APP下载

基于MPLS的VPN实现及应用实践研究

2017-03-14◆洪

网络安全技术与应用 2017年2期
关键词:路由器数据包路由

◆洪 政

基于MPLS的VPN实现及应用实践研究

◆洪 政

(上海剑桥科技股份有限公司 上海 201114)

本文首先阐述了MPLS与VPN的基本理论和MPLS-VPN的优点及实现,最后给出了MPLS-VPN技术的具体应用。

MPLS;VPN

0 前言

MPLS-VPN技术作为一项新技术,在全球范围内都得到了广泛应用,并且近几年得到了快速发展,由于其本身具有安全、可靠、控制灵活等诸多特点,因此成为了许多企业在构建专用网络的首选方案,并且从许多企业对该项技术的应用情况来看,取得了不错的成绩,因此加强对该项技术的分析与探讨具有现实意义。

1 MPLS与VPN基本理论分析

1.1 MPLS--Multi-Protocol Label Switching

MPLS是支持多种三层协议,其本身位于第二层和第三层之间,因此不仅支持多种网络层协议,而且能够兼容不同链路层技术,同时也能够实现边缘路由和核心间的交换。MPLS提供一个短的等长的标签,该标签属于IP数据包,对其使用与控制,可以将IP数据包和标签同时封装在新MPLS数据包中,利用该标签确定IP数据包标签的具体交换路径,以及LSP的具体顺序[2]。标签交换路由器LSR在IP数据包按LSP转发前,只对MPLS数据包中的包头标签进行读取,并不需要读取各个IP地址等详细信息,这也就加快了数据包交换速度。在具体操作过程中当数据包需要从MPLS网络中退出,数据包的封装将会被解除,然后数据依据原IP包方式,抵达最终目的地。

1.2 VPN

VPN是应用访问控制和密码技术,通过NSP或ISP在建模专用通信网络技术建设在公共网络上。在VPN网络中,节点间的链接并不像传统网络一样需要物理链路,而是通过逻辑网络完成的。在VPN技术支持下,无论用户身处何处,只需要连入当地的ISP或Internet,便可对企业的网络进行访问,这使网络访问变得更加简单便捷。

1.3 MPLS-VPN

MPLS-VPN是基于MPLS技术的VPN,将MPLS技术应用在网络路由和交换设备上,通过对标签交换的合理应用,利用LSP连接不同的私有网络分支,同时结合传统路由器技术,完成多点到多点的连接[2]。

2 MPLS-VPN的优点及实现

2.1 MPLS-VPN的优点

2.1.1 安全性

MPLS-VPN在具体应用过程中,合理借助了MPLS技术,对两层标记进行应用,自动完成对不同用户节点间隧道的构建,从而使用户流量穿行在不同“虚通道”中,从而完成对用户流量隔离,使逻辑安全性能够得到最大程度体现。

2.1.2 可靠性

通过对网络环境进行分析,可以发现,网络可靠性的实现是通过资源的冗余度完成的。MPLS-VPN依托互联网开展,运营商具有完备和发展的基础设施,网络具有高速传输设备和带宽,线路与路由本身还都具有保护冗余措施,这也就确保了网络自身的可靠性。

2.1.3 扩展性

MPLS-VPN减少了用户网络方工作量,连接任意两点。同一个VPN中用户节点数并不会受到外界因素的限制,因此在具体操作中容易扩展。尤其是实现用户节点全网状通信时,并不需要对用户节点路由进行逐条配置,用户侧只需要一条线路或一个端口就可以进入网络,操作起来十分便捷。

2.1.4 其它特性

MPLS-VPN中,在参数设置的基础上,用户可以构建任意节点,因此能够满足用户在不同形式上的组网需求。在具体操作过程中,也不需要增减用户物理电路连接和终端设备。同时也避免用户为了架设一个VPN,专门针对网络安全问题,单独架设一套网络安全系统,简化了网络运行。而对于用户来说,需要管理和维护的设备的数量也较少,对技术要求相对来说较低,便于企业IT人员自行维护[3]。此外,MPLS-VPN网自身还具有流量管制及分级能力,因此具体应用过程中,客户可以依据具体需求,针对不同信息,制定与之相对应的重要度,并且给予对应的质量保证和服务。

