活生生的例子最能說明問題。這一部分,我們一起來了解MPLS VPN實(shí)際的應(yīng)用,將目前幾種主流的企業(yè)組網(wǎng)方式做一下比較,看一看,MPLS VPN到底為我們帶來了什么。
案例1:電子政務(wù)與MPLS VPN
電子政務(wù)網(wǎng)中,不同的政府機(jī)關(guān)(如行政部門、財(cái)稅部門、機(jī)要部門等)有著不同的業(yè)務(wù)系統(tǒng),各業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)流量多數(shù)是要求相互隔離的,但是同時(shí)各業(yè)務(wù)系統(tǒng)之間可能存在著互訪的需求。在此,就可以采用MPLS VPN技術(shù)實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)之間的隔離,對(duì)于不同業(yè)務(wù)系統(tǒng)之間的互訪要求,通過Extranet實(shí)現(xiàn),使用route target嚴(yán)格控制不同VPN之間的互訪。
政務(wù)信息網(wǎng)絡(luò)的結(jié)構(gòu)、功能和運(yùn)作必須符合省政府的組織形式、工作職能和工作方式。省政務(wù)信息網(wǎng)絡(luò)應(yīng)該是一個(gè)高速寬帶網(wǎng)絡(luò)平臺(tái),以適應(yīng)多媒體信息等不同應(yīng)用的需要;安全保密是政府信息化建設(shè)的核心,無論是思想上還是技術(shù)上都要樹立起安全屏障;適應(yīng)政府機(jī)關(guān)辦公業(yè)務(wù)和輔助領(lǐng)導(dǎo)科學(xué)決策的需要;借鑒國(guó)內(nèi)外大型網(wǎng)絡(luò)建設(shè)先進(jìn)經(jīng)驗(yàn),確保網(wǎng)絡(luò)具有良好的前瞻性和持續(xù)發(fā)展性。——黑龍江省電子政務(wù)網(wǎng)絡(luò)建設(shè)整體思路
黑龍江省立體化政務(wù)信息網(wǎng)絡(luò)模型
黑龍江省政務(wù)信息網(wǎng)絡(luò)需要為全省67個(gè)廳局建立省、地(市)、縣三級(jí)縱向網(wǎng)絡(luò),滿足各種省直單位內(nèi)部聯(lián)網(wǎng)需要,同時(shí)為省、13個(gè)地(市)、66個(gè)縣三級(jí)政府部門建立橫向網(wǎng)絡(luò),滿足各政府部門間資源共享的需要,其邏輯結(jié)構(gòu)是一個(gè)復(fù)雜的“格”狀的立體架構(gòu)。
對(duì)于每個(gè)獨(dú)立的政府部門節(jié)點(diǎn)來說,它既有橫向部門間的信息交互,也有縱向聯(lián)網(wǎng)的信息交互。政府及各直屬單位應(yīng)用系統(tǒng)之間既具有相對(duì)的獨(dú)立性,同時(shí)又存在很強(qiáng)的關(guān)聯(lián)性。縱向看,每個(gè)政府部門內(nèi)部的用戶均能訪問縱向網(wǎng)絡(luò)的相應(yīng)資源; 橫向看,各級(jí)政府單位只有部分授權(quán)用戶能夠訪問橫向網(wǎng)絡(luò)資源。
面對(duì)黑龍江省政務(wù)信息網(wǎng)絡(luò)縱橫交錯(cuò)的立體結(jié)構(gòu)、錯(cuò)綜復(fù)雜的訪問關(guān)系、種類繁多的業(yè)務(wù)應(yīng)用(包括視頻會(huì)議、IP語音、辦公自動(dòng)化、數(shù)據(jù)庫(kù)查詢等),如何建立一個(gè)專用、公共的網(wǎng)絡(luò)平臺(tái),統(tǒng)一實(shí)現(xiàn)縱向網(wǎng)及橫向網(wǎng)的信息交互,達(dá)到每個(gè)政府部門只需建設(shè)一個(gè)局域網(wǎng)絡(luò),通過一條通信線路,就可以實(shí)現(xiàn)縱向及橫向全部通信的需要呢?
