MPLS需要建立在IGP路由的基礎上

來(lái)源:投稿網(wǎng) 時(shí)間:2024-02-16 10:00:08

3DCN網(wǎng)絡(luò )改造升級設計。

DCN網(wǎng)絡(luò )改造解決方案是集MPLS、VPN和QOS技術(shù)于一體的統一解決方案。該方案采用MPLS作為承載數據傳輸的新協(xié)議，以EIGRP為主IGP協(xié)議，MPLSVPN路由采用MP-IBGP和路由反射器進(jìn)行域內傳輸，省公司采用背對背VRF與集團對接。

MPLS需要建立在IGP路由的基礎上。IGP協(xié)議對MPLS的主要作用是確保MPLS鄰居之間的可達性和MBGP鄰居之間的可達性。EIGRP協(xié)議用于省級骨干網(wǎng)絡(luò )，EIGRP或OSPF協(xié)議用于城市網(wǎng)絡(luò )根據自己的網(wǎng)絡(luò )環(huán)境。所有協(xié)議在省級網(wǎng)絡(luò )和市級網(wǎng)絡(luò )之間重新分發(fā)。整個(gè)網(wǎng)絡(luò )IGP協(xié)議交換。根據總體規劃，PE-CE路由協(xié)議保持原OSPF動(dòng)態(tài)路由協(xié)議，OSPF路由重新分發(fā)到PE設備的MP-BGP。

各業(yè)務(wù)VPN互訪(fǎng)通過(guò)防火墻實(shí)現。目前，DCN的整個(gè)網(wǎng)絡(luò )業(yè)務(wù)基本上分為四個(gè)大系統：MS、BS、OS和OTHER。如何引導跨系統流量已成為一個(gè)重要問(wèn)題。如果使用重疊VPN，一方面會(huì )增加維護的復雜性，另一方面會(huì )違反MPLSVPN建設的基本目標，給各業(yè)務(wù)系統帶來(lái)安全隱患。采用防火墻和重疊VPN的合作方式實(shí)現跨域互訪(fǎng)。省級公司不同領(lǐng)域的終端和主機通過(guò)省級公司的防火墻實(shí)現跨域互訪(fǎng)。城市公司的終端或主機需要跨域訪(fǎng)問(wèn)省級公司系統，通過(guò)城市防火墻連接到不同領(lǐng)域，然后通過(guò)MPLS鏈接連接互訪(fǎng)。通過(guò)在防火墻上配置嚴格的安全策略，過(guò)濾各VPN之間的流量，確保各業(yè)務(wù)系統之間的數據交流安全。

綜上所述，主要采用防火墻和重疊VPN實(shí)現跨域互訪(fǎng)，省級公司不同域終端和主機通過(guò)省級公司防火墻實(shí)現跨域互訪(fǎng)，城市公司終端或主機需要跨域訪(fǎng)問(wèn)省級公司系統，通過(guò)城市防火墻連接到不同域，然后通過(guò)MPLS鏈接連接互訪(fǎng)。

將各業(yè)務(wù)VPN作為HUB-SPOKE模式，即各地市業(yè)務(wù)系統只能與省中心溝通，不能相互訪(fǎng)問(wèn)。

在省級公司和市級公司的核心路由器上連接防火墻，并將防火墻的不同端口連接到不同的VPN域。在防火墻上，根據VPN業(yè)務(wù)的訪(fǎng)問(wèn)需求進(jìn)行相應的訪(fǎng)問(wèn)控制，并通過(guò)防火墻進(jìn)行訪(fǎng)問(wèn)。

4MPLSVPN對DCN網(wǎng)絡(luò )的重要性。

因為應用系統集成的方向是集團公司集中和省公司集中。集團、省級集中應用系統通過(guò)DCN網(wǎng)絡(luò )進(jìn)行信息交互，除功能集成外，其物理集成和集中的情況是集中的企業(yè)數據中心，MPLS升級的重要性體現在：

1)全網(wǎng)絡(luò )覆蓋：應用系統集成后，系統集中統一部署服務(wù)器，滿(mǎn)足城市和縣客戶(hù)遠程訪(fǎng)問(wèn)省級應用系統服務(wù)器、集團公司應用系統和省級應用系統之間的信息交互需求。

