MPLS VPN技术及其在校园网建设中的研究

摘要:通过介绍MPLS VPN技术的基本概念、原理、实现方式,分析了MPLS VPN的技术优势,阐述了MPLS VPN技术在大型网络设计中的实际应用,初步研究了MPLS VPN环境下校园网络的规划,力求使今后高校信息化建设更上一个新台阶。

关键词:MPLS VPN;校园网;技术优势;应用;初步规划

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)04-0831-02

MPLS VPN Technology and in Campus Net Construction Research

LIU Li-juan

(Nanjing Normal University Taizhou College, Taizhou 225300, China)

Abstract: Through introduced MPLS VPN technology basic concept, principle, realization way,has analyzed the MPLS VPN technical superiority, elaborated MPLS VPN technology in the large-scale network design practical application, preliminary study under MPLS VPN environment campus network plan, the endeavour will cause on a next university informationization construction new stair.

Key words: MPLS VPN; campus net; technical superiority; using; preliminary plan

随着信息化程度的加深,校园网上各种管理应用系统平台不断增加,各种各样的网络需求和安全问题对传统校园网提出了巨大的挑战,如何实现学校教学、科研、管理等多个业务系统的“隔离与受控访问”,并能检测、调节、设定不同业务优先级,提供多等级校园网络服务质量,优化网络性能,成为校园网工程改造的难题。由于MPLS VPN技术能够非常简单的实现学校各部门之间的横向和纵向互访,并且在增加新的节点时,不需要对原有节点的配置进行修改。所以相对其他VPN技术,采用MPLS技术组建的VPN具有更好的可维护性及可扩展性,MPLS VPN更适合于组建较大规模的复杂的VPN网络,MPLS VPN的这些优点已经成为建设校园网的主流技术。

1 MPLS VPN技术

1.1 MPLS VPN技术概述

MPLS VPN是一种基于MPLS技术的VPN,它在MPLS/IP公共网络上,利用MPLS技术创建隧道,实现二、三层VPN业务。MPLS VPN的隧道建立就是采用MPLS的标签堆叠技术,通过给用户数据封装双层标签来实现。其中内层标签即私网标签,用来识别用户信息的VPN信息,外层标签即公网标签,用来在公网中转发私网报文。将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起,为用户提供高质量的服务。

1.2 MPLS VPN原理

MPLS VPN中的路由器有P路由器、PE路由器、CE路由器3种。P路由器是主干路由器,负责VPN分组外层标签的交换;PE路由器一般是边界路由器,存放着VRF表和全局路由表;CE路由器为客户端路由器。当CE路由器将一个VPN分组转发给PE路由器后,PE路由器查找该VPN对应的VRF,从VRF中得到一个VPN标签和下一跳出口PE路由器的地址,VPN标签为“最内层标签”打在VPN分组上,根据下一跳出口,PE路由器的地址可以在全局路由表中查找出到达该PE路由器应打上的域内路由的标签,即外层标签,于是VPN分组被打上了两层标签,P路由器根据外层标签转发VPN分组,在最后一个P路由器处,外层标签弹出,VPN分组只剩下内层标签,接着VPN分组被发往出口PE路由器。出口路由器根据内层标签查找到相应的出口,将VPN分组上的内层标签删除,把不含标签的VPN分组发给正确的CE路由器,CE路由器根据自己的路由表将分组转发到正确的目的地。

1.3 MPLS VPN的实现方式

MPLS VPN的实现方式,根据Internet边界设备PE是否参与客户的路由,Internet在建立基于MPLS的VPN时有两种选择:第三层的解决方案(Layer3MPLS VPN)和第二层的解决方案(Layer2MPLS VPN)。第二层和第三层MPLS VPN的主要区别在于:在一个第三层的MPLS VPN里,PE路由器和CE路由器建立了对等关系,并且维护独立的路由表,而不是在CE路由器之间建立对等关系。

1.4 MPLS VPN的技术优势

1.4.1 VPN实现网络安全

VPN以多种方式增强了网络的智能和安全性。具有高度的安全性,对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全。

1.4.2 简化网络设计

网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN通过拨号访问来自ISP或NSP的外部服务,减少了调制解调器池,简化了所需的接口,同时简化了与远程用户认证、授权和记帐相关的设备和处理。

1.4.3 降低成本

许多技术承诺可以降低成本,但VPN降低成本的方法是立即且显著的,它可以降低:

