淺析MPLS VPN技術(shù)在南水北調(diào)中線計算機網(wǎng)絡(luò)中的應(yīng)用

王敏

(南水北調(diào)中線局河南直管建管局， 鄭州450018)

【摘要】本文結(jié)合南水北調(diào)中線自動化應(yīng)用系統(tǒng)較多、網(wǎng)絡(luò)帶寬需求大、計算機網(wǎng)絡(luò)共享等特點，提出了基于MPLS VPN技術(shù)的自動化業(yè)務(wù)系統(tǒng)計算機網(wǎng)絡(luò)實現(xiàn)方案，并針對MPLS VPN子系統(tǒng)之間、用戶至不同業(yè)務(wù)系統(tǒng)服務(wù)器之間的受控互訪的需求，探討了MPLS VPN互訪策略。

【關(guān)鍵詞】南水北調(diào)； MPLS VPN； 互訪策略； 計算機網(wǎng)絡(luò)

中圖分類號：TP393文獻(xiàn)標(biāo)志碼： B

On Application of MPLS VPN Technology in South-to-North Water

Diversion Midline Computer Network

WANG Min

(South-to-NorthWaterDiversionMidlineBureauHenanConstructionAdministration,Zhengzhou450018,China)

Abstract：South-to-North Water Diversion Midline is characterized by more automation application systems, large network bandwidth demand, computer network sharing, etc. Realization plan of automated business system computer network based on MPLS VPN technique is proposed by combining with these characteristics. MPLS VPN mutual visit strategies are discussed aiming at controlled mutual visit demands among MPLS VPN subsystems, users and different business system servers.

Keywords：South-to-North Water Diversion; MPLS VPN; mutual visit strategies; computer network

MPLS VPN(Multi-Protocol Label Switching Virtual Private Network，多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)絡(luò))是指采用MPLS技術(shù)在骨干的寬帶IP網(wǎng)絡(luò)上構(gòu)建邏輯IP專網(wǎng)，通過在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用傳統(tǒng)路由技術(shù)的標(biāo)簽交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將基礎(chǔ)網(wǎng)絡(luò)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務(wù)通信。其主要優(yōu)勢包括：組網(wǎng)方式靈活、業(yè)務(wù)綜合能力強、安全性高、實時性、支持VPN內(nèi)部IP多級別業(yè)務(wù)、提供端到端的QOS服務(wù)質(zhì)量保障、擴展性強等。

南水北調(diào)中線干線工程自動化應(yīng)用系統(tǒng)較多，且所需網(wǎng)絡(luò)帶寬較大，實時性和安全性要求高，各種應(yīng)用系統(tǒng)共享一套計算機網(wǎng)絡(luò)系統(tǒng)。而MPLS VPN技術(shù)是目前技術(shù)最先進(jìn)的VPN網(wǎng)絡(luò)組網(wǎng)技術(shù)，技術(shù)成熟，可管理性強，因此能夠在保證南水北調(diào)中線干線工程自動化應(yīng)用系統(tǒng)數(shù)據(jù)信息傳遞安全可靠的前提下，遵循資源共享、帶寬共享、節(jié)省投資的原則，有效地利用光纖資源或傳輸帶寬，滿足多種靈活的業(yè)務(wù)需求。

1MPLS VPN技術(shù)在南水北調(diào)自動化業(yè)務(wù)系統(tǒng)中的應(yīng)用

按照南水北調(diào)自動化業(yè)務(wù)系統(tǒng)業(yè)務(wù)網(wǎng)的高安全可靠性要求，結(jié)合南水北調(diào)中線工程需求，一方面在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計上采用層次化結(jié)構(gòu)，按照業(yè)務(wù)類別進(jìn)行物理劃分；另一方面，利用MPLS VPN技術(shù)將各應(yīng)用系統(tǒng)在邏輯上劃分為獨立的網(wǎng)絡(luò)。根據(jù)現(xiàn)有MPLS VPN計算機網(wǎng)絡(luò)組網(wǎng)技術(shù)，整個網(wǎng)絡(luò)配置成一個MPLS域，將核心層、骨干層路由器配置成P設(shè)備，區(qū)域?qū)雍徒尤雽勇酚善髟O(shè)備全部配置成PE設(shè)備；P和PE設(shè)備之間運行MPLS LDP協(xié)議，所有PE路由器之間運行MP-iBGP協(xié)議。

將接入層交換機作為CE，經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備；PE設(shè)備為每個接入的VPN用戶建立并維護(hù)獨立的VRF，根據(jù)CE設(shè)備接入端口的不同，控制其進(jìn)入相應(yīng)的VPN中，實現(xiàn)與其他VPN應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離。

總公司、分公司、管理處的各應(yīng)用系統(tǒng)都通過專用的應(yīng)用系統(tǒng)LAN交換機接入，局域網(wǎng)主干交換機作為CE，經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備；PE設(shè)備為每個應(yīng)用系統(tǒng)建立并維護(hù)獨立的VRF，根據(jù)CE設(shè)備接入端口的不同，控制其進(jìn)入相應(yīng)的應(yīng)用系統(tǒng)VPN中，實現(xiàn)與其他應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離。實現(xiàn)方案如圖1所示：

