【摘 要】本文通過(guò)對(duì)MPLS VPN技術(shù)的介紹，通過(guò)現(xiàn)狀分析，闡述了在企業(yè)內(nèi)部網(wǎng)絡(luò)如何應(yīng)用MPLS VPN技術(shù)實(shí)現(xiàn)用戶對(duì)信息傳輸安全性、穩(wěn)定性的需求。

【關(guān)鍵詞】虛擬專用網(wǎng)絡(luò) 多協(xié)議標(biāo)記交換 安全性 穩(wěn)定性靈活性

一、前言

隨著企業(yè)規(guī)模的不斷擴(kuò)展，企業(yè)內(nèi)部間信息傳輸?shù)陌踩?，可靠性以及信息傳輸穩(wěn)定性變得越來(lái)越重要，各企業(yè)也越來(lái)越重視企業(yè)內(nèi)部間的網(wǎng)絡(luò)互連。因此，建設(shè)安全、可靠、穩(wěn)定、低成本的企業(yè)網(wǎng)絡(luò)成為企業(yè)的基礎(chǔ)課題。

然而，隨著IP-VPN技術(shù)迅速發(fā)展，使得IP-VPN技術(shù)也廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)建設(shè)當(dāng)中。而MPLSVPN是一種基于MPLS技術(shù)的IP-VPN，其能有效解決企業(yè)網(wǎng)絡(luò)組建中遇到的跨越公用網(wǎng)和跨越自治系統(tǒng)的需求，并且解決企業(yè)對(duì)于語(yǔ)音和視頻的通信需求。同時(shí)MPLS VPN還保證了網(wǎng)絡(luò)傳輸?shù)陌踩?、?shí)時(shí)性、穩(wěn)定性。這為現(xiàn)代異地辦公、移動(dòng)辦公數(shù)據(jù)安全性、可靠性及實(shí)現(xiàn)企業(yè)互連，提供了一種新的途徑和解決方案。

二、MPLS VPN技術(shù)在本企業(yè)的應(yīng)用

近年來(lái)，隨著企業(yè)國(guó)際化進(jìn)程的穩(wěn)步推進(jìn)，信息化已成為保障企業(yè)持續(xù)發(fā)展的重要手段之一。企業(yè)需要在提高企業(yè)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)速率和靈活性的同時(shí)，又能確保企業(yè)信息化的安全性與穩(wěn)定性，以及在降低投入到一個(gè)合理范圍的同時(shí)，滿足企業(yè)信息化發(fā)展的需求。

（一）本企業(yè)現(xiàn)狀

本企業(yè)的網(wǎng)絡(luò)是星形網(wǎng)絡(luò)架構(gòu)，通過(guò)總公司的廣域網(wǎng)與各基地相互連通的；新疆和新加坡是直接通過(guò)本企業(yè)建立的專線接入到燕郊核心交換機(jī)上，印尼分公司和墨西哥分公司是通過(guò)IPSEC VPN方式接入本企業(yè)燕郊內(nèi)網(wǎng)。本企業(yè)的數(shù)據(jù)中心建在燕郊，各基地和海外子公司都需要訪問(wèn)數(shù)據(jù)中心的相關(guān)數(shù)據(jù)，因此網(wǎng)絡(luò)流量都會(huì)集中在燕郊，從網(wǎng)絡(luò)架構(gòu)上說(shuō)，本企業(yè)的星型結(jié)構(gòu)中心點(diǎn)應(yīng)該是燕郊地區(qū)，而不是作為總公司的中心節(jié)點(diǎn)的北京地區(qū)，因此現(xiàn)有的網(wǎng)絡(luò)架構(gòu)存在著如下的問(wèn)題，核心網(wǎng)絡(luò)節(jié)點(diǎn)資源分配不足，部分網(wǎng)絡(luò)上聯(lián)網(wǎng)絡(luò)資源不足，局部網(wǎng)絡(luò)在特定時(shí)間段存在網(wǎng)絡(luò)瓶頸，網(wǎng)絡(luò)傳輸速率不足。

本企業(yè)的內(nèi)部網(wǎng)絡(luò)通過(guò)總公司的廣域網(wǎng)與各分站基地互聯(lián)通信的，同時(shí)，本企業(yè)的內(nèi)部網(wǎng)絡(luò)與總公司及其二級(jí)公司網(wǎng)絡(luò)也都是互通的，相互之間沒有充足的隔離手段，因此在數(shù)據(jù)傳輸?shù)陌踩陨洗嬖谳^大隱患。同時(shí)，由于本企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)扁平，生產(chǎn)網(wǎng)和測(cè)試網(wǎng)沒有進(jìn)行分離，由于測(cè)試系統(tǒng)的穩(wěn)定性與安全性都比較低，兩網(wǎng)在一起也存在著一定的安全隱患。

