MPLS VPN设计(精选7篇)
MPLS VPN设计 第1篇
为满足业务发展及精细化管理需要, MPLS技术得到更为广泛的应用, MPLS VPN技术已经成为专网中实现业务系统隔离最有效、最易管理和扩展的技术手段, 通过MPLS VPN可以满足专网管理需求, 实现在一张物理网上模拟多种逻辑网, 分别承载不同的业务, 有助于整合网络资源、降低运营维护成本。但是受人员能力、管控水平等多种因素的制约, 包括VPN划分、网络组织以及其他等方面仍然存在运营精细化不足、缺乏统一规划等问题, 直接导致与业务系统割接、业务系统整合的管理不畅, 本文针对目前MPLS VPN网络运营管理中的突出问题, 对MPLS VPN网络设计的核心环节进行研究探讨, 并提出建议方案, 有助于MPLS VPN网络设计、网络精细化运营提供参考。
二、MPLS VPN技术实现模式
基于MPLS技术可以在IP基础设施上提供IP业务的优势, 并基于MPLS建立全新的分级IP VPN, IP VPN可以实现无连接的IP网络, 同时可以保证与帧中继及多级别IP业务的私密性。MPLS VPN主要包括BGP/MPLS VPN和L2 MPLS VPN两种实现技术。 (1) BGP/MPLS VPN基于RFC2547技术, 能够将路由外包给第三方企业维护, 减小了运营复杂度, 帮助用户维护路由进一步可以开展增值业务, 带来收益增长。 (2) L2 MPLS VPN由Juniper公司提出, VPN用户自己负责维护VPN内的路由信息, 第三方只负责将用户的链路层标识在网络两端进行映射, 使其能在IP网络上获得专有的连接。在不足方面, 同一个VPN的CE和PE之间的连接类型必须一致;用户需要自己维护路由, 要求有一定路由经验, 相应对第三方企业而言, 也失去了开展路由代维服务的机会。BGP/MPLS VPN和L2 MPLS VPN在技术上各有优缺点, 结合网络运营现状及管理需要, BGP/MPLS VPN能够更好的降低运营复杂度, 并可以通过维护路由开展增值应用, 采用BGP/MPLS VPN技术方案更为符合实际需要。
MPLS VPN网络结构主要包括三层结构和二层结构两种方式。对于三层MPLS VPN网络结构, 在城域网、省网、骨干网的边界都需要专门的PE-ASBR和独立的链路连接起来, 在PE-ASBR之间运行MP-e BGP, 在每个层面的网络中有各自的PE设备, 一个层面的PE设备之间运行MP-i BGP;对于二层网络, 城域网、骨干网之间的边界通过专门的PE-ASBR和独立链路连接, 在PE-ASBR之间运行MP-e BGP, 在每个层面有各自的PE设备, 一个层面的PE设备之间运行MP-i BGP。MPLS VPN网络结构示意图如下:
三、MPLS VPN路由及相关资源配置
在MPLS VPN网络中, PE与用户路由器 (CE) 间支持多种路由协议, 主要包括EBGP, RIPv2, OSPF和静态路由。PE-CE间路由协议用于在PE-CE间相互扩散VPN内部用户路由, 由于VPN内部用户路由的变化直接影响PE设备的性能和资源, 对于PE-CE之间的路由协议, 需要根据VPN内部路由的不同情况进行综合选择:对于VPN内路由数量比较多的情况, 一般建议采用EBGP作为PE-CE之间的路由协议;对于VPN内路由数量少的情况, 通常采用静态路由或RIP v2作为PE-CE之间的路由协议;对于PE-CE链路之间连接PC或者Server服务器, 无需运行路由协议, 可以采用重分布直联接口到MP-BGP中。MPLS VPN路由方式不宜过于复杂, 需要采用清晰明了的路由, 本文以某运营企业为例, 提出如下配置建议方案:
(1) 在用户地址段在PE路由器上配置静态路由
Address-family ipv4 vfr test1配置PE到CE的路由
以上192.1.1.0为用户地址段, 10.10.10.0为连接地址段。
(2) 在CE上配置默认路由
用户路由器以Cisco2611为示例:
Interface Fast Ethernet 0/0连接到上层局端交换机
Interface Fast Ethernet 0/0连接到用户端交换机
与BGP/MPLS VPN相关资源主要包括:路由识别 (RD, Route Distinguisher) 、路由目标 (RT, Routing Target) 以及VRF名称。
(1) 路由识别RD分配
使用<16bits type>:
(2) 路由目标RT分配
根据VPN业务互访关系, 为每个VPN配置不同的RT。CERC是业界比较通用的一个RT分配策略。VPN本身表达了客户的各个Site之间的网络连接关系, CERC策略把一个VPN划分成一个个的CE的组, 每个组称之为CERC (CE routing communities) 。
(1) 任何一个复杂的组网拓扑, 都可以拆分成若干个CERC。
(2) CERC的基本类型有两种类型:full mesh、hub-and-spoke
(3) 每个CERC都有两个RT值 (hub rt值和spoke rt值) 。
四、MPLS VPN网络部署方案
对于三层MPLS VPN网络, 在城域网、省网、骨干网的边界需要通过专门的PE-ASBR和独立的链路连接起来, 在PE-ASBR之间运行MP-e BGP, 在每个层面的网络中有各自的PE设备, 一个层面的PE设备之间运行MP-i BGP;对于二层网络, 城域网、骨干网之间的边界通过专门的PE-ASBR和独立链路连接, 在PE-ASBR之间运行MP-e BGP, 在每个层面有各自的PE设备, 一个层面的PE设备之间运行MP-i BGP。
在一个AS自治域, MPLS VPN通过MP-i BGP路由协议来承载VPN成员关系和VPN网络可达性。PE设备之间要运行MP-i BGP, 假如采用Full Mash结构, 对于有N台PE的情况, 每台PE都有N-1个IBGP session, 每增加一台PE, 在新增的PE上需要配置现有的所有PE作为其IBGP邻居, 同时需要在其他PE上增加一个IBGP邻居, 当N很大时, 配置工作量将很大, 不易扩展。
