探析MPLS VPN在通信企业DCN网络升级中的应用

结构。当一个VPN业务分组由CE路由器发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。 
　　2 骨干迁移的三个关键问题 
　　由于DCN网络建设时间比较久，网络结构比较复杂，如何从全部使用IP环境的DCN过渡到全部使用MPLS VPN环境的DCN成了此次网络升级改造的重点。网络改造期间，网络的平稳运行无论对于市场还是对于业务系统都是至关重要的，由于MPLS VPN技术是对全省DCN网络传输技术的彻底改变，如何在改变网络协议结构的同时让网络仍然健康地运行成为实现MPLS VPN改造的首要问题。 
　　过渡期间最应该考虑的关键三个问题是： 
　　1）在IP环境下，各域间路由的互通问题。实现方法是先将组成DCN的各个IP网络单元以地市为单位逐个改造为MPLS VPN 网络单元，然后逐个与省公司建立MP BGP邻居实现全网MPLS VPN化。 
　　2）受控互访的实现，即做到市公司在同一VPN区域内部互相之间不可见；市公司在同一VPN区域内部可以访问省公司；市公司访问处于不同VPN区域的省公司业务。方案设计中采用HUB-SPOKE方式和对PE、CE层面实施控制来实现。 
　　3）VPN划分与IP地址整理，DCN网络建设前期并未考虑各个应用系统的MPLS VPN划分，因此大多系统混杂在一起，或者接在同一台设备，或者干脆就在同一个网段中，同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类，地址混用、设备支持能力不足以及第二地址问题。 
　　3 DCN网络改造升级的设计 
　　DCN网络改造解决方案是融合MPLS、VPN和QOS技术的统一解决方案。方案采用MPLS作为承载数据传输的新协议，使用EIGRP作为主干IGP协议，MPLS VPN路由使用MP-IBGP以及路由反射器进行域内传送，省公司采用背对背VRF方式与集团对接。 
　　MPLS需要建立在IGP路由的基础上，IGP协议对MPLS的主要作用就是保证MPLS邻居之间的可达性和MBGP邻居之间的可达性，省骨干网使用的EIGRP协议，地市网络根据自己网络环境使用EIGRP或OSPF协议。所有协议在省网和市网之间重分发。整个网络IGP协议互通。根据整体方案，各PE-CE路由协议保持原OSPF动态路由协议，在PE设备将OSPF路由重分发至MP-BGP。
各业务VPN互访通过防火墙来实现。由于目前将DCN全网业务基本划分为MS、BS、OS和OTHER这四个大的系统，跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠VPN的方式，一方面增加了维护的复杂度，另一方面违背了建设MPLS VPN的根本目标，重新给各业务系统带来了安全隐患。采用防火墙和重叠VPN配合方式实现跨域互访，省公司不同域的终端和主机通过省公司防火墙实现跨域互访，地市公司终端或主机需要跨域访问省公司系统，通过地市防火墙连通到不同的域中，然后通过MPLS链路上连互访。通过在防火墙上配置严格的安全策略，对各VPN之间流量进行过滤，这样隔离的各MPLS VPN之间可以安全的进行数据通信，这样即解决了各业务系统之间的互通问题，也保证了各业务系统的安全。 
　　综合前面所述，主要采用防火墙和重叠VPN配合方式实现跨域互访，省公司不同域的终端和主机通过省公司防火墙实现跨域互访，地市公司终端或主机需要跨域访问省公司系统，通过地市防火墙连通到不同的域中，然后通过MPLS链路上连互访。 
　　将各业务VPN为HUB－SPOKE模式，即各地市业务系统仅可与省中心进行通信，相互之间不可见，不能进行相互访问。 
　　在省公司和地市公司核心路由器连接防火墙，将防火墙的不同端口接入到不同VPN域中。在防火墙上根据各VPN业务的访问需求作相应的访问控制，各VPN业务之间通过防火墙进行访问。 
　　4 MPLS VPN对DCN网络的重要意义 
　　由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DCN网络进行信息交互，而应用系统整合除