打造異地多點辦公網絡

引言：隨著業務的不斷拓展，不少企業已形成了異地多點辦公的模式，為保證信息溝通順暢、協同辦公高效，企業必須搭建安全、高效、穩定的多點辦公網絡。本文結合實際案例介紹了基于MPLS VPN技術的全網狀辦公網絡，這種辦公網絡能夠很好地滿足異地多點辦公的需求。

背景

某公司由于業務的原因，辦公地點分布在多個地區，其中公司總部位于A地，還有三個分支機構分別在B、C、D三地辦公，其中公司的核心業務系統均部署在A地的數據中心，考慮到數據安全的因素，核心業務系統并未直接部署在公網之上，除A地用戶可以直接利用局域網訪問之外，其它三地用戶都需要通過各自本地的Internet線路，使用SSL VPN訪問。

隨著業務模式發生變化，公司更加強調多地之間信息共享、協同辦公，分支機構不僅與總部之間有業務聯系，彼此之間也有信息溝通的需求，如視頻會議、文件共享等等，原有的這種以SSL VPN技術為支撐的辦公模式已經不能滿足現有的需求，公司亟需打造一套安全、穩定、高效的內部辦公網絡，這套辦公網絡實施后必須能夠解決四地之間的信息孤島問題，而且保證較好的投入產出比。

實施思路

由于A、B、C、D四地網絡邏輯上屬于隔離狀態，IP地址并未進行統一規劃，甚至存在IP網段重復使用的情況，為實現A、B、C、D四地之間網絡互通，必須對這四地的IP地址進行重新規劃，否則網絡互通后會出現IP地址沖突、路由指向不明確的情況，嚴重影響辦公網絡的搭建。由于A地屬于數據中心且用戶數量較多，為減少變更IP所帶來的風險，可保持A地IP網段不變，其余三地以A地IP網段為基礎進行擴展，四地IP地址的規劃如表1所示。四地IP網段按照表1配置完以后，按照四地網絡彼此互通的原則，確定了一種解決方案：租用運營商的MPLS VPN專網，建立A、B、C、D四地全網狀的辦公網絡。MPLS VPN專網是依托于運營商的骨干網絡，采用MPLS（多協議標記交換）協議，結合服務等級、流量控制等技術，為用戶在公共IP網絡上構建企業的虛擬專網。MPLS VPN專網非常適合搭建異地多點辦公網絡，可以輕松實現A、B、C、D四地網絡的直接通信，大大提高了各地之間的網絡通信效率；如果某地網絡出現故障，并不會影響其他地區之間的通信，而且運營商的骨干網普遍具有多路由的冗余傳輸資源，可以自動、充分地迂回用戶節點間訪問的流量，因而在廣域網上也不存在單點故障，網絡整體具備很高的可靠性；MPLS VPN專網的安全性是通過路由隔離技術來實現的，利用兩層標記，自動為不同用戶的節點建立不同的信道，使用戶的流量分別穿行在不同的“虛通道”中，實現了用戶流量的有效隔離；利用EBGP動態路由協議，實現路由的動態自適應，任意一點只需要在CE路由器端進行路由宣告，其余各點均可自動獲得相應的路由，大大降低了網絡管理人員的維護負擔。未來如果分支機構發生變更，只需要變更相應分支機構的接入線路即可輕松實現MPLS VPN專網的變更；從實施成本上考慮，由于網絡架構為全網狀，各個節點的網絡流量相對均衡，所以對各個節點的CE路由器性能要求不高，只需要支持EBGP動態路由協議即可，MPLS VPN專網實際上只需支付本地的網絡通信費用，就可以收到租用專線長途通信的效果，所以線路的租賃費用也比點對點數據專線要便宜。圖1為MPLS VPN專網示意圖。

表1 四地IP地址的規劃

圖1 MPLS VPN專網示意圖

實施步驟

為A、B、C、D四地組建MPLS VPN專網，首先需要向運營商申請資源，包括AS域的申請、各地線路的帶寬以及保障等級、每個站點能夠發布的路由條目數量，同時規劃PE和CE之間的互聯地址，提供給運營商，本文MPLS VPN線路互聯地址規劃如表2所示。待運營商局端調試完畢后，還需要在本端CE路由器進行相應配置，由于四地CE路由器配置方法基本一致，下面以A地CE路由器配置為例，具體步驟如下：

1.配置CE端的接口地址。MPLS VPN線路支持多種主流標準接口的接入，本文采用RJ45以太口。首先通過Telnet登錄A地的CE路由器，在對應的以太接口下，配置相應的接口地址，并開啟接口，具體命令如下：

Router（config）#interface FastEthernet2/0

Router（config-if）#description MPLS VPN

Router（config-if）#ip address 192.168.222.1 255.255.255.252

表2 MPLS VPN線路互聯地址規劃

Router（config-if）#no shut

Router（config-if）#do write

完成上述步驟后，可以進行CE和PE之間的聯通性測試，在CE路由器上直接ping對端的PE接口地址192.168.222.2，如果能夠ping通，說明本地與運營商之間已經對接成功。

2.創 建BGP AS域。AS域號1919由運營商分配，neighbor AS域由運營商指定為4809，并發布本地相關路由，具體命令如下所示：

Router（config）#router bgp 1919

Router（config-router）# network 172.19.4.0 mask 255.255.255.0

Router（config-router）# network 172.19.5.0 mask 255.255.255.0

Router（config-router）# neighbor 192.168.222.2 remote-as 4809

Router（config-router）# no auto-summary

Router（config-router）# do write

3.創建宣告網段的本地路由。利用步驟2將A地網段進行發布后，必須在本地CE端路由器上針對該網段創建同樣的目的地址路由，而且不能隨便使用路由匯總，步驟2中發布的每個本地網段，都必須設置對應獨立的靜態路由，否則這些網段將無法廣播到其他節點；如果該網段是直接連接在CE路由器上，則不需要單獨設置路由，直接使用自動生成的直連路由即可。具體命令如下：

Router（config）# ip route 172.19.4.0 255.255.255.0 192.168.220.1

Router（config）# ip route 172.19.5.0 255.255.255.0 192.168.220.1

其中192.168.220.1是與路由器互聯的核心交換機的接口地址。

完成上述三個步驟后，A地CE路由器已經配置完畢，以同樣的方法對其余三地的CE路由器進行配置，配置的參數中只有CE路由器接口地址、PE路由器的接口地址和需要發布的本地路由會相應發生變化，其他均保持不變；然后在各地的CE路由器上使用show bgp all命令查看是否已經成功獲得其他各地的BGP動態路由，如果各地都能獲得對應路由，說明整個MPLS VPN專網已經調試完畢，可以交付使用。

總結

評估辦公網絡優劣的一個很重要的標準就是網絡能否靈活適應企業的業務變更，辦公網絡不能成為阻礙企業業務發展的瓶頸，而應成為促進企業發展的催化劑。本文所介紹的MPLS VPN專網能夠適應多種辦公環境，特別是對于異地多點辦公的環境有著天然的適應優勢，相信能夠為企業提供性價比最優的解決方案。