目前大多數(shù)政府部門和企業(yè)的網(wǎng)絡(luò)都是建立在幀中繼或ATM網(wǎng)絡(luò)基礎(chǔ)上,通過虛電路(VC)連接各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn),一般采用星形(Hub and Spoke)、樹形或半網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。黑龍江政務(wù)信息網(wǎng)絡(luò)的立體交叉拓?fù)渚W(wǎng)絡(luò),如果想在這種模式中實(shí)現(xiàn)最佳路由,any-to-any網(wǎng)狀結(jié)構(gòu),就意味著整個(gè)網(wǎng)絡(luò)需要n×(n-1)/2(n為政府單位的數(shù)量)條VC。而VC數(shù)量的驟增,必將進(jìn)一步增加網(wǎng)絡(luò)和路由的復(fù)雜性,這種復(fù)雜性使得對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的任何變動(dòng)都會(huì)給政府和運(yùn)營(yíng)商造成極大的痛苦。
同時(shí),正確地設(shè)置VC需要了解端到端的業(yè)務(wù)信息,這使得流量工程也變得更加困難。就是說,這種模式不具備適應(yīng)黑龍江政務(wù)信息系統(tǒng)大型拓?fù)浣Y(jié)構(gòu)的良好擴(kuò)展性和靈活機(jī)動(dòng)性。
思科MPLS VPN打造立體化政務(wù)信息網(wǎng)絡(luò)
思科MPLS VPN技術(shù)在單一的基礎(chǔ)網(wǎng)絡(luò)設(shè)施之上,為67個(gè)廳局和橫向政務(wù)網(wǎng)絡(luò)構(gòu)造68個(gè)VPN。在省、13個(gè)地市、66個(gè)縣分別配置一臺(tái)路由器(PE設(shè)備),構(gòu)成MPLS網(wǎng)絡(luò)骨干。每個(gè)單位配置一臺(tái)路由器(CE設(shè)備),通過以太城域網(wǎng)匯接到本地MPLS網(wǎng)絡(luò)骨干節(jié)點(diǎn)(PE設(shè)備)。
MPLS VPN非常好地滿足了黑龍江省政府信息網(wǎng)絡(luò)對(duì)靈活機(jī)動(dòng)性以及any-to-any連接等的廣泛需求。
安全性
尋址空間分離: MPLS核心采用“VPN IPv4地址”路由,通過在IPv4路由上添加一個(gè)路由分辨符(RD),確保在VPN中獨(dú)一無二的地址在MPLS核心中同樣是獨(dú)一無二的。因此,每個(gè)政府部門的縱網(wǎng)具有保持自己的尋址方案的靈活性和使用公共或?qū)S玫刂房臻g的自由。
路由分離: PE路由器為每一個(gè)VPN保持一個(gè)分離的路由表(VRF)。這些VRF不僅彼此獨(dú)立,而且與全局路由表獨(dú)立。即使有兩個(gè)政府部門的縱向網(wǎng)絡(luò)使用相同的地址空間,彼此之間也是完全隔離的。
核心隱藏: 在MPLS內(nèi)部連接到VPN的接口是BGP,沒有必要透露關(guān)于核心的任何信息給用戶,即使是對(duì)每個(gè)政府單位的CE路由器。如果在PE和CE之間使用動(dòng)態(tài)路由協(xié)議,CE惟一知道的信息是PE路由器的地址,如果不需要此信息,可以在PE和CE之間配置靜態(tài)路由,徹底隱藏MPLS核心。
綜上所述,從一個(gè)VPN不可能入侵另一個(gè)VPN或者核心,這使得MPLS VPN具有等同甚至超過幀中繼或ATM網(wǎng)絡(luò)的安全性。
QoS
由于政務(wù)信息網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用、數(shù)據(jù)性質(zhì)的豐富多樣,網(wǎng)絡(luò)數(shù)據(jù)流量突發(fā)是不可避免的,網(wǎng)絡(luò)必須擁有良好的擁塞控制能力和對(duì)不同性質(zhì)數(shù)據(jù)流的處理能力,為各級(jí)領(lǐng)導(dǎo)和政府部門提供高品質(zhì)的服務(wù)。
