MPLS組網安全問題的解決方案

湯健 鄧建偉 楊笑

本文研究了MPLS組網和IPRAN組網的各自特點并分析了MPLS組網中的安全問題。為解決這個問題設計了4種解決方案，并進行了對比。得出利用IPRAN組網是解決安全問題最佳方案的結論。結合案例提出了具體的網絡改造實施步驟。

隨著計算機技術及互聯網技術的迅猛發展，網絡已成為人們生產生活必不可缺的工具之一。網絡安全不僅關系到個人，同時對機構乃至于國家安全和社會穩定也造成了深遠的影響，已逐步上升到國家戰略層面。

虛擬專用網（VPN）技術是目前各類機構辦公生產的主要組網方式之一。MPLS_VPN技術以其低廉的價格、靈活的組網方式等優點成為大部分機構的首選VPN組網技術。

IPRAN是指IP化的移動回傳網。目前主要用于承載無線網業務流量，IPRAN網絡因其具備的多種網絡保護技術使得網絡的安全性和可用性非常高。

現狀及問題

目前機構用戶組建自用封閉VPN時，主要涉及幾個步驟：組網需求分析、拓撲規劃、網絡接入及改造。

機構用戶通過租用運營商的MPLS_VPN網絡組網。機構分支點就近接入運營商機房，三層網關處于運營商的PE路由器上。

在規劃VPN網絡時，所有VPN的數據包都要通過PE，即運營商的邊緣路由器進行三層轉發。在某些情況下MPLS_ VPN技術有可能造成數據安全問題。比如：PE-CE間路由入侵、MPLS_VPN本身不提供加密等。由此便有機構產生“專網三層改二層”的業務需求。

方案設計及對比

通過以上的分析，設計了4種改造方案來消除這些問題。

方案1：租用運營商裸光纖。此方案網絡的管理權完全在機構手中，但裸光纖物理安全性低，隨著城市建設等原因光纜中斷會成為家常便飯，如沒有一定的保護機制，對于機構來說將是一場災難。同時當機構的節點距離其他節點或總店的距離過長時，組網也會受到很大的限制。

方案2：租用運營商MSTP電路方式。MSTP技術主要是利用SDH技術實現的多業務傳輸平臺，是目前專線電路的主要承載方式。但因其技術老舊，大部分廠家已停止相關技術的研發，甚至已對相關設備做停產安排。同時，因為SDH技術的特性。網絡資源是獨占狀態無法復用，故其價格相對較高。

方案3：利用三層網絡組建二層VPN。此方案對運營商的邊緣路由器，即PE的要求較高，同時配置較復雜，故障排查也相對非常困難。

因此，我們創造性的提出，利用目前承載移動互聯網的IPRAN網絡來實現此類用戶的需求，也就是方案四。

方案4：利用IPRAN建立二層VPN。利用IPRAN網絡為用戶改造之后，所有機構節點的網關處于機構自身匯聚點的匯聚設備上，運營商的IPRAN網絡僅為機構提供二層通道。

該方案優點在于機構總點、下屬分支匯聚點只需做一次性接入，物理端口沒有變化，用戶如有需要還可自行部署動態路由協議，提高網絡的可用性和穩定性。

方案實施

為保障機構的網絡平穩過渡，設計了此類網絡改造的一般性實施方案。具體如下：

（1）分析機構現網的網絡拓撲結構及訪問需求，明確各個分支節點與總點以及各分支節點之間的訪問需求。

（2）對主要節點的改造實施

在具體實施過程中，考慮到機構總點的特殊性和重要性以及網絡逐步過渡的主要目標，在機構的現有與運營商對接的MV線路中間，插入一臺匯聚交換機設備并首先實施總點的業務割接，同時將此匯聚交換機與IPRAN網絡打通，保證了原有MPLS_VPN網絡中節點與總點之間的正常訪問。

（3）其余節點的改造實施

在總點完成改造后，機構的各個分支節點逐步完成IPRAN網絡的接入。通過IPRAN網絡的PW技術為其分支點打通二層通道。

待所有節點改造完成后，總點即可關閉原有運營商提供的MPLS_VPN網絡線路，所有流量通過IPRAN網絡轉發，網絡安全得到了可靠的保障，完全滿足該機構對此次網絡改造的需求。

通過這次網絡改造證明IPRAN也可以用于某些大型機構組網建設。因IPRAN底層的IP特性使其可以利用如BFD等保護技術實現快速故障恢復、網絡倒換。隨著IP技術的不斷發展，IPRAN以及后續不斷涌現的各類先進的IP網絡技術，會成為今后網絡承載的主要力量，網絡IP化一定會成為網絡演進的主力軍。