基于潞安RPR环网的多种VPN设计及实现

武渭民，任璐娟

(潞安矿业(集团)有限责任公司通信公司，山西 长治 046204)

基于潞安RPR环网的多种VPN设计及实现

武渭民，任璐娟

(潞安矿业(集团)有限责任公司通信公司，山西 长治 046204)

数据通信传输网络是集团生产业务和信息系统运行的总的基础平台，而煤炭行业的特殊性不仅要求网络在某一段中断时不影响业务运行，还要求在环网上运行的各个业务系统必须能够实现有效的隔离、监管和管理。本文给出了针对不同业务和用户的组网设计方案，并重点介绍了如何利用BGP MPLS VPN和MPLS L2 VPN技术对RPR环网进行业务隔离，并保障业务访问独立性和安全性，最终形成“一张物理网，多张虚拟网”格局，为潞安集团信息化建设打下坚实的基础。

潞安集团；RPR环网；BGP MPLS VPN；MPLS L2 VPN

潞安集团信息网目前已形成以通信公司为管理主体，以公司机关所在地侯堡为汇接局，下设13座主体生产矿井、34座整合矿井、13个下属公司等60余个业务节点，汇接局与各业务点之间全部实现光传输，保障内外部对企业网站、生产调度、监测监控系统、医疗保险、办公自动化等访问和操作，初步构筑起了“数字潞安”的雏形。

随着信息化技术和集团业务的不断发展和壮大，集团逐步推进形成了各种子业务系统，同时集团各节点的系统繁多，需要多重业务网络接入且互相隔离，对环网数据安全造成一定的影响和冲击，暴露了现有网络安全性、稳定性、访问速度等方面存在的缺点。

为了更好地推进潞安集团信息化发展，实现集团管控一体化，对潞安集团RPR信息化环网现状进行综合详细分析后，本文引入了BGP MPLS VPN和MPLS L2 VPN技术对现有环网业务数据进行改进，使各个应用系统间按策略逻辑隔离和互通，形成“一张物理网，多张虚拟网”。改进后的网络不仅满足当前集团各子分公司业务系统的安全、高效、稳定运行，同时方便未来企业新业务接入和信息化建设新需求。

1 RPR环网引入BGP MPLS VPN和MPLS L2 VPN原因

1.1 RPR环网

结合潞安集团下属各矿井及子分公司的分布情况，集团建成了骨干RPR互逆双环拓扑结构，分别规划侯堡→五阳→王庄构成万兆RPR北环，侯堡→屯留→古城→司马构成万兆RPR南环，在两个环上建6个核心节点，其中侯堡设置两台互为备份。具体设计规划如图1所示。

图1 集团RPR环网拓扑图

由于路由器设备具有更强的业务能力(如ACL/QoS/MPLS VPN等)，更优的路由策略和更丰富的接口类型，因此在侯堡、五阳、王庄、屯留、古城、司马等核心节点上配置7台万兆SR8812路由器作为环网设备，同时作为本地汇聚层设备。其余不在环网上的诸多子节点分别各配置一台S7510路由交换器，作为本地接入层设备。

业务方面，目前RPR环网主要承载了潞安集团各单位监测监控、财务、医疗保险、宽带、劳资、视频会议、远程教育、OA办公等多种集团内部业务，因此需要建立多条穿过公用网络的安全、稳定的隧道，以保障公司分支机构、远程用户同集团内部建立可信的安全连接，实现在一张物理网上承载多张虚拟网共同安全运行。

为保证未来多种业务、多个应用部门的统一承载，本网络整体技术架构采用MPLS VPN(multi-protocol label switch virtual private network，多协议标签交换虚拟专用网)为基础，使各个应用系统间按策略逻辑隔离和互通，既保证安全性，又达到不同应用流的服务质量管理。

1.2 BGP MPLS VPN

随着互联网技术的迅速发展，VPN技术得到广泛应用，VPN使母公司与各子分公司各自的私有网络通过公用网络互联起来，在节约成本的同时实现了类似专线独占性和可靠性的优点[1]。

