精心布局構架內部專線

1、背景

某公司經過業務重組整合，形成了異地多點辦公的模式，其中公司總部位于A地，數據中心位于B地，分支機構分布在C地和D地，所有業務系統均集中部署在數據中心，四地均有獨立的互聯網線路供用戶訪問Internet，A、C、D三地用戶均通過租用運營商的MPLS VPN星形專網實現與數據中心的通信，總部A地集中了公司90%的業務人員，訪問業務系統數據量最大，C地和D地業務人員很少，訪問業務系統的需求不多，A地和B地的MPLS VPN專線帶寬均為10Mbps，C地和D地的MPLS VPN專線帶寬為2Mbps；根據監控數據分析，A地和B地的專線帶寬壓力比較大，A地專線帶寬的日常使用率在70%左右，B地專線帶寬的日常使用率80%左右；如果兩地有視頻會召開，專線帶寬實時使用率會達到90%以上，對業務人員的訪問體驗造成較大影響。同時，由于沒有備用線路，如果MPLS VPN專線出現故障，將會對公司的業務造成極大的影響，所以亟需優化專線的使用率和提升專線的保障水平。

2、實施思路

鑒于MPLS VPN專網目前是A、B、C、D四地之間唯一的通信渠道，為確保業務的連續性，必須具備冗余的鏈路以保證MPLS VPN專網發生故障時四地也能夠正常通信，目前主要有如下三種解決方案：

（1）采用SSLVPN技術解決用戶接入問題。目前B地部署有SSLVPN設備，供業務人員利用Internet線路進行遠程辦公，如果MPLS VPN專網發生故障，只要故障節點和B點的Internet線路正常，用戶即可利用自己的SSLVPN賬號進行遠程辦公。這種方式不需要網絡管理人員干預和額外投資，但是存在速度不穩定、終端依賴程度高、使用不方便等多種缺點，不太適合穩定性要求較高的業務辦公需求。（2）采用點對點VPN解決方案。可在任意兩個節點之間利用Internet線路搭建IPSec VPN通道，滿足用戶的辦公需求；如果MPLS VPN專網發生故障，只要故障點Internet線路正常，就可以在Internet邊界網關處配置IPSec VPN隧道，同時在目標節點處的Internet邊界網關配置隧道實現對接，即可實現兩地網絡的互通。由于數據流量通過Internet傳輸，用戶體驗很難得到保障，而且對邊界網關設備要求較高，必須支持IPSec VPN，能夠兼容不同品牌設備的IPSec VPN標準，對本地網絡管理人員的技術能力要求也比較高。（3）通過租用運營商點對點數據專線解決。在任意兩節點之間租用運營商數據專線組成MPLS VPN專網的冗余鏈路，當任意節點MPLS VPN專線發生故障時，可以通過修改路由的方式將MPLS VPN專線上的流量切換到備用數據專線上來，不僅能夠迅速恢復業務，而且能夠保證用戶的體驗。如果要保障四地辦公網絡的連續性，需要在任意兩點之間搭建數據專線，共需要租用6條線路，費用過于昂貴，而且大多數時候這些備用線路基本處于空閑狀態，造成資源的嚴重浪費。

根據A、B、C、D四地用戶的規模和性質綜合分析，為了保證專線的高可用性，保證公司業務的正常運轉，同時能夠盡量節約費用，充分利用現有資源，可以采取如下綜合方案：（1）A和B之間租用一條帶寬為10Mbps的點對點數據專線，同時將A和B之間MPLS VPN專線上的部分流量遷移到該線路。（2）為C和D兩地用戶創建SSLVPN賬號，當MPLS VPN線路故障時，采用SSLVPN方式接入進行遠程辦公。

上述方案通過在A和B之間新建一條數據專線，重點保障了總部A地業務人員的辦公需求；兩條線路互為備份，任意一條線路故障，均可將流量輕松切換到另外一條線路，兩條線路處于“雙活”狀態，也大大提高了專線利用率。由于C和D兩地業務人員較少，如果MPLS VPN專線發生故障，用戶可以使用SSLVPN進行遠程辦公，基本也能滿足需求，這樣就大大減少了租用專線的費用。

3、實施步驟

圖1 高可用性方案示意圖

方案中的第一部分就是在A和B兩地之間搭建點對點數據專線，當運營商將數據專線的物理部分建設完畢之后，還需要A和B兩地網絡管理人員進行路由切換和測試，具體操作步驟如下所示：

（1）分別在兩地接入專線的路由器接口上配置IP地址，其中A端接口IP為192.168.188.1/29，B端接口 IP為 192.168.188.2/29。IP配 置完成后，可采用ping命令測試兩端物理線路是否互通。由于配置方式類似，僅以A地路由器為例，配置步驟如下：

（2）確定線路互通之后，在B地路由器上利用Routemap策略路由將A地用戶訪問部分重點應用系統的流量遷移到點對點專線上，表1為重點業務系統和用戶相關信息：

四地的邊界路由器均采用思科7206VXR設備，在B地路由器上操作步驟如下：

首先進入路由器配置模式，然后創建匹配流量的ACL：

其次創建Routemap實例，引用ACL1，確定不同數據流量的轉發路徑：

表1 業務系統和用戶信息表

最后在路由器入口上引用routemap1，實現不同應用系統流量的遷移：

（3）在A地路由器上添加靜態路由，將對應系統IP的流量遷移到點對點專線上，進入路由器配置模式，操作步驟如下：

通過上述三個步驟，即可完成對應數據流量的遷移，保證A地用戶訪問重要業務系統的帶寬，也避免了專線出現“忙閑不均”的情況，充分利用了帶寬資源。對于C和D兩地，按照方案設計，只需要為相應用戶創建SSLVPN賬號即可，不再贅述。

如果MPLS VPN專線發生故障，可按照如下步驟將流量遷移到點對點專線：

（1）在B地路由器上的ACL1中添加匹配規則（B地服務器網段為10.18.7.0/254）：

（2）在A地路由器上添加到B地服務器網段的靜態路由：

如果MPLS VPN專線故障影響了C和D兩地用戶，兩地用戶直接使用SSLVPN賬號登錄SSLVPN系統進行遠程辦公，不需要進行額外操作。

如果點對點專線發生故障，可按照如下步驟將流量遷移到MPLS VPN線路上：

（1）在B地路由器接口上取消對routemap1的引用：

（2）在A地路由器上將對應的三條靜態路由取消：

按照上述方案，不論哪條專線發生故障，網絡管理人員均能在幾分鐘之內迅速遷移流量，保障業務的連續性；而當故障專線恢復正常后，按照上述步驟進行回退操作，專線即可恢復至常規狀態。

4、總結

針對“公司總部+數據中心+分支機構”模式的企業，MPLS VPN專線能夠為其提供可擴展性極高的優質辦公網絡，但對于業務連續性要求高的企業來說，單點故障風險仍然存在，必須保證MPLS VPN專線故障時，業務經營能夠快速恢復。本文提供的方案能夠在成本、高可用性效果、復雜性三個矛盾因素中做出較好平衡，相信能為企業創造較好的投入產出比。