基于MPLS VPN的IP管理网络部署研究

２０１４年第９期　（总第１４１期）　信息通信　ＩＮＦＯＲＭＡＴ１０Ｎ＆Ｃ０ＭＭＵＮＩＣＡＴＩＯＮＳ　２０ｌ４　（Ｓｕｍ．Ｎｏ　１４１）　基于ＭＰＬＳ　ＶＰＮ的ＩＰ管理网络部署研究　胡琳欣　（中国移动通信集团广东有限公司汕头分公司，广东汕头５１５０００）　摘要：为实现ＩＰ管理网络的业务分类及接入安全性，文章基于ＭＰＬＳ　ＶＰＮ，综合考虑业务接入对防火墙的要求，设计了　网络核心层、汇聚层、接入层的安全管理网络架构。首先介绍了ＭＰＬＳＶＰＮ实现原理，在此基础上，分别从链路连接、设　备选择、路由配置等方面研究了ＭＰＬＳ　ＶＰＮ网络部署方案。这一方案有利于网络业务划分与运营维护，同时集成化的　防火墙规划也有利于保障网络安全。　关键词：ＭＰＬＳ　ＶＰＮ；网络部署；业务安全　中图分类号：ＴＰ３９３　文献标识码：Ａ　文章编号：１６７３．１１３ｌ（２０１４）０９．０１５２．０ｌ　１概述　随着信息技术的高速发展，ＩＰ管理网络作为ＬＴＥ、ＴＤ、　ＧＳＭ、数据和增值、传输、动力等业务系统的网管数据承载网　络，在移动通信网络中起到非常关键的作用。网管网络的日　益壮大，网络承载的业务逐渐增加，对网络的规范性、安全性　要求不断提升。　目前较为复杂的ＩＰ网络主要存在如下问题：业务分类不　够清晰，各业务网络之间可以互相访问；对网络业务接入部分　的安全需求缺乏统一规划，系统局部的安全问题极易扩散到　整个系统。　针对上述问题，本文通过引入ＭＰＬＳＶＰＮ技术，实现在一　张物理网上模拟多种逻辑网，分别承载不同的业务，实现各个　业务之间的安全隔离，并加快了数据报文转发，有效解决网路　延迟问题。　２　ＭＰＬＳ　ＶＰＮ实现原理　ＭＰＬＳＶＰＮ的基本组成主要包括ＣＥ（网络边缘设备）、ＰＥ　（服务提供商边缘路由器）和Ｐ（服务提供商核心路由器）三个　部分。ＰＥ是该架构的核心，是ＭＰＬＳ三层ＶＰＮ的主要实现　者，负责建立ＬＳＰ连接，对ＶＰＮ用户进行管理。Ｐ路由器利　用ＢＧＰ或ＬＤＰ协议来维护ＰＥ设备间的ＬＳＰ，负责ＭＰＬＳ转　发，不会感知到封装在ＬＳＰ中的ＶＰＮ信息。ＣＥ连接客户，可　以是路由器，也可以是交换机，既不需要ＶＰＮ配置，也不需要　运行ＭＰＬＳ　。　３　ＩＰ管理网络ＭＰＬＳ　ＶＰＮ部署　３．１网络架构设计　汕头网管网采用分层结构，分别为：核心层、汇聚层和接入　层，设备分布在１２个汇聚机房和多个基站机房。核心层ｐ路　由器、各机房汇聚层ＰＥ路由器与各机房接入层ＣＥ交换机都采　用口字型双链路实现链路冗余保护，在Ｐ和ＰＥ之间运行ＭＰＬＳ　ＶＰＮ。基于业务隔离要求，采用ＭＰＬＳＶＰＮ节省了各个机房区　分不同业务的汇聚交换机数，实现了物理融合和逻辑隔离。　根据网络规划要求，各业务接入需要接入侧防火墙保护。　原网络中，ＰＥ下连华为一道门系列防火墙，由于这种防火墙不　支持ＶＲＦ（ＶＰＮ路由功能），启用ＭＰＬＳ　ＶＰＮ以后，每个业务　ＶＰＮ都需配套一套防火墙和ＣＥ交换机。