论文部分内容阅读
摘 要 廊坊广电IP城域网是全业务数据业务平台,廊坊银行虚拟专网组网方案基于MPLS VPN技术,从设计原则、工作流程及思科路由器的配置等几个方面详细探讨了廊坊银行VPN的实施。
关键词 MPLS VPN;廊坊银行;网络方案
中图分类号:TN915 文献标识码:A 文章编号:1671-7597(2014)16-0067-02
网络作为二十一世纪最重要的产物,它深刻地改变着人们的生活,它给人们的生活方式以及社会生产等都产生了巨大的冲击和变革。廊坊广电城域网数据平台可为廊坊市各行业组建虚拟专用网。投入最低的代价、取得最好的成效,廊坊广电为客户提供了一个很好的选择。以廊坊银行VPN网络为例,介绍一个利用现有廊坊广电城域网络资源提供完善的VPN网络解决方案。
1 廊坊广电IP城域网
廊坊广电IP城域网络所提供的链路是以层次化、简单化的网络设计为原则和前提,它以目前在国家国内都运营的先进的IP骨干路由交换机Cisco 9000为链路核心,其目的就是要构建一条高速化的电信级别城域网网络 。
廊坊广电IP城域网络可提供:1)基于MPLS(多路协议标签交换)的IP VPN服务;2)因特网接入业务(ipoe专线、pppoe拨号);3)VOD互动点播业务;4)视频监控业务;5)其他专网专线业务。
该网络主要是以IP包交换技术为核心,通过采用MPLS(Multi-Protocal Label Switching)技术的VPN功能来实现对各IP等业务的支持,提供二层/三层VPN、企业网互连服务。
1.1 网络拓扑结构
IP城域网主干采用两台Cisco ASR 9000和六台Cisco高端路由设备组成,主要是负责各种网络的接入,例如网络专线、局域网等网络的接入等。主干网络以及各条支线设备都是通过连1000Mbps的带宽来接入。此外,该网络还负责专线网络、数据传输等其他种类的网络传输业务的接入等。
1.2 MPLS协议VPN技术
MPLS协议能够通过VPN技术来大幅度地提高网络数据包转发数据的速度,同时它还具有极高的数据传输稳定性。MPLS协议的这一功能已经成为国际标准之一。
VPN是依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider),在公共网络中建立的虚拟专用通信网络。
MPLS VPN的主要工作方式是通过VPN三层技术来实现。VPN是一种用户专用网络,每一个VPN都只有一个ID,而相应的VPN用户也只能与其专属网络的成员进行通信。VPN是一种新型的局域网络通信。在VPN网络中,服务商为每一个用户都分配了一个特定的标示符,被称为RD,即路由标示符。RD是服务商所提供的一种独一无法的标示。此外,VPN-IP地址也是服务商所提供的转发表中的一种独一无二的地址,它是由RD以及网络用户的IP地址相互连接而形成的。
BGP(边界网关路由协议)是一个路由信息分布协议,它主要是利用用户的共有属性以及具有扩展性质的多协议来对VPN的连接性进行定义的。通过MPLS与BGP相结合的三层VPN在确保安全性的基础上为解决骨干网络的扩展性提供了有效的技术手段。在VPN中,BGP只能对有相同VPN的成员进行信息发布,此外,BGP主要是通过分离流量来维持信息发布的安全性,这是因为网络数据是通过一定被定义的特殊途径LSP来进行转发的,通过LSP途径转发的数据是无法被改变的。而这种基于MPLS的VPN技术所使用的标签化的运行模式表现的是一种稳定、安全的保密性能。服务商在使用VPN时,将VPN与特定的接口进行连接,进而通过用户入口的标签来对数据的转发进行识别。这种运行模式被称为Spoof端口运行模式,它主要是让VPN网络免于受到攻击。
2 廊坊广电VPN方案
2.1 组网设计
以廊坊银行为例,通过对廊坊银行VPN项目的调研和分析,设计实现廊坊银行各个节点之间联网,确保廊坊银行各网点业务的正常运行,廊坊银行对于局域网的要求是非常高的,主要表现在银行业务对网络的安全性、稳定性、流畅性、高速性等要求的规格都是比较高的。
此外,廊坊银行的组网设计也采用了较为成熟、高效的VPN技术。使得网络运行系统有足够的带宽,并且能够以此为基础来开发丰富的应用。确保所采用的技术都是目前成熟并可靠的技术。
2.2 安全性
通过采用VPN技术来进行组网设计,而采用MPLS技术来保护数据包的传输;MPLS技术经过国际权威检测,它的安全性能与ATM技术是相同的。
