论文部分内容阅读
摘 要:随着校园虚拟专用网的逐步普及,各大高校都在建设自己的虚拟专用网络;传统的基于二层VLAN的虚拟专用网络存在很多问题,而MPLS-VPN是一种成熟的三层VPN技术,特别适合于多校区的分布式校园网络,本文从组网架构以及网络安全等方面介绍了基于MPLS-VPN的分布式校园,并分析MPLS-VPN配置方面的细节。
关键词:分布式校园网;MPLS;VPN;多校区
1 技术背景
MPLS-VPN业务是目前在IP网开展的一项重要业务,该业务主要面向政府、教育、企业等集团用户,能够为客户提供高可靠、高带宽、高安全的虚拟专业网络。目前很多学校存在多校区联合办学的情况,电子图书、教务系统以及网上办公等的重要平台一般放在某个校区的专用服务器上,其他校区的用户要访问这些资源,必须通过运营商网络进行三层路由,因此可能存在网络带宽受限、网络安全性低、网络延时大等问题。为了更好的服务广大校园用户,有必要建设基于MPLS-VPN的虚拟专用网络,使得各校区的校园用户和服务器资源能够实现安全快速的数据交换。本文介绍了基于MPLS-VPN的分布式校园架构以及相关的安全技术。
2 网络的架构
传统基于VLAND的虚拟专线业务覆盖方式,少量用户时能够满足基本转发要求, 但是不利于校园虚拟专线业务的长期发展,主要有如下缺点:
①VLAN实现用户专线的方式太落后,电信等运营商基本已经淘汰此技术。
②VLAN技术实现用户专线,单个业务使用同一个VLAN,会造成MAC地址表太大,难以维护。
③VLAN技术仅适合网内专线,在实现跨区域或者跨运营商实现对接是较为困难。
④VLAN方式全网仅能够4096个专线业务,无法实现大规模专线用户的接入。
MPLS-VPN能够在逻辑上将客户的数据和路由相互分离,在每个分校区之间通过服务提供商主干相互连接。用户边缘接入层(CE)是单个站点用户业务的转发汇聚点,CE 可直接通过MPLS-VPN城域网的各边缘PE实现灵活接入;CE和PE之间采用千兆光纤链路互联,且使用双链路备份机制,实现业务的可靠转发.考虑到成本因素,一般每个校区配置1台CE设备直接接入到运营商PE,同时单台CE设备能够支撑5000以上的并发用户。该方案具有投资小、建设周期短、接入方式灵活等特点,完全可以满足现有校园网络的业务需求。具体架构如下:
①在运营商城域网内配置多台PE路由器和1台PE对接路由器。
②在PE路由器上启用MPLS LDP协议,配置MP-BGP协议,使用MP-IBGP与核心P路由器相连,传递各个VPN内部路由信息,使用普通IP技术和CE(原专线核心设备或者直接与用户接入点)相连,传递各接入点信息。
③MPLS-VPN所有的AS自治域内路由采用MP-iBGP的实现方式,AS域间的路由使用EBGP的方式。
④利用现有的运营商城域网,使用MP-IBGP与核心P路由器相连,传递各个VPN内部路由信息,CE通过IGP协议获取用户路由。
⑤主校区、分校区以及联合办学点等CE接入点下用户规模较大,此类接入点选用三层交换机作为CE,CE直接与PE三层互联,实现业务的MPLS转发。用户边缘接入层(CE)是单个site用户业务的转发汇聚点,CE 可直接通过MPLS-VPN城域网的各边缘PE实现灵活接入;CE和PE之间采用千兆光纤链路互联,且使用双链路备份机制,实现业务的可靠转发。
⑥利用现有光线等接入方式,或者根据用户需求实现改造,实现专线需求用户的快速接入。
⑦用户可以自己分配地址,也可以由局方分配,IPv4地址采用A类私有地址,且每个接入用户在同一个VPN内为分配唯一的IP地址,IP地址数量完全能够保证用户的需求。
