張小辰 韓毅 孟忻

（中國移動通信集團上海有限公司 上海 200060）

城域網(wǎng)是電信運營商或Internet服務(wù)提供商（ISP）在城域范圍內(nèi)建設(shè)的傳輸網(wǎng)絡(luò)，按照承載業(yè)務(wù)性質(zhì)與層次的不同可以分為城域傳送網(wǎng)與城域數(shù)據(jù)網(wǎng)。城域傳送網(wǎng)主要為數(shù)據(jù)、語音、ATM、寬帶線路租用等上層應(yīng)用網(wǎng)絡(luò)提供底層連接的通道；城域數(shù)據(jù)網(wǎng)則是IP廣域骨干網(wǎng)在城域內(nèi)的延伸，其目標(biāo)是為企業(yè)、政府和家庭用戶提供便捷、豐富、安全的網(wǎng)絡(luò)服務(wù)。目前城域網(wǎng)的建設(shè)已對網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)分層、用戶接入、網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全等多個方面實施了優(yōu)化，能夠滿足企業(yè)和用戶的基本數(shù)據(jù)需求，如何利用城域網(wǎng)資源為用戶提供附加的增值服務(wù)成了下一步的關(guān)注焦點。

城域網(wǎng)的增值服務(wù)包括IP多播、虛擬專用網(wǎng)（VPN）、網(wǎng)絡(luò)數(shù)據(jù)中心（IDC）等，主要在城域數(shù)據(jù)網(wǎng)中實現(xiàn)。近年來，政府、企業(yè)等機構(gòu)對于網(wǎng)絡(luò)私密性、安全性、QoS等需求日益增長，VPN已成為了城域網(wǎng)的一項主要增值業(yè)務(wù)。本文對目前城域網(wǎng)的主要VPN解決方案進(jìn)行了歸納，并分析了現(xiàn)有策略的缺陷，提出MPLS VPN技術(shù)的優(yōu)勢與引入必要，并進(jìn)一步給出了MPLS VPN在城域數(shù)據(jù)網(wǎng)中的引入步驟與部署方案。

1 城域網(wǎng)傳統(tǒng)VPN技術(shù)

VPN全稱為虛擬專用網(wǎng)，它利用共享的公眾網(wǎng)絡(luò)建立邏輯上私有的數(shù)據(jù)傳輸通道，將用戶的遠(yuǎn)程分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來，提供端到端的、有一定安全性、可管理性和服務(wù)質(zhì)量保證的數(shù)據(jù)通信服務(wù)。用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在目前的形勢下，Internet已經(jīng)發(fā)展成為了公司和個人的重要通信手段，隨著IP技術(shù)的不斷發(fā)展與成熟，IP VPN受到了越來越多的關(guān)注，逐漸成為了VPN業(yè)務(wù)的主流實現(xiàn)手段。IP VPN因其高度的靈活性和可管理性令運營商能夠更高地利用網(wǎng)絡(luò)資源，端到端的QoS保障能力使話音、數(shù)據(jù)、視頻等業(yè)務(wù)可以完全承載于基于IP的VPN網(wǎng)絡(luò)上，能更有效地利用網(wǎng)絡(luò)資源，提供視頻會議、遠(yuǎn)程教學(xué)等各種多媒體應(yīng)用。傳統(tǒng)的IP VPN技術(shù)主要可分為以下幾類。

1.1 虛擬租用線（VLL，Virtual Leased Lines）

VLL是一種最簡單的IP VPN技術(shù)，它利用了偽線仿真（PWE3，Pseudo Wire Emulation Edge-to-Edge）技術(shù)，為用戶提供數(shù)據(jù)鏈路層的點到點鏈路，其基本工作原理是，用戶設(shè)備（CE）通過本地專線接入網(wǎng)絡(luò)邊緣設(shè)備（PE），在PE之間建立專用隧道，PE實施二層鏈路協(xié)議轉(zhuǎn)換，從而建立兩個CE之間的二層通路，供用戶使用。對用戶來說，看到的只有數(shù)據(jù)鏈路層，并不知道數(shù)據(jù)傳輸還要經(jīng)過中間的IP隧道。圖1是一個VLL VPN的網(wǎng)絡(luò)示意圖。

