MPLS VPN技術(shù)在校園網(wǎng)中規(guī)范化部署研究

肖永欽，王怡，陳嵩

（福建師范大學(xué)現(xiàn)代教育技術(shù)中心，福建福州350117）

MPLS VPN技術(shù)在校園網(wǎng)中規(guī)范化部署研究

肖永欽，王怡，陳嵩

（福建師范大學(xué)現(xiàn)代教育技術(shù)中心，福建福州350117）

結(jié)合高校對(duì)網(wǎng)絡(luò)的需求，提出了MPLS VPN技術(shù)在高校校園網(wǎng)中部署規(guī)范設(shè)計(jì)和實(shí)施。通過(guò)功能區(qū)的劃分、路由協(xié)議的設(shè)計(jì)及網(wǎng)絡(luò)參數(shù)設(shè)計(jì)等方面進(jìn)行詳細(xì)分析MPLS VPN技術(shù)在校園網(wǎng)中規(guī)劃、設(shè)計(jì)和部署，從而實(shí)現(xiàn)一網(wǎng)共用，資源共享，實(shí)現(xiàn)多業(yè)務(wù)統(tǒng)一部署。本文的研究的成果有助于規(guī)范化部署基于MPLS VPN校園網(wǎng)，為校園網(wǎng)中大規(guī)模部署MPLS VPN提供理論與實(shí)踐指導(dǎo)，同時(shí)提高網(wǎng)絡(luò)故障排查的速度，最大限度保障虛擬專(zhuān)用網(wǎng)的可用性、有效管理性和安全可靠運(yùn)行的要求，從而節(jié)省了投資。

MPLS VPN；LDP；BGP；校園網(wǎng)；規(guī)范化

隨著國(guó)家提倡集約型社會(huì)，提倡節(jié)約資源，那么是否有一種技術(shù)能夠?qū)崿F(xiàn)在一張物理網(wǎng)絡(luò)上承載多張邏輯網(wǎng)呢？答案是肯定的，我們可以通過(guò)MPLS VPN[1]虛擬技術(shù)實(shí)現(xiàn)在一張校園網(wǎng)上承載多個(gè)專(zhuān)網(wǎng)，滿(mǎn)足學(xué)校教學(xué)、辦公、平安校園的需求。MPLS VPN是指采用MPLS（多協(xié)議標(biāo)記轉(zhuǎn)換）技術(shù)在IP網(wǎng)絡(luò)上構(gòu)建虛擬專(zhuān)用IP專(zhuān)網(wǎng)，實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專(zhuān)用網(wǎng)的安全、靈活、高效結(jié)合在一起。目前大家討論比較多是MPLS VPN技術(shù)或某個(gè)具體案例，還比較少?gòu)膶W(xué)校實(shí)際需求層面來(lái)談MPLS VPN技術(shù)的規(guī)范化部署。本文將以高校的實(shí)際需求出發(fā)，探討在校園網(wǎng)中進(jìn)行規(guī)范化部署MPLS VPN技術(shù)。

1 數(shù)字化校園對(duì)網(wǎng)絡(luò)需求

數(shù)字化校園業(yè)務(wù)對(duì)校園網(wǎng)絡(luò)需求從大的方面來(lái)看，主要有如下八大類(lèi)組成，具體如下。

1)教學(xué)與科研專(zhuān)網(wǎng)

在教學(xué)應(yīng)用這塊，主要包括在線(xiàn)視頻授課、教學(xué)錄像及課件的在線(xiàn)瀏覽和下載、學(xué)生和老師通過(guò)網(wǎng)絡(luò)互動(dòng)、遠(yuǎn)程答辯以及傳統(tǒng)的學(xué)習(xí)信息查詢(xún)等。在科研這塊，主要包括課題報(bào)送與驗(yàn)收、遠(yuǎn)程網(wǎng)上協(xié)同工作、科研資源的共享、網(wǎng)格計(jì)算等。

2)辦公網(wǎng)

