呂元海，劉浩

（1.西安郵電大學信息中心，陜西西安710121；2.西安郵電大學陜西西安710061）

基于MPLS VPN多業(yè)務校園網(wǎng)絡的設計與實現(xiàn)

呂元海1，劉浩2

（1.西安郵電大學信息中心，陜西西安710121；2.西安郵電大學陜西西安710061）

針對高校普遍存在的跨地區(qū)分校區(qū)網(wǎng)絡之間存在的資源利用率低、專網(wǎng)建設成本高、擴展性差等問題，本文提出了一種基于MPLS VPN的多業(yè)務校園網(wǎng)絡設計方案，完成了多業(yè)務校園網(wǎng)絡的結構設計、擴展性設計以及可行性測試，將多個專用網(wǎng)絡整合在同一物理網(wǎng)絡上。實際應用表明，MPLS VPN多業(yè)務校園網(wǎng)絡的實現(xiàn)提高了網(wǎng)絡資源的有效利用，保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

MPLS；VPN；多校區(qū)；多業(yè)務網(wǎng)絡

隨著高校規(guī)模的擴大和信息化的發(fā)展，網(wǎng)絡業(yè)務的種類和規(guī)模都大幅增長，校園網(wǎng)應用中也隨之出現(xiàn)了一些問題。如何將新增的校園業(yè)務融合到校園網(wǎng)中以及各專網(wǎng)之間如何更好地相互隔離相互融合成為急需解決的問題。隨著需求增加，一卡通、財務、語音、視頻等業(yè)務都要陸續(xù)上線，為了保證業(yè)務的可靠以及數(shù)據(jù)的安全，這些業(yè)務都要建立自己的專網(wǎng)。MPLS VPN技術可以有效解決如何在同一物理平臺上提供多種業(yè)務的傳輸問題［1］。MPLS VPN技術將服務質量、流量控制及專用網(wǎng)的安全性靈活性結合在一起，可以有效的在一張物理網(wǎng)絡上進行多業(yè)務流量的整合［2］。

文中部署MPLS VPN、制定組網(wǎng)方案、測試可行性，在測試完成之后可以直接移植到一卡通網(wǎng)絡設備上，這樣有利于在保持原來網(wǎng)絡環(huán)境的情況下，進行網(wǎng)絡擴充以及多業(yè)務網(wǎng)絡的部署，有助于提高網(wǎng)絡利用率。

1　多業(yè)務網(wǎng)絡建設需求

隨著業(yè)務需求的增加，傳統(tǒng)的VPN技術已經(jīng)不能滿足校園網(wǎng)絡的需求，比如關鍵業(yè)務之間隔離互訪不方便，每增加一個業(yè)務都需要手動配置擴展性差等等。所以多校區(qū)的校園網(wǎng)建設需要使用一種迅速轉發(fā)而且成本不高的技術方案，該技術方案使得維護人員只需要維護一張網(wǎng)絡的核心區(qū)域就可以滿足多業(yè)務的需求，使得各業(yè)務網(wǎng)絡在邏輯上相互獨立，可以對網(wǎng)絡資源進行獨立分配。而MPLS VPN技術完全可以勝任這一任務。

MPLS VPN與傳統(tǒng)的數(shù)據(jù)轉發(fā)方式不同。傳統(tǒng)的數(shù)據(jù)轉發(fā)是通過查詢路由條目完成的［3-4］。MPLS VPN在向數(shù)據(jù)包中壓入標簽之后，利用標簽引導數(shù)據(jù)高速、高效地傳輸［5］。此外，MPLS VPN比較容易進行擴展［6］，大多數(shù)情況下只要在PE設備上進行簡單的設置，然后將CE設備直接連接到PE設備上即可，可應用于多種網(wǎng)絡類型中。

MPLS VPN包含3種交換設備。P設備：通過交換標簽完成數(shù)據(jù)的轉發(fā)，不和用戶設備直接連接；PE設備：MPLS區(qū)域中直接和用戶網(wǎng)絡設備連接的，可向用戶提供VPN服務，有多個VRF表［7］；CE設備：該設備直接與PE設備連接。

2　多業(yè)務網(wǎng)絡設計

以某高校為例，建設多業(yè)務網(wǎng)絡。某高校有兩個校區(qū)：新校區(qū)和老校區(qū)，新校區(qū)又分東區(qū)和西區(qū)。在該校園多業(yè)務網(wǎng)絡的設計規(guī)劃中，目前設計有4個不同的業(yè)務專網(wǎng)，它們分別是一卡通專網(wǎng)、財務專網(wǎng)、語音通信專網(wǎng)、視頻專網(wǎng)。

