李 潔，陳 震，孫 蔚，周岐華

（西昌衛(wèi)星發(fā)射中心，四川 西昌 615000）

0 引 言

企業(yè)信息綜合網(wǎng)簡稱綜合網(wǎng)，主要承擔日常辦公、業(yè)務處理和教學科研任務，承載各級機關、企業(yè)的業(yè)務信息和工作信息服務。目前，運行的業(yè)務系統(tǒng)可分為面向全企業(yè)服務的業(yè)務、面向企業(yè)外部服務的業(yè)務和企業(yè)縱向業(yè)務系統(tǒng)。

企業(yè)綜合網(wǎng)采用星形拓撲結構，對外通過光纜155M鏈路就近接入成都綜合網(wǎng)，同時采用網(wǎng)絡密碼機進行傳輸加密。對內，骨干網(wǎng)結構表述為：企業(yè)網(wǎng)絡信息中心配置千兆三層中心交換機，實現(xiàn)線路的備份，各部站通過千兆光纖接入骨干節(jié)點。綜合網(wǎng)拓撲結構，如圖1所示，基本實現(xiàn)了千兆骨干和百兆桌面的網(wǎng)絡建設框架。

圖1 企業(yè)綜合網(wǎng)拓撲

從企業(yè)本部到城A、城B通過帶寬為155M的光纜專線傳輸企業(yè)業(yè)務網(wǎng)數(shù)據(jù)，另有2M的光纜專線為傳輸企業(yè)綜合網(wǎng)數(shù)據(jù)而用。一旦155M的線路出現(xiàn)中斷或者出現(xiàn)傳輸質量不佳的情況，企業(yè)業(yè)務網(wǎng)的數(shù)據(jù)可以通過帶寬為幾兆赫茲到十幾兆赫茲的衛(wèi)星通信線路，通過過濾選擇關鍵數(shù)據(jù)進行傳輸，達到備份容災容錯的作用。然而，2M帶寬的綜合網(wǎng)卻沒有備份線路，如果出現(xiàn)線路故障，將直接影響企業(yè)的辦公業(yè)務和信息發(fā)布等相關工作，影響企業(yè)的工作進展。如果到城A、城B的綜合網(wǎng)線路也有備份，將大大增加傳輸線路的可靠性、穩(wěn)定性和連續(xù)性，更好地為企業(yè)的業(yè)務工作保駕護航。然而，如果再架設一條相同的光纜專線，建設費用和維護費用將大大增加。因此，考慮保護投資，避免浪費，采用已有的設備和線路大加利用來達到目的。

1 使用基于MPLS的VPN的原因

VPN屬于遠程訪問技術，利用公網(wǎng)架設專用網(wǎng)絡。在傳統(tǒng)的企業(yè)專網(wǎng)配置中，采用租用DDN專線或者幀中繼等，必然導致昂貴的建設和維護費用。

基于MPLS的VPN（MPLS VPN）是指采用MPLS技術在公網(wǎng)上構建專用網(wǎng)絡，實現(xiàn)跨區(qū)域、安全、高速、可靠的數(shù)據(jù)、語音、圖像等多業(yè)務通信，并結合差別服務、流量工程等相關技術，將公網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專網(wǎng)的安全、高效、靈活結合在一起。

目前，常見的VPN隧道協(xié)議有IP安全協(xié)議（IP Security，IPsec）、多協(xié)議標簽交換（Multi-Protoeol Label Switching，MPLS）協(xié)議和通用路由封裝（General Routing Encapsulation，GRE）?，F(xiàn)階段，基于IPsec的設備，各個廠家沒有統(tǒng)一的標準，沒有兼容性。因此，大規(guī)模部署IPsec VPN存在困難，且IPsec不支持QoS。GRE雖然運用成熟，但在安全性方面卻比較脆弱。MPLS靈活性強、效率高，主要基于網(wǎng)絡到網(wǎng)絡，且部署簡單，安全性好。因此，采用MPLS作為VPN的隧道協(xié)議可以很好地滿足綜合網(wǎng)備份線路的要求[1]。另外，采用MPLS的另一個原因是，MPLS可以很好地兼容IPv6，為綜合網(wǎng)下一步升級到IPv6奠定了基礎。

1.1 MPLS VPN原理

MPLS最初是用來提高路由器轉發(fā)速度而提出的一種協(xié)議，在VPN、QoS等方面有廣泛應用。MPLS（多協(xié)議標記交換）使用標簽（Label）進行轉發(fā)，可以看作一種面向連接的技術，其中Label短而定長。數(shù)據(jù)轉發(fā)時，在網(wǎng)絡入口對報文進行分類，根據(jù)分類結果選擇相應的標簽交換路徑（Label Switching Path，LSP），并打上相應的標簽。中間路由器在收到MPLS報文后，直接根據(jù)MPLS報頭的標簽進行轉發(fā)，而不用再通過IP報文頭的IP地址查找，可在LSP出口或倒數(shù)第二跳彈出MPLS標簽，還原為IP包[2]，如圖2所示。

