肖永欽，王怡，陳嵩

（福建師范大學現(xiàn)代教育技術(shù)中心，福建福州350117）

MPLS VPN技術(shù)在校園網(wǎng)中規(guī)范化部署研究

肖永欽，王怡，陳嵩

（福建師范大學現(xiàn)代教育技術(shù)中心，福建福州350117）

結(jié)合高校對網(wǎng)絡(luò)的需求，提出了MPLS VPN技術(shù)在高校校園網(wǎng)中部署規(guī)范設(shè)計和實施。通過功能區(qū)的劃分、路由協(xié)議的設(shè)計及網(wǎng)絡(luò)參數(shù)設(shè)計等方面進行詳細分析MPLS VPN技術(shù)在校園網(wǎng)中規(guī)劃、設(shè)計和部署，從而實現(xiàn)一網(wǎng)共用，資源共享，實現(xiàn)多業(yè)務統(tǒng)一部署。本文的研究的成果有助于規(guī)范化部署基于MPLS VPN校園網(wǎng)，為校園網(wǎng)中大規(guī)模部署MPLS VPN提供理論與實踐指導，同時提高網(wǎng)絡(luò)故障排查的速度，最大限度保障虛擬專用網(wǎng)的可用性、有效管理性和安全可靠運行的要求，從而節(jié)省了投資。

MPLS VPN；LDP；BGP；校園網(wǎng)；規(guī)范化

隨著國家提倡集約型社會，提倡節(jié)約資源，那么是否有一種技術(shù)能夠?qū)崿F(xiàn)在一張物理網(wǎng)絡(luò)上承載多張邏輯網(wǎng)呢？答案是肯定的，我們可以通過MPLS VPN[1]虛擬技術(shù)實現(xiàn)在一張校園網(wǎng)上承載多個專網(wǎng)，滿足學校教學、辦公、平安校園的需求。MPLS VPN是指采用MPLS（多協(xié)議標記轉(zhuǎn)換）技術(shù)在IP網(wǎng)絡(luò)上構(gòu)建虛擬專用IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務通信，并結(jié)合差別服務、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起。目前大家討論比較多是MPLS VPN技術(shù)或某個具體案例，還比較少從學校實際需求層面來談MPLS VPN技術(shù)的規(guī)范化部署。本文將以高校的實際需求出發(fā)，探討在校園網(wǎng)中進行規(guī)范化部署MPLS VPN技術(shù)。

1 數(shù)字化校園對網(wǎng)絡(luò)需求

數(shù)字化校園業(yè)務對校園網(wǎng)絡(luò)需求從大的方面來看，主要有如下八大類組成，具體如下。

1)教學與科研專網(wǎng)

在教學應用這塊，主要包括在線視頻授課、教學錄像及課件的在線瀏覽和下載、學生和老師通過網(wǎng)絡(luò)互動、遠程答辯以及傳統(tǒng)的學習信息查詢等。在科研這塊，主要包括課題報送與驗收、遠程網(wǎng)上協(xié)同工作、科研資源的共享、網(wǎng)格計算等。

2)辦公網(wǎng)

辦公自動化OA系統(tǒng)和各部門的管理系統(tǒng)的基礎(chǔ)上建立統(tǒng)一的學校管理平臺和信息平臺。VOIP、視頻會議系統(tǒng)和網(wǎng)絡(luò)電視、網(wǎng)上直播系統(tǒng)等在學校內(nèi)可以更好的、更便捷的進行溝通和信息交流。

3)視頻監(jiān)控專網(wǎng)

為了加強人身和財產(chǎn)安全，需要建立專項視頻監(jiān)控網(wǎng)，保障學校廣大師生安全。

4)招生專網(wǎng)

為了保障招生網(wǎng)絡(luò)信息系統(tǒng)的安全，通過專網(wǎng)與互聯(lián)網(wǎng)隔離。

5)院系、部處專網(wǎng)

