活生生的例子最能說明問題。這一部分,我們一起來了解MPLS VPN實際的應用,將目前幾種主流的企業組網方式做一下比較,看一看,MPLS VPN到底為我們帶來了什么。
案例1:電子政務與MPLS VPN
電子政務網中,不同的政府機關(如行政部門、財稅部門、機要部門等)有著不同的業務系統,各業務系統之間的數據流量多數是要求相互隔離的,但是同時各業務系統之間可能存在著互訪的需求。在此,就可以采用MPLS VPN技術實現不同業務系統之間的隔離,對于不同業務系統之間的互訪要求,通過Extranet實現,使用route target嚴格控制不同VPN之間的互訪。
政務信息網絡的結構、功能和運作必須符合省政府的組織形式、工作職能和工作方式。省政務信息網絡應該是一個高速寬帶網絡平臺,以適應多媒體信息等不同應用的需要;安全保密是政府信息化建設的核心,無論是思想上還是技術上都要樹立起安全屏障;適應政府機關辦公業務和輔助領導科學決策的需要;借鑒國內外大型網絡建設先進經驗,確保網絡具有良好的前瞻性和持續發展性。——黑龍江省電子政務網絡建設整體思路
黑龍江省立體化政務信息網絡模型
黑龍江省政務信息網絡需要為全省67個廳局建立省、地(市)、縣三級縱向網絡,滿足各種省直單位內部聯網需要,同時為省、13個地(市)、66個縣三級政府部門建立橫向網絡,滿足各政府部門間資源共享的需要,其邏輯結構是一個復雜的“格”狀的立體架構。
對于每個獨立的政府部門節點來說,它既有橫向部門間的信息交互,也有縱向聯網的信息交互。政府及各直屬單位應用系統之間既具有相對的獨立性,同時又存在很強的關聯性??v向看,每個政府部門內部的用戶均能訪問縱向網絡的相應資源; 橫向看,各級政府單位只有部分授權用戶能夠訪問橫向網絡資源。
面對黑龍江省政務信息網絡縱橫交錯的立體結構、錯綜復雜的訪問關系、種類繁多的業務應用(包括視頻會議、IP語音、辦公自動化、數據庫查詢等),如何建立一個專用、公共的網絡平臺,統一實現縱向網及橫向網的信息交互,達到每個政府部門只需建設一個局域網絡,通過一條通信線路,就可以實現縱向及橫向全部通信的需要呢?
目前大多數政府部門和企業的網絡都是建立在幀中繼或ATM網絡基礎上,通過虛電路(VC)連接各個網絡節點,一般采用星形(Hub and Spoke)、樹形或半網狀拓撲結構。黑龍江政務信息網絡的立體交叉拓撲網絡,如果想在這種模式中實現最佳路由,any-to-any網狀結構,就意味著整個網絡需要n×(n-1)/2(n為政府單位的數量)條VC。而VC數量的驟增,必將進一步增加網絡和路由的復雜性,這種復雜性使得對網絡節點的任何變動都會給政府和運營商造成極大的痛苦。
同時,正確地設置VC需要了解端到端的業務信息,這使得流量工程也變得更加困難。就是說,這種模式不具備適應黑龍江政務信息系統大型拓撲結構的良好擴展性和靈活機動性。
思科MPLS VPN打造立體化政務信息網絡
思科MPLS VPN技術在單一的基礎網絡設施之上,為67個廳局和橫向政務網絡構造68個VPN。在省、13個地市、66個縣分別配置一臺路由器(PE設備),構成MPLS網絡骨干。每個單位配置一臺路由器(CE設備),通過以太城域網匯接到本地MPLS網絡骨干節點(PE設備)。
MPLS VPN非常好地滿足了黑龍江省政府信息網絡對靈活機動性以及any-to-any連接等的廣泛需求。
安全性
尋址空間分離: MPLS核心采用“VPN IPv4地址”路由,通過在IPv4路由上添加一個路由分辨符(RD),確保在VPN中獨一無二的地址在MPLS核心中同樣是獨一無二的。因此,每個政府部門的縱網具有保持自己的尋址方案的靈活性和使用公共或專用地址空間的自由。
路由分離: PE路由器為每一個VPN保持一個分離的路由表(VRF)。這些VRF不僅彼此獨立,而且與全局路由表獨立。即使有兩個政府部門的縱向網絡使用相同的地址空間,彼此之間也是完全隔離的。
核心隱藏: 在MPLS內部連接到VPN的接口是BGP,沒有必要透露關于核心的任何信息給用戶,即使是對每個政府單位的CE路由器。如果在PE和CE之間使用動態路由協議,CE惟一知道的信息是PE路由器的地址,如果不需要此信息,可以在PE和CE之間配置靜態路由,徹底隱藏MPLS核心。
綜上所述,從一個VPN不可能入侵另一個VPN或者核心,這使得MPLS VPN具有等同甚至超過幀中繼或ATM網絡的安全性。
QoS
由于政務信息網絡業務應用、數據性質的豐富多樣,網絡數據流量突發是不可避免的,網絡必須擁有良好的擁塞控制能力和對不同性質數據流的處理能力,為各級領導和政府部門提供高品質的服務。
