前言:本站为你精心整理了MPLSVPN技术计算机网络论文范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
在南水北调自动化业务系统中的应用按照南水北调自动化业务系统业务网的高安全可靠性要求,结合南水北调中线工程需求,一方面在网络结构的设计上采用层次化结构,按照业务类别进行物理划分;另一方面,利用MPLSVPN技术将各应用系统在逻辑上划分为独立的网络。根据现有MPLSVPN计算机网络组网技术,整个网络配置成一个MPLS域,将核心层、骨干层路由器配置成P设备,区域层和接入层路由器设备全部配置成PE设备;P和PE设备之间运行MPLSLDP协议,所有PE路由器之间运行MP-iBGP协议。将接入层交换机作为CE,经二层链路采用静态路由连接到接入层PE设备;PE设备为每个接入的VPN用户建立并维护独立的VRF,根据CE设备接入端口的不同,控制其进入相应的VPN中,实现与其他VPN应用系统和网管类流量的隔离。总公司、分公司、管理处的各应用系统都通过专用的应用系统LAN交换机接入,局域网主干交换机作为CE,经二层链路采用静态路由连接到接入层PE设备;PE设备为每个应用系统建立并维护独立的VRF,根据CE设备接入端口的不同,控制其进入相应的应用系统VPN中,实现与其他应用系统和网管类流量的隔离。
2MPLSVPN互访策略
在南水北调自动化业务系统中的应用按照MPLSVPN划分的原则,不同MPLSVPN之间不能互相访问,这确保了VPN的安全可靠性。但是,南水北调中线干线工程自动化应用系统之间存在MPLSVPN子系统之间、用户至不同业务系统服务器之间的受控互访的需求。也就是说,网络需要方便地控制不同MPLSVPN之间的互访,而且要实现严格控制互访;同时,为保障各业务系统安全,需要对用户访问采取控制措施。
2.1MPLSVPN子系统之间互访
通过BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通过MP-BGP协议配置建立路由信息,来达到不同VPN之间的路由扩散;通过VPN内部的路由器(或防火墙)做地址过滤、报文过滤等方式控制访问的用户。上述两种方式结合使用,实现了子系统的灵活受控互访。
2.2应用终端交互访问不同MPLSVPN
2.2.1方案一
NAT方案此种方案是将多用途终端主机的业务流在CE进行分类,不同的业务流进行不同的静态NAT(映射不同的IP地址)。对每个业务系统的主机/服务器可以分配连续的地址空间,PE设备只需要维护较为简单的路由表,CE配置确定后一般不需要修改。
2.2.2方案二
PE节点作访问控制在PE设备上,通过多角色主机技术,将某个VRF中指定的路由(特殊终端的路由),引入到另外一个VRF中,在PE的CE侧接口上配置策略路由,当流量匹配ACL,则重定向到VPN组,查找并转发,从而实现不同的MPLSVPN可以同时访问该特殊终端。
2.2.3方案三
802.1X强制认证+Windows域管理802.1X协议在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,与VRF路由表的导入导出机制结合使用,从而达到接受合法用户接入、保护网络安全的目的。用户访问其他MPLSVPN,需要禁用、再启用网卡,重新输入不同MPLSVPN的不同身份信息实现。显然,基于PE节点作访问控制的方案配置简单,传输效率高,互通网络可靠性强,无论从网络实现、网络性能、网络安全以及网络管理各方面分析,更适用于南水北调中线干线工程自动化各系统应用终端交互访问不同的MPLSVPN。
3结语
目前,MPLSVPN技术、MPLSVPN子系统之间互访策略已经部署应用于南水北调中线工程自动化系统计算机网络。此外,针对用户至不同MPLSVPN子系统业务系统服务器之间的受控互访的需求,本文也提出了可供参考的MPLSVPN之间互访策略。实践表明,MPLSVPN技术在数据信息传递安全可靠的前提下,很好地实现了南水北调中线工程自动化系统应用系统多、网络带宽大、计算机网络共享,以及MPLSVPN之间受控互访等多种业务需求;而且实施简单高效,运行可管理性强,有效保障了南水北调中线工程自动化系统计算机网络的可控性、灵活性和稳定性。
作者:王敏单位:南水北调中线局河南直管建管局