王 潔李 彤

1．內(nèi)蒙古自治區(qū)廣播電視傳輸發(fā)射中心839臺(tái) 內(nèi)蒙古 呼和浩特市 010050 2．內(nèi)蒙古自治區(qū)廣播電視傳輸發(fā)射中心 內(nèi)蒙古 呼和浩特市 010050

引 言

隨著現(xiàn)今信息化建設(shè)的不斷深入，越來越多的政府部門和企業(yè)開始構(gòu)建一個(gè)安全、可靠、性能強(qiáng)大、運(yùn)行穩(wěn)定、易維護(hù)、便于管理的專用計(jì)算機(jī)網(wǎng)絡(luò)作為多業(yè)務(wù)承載平臺(tái)。本文以傳輸發(fā)射中心839臺(tái)VPN網(wǎng)絡(luò)為例（該VPN網(wǎng)絡(luò)承載數(shù)據(jù)、視頻、語音多種業(yè)務(wù)），對(duì)數(shù)據(jù)專網(wǎng)的設(shè)計(jì)進(jìn)行簡(jiǎn)單探討。

1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)基本原則

目前的VPN數(shù)據(jù)專網(wǎng)主要以扁平化的星型結(jié)構(gòu)或混合型結(jié)構(gòu)為主，注重的是網(wǎng)絡(luò)運(yùn)行的安全可靠、運(yùn)行維護(hù)的方便、快捷。網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)一般遵循以下原則。

1.1 扁平化原則

VPN專網(wǎng)設(shè)計(jì)時(shí)分為接入層、核心層，采用扁平化結(jié)構(gòu)，邏輯上通常是大二層結(jié)構(gòu)。大二層結(jié)構(gòu)比較簡(jiǎn)潔，邏輯結(jié)構(gòu)也比較清晰，架構(gòu)比較穩(wěn)定，實(shí)際使用當(dāng)中方便進(jìn)行維護(hù)與擴(kuò)容。

1.2 模塊化原則

對(duì)網(wǎng)絡(luò)的功能區(qū)域進(jìn)行模塊化劃分，每個(gè)模塊的功能與范圍設(shè)定清晰，使用方便，運(yùn)行維護(hù)中出現(xiàn)問題時(shí)定位準(zhǔn)確快捷。

1.3 安全性原則

安全是數(shù)據(jù)專網(wǎng)首要考慮的重要因素。首先，通過接入層接入VPN數(shù)據(jù)專網(wǎng)的設(shè)備和用戶要進(jìn)行認(rèn)證。認(rèn)證通過以后，對(duì)用戶按照權(quán)限進(jìn)行邏輯隔離，重要的業(yè)務(wù)設(shè)計(jì)時(shí)考慮實(shí)現(xiàn)物理隔離。

1.4 高可靠性原則

核心設(shè)備與關(guān)鍵設(shè)備、鏈路設(shè)計(jì)時(shí)采用冗余設(shè)計(jì)。核心設(shè)備與關(guān)鍵設(shè)備的電源與主控部件設(shè)計(jì)為冗余配置。

1.5 可擴(kuò)展性原則

網(wǎng)絡(luò)設(shè)計(jì)考慮現(xiàn)有需求及后續(xù)的業(yè)務(wù)發(fā)展，留有充分的擴(kuò)充余地。設(shè)計(jì)時(shí)考慮系統(tǒng)的下一步升級(jí)擴(kuò)容應(yīng)快速、方便，投資少。

1.6 易用性原則

整體網(wǎng)絡(luò)的設(shè)計(jì)，著眼于使用的簡(jiǎn)便，網(wǎng)絡(luò)管理軟件的界面要使用簡(jiǎn)潔、友好，操作方便，在網(wǎng)絡(luò)的實(shí)際運(yùn)行維護(hù)時(shí)，自動(dòng)化程度較高。