為了保障各個院系、部處專網(wǎng)的安全，使其只能內(nèi)部互訪而與其他部門隔離。

6)實驗專網(wǎng)

為了保障各個學院實驗設(shè)備的安全，通過專網(wǎng)與互聯(lián)網(wǎng)隔離。

7)托管服務器

每個院系、部處的內(nèi)部應用服務器，不需要上互聯(lián)網(wǎng)，供每個院系、部處自己內(nèi)部訪問和一部分師生訪問。

8)網(wǎng)站發(fā)布服務器

所有院系、部處的對公網(wǎng)發(fā)布的服務器，主要網(wǎng)站進行發(fā)布。

綜上所述，我們建設(shè)的目的是能夠通過構(gòu)建一個統(tǒng)一、高效、可靠、安全的信息化平臺，有效實現(xiàn)校園網(wǎng)各個院系、部處縱向?qū)＞W(wǎng)隔離、橫向授權(quán)訪問和校園資源共享，形成統(tǒng)一的校園網(wǎng)絡(luò)和資源共享平臺。

2 校園環(huán)境下MPLS VPN網(wǎng)絡(luò)部署思路

2.1 MPLS VPN網(wǎng)絡(luò)架構(gòu)總體設(shè)計

根據(jù)數(shù)字化校園業(yè)務對校園網(wǎng)絡(luò)需求，我們將以高校網(wǎng)絡(luò)實際需求為出發(fā)點，設(shè)計MPLS VPN網(wǎng)絡(luò)拓撲，詳見圖1。

圖1 校園網(wǎng)MPLS VPN網(wǎng)絡(luò)拓撲圖Figure 1 Campus network MPLS VPN network topology

高校的所有院系、部處的接入單位統(tǒng)一接入進校園網(wǎng)中，通過MPLS/VPN技術(shù)實現(xiàn)統(tǒng)一出口、統(tǒng)一管理、業(yè)務隔離等業(yè)務功能需求。為了實現(xiàn)業(yè)務隔離，在校園網(wǎng)絡(luò)中劃分出四個功能區(qū)，每個功能區(qū)實現(xiàn)不同的業(yè)務需求。在中心端也存在相應的服務器功能區(qū)。每個接入單位可選4個功能區(qū)，各功能區(qū)介紹如下所示：

1)互聯(lián)網(wǎng)區(qū)

它包括校園辦公網(wǎng)，各接入院系、部處的互聯(lián)網(wǎng)區(qū)是唯一具有Internet訪問權(quán)限的區(qū)域，由校園網(wǎng)平臺統(tǒng)一實現(xiàn)Interne的高速訪問和安全控制；該功能區(qū)同時可以訪問數(shù)據(jù)中心的互聯(lián)共享區(qū)。

2)內(nèi)聯(lián)網(wǎng)區(qū)

它包括招生專網(wǎng)、視頻監(jiān)控專網(wǎng)、實驗專網(wǎng)和院系、部處內(nèi)部專網(wǎng)，內(nèi)聯(lián)網(wǎng)區(qū)即縱向訪問區(qū)，同一院系、部處的各接入單位內(nèi)聯(lián)網(wǎng)區(qū)及其托管服務器區(qū)處于一個VPN中，實現(xiàn)各接入單位的互聯(lián)互通，并與其他接入單位安全隔離。

3)互訪區(qū)

它包括教學科研專網(wǎng)，互訪區(qū)即橫向訪問區(qū)，按照不同學院、部處間特殊應用的互訪要求，可通過互訪區(qū)實現(xiàn)不同接入單位的橫向受控訪問。

4)共享區(qū)

各接入單位的共享區(qū)是唯一具有信息中心共享服務器訪問權(quán)限的區(qū)域。

上述四個功能區(qū)為每個接入單位可選配置的四個功能區(qū)，除此之外數(shù)據(jù)中心劃分如下服務器區(qū)：

5)公眾服務器區(qū)

所有院系、部處的對公網(wǎng)發(fā)布的服務器都放置在該區(qū)域中，由網(wǎng)站管理中心統(tǒng)一管理。

6)托管服務器區(qū)

