论文部分内容阅读
【摘 要】本文通过对MPLS VPN技术的介绍,通过现状分析,阐述了在企业内部网络如何应用MPLS VPN技术实现用户对信息传输安全性、稳定性的需求。
【关键词】虚拟专用网络 多协议标记交换 安全性 稳定性灵活性
一、前言
随着企业规模的不断扩展,企业内部间信息传输的安全性,可靠性以及信息传输稳定性变得越来越重要,各企业也越来越重视企业内部间的网络互连。因此,建设安全、可靠、稳定、低成本的企业网络成为企业的基础课题。
然而,随着IP-VPN技术迅速发展,使得IP-VPN技术也广泛应用于企业网络建设当中。而MPLSVPN是一种基于MPLS技术的IP-VPN,其能有效解决企业网络组建中遇到的跨越公用网和跨越自治系统的需求,并且解决企业对于语音和视频的通信需求。同时MPLS VPN还保证了网络传输的安全性、实时性、稳定性。这为现代异地办公、移动办公数据安全性、可靠性及实现企业互连,提供了一种新的途径和解决方案。
二、MPLS VPN技术在本企业的应用
近年来,随着企业国际化进程的稳步推进,信息化已成为保障企业持续发展的重要手段之一。企业需要在提高企业网络的转发速率和灵活性的同时,又能确保企业信息化的安全性与稳定性,以及在降低投入到一个合理范围的同时,满足企业信息化发展的需求。
(一)本企业现状
本企业的网络是星形网络架构,通过总公司的广域网与各基地相互连通的;新疆和新加坡是直接通过本企业建立的专线接入到燕郊核心交换机上,印尼分公司和墨西哥分公司是通过IPSEC VPN方式接入本企业燕郊内网。本企业的数据中心建在燕郊,各基地和海外子公司都需要访问数据中心的相关数据,因此网络流量都会集中在燕郊,从网络架构上说,本企业的星型结构中心点应该是燕郊地区,而不是作为总公司的中心节点的北京地区,因此现有的网络架构存在着如下的问题,核心网络节点资源分配不足,部分网络上联网络资源不足,局部网络在特定时间段存在网络瓶颈,网络传输速率不足。
本企业的内部网络通过总公司的广域网与各分站基地互联通信的,同时,本企业的内部网络与总公司及其二级公司网络也都是互通的,相互之间没有充足的隔离手段,因此在数据传输的安全性上存在较大隐患。同时,由于本企业的网络结构扁平,生产网和测试网没有进行分离,由于测试系统的稳定性与安全性都比较低,两网在一起也存在着一定的安全隐患。
本企业燕郊、湛江、上海、深圳地区的核心网络过于扁平化,如遇到网络环路,就会造成整个网络的瘫痪,严重影响用户的日常办公和各生产系统的正常运行。随着应用系统的增多,重要系统的网络带宽保障需求日益突出,然而现有网络架构与设备无法在燕郊与各地做特殊应用优先保障策略,导致有的重要系统同步数据或上传数据无法保障网络传输平稳正常。
随着本企业信息化建设需求不断增多,应用系统的运维模式向集中管理发展,企业网络传输的稳定性、安全性和转发速率时刻影响着各地用户。至此,网络架构不合理、转发速率不足、稳定性不够、以及安全性不高已严重制约了企业信息化的发展。
(二)MPLS VPN在油服的应用
1.设计方案
为满足本企业的多网分离,专网专用,办公与生产、测试相互隔离的需求,同时一定程度上解决网络速度慢、稳定性差、安全性低、网络活动性和扩展性不灵活、QOS无法制定、旧网络无法升级等问题,充分利用MPLS VPN技术的优势,项目组制定了本企业独特的两横两纵VPN设计架构。
本企业的MPLS VPN逻辑上分为两横两纵,两个横向VPN分别为应用共享VPN和测试共享VPN;两个纵向VPN分别为办公纵向VPN和科研纵向VPN。应用共享VPN里规划为本企业现运行的各应用系统;测试共享VPN为未正式上线的应用系统;办公纵向VPN为各基地、机关的普通用户地址段;科研纵向VPN为各事业部要求网络环境安全性比较高的用户地址段。
2.实施过程
根据本企业各地理片区不同的网络设备以及网络拓扑结构的不同情况,结合整体考量,MPLS VPN網络改造从以下几个步骤进行的,首先,更换全网IP地址;其次,更换全网不满足的核心设备和楼层设备;再次,增加全网网络端口和光纤上链线路;最后,进行MPLS VPN配置和迁移。根据前期的规划,通过近两年的实施,燕郊、湛江、塘沽、深圳和上海各地分站都划分为边缘区域,部署MCE设备,在MCE上分别建有本企业的两横两纵VPN,只有新疆地区由于片区小,人数少,网络结构单一,所以配置为CE。本企业MPLS VPN项目完成后的网络架构如下图所示。
图MPLS 网络拓扑图
3.使用效果
自MPLS VPN项目改造以来,实施完成后的益处总结为以下几点。
(1)提高本企业网络的安全性
