MPLS VPN在企业通信网络中的应用

随着公司的不断发展，DCN网络管理集中监控系统、电源监控系统、客服系统等在线业务系统不断增加OA等等，有些应用系统对安全性要求很高，比如OA和财务，有些系统对带宽和网络质量(QoS)要求高。现有网络不能满足分而治之企业运营管理的需要。由于信息系统集中集成的需要，本次实施MPLS升级改造。

优化网络结构，提高网络的安全性、可靠性和整体性DCN网的服务质量。由一张实体物理网实现虚拟多业务网，采用MPLS VPN现有的骨干隔离各种业务系统DCN骨干网为基础构建，接入网采用灵活的方式到终端，满足企业内部应用的承载和安全需求。最终，DCN网络中的终端和主机必须分为各自的MPLS VPN实现域中的每一个VPN域间的通信隔离，同时在各个方面VPN建立数据通道，部署防火墙，控制通过数据通道的流量，实现不同VPN域通信数据的有效安全控制。

MPLS VPN技术简介

MPLS VPN是由几个不同的site组成的集合，一个site可属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN互访和隔离可以有控制地实现。

骨干迁移的三个关键问题

1)在IP各域间路由在环境下的交换。实现方法是先组成DCN的各个IP以地市为单位的网络单逐一改造MPLS VPN 网络单元，然后逐一与省公司建立MP BGP邻居实现全网MPLS VPN化。

2)实现受控互访，即市公司在同一时间VPN区域内部互相之间不可见;市公司在同一VPN省级公司可以访问该地区；市级公司的访问情况不同VPN省级区域公司业务。方案设计采用HUB-SPOKE方式和对PE.CE实现层次控制。

3)DCN各种应用系统在网络建设初期没有考虑MPLS VPN划分，所以大部分系统混合在一起，或者连接到同一个设备，或者只是在同一个网段，同时也存在生产管理地址段混合的问题。具体的系统混合问题可分为地址混合、设备支持能力不足和第二个地址问题三类。

DCN网络改造升级设计

DCN网络改造解决方案是融合MPLS、VPN和QOS统一的技术解决方案。采用方案MPLS用作承载数据传输的新协议EIGRP作为主干IGP协议，MPLS VPN路由使用MP-IBGP而路由反射器在域内传输，省公司采用背对背VRF与集团对接的方式。

MPLS需要建立在IGP在路由的基础上，IGP协议对MPLS保证是主要作用MPLS邻居之间的可达性和MBGP省骨干网用于邻居之间的可达性EIGRP根据自己的网络环境，协议使用城市网络EIGRP或OSPF协议。所有协议在省网和市网之间重新分发。整个网络IGP协议交换。根据整体计划，各PE-CE保持原路由协议OSPF动态路由协议，在PE设备将OSPF路由重分发MP-BGP.

MPLS VPN对DCN网络的重要性

由于集团公司和省级公司集中在应用系统的整合方向。通过集团和省级集中应用系统DCN网络进行信息交互，而应用系统集成除功能集成外，其物理集成和集中的情况表现为集中的企业数据中心，MPLS升级的重要性体现在：

1)全网络覆盖：应用系统集成后，系统集中统一部署服务器，满足市县客户远程访问省级应用系统服务器、集团公司应用系统与省级应用系统之间的信息交互应用需求。

2)系统控制安全互访要求:企业运营需求，不同应用系统之间有互访要求。比如综合营账客户端在办公网，兼顾办公和营账工作，需要访问营账系统；综合网络管理客户端，兼顾网络管理和办公管理、资源管理、工单和故障单，经常在两个网络之间切换；因此需要DCN在网络安全隔离的同时，通过用户身份识别、访问授权、隧道加密、安全策略部署等技术，支持系统之间的控制和相互访问。

3)可用性要求:随着信息化建设的深入，系统功能将逐步完善，信息内容将越来越丰富，VPN颗粒会趋于细化，VPN拓扑将对现有企业网络的交换容量、处理能力、链路连接能力和连接能力日益复杂VPN支持能力是网络规划建设中必须考虑的问题。

4)可靠性要求:DCN网络承载着企业运营所需的重要应用和数据，在整个信息系统中起着中枢神经系统的作用。网络故障将影响企业的正常运行。信息系统集成将提高区域和功能集中度，从而增加正确性DCN网络的依赖。充分考虑网络的高可靠性，避免网络设备和链路的单点故障，确保关键应用系统的访问和访问，确保企业数据中心作为应用系统的核心的高效可靠连接。

5)服务质量要求：DCN网络在同一物理网络上携带多个相对独立的业务系统，每个业务系统为不同的职能部门提供服务，其数据流程和管理模式不同，不同的业务系统，需要网络平台提供不同的服务，如带宽、实时要求不同，网络必须具有带宽管理、资源保留、服务水平设置能力。

在保证DCN在网络安全运行的前提下，分步实施MPLS并按规划设计应用RT战略实现各系统互访的控制和隔离。目前，改造后DCN网络运行良好。

在实现MPLS VPN之后，受控互访变得相对容易，只需要在各个方面MPLS VPN防火墙可以部署在路由环境之间的数据通道上VPN控制每个应用程序系统之间的访问。随着受控互访的实现，更容易实现周边需求，如全覆盖、可用、可靠、优化传输和可管理。采用物理网络和虚拟多业务网络MPLS VPN现有的骨干隔离各种业务系统DCN在骨干网络的基础上，接入网络以灵活的方式到达终端。独立统一的物理网络，满足企业内部应用的承载需求。虚拟多业务网络，统一的业务隔离、控制互访机制和统一VPN业务接入机制。

MPLS VPN实现网络改造，大大提高DCN网络安全，为前台营业，办公OA.运维网络监控等不同的业务网络应用提供可靠的保障。