每個院系、部處的內(nèi)部服務器（只能被該屬于該接入單位的內(nèi)聯(lián)區(qū)訪問）都放置在該區(qū)域中，由網(wǎng)站管理中心統(tǒng)一管理。

7)共享服務器區(qū)

所有學院、部處的接入單位的共享區(qū)都可以訪問共享服務器區(qū)內(nèi)的服務器，主要是一些內(nèi)網(wǎng)資源。

8)互聯(lián)共享區(qū)

該功能區(qū)對接入單位互聯(lián)網(wǎng)區(qū)用戶開放。

2.2 路由協(xié)議規(guī)劃設(shè)計

核心P[1]（Provider）設(shè)備與匯聚PE[1]（Provider Edge）設(shè)備之間運行OSPF、LDP[2]、MP-BGP等協(xié)議，構(gòu)成基于MPLS體系[3]的VPN骨干網(wǎng)絡(luò)，所有接入單位下的用戶數(shù)據(jù)在校園網(wǎng)中以標簽包的形式進行傳輸。

匯聚PE設(shè)備同接入CE（customer edge）設(shè)備之間運行靜態(tài)路由，PE設(shè)備上為每個接入單位的四個功能區(qū)創(chuàng)建相應的VRF[4]（virtual routing forwarding），將VRF下的靜態(tài)路由重發(fā)布進MP-BGP并通告進MPLS/VPN骨干網(wǎng)絡(luò)。

CE設(shè)備上運行策略路由，將不同接入單位的不同功能區(qū)的數(shù)據(jù)向上轉(zhuǎn)發(fā)進PE設(shè)備上相對應的VRF接口中。

2.2.1 骨干IGP設(shè)計

OSPF協(xié)議作為核心IGP[5]（interior gateway protocol）協(xié)議在項目中應用較為簡單，僅僅是用來保證BGP[5]、LDP（label distribution protocol）的鄰居關(guān)系建立，承載BGP會話、LDP會話以及發(fā)布CE設(shè)備管理網(wǎng)段路由。

OSPF協(xié)議的最主要的作用就是保證所有P/PE設(shè)備的Loopback地址能夠通告出去并通過OSPF路由可達。為了加快OSPF鄰接關(guān)系的形成，將骨干網(wǎng)絡(luò)中接口的OSPF網(wǎng)絡(luò)類型統(tǒng)一修改為pointto-topoint。通過修改接口的OSPF Cost參數(shù)以影響OSPF選路。

2.2.2 MP-BGP設(shè)計

BGP對等關(guān)系設(shè)計，如果匯聚PE設(shè)備是單鏈路上聯(lián)，則只與自己上聯(lián)的核心P設(shè)備建立IBGP對等關(guān)系，如果匯聚PE設(shè)備是雙鏈路上聯(lián)（包括連接到其他匯聚PE設(shè)備），則與兩個核心P設(shè)備都建立IBGP對等關(guān)系。所有的MP-IBGP對等體均采用Loopback地址做為更新源（update-source）。

2.2.3 路由反射器設(shè)計（RR）

圖2 路由反射器設(shè)計Figure 2 Routing reflector design

兩臺核心P設(shè)備上需要將其做連接的匯聚PE指為反射器的客戶端，同時兩臺核心P設(shè)備之間也必須互指為各自的客戶端。

2.2.4 PE-CE路由協(xié)議設(shè)計

PE設(shè)備和CE設(shè)備間的互聯(lián)方式如圖3所示。

圖3 PE-CE互聯(lián)邏輯圖Figure 3 The logic diagram of PE-CE interconnected

在PE設(shè)備上為每個接入單位的4個功能區(qū)創(chuàng)建4個互聯(lián)SVI，并且這4個用于互聯(lián)的SVI，分別關(guān)聯(lián)進不同的VRF，然后在這4個VRF下分別配置該接入單位的各個功能區(qū)的靜態(tài)回指路由，如圖4所示：

