城域網MPLS VPN技術需求與引入策略研究

張小辰 韓毅 孟忻

（中國移動通信集團上海有限公司 上海 200060）

城域網是電信運營商或Internet服務提供商（ISP）在城域范圍內建設的傳輸網絡，按照承載業務性質與層次的不同可以分為城域傳送網與城域數據網。城域傳送網主要為數據、語音、ATM、寬帶線路租用等上層應用網絡提供底層連接的通道；城域數據網則是IP廣域骨干網在城域內的延伸，其目標是為企業、政府和家庭用戶提供便捷、豐富、安全的網絡服務。目前城域網的建設已對網絡拓撲、網絡分層、用戶接入、網絡管理與網絡安全等多個方面實施了優化，能夠滿足企業和用戶的基本數據需求，如何利用城域網資源為用戶提供附加的增值服務成了下一步的關注焦點。

城域網的增值服務包括IP多播、虛擬專用網（VPN）、網絡數據中心（IDC）等，主要在城域數據網中實現。近年來，政府、企業等機構對于網絡私密性、安全性、QoS等需求日益增長，VPN已成為了城域網的一項主要增值業務。本文對目前城域網的主要VPN解決方案進行了歸納，并分析了現有策略的缺陷，提出MPLS VPN技術的優勢與引入必要，并進一步給出了MPLS VPN在城域數據網中的引入步驟與部署方案。

1 城域網傳統VPN技術

VPN全稱為虛擬專用網，它利用共享的公眾網絡建立邏輯上私有的數據傳輸通道，將用戶的遠程分支辦公室、商業伙伴、移動辦公人員等連接起來，提供端到端的、有一定安全性、可管理性和服務質量保證的數據通信服務。用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在目前的形勢下，Internet已經發展成為了公司和個人的重要通信手段，隨著IP技術的不斷發展與成熟，IP VPN受到了越來越多的關注，逐漸成為了VPN業務的主流實現手段。IP VPN因其高度的靈活性和可管理性令運營商能夠更高地利用網絡資源，端到端的QoS保障能力使話音、數據、視頻等業務可以完全承載于基于IP的VPN網絡上，能更有效地利用網絡資源，提供視頻會議、遠程教學等各種多媒體應用。傳統的IP VPN技術主要可分為以下幾類。

1.1 虛擬租用線（VLL，Virtual Leased Lines）

VLL是一種最簡單的IP VPN技術，它利用了偽線仿真（PWE3，Pseudo Wire Emulation Edge-to-Edge）技術，為用戶提供數據鏈路層的點到點鏈路，其基本工作原理是，用戶設備（CE）通過本地專線接入網絡邊緣設備（PE），在PE之間建立專用隧道，PE實施二層鏈路協議轉換，從而建立兩個CE之間的二層通路，供用戶使用。對用戶來說，看到的只有數據鏈路層，并不知道數據傳輸還要經過中間的IP隧道。圖1是一個VLL VPN的網絡示意圖。

圖1 VLL網絡示意圖

與物理專線相比，VLL能夠節省不少費用，且現網中有相應資源，因此目前在運營商中應用較多，但是這種專線是在公網上運用第三層協議開出來的隧道專線，質量和穩定性較低，在企業內部用戶規模較大時，管理和建設都較為復雜，擴展性較差。

1.2 虛擬撥號網絡（VPDN，Virtual Private Dial Network）

VPDN是一種虛擬撥號網絡，在目前寬帶網絡條件下，可通過PPPoE在xDSL或以太網遠程訪問企業數據中心，用戶從企業數據中心獲得一個私網地址，但用戶數據可通過公網進行傳送，并利用二層隧道協議（L2TP）、IPSec等進行加密。一個典型的VPDN網絡結構如圖2所示。

其中，接入服務器由各分支機構所處的運營商提供，提供廣域網接口，負責與PSTN/ISDN或者xDSL、以太網等的PPP連接，支持各種LAN協議，支持安全管理與認證，支持L2TP等隧道協議；用戶網關位于用戶總部，是VPDN業務的終結點，也要求支持L2TP等隧道協議，一般由企業自己提供和管理；RADIUS服務器則用于對VPDN設備與用戶進行管理、計費等。VPDN是目前運用最廣泛，也是技術最成熟的一種IP VPN，它的缺點是不能保證在公網上的服務質量，因此僅適合開展一些較為基礎的VPN業務。

1.3 虛擬專用路由網絡（VPRN）

VPRN是對多點專用廣域路由網絡的模擬，利用公網的IP網絡，在多個VPN成員之間建立虛擬的隧道網絡。與VLL和VPDN有所不同，VPRN將可以在多個VPN成員間建立起完整的虛擬網絡，從VPN用戶的角度看來，他們屬于一個完整的企業網，用戶將感覺不到他們之間是通過VPRN連接起來的。

