基于MPLS-VPN的虚拟网实现设计.doc

1、摘要 摘 要随着Internet网络的飞速发展，越来越多的企业利用Internet开展各种商务活动。对于大部分的企业以及政府机构，在不同省市地区都有各自的办事机构或者分公司，在这种情况下，为了让分支机构的员工能够与总部实时交互数据信息，企业得向ISP租赁网络提供服务，但公网上容易受到各种安全攻击（例如：DDOS攻击，使得服务器资源瞬间消耗完，业务无法开展。机密数据被窃取等），导致数据信息极度不安全。租赁专线业务的价格又非常昂贵。而VPN的引入则刚好解决了这些问题，它是利用公用网络来连接到企业私有网络。在VPN中，用安全机制来保障数据机密性，安全真实性和完整性的严格访问控制。这样就在公网中建立了

2、一个逻辑上虚拟的私有网络。提供VPN的技术有：GRE、IPSEC、SSL、L2TP、PPTP、MPLS等,在所有VPN技术中，MPLS-VPN以其良好的安全性、可靠性、扩展性、灵活性、经济性、可管理性等独特优势，赢得了众多企业青睐。 关键词：Internet，企业，安全，可靠，MPLS，VPNIABSTRACTWith the rapid development of the Internet, more and more enterprises carry out various business activities by the Internet .For the majority of

3、 enterprises, institutions and government agencies ,they have their own offices or branches in different provinces and cities. In this case, in order to make the employees in the branch offices exchange the real-time data with headquarters , enterprises have to ask the network to provide service by

4、the ISP. But the public Internet is easily got the various security attacks (such as:DDOS attack, which makes the consume server resources run out instantly, making the business not be carried out and the confidential data being stolen, etc.), resulting in the data information is extremely unsafe. H

5、owever, the price of leased private line services is very high . Fortunately, the introduction of the VPN is just to solve these problems, which is to use the public network to connect to the corporate private network. In the VPN, the security mechanisms protect and strictly control the data confide

6、ntiality, making them security authenticity and integrity. So in the public network,it establishes a logical and virtual private network.There are some technologies provided by VPN, including GRE、IPSEC、SSL、L2TP、PPTP、MPLS and so on。In all the VPN technology, the MPLS-VPN has its own special advances

7、of good security、reliability、scalability、economy and manageability ,which win the popular in many enterprises. Key words：Internet Enterprise Security Reliability MPLS VPN目录目 录第1章引言第2章MPLS-VPN技术基础第3章基于MPLS-VPN的企业网设计第4章基于MPLS-VPN的企业网络模拟实现第5章结束语参考文献致谢 第1章 引言随着Internet的飞速发展，人们对于网络的依赖性也越来越强，特别是企业对Interne

8、t提供的网络服务质量要求也越来越高，而VPN技术的引入刚好解决了用户的高需求。随着VPN技术的成熟以及在各个行业的广泛应用，VPN已经被大众化。通常情况下,VPN是用来为企业在公网上组建一个安全的逻辑的虚拟局域网，通过它可以帮助远程用户、公司的分机机构、商业合作伙伴以及供应商同企业内部建立一个安全可信的连接，并保证数据的安全传输；也可以利用VPN承载一些其他的网络业务，如VOIP、视频会议等。随着用户对带宽需求的增长、组网灵活性、网络可扩展性、可管理性、成本要求等不断提高，传统IP网络技术已不再能够满足用户的需求，且通过专线方式组网的需求也会越来越低，而基于MPLS-VPN的网络技术可以兼备三

9、层无连接路由和面向连接的二层转发机制优点。该网络技术在同一物理网络上支持传统IP业务和MPLS等新业务，并可快速提供用户业务。例如：对等接入、IP、VPN，通过二层VPN方式承载FR、ATM、DDN业务等。MPLS-VPN技术为用户提供质量和安全保证，同时大大节约了成本，特别是通过MPLS-VPN为用户提供语音、视频、数据等统一平台，满足了各类客户的需求，特别是企业等大客户。本论文对MPLS-VPN的基本概念，分类，原理等进行了详细阐述，通过将传统VPN技术和MPLS-VPN技术进行对比，得出了MPLS-VPN才是最优的解决方案。并进一步通过实际组网案例，模拟实验等分析数据结果，证明了基于MP

