基于MPLS VPN多業務校園網絡的設計與實現

呂元海，劉浩

（1.西安郵電大學信息中心，陜西西安710121；2.西安郵電大學陜西西安710061）

基于MPLS VPN多業務校園網絡的設計與實現

呂元海1，劉浩2

（1.西安郵電大學信息中心，陜西西安710121；2.西安郵電大學陜西西安710061）

針對高校普遍存在的跨地區分校區網絡之間存在的資源利用率低、專網建設成本高、擴展性差等問題，本文提出了一種基于MPLS VPN的多業務校園網絡設計方案，完成了多業務校園網絡的結構設計、擴展性設計以及可行性測試，將多個專用網絡整合在同一物理網絡上。實際應用表明，MPLS VPN多業務校園網絡的實現提高了網絡資源的有效利用，保證了數據傳輸的安全性。

MPLS；VPN；多校區；多業務網絡

隨著高校規模的擴大和信息化的發展，網絡業務的種類和規模都大幅增長，校園網應用中也隨之出現了一些問題。如何將新增的校園業務融合到校園網中以及各專網之間如何更好地相互隔離相互融合成為急需解決的問題。隨著需求增加，一卡通、財務、語音、視頻等業務都要陸續上線，為了保證業務的可靠以及數據的安全，這些業務都要建立自己的專網。MPLS VPN技術可以有效解決如何在同一物理平臺上提供多種業務的傳輸問題［1］。MPLS VPN技術將服務質量、流量控制及專用網的安全性靈活性結合在一起，可以有效的在一張物理網絡上進行多業務流量的整合［2］。

文中部署MPLS VPN、制定組網方案、測試可行性，在測試完成之后可以直接移植到一卡通網絡設備上，這樣有利于在保持原來網絡環境的情況下，進行網絡擴充以及多業務網絡的部署，有助于提高網絡利用率。

1　多業務網絡建設需求

隨著業務需求的增加，傳統的VPN技術已經不能滿足校園網絡的需求，比如關鍵業務之間隔離互訪不方便，每增加一個業務都需要手動配置擴展性差等等。所以多校區的校園網建設需要使用一種迅速轉發而且成本不高的技術方案，該技術方案使得維護人員只需要維護一張網絡的核心區域就可以滿足多業務的需求，使得各業務網絡在邏輯上相互獨立，可以對網絡資源進行獨立分配。而MPLS VPN技術完全可以勝任這一任務。

MPLS VPN與傳統的數據轉發方式不同。傳統的數據轉發是通過查詢路由條目完成的［3-4］。MPLS VPN在向數據包中壓入標簽之后，利用標簽引導數據高速、高效地傳輸［5］。此外，MPLS VPN比較容易進行擴展［6］，大多數情況下只要在PE設備上進行簡單的設置，然后將CE設備直接連接到PE設備上即可，可應用于多種網絡類型中。

MPLS VPN包含3種交換設備。P設備：通過交換標簽完成數據的轉發，不和用戶設備直接連接；PE設備：MPLS區域中直接和用戶網絡設備連接的，可向用戶提供VPN服務，有多個VRF表［7］；CE設備：該設備直接與PE設備連接。

2　多業務網絡設計

以某高校為例，建設多業務網絡。某高校有兩個校區：新校區和老校區，新校區又分東區和西區。在該校園多業務網絡的設計規劃中，目前設計有4個不同的業務專網，它們分別是一卡通專網、財務專網、語音通信專網、視頻專網。

2.1網絡結構設計

采用MPLS VPN技術，通過實施多業務網絡，使其能夠在一張物理網絡上提供多種業務的網絡服務，使每一個邏輯上的專網相互獨立，可以隔離其他業務［8］；用戶可以根據自己的網絡狀況對專網實施靈活的管理策略；核心區域能夠對不同專網作有效屏蔽，各個業務網絡在邏輯上相互獨立，可以對網絡資源進行獨立分配而不會受到其他網絡的影響。所以在本次多業務網絡結構設計中，計劃實施4個不同的虛擬局域網絡。不同的虛擬局域網之間相互隔離，同一虛擬局域網中的設備通信不受影響。該校園多業務網絡結構如圖1所示。

圖1　多業務網絡結構圖

整個核心層的設計類似一個三角；網絡接入層是基于建筑來劃分的，它負責對區域內終端數據進行轉發，直接與核心層相連。西區的核心充當網絡的主核心，分別和老校區以及東區的核心設備相連接。與核心相連接的都是網絡的接入層設備，接入層設備根據區域進行部署。