2.1網(wǎng)絡結構設計

采用MPLS VPN技術，通過實施多業(yè)務網(wǎng)絡，使其能夠在一張物理網(wǎng)絡上提供多種業(yè)務的網(wǎng)絡服務，使每一個邏輯上的專網(wǎng)相互獨立，可以隔離其他業(yè)務［8］；用戶可以根據(jù)自己的網(wǎng)絡狀況對專網(wǎng)實施靈活的管理策略；核心區(qū)域能夠對不同專網(wǎng)作有效屏蔽，各個業(yè)務網(wǎng)絡在邏輯上相互獨立，可以對網(wǎng)絡資源進行獨立分配而不會受到其他網(wǎng)絡的影響。所以在本次多業(yè)務網(wǎng)絡結構設計中，計劃實施4個不同的虛擬局域網(wǎng)絡。不同的虛擬局域網(wǎng)之間相互隔離，同一虛擬局域網(wǎng)中的設備通信不受影響。該校園多業(yè)務網(wǎng)絡結構如圖1所示。

圖1　多業(yè)務網(wǎng)絡結構圖

整個核心層的設計類似一個三角；網(wǎng)絡接入層是基于建筑來劃分的，它負責對區(qū)域內(nèi)終端數(shù)據(jù)進行轉發(fā)，直接與核心層相連。西區(qū)的核心充當網(wǎng)絡的主核心，分別和老校區(qū)以及東區(qū)的核心設備相連接。與核心相連接的都是網(wǎng)絡的接入層設備，接入層設備根據(jù)區(qū)域進行部署。

2.2MPLS VPN規(guī)劃設計

1）核心層路由器支持MPLS VPN特性，將其部署為PE。接入層網(wǎng)絡設備部署為CE。

2）PE上部署MP-BGP協(xié)議，創(chuàng)建某業(yè)務的VRF，完成對RD值的設定，以及設定RT導入導出策略。

3）將PE與CE關聯(lián)，運行路由選擇協(xié)議。

對于MPLS標簽的結構，最里層的標簽用于區(qū)分不同的CE設備，數(shù)據(jù)在MPLS區(qū)域轉發(fā)使用外層的標簽。對于內(nèi)層的標簽分發(fā)采用BGP協(xié)議［9］。

2.3路由協(xié)議設計

采用MPLS VPN設計校園網(wǎng)多業(yè)務網(wǎng)絡，在路由協(xié)議方面主要分為3部分:MPLS骨干區(qū)域啟用動態(tài)路由協(xié)議OSPF和MP-BGP協(xié)議，PE與CE之間采用BGP協(xié)議，CE內(nèi)部網(wǎng)絡之間采用靜態(tài)路由協(xié)議。CE與PE之間通過BGP協(xié)議將用戶的路由信息傳送到PE［10］，PE上有對應的虛擬路由表。PE之間采用MP-BGP協(xié)議傳送路由信息以及相應的標簽，RD和RT這兩個屬性值也由MP-BGP協(xié)議傳送［11］。在MPLS骨干區(qū)域中，若采用靜態(tài)路由方式，配置起來比較麻煩，也不好擴展，故采用動態(tài)路由方式，OSPF顯然是最好的選擇［12］。

2.4可擴展性設計

對多校區(qū)校園網(wǎng)絡進行了MPLS VPN設計規(guī)劃之后，網(wǎng)絡的擴展是很方便的。一般情況下，用戶一側的設備是不需要進行任何設置的，只需要在MPLS骨干區(qū)域的PE設備上進行相關設置便可以。比如現(xiàn)在需要添加一個財務的專網(wǎng)，需要在PE設備上進行的工作就是創(chuàng)建財務VPN的相關實例，然后再在接口綁定引用，而用戶只需要將自己的CE設備連接到某個特定的接口上，而不需要做任何多余的設置，就可以完成對財務專網(wǎng)的配置。在這樣的設計背景下，網(wǎng)絡的擴展是非常靈活的，從而減少管理難度，提高運營效率［13］。

3　基于MPLS VPN的多業(yè)務網(wǎng)絡構建

3.1構建MPLS VPN網(wǎng)絡

將3臺核心設備設置成MPLS的骨干區(qū)域，接入層的網(wǎng)絡設備充當CE，部署MPLS VPN，測試方案的可行性。首先在路由交換設備上配置基本的接口信息，接下來在MPLS骨干區(qū)域啟用動態(tài)路由協(xié)議OSPF，標簽的分發(fā)是通過BGP來實現(xiàn)的。

