MPLS VPN技術在校園網中規范化部署研究

肖永欽，王怡，陳嵩

（福建師范大學現代教育技術中心，福建福州350117）

MPLS VPN技術在校園網中規范化部署研究

肖永欽，王怡，陳嵩

（福建師范大學現代教育技術中心，福建福州350117）

結合高校對網絡的需求，提出了MPLS VPN技術在高校校園網中部署規范設計和實施。通過功能區的劃分、路由協議的設計及網絡參數設計等方面進行詳細分析MPLS VPN技術在校園網中規劃、設計和部署，從而實現一網共用，資源共享，實現多業務統一部署。本文的研究的成果有助于規范化部署基于MPLS VPN校園網，為校園網中大規模部署MPLS VPN提供理論與實踐指導，同時提高網絡故障排查的速度，最大限度保障虛擬專用網的可用性、有效管理性和安全可靠運行的要求，從而節省了投資。

MPLS VPN；LDP；BGP；校園網；規范化

隨著國家提倡集約型社會，提倡節約資源，那么是否有一種技術能夠實現在一張物理網絡上承載多張邏輯網呢？答案是肯定的，我們可以通過MPLS VPN[1]虛擬技術實現在一張校園網上承載多個專網，滿足學校教學、辦公、平安校園的需求。MPLS VPN是指采用MPLS（多協議標記轉換）技術在IP網絡上構建虛擬專用IP專網，實現跨地域、安全、高速、可靠的數據、語音、圖像多業務通信，并結合差別服務、流量工程等相關技術，將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網的安全、靈活、高效結合在一起。目前大家討論比較多是MPLS VPN技術或某個具體案例，還比較少從學校實際需求層面來談MPLS VPN技術的規范化部署。本文將以高校的實際需求出發，探討在校園網中進行規范化部署MPLS VPN技術。

1 數字化校園對網絡需求

數字化校園業務對校園網絡需求從大的方面來看，主要有如下八大類組成，具體如下。

1)教學與科研專網

在教學應用這塊，主要包括在線視頻授課、教學錄像及課件的在線瀏覽和下載、學生和老師通過網絡互動、遠程答辯以及傳統的學習信息查詢等。在科研這塊，主要包括課題報送與驗收、遠程網上協同工作、科研資源的共享、網格計算等。

2)辦公網

辦公自動化OA系統和各部門的管理系統的基礎上建立統一的學校管理平臺和信息平臺。VOIP、視頻會議系統和網絡電視、網上直播系統等在學校內可以更好的、更便捷的進行溝通和信息交流。

3)視頻監控專網

為了加強人身和財產安全，需要建立專項視頻監控網，保障學校廣大師生安全。

4)招生專網

為了保障招生網絡信息系統的安全，通過專網與互聯網隔離。

5)院系、部處專網

為了保障各個院系、部處專網的安全，使其只能內部互訪而與其他部門隔離。

6)實驗專網

為了保障各個學院實驗設備的安全，通過專網與互聯網隔離。

7)托管服務器

每個院系、部處的內部應用服務器，不需要上互聯網，供每個院系、部處自己內部訪問和一部分師生訪問。

8)網站發布服務器

所有院系、部處的對公網發布的服務器，主要網站進行發布。

綜上所述，我們建設的目的是能夠通過構建一個統一、高效、可靠、安全的信息化平臺，有效實現校園網各個院系、部處縱向專網隔離、橫向授權訪問和校園資源共享，形成統一的校園網絡和資源共享平臺。

2 校園環境下MPLS VPN網絡部署思路

2.1 MPLS VPN網絡架構總體設計

根據數字化校園業務對校園網絡需求，我們將以高校網絡實際需求為出發點，設計MPLS VPN網絡拓撲，詳見圖1。

圖1 校園網MPLS VPN網絡拓撲圖Figure 1 Campus network MPLS VPN network topology

高校的所有院系、部處的接入單位統一接入進校園網中，通過MPLS/VPN技術實現統一出口、統一管理、業務隔離等業務功能需求。為了實現業務隔離，在校園網絡中劃分出四個功能區，每個功能區實現不同的業務需求。在中心端也存在相應的服務器功能區。每個接入單位可選4個功能區，各功能區介紹如下所示：