2)系統控制安全訪(fǎng)問(wèn)需求：企業(yè)運營(yíng)需求，不同應用系統之間有互訪(fǎng)要求。例如，綜合客戶(hù)端在辦公網(wǎng)絡(luò )中，考慮到辦公和會(huì )計工作，需要訪(fǎng)問(wèn)會(huì )計系統；綜合客戶(hù)端、網(wǎng)絡(luò )管理和辦公管理、資源管理、工作訂單和故障訂單，經(jīng)常在兩個(gè)網(wǎng)絡(luò )之間切換；因此，DCN網(wǎng)絡(luò )需要進(jìn)行安全隔離，通過(guò)用戶(hù)身份識別、訪(fǎng)問(wèn)授權、隧道加密、安全戰略部署等技術(shù)，支持系統間的控制和互訪(fǎng)，確保被訪(fǎng)系統的安全。

3）可用性要求：隨著(zhù)信息化建設的深入，系統功能將逐步完善，傳輸的信息內容將越來(lái)越豐富，VPN顆粒將趨于細化，VPN拓撲將越來(lái)越復雜。網(wǎng)絡(luò )規劃建設中必須考慮現有企業(yè)網(wǎng)絡(luò )的交換能力、處理能力、鏈接連接能力和VPN支持能力。

4)可靠性要求：DCN網(wǎng)絡(luò )承載著(zhù)企業(yè)運營(yíng)所需的重要應用程序和數據，在整個(gè)信息系統中起著(zhù)中樞神經(jīng)系統的作用。網(wǎng)絡(luò )故障將影響企業(yè)的正常運行。信息系統集成將提高區域和功能集中度，從而增加對DCN網(wǎng)絡(luò )的依賴(lài)。必須充分考慮網(wǎng)絡(luò )的高可靠性，避免網(wǎng)絡(luò )設備和鏈路的單點(diǎn)故障，確保關(guān)鍵應用系統的訪(fǎng)問(wèn)和訪(fǎng)問(wèn)，確保企業(yè)數據中心作為應用系統的核心，高效可靠地連接。

5)服務(wù)質(zhì)量要求：DCN網(wǎng)絡(luò )在同一物理網(wǎng)絡(luò )上承載多個(gè)相對獨立的業(yè)務(wù)系統。每個(gè)業(yè)務(wù)系統為不同的職能部門(mén)提供業(yè)務(wù)服務(wù)。其數據流程和管理模式不同。不同的業(yè)務(wù)系統需要網(wǎng)絡(luò )平臺提供不同的服務(wù)，如帶寬和實(shí)時(shí)性，網(wǎng)絡(luò )必須具備帶寬管理、資源保留和服務(wù)水平設置的能力。

在保證DCN網(wǎng)絡(luò )安全運行的前提下，MPLS逐步改造，各系統的相互訪(fǎng)問(wèn)、控制和隔離按照規劃設計和應用RT策略進(jìn)行。目前，改造后的DCN網(wǎng)絡(luò )運行良好。

MPLSVPN實(shí)現后，控制相互訪(fǎng)問(wèn)變得相對容易。只需在每個(gè)MPLSVPN路由環(huán)境之間的數據通道上部署防火墻，即每個(gè)VPN之間的訪(fǎng)問(wèn)，即每個(gè)應用系統之間的訪(fǎng)問(wèn)。隨著(zhù)控制相互訪(fǎng)問(wèn)的實(shí)現，實(shí)現周邊需求，如全覆蓋、可用、可靠、優(yōu)化傳輸和可管理，變得更加容易。實(shí)體物理網(wǎng)和虛擬多業(yè)務(wù)網(wǎng)采用MPLSVPN隔離各種業(yè)務(wù)系統。骨干基于現有的DCN骨干網(wǎng)絡(luò )，接入網(wǎng)絡(luò )靈活到達終端。獨立統一的實(shí)體物理網(wǎng)絡(luò )，滿(mǎn)足企業(yè)內部應用的承載需求。虛擬多業(yè)務(wù)網(wǎng)絡(luò )、統一的業(yè)務(wù)隔離、控制相互訪(fǎng)問(wèn)機制和統一的VPN業(yè)務(wù)接入機制。

5結尾語(yǔ)。

MPLSVPN網(wǎng)絡(luò )改造的實(shí)現，大大提高了DCN網(wǎng)絡(luò )的安全性，為前臺運營(yíng)、辦公OA、運維網(wǎng)絡(luò )監控等不同業(yè)務(wù)網(wǎng)絡(luò )應用提供了可靠的保障。