2.2.5 互聯(lián)網(wǎng)和共享區(qū)路由設(shè)計

在核心交換機上做連接的互聯(lián)網(wǎng)和共享區(qū)，供接入單位互聯(lián)網(wǎng)區(qū)內(nèi)的用戶既可以訪問互聯(lián)網(wǎng)也能夠訪問互聯(lián)共享區(qū)內(nèi)的服務器資源，這就要求接入單位互聯(lián)區(qū)的VRF既能學習到訪問互聯(lián)網(wǎng)的默認路由，也能學習到互聯(lián)共享區(qū)的明細路由，但是共享區(qū)內(nèi)的服務器是不容許訪問Internet。

MPLS/VPN網(wǎng)絡(luò)中路由的學習與發(fā)布是通過對VRF的Export RT[6]、Import RT進行配置來實現(xiàn)的，即需要對接入單位的互聯(lián)網(wǎng)區(qū)VRF的RT值、核心交換機上出口VRF的RT值以及核心交換機上連接互聯(lián)共享區(qū)VRF的RT值進行配置，以實現(xiàn)上述需求。

2.3 網(wǎng)絡(luò)參數(shù)設(shè)計

2.3.1 設(shè)備管理地址設(shè)計

核心P、匯聚PE設(shè)備采用Loopback0地址作為管理地址。

接入CE設(shè)備及CEX設(shè)備的管理IP地址采用172.31.xxx.nnn/24，其中xxx為匯聚PE設(shè)備的Loopback0地址的最后一個字節(jié)數(shù)100-131，nnn為CE設(shè)備的編號。

CE設(shè)備及CEX設(shè)備的管理VLAN采用VLAN9，網(wǎng)關(guān)地址為172.31.xxx.254,該地址在其所連接的PE設(shè)備上，如圖5所示：

圖5 CE設(shè)備管理IP地址設(shè)計Figure 5 The design of management IP address on the CE equipment

說明：CE設(shè)備管理網(wǎng)段不屬于任何VRF，通過OSPF通告進骨干網(wǎng)絡(luò)，屬于骨干網(wǎng)絡(luò)路由表的一部分。

2.3.2 功能區(qū)編號設(shè)計

互聯(lián)網(wǎng)區(qū)：1；內(nèi)聯(lián)網(wǎng)區(qū)：2；互訪區(qū)：3；共享區(qū)：4。

2.3.3 校區(qū)編號設(shè)計

針對目前大部分高校都有1至多個校區(qū)，如果在不同地市內(nèi)，就按電話區(qū)號來命名，比如福州市的電話區(qū)號為0591，廈門市的電話區(qū)號為0592；如果在同一地市內(nèi)有多個校區(qū)，就按電話區(qū)號+附加碼，附加碼取值范圍為100～110。

2.3.4 接入單位編號設(shè)計

IP地址通常用“點分十進制”表示成（A.B.C.D）的形式，接入單位編號可取接入單位IP網(wǎng)段的“C”作為編號，比如：接入單位IP地址段為10.106.102.0/24，那么接入單位編號取102，以此類推。

2.3.5 PE編號設(shè)計

PE設(shè)備一般是一個樓群的匯聚設(shè)備，PE設(shè)備的編號取值范圍為00～30，如果不夠擴充PE，新增PE的編號將從31開始向后取。

2.3.6 接入單位命名設(shè)計

接入單位命名采用“校區(qū)編號_PE編號_接入單位編號”的方式。

2.3.7 VRF命名設(shè)計

需要在PE上面為每一個接入單位的每一個功能區(qū)創(chuàng)建一個VRF，VRF的命名規(guī)則采用“接入單位命名_功能區(qū)編號”方式。

2.3.8 設(shè)備命名設(shè)計

為便于日后運維，所有物理設(shè)備都應該有統(tǒng)一明確定義的命名規(guī)范，建議設(shè)備的命名應有如下信息組成：

物理位置+設(shè)備層次+設(shè)備管理IP地址+對端設(shè)備端口號，其中物理位置取其簡稱，比如：理工樓群，對應的編碼為lglq；設(shè)備層次取值為“P、PE、CE”。

