1、背景

某公司经过业务重组整合，形成了异地多点办公的模式，其中公司总部位于A地，数据中心位于B地，分支机构分布在C地和D地，所有业务系统均集中部署在数据中心，四地均有独立的互联网线路供用户访问Internet，A、C、D三地用户均通过租用运营商的MPLS VPN星形专网实现与数据中心的通信，总部A地集中了公司90%的业务人员，访问业务系统数据量最大，C地和D地业务人员很少，访问业务系统的需求不多，A地和B地的MPLS VPN专线带宽均为10Mbps，C地和D地的MPLS VPN专线带宽为2Mbps；根据监控数据分析，A地和B地的专线带宽压力比较大，A地专线带宽的日常使用率在70%左右，B地专线带宽的日常使用率80%左右；如果两地有视频会召开，专线带宽实时使用率会达到90%以上，对业务人员的访问体验造成较大影响。同时，由于没有备用线路，如果MPLS VPN专线出现故障，将会对公司的业务造成极大的影响，所以亟需优化专线的使用率和提升专线的保障水平。

2、实施思路

鉴于MPLS VPN专网目前是A、B、C、D四地之间唯一的通信渠道，为确保业务的连续性，必须具备冗余的链路以保证MPLS VPN专网发生故障时四地也能够正常通信，目前主要有如下三种解决方案：

（1）采用SSLVPN技术解决用户接入问题。目前B地部署有SSLVPN设备，供业务人员利用Internet线路进行远程办公，如果MPLS VPN专网发生故障，只要故障节点和B点的Internet线路正常，用户即可利用自己的SSLVPN账号进行远程办公。这种方式不需要网络管理人员干预和额外投资，但是存在速度不稳定、终端依赖程度高、使用不方便等多种缺点，不太适合稳定性要求较高的业务办公需求。（2）采用点对点VPN解决方案。可在任意两个节点之间利用Internet线路搭建IPSec VPN通道，满足用户的办公需求；如果MPLS VPN专网发生故障，只要故障点Internet线路正常，就可以在Internet边界网关处配置IPSec VPN隧道，同时在目标节点处的Internet边界网关配置隧道实现对接，即可实现两地网络的互通。由于数据流量通过Internet传输，用户体验很难得到保障，而且对边界网关设备要求较高，必须支持IPSec VPN，能够兼容不同品牌设备的IPSec VPN标准，对本地网络管理人员的技术能力要求也比较高。（3）通过租用运营商点对点数据专线解决。在任意两节点之间租用运营商数据专线组成MPLS VPN专网的冗余链路，当任意节点MPLS VPN专线发生故障时，可以通过修改路由的方式将MPLS VPN专线上的流量切换到备用数据专线上来，不仅能够迅速恢复业务，而且能够保证用户的体验。如果要保障四地办公网络的连续性，需要在任意两点之间搭建数据专线，共需要租用6条线路，费用过于昂贵，而且大多数时候这些备用线路基本处于空闲状态，造成资源的严重浪费。

根据A、B、C、D四地用户的规模和性质综合分析，为了保证专线的高可用性，保证公司业务的正常运转，同时能够尽量节约费用，充分利用现有资源，可以采取如下综合方案：（1）A和B之间租用一条带宽为10Mbps的点对点数据专线，同时将A和B之间MPLS VPN专线上的部分流量迁移到该线路。（2）为C和D两地用户创建SSLVPN账号，当MPLS VPN线路故障时，采用SSLVPN方式接入进行远程办公。

上述方案通过在A和B之间新建一条数据专线，重点保障了总部A地业务人员的办公需求；两条线路互为备份，任意一条线路故障，均可将流量轻松切换到另外一条线路，两条线路处于“双活”状态，也大大提高了专线利用率。由于C和D两地业务人员较少，如果MPLS VPN专线发生故障，用户可以使用SSLVPN进行远程办公，基本也能满足需求，这样就大大减少了租用专线的费用。

3、实施步骤

图1 高可用性方案示意图

方案中的第一部分就是在A和B两地之间搭建点对点数据专线，当运营商将数据专线的物理部分建设完毕之后，还需要A和B两地网络管理人员进行路由切换和测试，具体操作步骤如下所示：

（1）分别在两地接入专线的路由器接口上配置IP地址，其中A端接口IP为192.168.188.1/29，B端接口 IP为 192.168.188.2/29。IP配 置完成后，可采用ping命令测试两端物理线路是否互通。由于配置方式类似，仅以A地路由器为例，配置步骤如下：

（2）确定线路互通之后，在B地路由器上利用Routemap策略路由将A地用户访问部分重点应用系统的流量迁移到点对点专线上，表1为重点业务系统和用户相关信息：

四地的边界路由器均采用思科7206VXR设备，在B地路由器上操作步骤如下：

首先进入路由器配置模式，然后创建匹配流量的ACL：

其次创建Routemap实例，引用ACL1，确定不同数据流量的转发路径：

表1 业务系统和用户信息表

最后在路由器入口上引用routemap1，实现不同应用系统流量的迁移：

（3）在A地路由器上添加静态路由，将对应系统IP的流量迁移到点对点专线上，进入路由器配置模式，操作步骤如下：

通过上述三个步骤，即可完成对应数据流量的迁移，保证A地用户访问重要业务系统的带宽，也避免了专线出现“忙闲不均”的情况，充分利用了带宽资源。对于C和D两地，按照方案设计，只需要为相应用户创建SSLVPN账号即可，不再赘述。

如果MPLS VPN专线发生故障，可按照如下步骤将流量迁移到点对点专线：

（1）在B地路由器上的ACL1中添加匹配规则（B地服务器网段为10.18.7.0/254）：

（2）在A地路由器上添加到B地服务器网段的静态路由：

如果MPLS VPN专线故障影响了C和D两地用户，两地用户直接使用SSLVPN账号登录SSLVPN系统进行远程办公，不需要进行额外操作。

如果点对点专线发生故障，可按照如下步骤将流量迁移到MPLS VPN线路上：

（1）在B地路由器接口上取消对routemap1的引用：

（2）在A地路由器上将对应的三条静态路由取消：

按照上述方案，不论哪条专线发生故障，网络管理人员均能在几分钟之内迅速迁移流量，保障业务的连续性；而当故障专线恢复正常后，按照上述步骤进行回退操作，专线即可恢复至常规状态。

4、总结

针对“公司总部+数据中心+分支机构”模式的企业，MPLS VPN专线能够为其提供可扩展性极高的优质办公网络，但对于业务连续性要求高的企业来说，单点故障风险仍然存在，必须保证MPLS VPN专线故障时，业务经营能够快速恢复。本文提供的方案能够在成本、高可用性效果、复杂性三个矛盾因素中做出较好平衡，相信能为企业创造较好的投入产出比。