10、LS-VPN的虚拟网才能满足企业综合业务发展的需求，并对MPLS-VPN组网的提出进一步优化和建议，以及未来MPLS-VPN技术的展望。IIIMPLS-VPN技术基础第2章 MPLS-VPN技术基础2.1 VPN技术简介 VPN英文全称为：virtual private network（虚拟专用网），即利用公网Internet来组建一个安全可靠的逻辑上的专用网，供一群团体用户之间相互通信，享用VPN提供各种服务。它拥有强大的加密机制和认证机制，以确保数据在公网中安全可靠的传输。IETF组织对基于IP的VPN解释为：通过专门的隧道加密技术在公共网络技术上仿真一条点到点的专线技术。一句话，VPN核

11、心就是在利用公共网络建立虚拟私有网。2.2 VPN技术分类 随着IP网络技术高速发展以及新技术的不断引入，VPN的概念也越来越复杂。对于IP VPN技术分类还未有一个标准的规定，从不同角度出发，分类各种各样。但一般情况下，VPN有以下几种分类：（1）按接入方式划分为两类：专线VPN：指为已经通过专线接入ISP边缘路由器用户提供的VPN解决方案。拨号VPN又称为VPDN（Virtual Private Dail-up Network 虚拟拨号专用网）：指利用拨号方式通过PSTN(Public Switched Telephone Network 公用电话交换网)或ISDN（Integrated

12、Service Digital Network 综合业务数字网）接入ISP的用户提供的VPN业务。（2）按隧道使用的协议类型划分为三类：工作在数据链路层的第二层隧道协议，如：点到点隧道协议：PPTP（Point To Point Tunneling Protocol）、第二层转发协议L2F(Layer 2 Forwarding)、第二层隧道协议L2TP（Layer 2 Tunneling Protocol）；工作在网络层的第三层隧道协议，如：通用路由封装协议GRE(Generic Routing Encapsulation)、IP安全协议（IPSec）；工作在第二层和第三层之间的隧道协议，如：

13、MPLS(Multi-Protocol Label Switching)隧道协议。（3）按VPN平台类型划分为三类：软件平台VPN，利用软件公司提供的完全基于软件的VPN。主要应用于对数据连接速率要求不高，对性能和安全性要求不高的用户。专用硬件平台VPN，利用硬件厂商提供的专用硬件平台实现的VPN，主要用在专业的VPN网络服务提供商。辅助硬件平台VPN，辅助硬件平台VPN主要是指以现有网络设备为基础在再加上适当的VPN软件来实现的VPN，是目前最通用的VPN技术平台。它既包含了硬件平台的高性能和高安全性，同时又具备了软件平台的灵活性。（4）按VPN为客户提供的业务类型划分有三类：Intrane

14、t VPN，主要用户机构内部通信。Extranet VPN，主要用于与其他机构通信。Access VPN，主要用于移动用户、办公家庭、远程办公室等通过便宜的拨号媒介进行接入（VPDN）。3.VPN技术原理 VPN技术实现原理主要有：隧道技术、加解密技术、密钥技术、用户与设备身份认证技术。（1）隧道技术(Tunneling)：即在公网上建立一条安全数据隧道，保证数据在隧道中安全传输。隧道是由隧道协议加密构成的，分为第二、第三层隧道协议。而对于VPN而言，隧道是最常用的技术。如图1所示，为数据包在IPSec VPN隧道下封装后的分组结构。原始数据包：IP头DATA隧道封装后的数据包：ESP验证头E

15、SP尾DATA原始IP头ESP头新IP头 图1：IPSec VPN 隧道模式下对数据包封装示意图（2）加解密技术（Encryption&Decryption）：利用加密算法(如DES等)对数据进行加密后，将数据传输到目的地进行解密，从而保证了数据的安全。（3）密钥管理技术（Key management）：保证数据在公网上安全传输而不被窃取。（4）用户与设备身份认证技术（Authentication）:通过对用户身份的识别，区分哪些用户才能进入设备系统进行访问授权，例如：数字证书等。4.MPLS技术简介MPLS（Multi-Protocol Label Switching 多协议标签交换）是一种

