MPLSVPN的实现(共7篇)
MPLSVPN的实现 篇1
当今社会科技在飞速的发展, 网络已经完全的融入到大家的日常生活当中, 我们平时做的每一件事情几乎都离不开网络, 人与人之间的交流、购物、预定车票、学习等等都是以网络为载体在进行着。这就对网络的质量提出了更高的要求。现代化的网络一定是覆盖面广、传输速率有保障、安全性好的网络。在这种情况下, 各个设备厂商在ip网络的基础上共同提出了标准的ip交换技术—多协议标签交换 (MPLS) , 从而解决了ip交换技术的标准化和不同厂家ip交换设备的互操作问题。
1 MPLS技术
MPLS技术是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。它的价值在于能够在一个无连接的网络中引入连接模式的特性;其主要特点是减少了网络复杂性, 兼容现有各种主流网络技术, 能降低网络成本, 在提供IP业务时能确保Qo S和安全性, 具有流量工程能力同时还解决了IP/ATM之间的互通性和可扩展性。MPLS体系结构描述了实现标签交换的机制, 这种技术兼有基于第二层交换的分组转发技术和第三层路由技术的优点。当网络中采用MPLS时, MPLS首先利用默认ATM连接构成MPLS网, 根据网内的各种路由协议获得路由信息来建立路由表, 然后根据路由表的路由关系建立标记和目的地映射表, MPLS边缘路由器接收IP包时, 将标记加到IP包上, MPLS交换机根据标记, 对包或信元进行交换, 到达MPLS网中的另一端的边缘路由器去掉接收IP包上的标记, 发送IP包, 这样就完成了整个的数据交换。
2 MPLS VPN
MPLS VPN是一种使用MPLS技术的VPN网络, 在MPLS VPN中一般由骨干网边缘路由器 (PE) 、用户网边缘路由器 (CE) 和骨干网核心路由器 (P) 组成。MPLS VPN有可以分为二层VPN和三层VPN, 二者之间的区别在于PE设备是否参与了VPN的路由处理。在MPLS VPN中, 属于同一个VPN网络的两个用户站点之间转发报文使用两层标签, 在入口PE上为报文打上两层标签, 外层标签在骨干网内部进行交换, 代表了从PE到对端PE的一条隧道, VPN的报文打上这层标签后就能够顺利到达对端PE, 然后再根据内层标签决定报文应该转发到哪个用户站点。在MPLS VPN中内层标签是标记出口PE与目的CE连接端口地址映射而成, 而外层标签则决定数据包的下一跳 (图1) 。
当网络如图1所示时, 首先要配置每个MPLS域中的路由器接口地址和Lookback地址, 并启用OSPF协议, 具体配置如 (表1) 所示。
再将R1、R2、R3中在MPLS域中的端口开启MPLS转发并修改MPLS的MTU值来存放数据的内层标签。接下来就是配置CE端和PE端的连接
R4 (config) #int s1/0
R4 (config-if) #ip add 24.1.1.4 255.255.255.0
R4 (config-if) #int lo 0
R4 (config-if) #ip add 4.4.4.4 255.255.255.255
R4 (config-if) #router rip
R4 (config-router) #no auto-summary
R4 (config-router) #network 24.1.1.0
R4 (config-router) #network 4.4.4.4
R2 (config) #ip vrf A
R2 (config-vrf) #rd 1:1
R2 (config-vrf) #route-target 1:1
R2 (config) #int s1/0
R2 (config-if) #ip vrf forwarding A
R2 (config-if) #ip add 24.1.1.2 255.255.255.0
R2 (config-if) #no shutdown
R2 (config-if) #router rip
R2 (config-router) #version 2
R2 (config-router) #no auto-summary
R2 (config-router) #address-family ipv4 vrf A
R2 (config-router-af) #version 2
R2 (config-router-af) #no auto-summary
R2 (config-router-af) #network 24.1.1.0
同样的道理, R3、R5的配置和R2、R4的一样, 只是将端口的ip地址改为路由器自身所拥有的即可。这些基础数据都配置完后, 将所配置的数据在网络中现有的BGP中进行更新激活, 是网络重新进行路由选择, 这样一个MPLS VPN就建立完成了。
3 结语
基于MPLS技术的MPLS VPN可以象企业现有的私有网络一样安全和易于管理。在所有的VPN技术中, MPLS VPN具有良好的可扩展性和灵活性, 是当前技术最先进的VPN也是目前发展最为迅速的VPN技术之一。
参考文献
[1]范亚芹, 张丽翠, 宋维刚.可提供MPLS VPN网络安全性保障的解决方案[J].吉林大学学报:信息科学版, 2005 (03) .
[2]陈东胜.电信DCN/OA网上MPLS VPN应用探讨[J].广东通信技术, 2002 (07) .