在实施MPLS VPN项目以前,集团公司旗下任何一家二级单位都可以访问本企业的各应用系统、网络设备和计算机,一旦有一个单位网络出现病毒,那么这些网络病毒可以快速在广域网中传播;同时一旦该单位的网络受到外部攻击或者黑客进入,很容易会攻击到本企业的应用系统及个人办公电脑,在信息化安全不断提高与强调的今天,这种网络环境已经不能满足整个集团以及本企业信息化发展的需要。在实施了MPLS VPN项目后,整个网络环境从三方面体现了出了高安全性。不同VPN之间地址空间与路由信息的分离;骨干网络拓扑对VPN用户的隐藏;提高了网络抵御恶意攻击(如拒绝服务攻击(DOS))以及网络入侵的能力。
(2)提升各地局域网的网络稳定性
MPLS VPN实施后,优化了各片区的网络接入方式,湛江、燕郊、塘沽各地接入网络都改成了双上联的不同路由区域,燕郊的同地区不同片区之间网络接入也改成了不同的路由区域,提高了网络的稳定性。同时,同片区下不同VPN下的机器不再受到环路后的泛洪影响。根据PING值测试,MPLS VPN实施前各地存在着每10000个PING包会丢失50到150个包,实施MPLS VPN后测试PING 10000个包丢率为0%,网络的稳定性达到了最佳值。
(3)优化网络基础架构
在实施MPLS VPN后,更换了燕郊、湛江、上海、深圳核心设备,提高了更换的各基地的数据转换和处理能力,同时调整了网络架构,从本企业的网络架构看,现已调整为以燕郊为中心的星型双链路架构;更改了燕郊、湛江、塘沽、湛江、上海和深圳的接入方式,大多实现双上联冗余接入网络,并且根据各基地的现有情况,调整核心交换机配置,使接入层交换机与核心交换机的选路达到最优方式。
三、结束语
MPLS VPN网络的实施仅只是企业对MPLS VPN技术研究与应用的一个起点,相信随着MPLS VPN技术的不断发展和使用的深化,MPLS VPN技术的各种优势将逐步被应用到我们的生产工作中去,并在我们的生产工作中发挥更加巨大的作用。
参考文献:
[1] 赵雪石;MPLS VPN的优势及实施中应注意的问题[J];湖北邮电技术;2004年05期.
[2] 胡国辉;崔可升;MPLS VPN原理及组网应用[J];电信技术;2005年12期.
作者简介:
作者姓名:黄农壹,男,1985年09月23日—,毕业时间:2008-7,毕业院校:南阳理工学院,专业:计算机科学与技术,职称:网络工程师。
【关键词】虚拟专用网络 多协议标记交换 安全性 稳定性灵活性
一、前言
随着企业规模的不断扩展,企业内部间信息传输的安全性,可靠性以及信息传输稳定性变得越来越重要,各企业也越来越重视企业内部间的网络互连。因此,建设安全、可靠、稳定、低成本的企业网络成为企业的基础课题。
然而,随着IP-VPN技术迅速发展,使得IP-VPN技术也广泛应用于企业网络建设当中。而MPLSVPN是一种基于MPLS技术的IP-VPN,其能有效解决企业网络组建中遇到的跨越公用网和跨越自治系统的需求,并且解决企业对于语音和视频的通信需求。同时MPLS VPN还保证了网络传输的安全性、实时性、稳定性。这为现代异地办公、移动办公数据安全性、可靠性及实现企业互连,提供了一种新的途径和解决方案。
二、MPLS VPN技术在本企业的应用
近年来,随着企业国际化进程的稳步推进,信息化已成为保障企业持续发展的重要手段之一。企业需要在提高企业网络的转发速率和灵活性的同时,又能确保企业信息化的安全性与稳定性,以及在降低投入到一个合理范围的同时,满足企业信息化发展的需求。
(一)本企业现状
本企业的网络是星形网络架构,通过总公司的广域网与各基地相互连通的;新疆和新加坡是直接通过本企业建立的专线接入到燕郊核心交换机上,印尼分公司和墨西哥分公司是通过IPSEC VPN方式接入本企业燕郊内网。本企业的数据中心建在燕郊,各基地和海外子公司都需要访问数据中心的相关数据,因此网络流量都会集中在燕郊,从网络架构上说,本企业的星型结构中心点应该是燕郊地区,而不是作为总公司的中心节点的北京地区,因此现有的网络架构存在着如下的问题,核心网络节点资源分配不足,部分网络上联网络资源不足,局部网络在特定时间段存在网络瓶颈,网络传输速率不足。
本企业的内部网络通过总公司的广域网与各分站基地互联通信的,同时,本企业的内部网络与总公司及其二级公司网络也都是互通的,相互之间没有充足的隔离手段,因此在数据传输的安全性上存在较大隐患。同时,由于本企业的网络结构扁平,生产网和测试网没有进行分离,由于测试系统的稳定性与安全性都比较低,两网在一起也存在着一定的安全隐患。
