《VPN技术在吉林省DCN网络改造中的设计与实现3500字.docx》由会员分享,可在线阅读,更多相关《VPN技术在吉林省DCN网络改造中的设计与实现3500字.docx(4页珍藏版)》请在三一文库上搜索。
1、BGP MPLS/VPN技术在吉林省DCN网络改造中的设计与实现3500字 摘要:通过分析MPLS VPN的技术优势,可以看出MPLS VPN在技术成熟度、部署方便、扩展性、兼容性等方面都满足DCN网的组网需求,MPLS VPN是针对我们的实际需求的一种最佳解决方案。 关键词:MPLS VPN 路由器一、MPLS VPN 技术优势MPLS VPN 技术优势:(1)安全性高:采用MPLS 作为通道机制实现透明报文传输,MPLS 的标签交换路径(LSP)具有与FR 和ATMVCC 相类似的安全性;另外,由于CNCnet 的MPLS 实现对用户透明,用户还可以采用它已有的手段,如设置防火墙,采用数据
2、安全加密等方法,进一步提高安全性。(2)强大的扩展性:包括两点,网络中可以容纳的VPN 数目很大;同一VPN 中的用户很容易扩充。(3)业务的融合:提供了数据、语音和视频相融合的能力。(4)灵活的控制策略:可以制定特殊的控制策略,满足不同用户的特殊要求,实现增值服务。(5)强大的管理功能:采用集中管理的方式,业务配置与调度统一平台。减轻了用户的负担。(6)服务级别协议:目前有差别服务、流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证和更高的服务质量保证。(7)为用户节省费用:线路费:价格比租用专线节约。设备费:用户只须配备CE设备,不需要专门的VPN 网关。融合业务:通过融合语音数
3、据业务来节约费用。管理费用:用户不必进行专门管理维护。人员费用:不必要雇用大量的专业技术人员。二、组网需求分析在吉林省DCN 组网过程中,我们参考了目前几种成熟的组网方案,经过各方面的对比,最终选择了MPLS VPN 的方式来组网。以下是三种不同的VPN 组网方式,IPSEC VPN 需要在用户端安装客户端软件,当用户的VPN 策略稍微有所改变时,运行和长期维护两个方面都需要有大量的IT支持,这种模型不太适合在省企业网内部大范围部署;SSLVPN 比较适合用于移动用户的远程接入,SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网。SSL VPN
4、是一种基于应用层的VPN,它避开了部署及管理必要客户软件的复杂性各项需求,在Web 的易用性和安全性方面架起了一座桥梁。但对于一个企业来说不仅提供基于Web 的应用,也同时提供大量不基于Web 的应用,如OA、财务、ERP等应用。在现阶段,SSL VPN 只能访问基于Web 的应用,所以这种模型也不适合在DCN 内部署;MPLS VPN 在技术成熟度、部署方便,扩展性、兼容性等方面都满足DCN网的组网需求,它是针对我们的实际需求的一种最佳解决方案。三、MPLS/VPN应用分析虚拟专用网(VPN)为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的
5、隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。1.MPLS 网络结构MPLS 网络的基本构成单元是标签交换路由器LSR(Lable Switch Router)。由LSR 构成的网络叫做MPLS 域,位于区域边缘和其他用户网络相连的LSR 称为边缘标签交换路由器(LER,Labeled Edge Router),位于区域内部的LSR 则称为核心标签交换路由器。核心LSR 可以是支持MPLS 的路由器,也可以是由ATM 交换机等升级而成的ATM-LSR。被标签的分组沿着由一系列LSR 构成的