⑧MPLS PE地址分配。包括Loopback1地址和相互之间的互连地址分配、用户地址分配等;在PE路由器内通过VRF隔离VPN路由与数据,保护VPN的独立安全。RD(路由区分符)规则的确定可以使用AS号(16bit)+自定义号码(32bit)的方式。PE配置包括配置Loopback地址,启动MPLS,配VRF,PE-CE路由;配MBGP,PE-PE路由等等。
⑨作为运营商来侧,PE设备作为用户接入的边缘,余下实现VPN配置,路由转发等功能,其功能和性能要求较高,建议使用高性能的路由器。要求能够支持64K以上的VRF实例,支持十万条以上的整机路由,单个VRF支持不少于32k的路由,支持百万级的MAC和ARP表项。可以实现静态、OSPF、RIPv2、IS-IS和BGP等多种路由协议,支持两台PE的热备份协议,支持子接口功能和以太网、SDH等多种物理接口。
⑩MPLS-VPN所有的AS自治域内路由采用MP-iBGP的实现方式,AS域间的路由使用EBGP的方式。
3 安全设计
通过设置防止对CE设备的信息的探测,保障CE设备的安全运行;CE应该关闭IP TLL、限制VTY 访问、禁止通过VPN 登录到CE 设备、SNMP 配置增加ACL、 防止VPN 用户访问CE,同时关闭不必要的网络端口。
通过MPLS VPN MIB,通过SNMP 收集不同用户接口的流量以及不同QoS 等级的流量。实现NetFlow 方式采集VPN 业务流量,分析网络层(含MPLS 层)至应用层的流量,提取校园用户流量分析报告,从而实现查找和定位网络流量攻击行为,有利于实现VPN 安全。实现利用VRF-Ping、LSP ping 等MPLS VPN 除障工具,快速测试MPLS VPN 连通性。
4 总结
本文从总体上介绍了基于MPLS-VPN的分布式校园网络组网架构以及安全性的考虑,通过设计分布式的校园虚拟网可以极大地提高网络的可用性和安全性,有助于提升校园的信息化水平。
课题项目:乐山职业技术学院科学研究计划资助项目(KY2015008)。
作者简介:
万幸,男,乐山职业技术学院工程师,毕业于东南大学信息科学与工程学院,硕士研究生,曾任职于中国电信、中兴通讯以及江苏有线,主要研究方向为宽带网络技术。
关键词:分布式校园网;MPLS;VPN;多校区
1 技术背景
MPLS-VPN业务是目前在IP网开展的一项重要业务,该业务主要面向政府、教育、企业等集团用户,能够为客户提供高可靠、高带宽、高安全的虚拟专业网络。目前很多学校存在多校区联合办学的情况,电子图书、教务系统以及网上办公等的重要平台一般放在某个校区的专用服务器上,其他校区的用户要访问这些资源,必须通过运营商网络进行三层路由,因此可能存在网络带宽受限、网络安全性低、网络延时大等问题。为了更好的服务广大校园用户,有必要建设基于MPLS-VPN的虚拟专用网络,使得各校区的校园用户和服务器资源能够实现安全快速的数据交换。本文介绍了基于MPLS-VPN的分布式校园架构以及相关的安全技术。
2 网络的架构
传统基于VLAND的虚拟专线业务覆盖方式,少量用户时能够满足基本转发要求, 但是不利于校园虚拟专线业务的长期发展,主要有如下缺点:
①VLAN实现用户专线的方式太落后,电信等运营商基本已经淘汰此技术。
②VLAN技术实现用户专线,单个业务使用同一个VLAN,会造成MAC地址表太大,难以维护。
③VLAN技术仅适合网内专线,在实现跨区域或者跨运营商实现对接是较为困难。
④VLAN方式全网仅能够4096个专线业务,无法实现大规模专线用户的接入。
MPLS-VPN能够在逻辑上将客户的数据和路由相互分离,在每个分校区之间通过服务提供商主干相互连接。用户边缘接入层(CE)是单个站点用户业务的转发汇聚点,CE 可直接通过MPLS-VPN城域网的各边缘PE实现灵活接入;CE和PE之间采用千兆光纤链路互联,且使用双链路备份机制,实现业务的可靠转发.考虑到成本因素,一般每个校区配置1台CE设备直接接入到运营商PE,同时单台CE设备能够支撑5000以上的并发用户。该方案具有投资小、建设周期短、接入方式灵活等特点,完全可以满足现有校园网络的业务需求。具体架构如下:
