1、54中国教育网络 2009.7多网融合 MPLS VPN建设与管理 案例展示西南交大一改校园多业务系统各自为政的局面文 / 谭伟随着高校数字化校园建设的不断发展和深入, 校园网中承载的业务越来越复杂,各业务部门的系统已经由最初的 OA 系统发展到逐渐将业务部门的所有流程都整合在一起,但是各业务系统仍归属于各自的业务部门。 随着近年来高校的合并、 扩建等, 很多学校都有2 个或 2 个以上的校区, 而每个校区内都设置了相关的业务部门, 那么就意味着相关的业务系统要在不同的校区之间互通。 但是, 不同的业务系统有一个 “隔离” 的基本需求, 即希望自己的系统可以运行在一个独立的网络平台上, 并且认
2、为这样才能实现安全、 可靠。 因此, 如何保证各业务系统的安全性、 私密性, 为不同的业务系统提供所需的网络, 成为越来越突出的问题。多网引发的问题西南交通大学 (简称 : 西南交大) 有两个校区, 分别是九里校区和犀浦校区, 两个校区整网运行静态路由。 学校的基础网络建设简单, 存在大量子网,如财务科、 一卡通等。 九里校区财务科与犀浦校区财务科为了保证系统安全, 在只有几十个信息点的情况下采用了单独的裸光纤互联。 但是这种建网形式给学校带来了一些问题 :1. 各业务部门单独建网、 采购网络设备、 服务器等, 增加了学校 IT 建设的整体投资 ;2. 今天的网络性能已经发展到了一个相当的高度
3、, 而各业务部门的网络流量是远远达不到这么高的, 那么就形成了网络资源的浪费 ;3. 各业务部门单独采购, 使得学校的整体采购体系变得复杂,增加了流程上的开销 ;4. 业务部门不是专业的 IT 部门, 当网络和系统发生故障时,需要 IT部门来解决, 而网络和系统是不属于 IT 部门的资源, 此时跨部门的管理和维护比较麻烦 ;5. 由于所有业务部门都纷纷建立专网, 所以整个校园网变得越来越复杂, IT 部门根本无法开展正常的管理维护工作。MPLS VPN 的分析对于学校整体来说, 统一建网可以将各种业务融合于同一网络, 降低整体 IT 投资、 简化管理, 符合学校的整体需求, 但选择何种技术才能
4、真正有效地做到多业务融合, 满足不同业务的安全性需求呢?目前在网络中实现逻辑安全性最好的方式就是 VPN 了,但是传统的 VPN 由于其静态性、 需要专用设备的特征, 导致了实施复杂、 可扩展性差, 不适合高校校园网的应用, ACL 的安全性2009.7 中国教育网络 55又比较差, 无法满足对安全性要求较高的部门的需要, 同时部署复杂、 实施难度大、 可扩展性差, 不适合在高校网络中大规模部署。 而 MPLS VPN 技术能提供很好的安全性, 其动态的路由隔离和建立隧道的特性又使得网络的可扩展性非常好。规则MPLS VPN 网络遵循三个规则 : 路由规则、 设备规则和 VPN规则。路由规则包
5、括 : MPLS 骨干域运行 IGP 协议与 MBGP , IGP 建议选择 OSPF ; PE 和 CE 之间可以根据路由条目的多少选择 OSPE 、静态路由, 也可以通过二层连接到 PE 设备。设备规则包括 :1. CE ( Custom Edge ): 直接与服务提供商相连的用户设备, 在校园网中为与骨干网 PE 设备相连的汇聚二层交换机或三层交换机 ;2. PE(Provider Edge Router) : 指骨干网上的边缘路由器, 与 CE相连, 主要负责 VPN 业务的接入, 在校园网中为接入业务系统的核心或大汇聚交换机 ;3. P ( Provider Router ): 指骨