辦公自動(dòng)化OA系統(tǒng)和各部門(mén)的管理系統(tǒng)的基礎(chǔ)上建立統(tǒng)一的學(xué)校管理平臺(tái)和信息平臺(tái)。VOIP、視頻會(huì)議系統(tǒng)和網(wǎng)絡(luò)電視、網(wǎng)上直播系統(tǒng)等在學(xué)校內(nèi)可以更好的、更便捷的進(jìn)行溝通和信息交流。

3)視頻監(jiān)控專(zhuān)網(wǎng)

為了加強(qiáng)人身和財(cái)產(chǎn)安全，需要建立專(zhuān)項(xiàng)視頻監(jiān)控網(wǎng)，保障學(xué)校廣大師生安全。

4)招生專(zhuān)網(wǎng)

為了保障招生網(wǎng)絡(luò)信息系統(tǒng)的安全，通過(guò)專(zhuān)網(wǎng)與互聯(lián)網(wǎng)隔離。

5)院系、部處專(zhuān)網(wǎng)

為了保障各個(gè)院系、部處專(zhuān)網(wǎng)的安全，使其只能內(nèi)部互訪(fǎng)而與其他部門(mén)隔離。

6)實(shí)驗(yàn)專(zhuān)網(wǎng)

為了保障各個(gè)學(xué)院實(shí)驗(yàn)設(shè)備的安全，通過(guò)專(zhuān)網(wǎng)與互聯(lián)網(wǎng)隔離。

7)托管服務(wù)器

每個(gè)院系、部處的內(nèi)部應(yīng)用服務(wù)器，不需要上互聯(lián)網(wǎng)，供每個(gè)院系、部處自己內(nèi)部訪(fǎng)問(wèn)和一部分師生訪(fǎng)問(wèn)。

8)網(wǎng)站發(fā)布服務(wù)器

所有院系、部處的對(duì)公網(wǎng)發(fā)布的服務(wù)器，主要網(wǎng)站進(jìn)行發(fā)布。

綜上所述，我們建設(shè)的目的是能夠通過(guò)構(gòu)建一個(gè)統(tǒng)一、高效、可靠、安全的信息化平臺(tái)，有效實(shí)現(xiàn)校園網(wǎng)各個(gè)院系、部處縱向?qū)＞W(wǎng)隔離、橫向授權(quán)訪(fǎng)問(wèn)和校園資源共享，形成統(tǒng)一的校園網(wǎng)絡(luò)和資源共享平臺(tái)。

2 校園環(huán)境下MPLS VPN網(wǎng)絡(luò)部署思路

2.1 MPLS VPN網(wǎng)絡(luò)架構(gòu)總體設(shè)計(jì)

根據(jù)數(shù)字化校園業(yè)務(wù)對(duì)校園網(wǎng)絡(luò)需求，我們將以高校網(wǎng)絡(luò)實(shí)際需求為出發(fā)點(diǎn)，設(shè)計(jì)MPLS VPN網(wǎng)絡(luò)拓?fù)?，詳?jiàn)圖1。

圖1 校園網(wǎng)MPLS VPN網(wǎng)絡(luò)拓?fù)鋱DFigure 1 Campus network MPLS VPN network topology

高校的所有院系、部處的接入單位統(tǒng)一接入進(jìn)校園網(wǎng)中，通過(guò)MPLS/VPN技術(shù)實(shí)現(xiàn)統(tǒng)一出口、統(tǒng)一管理、業(yè)務(wù)隔離等業(yè)務(wù)功能需求。為了實(shí)現(xiàn)業(yè)務(wù)隔離，在校園網(wǎng)絡(luò)中劃分出四個(gè)功能區(qū)，每個(gè)功能區(qū)實(shí)現(xiàn)不同的業(yè)務(wù)需求。在中心端也存在相應(yīng)的服務(wù)器功能區(qū)。每個(gè)接入單位可選4個(gè)功能區(qū)，各功能區(qū)介紹如下所示：

1)互聯(lián)網(wǎng)區(qū)

它包括校園辦公網(wǎng)，各接入院系、部處的互聯(lián)網(wǎng)區(qū)是唯一具有Internet訪(fǎng)問(wèn)權(quán)限的區(qū)域，由校園網(wǎng)平臺(tái)統(tǒng)一實(shí)現(xiàn)Interne的高速訪(fǎng)問(wèn)和安全控制；該功能區(qū)同時(shí)可以訪(fǎng)問(wèn)數(shù)據(jù)中心的互聯(lián)共享區(qū)。