圖1 VLL網(wǎng)絡(luò)示意圖

與物理專線相比，VLL能夠節(jié)省不少費用，且現(xiàn)網(wǎng)中有相應(yīng)資源，因此目前在運營商中應(yīng)用較多，但是這種專線是在公網(wǎng)上運用第三層協(xié)議開出來的隧道專線，質(zhì)量和穩(wěn)定性較低，在企業(yè)內(nèi)部用戶規(guī)模較大時，管理和建設(shè)都較為復(fù)雜，擴展性較差。

1.2 虛擬撥號網(wǎng)絡(luò)（VPDN，Virtual Private Dial Network）

VPDN是一種虛擬撥號網(wǎng)絡(luò)，在目前寬帶網(wǎng)絡(luò)條件下，可通過PPPoE在xDSL或以太網(wǎng)遠(yuǎn)程訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私網(wǎng)地址，但用戶數(shù)據(jù)可通過公網(wǎng)進(jìn)行傳送，并利用二層隧道協(xié)議（L2TP）、IPSec等進(jìn)行加密。一個典型的VPDN網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

其中，接入服務(wù)器由各分支機構(gòu)所處的運營商提供，提供廣域網(wǎng)接口，負(fù)責(zé)與PSTN/ISDN或者xDSL、以太網(wǎng)等的PPP連接，支持各種LAN協(xié)議，支持安全管理與認(rèn)證，支持L2TP等隧道協(xié)議；用戶網(wǎng)關(guān)位于用戶總部，是VPDN業(yè)務(wù)的終結(jié)點，也要求支持L2TP等隧道協(xié)議，一般由企業(yè)自己提供和管理；RADIUS服務(wù)器則用于對VPDN設(shè)備與用戶進(jìn)行管理、計費等。VPDN是目前運用最廣泛，也是技術(shù)最成熟的一種IP VPN，它的缺點是不能保證在公網(wǎng)上的服務(wù)質(zhì)量，因此僅適合開展一些較為基礎(chǔ)的VPN業(yè)務(wù)。

1.3 虛擬專用路由網(wǎng)絡(luò)（VPRN）

VPRN是對多點專用廣域路由網(wǎng)絡(luò)的模擬，利用公網(wǎng)的IP網(wǎng)絡(luò)，在多個VPN成員之間建立虛擬的隧道網(wǎng)絡(luò)。與VLL和VPDN有所不同，VPRN將可以在多個VPN成員間建立起完整的虛擬網(wǎng)絡(luò)，從VPN用戶的角度看來，他們屬于一個完整的企業(yè)網(wǎng)，用戶將感覺不到他們之間是通過VPRN連接起來的。

VPRN有多種實現(xiàn)方式，基本都是在IP協(xié)議上面實現(xiàn)的，對于網(wǎng)絡(luò)的傳輸機制不需要做任何改變，VPRN的一個典型代表是IPSec，它為IP層及其上層協(xié)議（載荷）提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗證、防重放保護(hù)、保密性、自動密鑰管理的安全服務(wù)，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet上傳輸時的私有性、完整性和真實性。IPSec的主要不足是需要建立全網(wǎng)狀連接，大規(guī)模部署時配置復(fù)雜，可擴展性較差。

2 MPLS VPN技術(shù)

圖2 VLL網(wǎng)絡(luò)示意圖

多協(xié)議標(biāo)簽交換（MPLS）是一項新興的備受青睞的VPRN技術(shù)，它的實質(zhì)是將路由器移到網(wǎng)絡(luò)的邊緣，將快速、簡單的交換機置于網(wǎng)絡(luò)中心，從而實現(xiàn)高速而靈活的數(shù)據(jù)轉(zhuǎn)發(fā)?；贛PLS 的IP VPN 和傳統(tǒng)的IP VPN 相比有很多優(yōu)勢：標(biāo)簽轉(zhuǎn)發(fā)的路徑本身就是公網(wǎng)上的隧道，因此用MPLS來實現(xiàn)VPN具有天然的優(yōu)勢；而對于VPN 用戶而言，MPLS可以大大簡化用戶的管理，工作量，不再需要使用專門的VPN 設(shè)備（如VPN撥入服務(wù)器），只需要使用傳統(tǒng)的路由器就可以構(gòu)建VPN；此外，對于運營商而言，采用MPLS VPN 很容易實現(xiàn)VPN的擴展，同時給運營商帶來更大的商機。

