當(dāng)前，我國(guó)在 MPLS-VPN 技術(shù)方面的研究已取得了一定的成就，MPLS-VPN 技術(shù)在網(wǎng)絡(luò)市場(chǎng)中的應(yīng)用也已進(jìn)入了成長(zhǎng)期，越來(lái)越多的運(yùn)營(yíng)商可為用戶提供相應(yīng)的產(chǎn)品。首先，運(yùn)營(yíng)商必然要結(jié)合其他的 VPN 技術(shù)，以此來(lái)為不同的用戶提供網(wǎng)絡(luò)需求的整體解決方案。其次，運(yùn)營(yíng)商要通過(guò)一定技術(shù)手段來(lái)維持網(wǎng)絡(luò)運(yùn)行的質(zhì)量。再次，要盡量降低網(wǎng)絡(luò)使用和維護(hù)的難度，提升網(wǎng)絡(luò)的運(yùn)行效率，優(yōu)化網(wǎng)絡(luò)資源的運(yùn)用。最后，是要強(qiáng)化與內(nèi)容提供商的協(xié)作，不斷引進(jìn)新的業(yè)務(wù)來(lái)吸引用戶。在我國(guó)，一些公共信息基礎(chǔ)平臺(tái)發(fā)展方面，專用網(wǎng)絡(luò)已成為了主流發(fā)展趨勢(shì)，而最需要盡快解決的是網(wǎng)絡(luò)安全性的問(wèn)題。MPLS-VPN 技術(shù)對(duì)于絕大多數(shù)的普通用戶來(lái)說(shuō)，能提供虛擬電路級(jí)別的安全性。只是在一些安全性要求極高的特殊領(lǐng)域，才能用得上更為可靠的安全保障措施。

除了技術(shù)方面的進(jìn)步，行業(yè)主管部門也采取了一系列的手段來(lái)加強(qiáng)對(duì)驗(yàn)證、加密算法等保證安全手段的強(qiáng)制應(yīng)用，政府也在不斷地完善相關(guān)法律法規(guī)，對(duì)一些威脅網(wǎng)絡(luò)安全的行為和人員進(jìn)行依法處置。同時(shí)，一些保障措施的運(yùn)用，大大促進(jìn)了不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)互通，用戶的站點(diǎn)連通也更為方便。在未來(lái)，我國(guó)政府還會(huì)制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)，強(qiáng)制 MPLS-VPN 產(chǎn)品提供商滿足我國(guó)規(guī)范的兼容性和互通性，促進(jìn)網(wǎng)絡(luò)技術(shù)提供商之間的正當(dāng)競(jìng)爭(zhēng)，避免產(chǎn)品壟斷，讓這一項(xiàng)先進(jìn)的技術(shù)，更好地服務(wù)于社會(huì)中的各行各業(yè)。
 
1、實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的隔離

在保持原本主校區(qū)和各個(gè)分校區(qū)之間原有的光線連接不發(fā)生變動(dòng)的前提之下，運(yùn)用 MPLS-VPN 的強(qiáng)大邏輯隔離能力，通過(guò)邊緣路由器、用戶端路由器等路由設(shè)備的使用，建立起對(duì)應(yīng)各個(gè)分校不同業(yè)務(wù)的 VRF，并且將不同校區(qū)的不同業(yè)務(wù)與其他校區(qū)之間的業(yè)務(wù)各自設(shè)立對(duì)應(yīng)專用的 VPN 通道，以動(dòng)態(tài)分發(fā)的方式來(lái)保障隧道式轉(zhuǎn)發(fā)的實(shí)現(xiàn)，從而讓不同校區(qū)的不同業(yè)務(wù)與其他校區(qū)的其他業(yè)務(wù)相互分離開(kāi)來(lái)，也就是實(shí)現(xiàn)校園網(wǎng)絡(luò)業(yè)務(wù)各自之間的路由隔離。

2、擴(kuò)展網(wǎng)絡(luò)帶寬

學(xué)校不同校區(qū)都應(yīng)采用較為先進(jìn)的路由交換器，若路由交換器具備 Multi VRF 和 MPLS-VPN 的特性，則可在主校區(qū)路由器和分校區(qū)路由器上都增加相應(yīng)性能較高的多協(xié)議標(biāo)簽交換多業(yè)務(wù)板，以此來(lái)提供對(duì)多協(xié)議標(biāo)簽交換的支持，它的作用是在校園網(wǎng)中被設(shè)置為邊緣路由器設(shè)備。相對(duì)應(yīng)的，原來(lái)校園網(wǎng)絡(luò)中的匯聚設(shè)備則改成用戶端路由器，如此一來(lái)，就能實(shí)現(xiàn)用戶端路由器的設(shè)備路由信息和邊緣路由器設(shè)備種路由信息之間的交換，校園網(wǎng)絡(luò)的帶寬就能有效擴(kuò)展。

