案例分享丨高校VPN服务新探索
网络安全是信息技术的重要组成部分。随着科技日益进步,安全问题也日益突出,VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与企业内部网建立可信的安全连接,并保证数据的安全传输,且能大幅减少用户在网络安全上的投入,同时简化网络设计和管理流程,提高业务效率,它是当前国内外广大企业首选的网络安全防范措施。
MPLS是一种实现标签交换的机制,它兼有基于二层交换的分组转发技术和第三层路由选择技术的优点。而MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,是利用传统路由技术的标记交换所实现的虚拟专用网络(IP VPN)。
MPLS VPN可以充分发挥骨干网的交换和路由选择能力,降低基础建设成本,满足用户网络应用以及提高管理的灵活性。
MPLS提供了良好的VPN性能,它在一个共享的IP网络中自动提供了一个完全网状的VPN连接,当结合MPLS的流量工程的特性后,MPLS VPN可为用户提供不同等级的服务。这对构造企业内部网络提供了巨大便利,同时也能更好地满足用户对信息传输实时性、安全性等方面的需求[1]。
01
校园网实施背景
上海外国语大学校园网目前连接包括松江、虹口两个校区以及校区内数十个核心汇聚点的万兆链路主干网,保证了校园骨干网的运行稳定、可靠。
为了建设校园的内部网络和实现校区间内网的互访,学校在两校区间铺设了一根直连光纤作为网络连接的媒介,但因为两校区距离较远(约40公里),直连光纤跨度较大,这对光纤连接的稳定性提出了更高的要求,需要定期投入人力、物力加以检测和维护。为了提高两校区内网互访的冗余性和链路的稳定性,学校信息技术中心对此进行了专项课题研究。
学校作为上海市教育城域网的主要成员之一,在教育城域网的建设初期就参与其中,并成为教育城域网主干网络中的节点之一,后来松江校区还成为教育城域网在松江大学城区域的主干节点。两校区都连入教育城域网的环形主干网,为后续MPLS VPN的应用和实现提供了基础。
02
MPLS体系结构
MPLS网络的基本构成单元是LSR,由LSR构成的网络称为MPLS域。位于MPLS域边缘、连接其他用户网络的LSR称为LER(Label Edge Router,边缘LSR),区域内部的LSR称为核心LSR。核心LSR可以是支持MPLS的路由器,也可以是由ATM交换机等升级而成的ATM-LSR。域内部的LSR之间使用MPLS通信,MPLS域的边缘由LER与传统IP技术进行适配。
分组在入口LER被压入标签后,沿着由一系列LSR构成的LSP传送,其中,入口LER被称为Ingress,出口LER被称为Egress,中间的节点则称为Transit。
结合图1简要介绍MPLS的基本工作过程:
图1 MPLS网络结构
1.首先,LDP和传统路由协议(如OSPF、ISIS等)一起,在各个LSR中为有业务需求的FEC建立路由表和LIB(Label Information Base,标签信息表);
2.入口LER接收分组,完成第三层功能,判定分组所属的FEC,并给分组加上标签,形成MPLS标签分组;
3.接下来,在LSR构成的网络中,LSR根据分组上的标签以及LFIB(Label Forwarding Information Base,标签转发表)进行转发,不对标签分组进行任何第三层处理;
4.最后,在MPLS出口LER去掉分组中的标签,继续进行后面的IP转发。
由此可以看出,MPLS并不是一种业务或者应用,它实际上是一种隧道技术,也是一种集标签交换转发和网络层路由技术于一身的路由与交换技术平台。这个平台不仅支持多种高层协议与业务,还在一定程度上可以保证信息传输的安全性。
MPLS相关术语
1.标签(Label):
Label是指比较短的,定长的,通常只具有局部意义的标识,这些标签通常位于数据链路层的二层封装头和三层数据包之间,标签通过绑定过程同FEC相映射。
2.转发等价类(FEC):
Forwarding Equivalence Class,是在转发过程中以等价的方式处理的数据分组,可以通过地址、隧道、COS等来标识创建FEC;通常在一台设备上对一个FEC分配相同的标签。
3.标签交换路径(LSP):
一个FEC的数据流,在不同的节点被赋予确定的标签,数据转发按照这些标签进行。数据流所走的路径就是LSP。
4.标签分发协议(LDP):
LDP(Label Distribution Protocol,标签分发协议)是MPLS的控制协议,它相当于传统网络中的信令协议,负责FEC的分类、标签的分配以及LSP的建立和维护等一系列操作。
5.标签交换路由器(LSR):
Label Switching Router,LSR是MPLS的网络的核心路由器,它提供标签交换和标签分发功能。
6.边缘标签交换路由器(LER):