MPLSVPN的实现 篇2
IETF (The Internet Engineering Task Force) 对流量工程的定义为“是与可操作网络性能优化相关的Internet网络工程的一个方面, 它包含运用技术和科学的原则去测量、模型化、特性化Internet流量控制, 以及运用这种知识和技能来得到特定性能目标, 包括可靠、快速的网络通信, 网络资源的有效利用, 网络容量规划”。在校园网建设中, 可利用已有网络设备支持的相关协议和标准去优化网络性能, 流量工程的实施, 有效的利用链路带宽, 均衡链路负载, 是一种理想的优化网络性能的技术。
1 MPLS VPN与流量工程
目前, MPLS的核心应用主要集中在流量工程、服务等级和虚拟专用网 (VPN) 3个方面。
1.1 基于MPLS的VPN
MPLS技术的出现和BGP协议的改进, 让大家看到了另一种实现VPN的曙光。目前基于MPLS的VPN方案中, 以RFC2547中规定的BGP/MPLS VPN得到了广泛的支持。图1以其模型介绍BGP/MPLS VPN概念。
如图1所示, MPLS VPN模型中, 包含三个组成部分:CE、PE和P。把整个网络中的路由器分为三类:用户边缘路由器 (CE) 、边缘路由器 (PE) 和骨干路由器 (P) ;其中, PE充当IP VPN接入路由器。由于BGP/MPLS VPN采用PE之间通过扩展后的BGP协议 (MP-BGP) 来承载VPN成员关系和VPN网络可达性, 所以使MPLS VPN网络具有良好的可靠性。
1.2 流量工程
流量工程是一种通用的拥塞解决方案, 并不是MPLS的特定产物。在IP网和ATM网中也可以实现流量工程。但由于IP的面向非连接性, 虽然基于IP的流量工程在很多网络中是有效的, 但仍有很多问题无法解决。相对来说ATM比IP技术更好的解决了流量工程问题, 但ATM技术由于存在价格昂贵、可扩展性差等因素而不可能得到广泛应用。
MPLS技术可以对流量工程提供很好的支持。MPLS网络中, 流量工程的基本组成单位是LSP, LSP可以被网络管理员方便的进行操作和管理以控制网络流量。并且在MPLS中采用基于约束的路由, 基于约束的路由可以很好的兼顾上流量工程的两个目标, 因为它可以找到一条路径满足所需要的服务等级协定 (实现面向流量的目标) 且是最优路径 (实现面向网络资源的性能目标) 。MPLS结合IP和交换技术的特性是当前解决网络流量工程的最优技术。
2 BGP/MPLS IP VPN中MPLS TE的实现
在实验室环境中, 实现BGP/MPLS IP VPN中的MPLS TE, 组网需求如图2所示, CE-A和CE-B都属于vpna, 分别通过PE-A和PE-B接入MPLS网。MPLS网使用OSPF作为IGP协议。用MPLS TE隧道转发PE-A到PE-B的VPN流量。
为了使TE隧道能够转发BGP/MPLS IP VPN的流量, 需要在建立VPN时实现隧道策略, 使用CR-LSP作为VPN隧道。
为完成此试验, 需准备如下的数据:
各路由器接口的IP地址如图2, OSPF进程号为1, 所在的区域为Area 0。隧道接口为Tunnel0/0/1, 借用Loopback1的IP地址, 隧道封装协议为MPLS TE, 目的地址为3.3.3.3, 隧道ID为201, 隧道信令为RSVP。VPN的实例名称为vpna, PE-A上vpna的路由标识route-distinguisher为100:1, PE-B上vpna的路由标识route-distinguisher为100:2, 使用的VPN-target属性为100:1。
CE-A的AS号为65001, CE-B的AS号为65002。PE-A和PE-B的AS号都为100。
实现方法:
采用如下的思路实现BGP/MPLS IP VPN中的MPLS TE:
配置各路由器接口的IP地址及作为LSR ID的Loopback地址, 在PE路由器上用OSPF协议通告的公网路由和LSR ID主机路由。
在PE路由器上全局使能MPLS、MPLS TE、OSPF TE、MPLS LDP、MPLSCSPF。
使能PE上各接口的MPLS、MPLS TE和MPLS LDP。
在PE路由器上配置VPN实例, 并绑定到连接CE的接口上。配置BGP。
3 校园网应用
对具体研究实例的校园网, 进行流量特性及需求分析, 按照试验方案后的可行性结论完成应用实现。
根据校园网的实际应用可将校园网流量分为五大类:
(1) 校园网内部或校区间办公网段的流量。
(2) 访问管理网段的流量, 将所有不同地理位置上的交换机和IP地址管理集中在某个管理网段。从网络安全考虑, 拒绝其它网段流量到管理网段。
(3) 宿舍网段的流量, 对这部分流量可作端口速率的限制。
(4) 访问校内FTP、VOD和网络电视服务器的多媒体流应用流量, 此类流量较大。
(5) 校园网代理服务的流量, 在当今校园网的发展过程中, 很多学校为了提高教育网到公网的访问速度都有访问公网的代理服务器, 常通过代理方式和访问控制来实现访问路由。
采用MPLS TE在VPN中的试验方案来保障两个校区之间的网络服务质量。在两个校区配置MPLS VPN网络, 在其中实现MPLS流量工程, 校园网实例如图3所示。
4 结束语
校园网上教学资源大多采用多媒体流形式, 需要满足数字、语音、图形图像等多媒体信息、综合科研信息等的传输和处理需求。在设计校园网时, 必须考虑网络的带宽能否支持多媒体流的应用, 并且具有QoS特性, 为其运行集成的信息提供保证。校园网数据流量越来越大, 并发用户数迅猛增长, 也对网络性能的要求越来越高。因此, 在校园网建设中, 可利用VPN中MPLS TE的实现去优化网络性能, 有效利用链路带宽, 均衡链路负载。
摘要:下一代校园网中, 多媒体等实时业务的需求使得网络流量不断扩张, 网络负载加重。流量工程作为均衡网络负载, 间接优化网络性能的手段之一, 在实践中已得到了很好的应用。本文着重研究如何实现MPLSVPN中的流量工程, 在对下一代校园网流量特点做出深入分析后, 提出其在跨校区校园网的应用可行性。
关键词:流量工程,校园网,MPLS,VPN
参考文献
[1]冯径.多协议标记交换技术[M].北京:人民邮电出版社.2002.
[2]CHANWANI A.Traffic engineering standards in IP net-works using MPLS.IEEE Communications Magazine.1999.
[3]Xipeng Xiao, Alan Hannan.Traffic Engineering with MPLS in the Internet[J].IEEE Network Mag.2000.
[4]Vivek Alwayn.高级MPLS设计与实施[M].北京:人民邮电出版社.2003.
[5]van PepeInjak, Jim Guichard.MPLS和VPN体系结构 (CCIP版) [M].北京:人民邮电出版社.2001.
[6]姚嫚,翟正军.MPLSVPN网络的实现与应用.科学技术与工程.2007.
