MPLS网络在企业中的应用

2017-03-28姜金智中海油信息科技有限公司

数码世界 2017年3期

姜金智中海油信息科技有限公司

MPLS网络在企业中的应用

姜金智中海油信息科技有限公司

建设满足“物理共享，逻辑独立”需求的MPLS（Multi-Protocol Label Switching，多协议标记交换）云状网络，让企业共享一个物理网络平台，不同的下属公司具有自己逻辑上独立的网络，不同的应用系统也可以做到网络访问的逻辑隔离。因此MPLS云状网络可以从根本上解决基础网络和安全方面所面临的问题和挑战。

MPLS 物理共享逻辑隔离

1 MPLS网络改造背景

随着企业信息化建设的推进，信息技术的应用对企业业务支撑的作用越来越大，各级组织对信息系统的依赖性也日益提高，尤其对网络安全更加重视，同一集团下的各公司之间也有网络隔离防护需求，“物理共享，逻辑独立”的网络结构成为在当前网络上进行改造最佳性价比方案。

2 MPLS技术

2.1 MPLS网络意义

传统的IP数据转发是基于逐跳式的，每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口，这是个繁琐又效率低下的工作，主要的原因是两个：①有些路由的查询必须对路由表进行多次查找，这就是所谓的递归搜索；②由于路由匹配遵循最长匹配原则，所以迫使几乎所有的路由器的交换引擎必须用软件来实现，用软件实现的交换引擎和ATM交换机上用硬件来实现的交换引擎在效率上无法相抗衡。

IP和ATM曾经是两个互相对立的技术，各个IP设备制造商和ATM设备制造商都曾努力想吃掉对方，想IP一统天下，或者ATM一家独秀！但是最终是这两种技术的融合，那就是MPLS(Multi-Protocol Label Switching，多协议标记交换)技术的诞生！MPLS技术结合和IP技术信令简单和ATM交换引擎高效的优点！

2.2 MPLS VPN工作原理

MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

MPLS是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由，并指明服务质量（QoS）、虚拟专网以及影响一种特定类型的流量（或一个特殊用户的流量）在网络上的传输方式等各类信息。MPLS采用简化了的技术，来完成第三层和第二层的转换。它可以提供每个IP数据包一个标记，将之与IP数据包封装于新的MPLS数据包，由此决定IP数据包的传输路径以及优先顺序，而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记，无须再去读取每个IP数据包中的IP地址位等信息，因此数据包的交换转发速度大大加快。

目前的路由协议都是在一个指定源和目的地之间选择最短路径，而不论该路径的带宽、载荷等链路状态，对于缺乏安全保障的链路也没有一种显式方法来绕过它。利用显式路由选择，就可以灵活选择一条低延迟、安全的路径来传输数据。

MPLS协议实现了第三层的路由到第二层的交换的转换。MPLS可以使用各种第二层协议。MPLS工作组到目前为止已经把在帧中继、ATM和PPP链路以及IEEE802．3局域网上使用的标记实现了标准化。MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术带来了IP的任意连通性。

IP包进入网络核心时，边界路由器给它分配一个标记。自此，MPLS设备就会自始至终查看这些标记信息，将这些有标记的包交换至其目的地。由于路由处理减少，网络的等待时间也就随之缩短，而可伸缩性却有所增加。MPLS数据包的服务质量类型可以由MPLS边界路由器根据IP包的各种参数来确定，如IP的源地址、目的地址、端口号、TOS值等参数。

3 MPLS在企业中的应用

通过MPLS云状网络，让企业中所有的公司共享一个物理网络平台，不同的二级公司具有自己逻辑上独立的网络，不同的应用系统也可以做到网络访问的逻辑隔离，甚至使用同一应用系统的不同公司也可以在传输层面做到逻辑上的独立。以此做到“物理共享、逻辑独立”。

MPLS VPN是在大型网络中被广泛使用的一种逻辑独立技术，是在网络设备上应用MPLS技术，在公共网络上建立一个逻辑的、点到点的或多点间连接，以保证数据仅被指定的发送者和接收者获取，从而保证了数据的私有性和安全性。VPN逻辑层次设计的目标，就是要体现企业信息网在物理共享、逻辑独立的总体原则下，满足业务属性、管理属性等诸多方面的要求。在典型的MPLS VPN的设计中，一旦划分出不同的VPN，则这些VPN内的数据默认情况下是相互隔离，无法互访的，从而真正保障数据的逻辑独立性。

VPN的划分原则上以二级单位为界，所有该单位共享应用划分一个共享VPN，所有办公用户和下级应用划分纵向VPN，这样每个二级单位有一个二级共享VPN＋一个纵向VPN（1+1模式）。对部分二级单位提出进一步区隔要求的，例如需要根据业务板块或三级机构类别进行区隔，可以划分多个纵向VPN，分别容纳各板块或各机构用户，即二级单位有一个二级共享VPN＋N个纵向VPN（1+N模式）。

如图所示，同一单位的共享VPN和纵向VPN互通；有隶属关系的上、下级单位的共享VPN可以互通；平级单位之间禁止直接的横向数据交互，如有业务交互需求可通过总公司共享VPN的应用跨接；无隶属关系的上、下级单位禁止斜向数据访问。特殊访问环境下可酌情增加特殊共享VPN，实现跨VPN间的交互。所有下属公司均需要访问的应用服务器放入总公司共享VPN中，方便各二级公司用户正常办公。