16、新兴技术，它是由Cisco的标记交换技术演变而来的。为了解决现存网络中存在的诸多与数据包转发有关的问题，IETF组织建立了一系列标准来规范市场，推进不同厂商、不同个体在标签交换领域的技术统一，最终建立了MPLS技术框架。传统的IP数据包转发每一跳都会执行第三层查找功能，而MPLS简化了每一跳设备的转发处理过程，以标签替换的方式进行取代，MPLS网络结构由标签交换路由器（LSR）和边缘标签交换路由器（ELSR）组成。如图2所示： 图2：MPLS网络结构标签交换路由器（LSR）和边缘标签交换路由器（ELSR）是MPLS网络中重要的部件。标签交换路由器（LSR）是指一切实施了标签转发功能并且能够基于

17、标签来转发数据包的路由器或交换机。边缘标签交换路由器（ELSR）指在MPLS网络边缘执行标签压入（push）和标签弹出（pop）的路由器或交换机。它们都包含两个独立的部分：转发部分（也称数据层）和控制部分（也称控制层）。转发部分的作用是查看数据包携带的标签，然后使用标签交换机所维护的标签转发数据库（LFIB），来执行数据包的转发。控制部分则负责在一组相互连接的标签交换之间，创建并维护标签的转发信息（称为绑定）。LSR结构和ELSR结构如图3和图4所示： 图3：标签转发路由器（LSR）结构图 图4：边缘标签转发路由器（ELSR）结构图5.MPLS基本原理与分类MPLS结构从逻辑上分为数据层和控制

18、层。控制层负责路由的选择，维护路由表信息，通过标签分发协议（LDP，Label Distribution Protocol）交换标签信息；数据层将标签信息保存在标签信息库(LIB)中，并通过标签信息库建立IP转发信息表（FIB）和标签转发信息表（LFIB），将带有标签的数据包进行转发。当数据包进入MPLS网络中，ELSR查询FIB表，并对数据包的FEC压入标签，并转发给LSR；LSR根据数据包的入标签，检索LFIB得出出标签和下一跳地址，并以新标签替换旧标签，转发到下一跳LSR；当数据包到ELSR时，ELSR去掉标签，执行第三层路由查找，并将数据转发到目的地。数据流程如图5所示： 图5：MPL

19、S标签添加与转发流程图在传统的IP网络中，每个数据到达一个路由器，都会根据路由表按最长匹配原则执行第三层查找下一跳IP地址，当一个IP网络很大的时候，这个查找会消耗很多时间。而且，若两个VPN站点私有IP相同，也无法实现支持。而MPLS一个重要的功能就是使用标签的替换基于硬件执行快速转发来代替该数据包执行第三层查找的功能，在很大程度上节省了交互信息时间。而且MPLS根据每个VRF关联的接口和标签能够区分VPN站点相同的私有IP。 MPLS中引入了非常多的概念和新术语，其中比较关键的有：（1）标签和标签栈标签是指数据包的转发等价类（FEC）被分配的长度固定且简短的标识符。这些标签按顺序的组合起来

20、就是标签栈，实现多层标签的嵌套。它们可以提高数据转发的性能。MPLS标签栈放于二层帧的第二层头部与第三层头部之间，如图6所示： 图6：MPLS标签和MPLS标签栈图MPLS标签头部也称为填充头部，包换了MPLS标签（20bit）、服务类别信息（3bit，在IETF中为试验位）、生存时间字段（TTL，8bit）和栈底（Bottom-Stack，1bit）位。（2）转发等价类(FEC,Forwarding Equivalence Class)，是指一组以相同的方式转发的数据包。转发等价类的划分方式非常灵活，可以是源地址、目的地址、源端口、目的端口、协议类型、VPN等的任意组合。例如，在传统的采用最

