁移的三个关键问题由于DN网络建

8、立时间比较久，网络构造比较复杂，如何从全部使用IP环境的DN过渡到全部使用PLSVPN环境的DN成了此次网络晋级改造的重点。网络改造期间，网络的平稳运行无论对于市场还是对于业务系统都是至关重要的，由于PLSVPN技术是对全省DN网络传输技术的彻底改变，如何在改变网络协议构造的同时让网络仍然安康地运行成为实现PLSVPN改造的首要问题。过渡期间最应该考虑的关键三个问题是：1在IP环境下，各域间路由的互通问题。实现方法是先将组成DN的各个IP网络单元以地市为单位逐个改造为PLSVPN网络单元，然后逐个与省公司建立PBGP邻居实现全网PLSVPN化。2受控互访的实现，即做到市公司在同一VPN区域内部

9、互相之间不可见；市公司在同一VPN区域内部可以访问省公司；市公司访问处于不同VPN区域的省公司业务。方案设计中采用HUB-SPKE方式和对PE、E层面施行控制来实现。3VPN划分与IP地址整理，DN网络建立前期并未考虑各个应用系统的PLSVPN划分，因此大多系统混杂在一起，或者接在同一台设备，或者干脆就在同一个网段中，同时还存在消费与管理地址段混用的问题。详细系统混接的问题可以分为三类，地址混用、设备支持才能缺乏以及第二地址问题。3DN网络改造晋级的设计DN网络改造解决方案是交融PLS、VPN和QS技术的统一解决方案。方案采用PLS作为承载数据传输的新协议，使用EiGRP作为主干IGP协议，P

10、LSVPN路由使用P-IBGP以及路由反射器进展域内传送，省公司采用背对背VRF方式与集团对接。PLS需要建立在IGP路由的根底上，IGP协议对PLS的主要作用就是保证PLS邻居之间的可达性和BGP邻居之间的可达性，省骨干网使用的EIGRP协议，地市网络根据自己网络环境使用EIGRP或SPF协议。所有协议在省网和市网之间重分发。整个网络IGP协议互通。根据整体方案，各PE-E路由协议保持原SPF动态路由协议，在PE设备将SPF路由重分发至P-BGP。各业务VPN互访通过防火墙来实现。由于目前将DN全网业务根本划分为S、BS、S和THER这四个大的系统，跨系统流量如何导通成为一个较为重要的问题。

11、假设全部使用重叠VPN的方式，一方面增加了维护的复杂度，另一方面违犯了建立PLSVPN的根本目的，重新给各业务系统带来了平安隐患。采用防火墙和重叠VPN配合方式实现跨域互访，省公司不同域的终端和主机通过省公司防火墙实现跨域互访，地市公司终端或主机需要跨域访问省公司系统，通过地市防火墙连通到不同的域中，然后通过PLS链路上连互访。通过在防火墙上配置严格的平安策略，对各VPN之间流量进展过滤，这样隔离的各PLSVPN之间可以平安的进展数据通信，这样即解决了各业务系统之间的互通问题，也保证了各业务系统的平安。综合前面所述，主要采用防火墙和重叠VPN配合方式实现跨域互访，省公司不同域的终端和主机通过省

12、公司防火墙实现跨域互访，地市公司终端或主机需要跨域访问省公司系统，通过地市防火墙连通到不同的域中，然后通过PLS链路上连互访。将各业务VPN为HUBSPKE形式，即各地市业务系统仅可与省中心进展通信，互相之间不可见，不能进展互相访问。在省公司和地市公司核心路由器连接防火墙，将防火墙的不同端口接入到不同VPN域中。在防火墙上根据各VPN业务的访问需求作相应的访问控制，各VPN业务之间通过防火墙进展访问。4PLSVPN对DN网络的重要意义由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DN网络进展信息交互，而应用系统整合除功能整合外，其物理整合和集中的形势那么表现为集中的企

13、业数据中心，PLS晋级的重要意义表达在：1全网络覆盖：应用系统整合后，系统集中统一部署效劳器，满足地市、县客户端远程访问省级应用系统效劳器，集团公司级应用系统和省级应用系统之间有信息交互的应用需求。2系统受控平安互访需求：企业运作需要，不同应用系统间又有互访的要求。例如：营帐综合客户端，处于办公网，兼顾办公和营帐工作，需访问营帐系统；网管综合客户端，兼顾网管工作和办公管理、资源管理、工单、故障单工作，经常在两网间切换；因此需要DN网络进展平安隔离的同时，支持系统间受控互访，通过用户身份识别、访问授权、隧道加密、平安策略部署等技术保证被访系统的平安。3可用性要求：随着信息化建立的深化，系统功能将

14、逐步得到完善，传送的信息内容将日趋丰富，VPN颗粒将趋向细化，VPN拓扑将日益复杂，对现有企业网络的交换容量、处理才能、链路连接才能以及VPN支持才能是网络规划建立中必需着重考虑的问题。4可靠性要求：DN网络承载着企业运作所需的重要应用和数据，在整个信息化系统中起到中枢神经的作用，网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的进步，从而增加了对DN网络的依赖。必需充分考虑网络高可靠性，防止网络设备和链路的单点故障，保证关键应用系统的访问和接入，保证作为应用系统核心的企业数据中心的高效可靠的连接。5效劳质量要求：DN网络是在同一物理网络上承载多个相对独立的业务系统，各业

15、务系统为不同的职能部门开展业务提供效劳，其数据流程和管理方式都存在差异，不同业务系统，需要网络平台提供差异效劳，如对带宽、实时性有不同的要求，网络必须具备带宽管理、资源预留、效劳等级设置的才能。在保证DN网络平安运行的前提下，有步骤、分阶段施行PLS改造，并按照规划设计应用RT策略实现各系统互访受控与隔离。目前，改造后的DN网络运行状况良好。在实现PLSVPN后，受控互访那么变得相对轻松，仅仅需要在各个PLSVPN路由环境之间的数据通道上部署防火墙即可对各VPN间也就是各应用系统间的访问进展控制。随着受控互访的实现，全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网，采用PLSVPN隔离各类业务系统，骨干以现有DN骨干网为根底构建，接入网采用灵敏的方式到终端。独立统一的一张实体物理网，满足企业内部应用的承载需求。虚拟多业务网，统一的业务隔离、受控互访机制和统一的VPN