宁夏电力公司MPLS VPN应用与改进研究.docVIP

宁夏电力公司MPLS VPN应用与改进研究 　　摘 要:根据国家电网公司对电力企业双网隔离的要求，宁夏电力公司在全区部署了MPLS VPN，从而实现了INTERNET业务与办公业务的隔离，为SG-ERP等业务业务的安全高效开展打下坚实基础。并以此为基础构建了宁夏电力公司从网络设备层、系统层到应用层的系统安全和科学的安全管理体系。本文主要阐述原IP网络的改造以及MPLS VPN的具体部署应用以及安全问题的研究等方面的内容。 　　关键词:MPLS VPN 网络平台 业务隔离 安全策略 　　 　　1 引言 　　电力IP广域网作为宁夏电力公司各个运维、管理业务的承载网络，所有地区城域信息网上的业务基本以IP协议作为承载，因此地区广域网的建设将以IP技术为核心，具体涉及到了VLAN、网络服务质量（QoS）、网络路由收敛及自愈等的多项技术，来综合保障各个地市IP广域网络的高效、稳定、可靠的运行。再此基础上对各地局的原设备进行调???和部署MPLS VPN，全面实现宁夏电力公司的双网隔离规划。 　　 　　2 网络设计及透传节点的改进 　　在宁夏电力公司信息网中，有多种业务及应用，考虑到要使这些业务进行隔离保障安全，采用了VLAN/VPN技术。VPN技术包括普通的L2TP、GRE、IPSec，以及MPLS VPN等，从VPN技术的发展、VPN性能的支持、QOS能力等方面考虑，采用VLAN/MPLS VPN，这不仅能为当前的服务提供很好的安全隔离和QOS保障，而且符合技术发展的趋势。 　　（1）网络拓扑 　　作为一个大型的IP网络，合理划分网络层次结构是大型网络稳定、高效运行的保证。为减少网络各部分的相关性，便于网络的实施及管理。目前宁夏电力的网络结构依据通讯光网络构建，为网状架构，没有合理划分层次，以后应逐步升级改造。目前整个信息广域网大部分设备都支持MPLS VPN，但也有部分设备不支持。本文对部分原有不支持MPLS VPN的设备的透传技术进行升级研究。 　　（2）不支持MPLS的原有交换机在MPLS网络中的部署方案 　　图1中B点和F点为现有不支持MPLS的三层交换机，其余三层交换机均作为支持MPLS的P/PE设备。 　　（2.1）不支持MPLS的B点和F点MPLS部署技术原理 　　MPLS技术在OSI网络参考模型中，介于二层与三层之间，通常称为2.5层。在MPLS报文转发中，不需要处理三层的报文报头，只处理MPLS报头；反之，VPN业务数据流若需要三层路由转发，则必须把2.5层的MPLS报头解封装，显然组网中的B点和F点不具备这个功能－不支持MPLS。如果B点和F点针对VPN只运行二层VLAN协议的话，那么数据流转发只涉及到二层以太网帧头，不会去处理上层MPLS协议报头。 　　（2.2）MPLS VPN私网路由与公网路由关系 　　要构建一张MPLS VPN网络，它所依赖的基础就是IGP内部网关路由，即常规的路由，如：静态路由、OSPF等IGP路由。BGP边界网关路由协议通过引入IGP路由建立iBGP对等体邻居，并生成BGP路由。MPLS VPN私网路由信息是通过BGP路由扩展团体属性NLRI来携带的，NLRI增加了地址族的描述，以及私网label和RD，也就是说MPLS VPN是构建在BGP之上的。但是这时的BGP非常规使用的BGP，而是经过适应MPLS VPN网络改造的BGP，即MP-BGP。 　　（2.3）不支持MPLS的B点和F点MPLS原部署方式 　　B点和F点针对MPLS做二层VLAN透传，组网图图2： 　　B点和F点针对MPLS划分一个VLAN，并透传给两端的P/PE交换机，A和D、E和G通过此VLAN建立标签交换路径LSP和MPLS转发路径。B点和F点针对其上的办公用户单独划分一个VLAN，透传给直连的PE交换机，那么VPN用户的网关只能放在PE设备上，而不能放在本地。 　　目前这种运行方式优点是实现简单，B点和F点改动较小，只需要针对VPN用户和MPSL转发路径划分一个单独VLAN。但对于整个网络部署多个VPN业务，以及以后网络架构的调整（如调整自治系统等）带来不确定因素，难于升级。 　　（2.4）不支持MPLS的B点和F点的改进构想 　　F点做MPLS跨域VRF-to-VRF组网，组网图图3： 　　根据F点位置将整个网络分成两个自治区域，ABCDE点均属于自治域AS 100，GH点均属于自治域AS 200，F点针对VPN办公业务VPN透传VLAN。E和F点根据办公业务VPN创建相应VRF。 　　VRF-to-VRF方式就是相互把对方自治域的PE看成自己的CE。这种解决方案在跨域MPSL技术中是最简单的，没有在“AS内部的MPLS-VPN”上作任何扩展，完全应用已有技术实