吕元海，刘浩

（1.西安邮电大学信息中心，陕西西安710121；2.西安邮电大学陕西西安710061）

基于MPLS VPN多业务校园网络的设计与实现

吕元海1，刘浩2

（1.西安邮电大学信息中心，陕西西安710121；2.西安邮电大学陕西西安710061）

针对高校普遍存在的跨地区分校区网络之间存在的资源利用率低、专网建设成本高、扩展性差等问题，本文提出了一种基于MPLS VPN的多业务校园网络设计方案，完成了多业务校园网络的结构设计、扩展性设计以及可行性测试，将多个专用网络整合在同一物理网络上。实际应用表明，MPLS VPN多业务校园网络的实现提高了网络资源的有效利用，保证了数据传输的安全性。

MPLS；VPN；多校区；多业务网络

随着高校规模的扩大和信息化的发展，网络业务的种类和规模都大幅增长，校园网应用中也随之出现了一些问题。如何将新增的校园业务融合到校园网中以及各专网之间如何更好地相互隔离相互融合成为急需解决的问题。随着需求增加，一卡通、财务、语音、视频等业务都要陆续上线，为了保证业务的可靠以及数据的安全，这些业务都要建立自己的专网。MPLS VPN技术可以有效解决如何在同一物理平台上提供多种业务的传输问题［1］。MPLS VPN技术将服务质量、流量控制及专用网的安全性灵活性结合在一起，可以有效的在一张物理网络上进行多业务流量的整合［2］。

文中部署MPLS VPN、制定组网方案、测试可行性，在测试完成之后可以直接移植到一卡通网络设备上，这样有利于在保持原来网络环境的情况下，进行网络扩充以及多业务网络的部署，有助于提高网络利用率。

1　多业务网络建设需求

随着业务需求的增加，传统的VPN技术已经不能满足校园网络的需求，比如关键业务之间隔离互访不方便，每增加一个业务都需要手动配置扩展性差等等。所以多校区的校园网建设需要使用一种迅速转发而且成本不高的技术方案，该技术方案使得维护人员只需要维护一张网络的核心区域就可以满足多业务的需求，使得各业务网络在逻辑上相互独立，可以对网络资源进行独立分配。而MPLS VPN技术完全可以胜任这一任务。

MPLS VPN与传统的数据转发方式不同。传统的数据转发是通过查询路由条目完成的［3-4］。MPLS VPN在向数据包中压入标签之后，利用标签引导数据高速、高效地传输［5］。此外，MPLS VPN比较容易进行扩展［6］，大多数情况下只要在PE设备上进行简单的设置，然后将CE设备直接连接到PE设备上即可，可应用于多种网络类型中。

MPLS VPN包含3种交换设备。P设备：通过交换标签完成数据的转发，不和用户设备直接连接；PE设备：MPLS区域中直接和用户网络设备连接的，可向用户提供VPN服务，有多个VRF表［7］；CE设备：该设备直接与PE设备连接。

2　多业务网络设计

以某高校为例，建设多业务网络。某高校有两个校区：新校区和老校区，新校区又分东区和西区。在该校园多业务网络的设计规划中，目前设计有4个不同的业务专网，它们分别是一卡通专网、财务专网、语音通信专网、视频专网。

2.1网络结构设计

采用MPLS VPN技术，通过实施多业务网络，使其能够在一张物理网络上提供多种业务的网络服务，使每一个逻辑上的专网相互独立，可以隔离其他业务［8］；用户可以根据自己的网络状况对专网实施灵活的管理策略；核心区域能够对不同专网作有效屏蔽，各个业务网络在逻辑上相互独立，可以对网络资源进行独立分配而不会受到其他网络的影响。所以在本次多业务网络结构设计中，计划实施4个不同的虚拟局域网络。不同的虚拟局域网之间相互隔离，同一虚拟局域网中的设备通信不受影响。该校园多业务网络结构如图1所示。

图1　多业务网络结构图

整个核心层的设计类似一个三角；网络接入层是基于建筑来划分的，它负责对区域内终端数据进行转发，直接与核心层相连。西区的核心充当网络的主核心，分别和老校区以及东区的核心设备相连接。与核心相连接的都是网络的接入层设备，接入层设备根据区域进行部署。