3、實(shí)現(xiàn)各校區(qū)的路由連接

在主校園的網(wǎng)絡(luò)邊緣路由器 VRF 中設(shè)置與分校網(wǎng)絡(luò)相同的 Target 屬性，從而實(shí)現(xiàn)多個(gè)校區(qū)之間彼此的互相訪問(wèn)。把邊緣路由器和其他校區(qū)的用戶端路由器進(jìn)行連接，從而保障邊緣路由器能包含其對(duì)應(yīng)的各個(gè)分校之間的 VPN 和 VRF，而各個(gè)分校的 VRF 則是分別對(duì)應(yīng)路由區(qū)分符 RD，保證接收方邊緣路由器能將來(lái)自不同校區(qū)的 VRF 路由信息進(jìn)行有效區(qū)分，以此來(lái)實(shí)現(xiàn)不同校區(qū)不同業(yè)務(wù)之間的無(wú)縫融合。

4、實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互訪控制

通過(guò)在校園網(wǎng)絡(luò)邊緣路由器上部署多協(xié)議標(biāo)簽交換和多協(xié)議邊界網(wǎng)關(guān)協(xié)議，從而實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)中的動(dòng)態(tài)隧道建設(shè)和路由的有效管理。同時(shí)，還可利用 BGP 邊界網(wǎng)關(guān)協(xié)議來(lái)實(shí)現(xiàn)共同體路由目標(biāo) RT 的擴(kuò)展，并且配置導(dǎo)出、導(dǎo)入策略，從而實(shí)現(xiàn)不同網(wǎng)絡(luò)之間互相訪問(wèn)時(shí)的控制。

5、確立不同校區(qū)網(wǎng)絡(luò)的地址分配使用

給不同校區(qū)的網(wǎng)絡(luò)進(jìn)行 IP 地址分配，確定各校區(qū)各項(xiàng)業(yè)務(wù)內(nèi)部地址的分配與使用，并且在校園網(wǎng)絡(luò)邊緣路由器和其他校區(qū)網(wǎng)絡(luò)用戶端路由器上的配置路由。需要注意的是，如果實(shí)際的地址分配中涉及到不同校區(qū)業(yè)務(wù)，在融合的基礎(chǔ)上對(duì)其他的業(yè)務(wù)進(jìn)行相應(yīng)隔離，那么這里的用戶端路由器設(shè)備對(duì)其他不同業(yè)務(wù)的 VPN 路由就要進(jìn)行隔離，通常采用 MultiVRF 功能即可實(shí)現(xiàn)，以此來(lái)給每個(gè) VPN 創(chuàng)建與維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表，才能實(shí)現(xiàn)更好地業(yè)務(wù)安全隔離。

6、部署模式的決定

MPLS-VPN 在多校區(qū)中的應(yīng)用，可采取全局或者漸進(jìn)兩種不同的不熟模式。因此，在進(jìn)行多個(gè)校區(qū)網(wǎng)絡(luò)建設(shè)時(shí)，應(yīng)根據(jù)不同校區(qū)、不同業(yè)務(wù)之間的特性，分析其網(wǎng)絡(luò)使用的需求，從而來(lái)確定哪一種部署模式更為合適。一般來(lái)說(shuō)，全局部署模式能對(duì)校園業(yè)務(wù)進(jìn)行一次性細(xì)分，并且給每個(gè)不同的業(yè)務(wù)配置不同 VPN，從而進(jìn)行差異性的管理，實(shí)現(xiàn)網(wǎng)絡(luò)管理的精細(xì)化。而漸進(jìn)部署模式，則是先將不同校區(qū)的不同業(yè)務(wù)整合成為一體，而不同業(yè)務(wù)之間隔離的上層 VRF 則是使用對(duì)應(yīng)的專用網(wǎng)絡(luò)，之后，根據(jù)不同業(yè)務(wù)的需求，在下層建立相應(yīng)的 VRF 子網(wǎng)。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。

 

更多相關(guān)內(nèi)容推薦：
MPLS VPN的起源及發(fā)展趨勢(shì)和挑戰(zhàn)
MPLS VPN與傳統(tǒng)專網(wǎng)的比較
MPLS-VPN組網(wǎng)的規(guī)劃與實(shí)現(xiàn)
企業(yè)快速組網(wǎng)SD-WAN及MPLS VPN功能實(shí)現(xiàn)方式