这种设计成本高，　且每次接入新的业务ＶＰＮ，都需新建一套防火墙，可行性不　高。考虑将防火墙与汇聚层ＰＥ路由器结合，采用华为ＳＲＧ　系列防火墙路由器，同时起到ＰＥ和防火墙的功能。这样的设　计，每个接入业务ＶＰＮ无需多配置一套防火墙，方便各个业　务系统的接入和扩展，并且新接入业务不需要对现有业务系　统架构作任何改动。　１５２　３．２路由规划　本网络规划中的路由分为产生路由的ＩＧＰ（内部路由协　议）和传播路由的ＥＧＰ（￣ｂ部路由协议）。ＩＧＰ采用ＯＳＰＦ和静　态路由；ＥＧＰ采用ＢＧＰ４，并作为ＭＰＬＳ　ＶＰＮ路由协议。在Ｐ　和ＰＥ路由器上同时运行ＯＳＰＦ、ＩＰｖ４　ＢＧＰ和ＭＰＬＳ　ＢＧＰ来进　行全局路由选择和和ＶＰＮ路由选择。　ＢＧＰ路由设计中，由于网管网是　个专网，独立于公网，　所以可自由分配ＡＳ号。将汕头网管网分配在同一个ＢＧＰ自　治域，将整个网络系统的ＡＳ号定为６５３１０。ＡＳ内各机房的　ＰＥ路由器与核心区域Ｐ路由器建立１ＢＧＰ对等体关系，实现　ＩＢＧＰ全连接。在ＰＥ上为不同的业务接入定义ＶＰＮ（定义　ＶＲＦ，用ＲＤ号标识ＶＰＮ，把ＶＲＦ和子接口关联起来）以后，　需要在ＢＧＰ中配置对等体，并进行ＩＰｖ４地址簇下的ＶＲＦ配　置和ＶＰＮｖ４地址簇下的配置。正确配置后，多协议ＢＧＰ把　ＶＰＮｖ４前缀和ＶＰＮ标签从下游ＰＥ向上游ＰＥ传播。　ＩＧＰ路由对标签的交换和ＬＳＰ的建立起着关键作用，并　且通过全局路由表管理网络设备，常用的协议有ＯＳＰＦ，ＬＤＰ　等。在本文中，ＰＥ利用ＯＳＰＦ交换标签绑定信息，用ＬＳＡ（链　路状态通告）发现邻居。　ＣＥ设备可采用路由器或交换机，本文采用二层交换机。　在ＰＥ设备上为各个业务ＶＰＮ划分ＶＬＡＮ与ＣＥ对接，ＶＬＡＮ　接口中设置ＶＲＲＰ做冗余保护。将ＰＥ和ＣＥ互联接口设置　为ＴＲＵＮＫ口，ＣＥ设备直接对接业务系统，并将业务划分到对　应的ＶＬＡＮ。　４结语　ＭＰＬＳ　ＶＰＮ技术为ＩＰ网络部署提供了新的方向和技术　支持。文中根据ＭＰＬＳＶＰＮ的实现原理，探讨了其在汕头移　动网管网中的实际应用。改造后ＭＰＬＳ　ＶＰＮ网络有如下优　化：（１）简化了网络结构：通过引入ＭＰＬＳ　ＶＰＮ并将ＰＥ与防　火墙结合，节省了大批机房设备，使网络结构清晰明了，减少　了可能的故障节点，方便日常维护。（２）提高了网络安全性：　通过划分入不同的ＶＰＮ，各业务系统实现了逻辑的隔离和可　控的互访；通过将ＰＥ与防火墙结合，实现了接入系统百分之　百的防火墙保护。（３）提高了网络扩展性，当新增业务系统时，　只需增加一个ＶＰＮ实例，不用再针对某个业务系统单独对网　络结构进行扩容。　参考文献：　［１］Ｌｕｅ　Ｄｅ　Ｇｈｅｉｎ，ＭＰＬＳ技术架构［Ｍ］．陈麒帆，陈武，译．北京：　人民邮电出版社，２００８　［２　陈雪非，２］黄河，李蓬．ＭＰＬＳ　ＶＰＮ关键技术研究【Ｊ】．计算机工　程与设计，２００７，２８（１３）：３１３８．３１５０