王 潔李 彤

1．內(nèi)蒙古自治區(qū)廣播電視傳輸發(fā)射中心839臺 內(nèi)蒙古 呼和浩特市 010050 2．內(nèi)蒙古自治區(qū)廣播電視傳輸發(fā)射中心 內(nèi)蒙古 呼和浩特市 010050

引 言

隨著現(xiàn)今信息化建設(shè)的不斷深入，越來越多的政府部門和企業(yè)開始構(gòu)建一個安全、可靠、性能強大、運行穩(wěn)定、易維護、便于管理的專用計算機網(wǎng)絡(luò)作為多業(yè)務(wù)承載平臺。本文以傳輸發(fā)射中心839臺VPN網(wǎng)絡(luò)為例（該VPN網(wǎng)絡(luò)承載數(shù)據(jù)、視頻、語音多種業(yè)務(wù)），對數(shù)據(jù)專網(wǎng)的設(shè)計進行簡單探討。

1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計基本原則

目前的VPN數(shù)據(jù)專網(wǎng)主要以扁平化的星型結(jié)構(gòu)或混合型結(jié)構(gòu)為主，注重的是網(wǎng)絡(luò)運行的安全可靠、運行維護的方便、快捷。網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計一般遵循以下原則。

1.1 扁平化原則

VPN專網(wǎng)設(shè)計時分為接入層、核心層，采用扁平化結(jié)構(gòu)，邏輯上通常是大二層結(jié)構(gòu)。大二層結(jié)構(gòu)比較簡潔，邏輯結(jié)構(gòu)也比較清晰，架構(gòu)比較穩(wěn)定，實際使用當(dāng)中方便進行維護與擴容。

1.2 模塊化原則

對網(wǎng)絡(luò)的功能區(qū)域進行模塊化劃分，每個模塊的功能與范圍設(shè)定清晰，使用方便，運行維護中出現(xiàn)問題時定位準(zhǔn)確快捷。

1.3 安全性原則

安全是數(shù)據(jù)專網(wǎng)首要考慮的重要因素。首先，通過接入層接入VPN數(shù)據(jù)專網(wǎng)的設(shè)備和用戶要進行認(rèn)證。認(rèn)證通過以后，對用戶按照權(quán)限進行邏輯隔離，重要的業(yè)務(wù)設(shè)計時考慮實現(xiàn)物理隔離。

1.4 高可靠性原則

核心設(shè)備與關(guān)鍵設(shè)備、鏈路設(shè)計時采用冗余設(shè)計。核心設(shè)備與關(guān)鍵設(shè)備的電源與主控部件設(shè)計為冗余配置。

1.5 可擴展性原則

網(wǎng)絡(luò)設(shè)計考慮現(xiàn)有需求及后續(xù)的業(yè)務(wù)發(fā)展，留有充分的擴充余地。設(shè)計時考慮系統(tǒng)的下一步升級擴容應(yīng)快速、方便，投資少。

1.6 易用性原則

整體網(wǎng)絡(luò)的設(shè)計，著眼于使用的簡便，網(wǎng)絡(luò)管理軟件的界面要使用簡潔、友好，操作方便，在網(wǎng)絡(luò)的實際運行維護時，自動化程度較高。

2 網(wǎng)絡(luò)整體規(guī)劃

計算機數(shù)據(jù)專網(wǎng)通常采用MSTP專線組網(wǎng)，網(wǎng)絡(luò)帶寬根據(jù)實際需求設(shè)定，如果考慮視頻數(shù)據(jù)通道需求，通常帶寬需求要高一些。

2.1 網(wǎng)絡(luò)整體規(guī)劃

基礎(chǔ)網(wǎng)絡(luò)通常采用接入層、核心層的大二層網(wǎng)絡(luò)架構(gòu)。如圖1所示。

圖1 系統(tǒng)拓?fù)鋱D

2.1.1 核心層

核心層設(shè)備包括核心交換機、核心路由器、網(wǎng)管服務(wù)器以及防火墻等，均放置在區(qū)局機房，采用全連接結(jié)構(gòu)，網(wǎng)絡(luò)設(shè)備與安全設(shè)備的配置要盡量簡單，同時具有高帶寬、高轉(zhuǎn)發(fā)性能。核心交換機、核心路由器、網(wǎng)管服務(wù)器以及防火墻等均實現(xiàn)冗余備份。

2.1.2 接入層

接入層主要包括一個自治區(qū)局接入點、十四個盟市局接入點，在實現(xiàn)橫向業(yè)務(wù)時，接入層的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)本區(qū)域各用戶的橫向流量到其他區(qū)域用戶；在實現(xiàn)縱向業(yè)務(wù)時，轉(zhuǎn)發(fā)本區(qū)域用戶的縱向流量到自治區(qū)局區(qū)域用戶。

