基于MPLS VPN校园网多业务系统运用.docVIP

基于MPLS VPN校园网多业务系统运用 　　摘 要：本文介绍了MPLS（Multi-Protocol Label Switching）及VPN（Virtual Private Network）技术，阐述了MPLS VPN技术的工作原理与实现方法，并通过某高校总校区和分校区校园网络建设的实例，详细说明了MPLS VPN网络技术在高校校园网中针对教学、科研和OA（办公自动化）等多业务系统的综合高效应用。 　　关键词：MPLS VPN；多业务系统；校园网 　　中图分类号：TP393.18文献标识码：A 文章编号：1673-8454（2011）03-0019-03 　　 　　一、 引言 　　由于高校信息化程度不断加深，校园网上各种管理应用系统平台不断增加，各种各样的网络需求和安全问题对传统校园网提出了巨大的挑战，如何实现学校教学、科研、OA等多个业务系统的“隔离与受控访问”，并能检测、调节、设定不同业务优先级，提供多等级校园网络服务质量，优化网络性能，成为校园网工程改造的难题。由于MPLS VPN技术能够非常简单地实现学校各部门之间的横向和纵向互访，并且在增加新的节点时，不需要对原有节点的配置进行修改。所以相对其他VPN技术，采用MPLS技术组建的VPN具有更好的可维护性及可扩展性，MPLS VPN更适合于组建较大规模的复杂的VPN网络，已经成为建设校园网的主流技术。 　　二、 MPLS VPN技术原理 　　1．MPLS VPN简介 　　伴随互联网及网络技术的发展，VPN技术被广泛地应用。通过VPN技术，可以借助于互联网来构建一个临时的、安全的连接，从而实现在互联网上安全地传输私有数据。早期的ＶＰＮ主要使用永久虚电路（ＰＶＣ）和隧道技术，随着网络连接范围的扩大，其可扩展性和管理的问题越来越突出。为了解决这个问题，产生了基于MPLS的多VPN系统，通过在VPN系统中采用MPLS技术可以建设能够支持多种业务级别并且能够无限扩展的全互连IP-VPN。 　　MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同站点组成的集合，一个站点可以属于不同的VPN，属于同一VPN的站点具有IP连通性，不同VPN间可以有控制地实现互访与隔离。 　　MPLS VPN网络主要由三部分组成：CE、PE和P。CE路由器是客户端路由器，为用户提供到PE路由器的连接； P路由器是运营商网络主干路由器，也就是MPLS网络中的LSR，它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护PE路由器的路由信息而不维护VPN相关的路由信息；PE路由器是运营商边缘路由器，也就是MPLS网络中的LER，它根据存放的路由信息将来自CE路由器或LSP的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息。 　　2．VPN路由转发表 　　MPLS VPN通过VPN路由转发表和MPLS中的LSP来实现路由隔离和信息隔离。在PE路由器上，存在有多个VRF表，这些VRF表是和PE路由器上的一个或多个子接口相对应的，用于存放这些子接口所属VPN路由信息。通常情况下，VRF表中只包含一个VPN的路由信息，但是当子接口属于多个VPN时，其所对应的VRF表中就包含了子接口所属的所有VPN的路由信息。 　　VPN中IP地址的规划是由客户自行制订的，因而有可能会出现客户选择在RFC1918中定义的私有地址作为他们的站点地址或者不同的VPN使用相同的地址域，即地址重叠。地址重叠将导致BGP无法区分来自不同VPN的重叠路由，而导致某个站点不可达。 　　MPLS VPN在使用多个VRF表的基础上，引入了路由区分符RD。RD具有全局唯一性，通过将8个字节的RD作为IPv4地址前缀的扩展，使不唯一的IPv4地址转化为唯一的VPN-IPv4地址，如图2所示。VPN-IPv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。 　　RD和VRF表之间建立了一一对应的关系。通常情况下，对于不同PE路由器上属于同一个VPN的子接口，为其所对应的VRF表分配相同的RD。如果VPN和VRF之间没有一一对应的映射，路由器如何知道要将哪条路由插入到哪个VRF中呢？MPLS VPN通过引入路由目标RT来解决这一情况。从VRF导出时，将使用一个或多个RT对每条VPN路由进行标记。 　　RT分成Import RT和Export RT，分别用于路由信息的导入、导出策略。当从VRF表中导出VPN路由时，要用Export RT对VPN路由进行标记；在往VRF表中导入VPN路由时，只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中。RT具有全局唯一性，并且只能被一个VPN使用。 　　三、某高校MPLS VPN架构 　　1．