21、长匹配算法的IP转发中，到同一个目的地址的所有报文就是一个转发等价类。（3）标签交换路径(LSP，Label Swiched Path)，指为FEC打上标签的数据包所需要通过的那一系列LSR的路径。LSP是单向的，也就是说，由一个特定的FEC返回的流量所需要使用一条不同的LSP。（4）每个LSR都有2张表，一张标签信息库（LIB，Label Information Base），一张标签转发信息库（LFIB，Label Forwarding Information Base）。LIB会保存所有该LSR分配的标签信息，以及这些标签从邻居LSR发来标签之间存在的对应关系。LFIB的作用是在转发数据包

22、的过程中，记录那些正在由MPLS设备来执行数据包转发的标签。介绍了MPLS 的基本概念后，接着对MPLS VPN的分类做进行阐述。MPLS VPN分为基于帧模式的MPLS VPN和基于信元模式的MPLS VPN。根据PE（Provider Edege）设备是否参与VPN路由，又分为MPLS Layer3 VPN和MPLS Layer2 VPN。MPLS Layer3 VPN意为第三层MPLS VPN，该网路是由ISP骨干网络与客户各站点连通组成。VPN也就是对客户各个站点集合的划分，并使他们之间具有连通性。MPLS Layer3 VPN的结构图如图7所示。 图7：MPLS VPN 结构从图7看

23、出，MPLS Layer3 VPN包含4类主要部件：（1）PE（Provider Edge）：ISP骨干网络边缘路由器，负责MPLS Layer3 VPN网络中数据包标签的压入和弹出，存储由路由表派生出来的VRF（Virtual Routing Forwarding Table），并处理VPNv4路由。 （2）P路由器（Provider Router）：ISP骨干网络核心路由器，负责MPLS网络中数据包的标签转发。（3）CE（Customer Edge）：客户网络边缘路由器，客户通过CE连接到ISP网络。（4）Site：用户站点，指用户网络邻接的部分。它可以使用一台或多台CE和PE设备，通过一

24、条或多条传输线路连接到ISP核心网络。在MPLS-VPN网络中，PE为每个CE路由器都建立了一张路由转发表VRF，每个客户的VPN就由CE、VRF以及相关的链路组成。为了使PE能够与CE能够交互路由信息，则在CE与PE之间启用路由交换方式，如：静态路由，动态路由(RIP、OSPF、IS-IS、EBGP等)，PE与P之间运行OSPF等动态路由协议，PE与PE之间运行MP-BGP，传递客户VPN路由。对于P路由器来说，客户的VPN路由都是透明的。每个VPN都有各自的VRF，PE通过VRF来隔离不同VPN的路由。由于企业内部各个分支点都采用了IETF建议保留的私有IP地址，不同的VPN网络之间可能造

25、成IP冲突，为了区别不同的VPN网络，MPLS-VPN对IPv4地址空间进行了扩充，用了VPN-IPv4（VPNv4）来表示每个VPN网络的地址空间，即CE向PE宣告的IP子网都会添加了一个64bit前缀，称为路由区别符（RD,Route Distinguisher），来区分不同的子网信息，从而保证了不同VPN用户之间的独立编址。接着这个96bit的VPNv4地址通过MP-BGP协议在PE路由器之间交换。但多个VPN站点可能同时属于一个VRF，为了能够使VPN与VRF存在相应的映射关系，MPLS引入了路由目标(Route Target，通过BGP扩展属性实现)来解决。每条VPN路由输出时，都会

26、被标记上一个或者多个路由目标，当PE路由器收到一条路由时，BGP进程就会检查该路由的导出RT值是否与本身的导RT值相同，若相同，则导入到VRF中；不同，则忽略。这样就可以控制VRF的导入和到处策略，避免存储一些不必要的路由信息。BGP/MPLS VPN技术采用双层标签实现IP数据包的封装，如图8所示：第三层头部VPN标签隧道标签第二层包头 图8：MPLS Layer3 VPN 数据包结构VPN标签是由远端PE分发的，通过 MP-BGP协议传递的，用于标识PE上VRF中的VPN成员路由。隧道标签是由远端PE通过LDP协议分发定义的，用于标识本端PE的BGP下一跳地址，即远端PE地址，实现PE之间