2.2 高可靠性

網(wǎng)絡(luò)的高可靠性實現(xiàn)通過采用關(guān)鍵設(shè)備冗余、鏈路冗余的集群、堆疊的網(wǎng)絡(luò)方案。核心層設(shè)備采用集群技術(shù)配置，將物理上的兩臺設(shè)備從邏輯上擬合成一臺設(shè)備，將接入層和匯聚層之間的多條鏈路捆綁進行數(shù)據(jù)傳輸。

2.3 IPv6業(yè)務(wù)兼容性

全網(wǎng)采用雙棧模式部署及業(yè)務(wù)承載，在現(xiàn)有的IPv4環(huán)境中部署IPv6，并且IPv6與IPv4能獨立完整保持所需的相關(guān)功能性和安全性。

3 網(wǎng)絡(luò)實體架構(gòu)設(shè)計

VPN數(shù)據(jù)專網(wǎng)主要由核心區(qū)功能模塊、自治區(qū)區(qū)局區(qū)模塊，盟市區(qū)接入模塊以及管理區(qū)模塊四大模塊組成，采用VPN方式實現(xiàn)組網(wǎng)。如圖2所示。

圖2 VPN隔離方式組網(wǎng)

3.1 核心區(qū)功能區(qū)

采用兩臺高性能核心路由器作為區(qū)局網(wǎng)絡(luò)接口，并作為核心接入?yún)^(qū)局、盟市分局、管理區(qū)，具備高交換容量，高處理能力，實現(xiàn)廣域網(wǎng)區(qū)域可靠互聯(lián)，業(yè)務(wù)流量負(fù)載均衡。

3.2 區(qū)局功能區(qū)

采用兩臺高性能防火墻作為自治區(qū)局網(wǎng)絡(luò)安全設(shè)備，集VPN、防網(wǎng)絡(luò)病毒、帶寬使用管理、入侵檢測與防御、上網(wǎng)用戶的管理、數(shù)據(jù)防泄漏等功能于一體，如果網(wǎng)絡(luò)業(yè)務(wù)需要，還需配置沙箱等設(shè)備。防火墻作為區(qū)局與市局之間VPN的PE節(jié)點，用于承載三種（視頻、數(shù)據(jù)、語音）業(yè)務(wù)。

采用兩臺高性能交換機，兩臺設(shè)備做集群部署虛擬為1臺設(shè)備，再進行1虛多虛擬化為3臺邏輯設(shè)備，承載三種（視頻、數(shù)據(jù)、語音）業(yè)務(wù)，做到三種業(yè)務(wù)邏輯隔離。

所有關(guān)鍵設(shè)備物理冗余，接入高性能路由器、核心交換設(shè)備單臺上所有主控部件物理冗余。特別是主控板和交換網(wǎng)板必須物理隔離，交換網(wǎng)板必須是獨立網(wǎng)板，并且業(yè)務(wù)板與交換板不許共享槽位。

3.3 盟市接入?yún)^(qū)

各盟市局/直屬機構(gòu)部署高性能防火墻，作為分局VPN的PE節(jié)點，交換機采用1虛3模式，用于承載3種（視頻、數(shù)據(jù)、語音）業(yè)務(wù)。

盟市接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件配置物理冗余，交換機的主控板和交換網(wǎng)板實現(xiàn)物理隔離，配置獨立交換網(wǎng)板，并且交換板與業(yè)務(wù)板不能夠共享槽位。

3.4 管理區(qū)

管理全網(wǎng)狀態(tài)監(jiān)控，靈活部署業(yè)務(wù)。實現(xiàn)數(shù)據(jù)專網(wǎng)中關(guān)鍵網(wǎng)絡(luò)設(shè)備，服務(wù)器，業(yè)務(wù)數(shù)據(jù)庫統(tǒng)一管理，各類告警信息同步輸出至大屏實時監(jiān)看，并具備信息提示。

4 VPN實現(xiàn)方式分析

4.1 VPN隔離

VPN實現(xiàn)步驟

區(qū)局核心交換機與分局交換機通過集群技術(shù)將兩臺交換機虛擬為一臺交換機，然后再通過虛擬化技術(shù)將交換機進行1∶3虛擬，從邏輯上將交換機虛擬為三臺交換機，通過VPN建立隧道，隧道1負(fù)責(zé)視頻業(yè)務(wù)，隧道2負(fù)責(zé)數(shù)據(jù)業(yè)務(wù)，隧道3用于傳輸語音業(yè)務(wù)。如圖3、圖4所示。

