加急见刊

浅谈MPLS VPN在通信企业DCN网络升级中的应用

张昆 官士燕 贺红梅  2011-11-25

论文关键词:多协议标签交换虚拟专用网网络改造安全隔离

论文摘要:MPLS技术提供了类似于虚电路的标签交换业务,可以实现底层标签自动的分配,在业务的提供上比传统的VPN技术更廉价,更快速和安全的数据传输。同时MPLS VPN可以充分利用MPLS技术的一些先进特性,提供流量工程能力、服务质量保证等。DCN网络作为公司内部各营业、办公、网管、运维等各信息系统承载的网络平台,在应用系统整合的大趋势下,对网络健壮性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在这样的环境背景下,成为DCN网络改造的必然。

随着公司的不断发展,DCN网上承载的业务系统不断增多,除“97”系统外,还有如网管集中监控系统、电源监控系统、客服系统、OA等及融合后3G网管系统等,有些应用系统对安全性要求较高比如OA和财务,有些系统对带宽和网络质量(QoS)要求较高。现有的网络不能满足“分而治之”的企业运作管理需要。由于信息系统集中整合的需要,实施此次MPLS升级改造。通过本次改造工程的实施,优化网络结构,提高网络的安全性、可靠性及整个DCN网的服务质量。由一张实体物理网实现虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端,满足企业内部应用的承载和安全需求。最终,DCN网络中的终端与主机须划入至各自所属的MPLS VPN域中,实现各个VPN域之间的通信隔离,同时在各个VPN间建立数据通道,部署防火墙对经过数据通道的流量进行访问控制,实现对不同VPN域的通信数据的有效安全控制。

1 MPLS VPN技术简介

MPLS VPN是由若干不同的site组成的集合,一个site可以属于不同的VPN,属于同一VPN的site具有IP连通性,不同VPN间可以有控制地实现互访与隔离。

MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络。设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者:P(Provider Router,骨干网核心路由器)负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。

PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。

整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由协议交互知道属于某个VPN的网络拓扑信息。除了路由协议外,在控制层面工作的还有LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。

2 骨干迁移的三个关键问题

由于DCN网络建设时间比较久,网络结构比较复杂,如何从全部使用IP环境的DCN过渡到全部使用MPLS VPN环境的DCN成了此次网络升级改造的重点。网络改造期间,网络的平稳运行无论对于市场还是对于业务系统都是至关重要的,由于MPLS VPN技术是对全省DCN网络传输技术的彻底改变,如何在改变网络协议结构的同时让网络仍然健康地运行成为实现MPLS VPN改造的首要问题。

过渡期间最应该考虑的关键三个问题是:

1)在IP环境下,各域间路由的互通问题。实现方法是先将组成DCN的各个IP网络单元以地市为单位逐个改造为MPLS VPN 网络单元,然后逐个与省公司建立MP BGP邻居实现全网MPLS VPN化。

2)受控互访的实现,即做到市公司在同一VPN区域内部互相之间不可见;市公司在同一VPN区域内部可以访问省公司;市公司访问处于不同VPN区域的省公司业务。方案设计中采用HUB-SPOKE方式和对PE、CE层面实施控制来实现。

3)VPN划分与IP地址整理,DCN网络建设前期并未考虑各个应用系统的MPLS VPN划分,因此大多系统混杂在一起,或者接在同一台设备,或者干脆就在同一个网段中,同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类,地址混用、设备支持能力不足以及第二地址问题。

3 DCN网络改造升级的设计

DCN网络改造解决方案是融合MPLS、VPN和QOS技术的统一解决方案。方案采用MPLS作为承载数据传输的新协议,使用EIGRP作为主干IGP协议,MPLS VPN路由使用MP-IBGP以及路由反射器进行域内传送,省公司采用背对背VRF方式与集团对接。

MPLS需要建立在IGP路由的基础上,IGP协议对MPLS的主要作用就是保证MPLS邻居之间的可达性和MBGP邻居之间的可达性,省骨干网使用的EIGRP协议,地市网络根据自己网络环境使用EIGRP或OSPF协议。所有协议在省网和市网之间重分发。整个网络IGP协议互通。根据整体方案,各PE-CE路由协议保持原OSPF动态路由协议,在PE设备将OSPF路由重分发至MP-BGP。 各业务VPN互访通过防火墙来实现。由于目前将DCN全网业务基本划分为MS、BS、OS和OTHER这四个大的系统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠VPN的方式,一方面增加了维护的复杂度,另一方面违背了建设MPLS VPN的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。通过在防火墙上配置严格的安全策略,对各VPN之间流量进行过滤,这样隔离的各MPLS VPN之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。

综合前面所述,主要采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。

将各业务VPN为HUB-SPOKE模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。

在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同VPN域中。在防火墙上根据各VPN业务的访问需求作相应的访问控制,各VPN业务之间通过防火墙进行访问。

4 MPLS VPN对DCN网络的重要意义

由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DCN网络进行信息交互,而应用系统整合除功能整合外,其物理整合和集中的形势则表现为集中的企业数据中心,MPLS升级的重要意义体现在:

1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。

2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要DCN网络进行安全隔离的同时,支持系统间受控互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。

3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,VPN颗粒将趋向细化,VPN拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及VPN支持能力是网络规划建设中必需着重考虑的问题。

4)可靠性要求:DCN网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对DCN网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。

5)服务质量要求:DCN网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。

在保证DCN网络安全运行的前提下,有步骤、分阶段实施MPLS改造,并按照规划设计应用RT策略实现各系统互访受控与隔离。目前,改造后的DCN网络运行状况良好。

在实现MPLS VPN后,受控互访则变得相对轻松,仅仅需要在各个MPLS VPN路由环境之间的数据通道上部署防火墙即可对各VPN间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的VPN业务接入机制。

5 结束语

MPLS VPN网络改造的实现,极大的提高的DCN网络的安全性,为前台营业、办公OA、运维网络监控等各项不同的业务网络应用提供可靠地保证。

参考文献:

[1] 范亚芹,张丽翠,宋维刚.可提供MPLS VPN网络安全性保障的解决方案[J].吉林大学学报:信息科学版,2005(03).

[2] 陈东胜.电信DCN/OA网上MPLS VPN应用探讨[J].广东通信技术,2002(07).

[3] 胡毅.虚拟数据专网(MPLS-VPN)技术及其在企业通信信息一体化建设中的应用[A].黑龙江省通信学会学术年会论文集[C],2005.

下载