實戰MPLS VPN

2019-11-03 09:09:55

字體：大中小

來源：轉載

供稿：網友

　　活生生的例子最能說明問題。

　　這一部分，我們一起來了解MPLS VPN實際的應用，將目前幾種主流的企業組網方式做一下比較，看一看，MPLS VPN到底為我們帶來了什么。

案例1 電子政務與MPLS VPN

　　電子政務網中，不同的政府機關(如行政部門、財稅部門、機要部門等)有著不同的業務系統，各業務系統之間的數據流量多數是要求相互隔離的，但是同時各業務系統之間可能存在著互訪的需求。在此，就可以采用MPLS VPN技術實現不同業務系統之間的隔離，對于不同業務系統之間的互訪要求，通過Extranet實現，使用route target嚴格控制不同VPN之間的互訪。

　　政務信息網絡的結構、功能和運作必須符合省政府的組織形式、工作職能和工作方式。省政務信息網絡應該是一個高速寬帶網絡平臺，以適應多媒體信息等不同應用的需要；安全保密是政府信息化建設的核心，無論是思想上還是技術上都要樹立起安全屏障；適應政府機關辦公業務和輔助領導科學決策的需要；借鑒國內外大型網絡建設先進經驗，確保網絡具有良好的前瞻性和持續發展性?！邶埥‰娮诱站W絡建設整體思路

黑龍江省立體化政務信息網絡模型

　　黑龍江省政務信息網絡需要為全省67個廳局建立省、地(市)、縣三級縱向網絡，滿足各種省直單位內部聯網需要，同時為省、13個地（市）、66個縣三級政府部門建立橫向網絡，滿足各政府部門間資源共享的需要，其邏輯結構是一個復雜的“格”狀的立體架構。

　　對于每個獨立的政府部門節點來說，它既有橫向部門間的信息交互，也有縱向聯網的信息交互。政府及各直屬單位應用系統之間既具有相對的獨立性，同時又存在很強的關聯性?？v向看，每個政府部門內部的用戶均能訪問縱向網絡的相應資源; 橫向看，各級政府單位只有部分授權用戶能夠訪問橫向網絡資源。

　　面對黑龍江省政務信息網絡縱橫交錯的立體結構、錯綜復雜的訪問關系、種類繁多的業務應用(包括視頻會議、ip語音、辦公自動化、數據庫查詢等)，如何建立一個專用、公共的網絡平臺，統一實現縱向網及橫向網的信息交互，達到每個政府部門只需建設一個局域網絡，通過一條通信線路，就可以實現縱向及橫向全部通信的需要呢？

　　目前大多數政府部門和企業的網絡都是建立在幀中繼或ATM網絡基礎上，通過虛電路(VC)連接各個網絡節點，一般采用星形(Hub and Spoke)、樹形或半網狀拓撲結構。黑龍江政務信息網絡的立體交叉拓撲網絡，如果想在這種模式中實現最佳路由，any-to-any網狀結構，就意味著整個網絡需要n×(n-1)/2(n為政府單位的數量)條VC。而VC數量的驟增，必將進一步增加網絡和路由的復雜性，這種復雜性使得對網絡節點的任何變動都會給政府和運營商造成極大的痛苦。

　　同時，正確地設置VC需要了解端到端的業務信息，這使得流量工程也變得更加困難。就是說，這種模式不具備適應黑龍江政務信息系統大型拓撲結構的良好擴展性和靈活機動性。

思科MPLS VPN打造立體化政務信息網絡

　　思科MPLS VPN技術在單一的基礎網絡設施之上，為67個廳局和橫向政務網絡構造68個VPN。在省、13個地市、66個縣分別配置一臺路由器(PE設備)，構成MPLS網絡骨干。每個單位配置一臺路由器(CE設備)，通過以太城域網匯接到本地MPLS網絡骨干節點(PE設備)。

　　MPLS VPN非常好地滿足了黑龍江省政府信息網絡對靈活機動性以及any-to-any連接等的廣泛需求。

安全性

　　尋址空間分離: MPLS核心采用“VPN IPv4地址”路由，通過在IPv4路由上添加一個路由分辨符(RD)，確保在VPN中獨一無二的地址在MPLS核心中同樣是獨一無二的。因此，每個政府部門的縱網具有保持自己的尋址方案的靈活性和使用公共或專用地址空間的自由。

　　路由分離: PE路由器為每一個VPN保持一個分離的路由表(VRF)。這些VRF不僅彼此獨立，而且與全局路由表獨立。即使有兩個政府部門的縱向網絡使用相同的地址空間，彼此之間也是完全隔離的。

　　核心隱藏: 在MPLS內部連接到VPN的接口是BGP，沒有必要透露關于核心的任何信息給用戶，即使是對每個政府單位的CE路由器。如果在PE和CE之間使用動態路由協議，CE惟一知道的信息是PE路由器的地址，如果不需要此信息，可以在PE和CE之間配置靜態路由，徹底隱藏MPLS核心。

