1、背景

某公司經(jīng)過業(yè)務(wù)重組整合，形成了異地多點(diǎn)辦公的模式，其中公司總部位于A地，數(shù)據(jù)中心位于B地，分支機(jī)構(gòu)分布在C地和D地，所有業(yè)務(wù)系統(tǒng)均集中部署在數(shù)據(jù)中心，四地均有獨(dú)立的互聯(lián)網(wǎng)線路供用戶訪問Internet，A、C、D三地用戶均通過租用運(yùn)營(yíng)商的MPLS VPN星形專網(wǎng)實(shí)現(xiàn)與數(shù)據(jù)中心的通信，總部A地集中了公司90%的業(yè)務(wù)人員，訪問業(yè)務(wù)系統(tǒng)數(shù)據(jù)量最大，C地和D地業(yè)務(wù)人員很少，訪問業(yè)務(wù)系統(tǒng)的需求不多，A地和B地的MPLS VPN專線帶寬均為10Mbps，C地和D地的MPLS VPN專線帶寬為2Mbps；根據(jù)監(jiān)控?cái)?shù)據(jù)分析，A地和B地的專線帶寬壓力比較大，A地專線帶寬的日常使用率在70%左右，B地專線帶寬的日常使用率80%左右；如果兩地有視頻會(huì)召開，專線帶寬實(shí)時(shí)使用率會(huì)達(dá)到90%以上，對(duì)業(yè)務(wù)人員的訪問體驗(yàn)造成較大影響。同時(shí)，由于沒有備用線路，如果MPLS VPN專線出現(xiàn)故障，將會(huì)對(duì)公司的業(yè)務(wù)造成極大的影響，所以亟需優(yōu)化專線的使用率和提升專線的保障水平。

2、實(shí)施思路

鑒于MPLS VPN專網(wǎng)目前是A、B、C、D四地之間唯一的通信渠道，為確保業(yè)務(wù)的連續(xù)性，必須具備冗余的鏈路以保證MPLS VPN專網(wǎng)發(fā)生故障時(shí)四地也能夠正常通信，目前主要有如下三種解決方案：

（1）采用SSLVPN技術(shù)解決用戶接入問題。目前B地部署有SSLVPN設(shè)備，供業(yè)務(wù)人員利用Internet線路進(jìn)行遠(yuǎn)程辦公，如果MPLS VPN專網(wǎng)發(fā)生故障，只要故障節(jié)點(diǎn)和B點(diǎn)的Internet線路正常，用戶即可利用自己的SSLVPN賬號(hào)進(jìn)行遠(yuǎn)程辦公。這種方式不需要網(wǎng)絡(luò)管理人員干預(yù)和額外投資，但是存在速度不穩(wěn)定、終端依賴程度高、使用不方便等多種缺點(diǎn)，不太適合穩(wěn)定性要求較高的業(yè)務(wù)辦公需求。（2）采用點(diǎn)對(duì)點(diǎn)VPN解決方案。可在任意兩個(gè)節(jié)點(diǎn)之間利用Internet線路搭建IPSec VPN通道，滿足用戶的辦公需求；如果MPLS VPN專網(wǎng)發(fā)生故障，只要故障點(diǎn)Internet線路正常，就可以在Internet邊界網(wǎng)關(guān)處配置IPSec VPN隧道，同時(shí)在目標(biāo)節(jié)點(diǎn)處的Internet邊界網(wǎng)關(guān)配置隧道實(shí)現(xiàn)對(duì)接，即可實(shí)現(xiàn)兩地網(wǎng)絡(luò)的互通。由于數(shù)據(jù)流量通過Internet傳輸，用戶體驗(yàn)很難得到保障，而且對(duì)邊界網(wǎng)關(guān)設(shè)備要求較高，必須支持IPSec VPN，能夠兼容不同品牌設(shè)備的IPSec VPN標(biāo)準(zhǔn)，對(duì)本地網(wǎng)絡(luò)管理人員的技術(shù)能力要求也比較高。（3）通過租用運(yùn)營(yíng)商點(diǎn)對(duì)點(diǎn)數(shù)據(jù)專線解決。在任意兩節(jié)點(diǎn)之間租用運(yùn)營(yíng)商數(shù)據(jù)專線組成MPLS VPN專網(wǎng)的冗余鏈路，當(dāng)任意節(jié)點(diǎn)MPLS VPN專線發(fā)生故障時(shí)，可以通過修改路由的方式將MPLS VPN專線上的流量切換到備用數(shù)據(jù)專線上來，不僅能夠迅速恢復(fù)業(yè)務(wù)，而且能夠保證用戶的體驗(yàn)。如果要保障四地辦公網(wǎng)絡(luò)的連續(xù)性，需要在任意兩點(diǎn)之間搭建數(shù)據(jù)專線，共需要租用6條線路，費(fèi)用過于昂貴，而且大多數(shù)時(shí)候這些備用線路基本處于空閑狀態(tài)，造成資源的嚴(yán)重浪費(fèi)。

根據(jù)A、B、C、D四地用戶的規(guī)模和性質(zhì)綜合分析，為了保證專線的高可用性，保證公司業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，同時(shí)能夠盡量節(jié)約費(fèi)用，充分利用現(xiàn)有資源，可以采取如下綜合方案：（1）A和B之間租用一條帶寬為10Mbps的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)專線，同時(shí)將A和B之間MPLS VPN專線上的部分流量遷移到該線路。（2）為C和D兩地用戶創(chuàng)建SSLVPN賬號(hào)，當(dāng)MPLS VPN線路故障時(shí)，采用SSLVPN方式接入進(jìn)行遠(yuǎn)程辦公。