2.3 畅通性
通过采用VPN技术搭建的主干网络能够保持数据传输的畅通性,这主要是由于它根据用户的需求,可以将网络的带宽达到千兆容量,这一带宽完全能够满足银行系统网上业务的带宽需求,此外,VPN技术还为网络系统的升级留下了足够的带宽。
3 廊坊广电VPN数据流程
基于MPLS协议的VPN的基本工作方式是采用三层数据技术来实现的。即每一个VPN都有属于自己的VPN-ID,VPN用户也只能与相同VPN网络中的成员进行通信和数据传输,也只有拥有相同VPN-ID的成员才能进入VPN网络。其中CE代表客户端路由器,PE代表广电MPLS-VPN接入路由器,P为广电MPLS-VPN核心路由器。下面就三类路由器功能进行一一介绍:
1)CE设备:CE和PE之间采用ospf路由协议,在PE上进行VPN内的ospf路由协议与BGP路由协议的重分布。或采用静态路由进行路由信息的宣告。
2)PE设备:在CE用户数据进入PE后,能够在PE接口处对廊坊银行的VPN进行识别,然后进入廊坊银行VPN路由表对地址信息进行读取,并且在传送的数据包上进行VPN标记。为到达目的端的PE,在起始的PE读取骨干路由的信息,得到下一跳的P路由器地址,并在前传数据包上打上外层标记。 3)P设备:读取外层标记的信息决定下一跳;PE 与P之间采用IGP相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,外层标记)的绑定。
4 廊坊广电VPN实现
廊坊银行MPLS VPN网络的基本框架中各分支结构通过CE接入广电骨干网络,并通过MPLS VPN核心网络实现同级分支机构的不同部门在横向网络层逻辑上的安全隔离。将不同业务系统划分在不同的VPN中,实现纵向网络层利用相同业务系统的部门信息共享。最后将提供的特殊应用服务如:视频会议、视频监控等业务,各自划分到一个VPN中。实现所有分支机构的数据共享。
4.1 CE配置
CE为客户边缘路由器,需要进行一些基本配置,让它能够与PE路由器进行路由信息交换。例如:接口IP配置、路由协议等。目前使用最广泛的路由协议有静态路由和动态路由。动态路由协议有:OSPF、EIGRP等。
4.2 PE配置
在MPLS网络环境中,PE与CE直连,还与P路由器直连。PE主要处理标签的压入和分发以及VPN路由信息处理等。主要配置:接口IP、路由协议、MPLS基本功能等。
4.3 P配置
虽然P和PE直连,但对于P路由器来说,PE之间的路由信息交互是透明的。P路由器不需要维护VPN路由,只需要保证网络的连通性,并配合PE建立LSP即可。
通过查看P、PE路由器上的LIB表项,可以知道运行了MPLS VPN的路由器均为自身路由表项分配标签,通过查看路由器里的实时路由表、路由跟踪tracert功能,验证了VPN站点之间的连通性。
5 结束语
随着企事业单位业务不断扩大,对整体网络性能要求也越来越高,因此,建设一个更加高效、安全、灵活、完善的企业网络也势在必行。要实现这些需求,就必须要有相应完备的技术支持,而MPLS-VPN技术的引入,恰好解决了这些需求,为企业的动态发展提供了良好的支撑。通过利用PE路由器上的RT来灵活控制VPN的互访和隔离,实现了网络的安全隔离。加上MPLS强大的流量工程功能,为企业的数据稳定快速传输提供了强有力的后盾。说明MPLS技术是今后大规模IP数据网络应用的发展方向。
廊坊广电的VPN技术具有可以信赖的安全性、可靠性;廊坊广电为廊坊银行网络功能的运行和拓展等提供了一个十分安全、高速、高效的运行平台,通过这个平台,除了能够保证各项活动的安全运行,同时该平台还提供了视频会议、远程监控等系统功能。
参考文献
[1]W.Richard Stevens.TCP/IP协议详解卷1:协议[M].北京.机械工业出版社,2000.
[2]Michael Wynston.Csico Enterprise Management Solutions[M].USA: Cisco Press , 2001.
[3]Jeff Doyle,等.TCP/IP路由技术(第一卷)[M].北京.人民邮电出版社,2007.
[4]Jeff Doyle,等.TCP/IP路由技术(第二卷)[M].北京.人民邮电出版社,2009.
[5]Ivan Pepelnjak,等.MPLS和VPN体系结构北京[M].人民邮电出版社,2010.