1)互聯網區

它包括校園辦公網，各接入院系、部處的互聯網區是唯一具有Internet訪問權限的區域，由校園網平臺統一實現Interne的高速訪問和安全控制；該功能區同時可以訪問數據中心的互聯共享區。

2)內聯網區

它包括招生專網、視頻監控專網、實驗專網和院系、部處內部專網，內聯網區即縱向訪問區，同一院系、部處的各接入單位內聯網區及其托管服務器區處于一個VPN中，實現各接入單位的互聯互通，并與其他接入單位安全隔離。

3)互訪區

它包括教學科研專網，互訪區即橫向訪問區，按照不同學院、部處間特殊應用的互訪要求，可通過互訪區實現不同接入單位的橫向受控訪問。

4)共享區

各接入單位的共享區是唯一具有信息中心共享服務器訪問權限的區域。

上述四個功能區為每個接入單位可選配置的四個功能區，除此之外數據中心劃分如下服務器區：

5)公眾服務器區

所有院系、部處的對公網發布的服務器都放置在該區域中，由網站管理中心統一管理。

6)托管服務器區

每個院系、部處的內部服務器（只能被該屬于該接入單位的內聯區訪問）都放置在該區域中，由網站管理中心統一管理。

7)共享服務器區

所有學院、部處的接入單位的共享區都可以訪問共享服務器區內的服務器，主要是一些內網資源。

8)互聯共享區

該功能區對接入單位互聯網區用戶開放。

2.2 路由協議規劃設計

核心P[1]（Provider）設備與匯聚PE[1]（Provider Edge）設備之間運行OSPF、LDP[2]、MP-BGP等協議，構成基于MPLS體系[3]的VPN骨干網絡，所有接入單位下的用戶數據在校園網中以標簽包的形式進行傳輸。

匯聚PE設備同接入CE（customer edge）設備之間運行靜態路由，PE設備上為每個接入單位的四個功能區創建相應的VRF[4]（virtual routing forwarding），將VRF下的靜態路由重發布進MP-BGP并通告進MPLS/VPN骨干網絡。

CE設備上運行策略路由，將不同接入單位的不同功能區的數據向上轉發進PE設備上相對應的VRF接口中。

2.2.1 骨干IGP設計

OSPF協議作為核心IGP[5]（interior gateway protocol）協議在項目中應用較為簡單，僅僅是用來保證BGP[5]、LDP（label distribution protocol）的鄰居關系建立，承載BGP會話、LDP會話以及發布CE設備管理網段路由。

OSPF協議的最主要的作用就是保證所有P/PE設備的Loopback地址能夠通告出去并通過OSPF路由可達。為了加快OSPF鄰接關系的形成，將骨干網絡中接口的OSPF網絡類型統一修改為pointto-topoint。通過修改接口的OSPF Cost參數以影響OSPF選路。

2.2.2 MP-BGP設計

BGP對等關系設計，如果匯聚PE設備是單鏈路上聯，則只與自己上聯的核心P設備建立IBGP對等關系，如果匯聚PE設備是雙鏈路上聯（包括連接到其他匯聚PE設備），則與兩個核心P設備都建立IBGP對等關系。所有的MP-IBGP對等體均采用Loopback地址做為更新源（update-source）。

2.2.3 路由反射器設計（RR）

圖2 路由反射器設計Figure 2 Routing reflector design

兩臺核心P設備上需要將其做連接的匯聚PE指為反射器的客戶端，同時兩臺核心P設備之間也必須互指為各自的客戶端。

2.2.4 PE-CE路由協議設計

PE設備和CE設備間的互聯方式如圖3所示。

圖3 PE-CE互聯邏輯圖Figure 3 The logic diagram of PE-CE interconnected

在PE設備上為每個接入單位的4個功能區創建4個互聯SVI，并且這4個用于互聯的SVI，分別關聯進不同的VRF，然后在這4個VRF下分別配置該接入單位的各個功能區的靜態回指路由，如圖4所示：

2.2.5 互聯網和共享區路由設計

在核心交換機上做連接的互聯網和共享區，供接入單位互聯網區內的用戶既可以訪問互聯網也能夠訪問互聯共享區內的服務器資源，這就要求接入單位互聯區的VRF既能學習到訪問互聯網的默認路由，也能學習到互聯共享區的明細路由，但是共享區內的服務器是不容許訪問Internet。

