目前,MPLS/VPN的城域网因为其组网方便,使用灵活,而且具有比较好的安全性被大家广泛采用,随着用户需求的不断增加和技术的进步,MPLS/VPN正在向着越来越广泛的应用延伸。
作者:论坛管理 来源:zdnet安全频道 2009年1月5日
关键字: MPLS
目前,MPLS/VPN的城域网因为其组网方便,使用灵活,而且具有比较好的安全性被大家广泛采用,随着用户需求的不断增加和技术的进步,MPLS/VPN正在向着越来越广泛的应用延伸。
以下组网案例将从一个侧面反映目前MPLS/VPN技术在城域网中的应用情况。
日前,在城域MPLS网络的基础上,上海市闵行区建设了政府公务网、政府政务网、政府财务网、政府税务网、政府工商网、闵行公安专用网和教育城域网。该网络由一台Cisco 12000 GSR来充当P路由器;由若干台Cisco 7401 ASR路由器来充当PE路由器。在PE和CE之间增加一台有高密度接口的交换机Cisco Catalyst 4506,为大量的用户提供灵活的接入办法。大多数CE设备是Cisco三层交换机Catalyst 3550。根据不同的用户采取灵活的路由接入方式,便于网络的管理。
对于如何搭建城域MPLS网,总结了以下经验:第一,IP地址规划必须遵循科学的原则。IP地址规划遵循以下几点:IP地址的规划与划分应该考虑到本地城域网的飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;IP地址的分配需要有足够的灵活性,能够满足各种用户接入的需要;地址分配是由业务驱动,按照业务量的大小分配各地的地址段;IP地址的分配必须采用VLSM技术,保证IP地址的利用效率;采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小。
第二,MPLSVPN接入路由协议OSPF的收敛控制。闵行广电MPLS城域网的大型用户使用OSPF动态路由协议接入到MPL SVPN网络中。大多数CE接入设备是Cisco三层交换机Catalyst 3550。
对于每个PE路由器来说,所有本地接入的教育单位都是通过Cata-lyst 4506交换机的Trunk链路连接到Cisco 7401 ASR的子接口上。在以太网中,OSPF路由协议会自动选举出一个DR和一个BDR。在网络运行的初期,没有对三层设备的OSPF路由协议进行详细配置, DR和BDR的选举完全由各个设备自动生成。随着教育单位接入的增加,OPSF路由协议的收敛速度渐渐变慢,特别是当一台接入CE出现配置错误时,会对本地以太网中的OSPF造成很大的影响。造成OSPF路由协议的DR、BDR选举混乱。针对这个问题,闵行广电对其MPLSVPN的接入OSPF路由协议进行了优化,把PE设备的子接口的OSPF路由协议的prior-ity参数设置成255,把所有CE上联接口的OSPF路由协议的priority参数设置为0。这样在这个本地以太网中,只有PE设备才能成为DR。通过这种方式,有效解决了OSPF路由问题。
第三,核心交换路由器和Internet接入路由器之间加入两台冗余热备防火墙,将城域宽带网和Internet进行安全隔离。通过策略路由实现防火墙安全隔离的冗余备份和均衡负载。同时,防火墙还可以完成宽带网内部私有地址到公网地址的转换工作,方便用户访问INTERNET。
第四,为了很好地管理 MPL SVPN接入用户,在闵行广电MPLS城域网建立了两套管理系统:MRTG网络管理系统和Cisco Workers 2000管理系统。通过这两套图形管理系统,网络管理人员不仅可以很方便地对网络设备进行监控管理,还能够实时地监控各个接入单位的网络流量。利用这两个管理系统,工程师也可以快速、准确地判断出网络故障的故障点,并对故障进行即时的处理。
第五,闵行广电MPLS城域网对其接入的 CE三层设备上配置了ACL,对一些常见病毒的端口进行了限制。但是单纯依靠技术手段是不可能十分有效地杜绝和防止网络病毒蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。首先应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人。其次,对VPN用户的网络管理员进行了培训,使他们能够及时检查系统中出现病毒的症状,汇报出现的新问题、新情况,在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。
另外,还在闵行广电MPLS城域网内建立了 Cisco Secure访问控制服务器。通过该系统为每个Cisco Secure管理员设定不同的访问级别以及网络设备分组能力,可以使控制更加容易,并获得最大的灵活性,以促进网络中所有设备的安全策略管理的加强和改变。同时还配置了时间动态限额、网络使用、登录会话数量以及访问时间等限制功能,加大对网络的管理力度。