6、干网上的核心路由器, 主要完成路由和快速转发功能, 在校园网中为不接入业务系统的核心交换机。VPN 规则是指在校园网内部署 MPLS VPN 进行业务隔离时, 根据不同学校的不同要求, 可以有两种部署模式供选择 : 全局模式,指对校园网内所有业务进行细分, 为每个业务划分不同的 VPN , 建立 VRF ; 渐进模式, 只将需要隔离的业务划入 VPN , 建立相关的VRF , 其余业务保持原有的运行模式。关键技术利用 MPLS VPN 技术在校园网中实现多业务隔离, 主要是利用 MPLS VPN 的2 个关键技术特性 : VRF ( VPN 路由转发实例, VPN Routing & Forw
7、arding Instance )和 MPLS 标签转发。 VRF 可以看作虚拟的路由器, 好像是一台专用的 PE 设备。 我们在 PE 设备上为不同的业务建立不同的业务 VRF , 比如财务 VRF 、 审计 VRF , 各VRF 的路由表相互独立、 隔离, 以实现不同业务的路由隔离。 MPLS 技术则通过标签进行转发, 根据 IP 路由条目事先分配好标签, 为报文建立了一条标签转发通道( LSP ), 在通道经过的每一台设备处, 只需要进行快速的标签交换。 LSP 是通过LDP 动态标签分发协议动态建立的, 解决了其他静态隧道技术维护困难的问题, 也就是说不同的业务数据转发时在骨干网的私有
8、隧道是动态建立的。硬件多业务融合解决方案的实现还需要以下 2 个硬件要素 :1.RG-S8600 系列核心万兆交换机通过 10G 性能的 MPLS 多业务板提供对 MPLS 的支持, 完善支持 MPLS 相关二层、 三层功能, 可在网络中部署为 P 或 PE 设备, 在一些规模特别大的网络中, 也可部署为 CE 设备 ; 它是多业务融合网络的核心组件。2.RG-S5750 2.0 万兆汇聚交换机RG-S5750 2.0 是支持万兆扩展的全千兆三层汇聚交换机, 在MPLS VPN 网络中部署为 CE 设备。 在高校部署 MPLS 网络时往往会遇到这种情况 : 一台楼宇汇聚交换机作为 CE 设备,
9、 接入了多个不同业务部门的用户。 在这台 CE 设备上对不同业务 VPN 的路由进行隔离就需要 Multi VRF 功能, 为每个 VPN 创建和维护独立的路由转发表, 很好地提供了不同业务的安全隔离。升级改造方案基于西南交大的校园网现状以及多业务融合的需求, 学校对网络核心进行升级改造, 九里校区用锐捷 S8600 替换原有北电核心 8600 , 犀浦校区新增一台 S8600 与华为 8016 双核心组网, 两个校区 2 台 RG-S8600 之间采用裸光纤互联, 并将 MPLS VPN 部署在校园网内, 如图 1 所示。MPLS VPN 技术通过将不同的核心设备、 区域汇聚、 楼宇汇聚等分
10、别设为 P 设备、 PE 设备、 CE 设备, 将不同的业务部门划入不同的 VPN 中, 然后在 PE 、 CE 设备中建立相应的 VRF , 比如财务 VRF 、 审计 VRF 、一卡通 VRF 等, 对路由进行隔离, 在 MPLS域内通过动态分发的标签实现隧道式的转发, MPLS VPN 网络结构如图 2 所示。学校将原有业务保持不变, 按照正常原有的路由继续保证数据转发, 把财务科放到 VPN 当中, 保证跨校区通信的安全性, 财务科在 RG-S8600 原有路由基础上虚拟出财务路由, 实现 VPN 转发。 按照此模式, 在 后续 工作中 网络中心还会将一卡通、 审计等子网均连接到校园 MPLS VPN 网络。西南交大校园网利用 MPLS VPN 技术, 推动了 IT 部门实现网络资源上收, 推动资源整合, 保护学校的整体 IT 投资, 真正实现校园网多业务融合, 做到网络资源虚拟化。建设与管理案例展示图 1 西南交大的校园网升级部署图 2 MPLS VPN 网络结构