MPLSVPN的实现 篇3
随着网络经济的发展, 企业对于自身网络的建设提出了越来越高的要求, 主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下, VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络 (VPN, Virtual Private Network) 。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性和可管理性等。在所有的VPN技术中, MPLS VPN具有良好的可扩展性和灵活性, 是目前发展最为迅速的VPN技术之一。
1 MPLS VPN技术
MPLS是IETF在1997年提出的技术标准, 它主要吸取前三种方法的思想 (IpsiIon公司的IP交换、Cisco公司的标记交换以及IBM公司的基于聚合路由的IP交换 (ARIS) ) , 并进一步扩展功能, 它成为当前最具有发展前景的宽带网络传输交换技术。MPLS兼具了IP技术的灵活性和ATM技术的快速交换是一种新兴的IP骨干网技术。MPLS通过标记交换的转发机制将IP技术与下层技术结合在一起, 可解决高速交换、QoS控制、流量控制等问题。它的优势在于利用了网络体系结构模型中第二层的高性能、第三层的可扩充性和灵活性、以及流量管理功能, 降低了管理复杂性和操作成本, 网络升级容易。可以说MPLS是下一代最具竞争力的通信网络技术。
MPLS旨在简化路由器入口处对网络层帧头的分析过程和转发等价类 (FEC, Forwarding Equivalence Class) 分配功能的过程, 改善选路的性能和成本。尽管MPLS面向多协议, 然而它主要还是支持IP协议。在传统IP转发机制中, 每个路由器首先分析包含在每个分组头中的信息, 然后解析分组头、提取目的地址、查询路由表、决定下一转接点的地址、计算帧头的校验、递减TTL、完成合适的出口链路层封装, 最后发送分组。这个过程可以被大大简化或由MPLS来取代。
对于VPN的定义有很多说法, 但是都基于这样一种思想:VPN利用公共网络基础设施, 通过一定的技术手段, 达到类似私有专网的数据安全传输。从定义上看, VPN首先是虚拟的, 也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但是, VPN同时又具有专线的数据传输功能, 因为VPN能够像专线一样在公共网络上处理自己公司的信息。虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接, 进行安全的通信。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通信建立在公共互联网络的基础上, 但是用户在使用VPN时感觉如同在使用专用网络进行通信, 所以得名虚拟专用网络。使用VPN技术可以解决在当今远程通信量日益增大, 企业全球运作广泛分布的情况下, 员工需要访问中央资源, 企业相互之间必须进行及时和有效的通信的问题。
2 MPLS VNP汇聚层和核心层网络冗余与设计
一个MPLS VPN网络从层次上可以分为接入层、汇聚层和核心层。对于一个电信级的网络来说, 任何一个层次出现故障, 如果没有备份或者冗余线路的话, 就意味着存在一个单点故障点。由于有这个故障点的存在, 网络就会变得非常不可靠, 在很多非人为因素的情况下, 如道路施工造成的光纤断裂, 雷击造成设备电压不稳定而造成无法工作, 这些因素都有可能导致网络的中断而给用户带来不可避免的损失。
本文就汇聚层与核心层的冗余性进行着重的讨论将拓扑图中的华为S3552F交换机定义为接入层设备, 将Cisco 6509和Cisco 7606定义为汇聚层设备, 将Redback SE800定义为核心层设备。通过分析阐述使用的网络冗余技术, 使整个网络达到完全实现双链路备份冗余从而规避单点故障的风险。
2.1 汇聚层和核心层网络之间冗余关键技术分析
在接入层和汇聚层之间可以通过启用生成树协议达到链路层的冗余目的, 在汇聚层到核心层之间由两台Cisco的交换机和两台Redback SE800路由器组成 (设SE800A地址为13.1.1.1 SE800B地址为13.1.1.2) , 一般来说, 用户端路由器只会设置一个网关, 将缺省路由全部指向第一个网关, 如SE800A路由器13.1.1.1。如果Cisco 7606交换机与SE800A路由器互联的链路发生故障的话, 那么用户端路由器和SE800A之间将失去连接, 此时由于用户端CE与华为S3552F的链路并没有中断, 用户端路由器上依然存在下一跳为13.1.1.1的缺省路由。用户要访问其他网段的数据流量都会发到13.1.1.1上去, 此时用户的数据会全部丢失, 造成网络故障。这个时候, 用户到SE800B的链路却是通畅的, 用户端CE可以到达SE800B的互联地址13.1.1.2。现在需要一种机制, 让SE800B路由器的端口13.1.1.2在SE800A13.1.1.1端口或者链路发生故障的时候, 自动将用户的流量引导到备份端口上。在研究实验中使用了虚拟路由器冗余协议 (VRRP, Virtual Router Redundancy Protocol) 技术来实现这个功能, VRRP应用于作为静态配置缺省网关上的第三层交换机和路由器上, 为依赖缺省网关进行广域网接入或访问其它局域网网域的终端系统提供了更快、更有效的冗余容错能力。VRRP协议将系统中多台路由器组成VRRP组, 该组中拥有一个虚拟缺省网关地址。在任何时刻, 一个组内只有控制虚拟网关地址的路由器是活动路由器 (Master) , 由它来转发数据包。如果活动路由器发生了故障, VRRP协议将选择一个优先权最高的冗余备份路由器 (Backup) 来替代活动路由器。由于网络内的终端配置了VRRP虚拟网关地址, 发生故障时, 虚拟路由器没有改变, 主机仍然保持连接, 网络将不会受到单点故障的影响, 用户端的网络依然能够保持连接。
2.2 汇聚层和核心层网络之间冗余实验室实现过程
1.在SE800A上vlan 13接口上和SE800B的vlan13接口上都启动VRRP功能。因为SE800A的vlan 13和SE800B的vlan 13都在一个广播域内, 而他们的地址13.1.1.1/24、13.1.1.2/24和用户地址13.1.1.10/24都处于一个网段内, 所以这个三个地址都可以两两互通。
2.在SE800A端口上设置VRRP端口为高优先级, SE800B上设置端口为低优先级, 在两个端口的交互中, 高优先级的端口被选举为主用端口 (Master端口) , 低优先级的端口被选举为备用端口 (Backup端口) 。在Master端口和Backup端口之间会运行心跳协议, 互相通告端口的状态。
3.在SE800A和SE800B的vlan 13端口上都配置VRRP的虚拟地址13.1.1.1。这个虚拟地址可以和实际端口地址一致, 也可以与实际端口地址不一致。这个虚拟的IP地址对应一个虚拟的MAC地址, 这个虚拟的MAC地址由主用端口向交换机vlan 13中传播, 所以在vlan 13存在的交换机组Cisco 7606、Cisco 6509和华为S3552F都有这个虚拟MAC地址的存在。