2.2 MPLS-VPN的实现

MPLS-VPN网络主要由三个部分构成,分别为客户端路由器CE、运营商边缘路由器PE(LER)、运营商网络主干路由器P(LSR),该技术在具体应用过程中,通过隐藏信息、路由隔离、地址隔离等各项手段,避免企业的网络遭受非法攻击,可以为企业的网络运行提供安全保障。

2.2.1 路由隔离

MPLS-VPN技术很好的实现了VPN间路由隔离,每个PE路由器为每个所连接的VPN都维护一个独立的虚拟路由转发实例(VFI),每个VFI驻留来自同一VPN的路由(静态配置或在PE和CE之间运行路由协议)。因为每个VPN都产生一个独立的VFI,因此不会受到该PE路由器上其它VPN的影响。

路由隔离通过给协议BGP添加VPN,穿越核心网时,BGP用VPN路由交换,同时BGP重新将路由信息分给其它PE路由器,从而确保其它PE路由器中特定的VPN的虚拟转发实例(VFI)中,并不会将多余的BGP信息分到核心网络中。

2.2.2 隐藏性和抗攻击性

隐藏性和抗攻击性是MPLS的核心结构的主要特性,其网络拓扑在隔离上采用路由隔离实现,数据的传输则通过MPLS完成,MPLS并会泄漏不必要的信息。

通过上述分析内容可以发现,在网络中的IP地址已经被隐藏,并且在网络中,进行了路由隔离,因此也就不会存在一个特定的VPN对其它的VPN或核心网络展开攻击,这也就确保了网络的安全性。

3 MPLS-VPN技术的具体应用

在对MPLS-VPN技术的具体应用进行分析时,选取2014年上海剑桥股份有限公司(以下简称公司)在多办公地点整体搬迁过程中,在网络组建方面作为参考实例。公司在搬迁之前,办公地点分三处(1.总部宜山路齐来大厦 2.都会路晶碧产业园ONT工厂 3.春光路SMT工厂)。ONT工厂和SMT工厂分别使用MSTP线路和总部连接,总部作为所有节点的唯一Internet出口。ONT工厂和SMT工厂的互访需要通过总部进行中转。

2014年公司总部搬迁到浦江科技广场,ONT工厂和SMT工厂合并搬迁到江月路505号。搬迁工作采用逐步搬迁,每次只搬迁一小部分,因此需要确保5个点位的网络互联互通。采用MPLS-VPN作为互联互通方案。

3.1 MPLS-VPN技术接入及实施。

基于搬迁工作的具体要求,在每个点建设MPLS-VPN网络,接入的设备为第三层核心交换机,接入的具体步骤如下:(1)规划新增2个点位的内部网段地址,根据运营商要求,本地MPLS-VPN网络的内部地址不能有冲突。(2)在每个点位的核心交换机上创建专用vlan,专门用于核心交换机和CE路由器的连接。公司采用172.25.0.x网段。(3)在各点核心交换机上设置路由条目,将访问其他4个点位中的任何一个点位的数据都发送到CE路由器的连接端口地址(4)在公司机房中的CE路由器上添加静态路由。将所有数据都发送到PE路由器的连接端口地址。(5)在总部宜山路CE路由器上添加数据包回去的明细路由。(6)指定MPLS-VPN专网的默认Internet出口,为没有本地internet出口的点位,提供访问公网服务。经过以上设置为公司构建了一个MPLS-VPN专网。

3.2 实施难点及解决方案

3.3 实施及结果

在公司搬迁过程中以及搬迁完成以后,采用MPLS-VPN技术,很好的确保了网络的互联互通,既避免了MSTP网络中线路和接入硬件数量多,无法隔离网络风暴,数据透明传输等缺点,又使链路的有效利用率得到提升,同时对于IT管理人员来说,运营商提供了网络监控,简化自身的管理。

从该网络架设完成以后的情况来看运行十分流畅,并且具有很高的稳定性,从未发生运行故障。此外,该方案相对于采用MSTP专线费用较低,减少了光缆维护量,满足公司在具体生产过程中的办公需求,同时也满足日后的扩展需求。

4 结束语

MPLS-VPN在具体应用过程中具有许多优势,因此成为了大型专网建设中的第一选择。相信随着技术的发展,MPLS-VPN技术以及相关技术都变得更加成熟,其应用效果将会得到进一步提高。

[1]罗慧华.基于任务驱动法在“防火墙与VPN”课程中的应用[J].无线互联科技,2016.