2 網(wǎng)絡(luò)整體規(guī)劃

計(jì)算機(jī)數(shù)據(jù)專網(wǎng)通常采用MSTP專線組網(wǎng)，網(wǎng)絡(luò)帶寬根據(jù)實(shí)際需求設(shè)定，如果考慮視頻數(shù)據(jù)通道需求，通常帶寬需求要高一些。

2.1 網(wǎng)絡(luò)整體規(guī)劃

基礎(chǔ)網(wǎng)絡(luò)通常采用接入層、核心層的大二層網(wǎng)絡(luò)架構(gòu)。如圖1所示。

圖1 系統(tǒng)拓?fù)鋱D

2.1.1 核心層

核心層設(shè)備包括核心交換機(jī)、核心路由器、網(wǎng)管服務(wù)器以及防火墻等，均放置在區(qū)局機(jī)房，采用全連接結(jié)構(gòu)，網(wǎng)絡(luò)設(shè)備與安全設(shè)備的配置要盡量簡(jiǎn)單，同時(shí)具有高帶寬、高轉(zhuǎn)發(fā)性能。核心交換機(jī)、核心路由器、網(wǎng)管服務(wù)器以及防火墻等均實(shí)現(xiàn)冗余備份。

2.1.2 接入層

接入層主要包括一個(gè)自治區(qū)局接入點(diǎn)、十四個(gè)盟市局接入點(diǎn)，在實(shí)現(xiàn)橫向業(yè)務(wù)時(shí)，接入層的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)本區(qū)域各用戶的橫向流量到其他區(qū)域用戶；在實(shí)現(xiàn)縱向業(yè)務(wù)時(shí)，轉(zhuǎn)發(fā)本區(qū)域用戶的縱向流量到自治區(qū)局區(qū)域用戶。

2.2 高可靠性

網(wǎng)絡(luò)的高可靠性實(shí)現(xiàn)通過采用關(guān)鍵設(shè)備冗余、鏈路冗余的集群、堆疊的網(wǎng)絡(luò)方案。核心層設(shè)備采用集群技術(shù)配置，將物理上的兩臺(tái)設(shè)備從邏輯上擬合成一臺(tái)設(shè)備，將接入層和匯聚層之間的多條鏈路捆綁進(jìn)行數(shù)據(jù)傳輸。

2.3 IPv6業(yè)務(wù)兼容性

全網(wǎng)采用雙棧模式部署及業(yè)務(wù)承載，在現(xiàn)有的IPv4環(huán)境中部署IPv6，并且IPv6與IPv4能獨(dú)立完整保持所需的相關(guān)功能性和安全性。

3 網(wǎng)絡(luò)實(shí)體架構(gòu)設(shè)計(jì)

VPN數(shù)據(jù)專網(wǎng)主要由核心區(qū)功能模塊、自治區(qū)區(qū)局區(qū)模塊，盟市區(qū)接入模塊以及管理區(qū)模塊四大模塊組成，采用VPN方式實(shí)現(xiàn)組網(wǎng)。如圖2所示。

圖2 VPN隔離方式組網(wǎng)

3.1 核心區(qū)功能區(qū)

采用兩臺(tái)高性能核心路由器作為區(qū)局網(wǎng)絡(luò)接口，并作為核心接入?yún)^(qū)局、盟市分局、管理區(qū)，具備高交換容量，高處理能力，實(shí)現(xiàn)廣域網(wǎng)區(qū)域可靠互聯(lián)，業(yè)務(wù)流量負(fù)載均衡。

3.2 區(qū)局功能區(qū)

采用兩臺(tái)高性能防火墻作為自治區(qū)局網(wǎng)絡(luò)安全設(shè)備，集VPN、防網(wǎng)絡(luò)病毒、帶寬使用管理、入侵檢測(cè)與防御、上網(wǎng)用戶的管理、數(shù)據(jù)防泄漏等功能于一體，如果網(wǎng)絡(luò)業(yè)務(wù)需要，還需配置沙箱等設(shè)備。防火墻作為區(qū)局與市局之間VPN的PE節(jié)點(diǎn)，用于承載三種（視頻、數(shù)據(jù)、語音）業(yè)務(wù)。

