基于MPLS VPN多業(yè)務(wù)校園網(wǎng)絡(luò)的設(shè)計與實現(xiàn)

呂元海，劉浩

（1.西安郵電大學(xué)信息中心，陜西西安710121；2.西安郵電大學(xué)陜西西安710061）

基于MPLS VPN多業(yè)務(wù)校園網(wǎng)絡(luò)的設(shè)計與實現(xiàn)

呂元海1，劉浩2

（1.西安郵電大學(xué)信息中心，陜西西安710121；2.西安郵電大學(xué)陜西西安710061）

針對高校普遍存在的跨地區(qū)分校區(qū)網(wǎng)絡(luò)之間存在的資源利用率低、專網(wǎng)建設(shè)成本高、擴展性差等問題，本文提出了一種基于MPLS VPN的多業(yè)務(wù)校園網(wǎng)絡(luò)設(shè)計方案，完成了多業(yè)務(wù)校園網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計、擴展性設(shè)計以及可行性測試，將多個專用網(wǎng)絡(luò)整合在同一物理網(wǎng)絡(luò)上。實際應(yīng)用表明，MPLS VPN多業(yè)務(wù)校園網(wǎng)絡(luò)的實現(xiàn)提高了網(wǎng)絡(luò)資源的有效利用，保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

MPLS；VPN；多校區(qū)；多業(yè)務(wù)網(wǎng)絡(luò)

隨著高校規(guī)模的擴大和信息化的發(fā)展，網(wǎng)絡(luò)業(yè)務(wù)的種類和規(guī)模都大幅增長，校園網(wǎng)應(yīng)用中也隨之出現(xiàn)了一些問題。如何將新增的校園業(yè)務(wù)融合到校園網(wǎng)中以及各專網(wǎng)之間如何更好地相互隔離相互融合成為急需解決的問題。隨著需求增加，一卡通、財務(wù)、語音、視頻等業(yè)務(wù)都要陸續(xù)上線，為了保證業(yè)務(wù)的可靠以及數(shù)據(jù)的安全，這些業(yè)務(wù)都要建立自己的專網(wǎng)。MPLS VPN技術(shù)可以有效解決如何在同一物理平臺上提供多種業(yè)務(wù)的傳輸問題［1］。MPLS VPN技術(shù)將服務(wù)質(zhì)量、流量控制及專用網(wǎng)的安全性靈活性結(jié)合在一起，可以有效的在一張物理網(wǎng)絡(luò)上進行多業(yè)務(wù)流量的整合［2］。

文中部署MPLS VPN、制定組網(wǎng)方案、測試可行性，在測試完成之后可以直接移植到一卡通網(wǎng)絡(luò)設(shè)備上，這樣有利于在保持原來網(wǎng)絡(luò)環(huán)境的情況下，進行網(wǎng)絡(luò)擴充以及多業(yè)務(wù)網(wǎng)絡(luò)的部署，有助于提高網(wǎng)絡(luò)利用率。

1　多業(yè)務(wù)網(wǎng)絡(luò)建設(shè)需求

隨著業(yè)務(wù)需求的增加，傳統(tǒng)的VPN技術(shù)已經(jīng)不能滿足校園網(wǎng)絡(luò)的需求，比如關(guān)鍵業(yè)務(wù)之間隔離互訪不方便，每增加一個業(yè)務(wù)都需要手動配置擴展性差等等。所以多校區(qū)的校園網(wǎng)建設(shè)需要使用一種迅速轉(zhuǎn)發(fā)而且成本不高的技術(shù)方案，該技術(shù)方案使得維護人員只需要維護一張網(wǎng)絡(luò)的核心區(qū)域就可以滿足多業(yè)務(wù)的需求，使得各業(yè)務(wù)網(wǎng)絡(luò)在邏輯上相互獨立，可以對網(wǎng)絡(luò)資源進行獨立分配。而MPLS VPN技術(shù)完全可以勝任這一任務(wù)。

MPLS VPN與傳統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)方式不同。傳統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)是通過查詢路由條目完成的［3-4］。MPLS VPN在向數(shù)據(jù)包中壓入標(biāo)簽之后，利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效地傳輸［5］。此外，MPLS VPN比較容易進行擴展［6］，大多數(shù)情況下只要在PE設(shè)備上進行簡單的設(shè)置，然后將CE設(shè)備直接連接到PE設(shè)備上即可，可應(yīng)用于多種網(wǎng)絡(luò)類型中。