核心层需要处理城域网以外的大量路由, 和MPLS VPN中的P节点处于同样的位置, 核心层设备需要完成P节点的工作, 实现VPN外层标签交换, P节点的稳定性和兼容性十分重要, P节点发生故障将会影响整个城域网的MPLS如果采用其他小厂设备, 可能会遇到不稳定或者一些意想不到的问题。结合业务量需要规模, 通常建议采用Cisco12000系列的GSR路由设备, 能够较好的满足高数据量、高稳定性、高安全性需求PE路由器在P节点之下, 处于汇聚层, 完成大量的VRF和VFR路由的发起工作。汇聚层网络设备首先需要考虑接口问题, 充分考虑网络的可持续扩展性, 需要包括丰富的GE接口, 并考虑的可互通性, 避免在城域网中造成瓶颈。汇聚层网络设备可采用的设备主要包括Cisco7600系列、华为的NE系列、港湾的Bighammer系列系统设备。建议采用思科公司的Cisco7600系列的Supervisor Engine 720-3BXL路由器作为汇聚层网络设备, 能够较好的提供硬件加速和MPLS等可扩展增强服务。
五、结束语
本文以MPLS网络精细化运营管理为出发点, 基于实际运营管理需求角度探讨MPLS VPN网络设计实施问题, 提出了面向运营的MPLS VPN网络设计方案, 具有较强的实际应用针对性, 有助于解决VPN网络建设过程中网络设计与业务发展相互脱节的问题, 提升网络精细化运营管理水平, 为MPLS VPN网络建设和精细运营提供参考。
摘要:随着MPLS技术应用的普及, 本文面向运营需要探讨MPLSVPN网络设计问题, 首先对MPLSVPN技术实现模式进行对比分析, 阐述BGP/MPLSVPN和L2MPLSVPN两种方式的技术特点, 在此基础上, 提出MPLSVPN路由及相关配置方案, 并分别从链路连接、设备选择等方面阐述MPLSVPN网络部署方案, 为MPLSVPN网络设计提供借鉴和参考。
关键词:MPLS,VPN,网络设计
参考文献
[1]朱元忠, 余镇危, 杨民峰.基于IPSec与基于MPLS的VPN的比较与分析.北京工业职业技术学院学报, 2008, (01)
[2]张扬.基于IPsec的VPN研究.重庆工学院学报 (自然科学版) , 2008, (01)
[3]刘亮, 李玉萍, 邹妍, 吴国强, 秦久刚.浅谈VPN技术.地壳构造与地壳应力, 2006, (01)
MPLS VPN设计 第2篇
DCN网络改造的实施困难及相应对策
模拟测试结果
从全省各地市抽取6台可以运行MPLS VPN协议的路由器设备, 搭建实验环境。模拟环境拓扑图1。
在模拟环境中进行的MPLS VPN参数规划, 完全按照改造方案设计进行规划。对设计中提出的六个VPN域, 在测试环境中模拟了最主要的BSS (综合业务管理系统) 、MSS (管理支撑系统) 、OTHER三个域。验证了MPLS VPN的相关配置命令, 获得了相关命令产生的效果和影响。
网络改造的实施困难及对策
在测试过程体现出了一些实际操作中的问题, 可能会在实施过程带来一些困难和障碍。
1.涉及路由器设备多
在模拟环境中, 只对6台设备进行了相应的配置测试。而到了实际环境中, 将会对全省17个地市和省公司的所有路由器设备进行配置, 涉及将近40台路由器设备。涉及设备多, 范围广, 对实施带来了很多不可控的因素。
由于各个地市核心路由器的配置情况各不相同, 几乎不可能做到全省统一配置。必须对全省所涉及的所有设备、业务进行调研、汇总和整理, 再针对不同地市设备进行不同的配置处理。
2.MPLS VPN配置工作量大
在整个模拟环境中, 分别对6台设备进行了不同程度的配置变更, 这些配置变更带来了很大的工作量。而在实际环境中, 设计到的路由器设备将近40台, 而且MPLS VPN改造的配置变更, 不是简单的独立路由器的配置, 而是多台设备的协同配置, 需要在多台路由器间进行全面配置修改和调试, 配置变更的工作量可想而知。
另一方面, 配置完毕之后, 配置的验证工作也很繁琐复杂。配置的验证工作不仅仅是配置命令输入的对与错, 同时也包括了正确命令下逻辑命令的验证。验证工作是极其重要的, 如果每一步的验证工作不能顺利结束, 则下一步的操作就不能继续开展。
省公司设备与地市分公司设备由于在网络中的角色不同, 省公司设备的配置和地市分公司的配置也不尽相同, 需要区别对待。
所以在实施过程中, 不可能在短期内完成配置工作, 必须分解配置体系, 分阶段开展工作。
3.VRF接口绑定会中断三层端口
测试过程中在进行VRF接口绑定时, 三层端口会再配置VRF语句后, IP地址命令失效, 必须重新配置。这样将会造成端口暂时的失效, 这种失效使现运行网络相应的端口业务中断。这种中断是三层网关的中断, 并不是设备物理线路的中断, 即对于设备的二层数据流没有影响。由于地市分公司主要使用VLAN, 此时的绑定操作将会中断VLAN网关的可用性。
而对于DCN网络来说, 在正常工作时间三层端口的短暂失效对部分业务来说是不能接受的。因此, 大部分的VRF端口绑定操作必须在凌晨操作, 以减少对业务的影响。在VRF绑定操作完成之后, 应立刻对业务进行测试, 而凌晨这个时间对人员的调度将会增加测试工作的困难。
因此, 公司必须进行全面的行政调度。需要公司相关管理部门对公司内所有系统的允许操作时间制定相应的操作时间表, 同时对各个系统的使用人员按照操作时间表进行调度。确保所有的实施、测试工作按照时间表进行, 人员按照时间表进行调度。
山东联通DCN MPLS VPN改造实施方案设计
设计目标
山东省联通DCN网络承担着联通内部重要的生产任务, 不允许出现重大的网络中断和性能下降。在整个MPLS VPN迁移改造过程中, 保证网络整体平稳地从IP网络向MPLS VPN网络过渡是此次改造的重要目标之一。
