肖永钦,王怡,陈嵩
(福建师范大学现代教育技术中心,福建福州350117)
MPLS VPN技术在校园网中规范化部署研究
肖永钦,王怡,陈嵩
(福建师范大学现代教育技术中心,福建福州350117)
结合高校对网络的需求,提出了MPLS VPN技术在高校校园网中部署规范设计和实施。通过功能区的划分、路由协议的设计及网络参数设计等方面进行详细分析MPLS VPN技术在校园网中规划、设计和部署,从而实现一网共用,资源共享,实现多业务统一部署。本文的研究的成果有助于规范化部署基于MPLS VPN校园网,为校园网中大规模部署MPLS VPN提供理论与实践指导,同时提高网络故障排查的速度,最大限度保障虚拟专用网的可用性、有效管理性和安全可靠运行的要求,从而节省了投资。
MPLS VPN;LDP;BGP;校园网;规范化
随着国家提倡集约型社会,提倡节约资源,那么是否有一种技术能够实现在一张物理网络上承载多张逻辑网呢?答案是肯定的,我们可以通过MPLS VPN[1]虚拟技术实现在一张校园网上承载多个专网,满足学校教学、办公、平安校园的需求。MPLS VPN是指采用MPLS(多协议标记转换)技术在IP网络上构建虚拟专用IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起。目前大家讨论比较多是MPLS VPN技术或某个具体案例,还比较少从学校实际需求层面来谈MPLS VPN技术的规范化部署。本文将以高校的实际需求出发,探讨在校园网中进行规范化部署MPLS VPN技术。
数字化校园业务对校园网络需求从大的方面来看,主要有如下八大类组成,具体如下。
1)教学与科研专网
在教学应用这块,主要包括在线视频授课、教学录像及课件的在线浏览和下载、学生和老师通过网络互动、远程答辩以及传统的学习信息查询等。在科研这块,主要包括课题报送与验收、远程网上协同工作、科研资源的共享、网格计算等。
2)办公网
办公自动化OA系统和各部门的管理系统的基础上建立统一的学校管理平台和信息平台。VOIP、视频会议系统和网络电视、网上直播系统等在学校内可以更好的、更便捷的进行沟通和信息交流。
3)视频监控专网
为了加强人身和财产安全,需要建立专项视频监控网,保障学校广大师生安全。
4)招生专网
为了保障招生网络信息系统的安全,通过专网与互联网隔离。
5)院系、部处专网
为了保障各个院系、部处专网的安全,使其只能内部互访而与其他部门隔离。
6)实验专网
为了保障各个学院实验设备的安全,通过专网与互联网隔离。
7)托管服务器
每个院系、部处的内部应用服务器,不需要上互联网,供每个院系、部处自己内部访问和一部分师生访问。
8)网站发布服务器
所有院系、部处的对公网发布的服务器,主要网站进行发布。
综上所述,我们建设的目的是能够通过构建一个统一、高效、可靠、安全的信息化平台,有效实现校园网各个院系、部处纵向专网隔离、横向授权访问和校园资源共享,形成统一的校园网络和资源共享平台。
2.1 MPLS VPN网络架构总体设计
根据数字化校园业务对校园网络需求,我们将以高校网络实际需求为出发点,设计MPLS VPN网络拓扑,详见图1。
图1 校园网MPLS VPN网络拓扑图Figure 1 Campus network MPLS VPN network topology
高校的所有院系、部处的接入单位统一接入进校园网中,通过MPLS/VPN技术实现统一出口、统一管理、业务隔离等业务功能需求。为了实现业务隔离,在校园网络中划分出四个功能区,每个功能区实现不同的业务需求。在中心端也存在相应的服务器功能区。每个接入单位可选4个功能区,各功能区介绍如下所示:
1)互联网区
它包括校园办公网,各接入院系、部处的互联网区是唯一具有Internet访问权限的区域,由校园网平台统一实现Interne的高速访问和安全控制;该功能区同时可以访问数据中心的互联共享区。
2)内联网区
它包括招生专网、视频监控专网、实验专网和院系、部处内部专网,内联网区即纵向访问区,同一院系、部处的各接入单位内联网区及其托管服务器区处于一个VPN中,实现各接入单位的互联互通,并与其他接入单位安全隔离。
3)互访区
它包括教学科研专网,互访区即横向访问区,按照不同学院、部处间特殊应用的互访要求,可通过互访区实现不同接入单位的横向受控访问。
4)共享区
各接入单位的共享区是唯一具有信息中心共享服务器访问权限的区域。
上述四个功能区为每个接入单位可选配置的四个功能区,除此之外数据中心划分如下服务器区:
5)公众服务器区
所有院系、部处的对公网发布的服务器都放置在该区域中,由网站管理中心统一管理。
6)托管服务器区
每个院系、部处的内部服务器(只能被该属于该接入单位的内联区访问)都放置在该区域中,由网站管理中心统一管理。
7)共享服务器区
