湯健 鄧建偉 楊笑

本文研究了MPLS組網(wǎng)和IPRAN組網(wǎng)的各自特點(diǎn)并分析了MPLS組網(wǎng)中的安全問(wèn)題。為解決這個(gè)問(wèn)題設(shè)計(jì)了4種解決方案，并進(jìn)行了對(duì)比。得出利用IPRAN組網(wǎng)是解決安全問(wèn)題最佳方案的結(jié)論。結(jié)合案例提出了具體的網(wǎng)絡(luò)改造實(shí)施步驟。

隨著計(jì)算機(jī)技術(shù)及互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)已成為人們生產(chǎn)生活必不可缺的工具之一。網(wǎng)絡(luò)安全不僅關(guān)系到個(gè)人，同時(shí)對(duì)機(jī)構(gòu)乃至于國(guó)家安全和社會(huì)穩(wěn)定也造成了深遠(yuǎn)的影響，已逐步上升到國(guó)家戰(zhàn)略層面。

虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)是目前各類(lèi)機(jī)構(gòu)辦公生產(chǎn)的主要組網(wǎng)方式之一。MPLS_VPN技術(shù)以其低廉的價(jià)格、靈活的組網(wǎng)方式等優(yōu)點(diǎn)成為大部分機(jī)構(gòu)的首選VPN組網(wǎng)技術(shù)。

IPRAN是指IP化的移動(dòng)回傳網(wǎng)。目前主要用于承載無(wú)線網(wǎng)業(yè)務(wù)流量，IPRAN網(wǎng)絡(luò)因其具備的多種網(wǎng)絡(luò)保護(hù)技術(shù)使得網(wǎng)絡(luò)的安全性和可用性非常高。

現(xiàn)狀及問(wèn)題

目前機(jī)構(gòu)用戶(hù)組建自用封閉VPN時(shí)，主要涉及幾個(gè)步驟：組網(wǎng)需求分析、拓?fù)湟?guī)劃、網(wǎng)絡(luò)接入及改造。

機(jī)構(gòu)用戶(hù)通過(guò)租用運(yùn)營(yíng)商的MPLS_VPN網(wǎng)絡(luò)組網(wǎng)。機(jī)構(gòu)分支點(diǎn)就近接入運(yùn)營(yíng)商機(jī)房，三層網(wǎng)關(guān)處于運(yùn)營(yíng)商的PE路由器上。

在規(guī)劃VPN網(wǎng)絡(luò)時(shí)，所有VPN的數(shù)據(jù)包都要通過(guò)PE，即運(yùn)營(yíng)商的邊緣路由器進(jìn)行三層轉(zhuǎn)發(fā)。在某些情況下MPLS_ VPN技術(shù)有可能造成數(shù)據(jù)安全問(wèn)題。比如：PE-CE間路由入侵、MPLS_VPN本身不提供加密等。由此便有機(jī)構(gòu)產(chǎn)生“專(zhuān)網(wǎng)三層改二層”的業(yè)務(wù)需求。

方案設(shè)計(jì)及對(duì)比

通過(guò)以上的分析，設(shè)計(jì)了4種改造方案來(lái)消除這些問(wèn)題。

方案1：租用運(yùn)營(yíng)商裸光纖。此方案網(wǎng)絡(luò)的管理權(quán)完全在機(jī)構(gòu)手中，但裸光纖物理安全性低，隨著城市建設(shè)等原因光纜中斷會(huì)成為家常便飯，如沒(méi)有一定的保護(hù)機(jī)制，對(duì)于機(jī)構(gòu)來(lái)說(shuō)將是一場(chǎng)災(zāi)難。同時(shí)當(dāng)機(jī)構(gòu)的節(jié)點(diǎn)距離其他節(jié)點(diǎn)或總店的距離過(guò)長(zhǎng)時(shí)，組網(wǎng)也會(huì)受到很大的限制。

方案2：租用運(yùn)營(yíng)商MSTP電路方式。MSTP技術(shù)主要是利用SDH技術(shù)實(shí)現(xiàn)的多業(yè)務(wù)傳輸平臺(tái)，是目前專(zhuān)線電路的主要承載方式。但因其技術(shù)老舊，大部分廠家已停止相關(guān)技術(shù)的研發(fā)，甚至已對(duì)相關(guān)設(shè)備做停產(chǎn)安排。同時(shí)，因?yàn)镾DH技術(shù)的特性。網(wǎng)絡(luò)資源是獨(dú)占狀態(tài)無(wú)法復(fù)用，故其價(jià)格相對(duì)較高。

