MPLS组网安全问题的解决方案

汤健 邓建伟 杨笑

本文研究了MPLS组网和IPRAN组网的各自特点并分析了MPLS组网中的安全问题。为解决这个问题设计了4种解决方案，并进行了对比。得出利用IPRAN组网是解决安全问题最佳方案的结论。结合案例提出了具体的网络改造实施步骤。

随着计算机技术及互联网技术的迅猛发展，网络已成为人们生产生活必不可缺的工具之一。网络安全不仅关系到个人，同时对机构乃至于国家安全和社会稳定也造成了深远的影响，已逐步上升到国家战略层面。

虚拟专用网（VPN）技术是目前各类机构办公生产的主要组网方式之一。MPLS_VPN技术以其低廉的价格、灵活的组网方式等优点成为大部分机构的首选VPN组网技术。

IPRAN是指IP化的移动回传网。目前主要用于承载无线网业务流量，IPRAN网络因其具备的多种网络保护技术使得网络的安全性和可用性非常高。

现状及问题

目前机构用户组建自用封闭VPN时，主要涉及几个步骤：组网需求分析、拓扑规划、网络接入及改造。

机构用户通过租用运营商的MPLS_VPN网络组网。机构分支点就近接入运营商机房，三层网关处于运营商的PE路由器上。

在规划VPN网络时，所有VPN的数据包都要通过PE，即运营商的边缘路由器进行三层转发。在某些情况下MPLS_ VPN技术有可能造成数据安全问题。比如：PE-CE间路由入侵、MPLS_VPN本身不提供加密等。由此便有机构产生“专网三层改二层”的业务需求。

方案设计及对比

通过以上的分析，设计了4种改造方案来消除这些问题。

方案1：租用运营商裸光纤。此方案网络的管理权完全在机构手中，但裸光纤物理安全性低，随着城市建设等原因光缆中断会成为家常便饭，如没有一定的保护机制，对于机构来说将是一场灾难。同时当机构的节点距离其他节点或总店的距离过长时，组网也会受到很大的限制。

方案2：租用运营商MSTP电路方式。MSTP技术主要是利用SDH技术实现的多业务传输平台，是目前专线电路的主要承载方式。但因其技术老旧，大部分厂家已停止相关技术的研发，甚至已对相关设备做停产安排。同时，因为SDH技术的特性。网络资源是独占狀态无法复用，故其价格相对较高。

方案3：利用三层网络组建二层VPN。此方案对运营商的边缘路由器，即PE的要求较高，同时配置较复杂，故障排查也相对非常困难。

因此，我们创造性的提出，利用目前承载移动互联网的IPRAN网络来实现此类用户的需求，也就是方案四。

方案4：利用IPRAN建立二层VPN。利用IPRAN网络为用户改造之后，所有机构节点的网关处于机构自身汇聚点的汇聚设备上，运营商的IPRAN网络仅为机构提供二层通道。

该方案优点在于机构总点、下属分支汇聚点只需做一次性接入，物理端口没有变化，用户如有需要还可自行部署动态路由协议，提高网络的可用性和稳定性。

方案实施

为保障机构的网络平稳过渡，设计了此类网络改造的一般性实施方案。具体如下：

（1）分析机构现网的网络拓扑结构及访问需求，明确各个分支节点与总点以及各分支节点之间的访问需求。

（2）对主要节点的改造实施

在具体实施过程中，考虑到机构总点的特殊性和重要性以及网络逐步过渡的主要目标，在机构的现有与运营商对接的MV线路中间，插入一台汇聚交换机设备并首先实施总点的业务割接，同时将此汇聚交换机与IPRAN网络打通，保证了原有MPLS_VPN网络中节点与总点之间的正常访问。

（3）其余节点的改造实施

在总点完成改造后，机构的各个分支节点逐步完成IPRAN网络的接入。通过IPRAN网络的PW技术为其分支点打通二层通道。

待所有节点改造完成后，总点即可关闭原有运营商提供的MPLS_VPN网络线路，所有流量通过IPRAN网络转发，网络安全得到了可靠的保障，完全满足该机构对此次网络改造的需求。

通过这次网络改造证明IPRAN也可以用于某些大型机构组网建设。因IPRAN底层的IP特性使其可以利用如BFD等保护技术实现快速故障恢复、网络倒换。随着IP技术的不断发展，IPRAN以及后续不断涌现的各类先进的IP网络技术，会成为今后网络承载的主要力量，网络IP化一定会成为网络演进的主力军。