4.用户端路由器使用缺省网关13.1.1.1作为缺省路由的网关地址, 对应的ARP表中的MAC地址为这个虚拟的MAC地址。
5.用户正常的数据流按照IP路由到缺省网关13.1.1.1, 交换机通过二层交换的方式查找相应的MAC地址, 发现那个对应IP地址13.1.1.1的MAC地址来自于SE800A的vlan 13端口上, 所以数据流被转发到SE800A的vlan 13端口上, 如图1所示。
6.当SE800A到Cisco 7606的链路中断后, SE800B上无法收到来自SE800A的心跳, 当在SE800B上的定时器超时后, 备用端口 (Backup端口) 将状态切换为主用端口 (Master端口) , 同时向交换机宣告虚拟IP地址13.1.1.1对应的虚拟MAC地址为SE800B上的端口地址, 这个时候流量全部切换至SE800B, 如图2所示。
3 MPLS VPN技术的发展和展望
MPLS VPN作为一种宽带网络的增值服务, 已经得到了国内外的广泛重视。在国外, 已经有100多家运营商采用或者准备采用MPLS/VPN向最终用户提供该项业务, 以收取高额利润。在国内, 中国电信、中国联通、中国移动的宽带骨干网都采用了MPLS/VPN技术。其中中国电信所提供的MPLS/VPN的覆盖范围不仅仅局限于祖国大陆地区, 还可以通过合作伙伴延伸到港、澳、台地区, 同时也可延伸至境外地区, 可以为跨国企业或者有国际合作需求的企业提供国际IP-VPN服务。随着MPLS/VPN技术的不断发展和完善, 逐渐衍生出越来越多的增值业务和服务。完全可以预见到MPLS VPN技术会为建设社会主义和谐社会, 建设信息化的上海发挥重要作用。
MPLS VPN在我国已经进入市场成长期, 越来越多的运营商会提供相应的产品, 有两个方面的经验可以借鉴:一是国外同行的运营经验, 二是国内同行和自己的经验教训。总的来说, 首先, 运营商一定要结合其他的VPN技术, 如租用线、IP VPN、帧中继、ATM来提供满足不同用户不同需求的整体解决方案;二是要确保运营质量, 如可靠性、QoS等;三是要努力降低网络操作维护的复杂度, 提高网络的利用率, 优化网络资源的使用;四是要加强和内容提供商的合作, 特别注意及时引入新业务吸引用户。运营商相继推出MPLS VPN服务, 可能产生的最主要问题是特殊安全需求和互联互通问题。在我国, 在公共信息基础平台上发展专有网络已是大势所趋, 唯一让用户担心的是安全性。实际上, MPLS VPN针对一般用户, 已经可以提供虚电路级的安全性。但是在特殊要求的场合, 比如公安、国防领域、电子政务、电子交易、传送敏感信息、商业文件时, 用户需要更加安全的保障措施。所以在吸引此类传统的专网用户时, 运营商应该着力应对, 提出更值得信赖的解决方案, 比如IPSec加MPLS VPN。当然, 安全问题不可能仅靠运营商的MPLS VPN来保证, MPLS VPN也保证不了绝对的安全, 所以行业主管部门要加强对验证、加密算法等保证安全手段的强制应用, 法律部门要加强对信息盗窃的处罚。对互联互通, 国家规划部门应该及早着手, 避免人为的信息孤岛、信息隔绝造成网络资源浪费, 促进不同运营商网络的互通, 方便用户站点的连通。标准制定部门应该强制MPLS VPN产品提供商满足我国规范的兼容性和互通性, 促进正当竞争同时避免出现外国产品在我国的实际垄断。
摘要:MPLS VPN是一种基于MPLS技术的IP-VPN, 是在网络路由和交换设备上应用MPLS技术, 简化核心路由器的路由选择方式, 利用结合传统路由技术的标记交换实现的IP虚拟专用网络 (IP VPN) , 可用来构造宽带的Intranet、Extranet, 满足多种灵活的业务需求。本文根据MPLS VPN协议集的功能特性和技术原理。针对网络中存在单点故障的可能性, 从网络的汇聚层与网络的核心层进行理论分析和采用实验的方法来论证整个网络的冗余性, 并对关键技术加以分析和实现。
关键词:MPLS VPN,SPT VRRP
参考文献
[1]Donald C.Lee.CISCO网络增强型IP服务 (Enhanced IP Services for Cisco Networks) [M].北京:电子工业出版社, 2001.
[2]Sanjeev Mervana.设计与实现基于DSL的接入方案[M].北京:人民邮电出版社.2002.
[3][美]Abe Martey.IS-IS网络设计解决方案[M].北京:人民邮电出版社.2002年.
[4]Catherine Paquet.组建可扩展的Cisco网络[M].北京:人民邮电出版社.2001.
[5]Tim Szigeti.端到端QoS网络设计[M].北京:人民邮电出版社.2007.
[6]沈鑫剡.IP交换网原理、技术及实现[M].北京:人民邮电出版社.2003.
基于主动网络的MPLSVPN 篇4
近年来, Internet作为人们进行信息交流的重要手段, 除了用于日常的信息传递外, 许多商务活动也基于它进行重要的通信业务, 其中VPN (Virtual Private Network, 虚拟专用网) 的应用以其能在公网上建立专有性私网的特点而逐渐进入各公司企业、政府机关, 并成为一股潮流。
MPLS VPN是一种基于MPLS (Multi-Protocol Label Switching, 多协议标记交换) 技术的IP-VPN, 是在网络路由和交换设备上应用MPLS技术, 简化核心路由器的路由选择方式, 结合标记交换实现的IP虚拟专用网络, 可用来构造宽带的Internet、Extranet, 满足多种灵活的业务需求。因此, 目前MPLS VPN越来越被运营商看好, 成为IP网络运营商提供增值业务的重要手段。但由于MPLS VPN大大增加了Internet核心的复杂性, 使MPLS VPN的故障更具迷惑性, 更加难以分析和排除, 这就对Internet骨干网提供商的网络管理提出了严峻挑战。同时, 部署MPLS VPN的机构也会面临潜在的安全和保密问题, 而对于用户提出的较高要求, 如QoS、CE和PE间的动态路由等, 在现有MPLS VPN网络上实现还相当困难。这一系列的问题在一定程度上影响着MPLS VPN的发展。
主动网络 (Active Networks) 的概念是DARPA (Defense Advanced Research Projects Agency) 研究协会于1995年提出的。主动网络方案中网络节点不仅转发数据, 而且可以通过执行附加程序来对数据进行处理。网络中的主动节点是可编程的, 可以执行用户定义的数据处理程序。
本文提出一种将主动网络技术运用于MPLS VPN网络中的方案, 以探讨如何解决目前MPLS VPN在运营过程中所面临问题。
1 MPLS VPN的工作原理
1.1 MPLS VPN网络结构
M P L S V P N是指利用服务提供商的M P L S骨干网构架VPN的解决方案。其网络结构如图1所示。