27、的MPLS转发。在整个MPLS网络中的数据流程，都是由PE进行双层标签的封装与解封装，P只是根据外层标签进行数据转发，整个MPLS VPN过程对P来说是透明的。MPLS Layer3 VPN 数据包转发流程如图9所示。 图9：MPLS Layer3 VPN 数据包转发流程 CE1路由器将一个VPN数据包转发给INGRESS PE（入站PE路由器），PE路由器查找到相应的VRF表，从VRF中查询到下一跳IP地址（即出站ENGRESS PE IP地址）和VPN数据包被分配的标签。VPN数据包标签被压入到内层，下一跳即出站PE IP地址标签被压入到外层。此刻，就完成了VPN数据包的双层标签，然后入口

28、PE将数据包转发给P路由器，P路由器根据VPN数据包最外层标签转发VPN数据包，并根据倒数第二跳弹出机制PHP（Penultimate Hop Poping）弹出最外层标签，接着将数据包转发给出口PE路由器。出口PE路由器根据VPN数据包此刻的标签，进行LFIB查询，找到对应的VRF出口，并将VPN标签弹出，此刻，VPN数据包就被还原成了一个纯IP数据包，最后将该IP数据包转发给对应的CE1路由器。最后，CE路由器根据自身的路由表进行相应的数据转发即可。MPLS Layer2 VPN又叫做第二层MPLS VPN，它基于MPLS网络透明传输二层数据。从用户角度来看，这个MPLS网络就是一个二层交

29、换网络。在MPLS Layer2 VPN 网络中，CE、PE、P基本概念与MPLS Layer3 VPN的完全一样，基本原理也相似：它是根据VPN数据包的双层标签栈来完成数据包的转发。外层标签还是用于将VPN数据包从入站PE传送到出站PE。内层标签（称为VC）用于区分不同VPN中不同的连接，以便出口PE才能准确将数据包转发给CE。在二层MPLS VPN中，由于PE路由器不参与处理用户的VPN路由，因此它的扩展性只与和PE连接的VPN用户数量有关，扩展性比三层MPLS VPN的好得很，但是灵活性就没有三层MPLS VPN好，无法构建企业外的机构通信的网络Extranet。MPLS Layer2

30、VPN 有VLL和VPLS两大类。(1)VLL（Virtual Leased Line）即虚拟租用链路，通过二层标签封装方式，提供不同媒介的二层VPN业务，如：Martini方式(LDP)、Kompella方式（BGP）、CCC方式（Circuit Cross Connect）。VLL数据包格式如图10所示：隧道标签VC标签Layer2数据 图10：VLL数据包结构（2）VPLS（Virtual Private Lan Service）即虚拟网私有LAN服务。利用MPLS网络为企业用户提供了一种仿真的LAN连接，提供点到多点的连接，又被称为透明LAN服务。VPLS通过标签栈来为VPN数据包在M

31、PLS网络中的透明传输。VPLS数据包结构如图11所示。隧道标签VC标签MACVPN数据图11：VPLS数据包结构上述详细介绍了MPLS的基本原理和分类后，接着对MPLS的应用做进一步研究。目前MPLS的主要应用是流量工程和基于MPLS的VPN。而基于MPLS的VPN正是能够很好解决企业网络的良好方案。6.MPLS VPN与传统VPN的对比由于企业规模的不断扩大，分布遍及全部各地，对业务的细化和安全要求也越来越高。不仅需要保证各种应用业务系统网络相对独立性、安全性、高质量性、可靠性、方便管理等要求，而且还要实现不同业务系统之间的互通互访，在信息交互的基础上有一个安全并能共享的途径。确保以上方面

32、的需求，就需要解决两个问题：第一，安全隔离，保证各业务系统逻辑网络的相互隔离，以满足不同业务对安全性、管理性等高要求。第二，受控互访，各业务系统之间只能访问固定的IP资源段，且保证其安全性。而VPN技术的引入刚好解决了上述两个问题，在目前网络中主要有:SSL、IPSEC等基于传统隧道封装的VPN，还有一种新兴的就是基于MPLS的VPN技术。而基于MPLS的VPN技术是以简短的标签替换与转发来替换传统的IP路由执行第三层查找功能，在大型网络中，大大节省了路由查找的时间。而传统IP网络环境下，一旦网络发生故障，网络因收敛时间而受到影响，而基于MPLS的网络会快速收敛，数据包的转发几乎不会受到收敛时