本企业燕郊、湛江、上海、深圳地区的核心网络过于扁平化,如遇到网络环路,就会造成整个网络的瘫痪,严重影响用户的日常办公和各生产系统的正常运行。随着应用系统的增多,重要系统的网络带宽保障需求日益突出,然而现有网络架构与设备无法在燕郊与各地做特殊应用优先保障策略,导致有的重要系统同步数据或上传数据无法保障网络传输平稳正常。
随着本企业信息化建设需求不断增多,应用系统的运维模式向集中管理发展,企业网络传输的稳定性、安全性和转发速率时刻影响着各地用户。至此,网络架构不合理、转发速率不足、稳定性不够、以及安全性不高已严重制约了企业信息化的发展。
(二)MPLS VPN在油服的应用
1.设计方案
为满足本企业的多网分离,专网专用,办公与生产、测试相互隔离的需求,同时一定程度上解决网络速度慢、稳定性差、安全性低、网络活动性和扩展性不灵活、QOS无法制定、旧网络无法升级等问题,充分利用MPLS VPN技术的优势,项目组制定了本企业独特的两横两纵VPN设计架构。
本企业的MPLS VPN逻辑上分为两横两纵,两个横向VPN分别为应用共享VPN和测试共享VPN;两个纵向VPN分别为办公纵向VPN和科研纵向VPN。应用共享VPN里规划为本企业现运行的各应用系统;测试共享VPN为未正式上线的应用系统;办公纵向VPN为各基地、机关的普通用户地址段;科研纵向VPN为各事业部要求网络环境安全性比较高的用户地址段。
2.实施过程
根据本企业各地理片区不同的网络设备以及网络拓扑结构的不同情况,结合整体考量,MPLS VPN網络改造从以下几个步骤进行的,首先,更换全网IP地址;其次,更换全网不满足的核心设备和楼层设备;再次,增加全网网络端口和光纤上链线路;最后,进行MPLS VPN配置和迁移。根据前期的规划,通过近两年的实施,燕郊、湛江、塘沽、深圳和上海各地分站都划分为边缘区域,部署MCE设备,在MCE上分别建有本企业的两横两纵VPN,只有新疆地区由于片区小,人数少,网络结构单一,所以配置为CE。本企业MPLS VPN项目完成后的网络架构如下图所示。
图MPLS 网络拓扑图
3.使用效果
自MPLS VPN项目改造以来,实施完成后的益处总结为以下几点。
(1)提高本企业网络的安全性
在实施MPLS VPN项目以前,集团公司旗下任何一家二级单位都可以访问本企业的各应用系统、网络设备和计算机,一旦有一个单位网络出现病毒,那么这些网络病毒可以快速在广域网中传播;同时一旦该单位的网络受到外部攻击或者黑客进入,很容易会攻击到本企业的应用系统及个人办公电脑,在信息化安全不断提高与强调的今天,这种网络环境已经不能满足整个集团以及本企业信息化发展的需要。在实施了MPLS VPN项目后,整个网络环境从三方面体现了出了高安全性。不同VPN之间地址空间与路由信息的分离;骨干网络拓扑对VPN用户的隐藏;提高了网络抵御恶意攻击(如拒绝服务攻击(DOS))以及网络入侵的能力。
(2)提升各地局域网的网络稳定性
MPLS VPN实施后,优化了各片区的网络接入方式,湛江、燕郊、塘沽各地接入网络都改成了双上联的不同路由区域,燕郊的同地区不同片区之间网络接入也改成了不同的路由区域,提高了网络的稳定性。同时,同片区下不同VPN下的机器不再受到环路后的泛洪影响。根据PING值测试,MPLS VPN实施前各地存在着每10000个PING包会丢失50到150个包,实施MPLS VPN后测试PING 10000个包丢率为0%,网络的稳定性达到了最佳值。
(3)优化网络基础架构
在实施MPLS VPN后,更换了燕郊、湛江、上海、深圳核心设备,提高了更换的各基地的数据转换和处理能力,同时调整了网络架构,从本企业的网络架构看,现已调整为以燕郊为中心的星型双链路架构;更改了燕郊、湛江、塘沽、湛江、上海和深圳的接入方式,大多实现双上联冗余接入网络,并且根据各基地的现有情况,调整核心交换机配置,使接入层交换机与核心交换机的选路达到最优方式。
三、结束语
MPLS VPN网络的实施仅只是企业对MPLS VPN技术研究与应用的一个起点,相信随着MPLS VPN技术的不断发展和使用的深化,MPLS VPN技术的各种优势将逐步被应用到我们的生产工作中去,并在我们的生产工作中发挥更加巨大的作用。
参考文献:
[1] 赵雪石;MPLS VPN的优势及实施中应注意的问题[J];湖北邮电技术;2004年05期.
[2] 胡国辉;崔可升;MPLS VPN原理及组网应用[J];电信技术;2005年12期.
作者简介:
作者姓名:黄农壹,男,1985年09月23日—,毕业时间:2008-7,毕业院校:南阳理工学院,专业:计算机科学与技术,职称:网络工程师。