采用兩臺(tái)高性能交換機(jī)，兩臺(tái)設(shè)備做集群部署虛擬為1臺(tái)設(shè)備，再進(jìn)行1虛多虛擬化為3臺(tái)邏輯設(shè)備，承載三種（視頻、數(shù)據(jù)、語音）業(yè)務(wù)，做到三種業(yè)務(wù)邏輯隔離。

所有關(guān)鍵設(shè)備物理冗余，接入高性能路由器、核心交換設(shè)備單臺(tái)上所有主控部件物理冗余。特別是主控板和交換網(wǎng)板必須物理隔離，交換網(wǎng)板必須是獨(dú)立網(wǎng)板，并且業(yè)務(wù)板與交換板不許共享槽位。

3.3 盟市接入?yún)^(qū)

各盟市局/直屬機(jī)構(gòu)部署高性能防火墻，作為分局VPN的PE節(jié)點(diǎn)，交換機(jī)采用1虛3模式，用于承載3種（視頻、數(shù)據(jù)、語音）業(yè)務(wù)。

盟市接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件配置物理冗余，交換機(jī)的主控板和交換網(wǎng)板實(shí)現(xiàn)物理隔離，配置獨(dú)立交換網(wǎng)板，并且交換板與業(yè)務(wù)板不能夠共享槽位。

3.4 管理區(qū)

管理全網(wǎng)狀態(tài)監(jiān)控，靈活部署業(yè)務(wù)。實(shí)現(xiàn)數(shù)據(jù)專網(wǎng)中關(guān)鍵網(wǎng)絡(luò)設(shè)備，服務(wù)器，業(yè)務(wù)數(shù)據(jù)庫統(tǒng)一管理，各類告警信息同步輸出至大屏實(shí)時(shí)監(jiān)看，并具備信息提示。

4 VPN實(shí)現(xiàn)方式分析

4.1 VPN隔離

VPN實(shí)現(xiàn)步驟

區(qū)局核心交換機(jī)與分局交換機(jī)通過集群技術(shù)將兩臺(tái)交換機(jī)虛擬為一臺(tái)交換機(jī)，然后再通過虛擬化技術(shù)將交換機(jī)進(jìn)行1∶3虛擬，從邏輯上將交換機(jī)虛擬為三臺(tái)交換機(jī)，通過VPN建立隧道，隧道1負(fù)責(zé)視頻業(yè)務(wù)，隧道2負(fù)責(zé)數(shù)據(jù)業(yè)務(wù)，隧道3用于傳輸語音業(yè)務(wù)。如圖3、圖4所示。

如此一來，基于頁面邊界空間的特定主題的圖書提供給讀者的知識(shí)與想象總是在有限的版面里進(jìn)行。而且“紙是一種不太方便的、不和別處相連的媒介”。[3]習(xí)慣了通過不停點(diǎn)擊越界閱讀的讀者對(duì)作為冷媒介的圖書的關(guān)注自然漸趨減弱。這些現(xiàn)象在我們的閱讀生活中大量地存在著，甚至很多人花錢買了書因?yàn)闆]時(shí)間看或者靜不下心來看甚或看不懂、看不下去而導(dǎo)致書中的知識(shí)并未發(fā)生傳遞。因而現(xiàn)實(shí)中書雖然因?yàn)楦鞣N原因買來了，但束之高閣也是常態(tài)。

圖3 VPN隔離實(shí)現(xiàn)方式—橫向業(yè)務(wù)圖

圖4 VPN隔離實(shí)現(xiàn)方式—縱向業(yè)務(wù)圖

4.2 MPLSVPN

MPLSVPN的基本概念：BGP/MPLSIPVPN是一種L3VPN，CE（CustomerEdge）、PE（ProviderEdge）和P（Provider）三部分組成。

