武渭民，任璐娟

(潞安礦業(yè)(集團)有限責(zé)任公司通信公司，山西 長治 046204)

基于潞安RPR環(huán)網(wǎng)的多種VPN設(shè)計及實現(xiàn)

武渭民，任璐娟

(潞安礦業(yè)(集團)有限責(zé)任公司通信公司，山西 長治 046204)

數(shù)據(jù)通信傳輸網(wǎng)絡(luò)是集團生產(chǎn)業(yè)務(wù)和信息系統(tǒng)運行的總的基礎(chǔ)平臺，而煤炭行業(yè)的特殊性不僅要求網(wǎng)絡(luò)在某一段中斷時不影響業(yè)務(wù)運行，還要求在環(huán)網(wǎng)上運行的各個業(yè)務(wù)系統(tǒng)必須能夠?qū)崿F(xiàn)有效的隔離、監(jiān)管和管理。本文給出了針對不同業(yè)務(wù)和用戶的組網(wǎng)設(shè)計方案，并重點介紹了如何利用BGP MPLS VPN和MPLS L2 VPN技術(shù)對RPR環(huán)網(wǎng)進(jìn)行業(yè)務(wù)隔離，并保障業(yè)務(wù)訪問獨立性和安全性，最終形成“一張物理網(wǎng)，多張?zhí)摂M網(wǎng)”格局，為潞安集團信息化建設(shè)打下堅實的基礎(chǔ)。

潞安集團；RPR環(huán)網(wǎng)；BGP MPLS VPN；MPLS L2 VPN

潞安集團信息網(wǎng)目前已形成以通信公司為管理主體，以公司機關(guān)所在地侯堡為匯接局，下設(shè)13座主體生產(chǎn)礦井、34座整合礦井、13個下屬公司等60余個業(yè)務(wù)節(jié)點，匯接局與各業(yè)務(wù)點之間全部實現(xiàn)光傳輸，保障內(nèi)外部對企業(yè)網(wǎng)站、生產(chǎn)調(diào)度、監(jiān)測監(jiān)控系統(tǒng)、醫(yī)療保險、辦公自動化等訪問和操作，初步構(gòu)筑起了“數(shù)字潞安”的雛形。

隨著信息化技術(shù)和集團業(yè)務(wù)的不斷發(fā)展和壯大，集團逐步推進(jìn)形成了各種子業(yè)務(wù)系統(tǒng)，同時集團各節(jié)點的系統(tǒng)繁多，需要多重業(yè)務(wù)網(wǎng)絡(luò)接入且互相隔離，對環(huán)網(wǎng)數(shù)據(jù)安全造成一定的影響和沖擊，暴露了現(xiàn)有網(wǎng)絡(luò)安全性、穩(wěn)定性、訪問速度等方面存在的缺點。

為了更好地推進(jìn)潞安集團信息化發(fā)展，實現(xiàn)集團管控一體化，對潞安集團RPR信息化環(huán)網(wǎng)現(xiàn)狀進(jìn)行綜合詳細(xì)分析后，本文引入了BGP MPLS VPN和MPLS L2 VPN技術(shù)對現(xiàn)有環(huán)網(wǎng)業(yè)務(wù)數(shù)據(jù)進(jìn)行改進(jìn)，使各個應(yīng)用系統(tǒng)間按策略邏輯隔離和互通，形成“一張物理網(wǎng)，多張?zhí)摂M網(wǎng)”。改進(jìn)后的網(wǎng)絡(luò)不僅滿足當(dāng)前集團各子分公司業(yè)務(wù)系統(tǒng)的安全、高效、穩(wěn)定運行，同時方便未來企業(yè)新業(yè)務(wù)接入和信息化建設(shè)新需求。

1 RPR環(huán)網(wǎng)引入BGP MPLS VPN和MPLS L2 VPN原因

1.1 RPR環(huán)網(wǎng)

結(jié)合潞安集團下屬各礦井及子分公司的分布情況，集團建成了骨干RPR互逆雙環(huán)拓?fù)浣Y(jié)構(gòu)，分別規(guī)劃侯堡→五陽→王莊構(gòu)成萬兆RPR北環(huán)，侯堡→屯留→古城→司馬構(gòu)成萬兆RPR南環(huán)，在兩個環(huán)上建6個核心節(jié)點，其中侯堡設(shè)置兩臺互為備份。具體設(shè)計規(guī)劃如圖1所示。