Cisco IOS增強(qiáng)的QoS功能,為設(shè)備提供了按優(yōu)先級(jí)處理業(yè)務(wù)的智能。在黑龍江政務(wù)信息網(wǎng)絡(luò)中,所有的設(shè)備均采用Cisco統(tǒng)一的IOS操作系統(tǒng),因此QoS已經(jīng)不僅僅是一種簡(jiǎn)單的設(shè)備特征,而是整個(gè)網(wǎng)絡(luò)端到端體系結(jié)構(gòu)——網(wǎng)絡(luò)管理人員能夠完全控制網(wǎng)絡(luò)帶寬分配、延遲、抖動(dòng)和數(shù)據(jù)包丟棄等。
MPLS核心通過為相應(yīng)的服務(wù)級(jí)別專門分配一組標(biāo)簽,顯著地減低了QoS的處理工作量,使網(wǎng)絡(luò)獲得更佳的性能。提高效率而不會(huì)丟失功能。
此外,Cisco MPLS還提供了一套先進(jìn)的流量管理機(jī)制——資源預(yù)留路由選擇(RRR),管理人員能夠顯式地配置路由,沿特定的路徑發(fā)送選擇的業(yè)務(wù),進(jìn)行擁塞控制和負(fù)載均衡。
案例2:銀行業(yè)的MPLS VPN
隨著中國(guó)金融系統(tǒng)網(wǎng)絡(luò)大集中的逐步實(shí)施,網(wǎng)絡(luò)業(yè)務(wù)橫向集中、網(wǎng)絡(luò)架構(gòu)縱向集中的趨勢(shì)日益凸顯,如何在統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上高效、安全、經(jīng)濟(jì)地實(shí)現(xiàn)新一代金融網(wǎng)絡(luò)的需求,已經(jīng)成為金融用戶、網(wǎng)絡(luò)方案供應(yīng)商、網(wǎng)絡(luò)設(shè)備供應(yīng)商面臨的共同問題。
隨著內(nèi)部業(yè)務(wù),諸如視頻會(huì)議、視頻監(jiān)控等高帶寬業(yè)務(wù)的逐步開展,傳統(tǒng)的DDN、FR等窄帶傳輸方式,由于其連接速率較低且線路租用費(fèi)用較高,已不能滿足中國(guó)農(nóng)業(yè)銀行浙江省分行營(yíng)業(yè)部的應(yīng)用及發(fā)展需求。同時(shí),營(yíng)業(yè)部也希望能通過先進(jìn)的信息管理系統(tǒng),對(duì)整個(gè)杭州地區(qū)所有轄區(qū)實(shí)現(xiàn)計(jì)算機(jī)管理,從而實(shí)現(xiàn)對(duì)各種生產(chǎn)信息及OA信息的管理和資源的共享。新的網(wǎng)絡(luò)要具備足夠的速度、可靠性、安全性,以及不能影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,擁有良好的技術(shù)支持與服務(wù)。——中國(guó)農(nóng)業(yè)銀行浙江省分行組網(wǎng)思路
MPLS VPN組網(wǎng)方式
基于浙江省農(nóng)行現(xiàn)有網(wǎng)絡(luò)狀況及應(yīng)用需求,網(wǎng)通有限公司杭州分公司(以下簡(jiǎn)稱杭州網(wǎng)通)建議中國(guó)農(nóng)業(yè)銀行浙江省分行營(yíng)業(yè)部與下屬各區(qū)縣支行構(gòu)建MPLS VPN。其中VPN各接入點(diǎn)可根據(jù)實(shí)際應(yīng)用需求分別選用10M或100M的光纖接入,分別連接當(dāng)?shù)氐腜E路由器,從而實(shí)現(xiàn)中國(guó)農(nóng)業(yè)銀行浙江省分行營(yíng)業(yè)部整個(gè)地區(qū)各分支機(jī)構(gòu)之間的VPN組網(wǎng)。
連接設(shè)備及連接方式
采用MPLS VPN技術(shù),中國(guó)農(nóng)業(yè)銀行浙江省分行營(yíng)業(yè)部可以自由選擇接入設(shè)備,惟一的要求是設(shè)備必須具有2個(gè)以太網(wǎng)接口,速率可以是10M或100M,需要配備1對(duì)光纖收發(fā)器。設(shè)備可以為單機(jī)、路由器、第三層交換機(jī)或第二層交換機(jī),甚至是一臺(tái)HUB。
QoS與CoS