为解决实施过程中的困难, 结合MPLS VPN改造方案和模拟环境测试结果, 针对目前山东省联通DCN网络的实际情况, 将DCN网络MPLS VPN改造步骤主要分两部分:省公司割接部分、地市割接部分。地市割接部分由于地市较多、情况复杂, 再分为试点地市割接和其他地市割接两部分。试点地市选择一个使用EIGRP路由协议的地市和一个使用OSPF路由协议的地市。试点地市的割接成功完成后, 再推广到全省其他地市实施割接改造。
省公司割接部分
省公司网络集中了大部分的业务系统, 情况较为复杂。故省公司割接部分分为七个阶段, 把大量的配置变更分散到每个阶段, 降低风险。在建立MPLS VPN环境时, 只有一个VPN域, 操作和故障点会相对的减少, 方便在割接过程中的实施和排障。因此, 先把所有的应用划入BSS域, 然后再从BSS域中剥离。
第一阶段:进行MPLS VPN的相关配置。创建相应的VPN配置, 将各个VPN的Loopback地址划入到对应的VRF中, 并测试各个VPN的Loopback地址的连通性。
第二阶段:建立BSS VPN、OTHER VPN, 并建立BSS域、OTHER域与GLOBAL域 (路由器不划分VPN时的域) 的通信。这样可以保证及时建立相应的VPN域, 原来的业务也可以不受影响地和VPN域进行通讯。
此时, 也可以同时在地市进行同样的操作, 即在地市路由器上建立BSS域、OTHER域与GLOBAL域的通信。
测试所有Loopback地址的连通性。
第三阶段:将省公司所有设备接口划分到BSS域中。同时将地市公司的所有设备端口划分到BSS域中。并进行全网的连通测试。
本阶段的割接, 会导致设备接口的短暂失效, 必须在凌晨实施操作。需要调动全省各个地市的业务使用人员留守进行业务测试。本阶段割接涉及的接口较多, 参与测试人员多, 故需要分批次的开展进行。先对省集中业务系统进行集中割接, 再对省公司内部系统进行割接。
第四阶段:将第三阶段划入BSS域中的相关OTHER域系统从中剥离, 划入OTHER域。在本阶段中, 建议先从对网络实时性要求不高、允许在一定时间段内中断的SOC (公司安全监控平台) 系统开始进行。此系统作为第一个剥离系统在出现问题时, 有足够的时间处理, 并为以后其他系统的剥离提供经验。
此时, 省公司和地市分公司查看路由导出情况。确认VPN域能够收到来自OTHER域VRF的RT后, 则删除导出的GLOBAL RT。
第五阶段:在省公司安装防火墙, 并进行调试。使用BSS和OSS的Loopback地址测试到MSS的Loopback地址的连通性。
第六阶段:将OTHER域和MSS域从BSS域中割接出来。
第七阶段:对省公司所有的省集中系统和业务进行全面的业务测试。业务测试由省公司统一制定业务测试文档下发。全省各地市人员按照业务测试文档统一进行测试, 并将测试结果反馈省公司。业务测试中出现的问题, 直接反应省公司解决, 并记录在业务测试文档备案。
地市公司割接部分
地市公司割接先由两个试点分公司进行, 然后推广至全省其他地市。地市分公司主要以业务、办公终端为主, 各自的服务器较少, 故分为五个阶段开展实施改造割接。
第一阶段:进行地市调研、信息汇总, 制定割接方案。各个地市公司需要收集的信息包括本地VLAN使用情况、本地IP地址的使用情况、本地服务器的访问情况、本地使用的路由协议等相关信息。各个地市公司必须在确定了各自的具体情况后, 制定具体的割接方案。
第二阶段:在地市公司安装的防火墙, 并进行调试。使用BSS和OSS的Loopback地址测试到MSS的Loopback地址的连通性。
第三阶段:对地市公司的MSS域进行割接, 即对MSS进行VRF的接口绑定操作, 并进行连通性测试。由于地市的MSS系统和服务器较少, 大部分都是用户终端, 不对公司外部用户提供业务服务, 故可以在下班之后进行割接操作。
第四阶段:对地市公司的BSS域进行割接, 即对MSS进行VRF的接口绑定操作, 并进行连通性测试。地市BSS域的割接会影响对用户业务的服务, 必须在凌晨进行割接操作。
第五阶段:对地市公司系统和终端进行全面的业务测试。按照省公司的业务测试文档, 下发市公司和县公司各个部门。地市人员按照业务测试文档统一进行测试, 并将测试结果反馈地市公司。业务测试中出现的问题, 直接反馈地市公司解决, 并记录在业务测试文档备案。地市公司将本地割接测试文档汇总后, 再反馈省公司。由省公司监督地市分公司的割接、测试情况, 并统一进行调度。
结束语
此次DCN网MPLS VPN改造实施方案满足网络改造的设计目标、贴合公司实际情况, 能够保证改造顺利进行, 实现从IP网络向MPLS VPN网络的平稳过渡。能够加强DCN网络的增值功能, 使其不仅能承载即将到来的大数据流量, 也为其将来承载多媒体流作好准备。
浅析MPLSVPN技术组网方案 第3篇
一、MPLSVPN网络的组成
MPLSVPN技术是一种采用多协议标记交换, 基于宽带IP网络的技术。它的网络组成可以分为以下三个部分:
(一) CE (Customer Edge Router) 用户网络边缘路由器设备。
这种设备直接和服务提供商的网络进行连接, 因此, 它“感知”不到VNP是存在的。
(二) PE (Provider Edge Router) 服务提供商边缘路由器设备。
这种设备是和用户的CE相互连接的, 主要的任务是负责VNP业务的接入工作, 以及对VPN-IPv4路由进行处理, 因此, PE设备扮演者MPLS三层VPN实现者的重要角色。
(三) P (Provider Router) 服务提供商核心路由器设备。
这种设备的主要作用是对数据进行快速的转发, 但它不和用户网络边缘路由设备相互连接。
综上所述, 在整个MPLSVPN中, P和PE设备需要支持MPLS的基本功能, 但CE设备不用支持MPLS的功能。
二、MPLS的设计方案分析
MPLS VPN的设计主要包含RD以及RT的设计内容。下面主要对RD和RT的设计实现进行详细的分析和阐述。
2.1 RD的规划