圖2 MPLS報文格式

MPLS VPN技術是在路由設備和交換設備上應用的MPLS技術，簡化了核心路由器的路由選擇，利用標記交換方式，結合傳統(tǒng)的路由技術，實現(xiàn)了虛擬專網(wǎng)[3]。MPLS屬于第三層交換技術，引入標記，將轉發(fā)和選路分開，有標簽選擇路徑，如圖3所示。其中，CE（Customer Edge）為用戶網(wǎng)絡邊緣設備，PE（Provider Edge）為公網(wǎng)的邊緣設備，P（Provider）為公網(wǎng)中的骨干設備。

圖3 MPLS VPN網(wǎng)絡

1.2 MPLS VPN的安全性

MPLS VPN由于采用了地址隔離、數(shù)據(jù)安全和VPN內路由等多種手段，提供了抗攻擊和標記欺騙的手段，因此完全能夠提供與ATM/FRVPN相類似的安全保證。地址隔離是指VPN的地址空間相對于公網(wǎng)的地址空間是不可見的；數(shù)據(jù)安全是指由于公網(wǎng)和VPN的地址隔離而使得兩者不能互訪；VPN內路由是指VPN內部異點之間的通信依靠VPN邊緣設備進行。

實現(xiàn)VPN有多種方式，如LZTP（二層隧道協(xié)議）、GRE（通用安全協(xié)議）、MPLS以及IPSEC（IP安全協(xié)議）等。這里選擇MPLS的原因是其高速和QoS支持[1]。

1.3 MPLS VPN的QoS問題

IP協(xié)議基于盡最大努力，難以保證QoS，可以利用ATM提供一定的質量保障，但在擴展性方面相當摯肘，因為ATM只支持單點對單點的連接。而MPLS既能提供服務質量保證，又能夠提供良好的擴展性。MPLS技術在實現(xiàn)VPN所有網(wǎng)絡能力的同時，能夠提供強有力的QoS，是其他VPN技術如GRE、IPSec以及L2TP（二層隧道協(xié)議）等難以實現(xiàn)的。

實時多媒體業(yè)務是企業(yè)業(yè)務網(wǎng)和綜合網(wǎng)的一項重要業(yè)務，要求通信網(wǎng)絡具備端到端的、足夠帶寬的、低延時、低抖動、低丟包率的服務。MPLS QoS路由機制可以很好地滿足這一需求。MPLS技術中標記交換路徑LPS可以很好地和區(qū)分服務（Differnetiatde Services，DiffesrV）結合，在不影響區(qū)分服務對數(shù)據(jù)包打上不同標記進行分類來區(qū)分對待不同功能的情況下，不更改其QoS標記，實現(xiàn)QoS的透明傳輸。

2 綜合網(wǎng)MPLS VPN的部署與驗證

2.1 MPLS VPN的部署

對到城A、城B的綜合網(wǎng)線路進行備份，有利于增加傳輸線路的可靠性、穩(wěn)定性和連續(xù)性，更好地保障企業(yè)的業(yè)務工作。利用MPLS VPN無需架設一條費時、費力又昂貴的光纜專線。

MPLS VPN的建設目標為：充分利用現(xiàn)有設備，資源重組利用；為遠端單位提供安全的、穩(wěn)定的、高效的以及便于維護管理的接入服務。目前，廣域網(wǎng)出局業(yè)務主要有到城A、城B兩條線路。在原有網(wǎng)絡結構中，城域網(wǎng)采用直連路由協(xié)議，星型結構，廣域網(wǎng)采用2M帶寬光路。在部署MPLS VPN時，在廣域網(wǎng)出口和遠端入口處部署PE設備，這樣各個site的CE設備通過PE和總部相連，通過對PE設備的控制與配置，達到對業(yè)務影響程度最低的目的。MPLS VPN可以屏蔽網(wǎng)絡拓撲結構，傳統(tǒng)的樹形結構、網(wǎng)狀結構、單星型結構以及雙星形結構都可以滿足要求。進行部署時，只需要對原有網(wǎng)上設備進行升級，使之支持LDP，配合新增的PE設備，即可組成MPLS VPN的核心MPLS域。而CE設備則不需要任何改動，可以直接作為MPLS VPN的各專業(yè)網(wǎng)絡業(yè)務匯聚設備[4]。部署拓撲圖如圖4所示。