MPLS VPN可分為二層VPN與三層VPN，二層MPLS VPN相當(dāng)于在互聯(lián)網(wǎng)上仿真出來的類似于ATM/FR的二層專線VPN，而三層MPLS VPN是一種基于路由方式的MPLS VPN解決方案，由于目前3層VPN的應(yīng)用較多且較容易部署，本文主要討論MPLS三層VPN。

MPLS三層VPN的基本網(wǎng)絡(luò)架構(gòu)如圖3所示，其中用戶邊緣路由器（CE）是用戶網(wǎng)絡(luò)中和運營商網(wǎng)絡(luò)直接相連的設(shè)備，不需要支持MPLS，可以僅是一臺簡單的路由器；網(wǎng)絡(luò)提供商的邊緣路由器（PE）與CE直接相連，需要支持MPLS 功能，負(fù)責(zé)運營商網(wǎng)絡(luò)同VPN客戶網(wǎng)絡(luò)的交互；網(wǎng)絡(luò)提供商路由器（P，Provider）是運營商骨干網(wǎng)絡(luò)中不和CE 相連的路由器，它是轉(zhuǎn)發(fā)從PE 設(shè)備發(fā)過來的VPN 數(shù)據(jù)的設(shè)備，同樣需要支持MPLS協(xié)議。VPN用戶端的IP數(shù)據(jù)包傳送到PE時，PE將辨識出該用戶所屬VPN，并打上一個內(nèi)層VPN標(biāo)簽，以便目的端的PE設(shè)備將其轉(zhuǎn)發(fā)到正確的CE設(shè)備上；為了在骨干網(wǎng)上通過MPLS協(xié)議傳輸該數(shù)據(jù)包，源端與目的端的PE之間需要建立一條端到端的標(biāo)簽轉(zhuǎn)發(fā)路徑（LSP，Lable Switch Path），同時采用標(biāo)簽分發(fā)協(xié)議（LDP，Lable Distribution Protocol）在數(shù)據(jù)包中打上一個外層標(biāo)簽，運營商網(wǎng)絡(luò)中將只依賴于這個外層標(biāo)簽進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，在達(dá)到目的端PE時將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找到VPN，并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處。

MPLS VPN與其它VPN方式完全不同，隧道的起點位于PE上，每個PE路由器為每個VPN維護(hù)獨立的路由表和轉(zhuǎn)發(fā)表，運營商能夠代替用戶維護(hù)管理VPN內(nèi)部的三層路由，減輕用戶的管理負(fù)擔(dān)。MPLS VPN特別適合那些對安全和QoS沒有特殊要求的在中高速率（2Mbit/s以上）專網(wǎng)組建（金融機構(gòu)、黨政機關(guān)等對安全性要求較高且有高帶寬需求的專網(wǎng)因為保密的原因可能會采用L2 VPN或?qū)＞€組建）。

圖3 MPLS L3 VPN基本網(wǎng)絡(luò)架構(gòu)

3 城域網(wǎng)MPLS VPN技術(shù)引入策略

3.1 城域數(shù)據(jù)網(wǎng)組網(wǎng)結(jié)構(gòu)

