摘要：通過分析MPLS VPN的技術(shù)優(yōu)勢(shì)，可以看出MPLS VPN在技術(shù)成熟度、部署方便、擴(kuò)展性、兼容性等方面都滿足DCN網(wǎng)的組網(wǎng)需求，MPLS VPN是針對(duì)我們的實(shí)際需求的一種最佳解決方案。

關(guān)鍵詞：MPLS VPN 路由器

一、MPLS VPN 技術(shù)優(yōu)勢(shì)

MPLS VPN 技術(shù)優(yōu)勢(shì)：

（1）安全性高：采用MPLS 作為通道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸，MPLS 的標(biāo)簽交換路徑（LSP）具有與FR 和ATMVCC 相類似的安全性；另外，由于CNCnet 的MPLS 實(shí)現(xiàn)對(duì)用戶透明，用戶還可以采用它已有的手段，如設(shè)置防火墻，采用數(shù)據(jù)安全加密等方法，進(jìn)一步提高安全性。

（2）強(qiáng)大的擴(kuò)展性：包括兩點(diǎn)，網(wǎng)絡(luò)中可以容納的VPN 數(shù)目很大；同一VPN 中的用戶很容易擴(kuò)充。

（3）業(yè)務(wù)的融合：提供了數(shù)據(jù)、語音和視頻相融合的能力。

（4）靈活的控制策略：可以制定特殊的控制策略，滿足不同用戶的特殊要求，實(shí)現(xiàn)增值服務(wù)。

（5）強(qiáng)大的管理功能：采用集中管理的方式，業(yè)務(wù)配置與調(diào)度統(tǒng)一平臺(tái)。減輕了用戶的負(fù)擔(dān)。

（6）服務(wù)級(jí)別協(xié)議：目前有差別服務(wù)、流量整形和服務(wù)級(jí)別來保證一定的流量性能，將來可以提供帶寬保證和更高的服務(wù)質(zhì)量保證。

（7）為用戶節(jié)省費(fèi)用：

線路費(fèi)：價(jià)格比租用專線節(jié)約。

設(shè)備費(fèi)：用戶只須配備CE設(shè)備，不需要專門的VPN 網(wǎng)關(guān)。

融合業(yè)務(wù)：通過融合語音數(shù)據(jù)業(yè)務(wù)來節(jié)約費(fèi)用。

管理費(fèi)用：用戶不必進(jìn)行專門管理維護(hù)。

人員費(fèi)用：不必要雇用大量的專業(yè)技術(shù)人員。

二、組網(wǎng)需求分析

在吉林省DCN 組網(wǎng)過程中，我們參考了目前幾種成熟的組網(wǎng)方案，經(jīng)過各方面的對(duì)比，最終選擇了MPLS VPN 的方式來組網(wǎng)。

以下是三種不同的VPN 組網(wǎng)方式，IPSEC VPN 需要在用戶端安裝客戶端軟件，當(dāng)用戶的VPN 策略稍微有所改變時(shí)，運(yùn)行和長(zhǎng)期維護(hù)兩個(gè)方面都需要有大量的IT支持，這種模型不太適合在省企業(yè)網(wǎng)內(nèi)部大范圍部署；SSLVPN 比較適合用于移動(dòng)用戶的遠(yuǎn)程接入，SSL VPN的移動(dòng)用戶使用標(biāo)準(zhǔn)的瀏覽器，無需安裝客戶端程序，即可通過SSL VPN隧道接入內(nèi)部網(wǎng)。SSL VPN 是一種基于應(yīng)用層的VPN，它避開了部署及管理必要客戶軟件的復(fù)雜性各項(xiàng)需求，在Web 的易用性和安全性方面架起了一座橋梁。但對(duì)于一個(gè)企業(yè)來說不僅提供基于Web 的應(yīng)用，也同時(shí)提供大量不基于Web 的應(yīng)用，如OA、財(cái)務(wù)、ERP等應(yīng)用。在現(xiàn)階段，SSL VPN 只能訪問基于Web 的應(yīng)用，所以這種模型也不適合在DCN 內(nèi)部署；MPLS VPN 在技術(shù)成熟度、部署方便，擴(kuò)展性、兼容性等方面都滿足DCN網(wǎng)的組網(wǎng)需求，它是針對(duì)我們的實(shí)際需求的一種最佳解決方案。