所有学院、部处的接入单位的共享区都可以访问共享服务器区内的服务器,主要是一些内网资源。
8)互联共享区
该功能区对接入单位互联网区用户开放。
2.2 路由协议规划设计
核心P[1](Provider)设备与汇聚PE[1](Provider Edge)设备之间运行OSPF、LDP[2]、MP-BGP等协议,构成基于MPLS体系[3]的VPN骨干网络,所有接入单位下的用户数据在校园网中以标签包的形式进行传输。
汇聚PE设备同接入CE(customer edge)设备之间运行静态路由,PE设备上为每个接入单位的四个功能区创建相应的VRF[4](virtual routing forwarding),将VRF下的静态路由重发布进MP-BGP并通告进MPLS/VPN骨干网络。
CE设备上运行策略路由,将不同接入单位的不同功能区的数据向上转发进PE设备上相对应的VRF接口中。
2.2.1 骨干IGP设计
OSPF协议作为核心IGP[5](interior gateway protocol)协议在项目中应用较为简单,仅仅是用来保证BGP[5]、LDP(label distribution protocol)的邻居关系建立,承载BGP会话、LDP会话以及发布CE设备管理网段路由。
OSPF协议的最主要的作用就是保证所有P/PE设备的Loopback地址能够通告出去并通过OSPF路由可达。为了加快OSPF邻接关系的形成,将骨干网络中接口的OSPF网络类型统一修改为pointto-topoint。通过修改接口的OSPF Cost参数以影响OSPF选路。
2.2.2 MP-BGP设计
BGP对等关系设计,如果汇聚PE设备是单链路上联,则只与自己上联的核心P设备建立IBGP对等关系,如果汇聚PE设备是双链路上联(包括连接到其他汇聚PE设备),则与两个核心P设备都建立IBGP对等关系。所有的MP-IBGP对等体均采用Loopback地址做为更新源(update-source)。
2.2.3 路由反射器设计(RR)
图2 路由反射器设计Figure 2 Routing reflector design
两台核心P设备上需要将其做连接的汇聚PE指为反射器的客户端,同时两台核心P设备之间也必须互指为各自的客户端。
2.2.4 PE-CE路由协议设计
PE设备和CE设备间的互联方式如图3所示。
图3 PE-CE互联逻辑图Figure 3 The logic diagram of PE-CE interconnected
在PE设备上为每个接入单位的4个功能区创建4个互联SVI,并且这4个用于互联的SVI,分别关联进不同的VRF,然后在这4个VRF下分别配置该接入单位的各个功能区的静态回指路由,如图4所示:
2.2.5 互联网和共享区路由设计
在核心交换机上做连接的互联网和共享区,供接入单位互联网区内的用户既可以访问互联网也能够访问互联共享区内的服务器资源,这就要求接入单位互联区的VRF既能学习到访问互联网的默认路由,也能学习到互联共享区的明细路由,但是共享区内的服务器是不容许访问Internet。
MPLS/VPN网络中路由的学习与发布是通过对VRF的Export RT[6]、Import RT进行配置来实现的,即需要对接入单位的互联网区VRF的RT值、核心交换机上出口VRF的RT值以及核心交换机上连接互联共享区VRF的RT值进行配置,以实现上述需求。
2.3 网络参数设计
2.3.1 设备管理地址设计
核心P、汇聚PE设备采用Loopback0地址作为管理地址。
接入CE设备及CEX设备的管理IP地址采用172.31.xxx.nnn/24,其中xxx为汇聚PE设备的Loopback0地址的最后一个字节数100-131,nnn为CE设备的编号。
CE设备及CEX设备的管理VLAN采用VLAN9,网关地址为172.31.xxx.254,该地址在其所连接的PE设备上,如图5所示:
图5 CE设备管理IP地址设计Figure 5 The design of management IP address on the CE equipment
说明:CE设备管理网段不属于任何VRF,通过OSPF通告进骨干网络,属于骨干网络路由表的一部分。
2.3.2 功能区编号设计
互联网区:1;内联网区:2;互访区:3;共享区:4。
2.3.3 校区编号设计
针对目前大部分高校都有1至多个校区,如果在不同地市内,就按电话区号来命名,比如福州市的电话区号为0591,厦门市的电话区号为0592;如果在同一地市内有多个校区,就按电话区号+附加码,附加码取值范围为100~110。
2.3.4 接入单位编号设计
IP地址通常用“点分十进制”表示成(A.B.C.D)的形式,接入单位编号可取接入单位IP网段的“C”作为编号,比如:接入单位IP地址段为10.106.102.0/24,那么接入单位编号取102,以此类推。
