MPLS VPN與VPDN技術(shù)結(jié)合構(gòu)建城域網(wǎng)混合型VPN業(yè)務

宋蕾

【摘要】 基于IP協(xié)議的各種VPN技術(shù)在電信城域網(wǎng)構(gòu)架上的應用，對于政企客戶的各類需求都已日趨成熟。通常我們在城域網(wǎng)內(nèi)會針對客戶需求提供一種單純的VPN技術(shù)解決方案來實現(xiàn)。本文通過研究MPLS VPN與VPDN技術(shù)結(jié)合構(gòu)建城域網(wǎng)內(nèi)的混合型VPN的技術(shù)可行性。探索適用于城域網(wǎng)內(nèi)接入點分散、接入節(jié)點分支數(shù)量大、可同時滿足互聯(lián)網(wǎng)業(yè)務及企業(yè)內(nèi)網(wǎng)需求的政企客戶組網(wǎng)方案。

【關鍵詞】 MPLS VPN + VPDN 客戶專網(wǎng) 混合型VPN

一、業(yè)務需求分析

1.1用戶網(wǎng)絡接入要求：

中心服務點要求光纖專線接入。

接入分支點較為分散，絕大多數(shù)分布于農(nóng)村等鄉(xiāng)鎮(zhèn)，要求接入方式靈活、擴容能力強。

要求開通時限短。

1.2網(wǎng)絡業(yè)務需求：

中心服務點配置服務器組群，設置固定IP地址，對其它接入分支點提供網(wǎng)絡服務訪問控制。

接入分支點作為客戶端，訪問中心服務點服務器組群，客戶機無固定IP地址要求。

接入分支點有互聯(lián)網(wǎng)訪問需求。

二、網(wǎng)絡技術(shù)實現(xiàn)

2.1現(xiàn)網(wǎng)具備的成熟應用

2.1.1 MPLS VPN技術(shù)及應用

電信MPLS VPN業(yè)務是指依托于電信MPLS承載網(wǎng)，采用多協(xié)議標記交換（MPLS）方式，為客戶在地理上分散的兩個或多個節(jié)點間建立邏輯連接，提供安全的數(shù)據(jù)信息傳輸服務，從而為客戶實現(xiàn)虛擬專網(wǎng)功能，簡稱MPLS VPN業(yè)務。

MPLS-VPN不僅滿足VPN用戶對安全性的要求，還減少了網(wǎng)絡方和用戶方的工作量，可以建立任意的連接，且具有很好的網(wǎng)絡可擴展性。VPN用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡采用VPN-ID，可以保持全網(wǎng)的唯一性。MPLS-VPN還易于提供增值業(yè)務，如不同的COS等。

總之，電信MPLS-VPN業(yè)務是集覆蓋范圍廣、高可靠性、高安全性、易維護性、擴展好等優(yōu)點于一身的端到端的VPN解決方案。

現(xiàn)網(wǎng)支持情況：

現(xiàn)網(wǎng)已開通L3 MPLS VPN業(yè)務，用于承載ITMS網(wǎng)管、WLAN網(wǎng)管和軟交換“等電信自身關鍵業(yè)務以及部分大客戶分支互聯(lián)業(yè)務。各城域骨干網(wǎng)的SR（PE設備）均支持MPLS VPN的相應功能，匯接路由器均支持MPLS。各城域網(wǎng)均有與CN2進行VPN互聯(lián)的PE-ASBR，支持OPTION A跨域VPN的實現(xiàn)。

支持以太網(wǎng)、數(shù)字電路、ADSL專線與撥號接入等多種接入方式。能夠為用戶提供地市級、跨地市、跨省級、跨運營商的L3 MPLS VPN接入服務。

2.1.2 VPDN技術(shù)及應用

VPDN（Virtual Private Dial Network）是指利用公共網(wǎng)絡（如PSTN）的撥號功能及接入網(wǎng)來實現(xiàn)虛擬專用網(wǎng)，為企業(yè)小型分支機構(gòu)站點、移動辦公人員提供VPN 接入服務。VPDN采用專用的網(wǎng)絡加密通信協(xié)議，在公共網(wǎng)絡上為企業(yè)建立安全的虛擬專網(wǎng)。企業(yè)駐外機構(gòu)和出差人員可從遠程經(jīng)由公共網(wǎng)絡，通過虛擬隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡連接，而公共網(wǎng)絡上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源。