随着集团业务不断推进与增加，部署在环网外围的单位和设备也在不断增加，全网状网络结构越来越复杂，为了顺应未来数据信息化和管控一体化的发展诉求，利用现有的各种数据业务和RPR环网类型相结合，组建安全、独立、可靠的多业务VPN势在必行。由于潞安数据承载平台业务多样，与传统的语音、图像业务不同，基于其自身的特殊性，在组网规划中亟待解决以下问题：

1) 潞安目前数据业务至少有10余种，尤其涉及到矿井监测监控，井下人员定位，煤炭产量监控、运销，调度综合信息，财务等事关安全生产的网络，必须确保数据传输安全，各业务之间需要相互独立访问，依靠传统的PCM传输技术无法彻底分离解决，因此必须建立独立的VPN。

2) 静态隧道采用的是直连环网及外围各单位方式，维护量大且容易造成数据故障，需要建立高效的动态隧道。

3) 部分子分公司有自己的数据中心，本地IP地址设置可能会互相重叠，统一规划时必须克服本地IP地址相互冲突。

4) 集团部分业务之间不是简单的点对点传输，而是相互之间交叉网状传输，需要灵活设置私网路由保证业务的相互联通或者隔离。

而BGP MPLS VPN技术具有实现隧道的动态和按需建立，避免本地私网IP地址冲突，解决逻辑链路网状扩展，易于控制私网路由交互等优势，完全可以解决目前集团数据业务的组网和规划问题，因此本文应用BGP MPLS VPN作为RPR环网的核心组网互联技术。

1.3 MPLS L2 VPN

目前集团及各子分公司的上网方式主要有两种方式：

1) 个人用户

集团个人用户主要采用的是PPPoE(点对点协议Point to Point Protocol over Ethernet)上网方式，首先需要透传二层认证和业务数据信息到中心的认证服务器，然后经过安全检测中心介入互联网。目前集团RPR环网均为三层连接方式，无法直接实现数据透传。

2) 专网用户

专网用户主要是指具备独立于RPR环网之外中心网络的部分基层单位，既可以对本地网络IP进行自定义规划，又需要借助集团RPR环网与集团的各项生产网络对接互联，原有网络环境仍需保持。

MPLS L2 VPN技术可以实现PPP的 L2帧封装到MPLS的帧中透明传输，同时可以完成各站点多个VPN的信息传播和组网，最终实现数据链路层(2层)数据通过LSP(label switch path)透明传输[2]。

针对以上宽带用户和专网用户存在的问题，经过调研和设计规划，拟采用MPLS L2 VPN方式对该组网进行升级改造。

2 基于RPR环网的VPN设计

2.1 BGP MPLS VPN整体规划

针对集团RPR骨干环网和各子分公司网络，本文主要包括集团RPR骨干环网的6个核心节点及相应的汇聚层和接入层节点：

1) 通信中心机房侯堡2台SR8812作为P设备。

2) 其余环网设备及主干RPR环网之外的16家子单位均作为PE设备。

具体节点网络拓扑图如图2所示。

图2 网络节点拓扑图

针对单位多种业务均位于单位的中心网络，需要通过中心网络的统一出口进行业务间的连接的方式，采用一条链路承载多个VPN的方式实现，如图3(a)所示。

针对集团层面的多种业务，采用独立于中心网络的多条链路分别连接不同VPN的方式实现，如图3(b)所示。

图3 多条链路VPN设计

主要通过以下几个步骤来实现VPN设置：

1) VRF规划

集团所有业务均为独立子业务系统，因此采用业务与VRF一一对应关系，使用每种业务的汉语拼音表示，具体规划如下：

监测监控:jiancejiankong

财务：caiwu

... ...

办公：OA

... ...