基礎網(wǎng)絡的構建流程是先配置底層網(wǎng)絡，測試底層網(wǎng)絡連通性，然后開啟MPLS的相關服務，創(chuàng)建MPLS VPN實例，接口綁定MPLS VPN實例?；A網(wǎng)絡搭建完成之后，可以對網(wǎng)絡的連通性做出測試。

3.2開啟MPLS相關服務

構建了MPLS VPN網(wǎng)絡之后，需要開啟MPLS上網(wǎng)的相關服務，只有開啟了這些服務，MPLS、標簽分發(fā)協(xié)議的應用才會被啟用。首先，使用mpls命令在全局下啟動MPLS功能進入MPLS視圖，執(zhí)行該命令之后，用戶會進入MPLS視圖。然后使用命令開啟相關服務。

3.3啟用VPN實例

在MPLS區(qū)域的路由交換設備上創(chuàng)建3個VPN的業(yè)務，它們分別是一卡通數(shù)據(jù)VPN，語音網(wǎng)絡VPN，視頻網(wǎng)絡VPN。在每一個PE設備上分別創(chuàng)建這3個VPN實例。注意:RD值不同，目的是為了區(qū)分不同的VPN實例。

比如創(chuàng)建一卡通VPN實例：先用vsi命令創(chuàng)建一個實例名稱為一卡通，然后使用bgp命令進入BGP視圖，利用vpntarget命令來配置當前一卡通實例的VPN Target。

實行MPLS VPN之后，網(wǎng)絡的擴展非常方便，只需在PE上創(chuàng)建實例并綁定即可，比如臨時需要創(chuàng)建財務專網(wǎng)，就只需要在PE路由交換設備上進行VPN的創(chuàng)建即可。創(chuàng)建步驟如圖創(chuàng)建一卡通VPN實例的步驟一樣。

3.4接口綁定VPN實例

VPN實例創(chuàng)建完成之后并不能起到專網(wǎng)劃分的效果，那是因為沒有進行VPN實例的綁定。所以需要做的就是在特定接口綁定特定VPN實例，只有進行了綁定之后，VPN的效果才會產(chǎn)生。

4　多業(yè)務網(wǎng)絡的運行測試

4.1測試方案

網(wǎng)絡環(huán)境搭建完成之后要做的就是對系統(tǒng)的連通性以及相關功能做出測試。首先需要對基礎網(wǎng)絡的連通性進行測試，查看網(wǎng)絡中的路由學習情況以及網(wǎng)絡的連通性；接下來需要對MPLS進行驗證性測試，查看數(shù)據(jù)包的轉發(fā)是基于路由轉發(fā)還是標簽轉發(fā)，分析數(shù)據(jù)包的轉發(fā)情況，弄清標簽的轉發(fā)原理；最后進行MPLS VPN的相關測試，測試同一VPN中網(wǎng)絡設備的連通性以及不同VPN之間的通信隔離。

4.2基礎網(wǎng)絡測試

對基礎網(wǎng)絡的連通性進行測試，觀察網(wǎng)絡中的路由學習情況，路由學習表如圖2所示。

圖2　路由學習圖

通過路由查看可以看出MPLS骨干區(qū)域相互之間能夠進行路由學習，即不同的終端之間便可以進行通信。

4.3標簽轉發(fā)驗證

在一臺終端設備上面對另外一端的設備進行連通性測試，然后查看數(shù)據(jù)包的轉發(fā)是通過路由轉發(fā)還是基于標簽轉發(fā)。應答包報文如圖3所示。

圖3　應答包報文

從應答包報文中我們可以看到數(shù)據(jù)包的轉發(fā)是基于標簽轉發(fā)，我們可以看到只有一層標簽，這里出現(xiàn)一層標簽的原因是因為邊界路由交換設備為了節(jié)省標簽的交換時間，最后一條路由交換設備在通告路由的時候會分配出標簽值為3的標簽，當數(shù)據(jù)包返回的時候，當看到值為3的出標簽，便彈出最外層標簽值，將數(shù)據(jù)包交給PE，再由PE直接查詢內(nèi)層標簽，將數(shù)據(jù)包直接發(fā)送給用戶的CE設備［14］，這樣有助于提高數(shù)據(jù)包的轉發(fā)效率。

4.4MPLSVPN的測試

在進行MPLS VPN實施結果的測試時需要做的就是測試相同VPN之間連通性的測試以及不同VPN之間的隔離性測試。不同VPN隔離測試結果如圖4所示。

圖4　不同VPN隔離測試圖

可以看到不同VPN之間是不可以相互通信的，丟包率為百分之百。由于它們分屬不同的虛擬局域網(wǎng)，所以它們之間是不能通信的。下面測試在同一個網(wǎng)絡中，兩個網(wǎng)段是可以通信的，即同一個專網(wǎng)中可以相互通信，測試結果如圖5所示。