現(xiàn)網(wǎng)支持情況：

各本地網(wǎng)已規(guī)模開展VPDN業(yè)務，而且應用時間較長，技術(shù)人員針對此種方式的開通和維護流程都比較熟悉。全省集中部署LNS設備， 城域網(wǎng)BRAS做LAC。

對用戶接入的支持情況：電信對VPDN業(yè)務有良好的支持， ADSL PPPOE撥號接入、以太網(wǎng)PPPOE撥號接入等，用戶的網(wǎng)絡站點可以分布到任何地方通過PPPOE寬帶撥號到BRAS集中認證建立到企業(yè)中心LNS的隧道，從而訪問企業(yè)內(nèi)網(wǎng)；另外，對移動用戶的支持，只要用戶可以訪問Internet就可以通過L2TP撥號訪問企業(yè)中心LNS，所以不受地理位置的限制，在任何地方都可以接入。

城域網(wǎng)對VPDN業(yè)務的支持情況：城域網(wǎng)在各匯聚區(qū)有BRAS接入設備，所有BRAS能夠為用戶提供集中的LAC接入，具備統(tǒng)一的認證平臺能夠為用戶提供良好的用戶認證和管理。在省會城市分別部署了1臺BRAS作為LNS，為用戶提供中心LNS設備，并能提供LNS冗余備份。兩臺專用LNS可以通過MPLS VPN VRF與L2TP隧道綁定，提供多用戶接入能力，可以為多個用戶共享專用LNS接入。

城域網(wǎng)對VPDN業(yè)務的開通情況：陜西電信各城域網(wǎng)已規(guī)模開展VPDN業(yè)務，具有福彩、體彩、稅務等成功的應用案例。

三、利用MPLS VPN和VPDN結(jié)合實現(xiàn)混合VPN組網(wǎng)

3.1方案討論及選定：

在詳細討論客戶需求及客戶接入的可行性后，初步形成以下3種方案。

方案一：現(xiàn)網(wǎng)成熟的vpdn L2TP方式。

實現(xiàn)方式1：用戶自備LNS且放置用戶機房

實現(xiàn)方式2：用戶自備LNS但托管在電信機房

實現(xiàn)方式3：電信提供LNS并且由電信人員維護

實現(xiàn)問題及難點：客戶或公司需追加投資，無法解決用戶中心接入點的專線接入。

方案二：采用IPSecVPN方式。

實現(xiàn)問題及難點：客戶購置VPN網(wǎng)關設備，客戶需追加投資。

方案三：采用現(xiàn)網(wǎng)成熟的MPLS-VPN組網(wǎng)。

實現(xiàn)問題及難點：接入點太多，網(wǎng)絡部署困難，數(shù)據(jù)配置復雜，業(yè)務開通周期長。

對以上3個方案，進行了詳細的討論。結(jié)合用戶網(wǎng)絡需求、用戶投資傾向、電信投資傾向、業(yè)務開通和后續(xù)維護難度，客戶端接入方式采用ADSL.FTTX，LAN方式不變的情況下，采用任何一種單純的VPN技術(shù)實施均有難度。本著節(jié)約成本，提供效率，簡化運維的原則。我們考慮采用混合組網(wǎng)的方式，完成該項目。

3.2最終方案：MPLS VPN + VPDN

3.2.1網(wǎng)絡模型及業(yè)務流圖

見圖1，城域網(wǎng)核心層為兩臺骨干設備（P），業(yè)務控制層設備包括SR及BRAS，分別上聯(lián)到兩臺骨干設備。接入層由DSLAM設備提供ADSL接入；OLT+ODN+ONU提供FTTX接入；以太網(wǎng)交換機提供LAN接入。