圖1 集團RPR環(huán)網(wǎng)拓?fù)鋱D

由于路由器設(shè)備具有更強的業(yè)務(wù)能力(如ACL/QoS/MPLS VPN等)，更優(yōu)的路由策略和更豐富的接口類型，因此在侯堡、五陽、王莊、屯留、古城、司馬等核心節(jié)點上配置7臺萬兆SR8812路由器作為環(huán)網(wǎng)設(shè)備，同時作為本地匯聚層設(shè)備。其余不在環(huán)網(wǎng)上的諸多子節(jié)點分別各配置一臺S7510路由交換器，作為本地接入層設(shè)備。

業(yè)務(wù)方面，目前RPR環(huán)網(wǎng)主要承載了潞安集團各單位監(jiān)測監(jiān)控、財務(wù)、醫(yī)療保險、寬帶、勞資、視頻會議、遠(yuǎn)程教育、OA辦公等多種集團內(nèi)部業(yè)務(wù)，因此需要建立多條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，以保障公司分支機構(gòu)、遠(yuǎn)程用戶同集團內(nèi)部建立可信的安全連接，實現(xiàn)在一張物理網(wǎng)上承載多張?zhí)摂M網(wǎng)共同安全運行。

為保證未來多種業(yè)務(wù)、多個應(yīng)用部門的統(tǒng)一承載，本網(wǎng)絡(luò)整體技術(shù)架構(gòu)采用MPLS VPN(multi-protocol label switch virtual private network，多協(xié)議標(biāo)簽交換虛擬專用網(wǎng))為基礎(chǔ)，使各個應(yīng)用系統(tǒng)間按策略邏輯隔離和互通，既保證安全性，又達(dá)到不同應(yīng)用流的服務(wù)質(zhì)量管理。

1.2 BGP MPLS VPN

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，VPN技術(shù)得到廣泛應(yīng)用，VPN使母公司與各子分公司各自的私有網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互聯(lián)起來，在節(jié)約成本的同時實現(xiàn)了類似專線獨占性和可靠性的優(yōu)點[1]。

隨著集團業(yè)務(wù)不斷推進(jìn)與增加，部署在環(huán)網(wǎng)外圍的單位和設(shè)備也在不斷增加，全網(wǎng)狀網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，為了順應(yīng)未來數(shù)據(jù)信息化和管控一體化的發(fā)展訴求，利用現(xiàn)有的各種數(shù)據(jù)業(yè)務(wù)和RPR環(huán)網(wǎng)類型相結(jié)合，組建安全、獨立、可靠的多業(yè)務(wù)VPN勢在必行。由于潞安數(shù)據(jù)承載平臺業(yè)務(wù)多樣，與傳統(tǒng)的語音、圖像業(yè)務(wù)不同，基于其自身的特殊性，在組網(wǎng)規(guī)劃中亟待解決以下問題：

1) 潞安目前數(shù)據(jù)業(yè)務(wù)至少有10余種，尤其涉及到礦井監(jiān)測監(jiān)控，井下人員定位，煤炭產(chǎn)量監(jiān)控、運銷，調(diào)度綜合信息，財務(wù)等事關(guān)安全生產(chǎn)的網(wǎng)絡(luò)，必須確保數(shù)據(jù)傳輸安全，各業(yè)務(wù)之間需要相互獨立訪問，依靠傳統(tǒng)的PCM傳輸技術(shù)無法徹底分離解決，因此必須建立獨立的VPN。

2) 靜態(tài)隧道采用的是直連環(huán)網(wǎng)及外圍各單位方式，維護(hù)量大且容易造成數(shù)據(jù)故障，需要建立高效的動態(tài)隧道。

3) 部分子分公司有自己的數(shù)據(jù)中心，本地IP地址設(shè)置可能會互相重疊，統(tǒng)一規(guī)劃時必須克服本地IP地址相互沖突。

4) 集團部分業(yè)務(wù)之間不是簡單的點對點傳輸，而是相互之間交叉網(wǎng)狀傳輸，需要靈活設(shè)置私網(wǎng)路由保證業(yè)務(wù)的相互聯(lián)通或者隔離。

而BGP MPLS VPN技術(shù)具有實現(xiàn)隧道的動態(tài)和按需建立，避免本地私網(wǎng)IP地址沖突，解決邏輯鏈路網(wǎng)狀擴展，易于控制私網(wǎng)路由交互等優(yōu)勢，完全可以解決目前集團數(shù)據(jù)業(yè)務(wù)的組網(wǎng)和規(guī)劃問題，因此本文應(yīng)用BGP MPLS VPN作為RPR環(huán)網(wǎng)的核心組網(wǎng)互聯(lián)技術(shù)。

