MPLS VPN業務在運營商城域網中應用探討

李萌萌，陳靜毅

（中國移動通信集團安徽有限公司六安分公司，安徽六安，237000）

1 VPN技術

目前，隨著網絡技術的發展，網絡規模的不斷擴大，之前的局域網、因特網已不能滿足社會發展的要求。隨著廣域網、城域網概念的提出，人們對VPN技術的要求也日益提高。VPN（virtual private network），稱為虛擬專用網，是指利用IP基礎設施來實現專用廣域網專線的技術。傳統VPN由于配置復雜、維護困難，存在安全隱患等問題，難以滿足網絡發展的需求。而MPLS VPN因為種種優點受到運營商的青睞。目前國內三大運營商都通過城域網部署了大量的MPLS VPN業務，這是一種非常成熟的技術，對比其他VPN業務，有建網成本低、安全性高、業務綜合能力強等特點。

2 MPLS VPN原理

MPLS名詞解釋為多協議標記交換，是一種能實現快速數據包交換和路由的技術。在傳統的數據網絡中，IP報文轉發根據目的地址分析報文、查找路由，計算下一跳接口地址進行轉發。在MPLS網絡中，報文的轉發基于標簽交換（label switch），根據標簽轉發表進行標簽轉發。MPLS網絡中只在入口節點(PE設備)分析IP頭并打上標簽，中間節點（P設備）使用標簽交換，在出口節點（PE設備）剝離標簽，這樣做的好處是降低成本，資源利用率、靈活性和擴展性、安全性高。MPLS稱為2.5層的技術，結合2層交換和3層路由的技術，僅僅在網絡中運行MPLS協議是不行的，同時網絡中還要運行BGP協議來分發和傳遞路由，因此MPLS VPN技術通常也稱為MPLS BGP VPN技術。

有關MPLS VPN原理圖如下:企業通過運營商網絡建設自己的私有網絡，分公司與總公司之間通過運營商公有網絡完成通信，企業間分屬不同的的VPN，彼此相互隔離。運營商設備為PE設備和P設備，企業設備為CE設備。運營商給總公司提供專線服務，并建立總公司與分公司的MPLS-VPN。

圖1

運營商要區分不同企業的路由。比如A企業與B企業都使用10.0.0.0/8地址段，對于運營商來說，要知道如何將用戶路由正確傳遞給相應的對象，因此要保證用戶VPN路由的唯一性。PE設備是通過MPBGP協議在城域網中傳遞用戶VPN路由，為保證每個用戶的VPN路由唯 一 性，MPLS VPN引 入 RD（Route Distinguisher，路由標識符）的概念。CE設備將IPv4前綴發送給PE設備后PE設備打上RD值，IPv4路由前綴前面加上64bit的RD后稱為VPN-IPv4地址簇。VPNv4地址生成方式如下：VPNv4地址=RD+IPv4地址。

PE設備接收到VPNv4地址簇后，要判斷路由該被送入到哪個VPN實例。這里引入RT（Route Target）的概念，當PE設備將VPN路由引入到MP-BGP后，將其攜帶一個RT值并送至遠端PE，遠端PE根據RT值來決定送往哪個VPN instance。RT是BGP的一個擴展團體屬性，RT值分為Import（導入）和Export（導出）。Export的RT會在VPNv4路由發布時攜帶，在接收端PE設備上比較Export RT值與自身所有VRF的Import RT值，匹配則送往相應的VPN路由表。

數據由CE設備到PE設備使用的是IP轉發,數據經過城域網時，因為P設備沒有私網路由，因此沒有辦法使用IP轉發，這時就用到MPLS標簽轉發。IP數據包由CE設備到達PE設備時，PE設備會給私網路由打上兩層標簽：外層標簽和內層標簽。外層標簽是由MPLS LDP協議為公網中的IGP路由映射分發標簽生成的，目的是建立LSP（label switch path，標簽轉發路徑）；內層標簽是MP-BGP協議生成的，目的是出站PE通過內層標簽知道該往哪個VPN轉發數據。在MPLS轉發過程中，P設備只處理外層標簽的交換，不處理內層標簽的交換。

3 MPLS VPN組網實際應用

六安移動目前城域網中部署了大量的MPLS VPN業務，本文以六安移動規劃建設的六安市電子政務專網為例來說明MPLS VPN業務的具體應用。2020年初六安移動中標六安市電子政務專網項目，利用分布全市的網絡資源建設完成全市電子政務專網，包括網絡規劃、IP地址分配、光纜布放等項目全流程工作。

圖2

組建MPLS VPN網絡，分公司首先向省公司申請VPN instance名稱、RD、RT值。省公司分配完畢后，分公司自行分配用戶地址。分公司的BRAS設備作為PE設備，核心路由器和核心路由器作為P設備，核心路由器同時作為MBGP RR，所有BRAS、地市核心路由器、核心路由器都開啟MPLS并在互聯接口下使能MPLS LDP功能。

城域網核心業務規劃部署完成后，要對用戶組網進行規劃。六安市電子政務專網項目以政府為總部，總部接入設備為一臺防火墻，防火墻連接OA服務器、WEB服務器、上網行為記錄管理等；全市所有街道、鄉村作為分部。考慮到總部相對重要，流量較大，因此專門采用GE接口連接政府防火墻設備；分部遍布全市所有鄉鎮街道，運營商利用城域網解決分部接入問題。

根據分部情況對用戶側IP地址設計規劃，規劃信息如下表所示(處于篇幅考慮，只列出部分規劃信息)：

用戶側分布信息 歸屬BRAS信息 分配IP地址政府總部 BRAS11 10.160.10.13/30東市街道 BRAS25 10.160.33.1/27清水河街道 BRAS25 10.160.33.33/27望城街道 BRAS25 10.160.33.65/27………

BRAS側配置分部IP地址信息，配置完成后在BRAS設備檢查該MPLS VPN的VRF路由表，用ping命令測試對端節點是否可達。BRAS側查看全局VRF路由表，通過BGP協議學習到路由表，PE側ping測試防火墻地址也能正常通信，網絡一切正常。

4 結語

從本次項目測試和運行來看，基于MPLS技術的電子政務專網不僅滿足建設成本低、高帶寬、易于擴展，同時具備高可靠性和高安全性，不僅在本地電子政務專網有推廣的意義，同時在全國其他同類MPLS VPN專網項目中有一定借鑒意義。