在MPLS VPN网络中, 存在三种路由设备:客户网络边缘路由器CE (Customer Edge) 、MPLS骨干网边缘路由器PE (Provider Edge) 以及骨干网核心路由器P (Provider) 。CE是用户直接与服务提供商相连的边缘设备。PE是骨干网中的边缘设备, 它直接与用户的CE相连, 它根据存放的路由信息将来自CE路由器的VPN数据处理后进行转发, 同时负责和其他PE路由器交换路由信息;P路由器是运营商网络骨干路由器, 不与CE直接相连, 它根据分组的外层标签对VPN数据进行透明转发, P路由器只维护到P E路由器的路由信息而不维护VPN相关的路由信息。
1.2 MPLS VPN网络工作原理
在MPLS VPN体系中, CE路由器与PE路由器间运行EBGP协议或OSPF协议, PE路由器间运行MP-BGP协议, PE路由器与P路由器间运行OSPF协议和CD-LDP信令协议, 由此在P E内建立一个M P L S转发表和多个V P N路由转发表 (VRF) 。每一个VRF对应一个VPN, 并映射到PE的某一接口。
当CE路由器从一个接口将数据包发给入口PE路由器之后, 该PE路由器查找该接口对应的VRF表, 从中得到VPN标记 (称为内层标记) 、LSP标记 (也称外层标记) 以及该VPN的出口PE路由器。然后将数据包打上内、外两层标记后, 发送到外层标记所对应的LSP路径中的第一个P路由器中, 骨干网中的P路由器根据数据包的外层标记逐跳转发该数据包 (VPN分组) , 直到最后一个P路由器。在该P路由器中, 弹出外层标记, 将只包含VPN标记的数据包发给出口PE路由器。出口PE路由器根据VPN标记, 查找VRF, 得到其对应的输出接口, 在弹出VPN标记后通过该接口将数据包送给相应的CE路由器, 从而实现了数据的转发。
目前, MPLS VPN应用的实例越来越多, 也取得了一定的成功。同其他任何技术一样, BGP MPLS VPN还存在着一些问题或局限, 从而限制了它的发展。比如在多厂商环境下实现端到端的服务等级或QoS将面临许多困难, 而实现网络管理也会变得相当复杂。在数据的传输过程中, 由于数据是明文传输, 因此其安全性也受到质疑。
2 主动网络
主动网络是将网络中的一些重要节点设置成主动节点。主动网络的主要特征是可对主动节点编程。通常采用的方法是将主动代码和相关数据封装到主动包中, 当主动包到达主动节点时执行主动代码;或者通过分发或下载的方式将主动代码预先安装到主动节点, 主动节点按照主动包中所含标识调用主动代码对到达的包进行处理及转发。
主动节点由节点操作系统 (Node OS) 、执行环境EE (Execution Environment) 以及主动应用AA (Active Application) 组成。
执行环境EE:执行环境是主动节点的核心, 它的作用是管理和执行主动代码, 处理主动包和被动包, 提供网络服务。
主动应用A A:由一段主动代码和与主动代码相关的数据、状态参数等组成。通过EE对AA的调用和执行可以实现用户定制的网络服务。
节点操作系统:节点操作系统的作用是管理和使用系统资源, 并提供基本的安全保证。
3 主动网络在MPLS VPN中的应用
利用主动网络的可编程性, 可将网络管理程序动态部署到各主动节点上, 实现网络的智能化、分布式管理。同时, 可根据用户的需求, 调用主动节点中相关的主动代码, 动态配置业务执行环境, 满足用户的服务要求。
因此, 设想将MPLS VPN建构在可按需定制网络服务的主动网络上, 以解决当前MPLS VPN实现方案中的一些难点。
基于主动网络的MPLS VPN网络的体系结构如图2所示。
在该体系结构中, 将传统MPLS VPN网络中的骨干网边缘路由器PE及客户边缘路由器CE设置为主动节点。在这些主动节点中, 有一个或多个主动网络执行环境, 可动态部署主动网络服务及相关管理、安全机制, 为开展业务提供支持。
网络管理服务器 (N M S) —负责网络管理和V P N业务管理。网络管理主要针对网络本身 (包括网络的各个组成部分以及相关软件、规程协议系统) 的管理;VPN业务管理主要是在业务层面对网络进行管理 (如:存量管理、业务供给、业务保障、安全管理、客户网络管理 (CNM) 、系统功能等) , 为网络的VPN运营提供强有力的支持, 以实现全网性的VPN业务层管理。
代码服务器 (CS) —负责存储由运营商提供的可供主动节点使用的主动代码。在收到主动节点的请求后, 或根据NMS的需要, 将开展相应业务所需的主动代码动态部署到主动节点上, 为用户提供开展业务所需的网络环境。
由于主动网络用户可以将用户代码嵌入其数据报文中。因此, 在该体系结构中, 用户可以通过发送主动包, 将该用户本次连接需要网络提供的服务种类以及服务时间、流量等信息送到网络中。这样主动边缘节点PE通过综合分析, 可以得出网络即将发生的数据流量大小, 并根据这些流量的特点与大小, 动态制定与之相适应的服务原则, 动态选择合适的LSP, 实现用户端到端的QoS保证。
在MPLS VPN网络中, 为了实现VPN业务的全网管理, 其管理系统应该能够对VPN网络实时监控, 能及时发现VPN网络及客户VPN的故障, 并自动发现VPN网络的拓扑结构, 以快速定位故障点, 提高VPN网络的可用性。同时, 该管理系统能及时掌握客户端网络及服务水平, 了解PE到CE的连通情况, 实时监测V P N网络设备的性能指标及流经M P L S VPN网络的数据流量, 以动态进行VPN网络的配置。而传统的网络管理系统广泛使用的是简单网络管理协议SNMP。这种网络管理协议是一种集中式的、单序的、反应式的模式, 这种模式很难满足MPLS VPN网络对管理系统的需求。利用主动网络的可编程性, 将一部分网络管理功能动态地分布在主动节点上, 充分利用主动节点的计算能力, 使节点能够自动发现、解决问题, 从而能极大地优化网络管理。
NMS根据管理需要, 向各被管主动节点 (客户边缘节点或骨干网边缘节点) 部署相应的管理程序。同时, 主动节点根据用户需求, 动态调用相关的管理程序, 进行实时监测, 并将结果返回给网络管理服务器N M S或送到其他相关主动节点, 动态配置满足用户需求的网络环境。因此, 大量的网络管理功能可以在被管节点本地完成, 实现了分布式的网络管理, 减少了大量信息的传递, 节省了监控循环所需的时间, 提高了网络管理的效率。如果用户对于安全性的要求较高, 也可在主动用户边缘节点上定制加密/解密程序, 实现数据的加密传输。
4 结束语
基于MPLS的VPN网络是下一代增值IP服务的基础, 如多媒体/组播应用、VoIP等, 而这些服务都需要特殊的服务质量和安全性。充分利用主动网络技术的可编程性, 可实现智能化的网络管理。本文提出了一种在MPLS VPN中运用主动网络技术的方案, 可满足不同用户不同服务的需求, 因此具有比较广泛的适用性。但同时也会带来一些问题, 由于VPN的用户可以主动插入网络业务到中间节点并运行, 会给网络带来较严重的安全问题, 这将有待于进一步的研究。
参考文献
[1]任德玲, 韦卫.基于IPSec的MPLS IP VPN的设计与实现[J].计算机应用研究.2006.3.
[2]朱斌, 陈文正, 张朝阳.基于MPLS技术的VPN中提供商边缘路由器的实现[J].计算机工程.2003.7.
[3]吕芙蓉, 周宗平, 张弘.MPLS在虚拟专用网中的应用[J].山东科技大学学报 (自然科学版) .2002.