2.3.9 各接入單位功能區(qū)IP地址及VLAN設(shè)計

為各院系、部處在每個接入單位分配的IP地址，從10.0.0.0/8這個地址段中選取，分配原則如下所示接入單位地址采用“校區(qū)編號+功能區(qū)編號+院系編號”的分配方式，通過IP地址可以直觀并唯一的確定接入用戶的歸屬，該方式是將10.0.0.0/8這個地址空間的第2個字節(jié)進行拆分，前5個比特PE編號，后3個比特標識功能區(qū)編號，第三個字節(jié)標識接入單位編號，如圖6所示。

圖6 接入單位IP地址分配方法Figure 6 Access units IP address assignment method

考慮到互聯(lián)網(wǎng)區(qū)內(nèi)的用戶數(shù)量較多，為互聯(lián)網(wǎng)區(qū)分配兩個地址段，將第二個字節(jié)的后3bits為全0的IP地址也分配給了互聯(lián)網(wǎng)區(qū)作為預留。

VLAN號的分配方法采用“接入單位編號+功能區(qū)編號”方法進行定義。

2.3.10 Route Distinguisher設(shè)計

各接入單位的各功能區(qū)VRF的RD[7-8]的設(shè)計規(guī)則采用：“65500：1+PE編號+接入單位編號+功能區(qū)編號”這樣的格式，如圖7所示。

圖7 接入單位功能區(qū)VRF RD分配方法Figure 7 Access units function type VRF RD allocation methods

數(shù)據(jù)中心PE上的各服務器區(qū)及Internet接入?yún)^(qū)的VRF的RD設(shè)計如下：

Internet接入?yún)^(qū)：65500：10000

服務器托管區(qū)：65500：2+接入單位編號+2

共享服務器區(qū)：65500：30000

2.3.11 Route Target設(shè)計

接入單位各功能區(qū)VRF以及數(shù)據(jù)中心的服務器區(qū)VRF的Route Target[9-10]設(shè)計規(guī)則如下：

1)接入單位互聯(lián)網(wǎng)區(qū)VRF RT設(shè)計

Export Route Target：65500:10001

Import Route Target：65500:10000

在數(shù)據(jù)中心P上連接Internet的互聯(lián)網(wǎng)接入?yún)^(qū)VRF的Route Target如下：

Export Route Target：65500:10000

Import Route Target：65500:10001

根據(jù)如上的設(shè)計規(guī)則，各接入單位的互聯(lián)網(wǎng)區(qū)VRF之間無法學習到互相的路由，各接入單位的互聯(lián)網(wǎng)區(qū)VRF能夠?qū)W習到Internet互聯(lián)網(wǎng)接入?yún)^(qū)VRF的默認路由，Internet互聯(lián)網(wǎng)接入?yún)^(qū)VRF也能夠?qū)W習到各接入單位的互聯(lián)網(wǎng)區(qū)VRF路由，從而實現(xiàn)了各接入單位的互聯(lián)網(wǎng)區(qū)可以訪問Internet，但相互之間無法訪問。

2)接入單位內(nèi)聯(lián)網(wǎng)區(qū)VRF RT設(shè)計

Export Route Target：65500:2+接入單位編號+2

Import Route Target：65500:2+接入單位編號+2

數(shù)據(jù)中心PE的托管服務器區(qū)VRF的Route Target如下：

Export Route Target：65500:2+接入單位編號+2

按照如上規(guī)則，處于不同PE下的同一院系、部處的接入單位的內(nèi)聯(lián)網(wǎng)區(qū)VRF以及該院系、部處放在數(shù)據(jù)中心托管區(qū)的服務器所處的VRF就可以相互學習路由，從而實現(xiàn)同一院系、部處以及該院系、部處的托管服務器間的縱向訪問。