RD (Route Distinguisher) 是一个路由区分符。它由32位数字组成, 这个数字和企业的路由前缀相结合, 就形成了MPLSVPN域内唯一的路由信息。路由区分符主要是为了防止在MPLS VPN中IPv4的地址出现重叠而设置的。在所有的IPv4地址的前面都增加RD, 就形成了VPNIPv4的地址, 这个地址的功能主要是用来标识VNP的唯一性。
RD需要在每台PE路由器的VRF上都要进行设置。在设置时, 需要遵循的原则是保证RD与VPN路由前缀形成的MPLS VPN在整个网络内是唯一的。为此, 就必须为每个VPN分配不一样的RD。下面举一例子来对RD的分配进行说明。
对于现网中的各类业务, 要分配一个唯一使用的RD, 其分配规则如下:
AS号+VPN类别:序号
其中AS号应该使用骨干AS5119。
RD使用的格式是<16bite type>:<32bit number>, 其分配的规则是:AS号:VPN类别。AS应该使用当前网络所用的AS号, VPN类别是四个数字, 其取值的范围是04294967295。我们可以将其细化为下面的格式:T1T2T3, 下面对每个代表的符号进行解析。
T1:标识在同一个类型中具体的VPN业务, 只用一位数字, 一般从1开始, 将BSS定义为1, 那么OSS就是2, MSS就是3, shipin就是4。
T2:标识PE路由器的位置, 用4位数字表示, 使用当地的电话号码的区号进行标识, 例如, 济南0531, 山东省公司则用0530来表示。
T3:标识所在地PE设备的顺序, 用1位数字来表示, 从数字1开始。
举例说明:5119:1 0531 1它表示的济南市公司L3VPN的首台设备上面BSS VPN所对应的RD数值。
2.2 RT的规划
RT (Route Target) 路由目标, 它是为了在MPLSVPN中过滤掉VPNIPv4的地址而采用的手段。依据接收以及发送两个方面, 可以将RT分为Import RT以及Export RT。如果MPLS路由器向其它的PE广播VPNIPv4的路由的时候, 和该路由相关的Export RT会一起如果PE没有接收到VPNIPv4路由, 那么就要检查路由中携带的RT的值和VRF表中的数值是否相符合。如果相符, 那么值就会导入到VRF表中, 反之, 则要丢弃该路由。RT使得PE路由器仅仅含有和它有关的路由, 无关的路由则不会携带, 这样就大大的节省PE路由器的资源, 提升了网络的扩展性。
在每一个VRF上面都设置了两个RT表, 一个是导出表, 一个是导入表, 两个表的作用如下:
导出路由列表:当VRF上的一条路由, 经过MBGP协议向外分发之时, PE路由器会自动的将列表中的每一个RT当成MBGP的扩展团属性和路由器发生联系, 同时向外传送。
导出路由列表:当PE路由器经过MBGP协议接收到一条VPN路由, 那么AR必然会把与之相对应的RT属性提取出来, 同时和VRF的导入路由表进行比对, 只有这两个RT属性的集合不是空集合, 那么AR便会将接收到的VPN路由加入到VRF里面去。
因此, 我们可以看出, RT属性主要是用来对路由的传播进行控制的, 同时, 也可以用来实现VPN的互通。一般情况下, 如果没有特别要求的话, 我们会将RT的数值与RD的数值相同 (也包含导入以及导出的) , 如果有VPN的互通要求的话, 那么就要依照实际情况进行分配。对于RT的数值, 只要规划的合理, RT属性的冲突是不会出现的。
三、MPLS VPN的业务接入方式分析
MPLS VPN的接入方式可以分为三种:通过物理专线接入、通过互联网接入企业VPN以及采用IPsec方式接入。下面对这三种方式进行一下详细的分析。
3.1物理专线接入
MPLS VPN的业务接入可以通过物理专线直接接入宽带IP网络的PE设备或者PE设备下面挂用的用于扩展端口的交换机。MPLS VPN的接入方式非常的灵活, 它可以通过以太网、MSTP以及G703等多种方式, 接入到宽带IP网的外设PE或者是PE下的用于扩展端口的交换机。这种方式是是标准的MPLS VPN的CPEPE连接方式。这种方式的主要优点在于:由于是专线直接接入的, 所以能够保证接入段的业务质量。
3.2互联网接入
在过去, 远程接入的实现主要通过电话网络拨号来实现, 这种方式效率慢并且费用比较高。现在通过互联网就可以实现远程接入VPN。使用互联网接入, 可以让用户实现高速的接入, 同时价格和本地互联网的价格一样, 另外, 还可以确保信息传输的安全性。这种方式为现代的人提供了一种最新的工作方式。无论使用何种互联网接入方式, 以太网、WLAN或者GPRS等, 只需将手中的电脑用VPN的我方式进行拨号, 就能实现对企业内部资源的访问。因此, 远程接入VPN可以实现企业内部资源的远程接入以及远程办公室的互联的接入等。
3.3 IPsec方式接入
用户设备和接入层的MPLS VPN接入路由器可以建立IPsec隧道, 然后再使用城域网的一般接入方式就可以实现IPsec的接入了。这种接入方式可以使得用户与MPLS VPN接入路由之间的数据传输更加安全。
四、结语
伴随着MPLS VPN技术的不断成熟, MPLS VPN的应用前景非常的广阔。现在越来越多的企业都在建设自己的Intract, 以便实现对信息的有效安全管理。MPLS VPN不但能够满足VPN用户对安全性的高要求, 而且还能够减少运营商和用户方的运营以及使用费用。本文主要对MPLS VPN的网络组成、设计方案以及业务接入方式进行了分析, 以期能够对MPLS VPN技术的应用推广有所裨益。
摘要:针对跨不同地域的企业对网络传输速度、传输数据的安全以及视频和语音传输的需要, 最好的解决方案是运用基于宽带网络的MPLS—VNP技术。这种技术由于网络操作的成本比较低廉, 网络又具有可伸缩性以及灵活性, 同时还安全可靠, 因此, 正越来越受到分布地域比较广的客户的喜欢, 应用的范围也越来越广。本文拟对MPLS—VPN技术组网的实现进行分析, 以期能够推动这项技术的应用不断发展。
关键词:VPN,组网,应用
参考文献
[1]郭宏宇.MPLS VPN技术原理与实际应用[D].吉林大学, 2008.