VPRN有多種實現方式，基本都是在IP協議上面實現的，對于網絡的傳輸機制不需要做任何改變，VPRN的一個典型代表是IPSec，它為IP層及其上層協議（載荷）提供訪問控制、無連接的完整性、數據來源驗證、防重放保護、保密性、自動密鑰管理的安全服務，特定的通信方之間在IP層通過加密與數據源驗證，以保證數據包在Internet上傳輸時的私有性、完整性和真實性。IPSec的主要不足是需要建立全網狀連接，大規模部署時配置復雜，可擴展性較差。

2 MPLS VPN技術

圖2 VLL網絡示意圖

多協議標簽交換（MPLS）是一項新興的備受青睞的VPRN技術，它的實質是將路由器移到網絡的邊緣，將快速、簡單的交換機置于網絡中心，從而實現高速而靈活的數據轉發。基于MPLS 的IP VPN 和傳統的IP VPN 相比有很多優勢：標簽轉發的路徑本身就是公網上的隧道，因此用MPLS來實現VPN具有天然的優勢；而對于VPN 用戶而言，MPLS可以大大簡化用戶的管理，工作量，不再需要使用專門的VPN 設備（如VPN撥入服務器），只需要使用傳統的路由器就可以構建VPN；此外，對于運營商而言，采用MPLS VPN 很容易實現VPN的擴展，同時給運營商帶來更大的商機。

MPLS VPN可分為二層VPN與三層VPN，二層MPLS VPN相當于在互聯網上仿真出來的類似于ATM/FR的二層專線VPN，而三層MPLS VPN是一種基于路由方式的MPLS VPN解決方案，由于目前3層VPN的應用較多且較容易部署，本文主要討論MPLS三層VPN。

MPLS三層VPN的基本網絡架構如圖3所示，其中用戶邊緣路由器（CE）是用戶網絡中和運營商網絡直接相連的設備，不需要支持MPLS，可以僅是一臺簡單的路由器；網絡提供商的邊緣路由器（PE）與CE直接相連，需要支持MPLS 功能，負責運營商網絡同VPN客戶網絡的交互；網絡提供商路由器（P，Provider）是運營商骨干網絡中不和CE 相連的路由器，它是轉發從PE 設備發過來的VPN 數據的設備，同樣需要支持MPLS協議。VPN用戶端的IP數據包傳送到PE時，PE將辨識出該用戶所屬VPN，并打上一個內層VPN標簽，以便目的端的PE設備將其轉發到正確的CE設備上；為了在骨干網上通過MPLS協議傳輸該數據包，源端與目的端的PE之間需要建立一條端到端的標簽轉發路徑（LSP，Lable Switch Path），同時采用標簽分發協議（LDP，Lable Distribution Protocol）在數據包中打上一個外層標簽，運營商網絡中將只依賴于這個外層標簽進行數據轉發，在達到目的端PE時將外層標記去掉，讀取內層標記，找到VPN，并送到相關的接口上，進而將數據傳送到VPN的目的地址處。

MPLS VPN與其它VPN方式完全不同，隧道的起點位于PE上，每個PE路由器為每個VPN維護獨立的路由表和轉發表，運營商能夠代替用戶維護管理VPN內部的三層路由，減輕用戶的管理負擔。MPLS VPN特別適合那些對安全和QoS沒有特殊要求的在中高速率（2Mbit/s以上）專網組建（金融機構、黨政機關等對安全性要求較高且有高帶寬需求的專網因為保密的原因可能會采用L2 VPN或專線組建）。

圖3 MPLS L3 VPN基本網絡架構

3 城域網MPLS VPN技術引入策略

3.1 城域數據網組網結構

由于MPLS VPN是一種介于二三層之間的VPN技術，主要提供在公共IP網絡上的私有數據傳輸，因此主要部署在城域數據網中，為大中型企業、機構的寬帶接入提供安全、高質量的VPN增值業務。目前城域數據網的定位如圖4所示，主要包括匯聚層、業務控制層與核心層，其中匯聚層主要由匯聚交換機組成，工作在二層模式，主要用于對接入設備（主要是OLT）的上行端口和流量進行匯聚，以節省傳輸資源和提高BRAS、SR的端口利用率；業務控制層用于完成對用戶業務的接入認證控制、QoS策略控制、計費統計等功能，主要由業務路由器（SR）和寬帶接入服務器（BRAS）組成，SR主要進行集團客戶相關業務的接入控制，BRAS主要進行家庭客戶相關業務的接入控制；而核心層則主要負責進行數據的快速轉發，并進行整個城域網路由表的維護與更新。

圖4 城域數據網定位

由于MPLS VPN業務主要針對集團客戶，因此主要選取業務控制層的SR設備作為集團客戶專線互聯網接入網關或MPLS VPN PE（部分情況下BRAS設備也可充當），城域網核心路由器作為MPLS VPN的P設備，城域網核心路由器、業務接入控制設備均啟動MPLS和LDP，而用戶網絡中和SR直接相連的設備（主機或者路由器）則充當CE。

