新闻搜索:
新闻资讯 | 商机市场 | 安防人才 | 监控系统 | 门禁识别 | 防盗报警 | 智能交通 | 警用装备 | 智能小区 | 安检排爆 | 家居智能 | 平安城市 | 工程专栏 | 下载 | 博客 | 论坛
当前位置:中安网 >> 门禁识别 >> 产品应用 >> 一卡通 >> 正文
上海交大GP/MPLS VPN助建一卡通网平台
   来源:中国教育网络    点击数:   发布时间:2008年07月16日   

    作为数字化大学建设的一部分,各个高校纷纷开展了校园一卡通项目建设工作。本文结合了MPLS 技术给出了上海交通大学网络信息中心利用BGP/MPLS VPN技术在校园网中成功部署一卡通业务传输平台的经验,介绍了如何构建一个跨城域、低成本、高安全性、扩展性好、维护和管理简单的校园网一卡通虚拟专用网。

    BGP/MPLS VPN技术

    BGP/MPLS VPN是一种基于MPLS技术的IP虚拟专用网络(IP VPN),该技术是在网络路由和交换设备上应用MPLS技术。沿着预先定义好的标签交换路径(LSP),MPLS在一组互联的路由器之间提供了高效的可扩展的交换功能,LSPs可以通过静态的方式被预先设置好,也可以由ISPs通过动态的方式建立以更好的提供流量工程。BGP/MPLS VPN还简化了核心路由器的路由选择方式,利用IBGP来分发路由协议。BGP/MPLS VPN在不同的站点之间通过构筑这种虚拟网络结构以提供类似无连接的虚链路服务,通常被LSP用来为全球性的跨国企业提供广域范围的连接服务,当来自不同组织的客户之间共享共同的网络结构的时候,尽管他们共享相同的网络结构(使用同一个MPLS Domain来传输用户的数据),但是每个VPN内的用户在传输数据的时候是与其他VPN用户完全隔离而互不影响的,因而BGP/MPLS VPN可用于构造宽带的Intranet、Extranet,满足多种灵活的业务需求。

  PE:(Provider Edge Router),运营商网络上的边缘路由器,与CE相连,主要负责VPN业务的接入。维护独立的路由表,包括公网路由表和VRF路由表,即某一个VPN网络内的路由信息。通常通过定义一个VRF来描述一个VPN网络,每个VPN使用自己独立的路由表。为每个VRF分别配置一个标识,称为RD。在PE发布VRF中的路由信息时,会在地址前面加上RD,以便接收方PE区分来自不同VRF的路由信息;

  CE: (Custom Edge Router),用户边缘路由器,直接与运营商网络相连。PE 和 CE 通过标准的EBGP、OSPF、RIP或者静态路由交换VRF路由信息。PE与CE之间传递的是IPv4路由,PE接收到CE发送的标准IPv4路由后会加上RD(RD为手工配置),变为一条VPN-IPv4路由(在IPv4地址前加上RD之后,就称为VPN-IPv4地址族),更改下一跳属性为本PE的Loopback地址,加上私网标签(随机自动生成,无需配置),再加上Route target属性(RT需手工配置),而后发给所有的PE邻居,因此PE与PE之间传递的是VPN-IPv4路由;

  P:(Provider Router):运营商网络上的核心路由器,主要完成路由和快速转发功能。VPN路由信息可以直接在PE之间传递,所以P路由器中不会包含任何VPN路由信息。PE和P路由器通过运行LDP协议,分配标签,建立标签转发通道;标签栈用于报文转发,外层标签用来指示如何到达BGP下一跳,内层标签表示报文属于哪个VRF。

    VPN 用户站点:VPN中的一个孤立的IP网络,一般来说,如果不通过骨干网其就不具有连通性。

  由于原有的BGP协议只支持IPv4路由,为了支持VPN-IPv4路由,需要在路由信息中包含私网MPLS标签,所以在RFC 2858 中BGP增加了两个扩展属性MP_REACH_NLRI和MP_UNREACH_NLRI,使用了这两种属性的BGP称为MP-BGP。

  在MPLS VPN中,属于同一个VPN的两个用户站点之间转发报文使用两层标记,在入口PE上为报文打上两层标记,外层标记在骨干网内部进行交互,代表了从PE到对端PE的一条隧道。VPN报文打上这层标记,就可以沿着LSP到达对端PE,然后再使用内层标记决定报文应该转发到哪个用户站点上。MPLS VPN应用优势

  IPSec方案的优点在于提供完整的网络层连接功能,安全级别高,因为数据访问将受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。但是这种方案应用到一卡通网络中时需要安装支持IPsec的网络设备,并且由于是端到端的,每个连接都需要一条隧道,因此可能存在N*N的设备投资情况;配置每条隧道的工作量较大,管理隧道上的安全策略也比较困难,如果远程使用人员较多,将使网络维护工作量非常繁重;另一方面IPsec VPN协议比较复杂,理解起来需要更多的时间;兼容性不够,现有的各厂家设备IPsec VPN之间可能不兼容,这将造成连接不上的问题;扩展不方便,如果用户VPN网络中新增一个节点,首先需要手工在这个新增结点上建立与所有已存在的N个结点的隧道及相关的路由;其次对于已存在的N个结点,需要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。

  MPLS VPN较传统使用IPsec VPN的优势在于一方面隧道在PE与PE之间建立,用户不需要自己维护VPN,另一方面把VPN隧道的部署及路由发布变为动态实现,提供一种动态建立的隧道技术,解决了不同VPN共享相同地址空间的问题。

下一页
本文共 3 页,第  [1]  [2]  [3]  页

(编辑:lan)    【发表评论】【告诉好友】【打印此文】【收藏此文】【关闭窗口
热门资讯排行
一卡通应用于智能社区的解决方案
IC卡技术 一卡通系统实际应用设计
IC卡在交通与物流领域中的应用
城市一卡通在医院的应用浅析 
医院健康一卡通系统的设计与应用
上海市人民政府办公大楼一卡通系
主题相关文章
上海交大GP/MPLS VPN助建一卡通网
网友评论:(只显示最新3条。评论内容只代表网友观点,与本站立场无关!)
热点内容推荐
CPS观察
编辑推荐
最新专题
最新商机