MPLSVPN网络的安全性分析 篇5
关键词:MPLS VPN,安全,IPSec
MPLS VPN是一种解决多系统数据在同一个共享的网络上安全传输的网络技术, 它结合了IP网络三层路由功能和传统二层交换高效的转发机制, 近些年在电信运营商的网络中得到了较为广泛的运用。随着网络资源整合的深化, 福建电力数据通信网也已经开始了MPLS VPN网络的部署工作。
1 MPLS VPN工作原理简述
MPLS VPN技术是一种控制层与转发层相互独立的三层VPN技术。控制层使用BGP协议在全局网上发布VPN路由, 通过路由目标属性控制私有网络的路由, 分发到不同的VPN实例中, 这样每台路由器上的VPN都有一张独立的转发表 (VRF) 。不同的VPN是相互独立的。转发层使用MPLS在全局网上转发VPN报文。在基本的三层VPN应用中, VPN报文转发采用两层标签方式:外层标签在骨干网内部进行交换, 指示本端PE设备到对端PE设备的一条标记交换路径。VPN报文利用这层标签, 可以沿这条路径到达对端PE;内层标签在报文从对端PE设备到达CE设备时使用, 用以确定报文应被送到哪个CE。
2 MPLS VPN的安全性
MPLS VPN的安全性主要体现在以下三个方面。
(1) 用户IP地址空间隔离。一个MPLS VPN对应一个用户群体, 即该用户群体所使用的地址空间。同一台路由器内不同的MPLS VPN之间是不能通信的, 只有不同PE下的相同VPN用户才能相互通信, 这样不同地域用户的地址空间就被隔离开。而在骨干网传输时, 需人为地为所有启用VPN的路由器设置一个路由辨识符 (RD) , 形成VPN V4地址, 这个RD值可以保证在骨干网传输时IP地址的唯一性, 这样就确保了用户IP地址空间的隔离。因此, 不同的VPN, 即不同的用户群可以使用相同的IP地址空间, 而不会与其他VPN产生地址冲突。这也是MPLS VPN最大的优势所在。
(2) 路由表隔离。在启用MPLS VPN网络的路由器上, 路由表并不是唯一的, 而是每个VPN实例使用一张路由表, 称作VPN路由转发表, 即VRF。PE上存在多少个VPN, 就有多个转发表, 并还有额外的一张全局路由转发表。PE上的各VRF之间是相互独立的, 并且与全局路由转发表也是相互独立的, VRF不能使用全局路由转发表的信息。因此从逻辑上可以将一个VPN实例当作一台路由器, 整个MPLS VPN网络可抽象的理解为一个普通的三层网络, 其路由表 (VRF) 的建立方式是PE通过普通的三层路由获取方式 (静态或动态路由协议) 从本端CE获得路由信息, 再通过BGP协议获得其他路由器上所有的VRF路由信息, 接着由VRF关联的路由目标 (RT) 筛选出所对应的VRF中的路由信息引入到自身对应的VRF中。这样就实现了不同VPN之间的路由隔离。
(3) 隐藏骨干网络。在MPLS VPN骨干网中的数据不是通过路由协议转发, 而是利用标签进行转发。最常用的标签协议是LDP协议, 它通过BGP协议在PE和P之间传递VPN的标签和信息, 在骨干网络中执行了交换的动作, 由于标签位于网络层的外层, 近似于2.5层, 这样在转发的过程中路由器无需读取数据包的IP信息。因此骨干网络的寻址方式和拓扑结构对于用户VPN来说是不可见的。
3 MPLS VPN网络中的安全威胁
由上述的分析可以看出, 用户接入MPLS VPN的方式是在站端提供CE同骨干网PE的链接, 在PE上配置相应的VRF, 然后将PE—CE的互联接口 (通常是子接口) 绑定至该VRF。PE与CE间的路由可普通的三层路由的方式 (静态或动态路由协议) 获取。
PE和P设备组成的MPLS骨干网是为所有的VPN用户提供网络传输服务, 是所有VPN用户共用的骨干网络, 而PE和P路由器之间需要通过BGP协议交换路由信息, 由于骨干网络中PE设备众多, 非法用户有较多的机会与PE路由器建立连接, 从而窃取VPN用户信息, 因此要控制与PE路由器的连接请求。CE设备通过PE设备接入MPLS骨干网, 其与PE通过动态路由协议交换路由和数据时, 非法用户也有机会与PE或CE路由器建立连接, 从而窃取VPN路由信息, 进一步可以监听到VPN的数据信息。
4 MPLS VPN网络中所能采取的安全措施
4.1 在控制层中所能采取的安全措施
首先是PE与CE之间VPN路由交换的安全措施。文章前面提到, PE与CE之间的路由交换可以通过BGP、OSPF、RIP或ISIS等动态路由协议或静态设置的方式进行, 所以控制层上首先要保证这个层面路由传递的安全性。CE设备若是通过专线或VLAN的方式与PE设备互联, 因为这段路径通常是由网络管理员建立的, CE设备很难以非法的方式接入, 所以此时与PE设备并交换路由时, PE与CE之间路由的传送路径本身具备一定的安全性。在这种情况下, 如果从业务成本和配置的简单化上考虑, 可以允许未经认证的CE接入。但CE设备若以无线或者通过代理等方式与PE设备互联时, 则仅能允许经过认证的CE设备接入进行互联, 之后才允许进行路由交换等后续工作。对于动态路由协议, 通常其自身都具备一定的认证机制来保证路由的可靠性和完整性, 建议直接应用。
其次是PE设备之间VPN路由传递的安全措施。PE设备之间是利用BGP协议进行路由传递的, PE设备之间路由传递不可避免地要经过一个或多个P设备, 此时非法用户有可能利用源地址欺骗等手段要求与PE设备建立连接并接收VPN路由。因此, PE设备只允许与合法的对等体通信, 否则就可能造成VPN路由泄漏, 从而导致用户数据信息被截留或复制, 甚至被引入Do S攻击等严重后果。由此, PE设备之间在进行BGP路由交换前必须强制启用认证功能, 每台PE设备在与其他设备建立连接前都应要求认证, 以防止非法用户造成的入侵。
4.2 在重要VPN用户内部可以采用IPSec技术作为MPLS VPN的补充
我们先简单回顾一下IPSec的工作原理。IPSec工作在OSI协议中的第三层, 可以为三层及以上层次的协议和数据提供保护, 它提供保护的核心方式是两个对象之间 (这里的对象可以是主机, 也可以是路由器、防火墙等安全网关设备) 通信所产生的数据进行加密, 且采用的加密算法是采用目前最难以破解的RSA算法, 且密钥长度最长可以达到128位, 极大地增加了破解难度, 而且若是采用根证书认证服务器来分发证书的形式实时更换密钥, 几乎可以认为IPSec的加密是不可破解的。
由此可见, 相对于工作在2.5层的MPLS VPN技术, 在VPN内部应用IPSec技术可以从根本上解决VPN路由信息泄露的问题。但IPSec技术相对于MPLS VPN来说是相互独立的技术, 大规模的应用, 甚至是在每个VPN中都应用的话将极大地增加网络管理员和设备的处理负担, 也需要增购不少设备, 在安全性要求不是很高的情况下, 不一定要采用该技术进行技术补强。