[2]孙文芳.MPLS VPN技术大客户组网应用[J].有线电视技术, 2012 (04)
浅析MPLSVPN网络的特点 第4篇
MPLS网络出现后, 其有效的改进了VPN技术方案, 使其很好的规避了传统IP网络的诸多缺点, 同时又对网络的安全性有了非常好的保障, 使VPN业务更好的满足了当前社会发展的需求。所以在新一代电信业务中, VPN技术无论是对于网络提供商还是企业都具有较大的吸引力, 其商机无限, 可以说VPN业务是当前电信业务的基石。但在传统的IP网络中, 其所实现的VPN在很多方面都还存在着很多问题, 而帧中继和ATM网络提供的VPN尽管在安全性方面取得了一定的进展, 但扩展性、管理和维护方面还存在着较多的缺陷。而通过MPLS技术实现的VPN, 则有效的改善了传统IP网络中的缺陷, 同时也使安全性有了保证, 不必满足了当前更多的VPN业务需求, 而且也成为当前热门技术之一。
1 覆盖型VPN
VPN属于虚拟的专用网络, 也是利用公网构建的, 其包括有CE、PE、P等三种路由器, 其中CE属于用户接入设备, 其直接与服务商的PE相连, 而PE属于骨干网边缘路由器, 由其实现与VPN进行连接, 而P则属于骨干网核心路由器, 其实现路由和快速转发的功能。
覆盖型VPN实质上是一种静态路由, 即静态的VPN, 有着静态路由的全部缺点, 其属于点对点的连接, 所以如果在CE上建立隧道, 那么就需要用户自己来创建和维护VPN, 这是用户力所不能及的, 但如果建立在PE上, 则不同的用户的VPN则无法共享相同的地址空间。即使可以实现共享, 也需要通过大量的访问控制列表和策略路由才能实现, 可行性较差。而且都需要进行手工完成, 而且还无法对网络的实时变化情况进行反映, 不具有扩展性。
2 MPLS VPN基本原理
MPLS是一种分类转发技术, 它将具有相同转发处理方式的分组归为一类, 即FEC (转发等价类) 。标签 (Label) 短而定长, 用于唯一地表示一个分组所属的FEC。在MPLS网络中, 设备之间通过周期性地发送Hello消息来发现上下游邻居, LDP (标签分配协议) 用于在邻居之间动态地发布I n L ab e l (设备分配给自己上游的入标签) 、Out Label (设备接收到自己下游分配过来的出标签) 与FEC的绑定关系, 一系列
MPLS VPN工作过程:当一个IP分组由源端CE进入PE时, 基于路由和策略需求, 不必将其重新封装为以下一跳为目的地的网络层分组, 而是有选择地放入一个私网标签和一个公网标签 (前者用于区分不同VPN用户的路由, 后者用于实现分组在LSP上的高速转发) 到分组头中形成标签分组;标签分组在LSP上高速透明地通过P到达骨干网对端的PE;在被去掉两层标签后, 用户分组被转发到目的CE, 进行VPN内部的IP转发31。
3 覆盖型VPN与MPLS VPN的可维护性
覆盖型VPN用户维护的是一个拥有高档设备和复杂线路的广域网。隧道配置是双向的, 需要两端的管理员协作完成, 为防止外部的恶意攻击, 提高安全性, 在隧道入口需要对分组封装 (加密) 并维护一些与隧道相关的信息, 在隧道出口需要对封装的数据进行过滤和解封装 (解密) , 配置复杂、工作量大、费用高。因此, 覆盖型VPN的扩展性2问题, 必然会导致网络管理和维护工作量的Ⅳ2增加。
MPLS VPN的创建和维护可以全部在PE上完成, LSP是网络自动形成的, 不需要手工配置。若用户使用二层设备或Hub接入PE, 则只需要在PE上将与CE相连接口的IP地址设为用户原有网段的网关地址就可以了;若用户使用三层设备接人PE, 则只需要分别在PE和CE上配置一条静态路由就可以实现全网状通信HJ。当减少一个VPN网段时, 利用r妇PLS的快速重路由功能, 网络能够实时理解拓扑结构的变化, 并对路由做出相应调整。
在覆盖型VPN下, 网络中节点线性的增加, 则会导致PE或CE和隧道的时间会呈节点数目的平方数增加, 在这种情况下, 网络管理维护的费用必然会增加, 工作量也会特别多, 而VPN的节点总数也不少, 其规模的扩大则会导致需要配置的隧道数目需要以万单位来计算, 给网络管理带来了较大的难度。但对于当前我国部分企业来讲, 由于其接入点较少, 所以还不至于带来较为严重的问题。但利用MPLS VPN则有许多的不同, 其配置PE和CE的时间是线性增加的, 所以网络管理和维护的工作量和费用也是线性增加的, 同时又把VPN的创建、管理和维护的工作都委托给ISP, 这样对于用户来讲, 则不需要再做什么维护和管理的工作了, 特别适合一些中小企业。所以MPLS VPN技术相对于覆盖型VPN来讲, 具有非常明显的优势。
4 结语
MPLS VPN出现以后, 使用户对其进行升级改造变得更为简单, 即在现有的VPN基础上不需要对原有线路, 接入的物理线路和IP地址分配即可实现改变, 也不需对外部边界网关协调的配置, 所以组网就变得容易很多, 更为方便和灵活。而且随着MPLS VPN技术的不断发展和完善, 不仅其成本会有所降低, 而且对于当前用户对网络带宽、接入和服务不断增加的需求也能更好的满足, 对于网络运营实施过程中的各种问题也能更好的解决, 所以可以说MPLS VPN的发展代表了未来网络的发展趋势, 为互联网的发展指明了方向。
摘要:本文对覆盖型VPN和MPLS VPN的基本原理进行了分析, 并进一步对覆盖型VPN与MPLS VPN的可维护性进行了具体的阐述。
关键词:MPLS VPN,覆盖型,可扩展性,可维护性
参考文献
[1]陈雪非, 黄河, 李蓬.MPLS VPN关键技术研究.计算机工程与设计, 2007-07-08.