2)內(nèi)聯(lián)網(wǎng)區(qū)

它包括招生專(zhuān)網(wǎng)、視頻監(jiān)控專(zhuān)網(wǎng)、實(shí)驗(yàn)專(zhuān)網(wǎng)和院系、部處內(nèi)部專(zhuān)網(wǎng)，內(nèi)聯(lián)網(wǎng)區(qū)即縱向訪(fǎng)問(wèn)區(qū)，同一院系、部處的各接入單位內(nèi)聯(lián)網(wǎng)區(qū)及其托管服務(wù)器區(qū)處于一個(gè)VPN中，實(shí)現(xiàn)各接入單位的互聯(lián)互通，并與其他接入單位安全隔離。

3)互訪(fǎng)區(qū)

它包括教學(xué)科研專(zhuān)網(wǎng)，互訪(fǎng)區(qū)即橫向訪(fǎng)問(wèn)區(qū)，按照不同學(xué)院、部處間特殊應(yīng)用的互訪(fǎng)要求，可通過(guò)互訪(fǎng)區(qū)實(shí)現(xiàn)不同接入單位的橫向受控訪(fǎng)問(wèn)。

4)共享區(qū)

各接入單位的共享區(qū)是唯一具有信息中心共享服務(wù)器訪(fǎng)問(wèn)權(quán)限的區(qū)域。

上述四個(gè)功能區(qū)為每個(gè)接入單位可選配置的四個(gè)功能區(qū)，除此之外數(shù)據(jù)中心劃分如下服務(wù)器區(qū)：

5)公眾服務(wù)器區(qū)

所有院系、部處的對(duì)公網(wǎng)發(fā)布的服務(wù)器都放置在該區(qū)域中，由網(wǎng)站管理中心統(tǒng)一管理。

6)托管服務(wù)器區(qū)

每個(gè)院系、部處的內(nèi)部服務(wù)器（只能被該屬于該接入單位的內(nèi)聯(lián)區(qū)訪(fǎng)問(wèn)）都放置在該區(qū)域中，由網(wǎng)站管理中心統(tǒng)一管理。

7)共享服務(wù)器區(qū)

所有學(xué)院、部處的接入單位的共享區(qū)都可以訪(fǎng)問(wèn)共享服務(wù)器區(qū)內(nèi)的服務(wù)器，主要是一些內(nèi)網(wǎng)資源。

8)互聯(lián)共享區(qū)

該功能區(qū)對(duì)接入單位互聯(lián)網(wǎng)區(qū)用戶(hù)開(kāi)放。

2.2 路由協(xié)議規(guī)劃設(shè)計(jì)

核心P[1]（Provider）設(shè)備與匯聚PE[1]（Provider Edge）設(shè)備之間運(yùn)行OSPF、LDP[2]、MP-BGP等協(xié)議，構(gòu)成基于MPLS體系[3]的VPN骨干網(wǎng)絡(luò)，所有接入單位下的用戶(hù)數(shù)據(jù)在校園網(wǎng)中以標(biāo)簽包的形式進(jìn)行傳輸。

匯聚PE設(shè)備同接入CE（customer edge）設(shè)備之間運(yùn)行靜態(tài)路由，PE設(shè)備上為每個(gè)接入單位的四個(gè)功能區(qū)創(chuàng)建相應(yīng)的VRF[4]（virtual routing forwarding），將VRF下的靜態(tài)路由重發(fā)布進(jìn)MP-BGP并通告進(jìn)MPLS/VPN骨干網(wǎng)絡(luò)。

CE設(shè)備上運(yùn)行策略路由，將不同接入單位的不同功能區(qū)的數(shù)據(jù)向上轉(zhuǎn)發(fā)進(jìn)PE設(shè)備上相對(duì)應(yīng)的VRF接口中。

2.2.1 骨干IGP設(shè)計(jì)