本企業(yè)燕郊、湛江、上海、深圳地區(qū)的核心網(wǎng)絡(luò)過(guò)于扁平化，如遇到網(wǎng)絡(luò)環(huán)路，就會(huì)造成整個(gè)網(wǎng)絡(luò)的癱瘓，嚴(yán)重影響用戶的日常辦公和各生產(chǎn)系統(tǒng)的正常運(yùn)行。隨著應(yīng)用系統(tǒng)的增多，重要系統(tǒng)的網(wǎng)絡(luò)帶寬保障需求日益突出，然而現(xiàn)有網(wǎng)絡(luò)架構(gòu)與設(shè)備無(wú)法在燕郊與各地做特殊應(yīng)用優(yōu)先保障策略，導(dǎo)致有的重要系統(tǒng)同步數(shù)據(jù)或上傳數(shù)據(jù)無(wú)法保障網(wǎng)絡(luò)傳輸平穩(wěn)正常。

隨著本企業(yè)信息化建設(shè)需求不斷增多，應(yīng)用系統(tǒng)的運(yùn)維模式向集中管理發(fā)展，企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性、安全性和轉(zhuǎn)發(fā)速率時(shí)刻影響著各地用戶。至此，網(wǎng)絡(luò)架構(gòu)不合理、轉(zhuǎn)發(fā)速率不足、穩(wěn)定性不夠、以及安全性不高已嚴(yán)重制約了企業(yè)信息化的發(fā)展。

（二）MPLS VPN在油服的應(yīng)用

1.設(shè)計(jì)方案

為滿足本企業(yè)的多網(wǎng)分離，專網(wǎng)專用，辦公與生產(chǎn)、測(cè)試相互隔離的需求，同時(shí)一定程度上解決網(wǎng)絡(luò)速度慢、穩(wěn)定性差、安全性低、網(wǎng)絡(luò)活動(dòng)性和擴(kuò)展性不靈活、QOS無(wú)法制定、舊網(wǎng)絡(luò)無(wú)法升級(jí)等問(wèn)題，充分利用MPLS VPN技術(shù)的優(yōu)勢(shì)，項(xiàng)目組制定了本企業(yè)獨(dú)特的兩橫兩縱VPN設(shè)計(jì)架構(gòu)。

本企業(yè)的MPLS VPN邏輯上分為兩橫兩縱，兩個(gè)橫向VPN分別為應(yīng)用共享VPN和測(cè)試共享VPN；兩個(gè)縱向VPN分別為辦公縱向VPN和科研縱向VPN。應(yīng)用共享VPN里規(guī)劃為本企業(yè)現(xiàn)運(yùn)行的各應(yīng)用系統(tǒng)；測(cè)試共享VPN為未正式上線的應(yīng)用系統(tǒng)；辦公縱向VPN為各基地、機(jī)關(guān)的普通用戶地址段；科研縱向VPN為各事業(yè)部要求網(wǎng)絡(luò)環(huán)境安全性比較高的用戶地址段。

2.實(shí)施過(guò)程

根據(jù)本企業(yè)各地理片區(qū)不同的網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不同情況，結(jié)合整體考量，MPLS VPN網(wǎng)絡(luò)改造從以下幾個(gè)步驟進(jìn)行的，首先，更換全網(wǎng)IP地址；其次，更換全網(wǎng)不滿足的核心設(shè)備和樓層設(shè)備；再次，增加全網(wǎng)網(wǎng)絡(luò)端口和光纖上鏈線路；最后，進(jìn)行MPLS VPN配置和遷移。根據(jù)前期的規(guī)劃，通過(guò)近兩年的實(shí)施，燕郊、湛江、塘沽、深圳和上海各地分站都劃分為邊緣區(qū)域，部署MCE設(shè)備，在MCE上分別建有本企業(yè)的兩橫兩縱VPN，只有新疆地區(qū)由于片區(qū)小，人數(shù)少，網(wǎng)絡(luò)結(jié)構(gòu)單一，所以配置為CE。本企業(yè)MPLS VPN項(xiàng)目完成后的網(wǎng)絡(luò)架構(gòu)如下圖所示。