Label Switching Edge Router,在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签,它提供流量分类和标签的映射、标签的移除功能。
03
MPLS VPN技术及应用
MPLS最初是为提高路由器转发速度而提出的协议,但因其具备许多其他优点,目前它的用途已不局限于此,MPLS已在流量工程(Traffic Engineering)、VPN、QoS(Quality of Service,服务质量)等方面得到了广泛应用。此次介绍的MPLS VPN技术主要针对MPLS在VPN方面的应用和功能的实现。
使用VPN的目的是建立一个在共享服务提供商(SP)的共享网络上扩展的专用网络。传统的VPN一般是通过GRE(Generic Routing Encapsulation)、L2TP(Layer2 Tunneling Protocol)、PPTP(Pointto Point Tunneling Protocol)、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送,而LSP本身就是公网上的隧道,所以用MPLS来实现VPN有天然的优势[3]。
MPLS VPN是一种基于MPLS技术的IP虚拟专用网络,该技术是在网络路由和交换设备上应用MPLS,简化核心路由器的路由选择方式,在不同的站点之间通过构筑虚拟网络结构以提供类似无连接的虚拟链路服务,并且不同的VPN用户之间完全隔离且互不影响,因而MPLS VPN可用于构造宽带的“局域网”,可以满足多种灵活的业务需求。
MPLS技术结合了二层交换技术和三层路由技术,提高了路由查找速度。但是,随着ASIC(Application-Specific Integrated Circuit,专用集成电路)技术的发展,路由查找速度已不再是阻碍网络发展的瓶颈。这使得MPLS在提高转发速度方面不具备明显优势。
但由于MPLS结合了IP网络强大的三层路由功能和传统二层网络的高效转发机制,在转发平面采用面向连接方式,与现有二层网络转发方式非常相似,这些特点使得MPLS能够很容易地实现IP与ATM、帧中继等二层网络的无缝融合,并为QoS、TE、VPN等应用提供更好的解决方案[4]。
三层MPLS VPN技术
BGP/MPLS VPN是一种实现VPN的方式,是RFC2547定义了三层MPLS VPN的机制之一,其中MPLS用来在骨干网上转发数据包,BGP用来在骨干网上分布路由,在路由器和交换机上建立和存储每个VPN的路由表。根据RFC2547,实现MPLS VPN的路由器包括主干的PE(Provider Edge)路由器、P(Provider)路由器和边缘的CE(Custom Edge)设备[5]。
使用MPLS技术构建虚拟专用网,从网络层次来说,一般可以采用两层和三层技术。三层VPN解决方案是基于BGP(边缘网点协议)扩展的MPLS VPN,两层VPN解决方案是基于MPLS隧道技术的VPN。
基于MPLS的IPVPN和传统的IP VPN相比有很多优势。如对于VPN用户而言,它可以大大简化用户的管理工作量,不再需要使用专门的VPN设备(如VPN拨入服务器),只需要使用传统的路由器就可以构建VPN。基于MPLS的VPN就是通过LSP将私有网络的不同分支连接起来,形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通进行控制。
图2是基于MPLS的VPN的基本结构:CE(Customer Edge,用户边缘设备)可以是路由器,也可以是交换机或主机;PE(Provider Edge,服务商边缘路由器)位于骨干网络。
图2 基于MPLS的VPN
PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支间路由分派。PE间的路由分派通常是用LDP或扩展的BGP协议实现。
基于MPLS的VPN支持不同分支间IP地址复用,并支持不同VPN间互通。与传统的路由相比,VPN路由中需要增加分支和VPN的标识信息,这就需要对BGP协议进行扩展,以携带VPN路由信息。
二层MPLS VPN技术
以前传统的VPN网大多是通过租用专线或者虚电路方式(帧中继或ATM)来组建的二层VPN。这种传统的叠加式二层VPN在部署和管理方面较为麻烦,需要建设并维护独立的网络,特别是向已有VPN加入新的站点时,需要同时修改所有接入此VPN站点的边缘节点的配置,给网络维护和管理带来了沉重的负担。
如今,采用MPLS技术的网络已被普遍认为是核心网络的常规技术,而MPLS技术最主要的优势之一就是可以很好地支持VPN业务。MPLS可以提供基于二层的VPN服务,在统一的MPLS网络上提供不同介质的二层VPN,包括ATM、FR、VLAN、Ethernet、PPP等。同时,MPLS网络仍可以提供传统IP、MPLS L3VPN、流量工程和QoS等服务。