OSPF協(xié)議作為核心IGP[5]（interior gateway protocol）協(xié)議在項(xiàng)目中應(yīng)用較為簡(jiǎn)單，僅僅是用來(lái)保證BGP[5]、LDP（label distribution protocol）的鄰居關(guān)系建立，承載BGP會(huì)話(huà)、LDP會(huì)話(huà)以及發(fā)布CE設(shè)備管理網(wǎng)段路由。

OSPF協(xié)議的最主要的作用就是保證所有P/PE設(shè)備的Loopback地址能夠通告出去并通過(guò)OSPF路由可達(dá)。為了加快OSPF鄰接關(guān)系的形成，將骨干網(wǎng)絡(luò)中接口的OSPF網(wǎng)絡(luò)類(lèi)型統(tǒng)一修改為pointto-topoint。通過(guò)修改接口的OSPF Cost參數(shù)以影響OSPF選路。

2.2.2 MP-BGP設(shè)計(jì)

BGP對(duì)等關(guān)系設(shè)計(jì)，如果匯聚PE設(shè)備是單鏈路上聯(lián)，則只與自己上聯(lián)的核心P設(shè)備建立IBGP對(duì)等關(guān)系，如果匯聚PE設(shè)備是雙鏈路上聯(lián)（包括連接到其他匯聚PE設(shè)備），則與兩個(gè)核心P設(shè)備都建立IBGP對(duì)等關(guān)系。所有的MP-IBGP對(duì)等體均采用Loopback地址做為更新源（update-source）。

2.2.3 路由反射器設(shè)計(jì)（RR）

圖2 路由反射器設(shè)計(jì)Figure 2 Routing reflector design

兩臺(tái)核心P設(shè)備上需要將其做連接的匯聚PE指為反射器的客戶(hù)端，同時(shí)兩臺(tái)核心P設(shè)備之間也必須互指為各自的客戶(hù)端。

2.2.4 PE-CE路由協(xié)議設(shè)計(jì)

PE設(shè)備和CE設(shè)備間的互聯(lián)方式如圖3所示。

圖3 PE-CE互聯(lián)邏輯圖Figure 3 The logic diagram of PE-CE interconnected

在PE設(shè)備上為每個(gè)接入單位的4個(gè)功能區(qū)創(chuàng)建4個(gè)互聯(lián)SVI，并且這4個(gè)用于互聯(lián)的SVI，分別關(guān)聯(lián)進(jìn)不同的VRF，然后在這4個(gè)VRF下分別配置該接入單位的各個(gè)功能區(qū)的靜態(tài)回指路由，如圖4所示：

2.2.5 互聯(lián)網(wǎng)和共享區(qū)路由設(shè)計(jì)

在核心交換機(jī)上做連接的互聯(lián)網(wǎng)和共享區(qū)，供接入單位互聯(lián)網(wǎng)區(qū)內(nèi)的用戶(hù)既可以訪(fǎng)問(wèn)互聯(lián)網(wǎng)也能夠訪(fǎng)問(wèn)互聯(lián)共享區(qū)內(nèi)的服務(wù)器資源，這就要求接入單位互聯(lián)區(qū)的VRF既能學(xué)習(xí)到訪(fǎng)問(wèn)互聯(lián)網(wǎng)的默認(rèn)路由，也能學(xué)習(xí)到互聯(lián)共享區(qū)的明細(xì)路由，但是共享區(qū)內(nèi)的服務(wù)器是不容許訪(fǎng)問(wèn)Internet。

MPLS/VPN網(wǎng)絡(luò)中路由的學(xué)習(xí)與發(fā)布是通過(guò)對(duì)VRF的Export RT[6]、Import RT進(jìn)行配置來(lái)實(shí)現(xiàn)的，即需要對(duì)接入單位的互聯(lián)網(wǎng)區(qū)VRF的RT值、核心交換機(jī)上出口VRF的RT值以及核心交換機(jī)上連接互聯(lián)共享區(qū)VRF的RT值進(jìn)行配置，以實(shí)現(xiàn)上述需求。

2.3 網(wǎng)絡(luò)參數(shù)設(shè)計(jì)

2.3.1 設(shè)備管理地址設(shè)計(jì)