MPLS/VPN網絡中路由的學習與發布是通過對VRF的Export RT[6]、Import RT進行配置來實現的，即需要對接入單位的互聯網區VRF的RT值、核心交換機上出口VRF的RT值以及核心交換機上連接互聯共享區VRF的RT值進行配置，以實現上述需求。

2.3 網絡參數設計

2.3.1 設備管理地址設計

核心P、匯聚PE設備采用Loopback0地址作為管理地址。

接入CE設備及CEX設備的管理IP地址采用172.31.xxx.nnn/24，其中xxx為匯聚PE設備的Loopback0地址的最后一個字節數100-131，nnn為CE設備的編號。

CE設備及CEX設備的管理VLAN采用VLAN9，網關地址為172.31.xxx.254,該地址在其所連接的PE設備上，如圖5所示：

圖5 CE設備管理IP地址設計Figure 5 The design of management IP address on the CE equipment

說明：CE設備管理網段不屬于任何VRF，通過OSPF通告進骨干網絡，屬于骨干網絡路由表的一部分。

2.3.2 功能區編號設計

互聯網區：1；內聯網區：2；互訪區：3；共享區：4。

2.3.3 校區編號設計

針對目前大部分高校都有1至多個校區，如果在不同地市內，就按電話區號來命名，比如福州市的電話區號為0591，廈門市的電話區號為0592；如果在同一地市內有多個校區，就按電話區號+附加碼，附加碼取值范圍為100～110。

2.3.4 接入單位編號設計

IP地址通常用“點分十進制”表示成（A.B.C.D）的形式，接入單位編號可取接入單位IP網段的“C”作為編號，比如：接入單位IP地址段為10.106.102.0/24，那么接入單位編號取102，以此類推。

2.3.5 PE編號設計

PE設備一般是一個樓群的匯聚設備，PE設備的編號取值范圍為00～30，如果不夠擴充PE，新增PE的編號將從31開始向后取。

2.3.6 接入單位命名設計

接入單位命名采用“校區編號_PE編號_接入單位編號”的方式。

2.3.7 VRF命名設計

需要在PE上面為每一個接入單位的每一個功能區創建一個VRF，VRF的命名規則采用“接入單位命名_功能區編號”方式。

2.3.8 設備命名設計

為便于日后運維，所有物理設備都應該有統一明確定義的命名規范，建議設備的命名應有如下信息組成：

物理位置+設備層次+設備管理IP地址+對端設備端口號，其中物理位置取其簡稱，比如：理工樓群，對應的編碼為lglq；設備層次取值為“P、PE、CE”。

2.3.9 各接入單位功能區IP地址及VLAN設計

為各院系、部處在每個接入單位分配的IP地址，從10.0.0.0/8這個地址段中選取，分配原則如下所示接入單位地址采用“校區編號+功能區編號+院系編號”的分配方式，通過IP地址可以直觀并唯一的確定接入用戶的歸屬，該方式是將10.0.0.0/8這個地址空間的第2個字節進行拆分，前5個比特PE編號，后3個比特標識功能區編號，第三個字節標識接入單位編號，如圖6所示。

圖6 接入單位IP地址分配方法Figure 6 Access units IP address assignment method

考慮到互聯網區內的用戶數量較多，為互聯網區分配兩個地址段，將第二個字節的后3bits為全0的IP地址也分配給了互聯網區作為預留。

VLAN號的分配方法采用“接入單位編號+功能區編號”方法進行定義。

2.3.10 Route Distinguisher設計

各接入單位的各功能區VRF的RD[7-8]的設計規則采用：“65500：1+PE編號+接入單位編號+功能區編號”這樣的格式，如圖7所示。

圖7 接入單位功能區VRF RD分配方法Figure 7 Access units function type VRF RD allocation methods

數據中心PE上的各服務器區及Internet接入區的VRF的RD設計如下：

Internet接入區：65500：10000

服務器托管區：65500：2+接入單位編號+2

共享服務器區：65500：30000

2.3.11 Route Target設計

接入單位各功能區VRF以及數據中心的服務器區VRF的Route Target[9-10]設計規則如下：

1)接入單位互聯網區VRF RT設計

Export Route Target：65500:10001

Import Route Target：65500:10000

在數據中心P上連接Internet的互聯網接入區VRF的Route Target如下：

Export Route Target：65500:10000

Import Route Target：65500:10001

根據如上的設計規則，各接入單位的互聯網區VRF之間無法學習到互相的路由，各接入單位的互聯網區VRF能夠學習到Internet互聯網接入區VRF的默認路由，Internet互聯網接入區VRF也能夠學習到各接入單位的互聯網區VRF路由，從而實現了各接入單位的互聯網區可以訪問Internet，但相互之間無法訪問。