　　綜上所述，從一個VPN不可能入侵另一個VPN或者核心，這使得MPLS VPN具有等同甚至超過幀中繼或ATM網絡的安全性。

QoS

　　由于政務信息網絡業務應用、數據性質的豐富多樣，網絡數據流量突發是不可避免的，網絡必須擁有良好的擁塞控制能力和對不同性質數據流的處理能力，為各級領導和政府部門提供高品質的服務。

　　Cisco IOS增強的QoS功能，為設備提供了按優先級處理業務的智能。在黑龍江政務信息網絡中，所有的設備均采用Cisco統一的IOS操作系統，因此QoS已經不僅僅是一種簡單的設備特征，而是整個網絡端到端體系結構——網絡管理人員能夠完全控制網絡帶寬分配、延遲、抖動和數據包丟棄等。

　　MPLS核心通過為相應的服務級別專門分配一組標簽，顯著地減低了QoS的處理工作量，使網絡獲得更佳的性能。提高效率而不會丟失功能。

　　此外，Cisco MPLS還提供了一套先進的流量管理機制——資源預留路由選擇(RRR)，管理人員能夠顯式地配置路由，沿特定的路徑發送選擇的業務，進行擁塞控制和負載均衡。

案例2 銀行業的MPLS VPN

　　隨著中國金融系統網絡大集中的逐步實施，網絡業務橫向集中、網絡架構縱向集中的趨勢日益凸顯，如何在統一的網絡平臺上高效、安全、經濟地實現新一代金融網絡的需求，已經成為金融用戶、網絡方案供應商、網絡設備供應商面臨的共同問題。

　　隨著內部業務，諸如視頻會議、視頻監控等高帶寬業務的逐步開展，傳統的DDN、FR等窄帶傳輸方式，由于其連接速率較低且線路租用費用較高，已不能滿足中國農業銀行浙江省分行營業部的應用及發展需求。同時，營業部也希望能通過先進的信息管理系統，對整個杭州地區所有轄區實現計算機管理，從而實現對各種生產信息及OA信息的管理和資源的共享。新的網絡要具備足夠的速度、可靠性、安全性，以及不能影響現有網絡結構和設備配置，擁有良好的技術支持與服務。——中國農業銀行浙江省分行組網思路

MPLS VPN組網方式

　　基于浙江省農行現有網絡狀況及應用需求，網通有限公司杭州分公司（以下簡稱杭州網通）建議中國農業銀行浙江省分行營業部與下屬各區縣支行構建MPLS VPN。其中VPN各接入點可根據實際應用需求分別選用10M或100M的光纖接入，分別連接當地的PE路由器，從而實現中國農業銀行浙江省分行營業部整個地區各分支機構之間的VPN組網。

連接設備及連接方式

　　采用MPLS VPN技術,中國農業銀行浙江省分行營業部可以自由選擇接入設備，惟一的要求是設備必須具有2個以太網接口，速率可以是10M或100M，需要配備1對光纖收發器。設備可以為單機、路由器、第三層交換機或第二層交換機，甚至是一臺HUB。

QoS與CoS

　　采用各種技術保證用戶的服務質量(QoS)和服務級別(CoS)，這些技術包括SVP（資源預留協議）、 PRecedence（IP優先級）、CAR（約定訪問速率允許在網絡邊緣指定QoS策略）、GTS（基本流量整形通過減少帶外流量對通信量進行整形以避免擁塞）、WRED（WFED用來避免擁塞）、WFQ（一種基于流的排隊算法，根據包的不同級別對其調整排隊策略）等。

服務擴展

　　隨著技術的發展，將為其提供更高級別的QoS，如采用差別服務（DiffServ）和流量工程等技術，實現更多的優先級和對流量更好的管理，逐漸提供更強的管理功能。

設備選型

　　如果考慮控制因素，可以選擇用路由器組網；如果考慮性能，可以選擇用交換機組網，當然第三層交換機的設備價格也比較高; 如果考慮到局部網點的性能和全網的投資成本，可以選擇混合方式，即省行網點選用高性能的第三層交換機（或高端路由器如Cisco 7507等），各區縣支行網點選用路由器，基層網點選用SwitchHub。

基于MPLS VPN的網絡應用

IP電話系統

　　構建了MPLS VPN專網后，將很容易地實現數據和語音的融合，即在VPN專網上新增一些語音轉換設備，就可以建立整個專網的IP電話系統。通過在CE和PBX（程控交換機）之間增加一臺數據和語音轉換器，就可以簡單地實現通過內部電話的互相撥打。

會議電視系統

　　農業銀行在構建了覆蓋全系統的內部VPN專網后，也可方便地建設全網范圍內的會議電視系統。會議電視通過通信網絡把兩個或多個地點的多媒體會議終端連接起來，在其間傳送各種圖像、話音和數據信號。除了用于多點多媒體會議之外，會議電視系統還應用于遠程教育、遠程醫療等需要傳送實時音頻、視頻和數據的業務。