作者简介
崔志山(1977-),男,河北廊坊人,工程师,本科,研究方向:数据通信。
关键词 MPLS VPN;廊坊银行;网络方案
中图分类号:TN915 文献标识码:A 文章编号:1671-7597(2014)16-0067-02
网络作为二十一世纪最重要的产物,它深刻地改变着人们的生活,它给人们的生活方式以及社会生产等都产生了巨大的冲击和变革。廊坊广电城域网数据平台可为廊坊市各行业组建虚拟专用网。投入最低的代价、取得最好的成效,廊坊广电为客户提供了一个很好的选择。以廊坊银行VPN网络为例,介绍一个利用现有廊坊广电城域网络资源提供完善的VPN网络解决方案。
1 廊坊广电IP城域网
廊坊广电IP城域网络所提供的链路是以层次化、简单化的网络设计为原则和前提,它以目前在国家国内都运营的先进的IP骨干路由交换机Cisco 9000为链路核心,其目的就是要构建一条高速化的电信级别城域网网络 。
廊坊广电IP城域网络可提供:1)基于MPLS(多路协议标签交换)的IP VPN服务;2)因特网接入业务(ipoe专线、pppoe拨号);3)VOD互动点播业务;4)视频监控业务;5)其他专网专线业务。
该网络主要是以IP包交换技术为核心,通过采用MPLS(Multi-Protocal Label Switching)技术的VPN功能来实现对各IP等业务的支持,提供二层/三层VPN、企业网互连服务。
1.1 网络拓扑结构
IP城域网主干采用两台Cisco ASR 9000和六台Cisco高端路由设备组成,主要是负责各种网络的接入,例如网络专线、局域网等网络的接入等。主干网络以及各条支线设备都是通过连1000Mbps的带宽来接入。此外,该网络还负责专线网络、数据传输等其他种类的网络传输业务的接入等。
1.2 MPLS协议VPN技术
MPLS协议能够通过VPN技术来大幅度地提高网络数据包转发数据的速度,同时它还具有极高的数据传输稳定性。MPLS协议的这一功能已经成为国际标准之一。
VPN是依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider),在公共网络中建立的虚拟专用通信网络。
MPLS VPN的主要工作方式是通过VPN三层技术来实现。VPN是一种用户专用网络,每一个VPN都只有一个ID,而相应的VPN用户也只能与其专属网络的成员进行通信。VPN是一种新型的局域网络通信。在VPN网络中,服务商为每一个用户都分配了一个特定的标示符,被称为RD,即路由标示符。RD是服务商所提供的一种独一无法的标示。此外,VPN-IP地址也是服务商所提供的转发表中的一种独一无二的地址,它是由RD以及网络用户的IP地址相互连接而形成的。
BGP(边界网关路由协议)是一个路由信息分布协议,它主要是利用用户的共有属性以及具有扩展性质的多协议来对VPN的连接性进行定义的。通过MPLS与BGP相结合的三层VPN在确保安全性的基础上为解决骨干网络的扩展性提供了有效的技术手段。在VPN中,BGP只能对有相同VPN的成员进行信息发布,此外,BGP主要是通过分离流量来维持信息发布的安全性,这是因为网络数据是通过一定被定义的特殊途径LSP来进行转发的,通过LSP途径转发的数据是无法被改变的。而这种基于MPLS的VPN技术所使用的标签化的运行模式表现的是一种稳定、安全的保密性能。服务商在使用VPN时,将VPN与特定的接口进行连接,进而通过用户入口的标签来对数据的转发进行识别。这种运行模式被称为Spoof端口运行模式,它主要是让VPN网络免于受到攻击。
2 廊坊广电VPN方案
2.1 组网设计
以廊坊银行为例,通过对廊坊银行VPN项目的调研和分析,设计实现廊坊银行各个节点之间联网,确保廊坊银行各网点业务的正常运行,廊坊银行对于局域网的要求是非常高的,主要表现在银行业务对网络的安全性、稳定性、流畅性、高速性等要求的规格都是比较高的。
此外,廊坊银行的组网设计也采用了较为成熟、高效的VPN技术。使得网络运行系统有足够的带宽,并且能够以此为基础来开发丰富的应用。确保所采用的技术都是目前成熟并可靠的技术。
2.2 安全性
通过采用VPN技术来进行组网设计,而采用MPLS技术来保护数据包的传输;MPLS技术经过国际权威检测,它的安全性能与ATM技术是相同的。
2.3 畅通性