2.2MPLS VPN规划设计

1）核心层路由器支持MPLS VPN特性，将其部署为PE。接入层网络设备部署为CE。

2）PE上部署MP-BGP协议，创建某业务的VRF，完成对RD值的设定，以及设定RT导入导出策略。

3）将PE与CE关联，运行路由选择协议。

对于MPLS标签的结构，最里层的标签用于区分不同的CE设备，数据在MPLS区域转发使用外层的标签。对于内层的标签分发采用BGP协议［9］。

2.3路由协议设计

采用MPLS VPN设计校园网多业务网络，在路由协议方面主要分为3部分:MPLS骨干区域启用动态路由协议OSPF和MP-BGP协议，PE与CE之间采用BGP协议，CE内部网络之间采用静态路由协议。CE与PE之间通过BGP协议将用户的路由信息传送到PE［10］，PE上有对应的虚拟路由表。PE之间采用MP-BGP协议传送路由信息以及相应的标签，RD和RT这两个属性值也由MP-BGP协议传送［11］。在MPLS骨干区域中，若采用静态路由方式，配置起来比较麻烦，也不好扩展，故采用动态路由方式，OSPF显然是最好的选择［12］。

2.4可扩展性设计

对多校区校园网络进行了MPLS VPN设计规划之后，网络的扩展是很方便的。一般情况下，用户一侧的设备是不需要进行任何设置的，只需要在MPLS骨干区域的PE设备上进行相关设置便可以。比如现在需要添加一个财务的专网，需要在PE设备上进行的工作就是创建财务VPN的相关实例，然后再在接口绑定引用，而用户只需要将自己的CE设备连接到某个特定的接口上，而不需要做任何多余的设置，就可以完成对财务专网的配置。在这样的设计背景下，网络的扩展是非常灵活的，从而减少管理难度，提高运营效率［13］。

3　基于MPLS VPN的多业务网络构建

3.1构建MPLS VPN网络

将3台核心设备设置成MPLS的骨干区域，接入层的网络设备充当CE，部署MPLS VPN，测试方案的可行性。首先在路由交换设备上配置基本的接口信息，接下来在MPLS骨干区域启用动态路由协议OSPF，标签的分发是通过BGP来实现的。

基础网络的构建流程是先配置底层网络，测试底层网络连通性，然后开启MPLS的相关服务，创建MPLS VPN实例，接口绑定MPLS VPN实例。基础网络搭建完成之后，可以对网络的连通性做出测试。

3.2开启MPLS相关服务

构建了MPLS VPN网络之后，需要开启MPLS上网的相关服务，只有开启了这些服务，MPLS、标签分发协议的应用才会被启用。首先，使用mpls命令在全局下启动MPLS功能进入MPLS视图，执行该命令之后，用户会进入MPLS视图。然后使用命令开启相关服务。

3.3启用VPN实例

在MPLS区域的路由交换设备上创建3个VPN的业务，它们分别是一卡通数据VPN，语音网络VPN，视频网络VPN。在每一个PE设备上分别创建这3个VPN实例。注意:RD值不同，目的是为了区分不同的VPN实例。

比如创建一卡通VPN实例：先用vsi命令创建一个实例名称为一卡通，然后使用bgp命令进入BGP视图，利用vpntarget命令来配置当前一卡通实例的VPN Target。

实行MPLS VPN之后，网络的扩展非常方便，只需在PE上创建实例并绑定即可，比如临时需要创建财务专网，就只需要在PE路由交换设备上进行VPN的创建即可。创建步骤如图创建一卡通VPN实例的步骤一样。

3.4接口绑定VPN实例

VPN实例创建完成之后并不能起到专网划分的效果，那是因为没有进行VPN实例的绑定。所以需要做的就是在特定接口绑定特定VPN实例，只有进行了绑定之后，VPN的效果才会产生。

4　多业务网络的运行测试

4.1测试方案

网络环境搭建完成之后要做的就是对系统的连通性以及相关功能做出测试。首先需要对基础网络的连通性进行测试，查看网络中的路由学习情况以及网络的连通性；接下来需要对MPLS进行验证性测试，查看数据包的转发是基于路由转发还是标签转发，分析数据包的转发情况，弄清标签的转发原理；最后进行MPLS VPN的相关测试，测试同一VPN中网络设备的连通性以及不同VPN之间的通信隔离。

4.2基础网络测试

对基础网络的连通性进行测试，观察网络中的路由学习情况，路由学习表如图2所示。

图2　路由学习图

通过路由查看可以看出MPLS骨干区域相互之间能够进行路由学习，即不同的终端之间便可以进行通信。

4.3标签转发验证

在一台终端设备上面对另外一端的设备进行连通性测试，然后查看数据包的转发是通过路由转发还是基于标签转发。应答包报文如图3所示。

图3　应答包报文

从应答包报文中我们可以看到数据包的转发是基于标签转发，我们可以看到只有一层标签，这里出现一层标签的原因是因为边界路由交换设备为了节省标签的交换时间，最后一条路由交换设备在通告路由的时候会分配出标签值为3的标签，当数据包返回的时候，当看到值为3的出标签，便弹出最外层标签值，将数据包交给PE，再由PE直接查询内层标签，将数据包直接发送给用户的CE设备［14］，这样有助于提高数据包的转发效率。

