MPLS VPN在高校网络中的应用研究

□冯国平

( 山西煤炭职业技术学院，山西 太原 030031)

随着高校信息化的不断建设与发展，校园网中各种新兴业务模型也不断涌现。当今数字化校园的业务体系架构中，业务系统可以分为以下几大类：教学支撑平台、电子教务平台、科研平台、数字图书馆、网络服务、其他业务(一卡通)等。这些系统构成了高校校园网核心业务平台，是学校的经脉，渗透在学校运转的各个方面，在学校的发展中起着极其重要的作用。同时，近年来随着高校的扩建、合并，很多学校存在2个以上的校区，各校区都设置了相同的职能部门，这就存在着不同校区相同部门及跨部门的业务系统的互通需求。原先针对不同部门不同业务类型采用的网络建设逻辑隔离或物理隔离的方式已经在投入成本及可扩展性方面受到极大的制约，学校IT部门希望通过一个统一的网络来为多种混合业务提供接入，实现多业务的融合，同时可以降低整体IT投资、简化管理。

一、如何实现多业务融合

学校数字化校园的建设中，资源整合、网络虚拟化是必然的发展趋势，学校的各业务部门间既有横向部门间的信息交互，又有纵向跨校区同部门的信息交互，在应用上，各部门用户经授权能访问纵向网络的相应资源；同时各部门用户经授权又能访问横向网络资源。因此，将来整个校园网络是由多条纵向专网、横向专网相连接形成的复杂结构，如何保证各部门的横向纵向网络形成虚拟的独立安全通道，进行逻辑网络的安全隔离，同时又可以方便地进行业务扩展呢？通常采用VPN(Virtual Private Network)技术来提供虚拟的安全通道，从而实现网络的安全隔离，但传统的端到端隧道加密方案IPSEC VPN由于需要专用设备，配置复杂，新业务上线需要由维护者重新配置大量的内容，也无法实现安全隔离后业务的互访，业务扩展性差，并不适合高校的业务往来模型。而MPLS VPN技术的出现，弥补了传统VPN的不足，很好地解决了业务的安全性与可扩展性需求。MPLS VPN是基于标签转发技术的一种VPN，在数据通信设备上应用标签交换协议来建立独立的安全通道，同时为各VPN之间的互访提供了可能。业务的部署和相互间的访问权限的控制更为灵活方便，如为财务系统开办一个独立的VPN网络，在需要访问财务系统的VPN业务类型里导入财务VPN的RT信息，就可以实现业务间的互通。MPLS VPN的易部署易扩展性非常适合当今高校校园网多业务融合的需求。目前MPLS L3 VPN，即BGP/MPLS VPN技术比较成熟，已经形成标准。

以下是MPLS VPN相比传统VPN的优势：1.安全性高。MPLSVPN采用了VRF、路由隔离(RT)、地址隔离(RD)等多种技术，同时在VPN内还可以运行如GRE、IPSEC等其他隧道加密技术提供安全保障。2.可扩展性。一台设备可支持大量的VRF划分；同一个VPN内用户节点的扩容更为容易，用户端的地址变更只需要在核心侧回指路由即可。3.多协议承载。由于采用了属于2.5层的标签交换技术，可方便承载IPV4、IPV6数据、语音、视频。4.服务质量保证。可采用MPLS TE流量工程为各业务提供不同的服务级别。5.易管理维护。VPN统一由信息中心维护，对业务的上线及业务互相隔离及访问的需求进行统一部署管理，减轻业务部门的负担。6.设备投资少。不需要为每个隔离业务投入设备，只需要在骨干网支持标签交换及BGP协议，用户侧只需要提供简单的普通交换机或路由器即可。

二、MPLS VPN的工作原理

MPLS VPN与传统的VPN不同，MPLS VPN不依靠封装和加密技术，MPLS VPN依靠转发表和数据包的标签来创建一个安全的VPN。MPLS VPN中的设备如图1所示。图中：P(Provider Router)，指骨干网中的核心路由器，主要完成路由和快速转发功能，不参与业务的接入。PE (Provider Edge Router)，指骨干网中的边缘路由器，主要负责VPN业务的接入，即VRF的划分；CE(Custom Edge)，直接与骨干边缘相连的用户设备； VRF(VPN Routing & Forwarding Instance)，虚拟路由转发实例，包含到一个或多个直接相连的CE的路由和转发表。报文是从CE设备发送到PE设备，其过程如图2所示。CE将报文发给与其相连的VRF接口，PE在本VRF的路由表中进行查找，得到了该路由的公网下一跳地址(即：对端PE的loopback地址)和私网标签。在把该报文封装一层私网标签后，在公网的标签转发表中查找下一跳地址，再封装一层公网标签后，交于MPLS转发。