33、间的影响，稳定性相当好。MPLS不仅支持传统IP路由机制无法支持的流量工程，与现有的大型骨干网络集成的问题等，还支持多种协议，如：IPv4、IPv6、IPX等。MPLS结合了IP技术和ATM技术等的优点。兼备了面向无连接的控制和面向连接的数据转发，同时MPLS能够从IP路由协议和控制协议中得到支持，具备了强大了灵活性、扩展性、经济实用性等优点，可以为企业等大客户网络提供全方位的服务支持。传统VPN主要采用端点到端点的方式，主要部署在用户边缘网络和本地网络，需要大量硬件的支持，基于传统隧道加密技术，数据安全性很好，但在复杂，大规模网络中，对于QOS和流量工程就难以支持，若一个分支站点很多，就必须

34、实现站点之间全互联，该工程量相当大，也增加了管理和维护成本。而MPLS VPN部署在核心网络，支持流量工程，通过实现每个VPN之间VRF的路由共享和隔离，达到站点独立和共享的效果，只需将核心网络设备升级成支持MPLS功能即可。MPLS VPN与传统VPN的主要功能优势对比如图12所示。特性MPLS VPN传统VPN流量工程能支持各种类型网络稳定的流量工程。不支持大型网络流量工程，需要ISP提供QOS方案。灵活性具有高度伸缩性，不需要站点对站点。而且能够解决分支间的IP冲突。能够利用MPLS轻松部署上万个VPN。大规模部署时，要考虑各个分支的网络编址，避免IP冲突，还要考虑统一管理和对等配置的问

35、题。经济性成本低成本高安全性可以整合传统VPN加密技术进行加密，并且能够区分流量从而达到数据的安全，双重保密。常用的加密技术，如DES,3DES等。扩展性能够对后续新兴网络技术提供支持，能够整合提供VOIP和视频业务等支持。可能对后续网络支持不是很好。需要重新规划网络。可管理性可以将CE设备统一交付给运营商管理需要自行管理图12：MPLS VPN与传统VPN技术主要功能优势对比表从上述详细对比与分析，MPLS VPN结合了传统VPN的优点，是提供企业网络良好解决方案的不二选择，从而保证了企业网络的安全性、经济性、可管理性、灵活性、先进性。4基于MPLS-VPN的企业网络设计第三章 基于MPLS

36、-VPN的企业网络设计1.网络设计原则目前的企业网大多数都是采用专线或者传统的VPN方式提供业务，存在着上述的安全性、扩展性、灵活性、经济实用性等问题。而基于MPLS的VPN引入，则很好的解决了这一系列问题。根据企业网现有的问题，新建的企业网络可以根据以下主要原则进行规划、设计和实施。（1）安全性原则 企业业务网络与互联网实现逻辑隔离，实现各个分支机构与总部的全面互联，同时，分支机构需要互访的，也可以进行开通。整体网络结构大，业务广，连接的节点多，故数据的安全性至关重要。故在设计过程中要充分体现出系统建设和信息安全结合，从物理层方面、系统层、网络层、应用层、安全防护与管理等方面全面完善。（2）

37、实用性原则企业网络经过多年的发展，已经有一定的网络基础，要充分利用现有的网络基础，在改造中，充分利用现有的网络资源，根据新的应用需求，进行合理的改造，避免对资源造成浪费。（3）可扩展性原则要充分考虑企业未来发展业务所需求的网络业务，做到对未来网络结构预见，可扩展，可改善的优良机制，既能满足现有各种业务的需求，又能满足今后发展的业务需求，可对现有网络的平滑升级。避免因为业务发展需求造成设计的网络结构不符，而彻底淘汰构建的网络的后果。（4）可靠性原则作为一个企业的网络架构，必须保证网络的稳定运行，避免网络的不稳定造成对业务的严重影响，要充分从设备、链路、所采用的路由协议等方面上确保网络的稳定运行。