3.2 域內MPLS VPN部署方案

在城域內的MPLS VPN體系中，存在兩個層面的路由，分別是IPv4/IPv6的公網路由和VPN私網路由。IPv4/IPv6的公網路由在普通IP轉發方式中使用，要求各CE、PE、P設備保存公網地址路由表，VPN私網路由用于MPLS VPN標簽路徑的建立以及私網數據的標簽分發，所有PE和P設備要運行域內路由選擇協議（OSPF或IS-IS），生成的內部網關協議（IGP，Interior Gateway Protocols）路由表將觸發骨干網中LSP的建立，通過LDP協議建立的LSP，產生的標簽轉發表用于VPN分組的外層標簽的交換；為了保持網絡穩定，降低路由器開銷，PE之間將通過IBGP協議交換路由信息，形成VPN路由，包括IPv4地址、路由標識（RD，Route Distinguisher）、路由目標（RT，Route Target）、VPN標簽和下一條PE地址。其中，RT標識了可以使用某路由的站點的集合，用來控制VPN路由/轉發實例（VRF，VPN Routing/Forwarding）的導入和導出策略，從而保證網絡的連通和拓撲。在PE路由器上，可以根據VRF得到下一跳PE的地址，并打上外層標簽進行轉發。

域內MPLS VPN標簽生成和數據轉發的過程如圖5所示。

首先，整個MPLS VPN網絡需要生成路由信息表。CE 與PE 之間通過采用靜態路由、動態路由協議（如OSPF,RIP等）進行路由信息的交互。當PE 從某個接口接收到來自CE 的路由信息時，將該路由導入對應的VRF中；PE 與PE 之間通過MP-IBGP協議交換各PE上的VRF表，包括所有VRF表中的VPN-IPV4路由以及各VPN對應的標簽（以下簡稱內層標簽）；由于P不參與VPN路由，因此PE與P路由器之間采用傳統的IGP協議相互學習路由信息；采用LDP協議進行路由信息與標記（骨干網絡中的標記，以下稱為外層標記）的綁定。

圖5 域內MPLS VPN轉發過程

CE，PE以及P路由器中基本的網絡拓撲以及路由信息形成之后，MPLS VPN數據轉發就可以開始進行了，當屬于某一VPN的CE用戶數據進入網絡時，在CE與入口PE連接的接口上（根據網絡層IP地址）可以識別出該CE屬于哪一個VPN，進而查看該數據包的目的IPv4地址，在該VPN的VRF中查找該地址所歸屬的目的端PE地址信息，并將它作為下一跳地址，同時，在前傳的數據包中打上VPN標記（內層標簽）。為了達到這個目的端的PE，此時在MPLS骨干網絡中通過BGP獲得骨干路由信息，建立一條源端PE至目的端PE的LSP隧道，同時采用LDP在用戶前傳數據包中打上骨干網絡中的標記（外層標簽）。

在骨干網絡中，初始PE之后的路由交換機均只讀取外層標簽的信息來決定下一跳，因此骨干網絡中只是簡單的標簽交換。在達到目的端PE之前的最后一個交換機時，將外層標記去掉，讀取內層標記，找到VPN，并送到相關的接口上，進而將數據傳送到VPN的目的地址處。

3.3 跨域MPLS VPN部署方案

前面對域內的MPLS VPN部署方案做了分析，而在實際應用中，跨域MPLS VPN業務是十分常見的，其中包括城域網與城域網之間、城域網與骨干網之間的跨域業務。跨域VPN有幾種實現方式。

（1） 在自治系統邊界路由器（ASBR，Autonomous System Border Router）之間建立邏輯子接口，在每個子接口上為每個VPN配置一個VRF，每個VRF和相應的Peer VRF背靠背連接，傳輸VPN用戶的IPv4路由及數據；

（2） 在ASBR之間通過MP-EBGP 為 VPN-IPv4路由分發標簽；

（3） 在跨域的PE之間通過Multi-hop MP-EBGP為VPN-IPv4路由分發標簽。

其中，第2種方式因為配置和排障較為簡單，可擴展性與可維護性較高，比較適合城域網的跨域業務部署，因此目前應用最為廣泛。VPNv4的信息通過MPEBGP的方式傳遞，ASBR通過MP-EBGP學到域內所有VPNv4路由，然后通過MP-EBGP將VPNv4路由傳遞到對端ASBR。ASBR上不需要配置VRF，所以讓ASBR接受所有RT的VPNv4路由。

4 結束語

企業內部對于構建一個安全、高質量、可管理、可擴展私有網絡的需求由來已久，傳統的基于固定物理地點的專線方式（DDN、幀中繼(FR)，SDH等）雖然能夠有效保證數據的安全性，但是卻存在著擴展性差的問題，難以適應現代企業的需求。近期出現的VPN技術具有高度的靈活性和可管理性，而其中MPLS VPN又以其較大的帶寬、高安全性、極強的可擴展性、多種增值服務的融合和較低的維護費用等而獨樹一幟。如何高質量地在城域網內和城域網間部署MPLS VPN并探尋其應用模式，值得進一步深入研究。