2.2MPLS VPN規劃設計

1）核心層路由器支持MPLS VPN特性，將其部署為PE。接入層網絡設備部署為CE。

2）PE上部署MP-BGP協議，創建某業務的VRF，完成對RD值的設定，以及設定RT導入導出策略。

3）將PE與CE關聯，運行路由選擇協議。

對于MPLS標簽的結構，最里層的標簽用于區分不同的CE設備，數據在MPLS區域轉發使用外層的標簽。對于內層的標簽分發采用BGP協議［9］。

2.3路由協議設計

采用MPLS VPN設計校園網多業務網絡，在路由協議方面主要分為3部分:MPLS骨干區域啟用動態路由協議OSPF和MP-BGP協議，PE與CE之間采用BGP協議，CE內部網絡之間采用靜態路由協議。CE與PE之間通過BGP協議將用戶的路由信息傳送到PE［10］，PE上有對應的虛擬路由表。PE之間采用MP-BGP協議傳送路由信息以及相應的標簽，RD和RT這兩個屬性值也由MP-BGP協議傳送［11］。在MPLS骨干區域中，若采用靜態路由方式，配置起來比較麻煩，也不好擴展，故采用動態路由方式，OSPF顯然是最好的選擇［12］。

2.4可擴展性設計

對多校區校園網絡進行了MPLS VPN設計規劃之后，網絡的擴展是很方便的。一般情況下，用戶一側的設備是不需要進行任何設置的，只需要在MPLS骨干區域的PE設備上進行相關設置便可以。比如現在需要添加一個財務的專網，需要在PE設備上進行的工作就是創建財務VPN的相關實例，然后再在接口綁定引用，而用戶只需要將自己的CE設備連接到某個特定的接口上，而不需要做任何多余的設置，就可以完成對財務專網的配置。在這樣的設計背景下，網絡的擴展是非常靈活的，從而減少管理難度，提高運營效率［13］。

3　基于MPLS VPN的多業務網絡構建

3.1構建MPLS VPN網絡

將3臺核心設備設置成MPLS的骨干區域，接入層的網絡設備充當CE，部署MPLS VPN，測試方案的可行性。首先在路由交換設備上配置基本的接口信息，接下來在MPLS骨干區域啟用動態路由協議OSPF，標簽的分發是通過BGP來實現的。

基礎網絡的構建流程是先配置底層網絡，測試底層網絡連通性，然后開啟MPLS的相關服務，創建MPLS VPN實例，接口綁定MPLS VPN實例?；A網絡搭建完成之后，可以對網絡的連通性做出測試。

3.2開啟MPLS相關服務

構建了MPLS VPN網絡之后，需要開啟MPLS上網的相關服務，只有開啟了這些服務，MPLS、標簽分發協議的應用才會被啟用。首先，使用mpls命令在全局下啟動MPLS功能進入MPLS視圖，執行該命令之后，用戶會進入MPLS視圖。然后使用命令開啟相關服務。

3.3啟用VPN實例

在MPLS區域的路由交換設備上創建3個VPN的業務，它們分別是一卡通數據VPN，語音網絡VPN，視頻網絡VPN。在每一個PE設備上分別創建這3個VPN實例。注意:RD值不同，目的是為了區分不同的VPN實例。

比如創建一卡通VPN實例：先用vsi命令創建一個實例名稱為一卡通，然后使用bgp命令進入BGP視圖，利用vpntarget命令來配置當前一卡通實例的VPN Target。

實行MPLS VPN之后，網絡的擴展非常方便，只需在PE上創建實例并綁定即可，比如臨時需要創建財務專網，就只需要在PE路由交換設備上進行VPN的創建即可。創建步驟如圖創建一卡通VPN實例的步驟一樣。

3.4接口綁定VPN實例

VPN實例創建完成之后并不能起到專網劃分的效果，那是因為沒有進行VPN實例的綁定。所以需要做的就是在特定接口綁定特定VPN實例，只有進行了綁定之后，VPN的效果才會產生。

4　多業務網絡的運行測試

4.1測試方案

網絡環境搭建完成之后要做的就是對系統的連通性以及相關功能做出測試。首先需要對基礎網絡的連通性進行測試，查看網絡中的路由學習情況以及網絡的連通性；接下來需要對MPLS進行驗證性測試，查看數據包的轉發是基于路由轉發還是標簽轉發，分析數據包的轉發情況，弄清標簽的轉發原理；最后進行MPLS VPN的相關測試，測試同一VPN中網絡設備的連通性以及不同VPN之間的通信隔離。

4.2基礎網絡測試

對基礎網絡的連通性進行測試，觀察網絡中的路由學習情況，路由學習表如圖2所示。

圖2　路由學習圖

通過路由查看可以看出MPLS骨干區域相互之間能夠進行路由學習，即不同的終端之間便可以進行通信。

4.3標簽轉發驗證

在一臺終端設備上面對另外一端的設備進行連通性測試，然后查看數據包的轉發是通過路由轉發還是基于標簽轉發。應答包報文如圖3所示。

圖3　應答包報文

從應答包報文中我們可以看到數據包的轉發是基于標簽轉發，我們可以看到只有一層標簽，這里出現一層標簽的原因是因為邊界路由交換設備為了節省標簽的交換時間，最后一條路由交換設備在通告路由的時候會分配出標簽值為3的標簽，當數據包返回的時候，當看到值為3的出標簽，便彈出最外層標簽值，將數據包交給PE，再由PE直接查詢內層標簽，將數據包直接發送給用戶的CE設備［14］，這樣有助于提高數據包的轉發效率。