MPLS VPN包含3種交換設(shè)備。P設(shè)備：通過交換標(biāo)簽完成數(shù)據(jù)的轉(zhuǎn)發(fā)，不和用戶設(shè)備直接連接；PE設(shè)備：MPLS區(qū)域中直接和用戶網(wǎng)絡(luò)設(shè)備連接的，可向用戶提供VPN服務(wù)，有多個VRF表［7］；CE設(shè)備：該設(shè)備直接與PE設(shè)備連接。

2　多業(yè)務(wù)網(wǎng)絡(luò)設(shè)計

以某高校為例，建設(shè)多業(yè)務(wù)網(wǎng)絡(luò)。某高校有兩個校區(qū)：新校區(qū)和老校區(qū)，新校區(qū)又分東區(qū)和西區(qū)。在該校園多業(yè)務(wù)網(wǎng)絡(luò)的設(shè)計規(guī)劃中，目前設(shè)計有4個不同的業(yè)務(wù)專網(wǎng)，它們分別是一卡通專網(wǎng)、財務(wù)專網(wǎng)、語音通信專網(wǎng)、視頻專網(wǎng)。

2.1網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

采用MPLS VPN技術(shù)，通過實施多業(yè)務(wù)網(wǎng)絡(luò)，使其能夠在一張物理網(wǎng)絡(luò)上提供多種業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)，使每一個邏輯上的專網(wǎng)相互獨立，可以隔離其他業(yè)務(wù)［8］；用戶可以根據(jù)自己的網(wǎng)絡(luò)狀況對專網(wǎng)實施靈活的管理策略；核心區(qū)域能夠?qū)Σ煌瑢＞W(wǎng)作有效屏蔽，各個業(yè)務(wù)網(wǎng)絡(luò)在邏輯上相互獨立，可以對網(wǎng)絡(luò)資源進行獨立分配而不會受到其他網(wǎng)絡(luò)的影響。所以在本次多業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，計劃實施4個不同的虛擬局域網(wǎng)絡(luò)。不同的虛擬局域網(wǎng)之間相互隔離，同一虛擬局域網(wǎng)中的設(shè)備通信不受影響。該校園多業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1　多業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)圖

整個核心層的設(shè)計類似一個三角；網(wǎng)絡(luò)接入層是基于建筑來劃分的，它負責(zé)對區(qū)域內(nèi)終端數(shù)據(jù)進行轉(zhuǎn)發(fā)，直接與核心層相連。西區(qū)的核心充當(dāng)網(wǎng)絡(luò)的主核心，分別和老校區(qū)以及東區(qū)的核心設(shè)備相連接。與核心相連接的都是網(wǎng)絡(luò)的接入層設(shè)備，接入層設(shè)備根據(jù)區(qū)域進行部署。

2.2MPLS VPN規(guī)劃設(shè)計

1）核心層路由器支持MPLS VPN特性，將其部署為PE。接入層網(wǎng)絡(luò)設(shè)備部署為CE。

2）PE上部署MP-BGP協(xié)議，創(chuàng)建某業(yè)務(wù)的VRF，完成對RD值的設(shè)定，以及設(shè)定RT導(dǎo)入導(dǎo)出策略。

3）將PE與CE關(guān)聯(lián)，運行路由選擇協(xié)議。

對于MPLS標(biāo)簽的結(jié)構(gòu)，最里層的標(biāo)簽用于區(qū)分不同的CE設(shè)備，數(shù)據(jù)在MPLS區(qū)域轉(zhuǎn)發(fā)使用外層的標(biāo)簽。對于內(nèi)層的標(biāo)簽分發(fā)采用BGP協(xié)議［9］。

2.3路由協(xié)議設(shè)計

采用MPLS VPN設(shè)計校園網(wǎng)多業(yè)務(wù)網(wǎng)絡(luò)，在路由協(xié)議方面主要分為3部分:MPLS骨干區(qū)域啟用動態(tài)路由協(xié)議OSPF和MP-BGP協(xié)議，PE與CE之間采用BGP協(xié)議，CE內(nèi)部網(wǎng)絡(luò)之間采用靜態(tài)路由協(xié)議。CE與PE之間通過BGP協(xié)議將用戶的路由信息傳送到PE［10］，PE上有對應(yīng)的虛擬路由表。PE之間采用MP-BGP協(xié)議傳送路由信息以及相應(yīng)的標(biāo)簽，RD和RT這兩個屬性值也由MP-BGP協(xié)議傳送［11］。在MPLS骨干區(qū)域中，若采用靜態(tài)路由方式，配置起來比較麻煩，也不好擴展，故采用動態(tài)路由方式，OSPF顯然是最好的選擇［12］。