MPLSVPN的组网方式以及应用 第5篇
1 MPLS VPN的组网方式
从网络构成角度看, MPLS VPN网络的构成状况参见图1。
从图1中可以看出MPLS VPN网络的总体构成状况。其中P (Provider Router) 为MPLS VPN网络中骨干网的核心路由器, 不负责维护VPN信息, 只根据分组数据的外层标签对数据进行转发, 无视数据包具体内容, 与PE共同构成MPLS VPN网络的骨干网络。而PE (Provider Edge Router) 则指MPLS VPN骨干网络的边缘路由器, 它是CE连接到网络中的边缘路由器, 同时负责维护VPN成员, 即不同CE的具体信息, 以及对CE发送来的数据包加装外层标签, 并进行数据封装送入以P节点为元素的核心网络中。CE (Custom Edge) 为客户端借以接入网络的路由设备, 为用户提供到PE路由器的连接, 同时CE隶属于不同VPN网络, 即多个MPLS VPN网络可以根据自身的安全规则来共用一个物理网络来实现。
从对数据的传输角度看, 当需要传输的数据包从隶属于某个VPN的CE节点上进入MPLS VPN骨干网络中时, 会在主干网络边缘, 即进入PE节点的时候对数据包的来源以及有关身份进行识别判定, 并在PE节点上通过对整个MPLS VPN网络结构进行查询进而建立数据传输的路由信息, 确定传输方向的目标的PE节点, 同时采用LDP在用户前传数据包中打上内层标签。随后, 将数据包送入以P节点为构成的MPLS VPN核心骨干网络中, 并在进入P节点的时候将该数据包附加上用于核心网络P节点读取的MPLS标签交换外层标签。在骨干网络中, 每一个路由节点P均只读取数据包的外层标签, 并检索相应的路由信息将数据包送达对应的PE端。在数据包到达了最终的PE端路由器之前的最后一个骨干网络P节点时, 该P节点负责将数据包的外层标签剥离, 交由PE端读取内层标签并找出相应的VPN信息, 进而送达最终目标。
2 MPLS VPN网络的相关应用
基于这样的数据传输过程分析, 我们不难发现MPLS VPN网络在数据传输的过程中一直保持着数据的封装, 这就能够有效地保证传输数据的安全, 同时, 由于MPLS VPN的组网无需另外铺设物理网络, 只需要在现存的公共数据网的基础上增加必要的规则就能够实现, 因此在经济性和扩展性方面也有着良好的表现。基于这种情况, 目前MPLS VPN在我国数据传输环境下得到了广泛的重视, 其中铁路系统作为一个用户终端相对分散、安全要求较强的组织而言, 对MPLS VPN的应用尤其重视。
通常而言, VPN的应用主要体现在三个层面, 即远程访问虚拟网 (Access VPN) 、内部虚拟网 (Intranet VPN) 和扩展虚拟网 (Extranet VPN) , 三种虚拟网络都在铁路系统中占据着举足轻重的应用位置。
远程访问虚拟网允许地理位置上相距较远的不同VPN网络通过相同的安全机制和规则相互访问, 这对于铁路系统较广的分布以及分散的员工而言十分有用。通过远程访问机制, 铁路员工能够在保证安全的情况下利用VPN接入内部资源, 访问业务系统, 了解生产运营信息, 进行审批和指挥调度;技术人员可以远程移动办理业务和处理工作流, 进行远程维护;列车中的乘务人员可以与地面进行无线信息交互, 应对突发事件, 查询客运信息, 维护乘车秩序。
内部虚拟网则可以用于组建站段到站段或站段到路局的铁路内部网、应对特殊的并不适合铺设永久电缆的办公环境、或是利用VPN的安全机制在同一个网络中传输不同部门的各种私密信息。而扩展虚拟网则能够为更大范围的铁路环境通信提供服务, 其服务对象也扩展到旅客以及铁路机构合作伙伴等, 其最大的应用领域在于用于在铁路与大客户之间通过特定的加密隧道建立互联网络。
目前我国信息传输技术日渐发达, 物理网络的铺设已经达到相对成熟的地步, 针对这种状况, 更为灵活安全的组网方式必将成为未来需求的主流, 而MPLS VPN在铁路中也必将呈现出更为强盛的生命力, 其对于推动铁路信息化网络建设毕竟起到不可低估的作用。
摘要:本文首先从概念上针对VPN和MPLS VPN进行了一定的阐述, 并进而对MPLS VPN的组网方式以及数据传输过程展开分析, 最后针对目前铁路环境中VPN的应用做出了解释, 指出了其三种主要应用方式。
关键词:MPLS VPN,组网,铁路
参考文献
[1]赵淑霞, 康丽.基于MPLS VPN的企业广域网[J].通信管理与技术, 2008 (6) .
[2]陆小铭, 冀晖, 王韬凯, 曹维华.超大型客户MPLS VPN组网设计与实现[J].广东通信技术, 2011 (1) .
[3]郭礼晓.基于MPLS交换技术的VPN服务[J].物流技术, 2011 (9) .