4.4MPLSVPN的測試

在進行MPLS VPN實施結果的測試時需要做的就是測試相同VPN之間連通性的測試以及不同VPN之間的隔離性測試。不同VPN隔離測試結果如圖4所示。

圖4　不同VPN隔離測試圖

可以看到不同VPN之間是不可以相互通信的，丟包率為百分之百。由于它們分屬不同的虛擬局域網，所以它們之間是不能通信的。下面測試在同一個網絡中，兩個網段是可以通信的，即同一個專網中可以相互通信，測試結果如圖5所示。

圖5　相同VPN連通測試圖

由此可以看出VPN的基本設置是成功的，能夠滿足預期的效果，即同一個VPN終端設備之間可以相互進行通信，不同VPN之間是不能進行相互通信。通過測試得出：由于不同專網相互隔離，數據傳遞的安全性得以提高；由于擴展性得以充分發揮，所以擴展多種業務成本降低［15］；由于此方案基于標簽交換，數據效率大大提高，故此方案得到預期效果。

5　結束語

隨著信息化的不斷發展，怎樣高效率、低成本地維護骨干網絡將是以后校園網絡發展的趨勢所在。為達到智能校園的信息化需求，本文通過對MPLS VPN進行分析研究，對校園網各業務專網進行改良，設計了一種基于MPLS VPN技術的校園網多業務網絡方案，使其能夠在網絡擴展中承載多業務。結果表明該網絡方案可以保證服務質量、提高傳輸效率、增強安全性。

［1］姚青.MPLS VPN在多業務專網中的應用研究［D］.上海:上海交通大學，2010.

［2］Eric Osborne，Ajay Simha.基于MPLS的流量工程（張輝，盧煒）［M］.北京:人民郵電出版社，2012.

［3］Lue De Ghein.MPLS技術架構（陳麒帆）［M］.北京:人民郵電出版社，2012.

［4］Jim Guichard，Ivan Pepelnjak.MPLS和VPN體系結構（盧澤新，朱培棟，齊寧）［M］.北京:人民郵電出版社，2010:19-198.

［5］潘勝發，劉廣義，林孝康.MPLS路由技術［J］.計算機工程，2002，28（10）:159-161

［6］孫立飛.基于VPN技術的校園網研究［J］.信息通信，2014，（1）:103-104.

［7］李雷.基于MPLS VPN的校園網多業務系統運用［J］.中國教育信息化，2011（3）:19-21.

［8］聶亞南.基于MPLS的多業務承載研究［D］.北京:北京郵電大學，2008.

［9］任金秋，馬海龍，汪斌強.跨域BGP/MPLS VPN在高性能路由器中的實現［J］.計算機工程，2009，35（3）:126-129.

［10］侯劍鋒，馬明.MPLS VPN中PE-CE互連仿真研究［J］.計算機工程，2010，36（12）:123-125.

［11］劉俊斌，王勇.基于MPLS VPN技術多校區校園網應用研究［J］.價值工程，2014（3）:188.

［12］Thomas M.Thomas II.OSPF網絡設計解決方案（羅洋）［M］.北京:人民郵電出版社，2013:157-429.

［13］符冰.MPLS VPN技術在校園網的研究和實現［D］.上海:上海交通大學，2013.

［14］劉盛.基于MPLS的VPN技術在數字化校園中的運用與研究［D］.鄭州:河南理工大學，2010.

［15］涂中群.基于MPLS VPN實現圖書館多校區網絡融合［J］.圖書情報工作，2011，55（5）:51-55.

Design and implementation of multiple business campus network based on MPLS VPN

LV Yuan-hai1，LIU Hao2
（1.Xi'an University of Posts and Telecommunications Information Center，Xi'an 710121，China；2.Xi'an University of Posts and Telecommunications，Xi'an 710061，China）

Aiming at some problems between the different areas of campus network，For example，the low utilization rate of resources，the network construction of high cost and poor expansibility.This paper proposes a multiple business campus network design scheme based on MPLS VPN.This paper also completed the structural design，expansion design and feasibility testing of multiple business campus network.Many of the private network can be integration in the same physical network.The practical application shows that the implementation of MPLS VPN multiple business network improves the effective use of cyber source and ensures the security of data transmission.

MPLS；VPN；multi-campus；multiple business network

TN929.1

A

1674－6236（2016）12-0111-04

2016-02-25稿件編號：201602142

工業和信息化部軟科學研究項目（2014-R-31）

呂元海（1980—），男，陜西西安人，碩士，工程師。研究方向：教學信息化、網絡安全。