5 结语
MPLS VPN技术为多种用户在同一个IP网络上进行安全的数据传递提供了一个良好的解决方案, 但它并不是绝对安全的, 必要时也需要采用其他技术措施来进行补强。但每增加一种安全措施, 都至少要占用设备的CPU或内存等设备资源, 加重设备处理负担, 有时甚至需要增购额外的设备 (如IPSec的根证书认证设备等) 。因此在采用某种安全措施前, 还应权衡网络、设备的现状以及业务的重要性, 用最小的开销来实现用户业务所要求的安全性。
参考文献
[1]石永红, 刘嘉勇, 汤云革.基于MPLS的VPN技术原理及其实现[J].电子技术应用, 2004 (7)
[2]陈涛, 陶刚.MPLS/BGP4VPN原理与实现[J].电信快报, 2005 (2)
浅析MPLSVPN技术 篇6
MPLS/VPN技术可提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障的专用VPN连接通道。由于各政府、企业的业务应用系统对网络的传输条件的安全和服务质量都不相同, 所以需要将它们根据各自的业务特点和要求正确地传送, 提供不同的安全、可靠的服务。先进、成熟的MPLS/VPN技术是通过互联网来组建政府、企业的IP专网的基础, 能够实现政府、企业各自业务系统的相互隔离和宽带连接。MPLS VPN技术通常用于组建大型业务专网, 它通过利用电信运营商的骨干网络, 可以大幅度控制政府、企业业务专网的建设成本, 并能提高网络管理和运行的灵活性, 能够满足各类用户对数据传输的不同需求。
2 Mpls的基本原理
多协议标签交换 (Mpls) 技术是用于快速数据包交换和路由的技术, 它通过标签来规定一个分组通过网络的路径, 为网络数据流量提供了目标、路由、转发和交换等能力, 将路由的选择和数据的转发分开, 具有管理各种不同形式通信流的机制。更为重要的是, MPLS VPN在第三层路由上对各部门的VPN进行了隔离, 不需要通过创建访问控制列表来限制, 骨干网对于各个专用网络是不可见的, 能够保证多个业务应用在共用IP骨干网情况下的相互有效隔离。MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务。Mpls网络由LSR (Link State Requestionpackets, 核心部分的标签交换路由器) 、LER (Link Edge Requestionpackets, 边缘标签路由器) 组成。LSR由控制单元和交换单元组成, 具有传统ATM交换机和路由器功能, 是MPLS的网络的核心交换机或者路由器, 位于MPLS网络内部。LER位于MPLS的网络边缘, 报文由LER进入或离开MPLS网络。它提供标签的映射、标签的移除和标签的分发功能。MPLS无缝地集成了IP路由技术的灵活性和ATM标签交换技术的简捷性。MPLS在无连接的IP网络中增加了面向连接的控制平面, 为IP网络增添了管理和运营的手段。
3 基本Mpls Vpn实现
MPLS VPN由三类设备组成:PE, P和CE。PE是电信运营商网络的边缘设备, VPN的管理都在PE上完成, PE设备与CE直接相连, 一个路由器可以充当多个VPN的PE。P设备只运行IGP协议、LDP协议、BGP协议, 不会运行MP-BGP协议, 不会感知VPN的存在, 根据IP数据包的外层标签对数据包进行转发。CE设备上只负责VPN业务落地, 不会感知VPN的存在, 可以是用户端的路由器、交换机等。
基于MPLS的VPN服务要求在所有包含同—个或同一组VPN的路由选择信息的所有PE路由器之问建立MP-BGP会话, 为降低MP-BGP会话数, , 需要对所有的BGP邻居, 路由器使用相同的出战策略, 使用BGP对等组, 这样当拓扑发生变化时只会扫描BGP表一次, 减轻路由器的资源消耗。
在MPLS VPN中, 不同VPN之间的路由隔离通过VPN实例来实现。VPN实例也称为VPN路由转发表VRF。PE设备上有公网路由转发表, 以及其他VPN路由转发表。也就是说, PE上存在多个实例, 包括一个公网实例和一个或多个VPN实例。PE能够给各直连的Site管理并维护各自专门的VPN实例。VPN实例中包含对应Site的VPN成员关系和路由规则。若一个Site中某个用户同时属于多个VPN, 那么该Site的VPN实例中会包含这些VPN信息, 为保证各个不同VPN用户的数据安全和独立, PE上每个VPN实例都有着相互独立的IP路由表、标签转发表、与VPN实例绑定的物理接口以及VPN实例的管理信息等。
隧道策略:隧道策略用于选择给特定VPN实例的报文使用的隧道。隧道策略是可选配的, VPN实例创建完成后, 就可以配置隧道策略。
4 Mpls Vpn的网络架构
在MPLS VPN网络中, 可使用VPN Target属性来控制VPN路由信息在各Site之间的发布和接收。VPN Export Target和Import Target的相互独立, 并且都可设置多个值, 可实现VPN访问控制来实现多种VPN组网方案。
一般情况下, 只有同一个VPN下的主机才能够相互之间进行数据交换, VPN内的主机不能与其他VPN的主机进行数据通信。这种情况下, 需要为每个VPN分配一个不同的VPNBGP扩展团体属性 (VPN Target) 作为该VPN的Export Target和Import Target。
Hub&Spoke组网方式可以实现中心设备对两端设备的互访进行管理和控制等功能, 中心访问控制设备的Site称做Hub站点, 其他用户Site称为Spoke站点。Hub站点侧接入VPN骨干网的设备叫Hub-CE;Spoke站点侧接入VPN骨干网的设备叫Spoke-CE。VPN骨干网侧接入Hub站点的设备叫Hub-PE, 接入Spoke站点的设备叫Spoke-PE。Spoke站点需要把路由发布给Hub站点, 再通过Hub站点发布给其他Spoke站点。Spoke站点之间不直接发布路由。Hub站点对Spoke站点之间的通讯进行集中控制。
5 结束语
Mpls Vpn技术的应用目前已有大量政府、企业的应用案例, 各政府部门、企业通过MPLS VPN构建各自的业务专网网络, 正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展, 一个高效的、智能的、集成的网络是将是未来专用网络发展的方向。
参考文献
[1]石晶林、丁伟等《MPLS宽带网络互联技术》人民邮电出版社.2010
[2]陈锦章《.宽带IP网络技术》清华大学出版社.2009等
