随着IP城域网的发展,具有解决企业互连能力和提供丰富业务能力的MPLS VPN技术正日益成为网络运营商开展新型增值业务的重要手段。MPLS VPN技术可将物理IP网络划分为逻辑上互相隔离的网络,这种基于逻辑隔离的网络的应用范围非常广泛:如企业内部互连、企业间共享互连、政府部门内部互连等,也可基于业务组建VPN(如IP电话VPN、视频VPN)。基于华为Quidway S8016核心路由交换机的MPLS/BGP VPN解决
方案,在网络安全、网络优化、带宽控制、业务提供和网络管理等方面显示出了很大优势。本文将结合铁通桂林IP城域网的
优化改造工程,分析S8016 MPLS/BGP三层VPN的应用。
一、桂林铁通IP城域网概况 桂林铁通城域网IP网采用层次化结构,整个网络分为骨干层、汇聚层和接入层。其中:骨干层采用核心路由器NE80,上行与CRNET骨干网桂林节点设备相连,实现城域网业务的快速转发;汇聚层采用核心路由交换机S8016,实现城域网内业务的聚合/分发;接入层采用MA5200和二层交换机,通过综合布线系统,利用光纤、五类线等方式覆盖小区、大楼,为用户提供10/100M业务接口。
图1 桂林铁通IP城域网拓扑 桂林铁通IP城域网用户通过MA5200动态获取IP地址,在S8016上根据策略进行地址转换。为了向银行、政府、大企业提供专线业务,同时解决IP公网地址紧缺的问题,桂林铁通对IP城域网进行了MPLS改造和
优化。
二、桂林铁通内部办公局域网的拓扑及其存在的问题 桂林铁通内部办公网由桂林会展中心、桂北、桂南(铁道饭店)三个物理局域网组成,承载在桂林铁通IP城域网上。由于用户使用的是私有IP地址,各局域网之间无法互联互通,严重地影响到分布式办公系统的应用效果,降低了办公效率。图2为桂林铁通广泛使用的客户服务(CRIS)办公子系统,它通过位于会展中心的人工座席获取用户信息并且录入到相应的数据库后,自动分发到桂南、桂北的客户端。桂南和桂北相应部门的终端能够及时处理用户需求,决策部门也可以随时查看或监控任务的进展,从而提高办公效率。
图2 桂林铁通内部办公局域网示意图 网络改造前,办公网存在着一系列问题:
桂南、桂北两个局域网均采用私有IP地址,无法实现与会展中心的互联互通,每天CRIS座席录入的数据只能通过手工从数据库导出后进行分类和统计,然后传真或送到桂南、桂北;
为了实现三地的互联互通,可采用全公网地址方案,考虑到公网地址资源紧缺和网络安全等因素,此
方案的扩展性较差;
局域网内开展的视频和语音应用得不到有效的QoS保证。
采用MPLS/BGP VPN承载CRIS办公子系统可解决上述问题。
三、桂林铁通内部办公局域网的MPLS VPN改造和优化 会展中心是铁通桂林分公司信息中心的所在地,其局域网结构包括三部分:信息中心办公系统、智能会展系统和客服CRIS子系统。同时,铁通内部的Web、Mail等服务器也在该局域网,对有外部访问需求的服务器由PIX静态绑定公网地址,人工座席通过代理服务器访问Internet。
在网络改造和
优化的过程中,用户提出了诸多需求:
不要大量更改办公网的现有设置,特别是IP地址规划,新增的IP地址必须是私网地址,可动态获取;
充分利用现有的网络设备和布线系统;
安全性要求高,既要与公网隔离,又要保证访问公网的安全性;
配置简单,网络容易规划和管理;
网络
优化工程不要影响办公系统的正常运行,可方便地扩充网络节点,网络具有可剪裁性和可扩展性。
基于S8016 MPLS/BGP VPN功能,华为提供了图3所示的组网
方案,成功地解决了上述的用户需求。
图3 桂林铁通内部办公网CRIS VPN网络示意图 1、MPLS+VLAN的VPN组网模型