2.3.5 PE编号设计
PE设备一般是一个楼群的汇聚设备,PE设备的编号取值范围为00~30,如果不够扩充PE,新增PE的编号将从31开始向后取。
2.3.6 接入单位命名设计
接入单位命名采用“校区编号_PE编号_接入单位编号”的方式。
2.3.7 VRF命名设计
需要在PE上面为每一个接入单位的每一个功能区创建一个VRF,VRF的命名规则采用“接入单位命名_功能区编号”方式。
2.3.8 设备命名设计
为便于日后运维,所有物理设备都应该有统一明确定义的命名规范,建议设备的命名应有如下信息组成:
物理位置+设备层次+设备管理IP地址+对端设备端口号,其中物理位置取其简称,比如:理工楼群,对应的编码为lglq;设备层次取值为“P、PE、CE”。
2.3.9 各接入单位功能区IP地址及VLAN设计
为各院系、部处在每个接入单位分配的IP地址,从10.0.0.0/8这个地址段中选取,分配原则如下所示接入单位地址采用“校区编号+功能区编号+院系编号”的分配方式,通过IP地址可以直观并唯一的确定接入用户的归属,该方式是将10.0.0.0/8这个地址空间的第2个字节进行拆分,前5个比特PE编号,后3个比特标识功能区编号,第三个字节标识接入单位编号,如图6所示。
图6 接入单位IP地址分配方法Figure 6 Access units IP address assignment method
考虑到互联网区内的用户数量较多,为互联网区分配两个地址段,将第二个字节的后3bits为全0的IP地址也分配给了互联网区作为预留。
VLAN号的分配方法采用“接入单位编号+功能区编号”方法进行定义。
2.3.10 Route Distinguisher设计
各接入单位的各功能区VRF的RD[7-8]的设计规则采用:“65500:1+PE编号+接入单位编号+功能区编号”这样的格式,如图7所示。
图7 接入单位功能区VRF RD分配方法Figure 7 Access units function type VRF RD allocation methods
数据中心PE上的各服务器区及Internet接入区的VRF的RD设计如下:
Internet接入区:65500:10000
服务器托管区:65500:2+接入单位编号+2
共享服务器区:65500:30000
2.3.11 Route Target设计
接入单位各功能区VRF以及数据中心的服务器区VRF的Route Target[9-10]设计规则如下:
1)接入单位互联网区VRF RT设计
Export Route Target:65500:10001
Import Route Target:65500:10000
在数据中心P上连接Internet的互联网接入区VRF的Route Target如下:
Export Route Target:65500:10000
Import Route Target:65500:10001
根据如上的设计规则,各接入单位的互联网区VRF之间无法学习到互相的路由,各接入单位的互联网区VRF能够学习到Internet互联网接入区VRF的默认路由,Internet互联网接入区VRF也能够学习到各接入单位的互联网区VRF路由,从而实现了各接入单位的互联网区可以访问Internet,但相互之间无法访问。
2)接入单位内联网区VRF RT设计
Export Route Target:65500:2+接入单位编号+2
Import Route Target:65500:2+接入单位编号+2
数据中心PE的托管服务器区VRF的Route Target如下:
Export Route Target:65500:2+接入单位编号+2
按照如上规则,处于不同PE下的同一院系、部处的接入单位的内联网区VRF以及该院系、部处放在数据中心托管区的服务器所处的VRF就可以相互学习路由,从而实现同一院系、部处以及该院系、部处的托管服务器间的纵向访问。
3)接入单位互访区VRF RT设计
Export Route Target:等于该功能区VRF所对应的RD值
Import Route Target:根据实际需求进行配置
根据如上规则,当两个不同接入单位之间需要互相访问时,只需要互相导入对方互访区VRF的Export Route Target即可,从而实现不同接入单位的横向互访。
4)接入单位共享区VRF RT设计
Export Route Target:65500:30001
Import Route Target:65500:30000
数据中心PE上的共享服务器区的VRF的Router Target如下:
Export Route Target:65500:30000