2.4可擴展性設(shè)計

對多校區(qū)校園網(wǎng)絡(luò)進行了MPLS VPN設(shè)計規(guī)劃之后，網(wǎng)絡(luò)的擴展是很方便的。一般情況下，用戶一側(cè)的設(shè)備是不需要進行任何設(shè)置的，只需要在MPLS骨干區(qū)域的PE設(shè)備上進行相關(guān)設(shè)置便可以。比如現(xiàn)在需要添加一個財務(wù)的專網(wǎng)，需要在PE設(shè)備上進行的工作就是創(chuàng)建財務(wù)VPN的相關(guān)實例，然后再在接口綁定引用，而用戶只需要將自己的CE設(shè)備連接到某個特定的接口上，而不需要做任何多余的設(shè)置，就可以完成對財務(wù)專網(wǎng)的配置。在這樣的設(shè)計背景下，網(wǎng)絡(luò)的擴展是非常靈活的，從而減少管理難度，提高運營效率［13］。

3　基于MPLS VPN的多業(yè)務(wù)網(wǎng)絡(luò)構(gòu)建

3.1構(gòu)建MPLS VPN網(wǎng)絡(luò)

將3臺核心設(shè)備設(shè)置成MPLS的骨干區(qū)域，接入層的網(wǎng)絡(luò)設(shè)備充當(dāng)CE，部署MPLS VPN，測試方案的可行性。首先在路由交換設(shè)備上配置基本的接口信息，接下來在MPLS骨干區(qū)域啟用動態(tài)路由協(xié)議OSPF，標(biāo)簽的分發(fā)是通過BGP來實現(xiàn)的。

基礎(chǔ)網(wǎng)絡(luò)的構(gòu)建流程是先配置底層網(wǎng)絡(luò)，測試底層網(wǎng)絡(luò)連通性，然后開啟MPLS的相關(guān)服務(wù)，創(chuàng)建MPLS VPN實例，接口綁定MPLS VPN實例?；A(chǔ)網(wǎng)絡(luò)搭建完成之后，可以對網(wǎng)絡(luò)的連通性做出測試。

3.2開啟MPLS相關(guān)服務(wù)

構(gòu)建了MPLS VPN網(wǎng)絡(luò)之后，需要開啟MPLS上網(wǎng)的相關(guān)服務(wù)，只有開啟了這些服務(wù)，MPLS、標(biāo)簽分發(fā)協(xié)議的應(yīng)用才會被啟用。首先，使用mpls命令在全局下啟動MPLS功能進入MPLS視圖，執(zhí)行該命令之后，用戶會進入MPLS視圖。然后使用命令開啟相關(guān)服務(wù)。

3.3啟用VPN實例

在MPLS區(qū)域的路由交換設(shè)備上創(chuàng)建3個VPN的業(yè)務(wù)，它們分別是一卡通數(shù)據(jù)VPN，語音網(wǎng)絡(luò)VPN，視頻網(wǎng)絡(luò)VPN。在每一個PE設(shè)備上分別創(chuàng)建這3個VPN實例。注意:RD值不同，目的是為了區(qū)分不同的VPN實例。

比如創(chuàng)建一卡通VPN實例：先用vsi命令創(chuàng)建一個實例名稱為一卡通，然后使用bgp命令進入BGP視圖，利用vpntarget命令來配置當(dāng)前一卡通實例的VPN Target。

實行MPLS VPN之后，網(wǎng)絡(luò)的擴展非常方便，只需在PE上創(chuàng)建實例并綁定即可，比如臨時需要創(chuàng)建財務(wù)專網(wǎng)，就只需要在PE路由交換設(shè)備上進行VPN的創(chuàng)建即可。創(chuàng)建步驟如圖創(chuàng)建一卡通VPN實例的步驟一樣。