圖MPLS 網(wǎng)絡(luò)拓?fù)鋱D

3.使用效果

自MPLS VPN項(xiàng)目改造以來(lái)，實(shí)施完成后的益處總結(jié)為以下幾點(diǎn)。

（1）提高本企業(yè)網(wǎng)絡(luò)的安全性

在實(shí)施MPLS VPN項(xiàng)目以前，集團(tuán)公司旗下任何一家二級(jí)單位都可以訪問(wèn)本企業(yè)的各應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)，一旦有一個(gè)單位網(wǎng)絡(luò)出現(xiàn)病毒，那么這些網(wǎng)絡(luò)病毒可以快速在廣域網(wǎng)中傳播；同時(shí)一旦該單位的網(wǎng)絡(luò)受到外部攻擊或者黑客進(jìn)入，很容易會(huì)攻擊到本企業(yè)的應(yīng)用系統(tǒng)及個(gè)人辦公電腦，在信息化安全不斷提高與強(qiáng)調(diào)的今天，這種網(wǎng)絡(luò)環(huán)境已經(jīng)不能滿足整個(gè)集團(tuán)以及本企業(yè)信息化發(fā)展的需要。在實(shí)施了MPLS VPN項(xiàng)目后，整個(gè)網(wǎng)絡(luò)環(huán)境從三方面體現(xiàn)了出了高安全性。不同VPN之間地址空間與路由信息的分離；骨干網(wǎng)絡(luò)拓?fù)鋵?duì)VPN用戶的隱藏；提高了網(wǎng)絡(luò)抵御惡意攻擊（如拒絕服務(wù)攻擊（DOS））以及網(wǎng)絡(luò)入侵的能力。

（2）提升各地局域網(wǎng)的網(wǎng)絡(luò)穩(wěn)定性

MPLS VPN實(shí)施后，優(yōu)化了各片區(qū)的網(wǎng)絡(luò)接入方式，湛江、燕郊、塘沽各地接入網(wǎng)絡(luò)都改成了雙上聯(lián)的不同路由區(qū)域，燕郊的同地區(qū)不同片區(qū)之間網(wǎng)絡(luò)接入也改成了不同的路由區(qū)域，提高了網(wǎng)絡(luò)的穩(wěn)定性。同時(shí)，同片區(qū)下不同VPN下的機(jī)器不再受到環(huán)路后的泛洪影響。根據(jù)PING值測(cè)試，MPLS VPN實(shí)施前各地存在著每10000個(gè)PING包會(huì)丟失50到150個(gè)包，實(shí)施MPLS VPN后測(cè)試PING 10000個(gè)包丟率為0%，網(wǎng)絡(luò)的穩(wěn)定性達(dá)到了最佳值。

（3）優(yōu)化網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

在實(shí)施MPLS VPN后，更換了燕郊、湛江、上海、深圳核心設(shè)備，提高了更換的各基地的數(shù)據(jù)轉(zhuǎn)換和處理能力，同時(shí)調(diào)整了網(wǎng)絡(luò)架構(gòu)，從本企業(yè)的網(wǎng)絡(luò)架構(gòu)看，現(xiàn)已調(diào)整為以燕郊為中心的星型雙鏈路架構(gòu)；更改了燕郊、湛江、塘沽、湛江、上海和深圳的接入方式，大多實(shí)現(xiàn)雙上聯(lián)冗余接入網(wǎng)絡(luò)，并且根據(jù)各基地的現(xiàn)有情況，調(diào)整核心交換機(jī)配置，使接入層交換機(jī)與核心交換機(jī)的選路達(dá)到最優(yōu)方式。

三、結(jié)束語(yǔ)

MPLS VPN網(wǎng)絡(luò)的實(shí)施僅只是企業(yè)對(duì)MPLS VPN技術(shù)研究與應(yīng)用的一個(gè)起點(diǎn)，相信隨著MPLS VPN技術(shù)的不斷發(fā)展和使用的深化，MPLS VPN技術(shù)的各種優(yōu)勢(shì)將逐步被應(yīng)用到我們的生產(chǎn)工作中去，并在我們的生產(chǎn)工作中發(fā)揮更加巨大的作用。

參考文獻(xiàn)：

[1] 趙雪石；MPLS VPN的優(yōu)勢(shì)及實(shí)施中應(yīng)注意的問(wèn)題[J]；湖北郵電技術(shù)；2004年05期.

[2] 胡國(guó)輝；崔可升；MPLS VPN原理及組網(wǎng)應(yīng)用[J]；電信技術(shù)；2005年12期.

作者簡(jiǎn)介：

作者姓名：黃農(nóng)壹，男，1985年09月23日—，畢業(yè)時(shí)間：2008-7，畢業(yè)院校：南陽(yáng)理工學(xué)院，專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)，職稱：網(wǎng)絡(luò)工程師。