38、（5）可管理性原则作为企业网络，可管理性是必备的，对设备能够及时分析网络故障来源，要确保各个分支机构能及时同总部实现数据的交互，实现资源的共享，有效降低管理成本，提高工作效率，达到企业高效性的要求。某企业公司在北京设立总部，全国各地的省会和大城市均设有分支机构。要保证各分支机构能够及时和总部进行业务交互。如：成都分支机构需要和总部北京进行DMS业务和OA系统信息的交互。总部或分支的DMS和OA业务系统也可以被移动办公人员从公网中接入VPN进行访问。视频会议等必须保证所有分支能够接入总部，这就需要通过一系列技术手段实现一个完整的VPN互联网络。保证各分支机构能够独立与总部进行数据交互，分支之间又

39、能实现安全隔离。不同部门访问业务系统的被赋予不同权限。按照企业网络的设计原则，建设上述企业网络的需求基本如下：（1）纵向实现各大城市分支机构之间的互通，横向实现各分支机构之间的分离，如：省会城市分支机构还有下级代理商之类的用户，并与其他分机机构的用户实现分离。（2）横向互联实现各分支机构访问总部总部的业务服务器（如：DMS系统、OA系统、门户网站等），但部门之间的互访受到限制，数据交互由总部统一实现。（3）各分支服务器与总部服务器之间数据交互，与其他业务隔离。（4）专用业务系统（如视频会议）与其他应用隔离，实现相关部门的互联。（5）实现完备的服务质量QOS，实现全部分支机构都由总部统一管理。从

40、上述基本需求看出，企业VPN网络是提高企业绩效的一个重要途径，所以该网络平台必须保证全网信息能够实时处理，数据安全可靠地传输且无阻赛，网络延时小，能够有足够大的吞吐量和带宽支持高占带宽数据的传输，所采用设备和网络技术都必须能够提供良好的QOS保障功能。根据上述目的要求，企业外网在总体上采用逐级分层次结构，逐层保护的原则。利用基于MPLS VPN网络技术，保证企业网络的良好连通性，并提供QOS带宽保证。实现各分支机构、部门等系统网络之间的安全隔离，控制安全互访。MPLS VPN网络技术为企业网络提供了良好的易于管理性、高效率、扩展性好、安全防护且有QOS保证功能，能够实现任意节点之间的VPN互联

41、。2.基于MPLS VPN的企业网络设计企业网络体系结构包括：核心层、汇聚层、接入层。网络体系结构如图13所示。图13：企业纵向网络体系结构图核心层是承担所有数据业务告诉传输的至关重要部分，是承载汇聚层和最终流量的核心场所，故要求核心层的设备必须具备高可靠性，保证数据的快速稳定传输。核心设备尽量选择高端产品，例如:思科Nexus 5596UP或者华为NE80等产品。汇聚层的主要任务是对所有接入层的用户数据进行汇聚和集中，根据接入层的用户流量，进行地路由、过滤、流量均衡、QOS、安全管理机制等处理，并完成各种协议的转换，以保证核心层连接运行不同的协议的区域。故该层的设备选择也必须具有良好的性能，

42、可选择思科SR6600-X系列交换机或者华为S850X系列交换机设备。接入层的主要任务是承担用户的接入，要承担用户的安全性、可管理性等。可选择思科2960系列交换机或者华为S2300系列交换机。3.基于MPLS VPN的企业网络策略划分MPLS VPN是为企业用户在公网上实现逻辑的安全虚拟专网，实现了对企业各分支机构和各部门在纵向和横向上的网络连接，实现了网络的安全性与独立性。在建设基于MPLS VPN的企业网络中，主要以下面的VPN策略为主：（1）对于各大省会城市和大城市的同级分支机构都有相同的部门，实现同一级别的分支机构相同部门归属于一个VPN。例如：成都、昆明、武汉、上海等分支机构相同部