由于MPLS VPN是一種介于二三層之間的VPN技術(shù)，主要提供在公共IP網(wǎng)絡(luò)上的私有數(shù)據(jù)傳輸，因此主要部署在城域數(shù)據(jù)網(wǎng)中，為大中型企業(yè)、機構(gòu)的寬帶接入提供安全、高質(zhì)量的VPN增值業(yè)務(wù)。目前城域數(shù)據(jù)網(wǎng)的定位如圖4所示，主要包括匯聚層、業(yè)務(wù)控制層與核心層，其中匯聚層主要由匯聚交換機組成，工作在二層模式，主要用于對接入設(shè)備（主要是OLT）的上行端口和流量進(jìn)行匯聚，以節(jié)省傳輸資源和提高BRAS、SR的端口利用率；業(yè)務(wù)控制層用于完成對用戶業(yè)務(wù)的接入認(rèn)證控制、QoS策略控制、計費統(tǒng)計等功能，主要由業(yè)務(wù)路由器（SR）和寬帶接入服務(wù)器（BRAS）組成，SR主要進(jìn)行集團客戶相關(guān)業(yè)務(wù)的接入控制，BRAS主要進(jìn)行家庭客戶相關(guān)業(yè)務(wù)的接入控制；而核心層則主要負(fù)責(zé)進(jìn)行數(shù)據(jù)的快速轉(zhuǎn)發(fā)，并進(jìn)行整個城域網(wǎng)路由表的維護(hù)與更新。

圖4 城域數(shù)據(jù)網(wǎng)定位

由于MPLS VPN業(yè)務(wù)主要針對集團客戶，因此主要選取業(yè)務(wù)控制層的SR設(shè)備作為集團客戶專線互聯(lián)網(wǎng)接入網(wǎng)關(guān)或MPLS VPN PE（部分情況下BRAS設(shè)備也可充當(dāng)），城域網(wǎng)核心路由器作為MPLS VPN的P設(shè)備，城域網(wǎng)核心路由器、業(yè)務(wù)接入控制設(shè)備均啟動MPLS和LDP，而用戶網(wǎng)絡(luò)中和SR直接相連的設(shè)備（主機或者路由器）則充當(dāng)CE。

3.2 域內(nèi)MPLS VPN部署方案

在城域內(nèi)的MPLS VPN體系中，存在兩個層面的路由，分別是IPv4/IPv6的公網(wǎng)路由和VPN私網(wǎng)路由。IPv4/IPv6的公網(wǎng)路由在普通IP轉(zhuǎn)發(fā)方式中使用，要求各CE、PE、P設(shè)備保存公網(wǎng)地址路由表，VPN私網(wǎng)路由用于MPLS VPN標(biāo)簽路徑的建立以及私網(wǎng)數(shù)據(jù)的標(biāo)簽分發(fā)，所有PE和P設(shè)備要運行域內(nèi)路由選擇協(xié)議（OSPF或IS-IS），生成的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP，Interior Gateway Protocols）路由表將觸發(fā)骨干網(wǎng)中LSP的建立，通過LDP協(xié)議建立的LSP，產(chǎn)生的標(biāo)簽轉(zhuǎn)發(fā)表用于VPN分組的外層標(biāo)簽的交換；為了保持網(wǎng)絡(luò)穩(wěn)定，降低路由器開銷，PE之間將通過IBGP協(xié)議交換路由信息，形成VPN路由，包括IPv4地址、路由標(biāo)識（RD，Route Distinguisher）、路由目標(biāo)（RT，Route Target）、VPN標(biāo)簽和下一條PE地址。其中，RT標(biāo)識了可以使用某路由的站點的集合，用來控制VPN路由/轉(zhuǎn)發(fā)實例（VRF，VPN Routing/Forwarding）的導(dǎo)入和導(dǎo)出策略，從而保證網(wǎng)絡(luò)的連通和拓?fù)洹Ｔ赑E路由器上，可以根據(jù)VRF得到下一跳PE的地址，并打上外層標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)。

域內(nèi)MPLS VPN標(biāo)簽生成和數(shù)據(jù)轉(zhuǎn)發(fā)的過程如圖5所示。

首先，整個MPLS VPN網(wǎng)絡(luò)需要生成路由信息表。CE 與PE 之間通過采用靜態(tài)路由、動態(tài)路由協(xié)議（如OSPF,RIP等）進(jìn)行路由信息的交互。當(dāng)PE 從某個接口接收到來自CE 的路由信息時，將該路由導(dǎo)入對應(yīng)的VRF中；PE 與PE 之間通過MP-IBGP協(xié)議交換各PE上的VRF表，包括所有VRF表中的VPN-IPV4路由以及各VPN對應(yīng)的標(biāo)簽（以下簡稱內(nèi)層標(biāo)簽）；由于P不參與VPN路由，因此PE與P路由器之間采用傳統(tǒng)的IGP協(xié)議相互學(xué)習(xí)路由信息；采用LDP協(xié)議進(jìn)行路由信息與標(biāo)記（骨干網(wǎng)絡(luò)中的標(biāo)記，以下稱為外層標(biāo)記）的綁定。