[4]李玉杰, 李方军.MPLS-VPN在电力信息网中的应用[J].电力系统通信, 2009 (12) .
[5]杨振东, 李保华.VPN技术在远距离局域网互联中的使用[J].洛阳工业高等专科学校学报, 2003 (4) .
网通MPLSVPN技术应用实践 第6篇
1 MPLS VPN技术的实现
MPLS VPN技术是在MPLS技术的基础上, 在骨干宽带IP网络上构建企业的IP专网, 不仅可实现跨地域、可靠、安全以及高速的数据、图像以及语音等多种业务的通信, 同时还可提供流量工程与差别服务等技术, 把公众网自身所具备的可靠性、良好扩展性和专用网的高效、安全以及灵活等有效地结合在一起, 从而为用户提供高质量服务。MPLS VPN网络是由CE、P与PE这三个部分所组成的, 该技术通过信息隐藏、路由隔离以及地质隔离等不同手段来防止企业网络受到攻击, 可提供和传统ATM相似的安全保障。
1.1 路由隔离
该技术实现了VPN间路由的隔离, 由于在每一个VPN中均有一个独立VFI, 因此可避免其不会受到该PE路由器上其他VPN的影响。
通过给多协议BGP添加VPN标识符来实现路由隔离.在穿越核心网时, BGP主要是用于VPN路由的交换, 同时BGP只会重新把路由信息分给其他的PE路由器, 将其保存在其他PE路由器中特定VPN的VFI中, 而不会将这些BGP信息分配给核心网络, 以此使穿越MPLS核心网络的每一个VPN路由均互相隔离。
1.2 MPLS核心结构的隐藏和抗攻击性
在其网络拓扑上采用路由隔离, 利用MPLS来进行数据的传输, MPLS不会把一些不必要信息泄露于外界。在未提供因特网接入服务的MPLS VPN中, 其隐藏信息的程度和帧中继网络相似。
要想对PE路由器进行攻击, 首先必须要掌握其IP地址, 但从上述内容的阐述可以得知, 在该网络中, 其IP地址已被隐藏, 同时在该网络中还进行了路由隔离, 对此就不可能存在一个VPN对另外的VPN或者核心网络进行攻击。
2 MPLS VPN技术的应用实例
为了加深对这种技术的理解, 文章就某县供电局对于这种技术的应用进行详细地探讨。
在该县供电局所管辖的范围内地广人稀, 同时在其管辖范围内的供电所中, 其中有5个分布于乡镇, 基于该地区的地理条件以及其网络建设的成本, 在2001年进行网络组建的时候, 主要采用的是租用电信数据传输网, 并将其和本部CIS-CO3640路由器连接, 在此时其网络宽带仅为256K。随着生产管理、营销、配电网的地理信息等各种系统的广泛应用, 其宽带已经满足不了用户的需求, 急需该区供电局构建一种稳定且高速的信息网。伴随着MPLS VPN技术出现和广泛应用, 为该区建立属于自己独享信息网提供了一个有效的途径。
2.1 MPLS VPN技术的接入设备与接入方式
基于该区供电局具体要求, 在网通主机房内为该区供电局开设了100M端口, 其中乡镇中的这五个供电所均是利用100M光电设备来进行100M线路的构建, 其接入的设备主要是第三层交换机, 其接入的步骤主要如下:第一, 在该区的网通机房中骨干交换机上开辟了一个供电局专网端口, 主要供于某一信息网点的专用。第二, 在网通机房中交换机上利用UTP双绞线, 将电平信号发送到光电收发器;第三, 当网通机房的光电收发器在接收到电平信号以后, 将其转换成为成光信号, 并长距离传送到客户端光电收发器, 客户端中光电收发器再将这些光信号转换成为交换机可接收的电平信号, 接着再利用UTP双绞线将其传送到交换机;第四, 当交换机在收到这些信号以后, 就会将这些信号延伸至并相连到下一级的交换机上, 以此构建一个快速、安全且稳定的供于供电局专用的MPLS VPN专网。
2.2 实施过程以及结果
在05年2月份的时候, 该区供电局的科信中心与网通公司工程师共同对该区这五个供电所安装了VPN, 并对其进行了调试, 同时利用收发器将五类双绞线连接至交换机100M端口上, 其中该端口设为并联模式。由网通的主机房边缘与中心路由器将这五个供电所的网络信号汇聚, 待汇聚后再通过光收发器与光缆将其传送至供电局的网络机房中, 最后由中心路由器来定点传输信息, 提高了链路有效利用率。
从该网络系统近年来的运行情况来看, 这5个供电所的生产管理、营销以及配电网的地理信息等系统的运行均为流畅和稳定, 同时该方案的费用不高, 在光缆维护过程中, 减少了光缆的维护量, 满足各供电所的生产办公需求。
3 结束语
综上所述, 伴随着网络科学技术的进步, MPLS VPN技术也在逐渐成熟, 在网络建设中应用该技术不仅可减少成本, 同时还满足用户对于网络宽带的各种需求, 解决网络在运行过程中出现的各种问题。
参考文献
[1]王连香.中国网通MPLS VPN骨干网络QoS的研究与实现[J].中国科技博览, 2010 (31) :527-529.
[2]侯剑锋, 马明凯.MPLS VPN中PE-CE互连仿真研究[J].计算机工程, 2010 (12) :123-125.
[3]陈婷.MPLS VPN技术在现代GBoverIP承载网改造中的应用与分析[J].移动通信, 2011 (11) :57-60.