1)移动用户长途通信成本费。

2)可以以每条连接40%到60%的成本对租用线路进行控制和管理,对国际电路成本节约是极为显著的。

3)主要设备成本:VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外,它还允许一个单一的WAN接口服务多种目的,从分支网络互连、商业伙伴的外连网终端,本地提供高带宽的线路连接到拨号访问服务提供者。因此,只需要极少的WAN接口和设备。另外,由于VPN独立于初始的协议,这就使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件系统上的投资。

1.4.4 容易扩展

如果企业想扩大VPN的容量和覆盖范围,只需与新的ISP签约,建立帐户,或者与原有的ISP重签合约,扩大服务范围。

1.4.5 易于建立商业伙伴

在过去,企业如果想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后,这种协商已毫无必要,真正达到了要连就连、要断就断。这样就可以迅速捕捉商业机会,建立可靠的商业伙伴关系。

1.4.6 完全控制主动权

VPN使企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

1.4.7 支持新兴应用

许多专用网对于新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IM、MPLS等。

2 MPLS VPN的应用

MPLS VPN应用的范围比较广泛,在企业中利用MPLS VPN可以大大缩小总部和各分支机构之间的差距,在VPN中实施软交换IP电话,可以大大节省长途话费,利用VPN开通会议电视,大大方便各分支机构之间的业务交流。在政府机构中,从中央到省级到市/地级到县级到乡镇,都可以组建MPLS VPN网,在各级VPN中开通E-mail、IP 电话、会议电视,方便各级政府官员互相通邮通电,随时启用会议电视开展会议。各级VPN的级别设置与各级政府级别、机密级别设置相当,将网络风险降低到零。另外,MPLS VPN还可以在远程教育、跨地域银行、电力远程监控、大型商行或超市、物流业等领域应用。

2.1 校园网改造需求分析

针对原有网络运行模式,需要一个便于扩展的解决方案,来保持用户组完全隔离,实现服务和安全策略的集中,并保留校园园区网设计的高可用性、安全性和可扩展性优势。网络改造设计必须高效地解决以下几个问题:

2.1.1 访问控制

确保能识别合法用户和设备,对其分类,并允许其接入获得访问授权的网络部分。

2.1.2 路径隔离

确保各用户或设备都能高效地分配到正确、安全的可用资源集,即正确的VPN。

2.1.3 服务边缘

确保合法的用户和设备能访问相应的正确服务,并集中实施策略。

2.1.4 网络扩展

可以为其他校区、办学点、移动办公的人员提供远程接入访问服务。

2.2 校园网MPLS VPN初步规划

2.2.1 整体规划

采用MPLS/BGP VPN技术作为实现基本MPLS VPN业务的技术路线,建立各业务系统虚拟独立网络,各业务系统部门之间的可控互通访问;通过构建全局共享VPN实现整个网络电子信息资源库、视频会议系统的互连互通;在MPLS VPN基础上,通过部署IP VPN提供更进一步的安全保证;在网络未来扩展中,采用VPE技术实现VPDN与MPLS VPN的结合;

2.2.2 专网规划

主校区可以通过虚拟园区网实现校内各业务系统的专网实现,要解决接入控制、通道隔离、统一应用三个问题,实现对接入用户身份的识别和动态访问权限的下发,从而使用一套物理网络为多个部门的用户提供不同的安全访问级别服务,并且满足网络的安全性和灵活办公的需要。

各分校区从原有基于专线的网络上迁移到校园网络上,需要改变原有网络的接入方式,设备也要做适当调整,需要配置支持MPLS VPN的接入路由器。

3 结论

MPLS VPN技术是目前大型复杂网络建设中解决信息受控访问和安全隔离的有效途径,它使企业得以在一个公共的通信平台上,构建内部的VPN专网,能够在一个无连接的网络中引入连接模式的特性,有效减少了网络复杂性。MPLS VPN技术在校园网的建设中虽然还没有得到普及化的应用,但相信随着时代的发展,MPLS VPN必将为实现全面“数字化校园”作出巨大贡献。

参考文献:

[1] 郭宏宇.MPLS VPN技术原理与实际应用[D].吉林:吉林大学,2008.

[2] 魏岳,王文静,赵蔚.基于VPN的校园网组网模式分析[J].福建电脑,2009(2):85-86.

[3] 吴荣生,郭联志.MPLS VPN的探究与应用[J].重庆科技学院学报:自然科学版,2009,11(2):130-133.

[4] 谭洪泉.基于MPLS的VPN技术在校园网中的应用与研究[D].贵州:贵州大学,2008.