如此一來，基于頁面邊界空間的特定主題的圖書提供給讀者的知識與想象總是在有限的版面里進行。而且“紙是一種不太方便的、不和別處相連的媒介”。[3]習(xí)慣了通過不停點擊越界閱讀的讀者對作為冷媒介的圖書的關(guān)注自然漸趨減弱。這些現(xiàn)象在我們的閱讀生活中大量地存在著，甚至很多人花錢買了書因為沒時間看或者靜不下心來看甚或看不懂、看不下去而導(dǎo)致書中的知識并未發(fā)生傳遞。因而現(xiàn)實中書雖然因為各種原因買來了，但束之高閣也是常態(tài)。

圖3 VPN隔離實現(xiàn)方式—橫向業(yè)務(wù)圖

圖4 VPN隔離實現(xiàn)方式—縱向業(yè)務(wù)圖

4.2 MPLSVPN

MPLSVPN的基本概念：BGP/MPLSIPVPN是一種L3VPN，CE（CustomerEdge）、PE（ProviderEdge）和P（Provider）三部分組成。

BGP/MPLSIPVPN組網(wǎng)可擴展性好，同時組網(wǎng)方式靈活多樣，特別是能夠支持MPLS QoS和MPLSTE，數(shù)據(jù)傳輸?shù)膶崟r性和等級得到某種程度的優(yōu)化，克服傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的部分弱點，因此在實際VPN網(wǎng)絡(luò)設(shè)計中大量廣泛的運用。

CE（CustomerEdge）：用戶網(wǎng)絡(luò)邊緣設(shè)備有一個接口直接連接到服務(wù)提供商SP（Service Provider）網(wǎng)絡(luò)。CE可以是路由器、交換機或主機。一般來說，CE不會“感知”到VPN的存在，也不需要支持MPLS。

PE（ProviderEdge）：服務(wù)提供商邊緣設(shè)備是服務(wù)提供商網(wǎng)絡(luò)的邊緣設(shè)備，直接與CE相連。在MPLS網(wǎng)絡(luò)中，VPN的所有處理都在PE上進行。

P（Provider）：服務(wù)提供商網(wǎng)絡(luò)中的骨干設(shè)備，不直接與CE相連。P設(shè)備只需要具備基本的MPLS轉(zhuǎn)發(fā)能力，不維護VPN信息。

VPN實例：也叫VPN路由和轉(zhuǎn)發(fā)表。PE設(shè)備保存有多個路由轉(zhuǎn)發(fā)表，包括一張公網(wǎng)路由轉(zhuǎn)發(fā)表和一張或多張VPN路由轉(zhuǎn)發(fā)表。下圖是VPN實例示意圖，如圖所示，各個VPN實例維護各自VPN的路由，公網(wǎng)實例維護公網(wǎng)路由，這樣防止了路由因目的地址重疊而在PE上丟失。如圖5所示。

圖5 VPN實例示意圖

IPv4地址增加了RD以后稱為VPN-IPv4地址，共有12個字節(jié)，8個字節(jié)為路由標(biāo)識符RD（RouteDistinguisher），4個字節(jié)為IPv4地址前綴，如圖6所示。

圖6 VPN-IPv4地址結(jié)構(gòu)圖

4.3 基本參數(shù)設(shè)計

LSRtrigger：為了避免產(chǎn)生不必要的LSP，LSRtrigger的方式為host。

VPNname：本次現(xiàn)網(wǎng)業(yè)務(wù)應(yīng)邦定到VPN，不同的業(yè)務(wù)建議配置不同的VPNname。

VPN的RD：不同的VPN配置不同的RD，建議采用AS：XX進行劃分，XX為VPN業(yè)務(wù)的序號，從01開始編依次遞增。

VPN的vpn-target：不同的VPN配置不同VPN的vpn-target export-extcommunity和importextcommunity，采用的編碼方式是AS：XX；VPN的私網(wǎng)路由協(xié)議：VPN的私網(wǎng)路由協(xié)議采用OSPF或其他動態(tài)路由，注入到MP-BGP在VPN內(nèi)發(fā)布；根據(jù)實際組網(wǎng)需求來確定MPLSVPN的部署，合理分配P、PE、CE的設(shè)備角色，既做到業(yè)務(wù)隔離，安全穩(wěn)定傳輸，又做到節(jié)約資源，提高設(shè)備利用率。

結(jié)束語

在實際應(yīng)用當(dāng)中，VPN專網(wǎng)逐步成為承載視頻、語音、數(shù)據(jù)等多業(yè)務(wù)的數(shù)據(jù)專網(wǎng)，本文從VPN專網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)整體規(guī)劃到實體網(wǎng)絡(luò)架構(gòu)設(shè)計，進行了簡單探討，VPN憑借其組網(wǎng)快捷、安全、維護簡便等優(yōu)勢將會具有更廣闊的前景。