圖1　BGP/MPLS VPN部署方案

2MPLS VPN互訪策略在南水北調(diào)自動化業(yè)務(wù)系統(tǒng)中的應(yīng)用

按照MPLS VPN劃分的原則，不同MPLS VPN之間不能互相訪問，這確保了VPN的安全可靠性。但是，南水北調(diào)中線干線工程自動化應(yīng)用系統(tǒng)之間存在MPLS VPN子系統(tǒng)之間、用戶至不同業(yè)務(wù)系統(tǒng)服務(wù)器之間的受控互訪的需求。也就是說，網(wǎng)絡(luò)需要方便地控制不同MPLS VPN之間的互訪，而且要實現(xiàn)嚴(yán)格控制互訪；同時，為保障各業(yè)務(wù)系統(tǒng)安全，需要對用戶訪問采取控制措施。

2.1 MPLS VPN子系統(tǒng)之間互訪

通過BGP MPLS VPN提供了Extranet VPN和Hub-spoke的方式，通過MP-BGP協(xié)議配置建立路由信息，來達(dá)到不同VPN之間的路由擴散；通過VPN內(nèi)部的路由器(或防火墻)做地址過濾、報文過濾等方式控制訪問的用戶。上述兩種方式結(jié)合使用，實現(xiàn)了子系統(tǒng)的靈活受控互訪。

2.2應(yīng)用終端交互訪問不同MPLS VPN

2.2.1方案一：NAT方案

此種方案是將多用途終端主機的業(yè)務(wù)流在CE進(jìn)行分類，不同的業(yè)務(wù)流進(jìn)行不同的靜態(tài)NAT(映射不同的IP地址)。對每個業(yè)務(wù)系統(tǒng)的主機/服務(wù)器可以分配連續(xù)的地址空間，PE設(shè)備只需要維護(hù)較為簡單的路由表，CE配置確定后一般不需要修改。如圖2所示：

圖2　NAT方案示意圖

2.2.2方案二：PE節(jié)點作訪問控制

在PE設(shè)備上，通過多角色主機技術(shù)，將某個VRF中指定的路由(特殊終端的路由)，引入到另外一個VRF中，在PE的CE側(cè)接口上配置策略路由，當(dāng)流量匹配ACL，則重定向到VPN組，查找并轉(zhuǎn)發(fā)，從而實現(xiàn)不同的MPLS VPN可以同時訪問該特殊終端。如圖3所示：

圖3　PE控制方案示意圖

2.2.3方案三：802.1X強制認(rèn)證+Windows域管理

802.1X協(xié)議在利用IEEE 802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，與VRF路由表的導(dǎo)入導(dǎo)出機制結(jié)合使用，從而達(dá)到接受合法用戶接入、保護(hù)網(wǎng)絡(luò)安全的目的。用戶訪問其他MPLS VPN，需要禁用、再啟用網(wǎng)卡，重新輸入不同MPLS VPN的不同身份信息實現(xiàn)。

顯然，基于PE節(jié)點作訪問控制的方案配置簡單，傳輸效率高，互通網(wǎng)絡(luò)可靠性強，無論從網(wǎng)絡(luò)實現(xiàn)、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)管理各方面分析，更適用于南水北調(diào)中線干線工程自動化各系統(tǒng)應(yīng)用終端交互訪問不同的MPLS VPN。

3結(jié)語

目前，MPLS VPN技術(shù)、MPLS VPN子系統(tǒng)之間互訪策略已經(jīng)部署應(yīng)用于南水北調(diào)中線工程自動化系統(tǒng)計算機網(wǎng)絡(luò)。此外，針對用戶至不同MPLS VPN子系統(tǒng)業(yè)務(wù)系統(tǒng)服務(wù)器之間的受控互訪的需求，本文也提出了可供參考的MPLS VPN之間互訪策略。

實踐表明，MPLS VPN技術(shù)在數(shù)據(jù)信息傳遞安全可靠的前提下，很好地實現(xiàn)了南水北調(diào)中線工程自動化系統(tǒng)應(yīng)用系統(tǒng)多、網(wǎng)絡(luò)帶寬大、計算機網(wǎng)絡(luò)共享，以及MPLS VPN之間受控互訪等多種業(yè)務(wù)需求；而且實施簡單高效，運行可管理性強，有效保障了南水北調(diào)中線工程自動化系統(tǒng)計算機網(wǎng)絡(luò)的可控性、靈活性和穩(wěn)定性。

參考文獻(xiàn)

[1]長江勘測規(guī)劃設(shè)計研究院. 南水北調(diào)中線一期工程項目建議書(修訂本)[R].2004.

[2]長江勘測規(guī)劃設(shè)計研究院. 南水北調(diào)中線一期工程可行性研究總報告[R].2005.

[3]侯召成. 南水北調(diào)中線干線工程自動化調(diào)度與運行管理決策系統(tǒng)關(guān)鍵技術(shù)問題研究[R]. 北京：中國水利水電科學(xué)研究院，2006.

[4]倪賡. MPLS VPN組網(wǎng)設(shè)計與實現(xiàn)[D]. 北京：北京郵電大學(xué),2009.

[5]田開岳. MPLS VPN技術(shù)在電力調(diào)度數(shù)據(jù)網(wǎng)中的應(yīng)用[J]. 科學(xué)與財富,2013(9).

[6]郁建生. 南水北調(diào)計算機網(wǎng)絡(luò)體系的設(shè)計[J]. 水利信息化,2011(6).

[7]趙立. 數(shù)據(jù)網(wǎng)技術(shù)在電力調(diào)度中的應(yīng)用研究[J]. 科技與企業(yè),2012(21).