基于MPLS VPN技术多校区校园网应用研究

摘要： 现有跨校区运行多种业务系统的校园网络，存在业务流量混合上行，应用效率低下、专网建设成本代价大，资源利用率低、传统VPN技术灵活与扩展性差的弊端。采用MPLS VPN技术，利用其隧道动态建立、路由有效隔离的特点，将校园网多业务合理融合在一起，较之原有网络，在应用、维护、管理上具备一定的优越性。

Abstract： Nowadays diversified campus network system in the multi-campus has many disadvantages. There are traffic mixed up， inefficient application， costly network construction cost， low utilization rate of resources， inferior flexibility and extensibility of traditional VPN technology. Using MPLS VPN technology， the characteristics of the tunnel dynamic routing establishment， effective isolation， the diversified campus network system be mixed. It is better than before in application， maintenance， management.

关键词： MPLS VPN；校园网；融合

Key words： MPLS VPN；campus network；integration

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2014）03-0188-03

0 引言

随着高校办学规模的扩大，分校区的建立，校园网在应用与建设中会遭遇一些挑战：一是教学管理、财务、图书馆等传统业务的发展，使得分隔在不同地理位置上、各自独立的网络，不仅需要与其他网络实现安全隔离与受控访问，还需要从组织结构、系统管理、安全防护方面融合在一起；二是新增加的业务平台如何合理融入到校园网当中，以便于集中管理及节省成本，例如对于Qos有一定需求视频会议专网，又或者是因为控制范围的扩大和视频数量增多，由集中控制、集中存储向分布控制、分布存储发展的安保监控专网。VPN技术利用校园网公用信道构建私有网络的独特优势，在跨校区校园网建设中受到重视，而在众多VPN技术当中，MPLS VPN以其高效率、低成本、易扩展、保证服务质量等诸多优点，在校园网多业务融合中得到广泛的研究与应用。

1 目前校园网存在的弊端

某高职院校主校区位于柳州市，新建分校区位于官塘，两校区距离为20公里左右。校区间校园网通过专线互联，如图1所示。

网络在应用中有以下三种表现情况有待优化：

①多媒体教学、图书馆业务、教学管理、学生公寓等流量在两个校区传输网中混合上行，关键业务之间未有“专用”信道，网内任何方面的突发故障、攻击、病毒感染，都有可能对业务网络的运行造成影响；同时，部分业务间的隔离或互访，不得不设置条目繁多的访问控制策略，给网络管理与维护造成了不小的压力。

②财务业务为了保证系统运行安全，采用了单独光纤互联构建专网，网络设备采购、带宽服务费、专网维护管理等成本不菲，而专网中信息点只有几十个，资源形成一定的浪费。

③部分业务使用传统VPN隧道技术，在两校区业务接入点使用专用设备及认证工具，于校园骨干传输网中开辟隧道，通过采用加密认证的方式保证数据安全性。由于隧道建立“静态”的特点，每增加一个业务点都需要通过手动对隧道进行配置管理，灵活度与扩展性较差。其次，专用设备投入在业务接入点，使得跨部门的网络管理也相对麻烦。

实际上，每个业务系统发展到一定阶段，都有一个融合自身业务，隔离其他业务的需求[1]。上述三种情况，可谓无法同时顾及“融”与“合”两个方面。跨校区业务系统网络如何合理“融合”在一起，根据不同业务需求定制个性化网络通讯服务，是建设与改造当前校园网结构面临的一个问题。

2 MPLS VPN关键技术特点

MPLS（Multiprotocol Label Switching）是多协议标签交换的简称，其将2层交换和3层路由技术结合起来的特点在构建VPN上具备鲜明特点。

①VPN隧道通过MPLS的标签分发协议（LDP）建立标签交换路径（LSP），即VPN隧道建立过程为动态实现，这使得VPN部署灵活，规模易扩展。

②PE维护和管理一系列转发表，其中一个转发表为全局转发表，其它转发表为VPN路由转发表（VRF）。全局转发表存放骨干传输网路由，保证PE和PE、PE和P之间互通；VRF存放的是VPN站点的私有路由，一台PE上可以有多个VRF，每个VRF即一台“虚拟路由器”，每个VRF和CE相连，负责与CE端交换路由信息。PE上的VRF确保了不同VPN间的路由是相互隔离的。