路由器使用HUAWEI NE20E-X6設備。NE20E-X6 支持的BGP/MPLS IP VPN主要包括BGP/MPLS IP VPN的典型組網(wǎng)、可靠性和QoS等特性，并且支持VPN與Internet互聯(lián)的功能。可在PE側通過配置靜態(tài)路由和策略路由實現(xiàn)VPN與Internet的互聯(lián)。NE20E-X6使用MP-BGP實現(xiàn)在PE之間的VPN路由交換，PE和CE間的路由交換采用靜態(tài)路由。

為了提高VPN網(wǎng)絡的可靠性，通常采用如圖4所示的組網(wǎng)方式。

（1）骨干層采用全連接且多級備份的MPLS網(wǎng)絡。各設備一般使用高速接口互連。當PE設備較多時，采用BGP路由反射器組網(wǎng)，反射VPNv4路由，以減少MP-IBGP連接數(shù)目。

（2）匯聚層根據(jù)需要組成網(wǎng)狀或環(huán)狀網(wǎng)。

（3）接入層進行CE雙歸屬。

在同一個site使用兩臺CE歸屬到同一臺PE時，為了在其中一條PE與CE間的鏈路故障時快速將VPN流量切換到另一條PE與CE間的鏈路上，部署IP FRR特性。

為了向MPLS VPN提供QoS保證，采用VPN主隧道綁定則，將MPLS流量工程（Traffic Engineering，TE） 主隧道與VPN實例綁定。該VPN實例獨占整條TE隧道的資源。

具體步驟如下：在企業(yè)本部，城A、城B部署CE路由器；CE路由器即城A、城B局域網(wǎng)的原出口路由器，直接與PE路由器相連；在企業(yè)本部，城A、城B部署PE路由器，PE也使用HUAWEI NE20E-X6設備。幾個site分別從不同的PE路由器接入，與本地的CE相連，實現(xiàn)互聯(lián)互通。由于拓撲圖具有對稱性，只需要討論PE1即可。

（1）在MPLS骨干網(wǎng)上配置IGP協(xié)議，實現(xiàn)P和PE的互連互通。

（2）在MPLS骨干網(wǎng)上建立LDP LSP

#配置PE1。

[PE1] mpls lsr-id 1.1.1.9#1.1.1.9為lsr的loopback接口

[PE1] mpls

[PE1-mpls] quit

[PE1] mpls ldp

[PE1-mpls-ldp] quit

[PE1] interface pos 3/0/0

[PE1-Pos3/0/0] mpls

[PE1-Pos3/0/0] mpls ldp

[PE1-Pos3/0/0] quit

#配置P。

[P] mpls lsr-id 2.2.2.9

[P] mpls

[P-Pos2/0/0] mpls

[P-Pos2/0/0] mpls ldp

[P-Pos2/0/0] quit

上述配置完成后，PE1與P、P與PE2之間應能建立LDP會話。

（3）在PE之間建立MP-IBGP對等體關系

#配置PE1。

[PE1] bgp 100#進入BGP試圖

[PE1-bgp] peer 3.3.3.9 as-number 100#配置IPv4對等體1.1.1.1的AS號100

[PE1-bgp] peer 3.3.3.9 connect-interface loopback 1

圖4 企業(yè)MPLS VPN部署拓撲

[PE1-bgp] ipv4-family vpnv4

[PE1-bgp-af-vpnv4] peer 3.3.3.9 enable#使能與指定對等體（這里就是PE）之間交換相關的路由信息

[PE1-bgp- af-vpnv4] auto-frr#PE之間的主鏈路發(fā)生故障時，VPN流量走系統(tǒng)自動選擇的下一 跳PE

[PE1-bgp-af-vpnv4] quit

[PE1-bgp] quit

配置完成后，在PE設備上執(zhí)行display bgp peer或display bgp vpnv4 all peer命令，如圖5所示。

圖5 查看bgp vpn鄰居

（4）在PE設備上配置VPN實例，將CE接入PE

#配置PE1。

[PE1] ip vpn-instance vpna#命名VPN為vpna

[PE1-vpn-instance-vpna] ipv4-family#使能VPN實例IPv4地址族，并進入VPN實例IPv4地址族 視圖

[PE1-vpn-instance-vpna-af-ipv4]

[PE1-vpn-instance-vpna-af-ipv4]vpn-target 111:1 both#通過VPN Target可以控制VPN站點之間的路由發(fā)布。

