李雷

（西南财经大学，四川 成都 610075）

基于MPLS VPN的校园网多业务系统运用*

李雷

（西南财经大学，四川 成都 610075）

本文介绍了MPLS（Multi-Protocol Label Switching）及VPN（Virtual Private Network）技术，阐述了MPLS VPN技术的工作原理与实现方法，并通过某高校总校区和分校区校园网络建设的实例，详细说明了MPLS VPN网络技术在高校校园网中针对教学、科研和OA（办公自动化）等多业务系统的综合高效应用。

MPLS VPN；多业务系统；校园网

一、引言

由于高校信息化程度不断加深，校园网上各种管理应用系统平台不断增加，各种各样的网络需求和安全问题对传统校园网提出了巨大的挑战，如何实现学校教学、科研、OA等多个业务系统的“隔离与受控访问”，并能检测、调节、设定不同业务优先级，提供多等级校园网络服务质量，优化网络性能，成为校园网工程改造的难题。由于MPLS VPN技术能够非常简单地实现学校各部门之间的横向和纵向互访，并且在增加新的节点时，不需要对原有节点的配置进行修改。所以相对其他VPN技术，采用MPLS技术组建的VPN具有更好的可维护性及可扩展性，MPLS VPN更适合于组建较大规模的复杂的VPN网络，已经成为建设校园网的主流技术。

二、MPLS VPN技术原理

1．MPLS VPN 简介

伴随互联网及网络技术的发展，VPN技术被广泛地应用。通过VPN技术，可以借助于互联网来构建一个临时的、安全的连接，从而实现在互联网上安全地传输私有数据。早期的VPN主要使用永久虚电路（PVC）和隧道技术，随着网络连接范围的扩大，其可扩展性和管理的问题越来越突出。为了解决这个问题，产生了基于MPLS的多VPN系统，通过在VPN系统中采用MPLS技术可以建设能够支持多种业务级别并且能够无限扩展的全互连IP-VPN。

MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同站点组成的集合，一个站点可以属于不同的VPN，属于同一VPN的站点具有IP连通性，不同VPN间可以有控制地实现互访与隔离。

MPLS VPN网络主要由三部分组成：CE、PE和P。CE路由器是客户端路由器，为用户提供到PE路由器的连接；P路由器是运营商网络主干路由器，也就是MPLS网络中的LSR，它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护PE路由器的路由信息而不维护VPN相关的路由信息；PE路由器是运营商边缘路由器，也就是MPLS网络中的LER，它根据存放的路由信息将来自CE路由器或LSP的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息。

2．VPN路由转发表

MPLS VPN通过VPN路由转发表和MPLS中的LSP来实现路由隔离和信息隔离。在PE路由器上，存在有多个VRF表，这些VRF表是和PE路由器上的一个或多个子接口相对应的，用于存放这些子接口所属VPN路由信息。通常情况下，VRF表中只包含一个VPN的路由信息，但是当子接口属于多个VPN时，其所对应的VRF表中就包含了子接口所属的所有VPN的路由信息。

VPN中IP地址的规划是由客户自行制订的，因而有可能会出现客户选择在RFC1918中定义的私有地址作为他们的站点地址或者不同的VPN使用相同的地址域，即地址重叠。地址重叠将导致BGP无法区分来自不同VPN的重叠路由，而导致某个站点不可达。

MPLS VPN在使用多个VRF表的基础上，引入了路由区分符RD。RD具有全局唯一性，通过将8个字节的RD作为IPv4地址前缀的扩展，使不唯一的IPv4地址转化为唯一的VPN-IPv4地址，如图2所示。VPN-IPv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。

图2 VPN-IPv4前缀格式

RD和VRF表之间建立了一一对应的关系。通常情况下，对于不同PE路由器上属于同一个VPN的子接口，为其所对应的VRF表分配相同的RD。如果VPN和VRF之间没有一一对应的映射，路由器如何知道要将哪条路由插入到哪个VRF中呢？MPLS VPN通过引入路由目标RT来解决这一情况。从VRF导出时，将使用一个或多个RT对每条VPN路由进行标记。

RT分成Import RT和Export RT，分别用于路由信息的导入、导出策略。当从VRF表中导出VPN路由时，要用Export RT对VPN路由进行标记；在往VRF表中导入VPN路由时，只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中。RT具有全局唯一性，并且只能被一个VPN使用。

三、某高校MPLS VPN架构

1．组网需求

某高校总校区在成都，在绵阳还拥有一个分校区。在学校原有网络中，总校区和分校区的三种主要业务：教学、科研和OA（办公自动化）使用不同的网络设备和网络线路，不仅成本昂贵而且管理不便。学校希望能够在总校区和分校区之间建立一个统一、高效、可维护的数据网络，实现不同业务之间的隔离和相同业务之间的连通；并且可以进一步扩展外部网络，方便以后学校网络的进一步扩建。

2．方案拓扑

图3中，成都总校区和绵阳分校区两地之间由运营商提供的MPLS VPN骨干网PE1、PE2和P相连。不同的业务属于不同的VPN站点，但是运用同一个MPLSVPN骨干网。这样不仅实现了教学、科研、OA办公系统三种不同业务之间的隔离，相同业务的连通，而且方便了学校的统一管理。