③每个VRF具有路由区分符RD（Route Distinguisher）和路由目标RT（Route Target）两大属性。这两个属性皆由支持多协议扩展的MP-BGP传递。RD属性将IPv4地址转化为VPN-IPv4地址，解决不同VPN站点使用相同私网地址导致在路由分发传递过程中的冲突问题；RT属性分成路由信息导入、导出策略，即Import RT和Export RT，当从VRF中导出VPN路由时，用Export RT对VPN路由进行标记，在往VRF表中导入VPN路由时，只有所携带Export RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中[2]，RT属性过滤PE路由接收的路由信息，是站点是否形成VPN的依据。

综合以上特点，MPLS VPN技术当中，VRF能够解决业务专网对于“隔离”的需求，保证了安全性，RD属性给业务专网编址提供了自由度，RT属性给业务专网融合提供了保障，LDP协议可以让业务站点易扩展，更灵活。

3 基于MPLS VPN技术校园网结构

MPLS VPN的技术特点在跨校区校园网多业务融合上能发挥巨大优势，其组网方式能满足业务专网几乎所有要求。常用组网模型有以下三种，为叙述方便，简化了网络结构，省略了P设备，并自定义了如下规则：业务系统名称为业务拼音首字母，自治系统号码设定为64512，每个业务VPN使用路由区分符RD，路由目标RT的关键字import和export分别为VRF导入和导出策略。

①不同VPN的隔离控制，属于同一个业务VPN内部的站点可以互相访问，不属于同一个业务VPN站点不能相互访问，即Intranet模型，如图2所示。

②不同业务VPN内部的站点不能互访，但这些VPN有一部分共享资源，要求不同的VPN站点可以访问这部分资源，即Extranet模型，如图3所示，其中GX为共享资源站点。

③业务VPN中设置控制中心，VPN站点互访都需要通过控制中心进行，业务VPN内部是受控互访，即Hub&Spoke模型，如图4所示，KZ为控制中心，JK1和JK2互访数据流可以通过控制中心设置一系列灵活策略控制来监控限制JK1和JK2之间的通信数据。

4 MPLS VPN在校园网中的部署

在该高校跨校区MPLS VPN业务专网部署中，没有P设备。部署过程如下：①核心层交换机为RG-S8606，支持MPLS VPN特性，将其部署为PE；业务接入点的汇聚层交换机为RG-5750，支持Muti-VRF功能，将其部署为CE。②分析某业务对网络通讯需求，确认该业务采用的组网模型，分配业务专用IP地址空间。③PE上部署MPLS协议及MP-BGP，建立该业务VRF，完成VRF的RD及RT属性设定。④关联PE端连接的CE设备，交换VPN路由信息，业务VPN专网构建完成。

校园网原组织结构向MPLS VPN组网迁移过程当中，有两种模式供选择：全局模式，对校园网内所有业务进行划分，为每个业务划分不同VPN；渐进模式，将需要隔离的业务划入VPN，建立相关VRF，其余业务保持原有运行模式[3]。该高校采用的是渐进模式，先将某一业务进行部署，在应用中积累维护管理经验，再将业务类型进行扩展。实际上，在对扩展业务前后网络性能对比中，PE设备的CPU利用率整体比较平稳，网络延时和负载并未出现单调递增的趋势，负载增加，变化仍然比较平稳[4]。

5 结语

MPLS VPN技术动态隧道建立，使VPN扩展方便灵活，VRF路由隔离保障了业务区分与安全，全面的组网模型能应对业务对网络提出的“个性”需求。可以预见，MPLS VPN技术在改变校园网业务系统各自为政，推动网络资源统一管理，节省网络建设成本等方面，将拥有广阔的发展天地。

参考文献：

[1]涂中群.基于MPLS VPN实现图书馆多校区网络融合[J]. 图书情报工作，2011，55（5）：51-55.

[2]李雷.基于MPLS VPN的校园网多业务系统运用[J].中国教育信息化（高教职教），2011（3）：19-21.

[3]谭伟.多网融合MPLS VPN—西南交大一改校园网多业务系统各自为政的局面[J].中国教育网络，2009（7）：54-55.

[4]梁海英，罗琳，于晓鹏.基于BGP/MPLS VPN 技术的跨域校园网仿真分析[J].吉林大学学报（信息科学版）2013，31（2）：177-182.