1.3 MPLS L2 VPN

目前集團及各子分公司的上網(wǎng)方式主要有兩種方式：

1) 個人用戶

集團個人用戶主要采用的是PPPoE(點對點協(xié)議Point to Point Protocol over Ethernet)上網(wǎng)方式，首先需要透傳二層認(rèn)證和業(yè)務(wù)數(shù)據(jù)信息到中心的認(rèn)證服務(wù)器，然后經(jīng)過安全檢測中心介入互聯(lián)網(wǎng)。目前集團RPR環(huán)網(wǎng)均為三層連接方式，無法直接實現(xiàn)數(shù)據(jù)透傳。

2) 專網(wǎng)用戶

專網(wǎng)用戶主要是指具備獨立于RPR環(huán)網(wǎng)之外中心網(wǎng)絡(luò)的部分基層單位，既可以對本地網(wǎng)絡(luò)IP進(jìn)行自定義規(guī)劃，又需要借助集團RPR環(huán)網(wǎng)與集團的各項生產(chǎn)網(wǎng)絡(luò)對接互聯(lián)，原有網(wǎng)絡(luò)環(huán)境仍需保持。

MPLS L2 VPN技術(shù)可以實現(xiàn)PPP的 L2幀封裝到MPLS的幀中透明傳輸，同時可以完成各站點多個VPN的信息傳播和組網(wǎng)，最終實現(xiàn)數(shù)據(jù)鏈路層(2層)數(shù)據(jù)通過LSP(label switch path)透明傳輸[2]。

針對以上寬帶用戶和專網(wǎng)用戶存在的問題，經(jīng)過調(diào)研和設(shè)計規(guī)劃，擬采用MPLS L2 VPN方式對該組網(wǎng)進(jìn)行升級改造。

2 基于RPR環(huán)網(wǎng)的VPN設(shè)計

2.1 BGP MPLS VPN整體規(guī)劃

針對集團RPR骨干環(huán)網(wǎng)和各子分公司網(wǎng)絡(luò)，本文主要包括集團RPR骨干環(huán)網(wǎng)的6個核心節(jié)點及相應(yīng)的匯聚層和接入層節(jié)點：

1) 通信中心機房侯堡2臺SR8812作為P設(shè)備。

2) 其余環(huán)網(wǎng)設(shè)備及主干RPR環(huán)網(wǎng)之外的16家子單位均作為PE設(shè)備。

具體節(jié)點網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖2 網(wǎng)絡(luò)節(jié)點拓?fù)鋱D

針對單位多種業(yè)務(wù)均位于單位的中心網(wǎng)絡(luò)，需要通過中心網(wǎng)絡(luò)的統(tǒng)一出口進(jìn)行業(yè)務(wù)間的連接的方式，采用一條鏈路承載多個VPN的方式實現(xiàn)，如圖3(a)所示。

針對集團層面的多種業(yè)務(wù)，采用獨立于中心網(wǎng)絡(luò)的多條鏈路分別連接不同VPN的方式實現(xiàn)，如圖3(b)所示。

圖3 多條鏈路VPN設(shè)計

主要通過以下幾個步驟來實現(xiàn)VPN設(shè)置：

1) VRF規(guī)劃

集團所有業(yè)務(wù)均為獨立子業(yè)務(wù)系統(tǒng)，因此采用業(yè)務(wù)與VRF一一對應(yīng)關(guān)系，使用每種業(yè)務(wù)的漢語拼音表示，具體規(guī)劃如下：

監(jiān)測監(jiān)控:jiancejiankong

財務(wù)：caiwu

... ...

辦公：OA

... ...

2) 全局RD值規(guī)劃

本文采用“16位自治系統(tǒng)號:32位用戶自定義數(shù)字”的RD格式。同時由于RD與VRF相捆綁，即PE設(shè)備上的每個VPN分配唯一的RD，將不唯一的IPv4地址轉(zhuǎn)化為唯一的VPN-IPv4地址，具體規(guī)劃如下：

監(jiān)測監(jiān)控：100:1

財務(wù)：100:2

... ...

辦公：100:12

... ...