MPLSVPN的实现 篇7
随着网络技术的发展,如何搭建由数个不同地域之间的网络而组成的一个大的通用网络已经不是一个难题。MPLS VPN技术的出现正好能提供一种有效、方便的异地组网的方案,并予以工程实施。
二、MPLS VPN技术
(一)MPLS技术。
MPLS(Multi-Protocol Label Switching)多协议标签交换技术,是一种隧道技术,位于数据链路层和网络层之间,它支持多种三层协议,如IP、IPV6、IPX等。它通过给报文打上label标签,在转发过程中以标签为标志而不再需要通过IP识别:IP包在进入MPLS网络时,入口路由器依据IP包的内容选择符合的标签,在该网内的MPLS网络节点依据该标签转发,不再查询每个IP数据报中的IP地址,大大加快了IP数据报的转发速率。在离开MPLS网络时,该包的label标签则被边缘路由器去掉。MPLS结合了IP和ATM的优点,兼有无连接的快捷和有连接的准确,具备了在第三层网络层路由的可伸缩性和灵活性,以及第二层数据链路层交换的高可靠性和流量工程管理。
(二)VPN技术。
VPN(Virtual Private Network)虚拟专用网络,通过在公用网络上建立虚拟的专用网络来进行隔离通信,通过不同的VLAN划分可以把不同物理上的设备组合成一个或几个不同功能的虚拟网络,实现各种特定目标的功能。在同一个VPN内通过对不同或相同功能的物理设备规划不同的虚拟地址段来实现隔离:相同功能的设备设置为同一个VLAN,不同的设备设置不同的VLAN,一般而言不同VLAN之间的设备不能访问。VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在网络七层模型的第二层(数据链路层),采用不同的加密方式对保密数据进行封装;IPSec是第三层(网络层)隧道协议,不仅仅加密还可以通过设置筛选数据包及受信任的通讯来防止网络攻击。目前VPN已经广泛用于政府、分散需要互联的企事业单位总部与分支机构内部联网(Intranet-VPN)。通过使用VPN技术能够很大程度上节省建网投资,避免传统专网的高额软硬件投资;由于使用的是ISP的资源,对安全、维护、可靠性都有严格的保障。在VPN网络上通过划分不同的VLAN来区分不同功能的网段,设置各种访问组合,且可以通过二层、三层的划分来实现不同级别的安全访问。
(三)MPLS VPN技术。
MPLS VPN是一种结合了MPLS技术和VPN技术的实用技术,通过在网络侧(网络路由和交换设备)应用MPLS技术,简化核心路由器的路由选择方式,不再需要一个一个获取路由表,利用MPLS域中的label标记交换实现的IP虚拟专用网络(IP VPN)。通过MPLS结合VPN技术,能快速把VPN段的数据通过MPLS分发到对应的VPN段的目的地址上。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。
三、DCN网络
DCN网是Data Communication Network的缩写,即数据通信网,基于IP网络,主要承载电信行业的办公及各种业务支撑应用。现阶段电信各应用级平台都以DCN网为载体,承载各类应用级和管理级数据。比如程控交换网管、各数据网管、计费系统(BSN)、客户信息系统(CRM)、资源系统、OA等。和其他商业化的业务网(如169网)比较,DCN网对于带宽的要求不是很高,一般市级电信155M带宽就可以满足,但对于网络的安全性、可靠性以及可管理性都有比较高的要求。在物理上具有相对独立的特点。
四、用MPLS VPN技术拓展DCN网络
大多数电信级DCN网在组网之初都是独立组网,在带来相对的网络安全、可靠性以及可管理性之外,也带来了资源的严重浪费,重复建设的问题。DCN网的每台设备都是直接连接到网络设备的具体端口上,并且会一直占用,直到该设备下线。在设备与网络之间、网络与网络之间在物理上都一直保持连接。特别是为了保障DCN网络的重要节点和重要设备的使用,往往在设计之初就规划建设了异地容灾备份,即重点设备、重点网路互为热备,双链路互联上下行,更加大了资源的浪费,资源的复用率也很低。另外,DCN网与DCN网之间的扩容性也不是很好,需要专门建设新的线路,添加新的网络设备,这样,DCN网的造价和维护则会很高。而MPSL VPN的技术应用,则很好地解决DCN网之间的扩容、连接问题,而不需要铺设新的网络线路和网络设备,节约了成本,安全性也有很高的保障。
DCN网的短距布放线路一般受限于5类网线的物理特性,在100M的距离内网络的连接性还是有保障的,在超过这个距离的网线上就需要布放交换机等设备保障信号不失真,网络越长就布放越多。但因为要限制广播的影响的同时又限制了交换机的布放数量,而且加大了成本,根本不可能采用交换机5类网线互联的方式来扩大DCN网络。因此,对于长距DCN网的互联,一般租用公网线路,采用MPLS VPN技术连接不同区域的DCN网,组成一个更大范围的DCN网。
通过MPLS VPN可以对各区域(地域)内DCN网进行IP地址划分。不同区域(地域)之间,不同功能设备之间划分不同VLAN。对重要VLAN之间要做好互访控制,不能开放各个VPN之间的互访,否则将对网络设备(CPU,MEM,收敛速度和延迟)和网络带宽资源的严重消耗。可以考虑仅限制重要设备之间VLAN访问,而对于公用的设备才全VLAN开放,比如防病毒服务器、补丁服务器等全网公用设备。
五、结语
DCN网络作为专网使用对现有网络、设备资源占用很高,不利于资源复用和分摊维护成本。而MPLS VPN技术在DCN网上的应用则能很好地解决对需要扩容的或新建DCN网以及异地DCN网之间的互联的问题。它一方面能保障DCN网群之间的互联的安全性、稳定性和可靠性,另一方面能很好地扩容的同时,可以节约大量的各种资源,网络的、设备的以及维护的人工等等。
摘要:本文介绍了MPLS VPN技术的概念和DCN网络的特点,给出了一个MPLS VPN技术应用于DCN网络的方法,该方法实现了DCN网络的拓展,且相对于现在的网络具有一定的优越性。
关键词:MPLS,VPN,DCN,MPLS VPN
参考文献
[1]董涛.多协议标志交换(MPLS)基本原理[J].通信市场,2003
[2]潘胜发,刘广义,林孝康.MPLS路由技术[J].计算机工程,2002
[3]段效愚.MPLS VPN帮助企业构建信息化网络[J].通信市场,2006,9
[4]IVAN PEPELNJAK,CCIE NO.13544,JIM GUICHARD,CCIE NO.2069,JEFF APCAR;卢泽新,朱培栋,齐宁等译.MPLS和VPN体系结构[M].北京:人民邮电出版社,2004,第2卷