背景資料

　　從2000年6月開始，杭州網通就開始在杭州市范圍內構建覆蓋杭州全市的骨干環網建設，采用國際流行的IP技術建立寬帶網絡，拋棄了傳統的電路技術所帶來的網絡單一、業務無法集中、低帶寬、擴充性差、不利于開展多媒體服務等弊端，不僅可以為用戶提供網絡互聯服務，還可以提供基于IP的各種增值業務，滿足用戶對網絡互聯和Internet訪問的雙重需求。

　　從2001年5月開始，杭州網通以MPLS VPN的形式為杭州的大客戶和商業用戶提供IP 聯網服務。經過一年多的發展，已成功地在杭州市和二區五縣提供了MPLS VPN的服務，共發展了67個MPLS VPN，用戶接入點1445個，網絡運行情況和對業務支持情況良好。

　　接入MPLS VPN的部門包括杭州市公安局（192節點）、建設銀行（82節點）、醫保（185節點）、工商銀行（27節點）、工商管理局（55節點）、黨政專網（70節點）等。

　　目前，杭州網通已計劃實施城域內MPLS L2 VPN的方案，并提出了下一步與骨干網之間AS-AS MPLS VPN互聯方案。

案例3 企業MPLS VPN應用

　　隨著寬帶網絡的發展，企業級用戶這一新的寬帶客戶資源，將成為運營商爭奪最激烈的對象。寬帶商務時代，最重要的不是能為企業提供多快多好的寬帶，而在于怎樣用寬帶來提升企業競爭力，盡現寬帶快捷、方便的優勢。

　　1996年，實達集團建成專線接入模式網。隨著公司發展，業務規模擴大，合作伙伴、渠道和客戶越來越多，每天網絡傳輸的數據流量開始大大超過其承受能力，再加上費用以及寬帶應用需求等問題，專線接入模式已成為集團發展的重大障礙?！獙嵾_集團選擇MPLS VPN的初衷

　　2001年10月，實達集團決定與網通有限公司合作，建立MPLS VPN系統，為公司在北京、上海、廣州、福州等地11個辦公地點提供MPLS VPN接入服務。該方案包括本地接入、遠程接入及區域中心等典型接入方式，幫助實達實現內部網絡無縫連接，擁有快速、安全的網絡環境，并可進一步擴展外部網絡，方便與合作伙伴、供應商、關鍵客戶、移動辦公人員的網絡聯系，為成功進行互聯網應用建立一個可靠的環境。

實現的應用

　　第一，辦公系統。各地分公司均可以直接連接到實達集團福州總部內部網，上網環境與總部完全相同。

　　第二，內部語音系統。通過加設小網關，各地分公司均可通過MPLS VPN實現與總部的長途電話業務，實現內部語音通信，省去了大量長途電話的費用。

　　第三，視頻。未來可以實現的企業視頻應用包括遠程談判和電視會議系統等。

　　企業在構筑了自己的MPLS VPN網后，純IP的網絡構建技術使得企業可在內部專網上方便地實現數據、語音以及圖像等多媒體傳輸，真正實現內部信息交流的“三網合一”。

　　目前，網通有限公司還幫助重慶長豐、銀河證券，以及浦東發展銀行等多家單位，組建其基于MPLS VPN的多點、跨骨干的全國企業網絡。

記者點評：走出深閨

有一個問題不容忽視。

　　無論MPLS VPN技術怎樣多姿多彩，工程師們的討論多么熱烈，但是，用戶真的了解MPLS VPN嗎？最近，網通有限公司很多地方的銷售人員都遭遇了這個問題。

　　目前，往往是一些跨國企業在中國的分公司，它們會更加認可MPLS VPN。在北京、上海等這類企業比較集中的地方，MPLS VPN業務的市場都成倍地增加。另外的例子，就是在杭州這樣的城市，MPLS VPN也推廣得不錯，這跟網通有限公司在杭州多年的苦心經營也有關。

　　而且作為一項不斷發展的技術，MPLS VPN也還有一些誤解需要澄清。例如，民政部信息中心的一位主管人員就這樣說:“當時我們組建全國的網絡聯網時，我是非常鐘情于采用VPN的，但是進入實際的調研階段后卻碰了壁。曾經試用過VPN的朋友和企業對我說，VPN根本就不是我所了解的那種情況，它既不比專線省錢，也不比專線更穩定。沒有辦法，在經過充分的了解后，我們最終還是采用了專線接入的方式來建立我們和全國各地的網絡連接?！彼倪@段經歷發生在2000年的時候，現在情況已經發生了天翻地覆的變化。

　　現在，MPLS VPN是“熱”起來了，不過更多是熱在廠商、運營商以及技術專家們之間，MPLS VPN真實的狀況，更多還是處在技術的深閨中，它要走向市場，要真正地熱起來，得到大多數企業的認可和接受，還有太多的工作需要做。

摘自《計算機世界》

上一篇：細述MPLS VPN

下一篇：IP VPN:VPN的應用的新高度