3) 全局RT值規(guī)劃

RT值規(guī)劃與RD基本相同，為了便于維護(hù)和管理，采用了與RD相同的格式，分配規(guī)則為『AS號：VPN類別』。其中AS號統(tǒng)一使用骨干AS的100，同時考慮到此幾類業(yè)務(wù)之間不存在互訪，因此將export和import設(shè)為一致，如圖4所示。

圖4 全局VRF RD RT值規(guī)劃

4) VPN互通與隔離

本網(wǎng)絡(luò)中VPN接入CE設(shè)備有兩種方式，一種是直接采用二層交換機接入；一種是采用三層交換機接入。

二層交換機接入方式在MPLS PE設(shè)備上為每個VPN維護(hù)一張單獨的路由表，防止不同VPN路由相互泄漏，有效隔離，同時保證同一VPN間實現(xiàn)互訪。

采用三層交換機接入方式需要將VPN所對應(yīng)的VLAN透傳到MPLS PE設(shè)備上，由PE設(shè)備實現(xiàn)二層信息終結(jié)并完成VPN封裝，確保不同VPN之間的信息隔離。

對于個別級別高的主機(信息點、業(yè)務(wù)系統(tǒng))，需要訪問任何一個VPN，通過設(shè)置Super VPN來解決，通過控制Route-Target屬性，使其全部接受和發(fā)布全部VPN 的路由，這樣就可以訪問全部的VPN(業(yè)務(wù)系統(tǒng))。

3.2 MPLS L2 VPN設(shè)計

針對集團專網(wǎng)用戶和PPPoE個人用戶接入互聯(lián)網(wǎng)存在的問題，本文采用MPLS L2 VPN技術(shù)為核心實現(xiàn)數(shù)據(jù)的透明傳輸，如圖5所示。

圖5 網(wǎng)絡(luò)用戶接入網(wǎng)絡(luò)示意圖

將PPPoE用戶集中認(rèn)證規(guī)劃為縱向業(yè)務(wù)，單位分支間的相互訪問規(guī)劃為橫向業(yè)務(wù)。

對于縱向業(yè)務(wù)VC規(guī)劃為1101…….其中第一位1代表縱向，第二位1代表業(yè)務(wù)種類，后二位根據(jù)業(yè)務(wù)節(jié)點數(shù)依次類推。

橫向業(yè)務(wù)VC規(guī)劃為2101…….其中第一位2代表橫向，第二位1代表業(yè)務(wù)種類，后二位根據(jù)業(yè)務(wù)節(jié)點數(shù)依次類推。部分代碼如圖6所示。

圖6 MPLS L2 VPN部分代碼

3 結(jié)束語

本文結(jié)合潞安集團現(xiàn)有網(wǎng)絡(luò)格局和BGP MPLS VPN、MPLS L2 VPN技術(shù)特點，基于RPR骨干環(huán)網(wǎng)以BGP MPLS VPN、MPLS L2 VPN為核心組網(wǎng)技術(shù)，實現(xiàn)了某一線路中斷時業(yè)務(wù)自動切換；解決了一個基礎(chǔ)網(wǎng)絡(luò)平臺之上，承載多個專網(wǎng)業(yè)務(wù)；確保了專網(wǎng)網(wǎng)絡(luò)業(yè)務(wù)的安全隔離；打通了多層網(wǎng)絡(luò)和路由之間的隧道互聯(lián)；減少了集團網(wǎng)絡(luò)管理員的維護(hù)量。同時為集團后續(xù)業(yè)務(wù)融入和網(wǎng)絡(luò)格局變動提供參考和基礎(chǔ)依據(jù)。

[1] 田莊.BGP MPLS VPN在民航中南寬帶數(shù)據(jù)網(wǎng)中的配置與應(yīng)用釋疑[J].通訊世界,2016(14):104-107.

[2] 徐志根,申曉峰,杜麗萍,等.MPLS L2 VPN的關(guān)鍵技術(shù)[J].西南交通大學(xué)學(xué)報,2006(1):54-57,62.

The Design and Realization of Multiple VPN Based on the RPR Ring Network of Lu’An Group

Wu Weimin, Ren Lujuan

(CommunicationCompanyofLu’anMineGroupLtd.，ChangzhiShanxi046204，China)

The data communication transmission network is the general platform for group production business and the information system. But the special nature of coal industry not only requires that the network does not affect the operation of the business in a certain period of interruption, but also requires that the various operating systems running on the network must be able to achieve effective isolation, supervision and management. This paper shows the design scheme for different network services and users, and introduces how to use BGP MPLS VPN and MPLS L2 VPN technology to make a business isolation on RPR ring network, and make sure the security and independence of the network. In this way, it can finally form the pattern of “one physical network, multiple virtual network” for the informatization construction of Lu'an Group.

Lu’an Mine Group Ltd.; RPR ring network; BGP MPLS VPN; MPLS L2 VPN

2017-04-16

武渭民(1982- )，男，陜西渭南人，工程師，從事煤礦通信技術(shù)及設(shè)備管理工作。

1674- 4578(2017)03- 0058- 04

TD 76;TP393.1

A