6、标签交换路径LSP(Label Switched Path)传送,其中入口LSR 叫Ingress,出口LSR 叫Egress。2.基于MP-iBGP 协议的MPLS VPN 的实现BGP MPLS VPN,主要实现原理是使用BGP 在运营商骨干网发布VPN 路由信息,用MPLS 来转发VPN 业务流。RFC2547 定义了允许服务提供商利用其IP 骨干网络为用户提供VPN 服务的一种机制。PE1 路由器根据数据报文到达的接口,以及目的地址信息在查找相应VPN-instance 转发表,匹配后将报文转发出去,同时打上两个标签1001、22,其中22 为外层标签,1001 为内层标签。报文通过M
7、PLS网络传送到PE2 中,报文从PE2 的前一跳转发出来时已经剥离外层标签,PE2 收到的报文是仅包含内层标签的MPLS报文,PE2 通过内标签和目的地址信息查找VPN-instance 表项,并确定报文发送的出接口,从而到达CE2。CE2 接收到IP 报文后,根据正常的IP 转发过程将报文传送到目的主机,数据报文传送过程结束。四、DCN 网MPLS VPN 的设计与实现1.DCN 网中MPLS VPN 方案设计方案设计图2.DCN 骨干域内VPN 划分原则省运营支撑系统中建立六套新业务系统,分别为计费账务系统、综合结算系统、联机采集系统、综合服务提供平台、资源管理系统、交换网网管系统。各系
8、统的数据访问模型为:在各地市数据需要相互隔离,但是必须和省中心相应业务互访。省中心6套业务系统之间需要互访,同时省中心6套业务还要同原DCN网上承载的业务和国家级DCN网络互访。经过以上分析,划分VPN 的结果为:各地市划分5 个VPN,分别为计费账务系统、综合结算系统、综合服务提供平台、资源管理系统、交换网网管系统;省中心划分一个VPN,该VPN 在import VPN路由的时候,将同时导入其他5 个VPN 的路由。各地市在导入路由时,可以使用route-filter 导入X 里相应的网段;其他业务都划分为非VPN 业务。需要将省中心VPN 里的路由导入近inet.0 路由表,来实现非VPN
9、 业务和省中心的互访。3.DCN 网中LSP 的建立LSP 的建立,在转发数据流时,可以用GRE Tunnel,也可以用MPLS LSP。由于路由设备上没有支持GRE的Tunnel PIC硬件卡,我们只考虑LSP。为了在骨干网上转发VPN流量,必须在学到路由的PE路由器和广播路由的PE路由器之间建立LSP。如果希望为LSP分配带宽或使用流量工程为LSP选择一条明确的路径,那么则使用RSVP。基于RSVP的LSP支持特定的服务质量(QoS)保障和/或特定的流量工程目标。基于RSVP的LSP的优先权要高于基于LDP的LSP。如果基于LDP的LSP和基于RSVP的LSP都位于一对PE路由器之间,入口
10、标记交换路由器(LSR)选择基于RSVP的LSP,而不是基于LDP的LSP。我们知道,MPLS LSP是单向的点对点的路径,每两点间通信要建立两条LSP,一去一回,才能完成双向通信。如果DCN里14个点都作为PE,那么需要建立和维护240多条LSP,这将使维护人员不堪重负。从这里出发,我们考虑两种协议带来的优缺点。LDP优点:如果选择使用LDP,那么将在骨干中建立一个全网状尽力而为的LSP,以支持PE到PE全连接能力。建立时只需要在相应的端口Enable LDP,它能够自动建立到所有PE的LSP,开通简单易行。LDP缺点:对LSP无法进行控制,它根据IGP的最短路径建立LSP,不支持特定的服务
11、质量(QoS)保障和/或特定的流量工程。RSVP优点:可以对LSP进行控制,支持支持特定的服务质量(QoS)保障和/或特定的流量工程,均衡网络上流量负载。有更好的路径失败保护,可以快速重路由。PSVP缺点:使用RSVP,那么将需要手工在骨干网中建立一个全网状的LSP,也就是手工配置多条LSP,配置复杂。吉林省DCN网络分为省网和各地市DCN两个层面,根据省中心与各分公司数据访问的模型,各分公司与省中心互访,各分公司间不进行数据互访,所以在省中心与各分公司间使用RSVP协议手工建立LSP。参考文献:1Jim GuichardFrancois LeFaucheurJean-Philippe Vasseur 著 陈武译。MPLS网络设计权威指南M。北京:人民邮电出版社,2007.12Luc De Ghein著陈麒帆译。MPLS技术构架M.北京:人民邮电出版社,2008.1