圖5　相同VPN連通測試圖

由此可以看出VPN的基本設置是成功的，能夠滿足預期的效果，即同一個VPN終端設備之間可以相互進行通信，不同VPN之間是不能進行相互通信。通過測試得出：由于不同專網(wǎng)相互隔離，數(shù)據(jù)傳遞的安全性得以提高；由于擴展性得以充分發(fā)揮，所以擴展多種業(yè)務成本降低［15］；由于此方案基于標簽交換，數(shù)據(jù)效率大大提高，故此方案得到預期效果。

5　結束語

隨著信息化的不斷發(fā)展，怎樣高效率、低成本地維護骨干網(wǎng)絡將是以后校園網(wǎng)絡發(fā)展的趨勢所在。為達到智能校園的信息化需求，本文通過對MPLS VPN進行分析研究，對校園網(wǎng)各業(yè)務專網(wǎng)進行改良，設計了一種基于MPLS VPN技術的校園網(wǎng)多業(yè)務網(wǎng)絡方案，使其能夠在網(wǎng)絡擴展中承載多業(yè)務。結果表明該網(wǎng)絡方案可以保證服務質量、提高傳輸效率、增強安全性。

［1］姚青.MPLS VPN在多業(yè)務專網(wǎng)中的應用研究［D］.上海:上海交通大學，2010.

［2］Eric Osborne，Ajay Simha.基于MPLS的流量工程（張輝，盧煒）［M］.北京:人民郵電出版社，2012.

［3］Lue De Ghein.MPLS技術架構（陳麒帆）［M］.北京:人民郵電出版社，2012.

［4］Jim Guichard，Ivan Pepelnjak.MPLS和VPN體系結構（盧澤新，朱培棟，齊寧）［M］.北京:人民郵電出版社，2010:19-198.

［5］潘勝發(fā)，劉廣義，林孝康.MPLS路由技術［J］.計算機工程，2002，28（10）:159-161

［6］孫立飛.基于VPN技術的校園網(wǎng)研究［J］.信息通信，2014，（1）:103-104.

［7］李雷.基于MPLS VPN的校園網(wǎng)多業(yè)務系統(tǒng)運用［J］.中國教育信息化，2011（3）:19-21.

［8］聶亞南.基于MPLS的多業(yè)務承載研究［D］.北京:北京郵電大學，2008.

［9］任金秋，馬海龍，汪斌強.跨域BGP/MPLS VPN在高性能路由器中的實現(xiàn)［J］.計算機工程，2009，35（3）:126-129.

［10］侯劍鋒，馬明.MPLS VPN中PE-CE互連仿真研究［J］.計算機工程，2010，36（12）:123-125.

［11］劉俊斌，王勇.基于MPLS VPN技術多校區(qū)校園網(wǎng)應用研究［J］.價值工程，2014（3）:188.

［12］Thomas M.Thomas II.OSPF網(wǎng)絡設計解決方案（羅洋）［M］.北京:人民郵電出版社，2013:157-429.

［13］符冰.MPLS VPN技術在校園網(wǎng)的研究和實現(xiàn)［D］.上海:上海交通大學，2013.

［14］劉盛.基于MPLS的VPN技術在數(shù)字化校園中的運用與研究［D］.鄭州:河南理工大學，2010.

［15］涂中群.基于MPLS VPN實現(xiàn)圖書館多校區(qū)網(wǎng)絡融合［J］.圖書情報工作，2011，55（5）:51-55.

Design and implementation of multiple business campus network based on MPLS VPN

LV Yuan-hai1，LIU Hao2
（1.Xi'an University of Posts and Telecommunications Information Center，Xi'an 710121，China；2.Xi'an University of Posts and Telecommunications，Xi'an 710061，China）

Aiming at some problems between the different areas of campus network，F(xiàn)or example，the low utilization rate of resources，the network construction of high cost and poor expansibility.This paper proposes a multiple business campus network design scheme based on MPLS VPN.This paper also completed the structural design，expansion design and feasibility testing of multiple business campus network.Many of the private network can be integration in the same physical network.The practical application shows that the implementation of MPLS VPN multiple business network improves the effective use of cyber source and ensures the security of data transmission.

MPLS；VPN；multi-campus；multiple business network

TN929.1

A

1674－6236（2016）12-0111-04

2016-02-25稿件編號：201602142

工業(yè)和信息化部軟科學研究項目（2014-R-31）

呂元海（1980—），男，陜西西安人，碩士，工程師。研究方向：教學信息化、網(wǎng)絡安全。