Import Route Target:65500:30001
同互联网区的VRF的RT规则相同,从而实现各接入单位的共享区VRF之间不能互相访问,只能访问数据中心PE上的共享服务器区VRF。
主要针对高校对网络需求,引入了MPLS VPN技术,基于理论与实践基础上,提出了MPLS VPN技术在校园网中规范化部署设计思路和实现机理,为MPLS VPN在校园网中大规模部署提供理论与实践指导。
[1]Rosen E,Rekhter Y.BGP/MPLS IP Virtual Private Networks (VPNs)[M].IETF RFC4364,2006.
[2]闫勇.MPLS技术研究及其应用.同煤科技,2010(4):16-19.
[3]Jim G,Ivan P.MPLS和VPN体系结构(修订版)[M].田果,刘丹宁,沈铮,译.北京:人民邮电出版社,2015.
[4]Ivan P,Jim G.MPLS and VPN architectures[M].Indianapolis:Cisco Press,2012.
[5]Zaheer A,Liu J,Abe M,et al.Troubleshooting IP routing protocols[M].Indianapolis:Cisco Press,2002.
[6]裴郁.MPLS VPN组网研究与实现[D].上海:复旦大学,2007.
[7]尹光成.IP路由技术详解与配置实践[M].北京:清华大学出版社,2012:98-102.
[8]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2009.
[9]符冰.MPLS VPN技术在校园网的研究和实现[D].上海:上海交通大学,2011.
[10]Jim G,Francois L F,Jean-Philippe V.MPLS网络设计权威指南[M].陈武,译.北京:人民邮电出版社,2007.
(责任编辑:叶丽娜)
MPLS VPN Technology Normalization Research Deployed in Campus Network
XIAO Yongqin,WANG Yi,CHEN Song
(Modern Education Technology Center,Fujian Normal University,Fuzhou,Fujian 350117)
In this pater,the MPLS VPN technology is applied in the college campus network deployment specification design and implementation,according to the demand of the colleges network.We make a detailed analysis of the division of functions,the design of routing protocols and network parameter design for deployment of the MPLS VPN technology in campus network,so as to realize the network sharing,the resource sharing and the unified plan of the business.The results of research will be helpful to the normalization of deploying MPLS VPN in campus network,campus network in large-scale deployment of MPLS VPN to provide theoretical and practical guidance,while improving network troubleshooting speed,maximize the protection of a virtual private network availability,effective management and requirements for safe and reliable operation,thus saving investment.
MPLS VPN;LDP;BGP;campus network;normalization
TP393.1
A文章标号:1674-2109(2016)12-0053-06
2016-05-27
肖永钦(1975-),男,汉族,工程师,主要从事网规、网络信息安全的研究。