Cisco IOS增強的QoS功能,為設備提供了按優先級處理業務的智能。在黑龍江政務信息網絡中,所有的設備均采用Cisco統一的IOS操作系統,因此QoS已經不僅僅是一種簡單的設備特征,而是整個網絡端到端體系結構——網絡管理人員能夠完全控制網絡帶寬分配、延遲、抖動和數據包丟棄等。
MPLS核心通過為相應的服務級別專門分配一組標簽,顯著地減低了QoS的處理工作量,使網絡獲得更佳的性能。提高效率而不會丟失功能。
此外,Cisco MPLS還提供了一套先進的流量管理機制——資源預留路由選擇(RRR),管理人員能夠顯式地配置路由,沿特定的路徑發送選擇的業務,進行擁塞控制和負載均衡。
案例2:銀行業的MPLS VPN
隨著中國金融系統網絡大集中的逐步實施,網絡業務橫向集中、網絡架構縱向集中的趨勢日益凸顯,如何在統一的網絡平臺上高效、安全、經濟地實現新一代金融網絡的需求,已經成為金融用戶、網絡方案供應商、網絡設備供應商面臨的共同問題。
隨著內部業務,諸如視頻會議、視頻監控等高帶寬業務的逐步開展,傳統的DDN、FR等窄帶傳輸方式,由于其連接速率較低且線路租用費用較高,已不能滿足中國農業銀行浙江省分行營業部的應用及發展需求。同時,營業部也希望能通過先進的信息管理系統,對整個杭州地區所有轄區實現計算機管理,從而實現對各種生產信息及OA信息的管理和資源的共享。新的網絡要具備足夠的速度、可靠性、安全性,以及不能影響現有網絡結構和設備配置,擁有良好的技術支持與服務。——中國農業銀行浙江省分行組網思路
MPLS VPN組網方式
基于浙江省農行現有網絡狀況及應用需求,網通有限公司杭州分公司(以下簡稱杭州網通)建議中國農業銀行浙江省分行營業部與下屬各區縣支行構建MPLS VPN。其中VPN各接入點可根據實際應用需求分別選用10M或100M的光纖接入,分別連接當地的PE路由器,從而實現中國農業銀行浙江省分行營業部整個地區各分支機構之間的VPN組網。
連接設備及連接方式
采用MPLS VPN技術,中國農業銀行浙江省分行營業部可以自由選擇接入設備,惟一的要求是設備必須具有2個以太網接口,速率可以是10M或100M,需要配備1對光纖收發器。設備可以為單機、路由器、第三層交換機或第二層交換機,甚至是一臺HUB。
QoS與CoS
采用各種技術保證用戶的服務質量(QoS)和服務級別(CoS),這些技術包括SVP(資源預留協議)、 Precedence(IP優先級)、CAR(約定訪問速率允許在網絡邊緣指定QoS策略)、GTS(基本流量整形通過減少帶外流量對通信量進行整形以避免擁塞)、WRED(WFED用來避免擁塞)、WFQ(一種基于流的排隊算法,根據包的不同級別對其調整排隊策略)等。
服務擴展
隨著技術的發展,將為其提供更高級別的QoS,如采用差別服務(DiffServ)和流量工程等技術,實現更多的優先級和對流量更好的管理,逐漸提供更強的管理功能。
設備選型
如果考慮控制因素,可以選擇用路由器組網;如果考慮性能,可以選擇用交換機組網,當然第三層交換機的設備價格也比較高; 如果考慮到局部網點的性能和全網的投資成本,可以選擇混合方式,即省行網點選用高性能的第三層交換機(或高端路由器如Cisco 7507等),各區縣支行網點選用路由器,基層網點選用SwitchHub。
基于MPLS VPN的網絡應用
IP電話系統
構建了MPLS VPN專網后,將很容易地實現數據和語音的融合,即在VPN專網上新增一些語音轉換設備,就可以建立整個專網的IP電話系統。通過在CE和PBX(程控交換機)之間增加一臺數據和語音轉換器,就可以簡單地實現通過內部電話的互相撥打。
會議電視系統
農業銀行在構建了覆蓋全系統的內部VPN專網后,也可方便地建設全網范圍內的會議電視系統。會議電視通過通信網絡把兩個或多個地點的多媒體會議終端連接起來,在其間傳送各種圖像、話音和數據信號。除了用于多點多媒體會議之外,會議電視系統還應用于遠程教育、遠程醫療等需要傳送實時音頻、視頻和數據的業務。
背景資料
從2000年6月開始,杭州網通就開始在杭州市范圍內構建覆蓋杭州全市的骨干環網建設,采用國際流行的IP技術建立寬帶網絡,拋棄了傳統的電路技術所帶來的網絡單一、業務無法集中、低帶寬、擴充性差、不利于開展多媒體服務等弊端,不僅可以為用戶提供網絡互聯服務,還可以提供基于IP的各種增值業務,滿足用戶對網絡互聯和Internet訪問的雙重需求。
從2001年5月開始,杭州網通以MPLS VPN的形式為杭州的大客戶和商業用戶提供IP 聯網服務。經過一年多的發展,已成功地在杭州市和二區五縣提供了MPLS VPN的服務,共發展了67個MPLS VPN,用戶接入點1445個,網絡運行情況和對業務支持情況良好。
接入MPLS VPN的部門包括杭州市公安局(192節點)、建設銀行(82節點)、醫保(185 )。
