使用eigrp作为主干igp协议,mpls vpn路由使用mp-ibgp以及路由反射器进行域内传送,省公司采用背对背vrf方式与集团对接。
mpls需要建立在igp路由的基础上,igp协议对mpls的主要作用就是保证mpls邻居之间的可达性和mbgp邻居之间的可达性,省骨干网使用的eigrp协议,地市网络根据自己网络环境使用eigrp或ospf协议。所有协议在省网和市网之间重分发。整个网络igp协议互通。根据整体方案,各pe-ce路由协议保持原ospf动态路由协议,在pe设备将ospf路由重分发至mp-bgp。
各业务vpn互访通过防火墙来实现。由于目前将dcn全网业务基本划分为ms、bs、os和other这四个大的系统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠vpn的方式,一方面增加了维护的复杂度,另一方面违背了建设mpls vpn的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠vpn配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过mpls链路上连互访。通过在防火墙上配置严格的安全策略,对各vpn之间流量进行过滤,这样隔离的各mpls vpn之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。
综合前面所述,主要采用防火墙和重叠vpn配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过mpls链路上连互访。
将各业务vpn为hub-spoke模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。
在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同vpn域中。在防火墙上根据各vpn业务的访问需求作相应的访问控制,各vpn业务之间通过防火墙进行访问。
4 mpls vpn对dcn企业数据中心,mpls升级的重要意义体现在:
1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。
2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要dcn网络进行安全隔离的同时,支持系统间受控互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。
3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,vpn颗粒将趋向细化,vpn拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及vpn支持能力是网络规划建设中必需着重考虑的问题。
4)可靠性要求:dcn网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对dcn网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。
5)服务质量要求:dcn网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。
在保证dcn网络安全运行的前提下,有步骤、分阶段实施mpls改造,并按照规划设计应用rt策略实现各系统互访受控与隔离。目前,改造后的dcn网络运行状况良好。
在实现mpls vpn后,受控互访则变得相对轻松,仅仅需要在各个mpls vpn路由环境之间的数据通道上部署防火墙即可对各vpn间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用mpls vpn隔离各类业务系统,骨干以现有dcn骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的vpn业务接入机制。
5 结束语
mpls vpn网络改造的实现,极大的提高的dcn网络的安全性,为前台营业、办公oa、运维网络监控等各项不同的业务网络应用提供可靠地保证。
参考文献:
[1] 范亚芹,张丽翠,宋维刚.可提供mpls vpn网络安全性保障的解决方案[j].吉林大学学报:信息科学版,2005(03).
[2] 陈东胜.电信dcn/oa网上mpls vpn应用探讨[j].广东通信技术,2002(07).
[3] 胡毅.虚拟数据专网(mpls-vpn)技术及其在企业通信信息一体化建设中的应用[a].黑龙江省通信学会学术年会论文集[c],2005
上一页 [1] [2]