武汉广电宽带城域网MPLS VPN应用实例分析

　　MPLS VPN技术利用公用骨干网络强大的传输能力，不仅降低网络建设成本，提高用户网络管理的灵活性，同时可以满足用户对信息传输安全性、实时性、宽频带、方便性的各种需要。以上多种优势，使之在武汉广电宽带城域网中得到了广泛的应用。下面我将结合武汉广电宽带城域网中MPLS　VPN的一个具体实例（武汉市财税库行网络横向互联）来对其特性进行定性和定量的细致分析。

1 武汉市财税库行网络横向互联MPLS VPN的设计要求

　　（1）各个地理上相对分散的市财政局，市地税局、市国税局之间利用武汉广电宽带网进行网络互联共享信息资源。

　　（2）网络采用星型结构，人民银行国库武汉市支库与市财政局，市地税局、市国税局之间形成一个高速、低成本、容易扩展、高度控制权的网络。

　　（3）财税库行系统横向互联网络骨干带宽需求100Mbps，用户端口10Mbps或者2Mbps，且网络平台具有很强的可扩展性。

　　（4）整个网络的应用完全与外界隔离，不允许与系统外有任何的数据交换，具有高度的安全性。

2 武汉市财税库行网络横向互联MPLS VPN具体配置

　　为实现武汉市财税库行网络横向互通需求，武汉广电采用了在城域网上使用MPLS VPN来实现的方案，在财税库行MPLS VPN中，总部信息交换处理中心设在人民银行国库武汉市支库，分别连至市财政局、市国税局、市地税局三个分支机构。总部可以访问每个分支机构的网络，分支机构可以访问总部的网络，但是分支机构之间不能互相访问。

　　通过配置我们在武汉广电宽带城域网MPLS VPN平台上建立了一个二层四个MPLS VPN，其中VPN-A，VPN-B，VPN-C为二级VPN，连接各下属机构；VPN-SERVER 为一级VPN，连接所有二级VPN。这个配置将实现独立VPN内部能够通信，二级VPN之间路由隔离，一级VPN可以与二级VPN通信。下面将通过对这个实例的若干特性进行测试，进一步验证是否达到网络目标。

3 武汉广电宽带城域网中MPLS VPN应用的项目测试

　　MPLS VPN网络需要测试的内容有[41]：

　　（1）建立功能：包括标签交换、MPLS BGP以及VPN连接的建立功能。

　　（2）PE-CE的连接性：在这个测试项目中需要测试每个接口(PE-CE互连端口)收发数据的能力；每个接口运行路由协议（如静态、BGP4、OSPF、ISIS和RIP)的能力；支持2层配置、寻址、告警的能力。另外很重要的是大包传输检测，在MPLS VPN业务区域内，所有采用Ethernet连接的部分必须能够传输最大(1500字节)的IP数据包另加两个MPLS标签(8个字节)，否则LSP就被分拆开来传输、PE设备间不能通信。

　　（3）VPN节点的可达性：PE收到CE设备(属于某个VPN)发送的IP包后，将查询VRF得到IP包的BGP下一跳的地址和到达目的地所需的MPLS标签，将它们压入堆栈。

　　MPLS在骨干网上传输数据包，出口PE设备执行弹出堆栈转发IP包到相应目的地址的工作。在其它PE上建立模拟的VPN,与被测PE设备建立通信检测包转发路由的正确性。

　　（4）性能和扩展性试验：在被测PE上模拟建立大量VPN的连接，观察VPN中数据流量的情况，CPU的资源消耗是否合理、运行是否稳定。另外需做Qos测试，内容包括数据包丢包率、时延和抖动这三方面的特性。这些测试应当在每个VPN和每个接口上都做一遍。

　　（5）服务等级测试：验证运营商对客户承诺的SLA是整个网络测试的关键环节。如要确认是否达到SLA的承诺指标，需要对一些关键参数做测试。

　　QoS和流量参数：包括PE到PE的回程时延、抖动和丢包率；站点、VPN或接入连接的可用性；接入连接负载；提供业务时长；故障修复时长；到站点、路由或VPN的总流量；到站点、路由或VPN的不规则流；路由器利用率；业务恢复验证。