采用各種技術(shù)保證用戶的服務(wù)質(zhì)量(QoS)和服務(wù)級(jí)別(CoS),這些技術(shù)包括SVP(資源預(yù)留協(xié)議)、 Precedence(IP優(yōu)先級(jí))、CAR(約定訪問速率允許在網(wǎng)絡(luò)邊緣指定QoS策略)、GTS(基本流量整形通過減少帶外流量對(duì)通信量進(jìn)行整形以避免擁塞)、WRED(WFED用來避免擁塞)、WFQ(一種基于流的排隊(duì)算法,根據(jù)包的不同級(jí)別對(duì)其調(diào)整排隊(duì)策略)等。
服務(wù)擴(kuò)展
隨著技術(shù)的發(fā)展,將為其提供更高級(jí)別的QoS,如采用差別服務(wù)(DiffServ)和流量工程等技術(shù),實(shí)現(xiàn)更多的優(yōu)先級(jí)和對(duì)流量更好的管理,逐漸提供更強(qiáng)的管理功能。
設(shè)備選型
如果考慮控制因素,可以選擇用路由器組網(wǎng);如果考慮性能,可以選擇用交換機(jī)組網(wǎng),當(dāng)然第三層交換機(jī)的設(shè)備價(jià)格也比較高; 如果考慮到局部網(wǎng)點(diǎn)的性能和全網(wǎng)的投資成本,可以選擇混合方式,即省行網(wǎng)點(diǎn)選用高性能的第三層交換機(jī)(或高端路由器如Cisco 7507等),各區(qū)縣支行網(wǎng)點(diǎn)選用路由器,基層網(wǎng)點(diǎn)選用SwitchHub。
基于MPLS VPN的網(wǎng)絡(luò)應(yīng)用
IP電話系統(tǒng)
構(gòu)建了MPLS VPN專網(wǎng)后,將很容易地實(shí)現(xiàn)數(shù)據(jù)和語音的融合,即在VPN專網(wǎng)上新增一些語音轉(zhuǎn)換設(shè)備,就可以建立整個(gè)專網(wǎng)的IP電話系統(tǒng)。通過在CE和PBX(程控交換機(jī))之間增加一臺(tái)數(shù)據(jù)和語音轉(zhuǎn)換器,就可以簡(jiǎn)單地實(shí)現(xiàn)通過內(nèi)部電話的互相撥打。
會(huì)議電視系統(tǒng)
農(nóng)業(yè)銀行在構(gòu)建了覆蓋全系統(tǒng)的內(nèi)部VPN專網(wǎng)后,也可方便地建設(shè)全網(wǎng)范圍內(nèi)的會(huì)議電視系統(tǒng)。會(huì)議電視通過通信網(wǎng)絡(luò)把兩個(gè)或多個(gè)地點(diǎn)的多媒體會(huì)議終端連接起來,在其間傳送各種圖像、話音和數(shù)據(jù)信號(hào)。除了用于多點(diǎn)多媒體會(huì)議之外,會(huì)議電視系統(tǒng)還應(yīng)用于遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療等需要傳送實(shí)時(shí)音頻、視頻和數(shù)據(jù)的業(yè)務(wù)。
背景資料
從2000年6月開始,杭州網(wǎng)通就開始在杭州市范圍內(nèi)構(gòu)建覆蓋杭州全市的骨干環(huán)網(wǎng)建設(shè),采用國(guó)際流行的IP技術(shù)建立寬帶網(wǎng)絡(luò),拋棄了傳統(tǒng)的電路技術(shù)所帶來的網(wǎng)絡(luò)單一、業(yè)務(wù)無法集中、低帶寬、擴(kuò)充性差、不利于開展多媒體服務(wù)等弊端,不僅可以為用戶提供網(wǎng)絡(luò)互聯(lián)服務(wù),還可以提供基于IP的各種增值業(yè)務(wù),滿足用戶對(duì)網(wǎng)絡(luò)互聯(lián)和Internet訪問的雙重需求。
從2001年5月開始,杭州網(wǎng)通以MPLS VPN的形式為杭州的大客戶和商業(yè)用戶提供IP 聯(lián)網(wǎng)服務(wù)。經(jīng)過一年多的發(fā)展,已成功地在杭州市和二區(qū)五縣提供了MPLS VPN的服務(wù),共發(fā)展了67個(gè)MPLS VPN,用戶接入點(diǎn)1445個(gè),網(wǎng)絡(luò)運(yùn)行情況和對(duì)業(yè)務(wù)支持情況良好。
接入MPLS VPN的部門包括杭州市公安局(192節(jié)點(diǎn))、建設(shè)銀行(82節(jié)點(diǎn))、醫(yī)保(185 )。