方案3：利用三層網(wǎng)絡(luò)組建二層VPN。此方案對(duì)運(yùn)營(yíng)商的邊緣路由器，即PE的要求較高，同時(shí)配置較復(fù)雜，故障排查也相對(duì)非常困難。

因此，我們創(chuàng)造性的提出，利用目前承載移動(dòng)互聯(lián)網(wǎng)的IPRAN網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)此類(lèi)用戶(hù)的需求，也就是方案四。

方案4：利用IPRAN建立二層VPN。利用IPRAN網(wǎng)絡(luò)為用戶(hù)改造之后，所有機(jī)構(gòu)節(jié)點(diǎn)的網(wǎng)關(guān)處于機(jī)構(gòu)自身匯聚點(diǎn)的匯聚設(shè)備上，運(yùn)營(yíng)商的IPRAN網(wǎng)絡(luò)僅為機(jī)構(gòu)提供二層通道。

該方案優(yōu)點(diǎn)在于機(jī)構(gòu)總點(diǎn)、下屬分支匯聚點(diǎn)只需做一次性接入，物理端口沒(méi)有變化，用戶(hù)如有需要還可自行部署動(dòng)態(tài)路由協(xié)議，提高網(wǎng)絡(luò)的可用性和穩(wěn)定性。

方案實(shí)施

為保障機(jī)構(gòu)的網(wǎng)絡(luò)平穩(wěn)過(guò)渡，設(shè)計(jì)了此類(lèi)網(wǎng)絡(luò)改造的一般性實(shí)施方案。具體如下：

（1）分析機(jī)構(gòu)現(xiàn)網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及訪問(wèn)需求，明確各個(gè)分支節(jié)點(diǎn)與總點(diǎn)以及各分支節(jié)點(diǎn)之間的訪問(wèn)需求。

（2）對(duì)主要節(jié)點(diǎn)的改造實(shí)施

在具體實(shí)施過(guò)程中，考慮到機(jī)構(gòu)總點(diǎn)的特殊性和重要性以及網(wǎng)絡(luò)逐步過(guò)渡的主要目標(biāo)，在機(jī)構(gòu)的現(xiàn)有與運(yùn)營(yíng)商對(duì)接的MV線路中間，插入一臺(tái)匯聚交換機(jī)設(shè)備并首先實(shí)施總點(diǎn)的業(yè)務(wù)割接，同時(shí)將此匯聚交換機(jī)與IPRAN網(wǎng)絡(luò)打通，保證了原有MPLS_VPN網(wǎng)絡(luò)中節(jié)點(diǎn)與總點(diǎn)之間的正常訪問(wèn)。

（3）其余節(jié)點(diǎn)的改造實(shí)施

在總點(diǎn)完成改造后，機(jī)構(gòu)的各個(gè)分支節(jié)點(diǎn)逐步完成IPRAN網(wǎng)絡(luò)的接入。通過(guò)IPRAN網(wǎng)絡(luò)的PW技術(shù)為其分支點(diǎn)打通二層通道。

待所有節(jié)點(diǎn)改造完成后，總點(diǎn)即可關(guān)閉原有運(yùn)營(yíng)商提供的MPLS_VPN網(wǎng)絡(luò)線路，所有流量通過(guò)IPRAN網(wǎng)絡(luò)轉(zhuǎn)發(fā)，網(wǎng)絡(luò)安全得到了可靠的保障，完全滿(mǎn)足該機(jī)構(gòu)對(duì)此次網(wǎng)絡(luò)改造的需求。

通過(guò)這次網(wǎng)絡(luò)改造證明IPRAN也可以用于某些大型機(jī)構(gòu)組網(wǎng)建設(shè)。因IPRAN底層的IP特性使其可以利用如BFD等保護(hù)技術(shù)實(shí)現(xiàn)快速故障恢復(fù)、網(wǎng)絡(luò)倒換。隨著IP技術(shù)的不斷發(fā)展，IPRAN以及后續(xù)不斷涌現(xiàn)的各類(lèi)先進(jìn)的IP網(wǎng)絡(luò)技術(shù)，會(huì)成為今后網(wǎng)絡(luò)承載的主要力量，網(wǎng)絡(luò)IP化一定會(huì)成為網(wǎng)絡(luò)演進(jìn)的主力軍。