_看看中石油怎样选ＶＰＮ网络

　　中国石油信息化建设日益成熟，随之而来的是应用的不断增加和业务分类的更加明细。利用MPLS （多协议标记交换）VPN（虚拟私有网络）可构造宽带Intranet、Extranet，用以满足多种灵活的业务需求。
　　
　　在公共网络上组建VPN
　　 （Virtual Private Network，虚拟私有网络）可以像企业的私有网络一样安全、可靠、可管理。在所有的VPN技术中，MPLS（Multiprotocol Label Switching, 多协议标记交换）VPN具有良好的可扩展性和灵活性，是目前发展最为迅速的VPN技术之一。MPLS VPN是一种基于MPLS技术的IP-VPN，它在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。
　　随着中石油信息化建设的成熟，应用不断增加，业务的分类更加明细。按照网络分布特点可以分为集中式部署、分布式部署; 按照访问特点可以分为与局域网终端用户有关（大部分应用系统）、与局域网终端无关（视频会议系统）。
　　中石油广域网分为核心、11个区域中心以及196家地区公司。其中核心与区域中心、区域中心与地区公司之间通过租用广域网链路进行互联，196家地区公司分属于不同的区域中心。一些地区公司借助中国石油广域网区域中心的资源组建其自身的内部网络。
　　局域网终端与业务无关以及通过广域网分支机构接入的地区公司都不存在与总部其他业务交互的需求。此类业务如果大量在广域网上存在，可以考虑使用访问控制列表、转发策略或者VPN技术，将此类业务进行隔离以独立处理。这样即使单个业务遭受病毒或攻击，也不会影响其他业务的正常转发。
　　
　　广域网物理架构
　　
　　根据中石油广域网络信息应用和信息流向的现状，其广域网框架建立了层次化、多连接的星形网状广域网结构。
　　该结构首先要建立地区汇聚点，即区域网络中心，各地区公司就近连接到区域网络中心，再从区域网络中心连接到股份公司。区域网络中心不仅与股份公司总部以双机、双链路连接，而且它与各接入公司之间也以双机、双链路相连接（个别员工较少的单位除外），形成链路、网络主干设备的热冗余备份和负载均衡，确保中石油关键业务应用的顺利畅通。
　　广域网采用层次化星形网状结构具有以下优点:
　　1. 各区域网络中心、接入地区公司大多以双机、双链路、双电信运营商的热冗余方式接入总部核心，保证了网络的连通性。
　　2. 核心层网络以股份公司总部等三个重要单位组成高速2.5G RPR(弹性分组环)环形网，所有核心层设备全部配置双电源模块和双引擎，该拓扑结构可保证在同一时间、任何一条链路发生故障时网络不会发生中断，使网络具有高度可靠性。
　　3. 核心层为由三个重要单位构成的三个骨干节点，路由器核心路由分别接入下行各区域网络中心，6台设备形成2.5G RPR环形网，相互备份，便于作路由的控制。
　　4. 这一结构减少了股份公司总部中心网络设备的处理负载; 由于合理进行网络业务分流，保证了诸如视频会议、OA办公自动化等业务的网络应用服务质量。
　　5. 这一结构减少了股份公司总部中心设备的维护量，充分发挥了各区域网络中心的技术支撑能力，可在区域范围内提供及时、快速的技术响应，分担了总部的网络和设备的超负荷运转压力。
　　这种复杂的拓扑结构也带来了一些维护技术难点，比如因采用双机、双链路、多电信运营商的建设模式，造成投资较大。
　　
　　广域网逻辑架构
　　
　　中石油的全国广域网中有视频会议的应用，为了保证视频会议的质量，在全网提供QoS（服务质量）保证，需要每段链路上给视频业务预留一定带宽。方案在视频业务进入到大网的地区公司和区域中心时，对视频流加上流标记，并且在出口方向对视频流进行了带宽保证。
　　为了达到冗余备份的效果，核心区连接各个区域中心分别采用了电信和铁通两条链路，区域中心和地区公司之间的互连也是通过电信、铁通、网通中的两条链路完成的。所以整个中石油的广域网是一个在每一段链路上都存在冗余备份的健壮网络。
　　中石油的各个区域之间使用BGP（边界网关协议）路由协议发布业务地址段。由于各个区域中心都通过双链路连接到核心区域，所以所有跨区域的流量都将得到双链路保障。通过BGP路由的动态发现，可以迅速感知到一条链路的中断，并立即切换到另一条链路上。一般的应用系统在这种快速切换的情况下是不会感知到链路中断的。
　　中国石油广域网骨干区域内的IGP（内部网关协议）采用动态的、基于链路状态的OSPF协议。而在每个AS（自治域）内，OSPF（最短路径优先）只负责IBGP下一跳Loopback IP网段可达，具体IPv4路由和MPLS VPN路由由BGP和MBGP（多协议边界网关协议）承载。所以在整个AS内配置OSPF时，只需要保证设备之间互连、IP网段和Loopback网段互通。
　　核心网络与地区公司局域网之间原则上只使用静态路由互联，不使用任何动态路由协议。如果由于技术原因，个别地区公司与广域网之间需要运行动态路由协议，可选择使用OSPF。这时需要设置OSPF多进程，该OSPF保证同接入层网段互联互通，同AS内OSPF进程不需要互相重分布，接入层网段路由在路由器上通过BGP向骨干网宣告。