MPLS組網(wǎng)安全問題的解決方案

湯健 鄧建偉 楊笑

本文研究了MPLS組網(wǎng)和IPRAN組網(wǎng)的各自特點并分析了MPLS組網(wǎng)中的安全問題。為解決這個問題設計了4種解決方案，并進行了對比。得出利用IPRAN組網(wǎng)是解決安全問題最佳方案的結論。結合案例提出了具體的網(wǎng)絡改造實施步驟。

隨著計算機技術及互聯(lián)網(wǎng)技術的迅猛發(fā)展，網(wǎng)絡已成為人們生產生活必不可缺的工具之一。網(wǎng)絡安全不僅關系到個人，同時對機構乃至于國家安全和社會穩(wěn)定也造成了深遠的影響，已逐步上升到國家戰(zhàn)略層面。

虛擬專用網(wǎng)（VPN）技術是目前各類機構辦公生產的主要組網(wǎng)方式之一。MPLS_VPN技術以其低廉的價格、靈活的組網(wǎng)方式等優(yōu)點成為大部分機構的首選VPN組網(wǎng)技術。

IPRAN是指IP化的移動回傳網(wǎng)。目前主要用于承載無線網(wǎng)業(yè)務流量，IPRAN網(wǎng)絡因其具備的多種網(wǎng)絡保護技術使得網(wǎng)絡的安全性和可用性非常高。

現(xiàn)狀及問題

目前機構用戶組建自用封閉VPN時，主要涉及幾個步驟：組網(wǎng)需求分析、拓撲規(guī)劃、網(wǎng)絡接入及改造。

機構用戶通過租用運營商的MPLS_VPN網(wǎng)絡組網(wǎng)。機構分支點就近接入運營商機房，三層網(wǎng)關處于運營商的PE路由器上。

在規(guī)劃VPN網(wǎng)絡時，所有VPN的數(shù)據(jù)包都要通過PE，即運營商的邊緣路由器進行三層轉發(fā)。在某些情況下MPLS_ VPN技術有可能造成數(shù)據(jù)安全問題。比如：PE-CE間路由入侵、MPLS_VPN本身不提供加密等。由此便有機構產生“專網(wǎng)三層改二層”的業(yè)務需求。

方案設計及對比

通過以上的分析，設計了4種改造方案來消除這些問題。

方案1：租用運營商裸光纖。此方案網(wǎng)絡的管理權完全在機構手中，但裸光纖物理安全性低，隨著城市建設等原因光纜中斷會成為家常便飯，如沒有一定的保護機制，對于機構來說將是一場災難。同時當機構的節(jié)點距離其他節(jié)點或總店的距離過長時，組網(wǎng)也會受到很大的限制。

方案2：租用運營商MSTP電路方式。MSTP技術主要是利用SDH技術實現(xiàn)的多業(yè)務傳輸平臺，是目前專線電路的主要承載方式。但因其技術老舊，大部分廠家已停止相關技術的研發(fā)，甚至已對相關設備做停產安排。同時，因為SDH技術的特性。網(wǎng)絡資源是獨占狀態(tài)無法復用，故其價格相對較高。

方案3：利用三層網(wǎng)絡組建二層VPN。此方案對運營商的邊緣路由器，即PE的要求較高，同時配置較復雜，故障排查也相對非常困難。

因此，我們創(chuàng)造性的提出，利用目前承載移動互聯(lián)網(wǎng)的IPRAN網(wǎng)絡來實現(xiàn)此類用戶的需求，也就是方案四。

方案4：利用IPRAN建立二層VPN。利用IPRAN網(wǎng)絡為用戶改造之后，所有機構節(jié)點的網(wǎng)關處于機構自身匯聚點的匯聚設備上，運營商的IPRAN網(wǎng)絡僅為機構提供二層通道。

該方案優(yōu)點在于機構總點、下屬分支匯聚點只需做一次性接入，物理端口沒有變化，用戶如有需要還可自行部署動態(tài)路由協(xié)議，提高網(wǎng)絡的可用性和穩(wěn)定性。

方案實施

為保障機構的網(wǎng)絡平穩(wěn)過渡，設計了此類網(wǎng)絡改造的一般性實施方案。具體如下：

（1）分析機構現(xiàn)網(wǎng)的網(wǎng)絡拓撲結構及訪問需求，明確各個分支節(jié)點與總點以及各分支節(jié)點之間的訪問需求。

（2）對主要節(jié)點的改造實施

在具體實施過程中，考慮到機構總點的特殊性和重要性以及網(wǎng)絡逐步過渡的主要目標，在機構的現(xiàn)有與運營商對接的MV線路中間，插入一臺匯聚交換機設備并首先實施總點的業(yè)務割接，同時將此匯聚交換機與IPRAN網(wǎng)絡打通，保證了原有MPLS_VPN網(wǎng)絡中節(jié)點與總點之間的正常訪問。

（3）其余節(jié)點的改造實施

在總點完成改造后，機構的各個分支節(jié)點逐步完成IPRAN網(wǎng)絡的接入。通過IPRAN網(wǎng)絡的PW技術為其分支點打通二層通道。

待所有節(jié)點改造完成后，總點即可關閉原有運營商提供的MPLS_VPN網(wǎng)絡線路，所有流量通過IPRAN網(wǎng)絡轉發(fā)，網(wǎng)絡安全得到了可靠的保障，完全滿足該機構對此次網(wǎng)絡改造的需求。

通過這次網(wǎng)絡改造證明IPRAN也可以用于某些大型機構組網(wǎng)建設。因IPRAN底層的IP特性使其可以利用如BFD等保護技術實現(xiàn)快速故障恢復、網(wǎng)絡倒換。隨著IP技術的不斷發(fā)展，IPRAN以及后續(xù)不斷涌現(xiàn)的各類先進的IP網(wǎng)絡技術，會成為今后網(wǎng)絡承載的主要力量，網(wǎng)絡IP化一定會成為網(wǎng)絡演進的主力軍。