BGP/MPLSIPVPN組網(wǎng)可擴(kuò)展性好，同時(shí)組網(wǎng)方式靈活多樣，特別是能夠支持MPLS QoS和MPLSTE，數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性和等級(jí)得到某種程度的優(yōu)化，克服傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的部分弱點(diǎn)，因此在實(shí)際VPN網(wǎng)絡(luò)設(shè)計(jì)中大量廣泛的運(yùn)用。

CE（CustomerEdge）：用戶網(wǎng)絡(luò)邊緣設(shè)備有一個(gè)接口直接連接到服務(wù)提供商SP（Service Provider）網(wǎng)絡(luò)。CE可以是路由器、交換機(jī)或主機(jī)。一般來說，CE不會(huì)“感知”到VPN的存在，也不需要支持MPLS。

PE（ProviderEdge）：服務(wù)提供商邊緣設(shè)備是服務(wù)提供商網(wǎng)絡(luò)的邊緣設(shè)備，直接與CE相連。在MPLS網(wǎng)絡(luò)中，VPN的所有處理都在PE上進(jìn)行。

P（Provider）：服務(wù)提供商網(wǎng)絡(luò)中的骨干設(shè)備，不直接與CE相連。P設(shè)備只需要具備基本的MPLS轉(zhuǎn)發(fā)能力，不維護(hù)VPN信息。

VPN實(shí)例：也叫VPN路由和轉(zhuǎn)發(fā)表。PE設(shè)備保存有多個(gè)路由轉(zhuǎn)發(fā)表，包括一張公網(wǎng)路由轉(zhuǎn)發(fā)表和一張或多張VPN路由轉(zhuǎn)發(fā)表。下圖是VPN實(shí)例示意圖，如圖所示，各個(gè)VPN實(shí)例維護(hù)各自VPN的路由，公網(wǎng)實(shí)例維護(hù)公網(wǎng)路由，這樣防止了路由因目的地址重疊而在PE上丟失。如圖5所示。

圖5 VPN實(shí)例示意圖

IPv4地址增加了RD以后稱為VPN-IPv4地址，共有12個(gè)字節(jié)，8個(gè)字節(jié)為路由標(biāo)識(shí)符RD（RouteDistinguisher），4個(gè)字節(jié)為IPv4地址前綴，如圖6所示。

圖6 VPN-IPv4地址結(jié)構(gòu)圖

4.3 基本參數(shù)設(shè)計(jì)

LSRtrigger：為了避免產(chǎn)生不必要的LSP，LSRtrigger的方式為host。

VPNname：本次現(xiàn)網(wǎng)業(yè)務(wù)應(yīng)邦定到VPN，不同的業(yè)務(wù)建議配置不同的VPNname。

VPN的RD：不同的VPN配置不同的RD，建議采用AS：XX進(jìn)行劃分，XX為VPN業(yè)務(wù)的序號(hào)，從01開始編依次遞增。

VPN的vpn-target：不同的VPN配置不同VPN的vpn-target export-extcommunity和importextcommunity，采用的編碼方式是AS：XX；VPN的私網(wǎng)路由協(xié)議：VPN的私網(wǎng)路由協(xié)議采用OSPF或其他動(dòng)態(tài)路由，注入到MP-BGP在VPN內(nèi)發(fā)布；根據(jù)實(shí)際組網(wǎng)需求來確定MPLSVPN的部署，合理分配P、PE、CE的設(shè)備角色，既做到業(yè)務(wù)隔離，安全穩(wěn)定傳輸，又做到節(jié)約資源，提高設(shè)備利用率。

結(jié)束語

在實(shí)際應(yīng)用當(dāng)中，VPN專網(wǎng)逐步成為承載視頻、語音、數(shù)據(jù)等多業(yè)務(wù)的數(shù)據(jù)專網(wǎng)，本文從VPN專網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)整體規(guī)劃到實(shí)體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，進(jìn)行了簡(jiǎn)單探討，VPN憑借其組網(wǎng)快捷、安全、維護(hù)簡(jiǎn)便等優(yōu)勢(shì)將會(huì)具有更廣闊的前景。