　　为用户提供VPN服务时、必须提供可用性指标和Qos保证。这就要求网络和设备都具有容错和备份功能，以防链路失效。网络恢复有多种实现的技术和算法，如，依靠协议的重选路由的能力。一般地可以概括成基于设备的技术，即采用快速重选路由的办法；基于网络的技术，即用一条到多条备份路径作为主标签交换路径LSP的备份。不管用什么办法实现、测试的关键就是测试在网络或设备重建VPN业务的时候是否能够遵守SLA中提出的指标。在测试中人为中断主路由，测试备份路由切换的时间、流量的抖动、性能是否有变化、是否丢包等。

　　另外，可以进行容错测试，即人为地给PE路由器发送错误的数据包，如内容错误或者顺序错误来观察被测设备的容错能力。这是一致性、功能性测试的一个方面。这个测试要求测试仪表具有输入错误数据包的功能。

　　为了能够测试MPLS VPN的主要功能，对测试仪表的功能有一些基本要求：从功能上可以仿真运营商的PC和PE路由器，以及用户的CE边缘设备。能够仿真运营商网络上和CE、PE之间连接所运行的全部协议。能够模拟协议的运行过程，例如，MPLS LSP和VPN隧道的建立。能够模拟在VPN隧道上线速发送数据流。

　　通过以上介绍：MPLS VPN的测试是一个比较复杂的过程，主要是因为牵涉到很多因素。下面仅针对实例MPLS-VPN做几项简单测试：

　　此次VPN主要测试的项目是：独立VPN可以在内部通信，分支VPN可以访问中心VPN，但分支VPN之间不能互相访问，中心VPN则可访问任何分支VPN。

　　3.1 对武汉市财税库行网络横向互联网络中独立MPLS-VPN的连通性测试

　　测试要求：在VPN内的所有用户，可以查看VPN内其他用户的路由信息，并且保持连通性。

　　例：我们以VPN-A的主机CA1：IP地址：10.1.2.12，主机CA2:IP地址：10.2.2.12

　　使用命令： 在CA1上：(1)C:ping 10.2.2.12 -t

　　(2)C:tracert 10.2.2.12

　　显示结果：

　　C:ping 10.2.2.12 –t

　　Pinging 10.2.2.12 with 32 bytes of data:

　　Reply from 10.2.2.12: bytes=32 time<10ms TTL=254

　　Reply from 10.2.2.12: bytes=32 time<10ms TTL=254

　　Reply from 10.2.2.12: bytes=32 time<10ms TTL=254

　　Reply from 10.2.2.12: bytes=32 time<10ms TTL=254

　　Ping statistics for 10.2.2.12:

　　Packets: Sent = 4, Received = 4, Lost = 0 (0% l

　　Approximate round trip times in milli-seconds:

　　Minimum = 0ms, Maximum = 0ms, Average = 0ms

　　(2) C:tracert 10.2.2.12

　　tracerting route to 10.2.2.12 over a maximum of 30 hops

　　1 <10 ms <10ms <10ms 10.1.2.254

　　2 <10 ms <10ms <10ms 10.2.2.254

　　3 <10 ms <10ms <10ms 10.2.2.12

　　Pinging 10.2.2.12 with 32 bytes of data:

　　最后得出结果：

　　VPN-A的CA1上：

　　1 CA1看到CA2的路由信息

　　可以看到路由信息

　　2 CA1 Ping CA2

　　可以ping通

　　使用相同命令，我们可以在CA2上看到CA1的路由信息，并可以ping通CA1，故通过以上命令，可以得出VPNA上的用户可以相互通讯。

　　通过同样方式的测试，VPNA，VPNB ,VPNC，SERVER上的用户均可以ping通本VPN内的用户，反向操作也可以ping通。并且可以看到本VPN内的路由信息。

　　测试均符合测试要求，说明测试成功。证明独立的VPN内部进行通信正常。

　　3.2 路由信息隔离测试

　　测试内容：VPN-A、VPN-B、VPN-C路由信息隔离，即相互之间无法看他其他VPN的路由信息

　　测试命令：tracert (IP address)

　　测试过程同第一项

　　测试结果：VPN-A,VPN-B,VPN-C相互看不到其他VPN路由信息。

　　测试内容：VPN-A、VPN-B、VPN-C数据包隔离测试，即一个VPN内的用户无法与其他VPN用户进行通信。

　　测试命令：ping (ip address)