会展中心、桂北和桂南的CRIS用户属于同一个VPN,用户通过各物理局域网的MA5200或二层交换机接入网络。CRIS VPN用户被划分到不同的VLAN中,同时为该VLAN分配相应的网段,网关设置在S8016/NE80上,此时MA5200仅仅实现二层转发(VLAN透传)功能。VPN用户通过不同的网关接入S8016/NE80,在S8016/NE80上为VPN用户关联一个单独的路由/转发表,分离的路由表防止数据泄漏到VPN之外,同时也防止VPN之外的数据进入,从而提供与面向连接的传统VPN相同的安全等级。
S8016/NE80通过LDP建立MPLS标记交换路径(LSP),在标记交换路径的入口将VPN数据报文打上MPLS标签,中间路由器在收到MPLS报文后直接根据MPLS标签进行转发;在MPLS标记交换路径的出口,弹出MPLS标签,还原为普通IP包;最后,S8016/NE80根据IP报文中的目的IP地址,找到相应网关打上VLAN ID,实现VPN业务。
2、防火墙+NAT访问公网模型
MPLS VPN直接构建在公网,实现简单、方便、灵活。但是,公网访问的安全性问题突出,必须确保VPN传送的数据不被攻击者窥视和篡改,而且还要防止非法用户对网络资源或私有信息的访问。
桂林铁通桂南、桂北的CRIS客户端与会展中心的CRIS服务器的访问是在VPN内进行的,MPLS VPN本身可有效地保证访问的安全性。桂北和会展中心的CRIS VPN用户有访问Internet的需求,根据组网的实际情况,桂北和会展中心分别采取了NAT和防火墙方式访问Internet。
桂北的VPN用户通过ISN8850 NAT方式访问Internet,这种方式屏蔽了内部网络的实际地址,外部网络无法穿透地址代理来直接访问内部网络。会展中心的局域网采用防火墙方式阻止外网对内网的未授权或未验证的非法访问,同时允许外部用户访问铁通内部的Web、Mail服务器。会展中心的VPN用户访问Internet是通过PIX防火墙实现的。
3、MPLS VPN的QoS保证
根据桂林铁通IP城域网的特点,采用成熟的Diffserv模型构建QoS保障体系,区分不同的服务并提供相应的服务质量。
MPLS VPN在城域网接入层的CE设备上,可通过用户数据流信息灵活地限制用户的带宽,进行简单流分类,并基于端口实现二层COS和DSCP的相互映射。在汇聚层PE设备S8016上,通过DS Aware DS、LSP备份/快速切换、LSP带宽自动调整等手段实现MPLS QoS,VPN用户经过二层网络将VLAN ID Trunk至PE后,可在PE的用户接入侧将DSCP映射到EXP,同时基于源端口、源VLAN ID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀、应用识别、内容识别等信息进行复杂的流分类。在MPLS域内,根据报文的EXP区分不同的服务种类,再根据服务种类的优先级在网络中通过队列调度、拥塞控制和输出流整形等功能,区分视频、语音和数据业务,保证带宽、时延、抖动保持在允许的范围内,为用户提供相应的服务质量等级。
除此以外,桂林铁通IP城域网MPLS/BGP VPN组网
方案还具有一系列特点:
■ 网络的扩展性和可剪裁性强
目前CRIS VPN系统只有三个Site,节点扩展非常容易,不会更改现有的设置,也不会影响现有的业务。
■ 节约公网地址和支持地址重叠
PE、CE互连的地址和用户地址均采用私网IP地址,节约公网IP地址,VPN用户的私网地址由S8016动态分配,非常灵活,减化了局域网烦琐的用户设置环节。
■ 充分利用现有设备,节约用户投资
在S8016/NE80 MPLS VPN组网
方案中,充分考虑到桂林铁通的网络现状,保护用户投资。网络的结构、路由协议、IP地址分配等均可保持原状,工程建设不会导致长时间的网络异常。