[2]刘仁成,岳宇博,郎百和.基于eNSP仿真软件的MPLSVPN教学设计[J].实验科学与技术,2016.

[3]高羽,王当.IPSec技术在MPLS VPN安全保障中的运用[J].信息与电脑(理论版),2016.

[4]唐杰.基于BGP MPLS VPN技术的医院架构方案设计与实现[J].中国数字医学,2015.

[5]许小华.MPLS VPN差别化服务的实现技术模型及应用[J].信息技术,2015.

表1 多厂家设备选择方案比较表

表1是企业光通信网络组网中可能会涉及到的四种设备厂家选择策略对比,在具体方案的选择过程中,需要充分考虑网络各层之间的互连方案、端到端的网络资源配置要求以及以太网业务的有效接入等因素,除此之外,还要综合考虑网络建设投资成本等重要因素。所以说,具体的网络建设技术路线的选择是需要根据企业自身的实际情况、业务情况以及对于网络配置的能力要求来进行选取。

7 安全保障

MSTP组网中,采用了统一的MSTP传输设备,保证了传输设备的兼容性,并且所选的现有的MSTP设备在现网上具有良好的运行记录。同时,在MSTP设备上提供了最大的冗余配置,绝大部分部件,如主控板、交叉板、时钟板、电源等部件均采用1+1热备份配置,业务板卡采用1+1或者1:N保护方式配置,在其中任何1块板卡出现故障时,备用板卡立即自动倒换,接替出现故障板卡的工作。能够实现主备网管数据的实施备份和自动倒换。从业务的角度来看,这个伴侣同样要提供MSTP 所能够提供的业务容量和种类,比如传统的E1电路和IP业务,并且这些业务应该没有“损耗”地通过MSTP。

8 结束语

继承了SDH优点的MSTP技术作为一种多业务传送技术,必然会在企业与社会发展的大背景下持续不断的向前发展。目前,MSTP技术与WDM技术的融合已经在逐步实现应用,无线方面,企业内部已经开始尝试MSTP对3/4G组网的支持。同时,随着光网智能化的不断推动发展,MSTP技术逐步的融入了网络智能管理技术,在向着智能自动光交换网络方向无限接近。

参考文献:

[1]刘磊.SDH传输网建设设计[D].山东大学,2009.

[2]刘忠伟,翟虹强,尹传平,林孝康.SDH技术及其应用与发展[J].电力系统自动化,2001.

[3]张继军.基于SDH的自动交换光网络(ASON)关键技术研究[D].华中科技大学,2006.

[4]梁芝贤,穆国强.SDH网络的优化与改造[J].电力系统通信,2007.

[5]王智勇.电力SDH光纤通信网络组网优化[J].电力系统通信,2010.

[6]穆志巍.基于SDH的网络性能优化设计[D].东北石油大学,2013.

[7]唐宗丽,许薇,李兴明.SDH传输网络的规划与优化技术[J].现代传输,2006.

[8]姚兴盛.SDH关键技术研究及其应用[J].技术与市场,2008.

[9]蓝宇冰.论SDH的基本原理及传输网设计[J].广东科技,2008.

[10]李发良.SDH网络安全优化及其设计思路[J].邮电设计技术,2008.

猜你喜欢

路由器数据包路由
买千兆路由器看接口参数
二维隐蔽时间信道构建的研究*
维持生命
路由器每天都要关
路由器每天都要关
民用飞机飞行模拟机数据包试飞任务优化结合方法研究
铁路数据网路由汇聚引发的路由迭代问题研究
多点双向路由重发布潜在问题研究
一种基于虚拟分扇的簇间多跳路由算法
SmartSniff