核心P、匯聚PE設(shè)備采用Loopback0地址作為管理地址。

接入CE設(shè)備及CEX設(shè)備的管理IP地址采用172.31.xxx.nnn/24，其中xxx為匯聚PE設(shè)備的Loopback0地址的最后一個(gè)字節(jié)數(shù)100-131，nnn為CE設(shè)備的編號(hào)。

CE設(shè)備及CEX設(shè)備的管理VLAN采用VLAN9，網(wǎng)關(guān)地址為172.31.xxx.254,該地址在其所連接的PE設(shè)備上，如圖5所示：

圖5 CE設(shè)備管理IP地址設(shè)計(jì)Figure 5 The design of management IP address on the CE equipment

說(shuō)明：CE設(shè)備管理網(wǎng)段不屬于任何VRF，通過(guò)OSPF通告進(jìn)骨干網(wǎng)絡(luò)，屬于骨干網(wǎng)絡(luò)路由表的一部分。

2.3.2 功能區(qū)編號(hào)設(shè)計(jì)

互聯(lián)網(wǎng)區(qū)：1；內(nèi)聯(lián)網(wǎng)區(qū)：2；互訪(fǎng)區(qū)：3；共享區(qū)：4。

2.3.3 校區(qū)編號(hào)設(shè)計(jì)

針對(duì)目前大部分高校都有1至多個(gè)校區(qū)，如果在不同地市內(nèi)，就按電話(huà)區(qū)號(hào)來(lái)命名，比如福州市的電話(huà)區(qū)號(hào)為0591，廈門(mén)市的電話(huà)區(qū)號(hào)為0592；如果在同一地市內(nèi)有多個(gè)校區(qū)，就按電話(huà)區(qū)號(hào)+附加碼，附加碼取值范圍為100～110。

2.3.4 接入單位編號(hào)設(shè)計(jì)

IP地址通常用“點(diǎn)分十進(jìn)制”表示成（A.B.C.D）的形式，接入單位編號(hào)可取接入單位IP網(wǎng)段的“C”作為編號(hào)，比如：接入單位IP地址段為10.106.102.0/24，那么接入單位編號(hào)取102，以此類(lèi)推。

2.3.5 PE編號(hào)設(shè)計(jì)

PE設(shè)備一般是一個(gè)樓群的匯聚設(shè)備，PE設(shè)備的編號(hào)取值范圍為00～30，如果不夠擴(kuò)充PE，新增PE的編號(hào)將從31開(kāi)始向后取。

2.3.6 接入單位命名設(shè)計(jì)

接入單位命名采用“校區(qū)編號(hào)_PE編號(hào)_接入單位編號(hào)”的方式。

2.3.7 VRF命名設(shè)計(jì)

需要在PE上面為每一個(gè)接入單位的每一個(gè)功能區(qū)創(chuàng)建一個(gè)VRF，VRF的命名規(guī)則采用“接入單位命名_功能區(qū)編號(hào)”方式。

2.3.8 設(shè)備命名設(shè)計(jì)

為便于日后運(yùn)維，所有物理設(shè)備都應(yīng)該有統(tǒng)一明確定義的命名規(guī)范，建議設(shè)備的命名應(yīng)有如下信息組成：

物理位置+設(shè)備層次+設(shè)備管理IP地址+對(duì)端設(shè)備端口號(hào)，其中物理位置取其簡(jiǎn)稱(chēng)，比如：理工樓群，對(duì)應(yīng)的編碼為lglq；設(shè)備層次取值為“P、PE、CE”。

2.3.9 各接入單位功能區(qū)IP地址及VLAN設(shè)計(jì)

為各院系、部處在每個(gè)接入單位分配的IP地址，從10.0.0.0/8這個(gè)地址段中選取，分配原則如下所示接入單位地址采用“校區(qū)編號(hào)+功能區(qū)編號(hào)+院系編號(hào)”的分配方式，通過(guò)IP地址可以直觀(guān)并唯一的確定接入用戶(hù)的歸屬，該方式是將10.0.0.0/8這個(gè)地址空間的第2個(gè)字節(jié)進(jìn)行拆分，前5個(gè)比特PE編號(hào)，后3個(gè)比特標(biāo)識(shí)功能區(qū)編號(hào)，第三個(gè)字節(jié)標(biāo)識(shí)接入單位編號(hào)，如圖6所示。

