论文部分内容阅读
1 概述
S集团企业网承载的信息化业务系统有数百个,可分为日常生产类、办公类、科研类、公共服务等四大类,各业务系统、各系统内网络终端相互间均路由可达,各类业务数据流在企业网内无差别地混合传输。随着生产信息化、子公司数字化工作加速推进,各类业务流量在主干网上的占比和传输要求也发生了较大变化,对网络系统提出了更高要求。
为了保证重点业务系统的稳定运行,通过MPLS VPN技术对重点业务系统建设专网,以提供更好的网络服务质量,提高重点业务系统的安全性。建设的专网将以业务系统划分VPN,将不同业务系统的服务器、终端划分到不同的VPN实例中,业务专网建设完成后,各VPN实例间网络逻辑上是隔离,VPN之间不能互访,位于骨干网的普通办公用户也不能对VPN实例进行访问,如下图所示:
红色标记的服务器、终端、用户位业务一的VPN实例,绿色标记的服务器、终端、用户为业务二的VPN实例,未标色的服务器、终端、用户为与骨干,当前的访问规则为红色、绿色、骨干网之间互相不能访问:
多个业务系统需要访问的系统,如AD、DNS、NTP等系统,将这类系统建设成共享VPN,各VPN可以訪问共享VPN系统。
1.1技术分析
1.11VPN路由传递过程
在基于MPLS方式组建VPN网络中,PE路由器作为各VPN数据流的接入点,通过虚拟路由器(VRF)的建立来隔离不同VPN间的数据。在各PE路由器间通过运行MP-BGP协议来传递VPN路由信息。
(1)PE-CE之间运行静态或动态路由协议,这里选择OSPF;在PE设备上为VPN01创建VRF,并将与CE互联的接口划入VPN01所属VRF,此时PE路由器上就VRF VPN01创建一张独立与全局与其他VPN的路由表,从该接口上学习到路由条目全部加载到VRF VPN01的路由表中,而不会出现在全局路由表中。
(2)PE之间运行的是MP-BGP多协议的BGP,经过扩展的BGP协议能够承载VPNv4路由,在MP-BGP的VRF-VPN01实例下重发布该VRF OSPF进程。
(3)OSPF的IPv4路由注入MP-BGP后,MP-BGP将64位RD信息被添加到这些IPv4路由前缀前面,就构成了96位的VPNv4路由前缀,同时RTs也被附加到VPNv4路由前缀。MP-BGP协议将VPN V4路由发送到MP-BGP对等体。
(4)MP-BGP对等体收到对端传来VPN V4路由后加载到本地VPN V4路由表中。
(5)对端的PE配置了VRF,VRF中定义了import RTs。它根据RTs将收到的VPNv4路由前缀导入特定的VRF,RD被从VPNv4路由中移除,IPv4路由就被注入到了VRF路由表中,这些路由现在是BGP的路由条目。
(6)MP-BGP对等体上将BGP重发布到VRF VPN01中的OSPF进程,该路由被添加到VRF VPN01的路由表中。
(7)VRF VPN01实例下的OSPF进程将路由表发给CE设备,CE设备学到该挑路由。
1.12全局路由传递过程
全局路由指MPLS骨干网上独立于VPN路由之外的路由信息,传统MPLS VPN骨干网指归属于运营商网络系统,S集团MPLS VPN上办公类、科研类业务系统不创建VPN,这些业务的路由也属于骨干网路由,因此S集团MPLS VPN全局路由指所有运行在VPN之外的路由信息。
S集团骨干网运行OSPF路由协议,运行OSPF路由协议的网络设备通关过交换LSA(链路状态信息)形成链路状态数据库,根据根据链路状态数据库计算全网路由。
1.13VPN与骨干网路互通技术思路
MPLS VPN技术是通过路由的方式实现VPN间隔离的,在MPLS VPN中每个VPN实例单独维护一张路由表,VPN学习不到其他VPN及骨干网的路由。
MPLS VPN的数据安全不是通过数据加密而是通过路由隔离来实现的;通过将“恰当”的路由呈现在正确位置上的“隔离”的路由表中,来引导用户数据流,用户在“隔离”的路由表中看不到路由目标,自然也就无法将数据传递到指定位置。要实现VPN与骨干网互通,需要保证VPN与骨干网能够实现路由交互,学到对方的路由信息。
1.2技术方案
1.21互通方案
想实现VPN与骨干网路由互通可以通过路由泄漏的方式,在PE设备通过在静态路由加上Global参数实现VRF与骨干网的互通,但这种方式配置工作量大、维护不方便,加上S集团骨干网层级较少很难实现。
S集团VPN路由与骨干网互访通过旁挂路由器的方式完成,通过对上面对骨干网路由、VPN路由的传播方式分析得知,CE设备本身并不理解、感知VPN,CE设备属于哪个VPN完全依靠设备与PE设备互联接口属于哪个VRF。CE设备连接到PE骨干网接口学到就是全局路由,CE设备连接到VRF接口学到的就是VPN的路由,因此在PE设备旁挂接一台路由器(或三层交换机),旁挂路由器通过多个接口(物理接口或子接口)分别连接至PE的骨干网、VRF并运行OSPF,因此这台CE能够学到骨干网及所有VRF的路由信息。