43、门：人力资源部、研发部门、行销管理部、客户服务部等，按横向结构，为每个部门划分一个VPN，而这些分机构的下属，如地级市或者代理商之类的用户相同部门归属于另一个VPN。（2）对于企业内部有不同的业务系统，为每一个业务系统都划分一个VPN。保证不同部门之间，不同业务系统之间实现网络的安全独立，同一业务系统能够实现上下级之间的信息互访。（3）对于不同的企业应用服务划分VPN，例如：视频语音会议划分一个VPN等，根据不同的应用业务，划分优先级，保障数据在骨干核心网络上的快速传输。4.基于MPLS VPN的企业网络实现根据上述的应用策略和需求，在企业网络上部署MPLS VPN既能满足同级分分支机构之间的

44、业务互访问，又能满足纵向相同部门之间的数据共享，在特殊应用服务上又能满足业务需求。MPLS VPN设计拓扑大致如图14所示。图14：MPLS VPN网络大致结构图上图大致模拟了MPLS VPN的建立，各分支结构通过CE接入ISP骨干网络，并通过MPLS VPN核心网络实现同级分支机构的不同部门在横向网络层逻辑上的安全隔离。将不同业务系统划分在不同的VPN中，实现纵向网络层利用相同业务系统的部门信息共享。最后将提供的特殊应用服务如：视频会议、VOIP等业务，各自划分到一个VPN中。实现所有分支机构的数据共享。5.基于MPLS VPN的企业网络部署 （1）安全策略 企业网络核心区域的设备作为CE设

45、备，CE路由器直连ISP骨干网络的边界PE，ISP骨干网络作为MPLS-VPN核心网络，由多台PE路由器和P路由器共同构成MPLS域。PE设备之间使用OSPF协议以及MP-IBGP协议，保证域内节点连通性和VPN路由信息以及标签的传递。各个分支机构也就是VPN站点，可采用动态路由RIPv2、OSPF、EBGP等，或采用静态路由均可。根据企业网络的实际情况，以及扩展性，本次设计采用EBGP配置。各VPN站点的划分在PE节点上实现。各个分支机构和业务系统可以作为VPN的一个站点。通过VRF、RD以及RT进行统一规划，体现各个分支机构的信息和业务系统信息，便于管理。每一个VRF可以单独属于一个VPN

46、站点，这样就实现了业务系统之间的安全隔离；或者同时属于多个VPN站点，这样就实现了数据信息的共享。如图15所示。图15:MPLS-VPN 站点业务互访结构示意图（2）VPN之间的访问控制RT（Route Target）：即路由目标，分为输入路由目标（Route-Target Import） 和输出路由目标（Route-Target Export）。在CE路由器也就是VPN-Site路由器，需将PE路由器与CE路由器相连接的端口划分到相应的VRF中，然后通过RT来控制相应的路由导入到对应的VPN路由表中，就可以实现不同的VPN站点之间的相互隔离。 但在不同的VPN之间，有一些业务系统，如：审计系

47、统、业务系统等需要与总部业务系统实现数据的共享与交换。类似于Extranet网络，需要实现VPN间的数据连通性，这就需要通过上述的输入RT和输出RT来实现。也可以通过路由过滤策略来实现对VPN路由条目的过滤。（3）VPN站点之间的管理前面详细阐述基于MPLS VPN设计的企业网络的可管理性优势，可以将CE路由器交由运营商实现管理，也可以自行管理。只需将各个站点的路由器接入到总部上，实现统一管理即可。6.基于MPLS VPN的企业网络流量工程MPLS流量工程（MPLS Traffic Engineering）是利用FEC在网络中建立一条或者多条标签交换路径LSP，将网络流量绕开高拥塞点的方法来实现流量均衡。当一个数据包到来的时候，它可以知道所有LSP，从而选择走那一条负载小的LSP。故它根据预先建立的LSP进行选择负载小的LSP，把拥塞链路上的网络流量转移到该LSP上来，从而达到网络流量的平衡。MPLS流量工程实施通常在一个自治系统区域内，例如：OSPF的AREA0、ISIS的Level2等。在企业网络建设中,MPLS流量工程主要用于提供企业网络的快