3.4接口綁定VPN實例

VPN實例創(chuàng)建完成之后并不能起到專網(wǎng)劃分的效果，那是因為沒有進行VPN實例的綁定。所以需要做的就是在特定接口綁定特定VPN實例，只有進行了綁定之后，VPN的效果才會產(chǎn)生。

4　多業(yè)務(wù)網(wǎng)絡(luò)的運行測試

4.1測試方案

網(wǎng)絡(luò)環(huán)境搭建完成之后要做的就是對系統(tǒng)的連通性以及相關(guān)功能做出測試。首先需要對基礎(chǔ)網(wǎng)絡(luò)的連通性進行測試，查看網(wǎng)絡(luò)中的路由學(xué)習(xí)情況以及網(wǎng)絡(luò)的連通性；接下來需要對MPLS進行驗證性測試，查看數(shù)據(jù)包的轉(zhuǎn)發(fā)是基于路由轉(zhuǎn)發(fā)還是標(biāo)簽轉(zhuǎn)發(fā)，分析數(shù)據(jù)包的轉(zhuǎn)發(fā)情況，弄清標(biāo)簽的轉(zhuǎn)發(fā)原理；最后進行MPLS VPN的相關(guān)測試，測試同一VPN中網(wǎng)絡(luò)設(shè)備的連通性以及不同VPN之間的通信隔離。

4.2基礎(chǔ)網(wǎng)絡(luò)測試

對基礎(chǔ)網(wǎng)絡(luò)的連通性進行測試，觀察網(wǎng)絡(luò)中的路由學(xué)習(xí)情況，路由學(xué)習(xí)表如圖2所示。

圖2　路由學(xué)習(xí)圖

通過路由查看可以看出MPLS骨干區(qū)域相互之間能夠進行路由學(xué)習(xí)，即不同的終端之間便可以進行通信。

4.3標(biāo)簽轉(zhuǎn)發(fā)驗證

在一臺終端設(shè)備上面對另外一端的設(shè)備進行連通性測試，然后查看數(shù)據(jù)包的轉(zhuǎn)發(fā)是通過路由轉(zhuǎn)發(fā)還是基于標(biāo)簽轉(zhuǎn)發(fā)。應(yīng)答包報文如圖3所示。

圖3　應(yīng)答包報文

從應(yīng)答包報文中我們可以看到數(shù)據(jù)包的轉(zhuǎn)發(fā)是基于標(biāo)簽轉(zhuǎn)發(fā)，我們可以看到只有一層標(biāo)簽，這里出現(xiàn)一層標(biāo)簽的原因是因為邊界路由交換設(shè)備為了節(jié)省標(biāo)簽的交換時間，最后一條路由交換設(shè)備在通告路由的時候會分配出標(biāo)簽值為3的標(biāo)簽，當(dāng)數(shù)據(jù)包返回的時候，當(dāng)看到值為3的出標(biāo)簽，便彈出最外層標(biāo)簽值，將數(shù)據(jù)包交給PE，再由PE直接查詢內(nèi)層標(biāo)簽，將數(shù)據(jù)包直接發(fā)送給用戶的CE設(shè)備［14］，這樣有助于提高數(shù)據(jù)包的轉(zhuǎn)發(fā)效率。

4.4MPLSVPN的測試

在進行MPLS VPN實施結(jié)果的測試時需要做的就是測試相同VPN之間連通性的測試以及不同VPN之間的隔離性測試。不同VPN隔離測試結(jié)果如圖4所示。

圖4　不同VPN隔離測試圖

可以看到不同VPN之間是不可以相互通信的，丟包率為百分之百。由于它們分屬不同的虛擬局域網(wǎng)，所以它們之間是不能通信的。下面測試在同一個網(wǎng)絡(luò)中，兩個網(wǎng)段是可以通信的，即同一個專網(wǎng)中可以相互通信，測試結(jié)果如圖5所示。

圖5　相同VPN連通測試圖

由此可以看出VPN的基本設(shè)置是成功的，能夠滿足預(yù)期的效果，即同一個VPN終端設(shè)備之間可以相互進行通信，不同VPN之間是不能進行相互通信。通過測試得出：由于不同專網(wǎng)相互隔離，數(shù)據(jù)傳遞的安全性得以提高；由于擴展性得以充分發(fā)揮，所以擴展多種業(yè)務(wù)成本降低［15］；由于此方案基于標(biāo)簽交換，數(shù)據(jù)效率大大提高，故此方案得到預(yù)期效果。