①在运营商城域网内配置多台PE路由器和1台PE对接路由器。
②在PE路由器上启用MPLS LDP协议,配置MP-BGP协议,使用MP-IBGP与核心P路由器相连,传递各个VPN内部路由信息,使用普通IP技术和CE(原专线核心设备或者直接与用户接入点)相连,传递各接入点信息。
③MPLS-VPN所有的AS自治域内路由采用MP-iBGP的实现方式,AS域间的路由使用EBGP的方式。
④利用现有的运营商城域网,使用MP-IBGP与核心P路由器相连,传递各个VPN内部路由信息,CE通过IGP协议获取用户路由。
⑤主校区、分校区以及联合办学点等CE接入点下用户规模较大,此类接入点选用三层交换机作为CE,CE直接与PE三层互联,实现业务的MPLS转发。用户边缘接入层(CE)是单个site用户业务的转发汇聚点,CE 可直接通过MPLS-VPN城域网的各边缘PE实现灵活接入;CE和PE之间采用千兆光纤链路互联,且使用双链路备份机制,实现业务的可靠转发。
⑥利用现有光线等接入方式,或者根据用户需求实现改造,实现专线需求用户的快速接入。
⑦用户可以自己分配地址,也可以由局方分配,IPv4地址采用A类私有地址,且每个接入用户在同一个VPN内为分配唯一的IP地址,IP地址数量完全能够保证用户的需求。
⑧MPLS PE地址分配。包括Loopback1地址和相互之间的互连地址分配、用户地址分配等;在PE路由器内通过VRF隔离VPN路由与数据,保护VPN的独立安全。RD(路由区分符)规则的确定可以使用AS号(16bit)+自定义号码(32bit)的方式。PE配置包括配置Loopback地址,启动MPLS,配VRF,PE-CE路由;配MBGP,PE-PE路由等等。
⑨作为运营商来侧,PE设备作为用户接入的边缘,余下实现VPN配置,路由转发等功能,其功能和性能要求较高,建议使用高性能的路由器。要求能够支持64K以上的VRF实例,支持十万条以上的整机路由,单个VRF支持不少于32k的路由,支持百万级的MAC和ARP表项。可以实现静态、OSPF、RIPv2、IS-IS和BGP等多种路由协议,支持两台PE的热备份协议,支持子接口功能和以太网、SDH等多种物理接口。
⑩MPLS-VPN所有的AS自治域内路由采用MP-iBGP的实现方式,AS域间的路由使用EBGP的方式。
3 安全设计
通过设置防止对CE设备的信息的探测,保障CE设备的安全运行;CE应该关闭IP TLL、限制VTY 访问、禁止通过VPN 登录到CE 设备、SNMP 配置增加ACL、 防止VPN 用户访问CE,同时关闭不必要的网络端口。
通过MPLS VPN MIB,通过SNMP 收集不同用户接口的流量以及不同QoS 等级的流量。实现NetFlow 方式采集VPN 业务流量,分析网络层(含MPLS 层)至应用层的流量,提取校园用户流量分析报告,从而实现查找和定位网络流量攻击行为,有利于实现VPN 安全。实现利用VRF-Ping、LSP ping 等MPLS VPN 除障工具,快速测试MPLS VPN 连通性。
4 总结
本文从总体上介绍了基于MPLS-VPN的分布式校园网络组网架构以及安全性的考虑,通过设计分布式的校园虚拟网可以极大地提高网络的可用性和安全性,有助于提升校园的信息化水平。
课题项目:乐山职业技术学院科学研究计划资助项目(KY2015008)。
作者简介:
万幸,男,乐山职业技术学院工程师,毕业于东南大学信息科学与工程学院,硕士研究生,曾任职于中国电信、中兴通讯以及江苏有线,主要研究方向为宽带网络技术。