　　测试过程同第一项

　　测试结果：VPN-A，VPN-B ,VPN-C彼此均ping不通其他VPN。

　　2项测试均符合测试要求，说明测试成功。证明分支VPN间不能进行通信。

　　3.3 中心VPN与分支VPN的连通性

　　测试内容：SERVER 和VPN-A、VPN-B、VPN-C路由信息连通测试，即从VPN-SERVER内查看其他分支VPN的路由信息

　　测试命令：tracert (IP address)

　　测试过程同第一项

　　测试结果：SERVER可以看到VPN-A,VPN-B,VPN-C的路由信息。反向操作，也可以看到SERVER的路由信息。

　　测试内容:SERVER和VPN-A、VPN-B、VPN-C数据包连通测试,，即从SERVER可以PING通VPN-A,VPN-B,VPN-C的任意一个点。

　　测试命令：ping (ip address)

　　测试过程同第一项

　　测试结果：VPN-A，VPN-B ,VPN-C均可以ping通SERVER，反向操作也可以ping通。

　　2项测试均符合测试要求，说明测试成功。证明中心VPN可以与分支VPN进行通信。

　　根据以上三项测试，证明武汉市财税库行网络横向互联网络的MPLS-VPN工作正常,达到了预期对MPLS-VPN的安全性和QoS等要求，实现了设计目标。

　　3.4 财税库行系统横向互联MPLS VPN的流量分析

　　根据财税库行系统横向互联的设计要求, 接入单位为4个，网络骨干带宽需求100Mbps，用户端口10Mbps或者2Mbps，且网络平台具有很强的可扩展性，下面我们按MPLS中的最大流来进行流量分析：

　　衡量网络性能的重要参数是网络的吞吐量和网络时延这两个参数。我们将对这两个参数进行定量分析。

　　首先对整个财税库行系统横向互联专网上的信息流量进行概算：假定每个接入单位使用的主机平均为50台。财税库行系统横向互联专网内同时使用主干网传输的用户数为：4×50＝200；同时使用网络的主机数为40%。财税库行系统横向互联专网同时使用主干网络传输的用户数是200×40%＝80

　　财税库行系统横向互联专网的应用包括：安全认证系统，公文传递系统等专业应用系统。

　　每个在CA认证平均占用带宽125K；

　　每个公文平均占用带宽300Kbps；

　　其他专业应用系统的业务资源占用带宽为256Kbps。

　　带宽计算如下：

　　80×(125+300+256)/1024＝53Mbps

　　因此我们在财税库行系统横向互联专网中提供100M的骨干带宽,完全符合财税库行系统横向互联专网的安全认证、公文传递等应用的带宽需求。

　　由于此次设计的是财税库行系统横向互联专网的一期工程，随后还会陆续有多家单位接入，预期将达到20个接入单位，骨干流量通过以上计算，将达到200~300M，我们现在所采用的CISCO GSR 12000系列路由器可以简单的通过流量设置来扩展带宽，用户不需要有任何的更改，扩展非常容易。

　　下面我们再来对网络时延参数进行定量分析。由于财税库行系统横向互联专网要求高速高效，假设骨干节点的数据流量为50M，在考虑以太网无效数据包的情况下，骨干设备的交换容量为50/0.6＝83M,因此骨干交换机的实时包转发率应大于83M。而CISCO12012的实时包转发率622M显然可以满足财税库行系统横向互联专网的要求。

　　通过以上定量分析可以发现，采用MPLS VPN技术实现的财税库行系统横向互联专网完全满足安全高速公文传递等应用的需求。

　　以上我通过武汉市财税库行网络横向互联为实例，深入研究了武汉广电宽带城域网MPLS VPN应用的设计、配置及实现，并在网络实际环境中对武汉市财税库行网络横向互联MPLS VPN的安全性进行了测试，对武汉市财税库行网络横向互联MPLS VPN的流量进行了量化的分析，验证了MPLS VPN的实际意义。

　　MPLS VPN的发展代表了互联网络今后的发展趋势，在降低成本的同时满足用户对网络带宽、接入和服务不断增加的需求，因此，MPLS VPN必将成为未来网络发展的重要方向。
作者：武汉广电网络 赵雪石   来源：《声像与电脑》