圖6 接入單位IP地址分配方法Figure 6 Access units IP address assignment method

考慮到互聯(lián)網(wǎng)區(qū)內(nèi)的用戶(hù)數(shù)量較多，為互聯(lián)網(wǎng)區(qū)分配兩個(gè)地址段，將第二個(gè)字節(jié)的后3bits為全0的IP地址也分配給了互聯(lián)網(wǎng)區(qū)作為預(yù)留。

VLAN號(hào)的分配方法采用“接入單位編號(hào)+功能區(qū)編號(hào)”方法進(jìn)行定義。

2.3.10 Route Distinguisher設(shè)計(jì)

各接入單位的各功能區(qū)VRF的RD[7-8]的設(shè)計(jì)規(guī)則采用：“65500：1+PE編號(hào)+接入單位編號(hào)+功能區(qū)編號(hào)”這樣的格式，如圖7所示。

圖7 接入單位功能區(qū)VRF RD分配方法Figure 7 Access units function type VRF RD allocation methods

數(shù)據(jù)中心PE上的各服務(wù)器區(qū)及Internet接入?yún)^(qū)的VRF的RD設(shè)計(jì)如下：

Internet接入?yún)^(qū)：65500：10000

服務(wù)器托管區(qū)：65500：2+接入單位編號(hào)+2

共享服務(wù)器區(qū)：65500：30000

2.3.11 Route Target設(shè)計(jì)

接入單位各功能區(qū)VRF以及數(shù)據(jù)中心的服務(wù)器區(qū)VRF的Route Target[9-10]設(shè)計(jì)規(guī)則如下：

1)接入單位互聯(lián)網(wǎng)區(qū)VRF RT設(shè)計(jì)

Export Route Target：65500:10001

Import Route Target：65500:10000

在數(shù)據(jù)中心P上連接Internet的互聯(lián)網(wǎng)接入?yún)^(qū)VRF的Route Target如下：

Export Route Target：65500:10000

Import Route Target：65500:10001

根據(jù)如上的設(shè)計(jì)規(guī)則，各接入單位的互聯(lián)網(wǎng)區(qū)VRF之間無(wú)法學(xué)習(xí)到互相的路由，各接入單位的互聯(lián)網(wǎng)區(qū)VRF能夠?qū)W習(xí)到Internet互聯(lián)網(wǎng)接入?yún)^(qū)VRF的默認(rèn)路由，Internet互聯(lián)網(wǎng)接入?yún)^(qū)VRF也能夠?qū)W習(xí)到各接入單位的互聯(lián)網(wǎng)區(qū)VRF路由，從而實(shí)現(xiàn)了各接入單位的互聯(lián)網(wǎng)區(qū)可以訪(fǎng)問(wèn)Internet，但相互之間無(wú)法訪(fǎng)問(wèn)。

2)接入單位內(nèi)聯(lián)網(wǎng)區(qū)VRF RT設(shè)計(jì)

Export Route Target：65500:2+接入單位編號(hào)+2

Import Route Target：65500:2+接入單位編號(hào)+2

數(shù)據(jù)中心PE的托管服務(wù)器區(qū)VRF的Route Target如下：

Export Route Target：65500:2+接入單位編號(hào)+2

按照如上規(guī)則，處于不同PE下的同一院系、部處的接入單位的內(nèi)聯(lián)網(wǎng)區(qū)VRF以及該院系、部處放在數(shù)據(jù)中心托管區(qū)的服務(wù)器所處的VRF就可以相互學(xué)習(xí)路由，從而實(shí)現(xiàn)同一院系、部處以及該院系、部處的托管服務(wù)器間的縱向訪(fǎng)問(wèn)。

3)接入單位互訪(fǎng)區(qū)VRF RT設(shè)計(jì)