通过采用VPN技术搭建的主干网络能够保持数据传输的畅通性,这主要是由于它根据用户的需求,可以将网络的带宽达到千兆容量,这一带宽完全能够满足银行系统网上业务的带宽需求,此外,VPN技术还为网络系统的升级留下了足够的带宽。
3 廊坊广电VPN数据流程
基于MPLS协议的VPN的基本工作方式是采用三层数据技术来实现的。即每一个VPN都有属于自己的VPN-ID,VPN用户也只能与相同VPN网络中的成员进行通信和数据传输,也只有拥有相同VPN-ID的成员才能进入VPN网络。其中CE代表客户端路由器,PE代表广电MPLS-VPN接入路由器,P为广电MPLS-VPN核心路由器。下面就三类路由器功能进行一一介绍:
1)CE设备:CE和PE之间采用ospf路由协议,在PE上进行VPN内的ospf路由协议与BGP路由协议的重分布。或采用静态路由进行路由信息的宣告。
2)PE设备:在CE用户数据进入PE后,能够在PE接口处对廊坊银行的VPN进行识别,然后进入廊坊银行VPN路由表对地址信息进行读取,并且在传送的数据包上进行VPN标记。为到达目的端的PE,在起始的PE读取骨干路由的信息,得到下一跳的P路由器地址,并在前传数据包上打上外层标记。 3)P设备:读取外层标记的信息决定下一跳;PE 与P之间采用IGP相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,外层标记)的绑定。
4 廊坊广电VPN实现
廊坊银行MPLS VPN网络的基本框架中各分支结构通过CE接入广电骨干网络,并通过MPLS VPN核心网络实现同级分支机构的不同部门在横向网络层逻辑上的安全隔离。将不同业务系统划分在不同的VPN中,实现纵向网络层利用相同业务系统的部门信息共享。最后将提供的特殊应用服务如:视频会议、视频监控等业务,各自划分到一个VPN中。实现所有分支机构的数据共享。
4.1 CE配置
CE为客户边缘路由器,需要进行一些基本配置,让它能够与PE路由器进行路由信息交换。例如:接口IP配置、路由协议等。目前使用最广泛的路由协议有静态路由和动态路由。动态路由协议有:OSPF、EIGRP等。
4.2 PE配置
在MPLS网络环境中,PE与CE直连,还与P路由器直连。PE主要处理标签的压入和分发以及VPN路由信息处理等。主要配置:接口IP、路由协议、MPLS基本功能等。
4.3 P配置
虽然P和PE直连,但对于P路由器来说,PE之间的路由信息交互是透明的。P路由器不需要维护VPN路由,只需要保证网络的连通性,并配合PE建立LSP即可。
通过查看P、PE路由器上的LIB表项,可以知道运行了MPLS VPN的路由器均为自身路由表项分配标签,通过查看路由器里的实时路由表、路由跟踪tracert功能,验证了VPN站点之间的连通性。
5 结束语
随着企事业单位业务不断扩大,对整体网络性能要求也越来越高,因此,建设一个更加高效、安全、灵活、完善的企业网络也势在必行。要实现这些需求,就必须要有相应完备的技术支持,而MPLS-VPN技术的引入,恰好解决了这些需求,为企业的动态发展提供了良好的支撑。通过利用PE路由器上的RT来灵活控制VPN的互访和隔离,实现了网络的安全隔离。加上MPLS强大的流量工程功能,为企业的数据稳定快速传输提供了强有力的后盾。说明MPLS技术是今后大规模IP数据网络应用的发展方向。
廊坊广电的VPN技术具有可以信赖的安全性、可靠性;廊坊广电为廊坊银行网络功能的运行和拓展等提供了一个十分安全、高速、高效的运行平台,通过这个平台,除了能够保证各项活动的安全运行,同时该平台还提供了视频会议、远程监控等系统功能。
参考文献
[1]W.Richard Stevens.TCP/IP协议详解卷1:协议[M].北京.机械工业出版社,2000.
[2]Michael Wynston.Csico Enterprise Management Solutions[M].USA: Cisco Press , 2001.
[3]Jeff Doyle,等.TCP/IP路由技术(第一卷)[M].北京.人民邮电出版社,2007.
[4]Jeff Doyle,等.TCP/IP路由技术(第二卷)[M].北京.人民邮电出版社,2009.
[5]Ivan Pepelnjak,等.MPLS和VPN体系结构北京[M].人民邮电出版社,2010.
作者简介
崔志山(1977-),男,河北廊坊人,工程师,本科,研究方向:数据通信。