MPLS VPN设计 第7篇
Internet在近些年中的爆炸性增长, 为Internet服务提供商 (ISP) 提供了巨大的商业机会, 同时也对其骨干网络提出了更高的要求, 人们希望IP网络不仅能够提供E-Mail、上网等服务, 还能够提供宽带、实时性业务.MPLS (Multi-protocol Label Switch, 多协议标签交换) 吸收了ATM的VPI/VCI交换思想, 无缝集成了IP路由技术的灵活性和两层交换的简捷性, 在面向无连接的IP网络中增加了MPLS这种面向连接的属性, 而且, 在VPN中应用MPLS技术, 能够帮助企业实现内部网络高速互联, 完全满足企业语音、数据、视频通信网络三网合一的需求。
1 MPLS技术
MPLS从各种链路层 (如PPP、ATM、帧中继、以太网等) 得到链路服务, 又为网络层提供面向连接的服务。
MPLS网络的基本构成单元是标签交换路由器LSR (Label Switching Router) , 主要运行MPLS控制协议和第三层路由协议, 并负责与其他LSR交换路由信息来建立路由表, 实现FEC和IP分组头的映射, 建立FEC和标签之间的绑定, 分发标签绑定信息, 建立和维护标签转发表等工作。
2 虚拟专用网络 (VPN)
虚拟专用网不是真的专用网络, 但却能依靠ISP (Internet服务提供商) 和其它NSP (网络服务提供商) , 在公用网络中建立专用的数据通信网络的技术, 在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众的网络资源组成的逻辑网络, 用户数据在逻辑链路中传输。
3 MPLS VPN技术
MPLS VPN一般采用图1所示的网络结构.其中VPN是由若干不同的site组成的集合, 一个site可以属于不同的VPN, 属于同一VPN的site具有IP连通性, 不同VPN间可以有控制地实现互访与隔离。
MPLS VPN网络主要由CE、PE和P等3部分组成:CE (Custom Edge Router, 用户网络边缘路由器) 设备直接与服务提供商网络 (图1中的MPLS骨干网络) 相连, 它“感知”不到VPN的存在;PE (Provider Edge Router, 骨干网边缘路由器) 设备与用户的CE直接相连, 负责VPN业务接入, 处理VPN-IPv4路由, 是MPLS三层VPN的主要实现者;P (Provider Router, 骨干网核心路由器) 负责快速转发数据, 不与CE直接相连。在整个MPLS VPN中, P、PE设备需要支持MPLS的基本功能, CE设备不必支持MPLS。PE是MPLS VPN网络的关键设备, 对VPN的所有处理都发生在PE路由器上, 为此, PE路由器上起用了VPNv4地址族, 引入了RD (Route Distinguisher) 和RT (Route Target) 等属性.RD可以使不惟一的IPv4地址转化为惟一的VPNv4地址, VPNv4地址对客户端设备来说是不可见的, 它只用于骨干网络上路由信息的分发.PE对等体之间需要发布的基于VPNv4通过MP-BGP定义的新属性来实现。
整个MPLS VPN体系结构可以分成控制面和数据面, 控制面定义了LSP的建立和VPN路由信息的分发过程, 数据面则定义了VPN数据的转发过程。
4 MPLS VPN应用实例
某大型矿业集团公司下有17个分公司, 建有网管、BOSS、OA等业务系统, 这些业务系统分属不同的部门维护和管理, 因此每个系统都各自建有自己的网络。各业务系统所有的业务服务器和核心设备均集中在总公司, 各分公司以客户端的形式访问总公司的资源。
改造前, 由于不同的业务使用不同的业务支撑网, 存在多网并存的现象。多网并存所带来的问题是:网络资源分散, 部分网络资源利用率低, 部分网络不能满足日益增长的业务需求;各业务系统之间实现了互联互通, 但无法进行有效的安全隔离, 安全性较差。
为了改变这种状况, 满足企业业务支撑网络整体长期发展的需要, 采用MPLS VPN技术对该集团的网络进行了改造。在全公司建立一张统一的MPLS骨干网络来承载公司所有内部业务, 不同的业务系统通过划分VPN来实现互访与隔离。在分公司和总公司都部署相应的PE设备, 分公司的PE设备用来连接分公司的各业务系统网络, 总公司侧PE设备用来连接各业务系统的服务器;CE设备则是由原来总公司及分公司各业务系统的汇聚路由器来担任。
改造后的网络如图2所示, 在总公司部署两套P设备和PE设备, 在每个分公司分别部署两套PE设备, 整个骨干网络实现了双平面主、备份, 分公司到总公司主用链路速率为155Mbit/s, 备用链路速率为82Mbit/s。
在VPN规划方面, 我们针对不同的业务系统划分了不同的VPN。全网共划分BOSS、网管、企业信息化、经营分析等4类VPN, 并通过在PE上设置合理的RT对VPN间的互访与隔离实现了有效控制, 所有相同的VPN间可以互相访问, 所有VPN均可访问总公司企业信息化服务器所在的VPN及经营分析服务器所在的VPN。
在整个网络的控制层面, 我们把所有的P、PE设备都放在一个域内启用OSPF协议, 用于LDP标签的分发和建立LSP, 所有的PE设备也放在一个域内启用MP-BGP, 用于VPN路由的发布和处理, 由于PE设备间不是采用全连接结构, 因此, PE间需要采用路由反射技术。
由于采用MPLS VPN技术组网, 因此对于原来各业务系统的IP地址规划和各CE设备以下网络不需要做任何的改动, 在MPLS骨干网络建设完成后, 只需调整各系统的CE设备就可以实现各业务系统的平滑割接入网。
5 结论
与原先的网络相比, 采用MPLS VPN技术改造后的网络具有以下特点:
5.1 多个业务系统的数据只由一张骨干网络承载, 网络结构更加清晰, 维护简单。
5.2 安全措施部署简单, 业务系统可以进行更加安全的隔离和可控的互访。
5.3 网络扩展性好, 当增加新业务系统时不需要建设新的网络, 只需增加一个VPN即可;不需要针对某个业务系统单独扩容网络带宽, 只有当骨干网络平台总带宽不足时才考虑进行扩容。
5.4 各业务系统统计复用骨干网总带宽, 也可以根据各业务系统实际的流量分配带宽, 从而合理地使用网络资源, 网络资源利用率高。
参考文献
[1]李宏涛, 彭涤, 颜军.基于MPLS的VPN在城域网中的实现[J].计算机系统应用, 2001 (9) :38-41.
[2]宋永胜, 蒋国平.IP网络的发展方向--MPLS[J].山东电子, 2003 (4) :6-11.