4.4MPLSVPN的测试

在进行MPLS VPN实施结果的测试时需要做的就是测试相同VPN之间连通性的测试以及不同VPN之间的隔离性测试。不同VPN隔离测试结果如图4所示。

图4　不同VPN隔离测试图

可以看到不同VPN之间是不可以相互通信的，丢包率为百分之百。由于它们分属不同的虚拟局域网，所以它们之间是不能通信的。下面测试在同一个网络中，两个网段是可以通信的，即同一个专网中可以相互通信，测试结果如图5所示。

图5　相同VPN连通测试图

由此可以看出VPN的基本设置是成功的，能够满足预期的效果，即同一个VPN终端设备之间可以相互进行通信，不同VPN之间是不能进行相互通信。通过测试得出：由于不同专网相互隔离，数据传递的安全性得以提高；由于扩展性得以充分发挥，所以扩展多种业务成本降低［15］；由于此方案基于标签交换，数据效率大大提高，故此方案得到预期效果。

5　结束语

随着信息化的不断发展，怎样高效率、低成本地维护骨干网络将是以后校园网络发展的趋势所在。为达到智能校园的信息化需求，本文通过对MPLS VPN进行分析研究，对校园网各业务专网进行改良，设计了一种基于MPLS VPN技术的校园网多业务网络方案，使其能够在网络扩展中承载多业务。结果表明该网络方案可以保证服务质量、提高传输效率、增强安全性。

［1］姚青.MPLS VPN在多业务专网中的应用研究［D］.上海:上海交通大学，2010.

［2］Eric Osborne，Ajay Simha.基于MPLS的流量工程（张辉，卢炜）［M］.北京:人民邮电出版社，2012.

［3］Lue De Ghein.MPLS技术架构（陈麒帆）［M］.北京:人民邮电出版社，2012.

［4］Jim Guichard，Ivan Pepelnjak.MPLS和VPN体系结构（卢泽新，朱培栋，齐宁）［M］.北京:人民邮电出版社，2010:19-198.

［5］潘胜发，刘广义，林孝康.MPLS路由技术［J］.计算机工程，2002，28（10）:159-161

［6］孙立飞.基于VPN技术的校园网研究［J］.信息通信，2014，（1）:103-104.

［7］李雷.基于MPLS VPN的校园网多业务系统运用［J］.中国教育信息化，2011（3）:19-21.

［8］聂亚南.基于MPLS的多业务承载研究［D］.北京:北京邮电大学，2008.

［9］任金秋，马海龙，汪斌强.跨域BGP/MPLS VPN在高性能路由器中的实现［J］.计算机工程，2009，35（3）:126-129.

［10］侯剑锋，马明.MPLS VPN中PE-CE互连仿真研究［J］.计算机工程，2010，36（12）:123-125.

［11］刘俊斌，王勇.基于MPLS VPN技术多校区校园网应用研究［J］.价值工程，2014（3）:188.

［12］Thomas M.Thomas II.OSPF网络设计解决方案（罗洋）［M］.北京:人民邮电出版社，2013:157-429.

［13］符冰.MPLS VPN技术在校园网的研究和实现［D］.上海:上海交通大学，2013.

［14］刘盛.基于MPLS的VPN技术在数字化校园中的运用与研究［D］.郑州:河南理工大学，2010.

［15］涂中群.基于MPLS VPN实现图书馆多校区网络融合［J］.图书情报工作，2011，55（5）:51-55.

Design and implementation of multiple business campus network based on MPLS VPN

LV Yuan-hai1，LIU Hao2
（1.Xi'an University of Posts and Telecommunications Information Center，Xi'an 710121，China；2.Xi'an University of Posts and Telecommunications，Xi'an 710061，China）

Aiming at some problems between the different areas of campus network，For example，the low utilization rate of resources，the network construction of high cost and poor expansibility.This paper proposes a multiple business campus network design scheme based on MPLS VPN.This paper also completed the structural design，expansion design and feasibility testing of multiple business campus network.Many of the private network can be integration in the same physical network.The practical application shows that the implementation of MPLS VPN multiple business network improves the effective use of cyber source and ensures the security of data transmission.

MPLS；VPN；multi-campus；multiple business network

TN929.1

A

1674－6236（2016）12-0111-04

2016-02-25稿件编号：201602142

工业和信息化部软科学研究项目（2014-R-31）

吕元海（1980—），男，陕西西安人，硕士，工程师。研究方向：教学信息化、网络安全。