5　結(jié)束語

隨著信息化的不斷發(fā)展，怎樣高效率、低成本地維護骨干網(wǎng)絡(luò)將是以后校園網(wǎng)絡(luò)發(fā)展的趨勢所在。為達到智能校園的信息化需求，本文通過對MPLS VPN進行分析研究，對校園網(wǎng)各業(yè)務(wù)專網(wǎng)進行改良，設(shè)計了一種基于MPLS VPN技術(shù)的校園網(wǎng)多業(yè)務(wù)網(wǎng)絡(luò)方案，使其能夠在網(wǎng)絡(luò)擴展中承載多業(yè)務(wù)。結(jié)果表明該網(wǎng)絡(luò)方案可以保證服務(wù)質(zhì)量、提高傳輸效率、增強安全性。

［1］姚青.MPLS VPN在多業(yè)務(wù)專網(wǎng)中的應(yīng)用研究［D］.上海:上海交通大學(xué)，2010.

［2］Eric Osborne，Ajay Simha.基于MPLS的流量工程（張輝，盧煒）［M］.北京:人民郵電出版社，2012.

［3］Lue De Ghein.MPLS技術(shù)架構(gòu)（陳麒帆）［M］.北京:人民郵電出版社，2012.

［4］Jim Guichard，Ivan Pepelnjak.MPLS和VPN體系結(jié)構(gòu)（盧澤新，朱培棟，齊寧）［M］.北京:人民郵電出版社，2010:19-198.

［5］潘勝發(fā)，劉廣義，林孝康.MPLS路由技術(shù)［J］.計算機工程，2002，28（10）:159-161

［6］孫立飛.基于VPN技術(shù)的校園網(wǎng)研究［J］.信息通信，2014，（1）:103-104.

［7］李雷.基于MPLS VPN的校園網(wǎng)多業(yè)務(wù)系統(tǒng)運用［J］.中國教育信息化，2011（3）:19-21.

［8］聶亞南.基于MPLS的多業(yè)務(wù)承載研究［D］.北京:北京郵電大學(xué)，2008.

［9］任金秋，馬海龍，汪斌強.跨域BGP/MPLS VPN在高性能路由器中的實現(xiàn)［J］.計算機工程，2009，35（3）:126-129.

［10］侯劍鋒，馬明.MPLS VPN中PE-CE互連仿真研究［J］.計算機工程，2010，36（12）:123-125.

［11］劉俊斌，王勇.基于MPLS VPN技術(shù)多校區(qū)校園網(wǎng)應(yīng)用研究［J］.價值工程，2014（3）:188.

［12］Thomas M.Thomas II.OSPF網(wǎng)絡(luò)設(shè)計解決方案（羅洋）［M］.北京:人民郵電出版社，2013:157-429.

［13］符冰.MPLS VPN技術(shù)在校園網(wǎng)的研究和實現(xiàn)［D］.上海:上海交通大學(xué)，2013.

［14］劉盛.基于MPLS的VPN技術(shù)在數(shù)字化校園中的運用與研究［D］.鄭州:河南理工大學(xué)，2010.

［15］涂中群.基于MPLS VPN實現(xiàn)圖書館多校區(qū)網(wǎng)絡(luò)融合［J］.圖書情報工作，2011，55（5）:51-55.

Design and implementation of multiple business campus network based on MPLS VPN

LV Yuan-hai1，LIU Hao2
（1.Xi'an University of Posts and Telecommunications Information Center，Xi'an 710121，China；2.Xi'an University of Posts and Telecommunications，Xi'an 710061，China）

Aiming at some problems between the different areas of campus network，F(xiàn)or example，the low utilization rate of resources，the network construction of high cost and poor expansibility.This paper proposes a multiple business campus network design scheme based on MPLS VPN.This paper also completed the structural design，expansion design and feasibility testing of multiple business campus network.Many of the private network can be integration in the same physical network.The practical application shows that the implementation of MPLS VPN multiple business network improves the effective use of cyber source and ensures the security of data transmission.

MPLS；VPN；multi-campus；multiple business network

TN929.1

A

1674－6236（2016）12-0111-04

2016-02-25稿件編號：201602142

工業(yè)和信息化部軟科學(xué)研究項目（2014-R-31）

呂元海（1980—），男，陜西西安人，碩士，工程師。研究方向：教學(xué)信息化、網(wǎng)絡(luò)安全。