Export Route Target：等于該功能區(qū)VRF所對(duì)應(yīng)的RD值

Import Route Target：根據(jù)實(shí)際需求進(jìn)行配置

根據(jù)如上規(guī)則，當(dāng)兩個(gè)不同接入單位之間需要互相訪(fǎng)問(wèn)時(shí)，只需要互相導(dǎo)入對(duì)方互訪(fǎng)區(qū)VRF的Export Route Target即可，從而實(shí)現(xiàn)不同接入單位的橫向互訪(fǎng)。

4)接入單位共享區(qū)VRF RT設(shè)計(jì)

Export Route Target：65500：30001

Import Route Target：65500：30000

數(shù)據(jù)中心PE上的共享服務(wù)器區(qū)的VRF的Router Target如下：

Export Route Target：65500：30000

Import Route Target：65500：30001

同互聯(lián)網(wǎng)區(qū)的VRF的RT規(guī)則相同，從而實(shí)現(xiàn)各接入單位的共享區(qū)VRF之間不能互相訪(fǎng)問(wèn)，只能訪(fǎng)問(wèn)數(shù)據(jù)中心PE上的共享服務(wù)器區(qū)VRF。

3 結(jié)束語(yǔ)

主要針對(duì)高校對(duì)網(wǎng)絡(luò)需求，引入了MPLS VPN技術(shù)，基于理論與實(shí)踐基礎(chǔ)上，提出了MPLS VPN技術(shù)在校園網(wǎng)中規(guī)范化部署設(shè)計(jì)思路和實(shí)現(xiàn)機(jī)理，為MPLS VPN在校園網(wǎng)中大規(guī)模部署提供理論與實(shí)踐指導(dǎo)。

[1]Rosen E，Rekhter Y.BGP/MPLS IP Virtual Private Networks (VPNs)[M].IETF RFC4364,2006.

[2]閆勇.MPLS技術(shù)研究及其應(yīng)用.同煤科技,2010(4):16-19.

[3]Jim G，Ivan P.MPLS和VPN體系結(jié)構(gòu)（修訂版）[M].田果,劉丹寧,沈錚，譯.北京:人民郵電出版社,2015.

[4]Ivan P,Jim G.MPLS and VPN architectures[M].Indianapolis:Cisco Press,2012.

[5]Zaheer A,Liu J,Abe M,et al.Troubleshooting IP routing protocols[M].Indianapolis:Cisco Press,2002.

[6]裴郁.MPLS VPN組網(wǎng)研究與實(shí)現(xiàn)[D].上海:復(fù)旦大學(xué),2007.

[7]尹光成.IP路由技術(shù)詳解與配置實(shí)踐[M].北京：清華大學(xué)出版社,2012:98-102.

[8]王達(dá).虛擬專(zhuān)用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社,2009.

[9]符冰.MPLS VPN技術(shù)在校園網(wǎng)的研究和實(shí)現(xiàn)[D].上海:上海交通大學(xué)，2011.

[10]Jim G,Francois L F,Jean-Philippe V.MPLS網(wǎng)絡(luò)設(shè)計(jì)權(quán)威指南[M].陳武,譯.北京:人民郵電出版社,2007.

（責(zé)任編輯：葉麗娜）

MPLS VPN Technology Normalization Research Deployed in Campus Network

XIAO Yongqin,WANG Yi,CHEN Song
(Modern Education Technology Center，F(xiàn)ujian Normal University，F(xiàn)uzhou,Fujian 350117)

In this pater,the MPLS VPN technology is applied in the college campus network deployment specification design and implementation,according to the demand of the colleges network.We make a detailed analysis of the division of functions,the design of routing protocols and network parameter design for deployment of the MPLS VPN technology in campus network,so as to realize the network sharing,the resource sharing and the unified plan of the business.The results of research will be helpful to the normalization of deploying MPLS VPN in campus network,campus network in large-scale deployment of MPLS VPN to provide theoretical and practical guidance,while improving network troubleshooting speed,maximize the protection of a virtual private network availability,effective management and requirements for safe and reliable operation,thus saving investment.

MPLS VPN;LDP;BGP;campus network;normalization

TP393.1

A文章標(biāo)號(hào)：1674-2109（2016）12-0053-06

2016-05-27

肖永欽（1975-），男，漢族，工程師，主要從事網(wǎng)規(guī)、網(wǎng)絡(luò)信息安全的研究。