四、MPLS VPN方案配置

1．配置 CE

CE路由器作为用户端设备，仅需要做一些基本的配置，就能够实现与PE设备进行路由信息的交换。常用的路由交换方式有RIP、OSPF、EBGP、静态路由等。本次实验运用最简单的静态路由协议进行配置。配置语句：

ZXR10(config)#ip route x.x.x.x x.x.x.x interface

2．配置 PE

（1）定义VPN路由转发实例VRF

ZXR10(config)#ip vrf vrfname

ZXR10(config-vrf)#rd ASN：nn

ZXR10(config-vrf)#route-target import ASN：nn

ZXR10(config-vrf)#route-target export ASN：nn

（2）定义指定的接口与VRF关联

如果这个接口预先配置了IP地址，那么原IP地址消失，必须重新配置。配置语句：

ZXR10(config)#interface fei_1/1

流域管理与区域管理相结合，是水法确立的水资源保护管理制度。通过长期的探索与实践，以流域为单元，流域与区域相结合、水利与环保相联合的黄河水资源保护管理体系已初步形成，在业务合作、信息共享等方面成效显著。

ZXR10(config-if)#ip vrf forwarding vpnname

（3）定义 VRF 路由

PE路由器可以定义静态路由，也可以运行动态路由协议与CE路由器自动交互。静态路由的配置中需要通过IP route命令指定VRF。对于不同的动态路由协议，PE上配置方法不同。目前版本支持rip，ospf，is-is，bgp四种协议，本次实验运用的是bgp协议。配置语句：

ZXR10(config)#router bgp xxx

ZXR10(config-router)#address-family ipv4 vrf vrfname

ZXR10(config-router-af)#redistribute connected

ZXR10(config-router-af)#neighbor x.x.x.x remote-as yyy

（4）配置 MP-BGP 协议

配置语句：

ZXR10(config)#router bgp xxx

ZXR10(config-router)#no synchronization

ZXR10(config-router)#no bgp default route-target filter

ZXR10(config-router)#no bgp default ipv4-unicast

ZXR10(config-router)#neighbor x.x.x.x remote-as xxx

ZXR10(config-router)#neighbor x.x.x.x update-source loopback1

ZXR10(config-router)#address-family ipv4 vrf vrfname

ZXR10(config-router-af)#redistribute connected

ZXR10(config-router-af)#redistribute igp

ZXR10(config-router)#address-family vpnv4

ZXR10(config-router-af)#neighbor x.x.x.x activate

3．配置 P

P路由器不需要维护VPN路由，但需要保证数据传输的连通性，需要如下配置：在P与PE相连的各接口上启动IGP路由协议，如RIP、OSPF等，并引入直连路由或静态路由，实现PE内部的互通。配置语句：

ZXR10(config)#router ospf 1

ZXR10(config-router)#network x.x.x.x x.x.x.x area 0

ZXR10(config-router)#network x.x.x.x x.x.x.x area 0

五、结束语

运用MPLS VPN技术，可以为学校网络建设带来以下几个方面的好处：

1.流量控制

在数据包的传输过程中，不同的标签在网络中接受不同的QoS服务，学校只需要对不同部门业务的流量进行限制就能达到控制流量的作用，实现对学校网络的智能管理。

2.数据传输快速稳定

MPLS技术利用短小的4个字节标签，采用精确匹配的方式取代了传统路由器的最长匹配寻径方式，节省了查找路由表的时间，使数据传输的速度更加快速稳定。

3.安全性更高

数据包在骨干网的转发过程中，路由器只需要查看其添加的标签内容来决定转发路径，而不用像普通的网络传输一样，需要打开IP数据包的头部查看其具体的目的IP地址。这样大大减小了数据泄露和丢失的几率，增强了数据传输的安全性。

4.支持多种业务间的隔离

MPLS VPN的一大优势就是可以在网络内部通过单一的标签交换机制，运用同一条骨干网络，只需要使用不同的接入设备，就能实现不同业务之间的隔离。

5.易于扩展

学校以后如果还要增加新的业务或建设新的分校区，则只需要在骨干网的边缘增添相应的边缘路由器，在该路由器上完成简单的配置就能实现业务的扩展，而各企业站点和运营商核心路由器的配置基本不变，大大节省了工作量。

[1]陶国芳.基于CISCO路由器的BGP/MPLS VPN的研究与实现[J].电子技术应用,2006(10).

[2]陈雪非,黄河,李蓬.MPLS VPN关键技术研究[J].计算机工程与设计,2007(7).

[3]荣莉,蔡洪斌,孟林.基于BGP/MPLS的VPN的原理与政务网规划[J].电脑与信息技术,2008(8).

[4]陈淑瑜.BGP/MPLS VPN原理及安全实施[J].电脑学习,2007(8).

[5]余勇.浅谈BGP/MPLS VPN的原理与实现[J].电脑知识与技术,2006(14).

TP393.18

A

1673-8454（2011）03-0019-03

*本文为四川省科技厅软科学项目（2010ZR0023）成果。

（编辑：金冉）