综上可知,二层MPLS VPN方式将三层路由映射到二层链路,不需要分析包头,转发的开销较小,但需要为用户的每一个站点提供一条二层链路,适用于规模较小的专网;三层MPLS VPN方式可以兼容原有传统路由器,管理与发布与VPN相关的路由表,转发的精确度比标签交换转发要高。
04
MPLS VPN设计和实施
基本情况
根据上海外国语大学的实际情况,信息技术中心设计了以MPLS VPN技术为核心的网络设计方案,总体结构采用基于MPLS的三层VPN技术,物理层采用电信光缆接入方式,链路层采用ATM机制,网络层采用IP结合MPLS的方式传输数据,设置2组VPN,并架设相应的PE(Provider Edge,服务商边缘路由器)和CE(Customer Edge,用户边缘设备),从而实现两校区间的内网互访。
MPLS VPN技术5大特点
1.稳定可靠。
支持快速路由恢复,多条物理链路情况下可保证业务不中断。
2.安全保密。
各种业务完全隔离,互不影响,虚拟网保证数据不易被泄露或入侵。
3.支持多种网络技术。
IPv4/IPv6等协议均可在MPLS VPN网络上透明使用。
4.可扩展性高。
可以随着用户规模的增加,自由灵活地扩展物理网络和逻辑网络。
5.经济高效。
共用一张物理网,无需为各业务构建单独的光纤网,既节省大量投资费用,又节省了人力管理成本。
实施过程和分析
MPLS网络由核心部分的标签交换路由器(LSR)、边缘部分的标签边缘路由器(LER)组成。LSR的作用可以看作是ATM交换机与传统路由器的结合,由控制单元和交换单元组成;LER的作用是分析IP包头,用于决定相应的传送级别和标签交换路径(LSP)[6]。标签交换的工作过程可概括为以下三个步骤:
1.由LDP(标签分布协议)和传统路由协议(OSPF、IS-IS等)一起,在LSR中建立路由表和标签映射表;
2.LER接收IP包,完成第三层功能,并给IP包加上标签;在MPLS出口的LER上,将分组中的标签去掉后继续进行转发;
3.LSR对分组不再进行任何第三层处理,只是依据分组上的标签通过交换单元对其进行转发。
学校两校区核心交换机作为CE,教育城域网中的核心节点设备作为PE,CE与PE之间采用RIPv2,PE间则使用BGP,并采用LDP方式来建立LSP。
通过与上海教育城域网运维中心对接沟通,上海教育城域网运维中心为上海外国语大学两校区的城域网链路分配路由标签并建立相应的VPN通道。同时主干链路中PE通过将分配的路由标签和从不同节点接收到的路由信息结合起来,生成各自对应的VRF。两校区核心交换机两端统一VLAN号通道,并且根据对端地址,添加一条两校区地址段互访的静态路由,配置好后,后续两校区内网互访的路由根据静态路由和MPLS生成的VRF进行转发,从而实现两校区内网互访的目标。
另外,学校两校区原先有一个直连光纤作为专线实现两校区内网互访,且为日常网络连接的主链路。而通过上海市教育城域网利用MPLS VPN搭建的链路则作为备用链路,这个可以通过设定静态路由的优先级以示区分,其中专线链路默认优先级为60,MPLS VPN链路优先级为80(大于60即可),因为在路由表中优先级数值越小,级别越高。
测试过程:
1.首先测试两校区核心交换机上链路互联地址的连通性,确保链路的畅通;
2.接着在两个链路都畅通的前提下,进行路由追踪,查看默认路由是否走的是专线链路;
3.然后关闭专线链路的端口,再进行路由追踪,查看链路切换状态,即路由是否走的是MPLS VPN链路;
4.最后恢复专线链路的端口,再进行路由追踪,查看路由是否已经恢复到专线链路。
综上,MPLS VPN对QoS、CoS(服务级别)、网络带宽、可靠性等要求高的VPN业务非常适合,并适用于远程互联的大中型专用网络。MPLS VPN不仅能够满足VPN用户对安全性的要求,还减少了网络运营商和用户方的工作量。
参考文献(上下滑动查看全部内容)
[1]马少武.MPLS VPN技术综述及业务运营部署策略研究[J].电信建设.2004(2):43-48.
[2]刘海庆,刘孟仁,陈锋.多协议标签交换与流量工程[J].计算机科学.2004(31)(增刊):561~563.
[3]MPLS VPN技术白皮书.华为3COM.
[4]董旭源,常鹏.校园网MPLS VPN系统的设计研究[J].计算机应用与软件.2017,34(10):209-213.
[5]符冰.MPLS VPN技术在校园网的研究和实现[D]:[硕士学位论文].上海:上海交通大学,2012.
[6]李雷.基于MPLS VPN的校园网多业务系统运用[J].中国教育信息化.2011,(03):19-21.
作者:倪梓琛(上海外国语大学信息技术中心)
责编:陈荣
投稿或合作,请联系:eduinfo@cernet.com
往期推荐
关注我们 了解更多↓
更多精彩视频推荐
欢迎分享、点赞、在看
积极留言还会有惊喜好礼哦~