S集团企业网承载的信息化业务系统有数百个,可分为日常生产类、办公类、科研类、公共服务等四大类,各业务系统、各系统内网络终端相互间均路由可达,各类业务数据流在企业网内无差别地混合传输。随着生产信息化、子公司数字化工作加速推进,各类业务流量在主干网上的占比和传输要求也发生了较大变化,对网络系统提出了更高要求。
为了保证重点业务系统的稳定运行,通过MPLS VPN技术对重点业务系统建设专网,以提供更好的网络服务质量,提高重点业务系统的安全性。建设的专网将以业务系统划分VPN,将不同业务系统的服务器、终端划分到不同的VPN实例中,业务专网建设完成后,各VPN实例间网络逻辑上是隔离,VPN之间不能互访,位于骨干网的普通办公用户也不能对VPN实例进行访问,如下图所示:
红色标记的服务器、终端、用户位业务一的VPN实例,绿色标记的服务器、终端、用户为业务二的VPN实例,未标色的服务器、终端、用户为与骨干,当前的访问规则为红色、绿色、骨干网之间互相不能访问:
多个业务系统需要访问的系统,如AD、DNS、NTP等系统,将这类系统建设成共享VPN,各VPN可以訪问共享VPN系统。
1.1技术分析
1.11VPN路由传递过程
在基于MPLS方式组建VPN网络中,PE路由器作为各VPN数据流的接入点,通过虚拟路由器(VRF)的建立来隔离不同VPN间的数据。在各PE路由器间通过运行MP-BGP协议来传递VPN路由信息。
(1)PE-CE之间运行静态或动态路由协议,这里选择OSPF;在PE设备上为VPN01创建VRF,并将与CE互联的接口划入VPN01所属VRF,此时PE路由器上就VRF VPN01创建一张独立与全局与其他VPN的路由表,从该接口上学习到路由条目全部加载到VRF VPN01的路由表中,而不会出现在全局路由表中。
(2)PE之间运行的是MP-BGP多协议的BGP,经过扩展的BGP协议能够承载VPNv4路由,在MP-BGP的VRF-VPN01实例下重发布该VRF OSPF进程。
(3)OSPF的IPv4路由注入MP-BGP后,MP-BGP将64位RD信息被添加到这些IPv4路由前缀前面,就构成了96位的VPNv4路由前缀,同时RTs也被附加到VPNv4路由前缀。MP-BGP协议将VPN V4路由发送到MP-BGP对等体。
(4)MP-BGP对等体收到对端传来VPN V4路由后加载到本地VPN V4路由表中。
(5)对端的PE配置了VRF,VRF中定义了import RTs。它根据RTs将收到的VPNv4路由前缀导入特定的VRF,RD被从VPNv4路由中移除,IPv4路由就被注入到了VRF路由表中,这些路由现在是BGP的路由条目。
(6)MP-BGP对等体上将BGP重发布到VRF VPN01中的OSPF进程,该路由被添加到VRF VPN01的路由表中。
(7)VRF VPN01实例下的OSPF进程将路由表发给CE设备,CE设备学到该挑路由。
1.12全局路由传递过程
全局路由指MPLS骨干网上独立于VPN路由之外的路由信息,传统MPLS VPN骨干网指归属于运营商网络系统,S集团MPLS VPN上办公类、科研类业务系统不创建VPN,这些业务的路由也属于骨干网路由,因此S集团MPLS VPN全局路由指所有运行在VPN之外的路由信息。
S集团骨干网运行OSPF路由协议,运行OSPF路由协议的网络设备通关过交换LSA(链路状态信息)形成链路状态数据库,根据根据链路状态数据库计算全网路由。
1.13VPN与骨干网路互通技术思路
MPLS VPN技术是通过路由的方式实现VPN间隔离的,在MPLS VPN中每个VPN实例单独维护一张路由表,VPN学习不到其他VPN及骨干网的路由。
MPLS VPN的数据安全不是通过数据加密而是通过路由隔离来实现的;通过将“恰当”的路由呈现在正确位置上的“隔离”的路由表中,来引导用户数据流,用户在“隔离”的路由表中看不到路由目标,自然也就无法将数据传递到指定位置。要实现VPN与骨干网互通,需要保证VPN与骨干网能够实现路由交互,学到对方的路由信息。
1.2技术方案
1.21互通方案
想实现VPN与骨干网路由互通可以通过路由泄漏的方式,在PE设备通过在静态路由加上Global参数实现VRF与骨干网的互通,但这种方式配置工作量大、维护不方便,加上S集团骨干网层级较少很难实现。
S集团VPN路由与骨干网互访通过旁挂路由器的方式完成,通过对上面对骨干网路由、VPN路由的传播方式分析得知,CE设备本身并不理解、感知VPN,CE设备属于哪个VPN完全依靠设备与PE设备互联接口属于哪个VRF。CE设备连接到PE骨干网接口学到就是全局路由,CE设备连接到VRF接口学到的就是VPN的路由,因此在PE设备旁挂接一台路由器(或三层交换机),旁挂路由器通过多个接口(物理接口或子接口)分别连接至PE的骨干网、VRF并运行OSPF,因此这台CE能够学到骨干网及所有VRF的路由信息。