2)接入單位內聯網區VRF RT設計

Export Route Target：65500:2+接入單位編號+2

Import Route Target：65500:2+接入單位編號+2

數據中心PE的托管服務器區VRF的Route Target如下：

Export Route Target：65500:2+接入單位編號+2

按照如上規則，處于不同PE下的同一院系、部處的接入單位的內聯網區VRF以及該院系、部處放在數據中心托管區的服務器所處的VRF就可以相互學習路由，從而實現同一院系、部處以及該院系、部處的托管服務器間的縱向訪問。

3)接入單位互訪區VRF RT設計

Export Route Target：等于該功能區VRF所對應的RD值

Import Route Target：根據實際需求進行配置

根據如上規則，當兩個不同接入單位之間需要互相訪問時，只需要互相導入對方互訪區VRF的Export Route Target即可，從而實現不同接入單位的橫向互訪。

4)接入單位共享區VRF RT設計

Export Route Target：65500：30001

Import Route Target：65500：30000

數據中心PE上的共享服務器區的VRF的Router Target如下：

Export Route Target：65500：30000

Import Route Target：65500：30001

同互聯網區的VRF的RT規則相同，從而實現各接入單位的共享區VRF之間不能互相訪問，只能訪問數據中心PE上的共享服務器區VRF。

3 結束語

主要針對高校對網絡需求，引入了MPLS VPN技術，基于理論與實踐基礎上，提出了MPLS VPN技術在校園網中規范化部署設計思路和實現機理，為MPLS VPN在校園網中大規模部署提供理論與實踐指導。

[1]Rosen E，Rekhter Y.BGP/MPLS IP Virtual Private Networks (VPNs)[M].IETF RFC4364,2006.

[2]閆勇.MPLS技術研究及其應用.同煤科技,2010(4):16-19.

[3]Jim G，Ivan P.MPLS和VPN體系結構（修訂版）[M].田果,劉丹寧,沈錚，譯.北京:人民郵電出版社,2015.

[4]Ivan P,Jim G.MPLS and VPN architectures[M].Indianapolis:Cisco Press,2012.

[5]Zaheer A,Liu J,Abe M,et al.Troubleshooting IP routing protocols[M].Indianapolis:Cisco Press,2002.

[6]裴郁.MPLS VPN組網研究與實現[D].上海:復旦大學,2007.

[7]尹光成.IP路由技術詳解與配置實踐[M].北京：清華大學出版社,2012:98-102.

[8]王達.虛擬專用網(VPN)精解[M].北京:清華大學出版社,2009.

[9]符冰.MPLS VPN技術在校園網的研究和實現[D].上海:上海交通大學，2011.

[10]Jim G,Francois L F,Jean-Philippe V.MPLS網絡設計權威指南[M].陳武,譯.北京:人民郵電出版社,2007.

（責任編輯：葉麗娜）

MPLS VPN Technology Normalization Research Deployed in Campus Network

XIAO Yongqin,WANG Yi,CHEN Song
(Modern Education Technology Center，Fujian Normal University，Fuzhou,Fujian 350117)

In this pater,the MPLS VPN technology is applied in the college campus network deployment specification design and implementation,according to the demand of the colleges network.We make a detailed analysis of the division of functions,the design of routing protocols and network parameter design for deployment of the MPLS VPN technology in campus network,so as to realize the network sharing,the resource sharing and the unified plan of the business.The results of research will be helpful to the normalization of deploying MPLS VPN in campus network,campus network in large-scale deployment of MPLS VPN to provide theoretical and practical guidance,while improving network troubleshooting speed,maximize the protection of a virtual private network availability,effective management and requirements for safe and reliable operation,thus saving investment.

MPLS VPN;LDP;BGP;campus network;normalization

TP393.1

A文章標號：1674-2109（2016）12-0053-06

2016-05-27

肖永欽（1975-），男，漢族，工程師，主要從事網規、網絡信息安全的研究。