圖5 域內(nèi)MPLS VPN轉(zhuǎn)發(fā)過程

CE，PE以及P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔⑿纬芍?，MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)就可以開始進(jìn)行了，當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時，在CE與入口PE連接的接口上（根據(jù)網(wǎng)絡(luò)層IP地址）可以識別出該CE屬于哪一個VPN，進(jìn)而查看該數(shù)據(jù)包的目的IPv4地址，在該VPN的VRF中查找該地址所歸屬的目的端PE地址信息，并將它作為下一跳地址，同時，在前傳的數(shù)據(jù)包中打上VPN標(biāo)記（內(nèi)層標(biāo)簽）。為了達(dá)到這個目的端的PE，此時在MPLS骨干網(wǎng)絡(luò)中通過BGP獲得骨干路由信息，建立一條源端PE至目的端PE的LSP隧道，同時采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記（外層標(biāo)簽）。

在骨干網(wǎng)絡(luò)中，初始PE之后的路由交換機均只讀取外層標(biāo)簽的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡單的標(biāo)簽交換。在達(dá)到目的端PE之前的最后一個交換機時，將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找到VPN，并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處。

3.3 跨域MPLS VPN部署方案

前面對域內(nèi)的MPLS VPN部署方案做了分析，而在實際應(yīng)用中，跨域MPLS VPN業(yè)務(wù)是十分常見的，其中包括城域網(wǎng)與城域網(wǎng)之間、城域網(wǎng)與骨干網(wǎng)之間的跨域業(yè)務(wù)?？缬騐PN有幾種實現(xiàn)方式。

（1） 在自治系統(tǒng)邊界路由器（ASBR，Autonomous System Border Router）之間建立邏輯子接口，在每個子接口上為每個VPN配置一個VRF，每個VRF和相應(yīng)的Peer VRF背靠背連接，傳輸VPN用戶的IPv4路由及數(shù)據(jù)；

（2） 在ASBR之間通過MP-EBGP 為 VPN-IPv4路由分發(fā)標(biāo)簽；

（3） 在跨域的PE之間通過Multi-hop MP-EBGP為VPN-IPv4路由分發(fā)標(biāo)簽。

其中，第2種方式因為配置和排障較為簡單，可擴展性與可維護(hù)性較高，比較適合城域網(wǎng)的跨域業(yè)務(wù)部署，因此目前應(yīng)用最為廣泛。VPNv4的信息通過MPEBGP的方式傳遞，ASBR通過MP-EBGP學(xué)到域內(nèi)所有VPNv4路由，然后通過MP-EBGP將VPNv4路由傳遞到對端ASBR。ASBR上不需要配置VRF，所以讓ASBR接受所有RT的VPNv4路由。

4 結(jié)束語

企業(yè)內(nèi)部對于構(gòu)建一個安全、高質(zhì)量、可管理、可擴展私有網(wǎng)絡(luò)的需求由來已久，傳統(tǒng)的基于固定物理地點的專線方式（DDN、幀中繼(FR)，SDH等）雖然能夠有效保證數(shù)據(jù)的安全性，但是卻存在著擴展性差的問題，難以適應(yīng)現(xiàn)代企業(yè)的需求。近期出現(xiàn)的VPN技術(shù)具有高度的靈活性和可管理性，而其中MPLS VPN又以其較大的帶寬、高安全性、極強的可擴展性、多種增值服務(wù)的融合和較低的維護(hù)費用等而獨樹一幟。如何高質(zhì)量地在城域網(wǎng)內(nèi)和城域網(wǎng)間部署MPLS VPN并探尋其應(yīng)用模式，值得進(jìn)一步深入研究。