2) 全局RD值规划

本文采用“16位自治系统号:32位用户自定义数字”的RD格式。同时由于RD与VRF相捆绑，即PE设备上的每个VPN分配唯一的RD，将不唯一的IPv4地址转化为唯一的VPN-IPv4地址，具体规划如下：

监测监控：100:1

财务：100:2

... ...

办公：100:12

... ...

3) 全局RT值规划

RT值规划与RD基本相同，为了便于维护和管理，采用了与RD相同的格式，分配规则为『AS号：VPN类别』。其中AS号统一使用骨干AS的100，同时考虑到此几类业务之间不存在互访，因此将export和import设为一致，如图4所示。

图4 全局VRF RD RT值规划

4) VPN互通与隔离

本网络中VPN接入CE设备有两种方式，一种是直接采用二层交换机接入；一种是采用三层交换机接入。

二层交换机接入方式在MPLS PE设备上为每个VPN维护一张单独的路由表，防止不同VPN路由相互泄漏，有效隔离，同时保证同一VPN间实现互访。

采用三层交换机接入方式需要将VPN所对应的VLAN透传到MPLS PE设备上，由PE设备实现二层信息终结并完成VPN封装，确保不同VPN之间的信息隔离。

对于个别级别高的主机(信息点、业务系统)，需要访问任何一个VPN，通过设置Super VPN来解决，通过控制Route-Target属性，使其全部接受和发布全部VPN 的路由，这样就可以访问全部的VPN(业务系统)。

3.2 MPLS L2 VPN设计

针对集团专网用户和PPPoE个人用户接入互联网存在的问题，本文采用MPLS L2 VPN技术为核心实现数据的透明传输，如图5所示。

图5 网络用户接入网络示意图

将PPPoE用户集中认证规划为纵向业务，单位分支间的相互访问规划为横向业务。

对于纵向业务VC规划为1101…….其中第一位1代表纵向，第二位1代表业务种类，后二位根据业务节点数依次类推。

横向业务VC规划为2101…….其中第一位2代表横向，第二位1代表业务种类，后二位根据业务节点数依次类推。部分代码如图6所示。

图6 MPLS L2 VPN部分代码

3 结束语

本文结合潞安集团现有网络格局和BGP MPLS VPN、MPLS L2 VPN技术特点，基于RPR骨干环网以BGP MPLS VPN、MPLS L2 VPN为核心组网技术，实现了某一线路中断时业务自动切换；解决了一个基础网络平台之上，承载多个专网业务；确保了专网网络业务的安全隔离；打通了多层网络和路由之间的隧道互联；减少了集团网络管理员的维护量。同时为集团后续业务融入和网络格局变动提供参考和基础依据。

[1] 田庄.BGP MPLS VPN在民航中南宽带数据网中的配置与应用释疑[J].通讯世界,2016(14):104-107.

[2] 徐志根,申晓峰,杜丽萍,等.MPLS L2 VPN的关键技术[J].西南交通大学学报,2006(1):54-57,62.

The Design and Realization of Multiple VPN Based on the RPR Ring Network of Lu’An Group

Wu Weimin, Ren Lujuan

(CommunicationCompanyofLu’anMineGroupLtd.，ChangzhiShanxi046204，China)

The data communication transmission network is the general platform for group production business and the information system. But the special nature of coal industry not only requires that the network does not affect the operation of the business in a certain period of interruption, but also requires that the various operating systems running on the network must be able to achieve effective isolation, supervision and management. This paper shows the design scheme for different network services and users, and introduces how to use BGP MPLS VPN and MPLS L2 VPN technology to make a business isolation on RPR ring network, and make sure the security and independence of the network. In this way, it can finally form the pattern of “one physical network, multiple virtual network” for the informatization construction of Lu'an Group.

Lu’an Mine Group Ltd.; RPR ring network; BGP MPLS VPN; MPLS L2 VPN

2017-04-16

武渭民(1982- )，男，陕西渭南人，工程师，从事煤矿通信技术及设备管理工作。

1674- 4578(2017)03- 0058- 04

TD 76;TP393.1

A