上述方案通過在A和B之間新建一條數(shù)據(jù)專線，重點(diǎn)保障了總部A地業(yè)務(wù)人員的辦公需求；兩條線路互為備份，任意一條線路故障，均可將流量輕松切換到另外一條線路，兩條線路處于“雙活”狀態(tài)，也大大提高了專線利用率。由于C和D兩地業(yè)務(wù)人員較少，如果MPLS VPN專線發(fā)生故障，用戶可以使用SSLVPN進(jìn)行遠(yuǎn)程辦公，基本也能滿足需求，這樣就大大減少了租用專線的費(fèi)用。

3、實(shí)施步驟

圖1 高可用性方案示意圖

方案中的第一部分就是在A和B兩地之間搭建點(diǎn)對(duì)點(diǎn)數(shù)據(jù)專線，當(dāng)運(yùn)營(yíng)商將數(shù)據(jù)專線的物理部分建設(shè)完畢之后，還需要A和B兩地網(wǎng)絡(luò)管理人員進(jìn)行路由切換和測(cè)試，具體操作步驟如下所示：

（1）分別在兩地接入專線的路由器接口上配置IP地址，其中A端接口IP為192.168.188.1/29，B端接口 IP為 192.168.188.2/29。IP配 置完成后，可采用ping命令測(cè)試兩端物理線路是否互通。由于配置方式類似，僅以A地路由器為例，配置步驟如下：

（2）確定線路互通之后，在B地路由器上利用Routemap策略路由將A地用戶訪問部分重點(diǎn)應(yīng)用系統(tǒng)的流量遷移到點(diǎn)對(duì)點(diǎn)專線上，表1為重點(diǎn)業(yè)務(wù)系統(tǒng)和用戶相關(guān)信息：

四地的邊界路由器均采用思科7206VXR設(shè)備，在B地路由器上操作步驟如下：

首先進(jìn)入路由器配置模式，然后創(chuàng)建匹配流量的ACL：

其次創(chuàng)建Routemap實(shí)例，引用ACL1，確定不同數(shù)據(jù)流量的轉(zhuǎn)發(fā)路徑：

表1 業(yè)務(wù)系統(tǒng)和用戶信息表

最后在路由器入口上引用routemap1，實(shí)現(xiàn)不同應(yīng)用系統(tǒng)流量的遷移：

（3）在A地路由器上添加靜態(tài)路由，將對(duì)應(yīng)系統(tǒng)IP的流量遷移到點(diǎn)對(duì)點(diǎn)專線上，進(jìn)入路由器配置模式，操作步驟如下：

通過上述三個(gè)步驟，即可完成對(duì)應(yīng)數(shù)據(jù)流量的遷移，保證A地用戶訪問重要業(yè)務(wù)系統(tǒng)的帶寬，也避免了專線出現(xiàn)“忙閑不均”的情況，充分利用了帶寬資源。對(duì)于C和D兩地，按照方案設(shè)計(jì)，只需要為相應(yīng)用戶創(chuàng)建SSLVPN賬號(hào)即可，不再贅述。

如果MPLS VPN專線發(fā)生故障，可按照如下步驟將流量遷移到點(diǎn)對(duì)點(diǎn)專線：

（1）在B地路由器上的ACL1中添加匹配規(guī)則（B地服務(wù)器網(wǎng)段為10.18.7.0/254）：

（2）在A地路由器上添加到B地服務(wù)器網(wǎng)段的靜態(tài)路由：

如果MPLS VPN專線故障影響了C和D兩地用戶，兩地用戶直接使用SSLVPN賬號(hào)登錄SSLVPN系統(tǒng)進(jìn)行遠(yuǎn)程辦公，不需要進(jìn)行額外操作。

如果點(diǎn)對(duì)點(diǎn)專線發(fā)生故障，可按照如下步驟將流量遷移到MPLS VPN線路上：

（1）在B地路由器接口上取消對(duì)routemap1的引用：

（2）在A地路由器上將對(duì)應(yīng)的三條靜態(tài)路由取消：

按照上述方案，不論哪條專線發(fā)生故障，網(wǎng)絡(luò)管理人員均能在幾分鐘之內(nèi)迅速遷移流量，保障業(yè)務(wù)的連續(xù)性；而當(dāng)故障專線恢復(fù)正常后，按照上述步驟進(jìn)行回退操作，專線即可恢復(fù)至常規(guī)狀態(tài)。

4、總結(jié)

針對(duì)“公司總部+數(shù)據(jù)中心+分支機(jī)構(gòu)”模式的企業(yè)，MPLS VPN專線能夠?yàn)槠涮峁┛蓴U(kuò)展性極高的優(yōu)質(zhì)辦公網(wǎng)絡(luò)，但對(duì)于業(yè)務(wù)連續(xù)性要求高的企業(yè)來說，單點(diǎn)故障風(fēng)險(xiǎn)仍然存在，必須保證MPLS VPN專線故障時(shí)，業(yè)務(wù)經(jīng)營(yíng)能夠快速恢復(fù)。本文提供的方案能夠在成本、高可用性效果、復(fù)雜性三個(gè)矛盾因素中做出較好平衡，相信能為企業(yè)創(chuàng)造較好的投入產(chǎn)出比。