[PE1-vpn-instance-vpna-af-ipv4] quit

[PE1-vpn-instance-vpna] quit

[PE1] ip vpn-instance vpnb

[PE1-vpn-instance-vpnb] ipv4-family

[PE1-vpn-instance-vpnb-af-ipv4] routedistinguisher 100:2

[PE1-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both

[PE1-vpn-instance-vpnb-af-ipv4] quit

[PE1-vpn-instance-vpnb] quit

[PE1] interface gigabitethernet 1/0/0

[PE1-GigabitEthernet1/0/0] ip binding vpninstance vpna#將當前接口與指定VPN實例進行綁定。如圖6所示。

（5）在PE與CE之間建立EBGP對等體關系，引入VPN路由

#配置CE1。

[CE1] bgp

[CE1-bgp] peer 10.1.1.2 as-number 100

[CE1-bgp] import-route direct#將配置的靜態(tài)路由引入BGP-VPN實例IPv4地址族路由表

#配置PE1。

[PE1] bgp 100

[PE1-bgp] ipv4-family vpn-instance vpna

[PE1-bgp-vpna] peer 10.1.1.1 as-number 110

[PE1-bgp-vpna] import-route direct

[PE1-bgp-vpna] auto-frr#PE之間的主鏈路發(fā)生故障時，VPN流量走系統(tǒng)自動選擇的下一跳PE。

圖6 與VPN實例互連后的結果

同一VPN的CE能夠相互Ping通，不同VPN的CE不能相互Ping通，如圖7所示。

2.2 安全設備的部署

安全設備的部署是MPLS VPN部署的重中之重，關系到整個企業(yè)的生死存亡，因此應不遺余力地加大提高安全設備的部署質量。采用VFR實現(xiàn)VPN之間、VPN和公網(wǎng)之間的隔離；網(wǎng)絡設備設置用戶名密碼和權限控制；在網(wǎng)絡上配置防火墻、保密機，杜絕來自外部的攻擊。表1是需要用到的主要安全防護設備。將安全防護設備按照如圖8所示的部署方式連接起來，以達到防止外部攻擊、信息加密以及預防病毒等目的。

圖7 VPN之間的互連結果

表1 安全防護設備

圖8 安全防護設備部署

2.3 QoS策略在MPLS VPN中的應用

除了安全性問題，MPLS VPN的傳輸質量問題也是考慮的重點。利用QoS對不同的業(yè)務進行分類標記，將網(wǎng)絡性能參數(shù)如時延、抖動、丟包率以及QoS分級等對MPLS VPN進行參數(shù)化描述，為VPN用戶提供不同的QoS等級。如表2所示，涉及的主要業(yè)務有視頻會議、戰(zhàn)備調度、視頻監(jiān)控以及文件傳輸?shù)?。相應的QoS等級有加速轉發(fā)（Expedited Forwarding，EF）服務、確定型轉發(fā)（Assured Forwarding，AF）服務和優(yōu)先級（Class Selector，CS）服務。

表2 MPLS VPN參數(shù)與QoS等級的映射

數(shù)據(jù)進入公網(wǎng)的服務類型如下：

（1）需要傳送信令協(xié)議，服務類型設置為cs7和cs6。

（2）需要保證低時延業(yè)務，服務類型設置為ef。

（3）需要保證帶寬的關鍵數(shù)據(jù)業(yè)務，服務類型設置為af4、af3、af2或af1。

（4）不需要嚴格QoS保證的盡力發(fā)送業(yè)務，服務類型設置為be。

上述服務類型的報文按照發(fā)送優(yōu)先級從高到低的順序排列。

報文從私網(wǎng)進入公網(wǎng)的顏色，按照丟棄優(yōu)先級從低到高的順序排列為green、yellow和red。

利用QoS的區(qū)分服務DiffServ，在IP包頭根據(jù)參數(shù)將標記寫入DS域，在網(wǎng)絡節(jié)點如PE或CE根據(jù)DSCP轉發(fā)調度IP包。把區(qū)分服務與MPLS結合起來，區(qū)分服務的BA映射到MPLS的標記交換路徑上，從而實現(xiàn)區(qū)分服務。這樣不需要解析IP包，直接解析MPLS的EXP部即可，提高了數(shù)據(jù)轉發(fā)效率。

NE20E-X6支持流分類、流量監(jiān)管、流量整形、擁塞避免以及擁塞管理等基本功能。

配置MPLS TE支持DiffServ模式如下：

執(zhí)行命令diffserv-mode{pipe service-class color|u- niform}，設置MPLS TE的DiffServ模式。

#配置MPLS diffserv模式為Pipe，服務類型為af1，顏色為green。

＜HUAWEI＞ system-view

[HUAWEI] ip vpn-instance vpna

[HUAWEI-vpn-instance-vpna] ipv4-family

[HUAWEI-vpn-instance-vpna-af-ipv4] diffservmode pipe af1 green

3 結 語

在現(xiàn)成的公網(wǎng)中，通過部署MPLS VPN達到了專網(wǎng)連通的目的。在重復利用資源、節(jié)省建設費用和維護費用的同時，利用MPLS VPN的特性，保證了數(shù)據(jù)傳輸?shù)目煽啃院桶踩?。此外，由于MPLS的擴展性與IPv6的兼容性，為下一步普及IPv6打下了基礎。