3.2.2用戶業(yè)務路由互通及數(shù)據(jù)轉(zhuǎn)發(fā)采用的MPLS-VPN

城域網(wǎng)BRAS/SR的角色為PE. P由骨干層路由器完成。在城域網(wǎng)BRAS/SR上創(chuàng)建MPLS-VPN的VPN實例。并在城域網(wǎng)內(nèi)各BRAS/SR間通過BGP建立VPNv4路由，各BRAS分別與兩臺RR路由反射器（SR兼做）之間建立BGP鄰居關系。實現(xiàn)跨越BRAS/SR間的用戶業(yè)務路由的互通，實現(xiàn)城域網(wǎng)內(nèi)的無盲區(qū)部署。客戶網(wǎng)絡規(guī)劃方面，根據(jù)用戶的接入點數(shù)量及業(yè)務需求，規(guī)劃用戶的ip網(wǎng)段為動態(tài)獲取網(wǎng)段及靜態(tài)ip兩部分，靜態(tài)ip用于客戶中心的服務器系統(tǒng)，其余網(wǎng)點采用動態(tài)地址，并在規(guī)劃時考慮用戶業(yè)務的后續(xù)發(fā)展，做出一定的預留。

3.2.3用戶接入認證部分采用vpdn技術(shù)

有別于傳統(tǒng)的MPLS-VPN。用戶分支接入點的認證通過radius，在radius系統(tǒng)建立vpdn組；在BRAS/SR上建立客戶專用地址池，并引用VPN實例。建立用戶認證域，并引用VPN實例。用戶客戶端采用PPPOE認證方式，用戶接入層配置與普通上網(wǎng)相同，用戶的賬戶帶vpdn組后綴，以保證用戶認證請求送達vpdn組。用戶完成認證后，將獲取客戶專用地址池的IP地址?？蛻舾鱾€接入點獲取的IP地址均為同一VPN實例，即路由可達。不同BRAS/SR間的客戶接入點之間通過VPNv4路由方式互通。

四、技術(shù)方案優(yōu)勢分析

4.1投資成本方面

采用現(xiàn)網(wǎng)兩項成熟技術(shù)的混合組網(wǎng)方式，在網(wǎng)絡設備上不需追加任何投資，從而節(jié)約成本。且客戶端也不需額外投資路由器或VPN網(wǎng)關等設備，降低了客戶的入網(wǎng)門檻。

4.2客戶感知方面

客戶可通過不同的賬戶認證，在互聯(lián)網(wǎng)和VPN私網(wǎng)間自由切換。更有利于滿足目前客戶的雙重網(wǎng)絡需要，為客戶提供完善的信息化解決方案。客戶方的技術(shù)人員維護的難度也極大的降低。

4.3業(yè)務開通方面

網(wǎng)絡設備上不必確定用戶接入設備端口號、不必進行接入端口數(shù)據(jù)的特別制作。對大量接 入的客戶網(wǎng)點，如果采用以往的MPLS VPN（靜態(tài)IP+VLAN綁定）的方式，則需要確定接入設備端口號，分配特殊VLAN。從業(yè)務控制層SR設備、匯聚層設備、接入層設備等全部要進行數(shù)據(jù)制作。而采用混合VPN后，用戶端口數(shù)據(jù)與普通撥號上網(wǎng)數(shù)據(jù)一致，無需進行特殊處理。大大減少因此形成的工作量，節(jié)約開通時間。

4.4運營維護方面

因客戶網(wǎng)絡對城域網(wǎng)可見，所以城域網(wǎng)維護人員可分擔維護量?？蛻魹楹唵?層網(wǎng)絡，維護簡單。接入方式同普通寬帶，對終端維護人員無特殊要求，有利于長期的運營維護。

五、結(jié)語

通過MPLS VPN與VPDN技術(shù)組建混合VPN業(yè)務，有效滿足客戶需求，適用分布廣泛的業(yè)務網(wǎng)點客戶專網(wǎng)方案，已經(jīng)應用于新農(nóng)村合作醫(yī)療VPN專網(wǎng)等，取得了良好的市場收益。客戶可通過XDSL、LAN、EPON等接入方式，快速靈活組建專網(wǎng)。在后期的政企客戶信息化應用中將大力推廣。