MPLS VPN工作原理可以简单地描述为以下四步：1.路由器或者IP+ATM交换机通过使用网络服务供应商提供的内部网关协议(如OSPF、ISIS等)自动生成路由表。LDP标签协议使用路由表中的拓扑技术在邻近设备之间建立有价值的标签。经过这样的步骤后，在与目标节点之间建立了标签交换路由器或者可配置的路由地图，MPLS VPN的标签是自动分配的。2.入口数据包进入标签交换路由器中，在路由器中确定哪些第三层服务是需要的，如QoS和带宽管理。基于路由和策略需求，边缘标签交换路由器选择标签，并在数据包头中应用所选标签，然后继续向前传递数据包。3.核心标签交换路由器读取第一个数据的标签，并用本地发送路由表中的新的标签替换它，然后继续传递数据包。这一步需要在每一个路由器跃点中重复进行。4.出口边缘标签交换路由器取下数据包头中的标签，读取数据包头信息，然后继续传递数据包到目标网络地址。

MPLS标签在包括第三层信息的核心标签交换路由器中被重新比较、计算交换标签，允许每一个标签交换路由器自动为每一个数据包纠正IP服务。路由表被重新计算以使路由器的每一个跃点都不在重新进行以上步骤。

三、MPLS VPN在高校校园网中的实现

在整个校园网络中部署MPLS VPN，根据设备的作用将核心设备、区域汇聚、楼宇汇聚等分别设为P设备、PE设备、CE设备，将不同的业务部门或不同的应用划入不同的VPN，然后在PE设备中建立相应的VRF，如财务VRF、教务处VRF、互联网VRF、一卡通VRF等，对路由进行隔离，在MPLS域内通过动态分发的标签实现隧道式的转发。

学校MPLS VPN业务按如下规划：1. VRF规则。VPN路由和转发实例，是与一个或多个相连的客户站点相关联的路由和转发表，VRF只有本地意义，网络设计中VRF即相应应用系统相关联的路由和转发表。将需要隔离的业务划入VPN，建立相关路由和转发实例，其他业务保持原有的运行模式，如一卡通业务系统VPN划分为XX(学校名缩写)_YKT，校园监控系统VPN划分为XX(学校名缩写)_XYJK。2. Route-Distinguisher规则。VPN设计中采用如下RD值的格式：16位自治系统号；32位用户自定义数字。由于RD与VRF相捆绑，也即PE设备上每个VRF表中的所有VPN-IPv4路由将使用同一个RD值，RD值保证了VPN-IPv4路由在PE设备上的唯一性，所以必须全局统一分配，如表1所示。3. Route-Target规则。通过配置VRF(路由转发实例)的route target属性，可以实现不同业务的VPN。不同路由器通过route target相关联而组成可以互相访问的集合，也就是说，VPN的成员关系是通过路由所携带的route target属性来获得的。不同CE 通过PE 配置的VRF 里的Target实现互访与隔离，从而组成不同的VPN。RT值的格式：16位自治系统号；32位用户自定义数字，如表2所示(ASN由学校自行规划私有BGP自治域号)。

四、采用MPLS VPN的优势

1. VPN实现网络安全。VPN以多种方式增强了网络的智能和安全性。具有高度的安全性，对于现在的网络是极其重要的。2. 降低成本。由于 VPN独立于初始的协议，这就使得接入用户可以继续使用传统的设备，保护了用户在现有硬件和软件系统上的投资。3. 容易扩展。新的需要隔离的业务上线只需要创建新的VRF实例将业务系统间需要访问的规则导入即可。4. 支持新兴应用。许多专用网对于许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。MPLS VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等。

总之，利用 MPLS VPN技术改造传统的校园网，为校园数字化的进一步发展提供了可靠的技术保障。同时可以推动学校IT部门实现网络资源提升，推动资源整合，保护学校的IT整体投资，实现网络资源虚拟化，更加有利于学校信息化建设的发展。

参考文献：

[1]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.

[2]Ivan Pepelnjak, Jim Guichard and Jeff Apcar.卢泽新，朱培栋，齐宁译. MPLS和VPN体系结构(第2卷)[M]. 北京:人民邮电出版社,2004.

[3]李晓东.MPLS技术与实现[M].北京:电子工业出版社, 2002.

[4]石晶林，丁炜.MPLS宽带网络互联技术[M].北京:人民邮电出版社,2001.

[5]Bruce Davie, Yakov Rekhter.罗志祥,朱志实,黄本雄等译.多协议标签交换技术与应用[M].北京:机械工业出版社,2001.

[6]彭晖.新型的骨干网路由平台——MPLS[M].北京:人民邮电出版社,2002.

表1 VRF—RD对应属性值

VRF名称RD(ASN由学校自行规划私有BGP自治域号)一卡通VRFASN:1校园监控VRFASN:2互联网VRFASN:3财务VRFASN:4，……

表2 VPN —RT对应属性值

VPN名称ExportRTImportRT一卡通VRFASN:1ASN:1校园监控VRFASN:2ASN:2互联网VRFASN:3ASN:3财务VRFASN:4ASN:4………………

图1 MPLS VPN通信网络结构

图2 报文从CE到PE的转发