打造异地多点办公网络

2016-11-26

网络安全和信息化 2016年10期

引言：随着业务的不断拓展，不少企业已形成了异地多点办公的模式，为保证信息沟通顺畅、协同办公高效，企业必须搭建安全、高效、稳定的多点办公网络。本文结合实际案例介绍了基于MPLS VPN技术的全网状办公网络，这种办公网络能够很好地满足异地多点办公的需求。

背景

某公司由于业务的原因，办公地点分布在多个地区，其中公司总部位于A地，还有三个分支机构分别在B、C、D三地办公，其中公司的核心业务系统均部署在A地的数据中心，考虑到数据安全的因素，核心业务系统并未直接部署在公网之上，除A地用户可以直接利用局域网访问之外，其它三地用户都需要通过各自本地的Internet线路，使用SSL VPN访问。

随着业务模式发生变化，公司更加强调多地之间信息共享、协同办公，分支机构不仅与总部之间有业务联系，彼此之间也有信息沟通的需求，如视频会议、文件共享等等，原有的这种以SSL VPN技术为支撑的办公模式已经不能满足现有的需求，公司亟需打造一套安全、稳定、高效的内部办公网络，这套办公网络实施后必须能够解决四地之间的信息孤岛问题，而且保证较好的投入产出比。

实施思路

由于A、B、C、D四地网络逻辑上属于隔离状态，IP地址并未进行统一规划，甚至存在IP网段重复使用的情况，为实现A、B、C、D四地之间网络互通，必须对这四地的IP地址进行重新规划，否则网络互通后会出现IP地址冲突、路由指向不明确的情况，严重影响办公网络的搭建。由于A地属于数据中心且用户数量较多，为减少变更IP所带来的风险，可保持A地IP网段不变，其余三地以A地IP网段为基础进行扩展，四地IP地址的规划如表1所示。四地IP网段按照表1配置完以后，按照四地网络彼此互通的原则，确定了一种解决方案：租用运营商的MPLS VPN专网，建立A、B、C、D四地全网状的办公网络。MPLS VPN专网是依托于运营商的骨干网络，采用MPLS（多协议标记交换）协议，结合服务等级、流量控制等技术，为用户在公共IP网络上构建企业的虚拟专网。MPLS VPN专网非常适合搭建异地多点办公网络，可以轻松实现A、B、C、D四地网络的直接通信，大大提高了各地之间的网络通信效率；如果某地网络出现故障，并不会影响其他地区之间的通信，而且运营商的骨干网普遍具有多路由的冗余传输资源，可以自动、充分地迂回用户节点间访问的流量，因而在广域网上也不存在单点故障，网络整体具备很高的可靠性；MPLS VPN专网的安全性是通过路由隔离技术来实现的，利用两层标记，自动为不同用户的节点建立不同的信道，使用户的流量分别穿行在不同的“虚通道”中，实现了用户流量的有效隔离；利用EBGP动态路由协议，实现路由的动态自适应，任意一点只需要在CE路由器端进行路由宣告，其余各点均可自动获得相应的路由，大大降低了网络管理人员的维护负担。未来如果分支机构发生变更，只需要变更相应分支机构的接入线路即可轻松实现MPLS VPN专网的变更；从实施成本上考虑，由于网络架构为全网状，各个节点的网络流量相对均衡，所以对各个节点的CE路由器性能要求不高，只需要支持EBGP动态路由协议即可，MPLS VPN专网实际上只需支付本地的网络通信费用，就可以收到租用专线长途通信的效果，所以线路的租赁费用也比点对点数据专线要便宜。图1为MPLS VPN专网示意图。

表1 四地IP地址的规划

图1 MPLS VPN专网示意图

实施步骤

为A、B、C、D四地组建MPLS VPN专网，首先需要向运营商申请资源，包括AS域的申请、各地线路的带宽以及保障等级、每个站点能够发布的路由条目数量，同时规划PE和CE之间的互联地址，提供给运营商，本文MPLS VPN线路互联地址规划如表2所示。待运营商局端调试完毕后，还需要在本端CE路由器进行相应配置，由于四地CE路由器配置方法基本一致，下面以A地CE路由器配置为例，具体步骤如下：

1.配置CE端的接口地址。MPLS VPN线路支持多种主流标准接口的接入，本文采用RJ45以太口。首先通过Telnet登录A地的CE路由器，在对应的以太接口下，配置相应的接口地址，并开启接口，具体命令如下：

Router（config）#interface FastEthernet2/0

Router（config-if）#description MPLS VPN

Router（config-if）#ip address 192.168.222.1 255.255.255.252

表2 MPLS VPN线路互联地址规划

Router（config-if）#no shut

Router（config-if）#do write

完成上述步骤后，可以进行CE和PE之间的联通性测试，在CE路由器上直接ping对端的PE接口地址192.168.222.2，如果能够ping通，说明本地与运营商之间已经对接成功。

2.创建BGP AS域。AS域号1919由运营商分配，neighbor AS域由运营商指定为4809，并发布本地相关路由，具体命令如下所示：

Router（config）#router bgp 1919

Router（config-router）# network 172.19.4.0 mask 255.255.255.0

Router（config-router）# network 172.19.5.0 mask 255.255.255.0

Router（config-router）# neighbor 192.168.222.2 remote-as 4809

Router（config-router）# no auto-summary

Router（config-router）# do write

3.创建宣告网段的本地路由。利用步骤2将A地网段进行发布后，必须在本地CE端路由器上针对该网段创建同样的目的地址路由，而且不能随便使用路由汇总，步骤2中发布的每个本地网段，都必须设置对应独立的静态路由，否则这些网段将无法广播到其他节点；如果该网段是直接连接在CE路由器上，则不需要单独设置路由，直接使用自动生成的直连路由即可。具体命令如下：

Router（config）# ip route 172.19.4.0 255.255.255.0 192.168.220.1

Router（config）# ip route 172.19.5.0 255.255.255.0 192.168.220.1

其中192.168.220.1是与路由器互联的核心交换机的接口地址。

完成上述三个步骤后，A地CE路由器已经配置完毕，以同样的方法对其余三地的CE路由器进行配置，配置的参数中只有CE路由器接口地址、PE路由器的接口地址和需要发布的本地路由会相应发生变化，其他均保持不变；然后在各地的CE路由器上使用show bgp all命令查看是否已经成功获得其他各地的BGP动态路由，如果各地都能获得对应路由，说明整个MPLS VPN专网已经调试完毕，可以交付使用。