3)接入單位互訪區(qū)VRF RT設(shè)計

Export Route Target：等于該功能區(qū)VRF所對應的RD值

Import Route Target：根據(jù)實際需求進行配置

根據(jù)如上規(guī)則，當兩個不同接入單位之間需要互相訪問時，只需要互相導入對方互訪區(qū)VRF的Export Route Target即可，從而實現(xiàn)不同接入單位的橫向互訪。

4)接入單位共享區(qū)VRF RT設(shè)計

Export Route Target：65500：30001

Import Route Target：65500：30000

數(shù)據(jù)中心PE上的共享服務器區(qū)的VRF的Router Target如下：

Export Route Target：65500：30000

Import Route Target：65500：30001

同互聯(lián)網(wǎng)區(qū)的VRF的RT規(guī)則相同，從而實現(xiàn)各接入單位的共享區(qū)VRF之間不能互相訪問，只能訪問數(shù)據(jù)中心PE上的共享服務器區(qū)VRF。

3 結(jié)束語

主要針對高校對網(wǎng)絡(luò)需求，引入了MPLS VPN技術(shù)，基于理論與實踐基礎(chǔ)上，提出了MPLS VPN技術(shù)在校園網(wǎng)中規(guī)范化部署設(shè)計思路和實現(xiàn)機理，為MPLS VPN在校園網(wǎng)中大規(guī)模部署提供理論與實踐指導。

[1]Rosen E，Rekhter Y.BGP/MPLS IP Virtual Private Networks (VPNs)[M].IETF RFC4364,2006.

[2]閆勇.MPLS技術(shù)研究及其應用.同煤科技,2010(4):16-19.

[3]Jim G，Ivan P.MPLS和VPN體系結(jié)構(gòu)（修訂版）[M].田果,劉丹寧,沈錚，譯.北京:人民郵電出版社,2015.

[4]Ivan P,Jim G.MPLS and VPN architectures[M].Indianapolis:Cisco Press,2012.

[5]Zaheer A,Liu J,Abe M,et al.Troubleshooting IP routing protocols[M].Indianapolis:Cisco Press,2002.

[6]裴郁.MPLS VPN組網(wǎng)研究與實現(xiàn)[D].上海:復旦大學,2007.

[7]尹光成.IP路由技術(shù)詳解與配置實踐[M].北京：清華大學出版社,2012:98-102.

[8]王達.虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學出版社,2009.

[9]符冰.MPLS VPN技術(shù)在校園網(wǎng)的研究和實現(xiàn)[D].上海:上海交通大學，2011.

[10]Jim G,Francois L F,Jean-Philippe V.MPLS網(wǎng)絡(luò)設(shè)計權(quán)威指南[M].陳武,譯.北京:人民郵電出版社,2007.

（責任編輯：葉麗娜）

MPLS VPN Technology Normalization Research Deployed in Campus Network

XIAO Yongqin,WANG Yi,CHEN Song
(Modern Education Technology Center，F(xiàn)ujian Normal University，F(xiàn)uzhou,Fujian 350117)

In this pater,the MPLS VPN technology is applied in the college campus network deployment specification design and implementation,according to the demand of the colleges network.We make a detailed analysis of the division of functions,the design of routing protocols and network parameter design for deployment of the MPLS VPN technology in campus network,so as to realize the network sharing,the resource sharing and the unified plan of the business.The results of research will be helpful to the normalization of deploying MPLS VPN in campus network,campus network in large-scale deployment of MPLS VPN to provide theoretical and practical guidance,while improving network troubleshooting speed,maximize the protection of a virtual private network availability,effective management and requirements for safe and reliable operation,thus saving investment.

MPLS VPN;LDP;BGP;campus network;normalization

TP393.1

A文章標號：1674-2109（2016）12-0053-06

2016-05-27

肖永欽（1975-），男，漢族，工程師，主要從事網(wǎng)規(guī)、網(wǎng)絡(luò)信息安全的研究。