三、MPLS/VPN應(yīng)用分析

虛擬專用網(wǎng)（VPN）為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

1.MPLS 網(wǎng)絡(luò)結(jié)構(gòu)

MPLS 網(wǎng)絡(luò)的基本構(gòu)成單元是標(biāo)簽交換路由器LSR（Lable Switch Router）。由LSR 構(gòu)成的網(wǎng)絡(luò)叫做MPLS 域，位于區(qū)域邊緣和其他用戶網(wǎng)絡(luò)相連的LSR 稱為邊緣標(biāo)簽交換路由器（LER，Labeled Edge Router），位于區(qū)域內(nèi)部的LSR 則稱為核心標(biāo)簽交換路由器。核心LSR 可以是支持MPLS 的路由器，也可以是由ATM 交換機(jī)等升級(jí)而成的ATM-LSR。被標(biāo)簽的分組沿著由一系列LSR 構(gòu)成的標(biāo)簽交換路徑LSP（Label Switched Path）傳送，其中入口LSR 叫Ingress，出口LSR 叫Egress。

2.基于MP-iBGP 協(xié)議的MPLS VPN 的實(shí)現(xiàn)

BGP MPLS VPN，主要實(shí)現(xiàn)原理是使用BGP 在運(yùn)營(yíng)商骨干網(wǎng)發(fā)布VPN 路由信息，用MPLS 來轉(zhuǎn)發(fā)VPN 業(yè)務(wù)流。RFC2547 定義了允許服務(wù)提供商利用其IP 骨干網(wǎng)絡(luò)為用戶提供VPN 服務(wù)的一種機(jī)制。

PE1 路由器根據(jù)數(shù)據(jù)報(bào)文到達(dá)的接口，以及目的地址信息在查找相應(yīng)VPN-instance 轉(zhuǎn)發(fā)表，匹配后將報(bào)文轉(zhuǎn)發(fā)出去，同時(shí)打上兩個(gè)標(biāo)簽1001、22，其中22 為外層標(biāo)簽，1001 為內(nèi)層標(biāo)簽。

報(bào)文通過MPLS網(wǎng)絡(luò)傳送到PE2 中，報(bào)文從PE2 的前一跳轉(zhuǎn)發(fā)出來時(shí)已經(jīng)剝離外層標(biāo)簽，PE2 收到的報(bào)文是僅包含內(nèi)層標(biāo)簽的MPLS報(bào)文，PE2 通過內(nèi)標(biāo)簽和目的地址信息查找VPN-instance 表項(xiàng)，并確定報(bào)文發(fā)送的出接口，從而到達(dá)CE2。CE2 接收到IP 報(bào)文后，根據(jù)正常的IP 轉(zhuǎn)發(fā)過程將報(bào)文傳送到目的主機(jī)，數(shù)據(jù)報(bào)文傳送過程結(jié)束。

四、DCN 網(wǎng)MPLS VPN 的設(shè)計(jì)與實(shí)現(xiàn)

1.DCN 網(wǎng)中MPLS VPN 方案設(shè)計(jì)

方案設(shè)計(jì)圖

2.DCN 骨干域內(nèi)VPN 劃分原則

省運(yùn)營(yíng)支撐系統(tǒng)中建立六套新業(yè)務(wù)系統(tǒng)，分別為計(jì)費(fèi)賬務(wù)系統(tǒng)、綜合結(jié)算系統(tǒng)、聯(lián)機(jī)采集系統(tǒng)、綜合服務(wù)提供平臺(tái)、資源管理系統(tǒng)、交換網(wǎng)網(wǎng)管系統(tǒng)。

各系統(tǒng)的數(shù)據(jù)訪問模型為：在各地市數(shù)據(jù)需要相互隔離，但是必須和省中心相應(yīng)業(yè)務(wù)互訪。省中心6套業(yè)務(wù)系統(tǒng)之間需要互訪，同時(shí)省中心6套業(yè)務(wù)還要同原DCN網(wǎng)上承載的業(yè)務(wù)和國(guó)家級(jí)DCN網(wǎng)絡(luò)互訪。

經(jīng)過以上分析，劃分VPN 的結(jié)果為：各地市劃分5 個(gè)VPN，分別為計(jì)費(fèi)賬務(wù)系統(tǒng)、綜合結(jié)算系統(tǒng)、綜合服務(wù)提供平臺(tái)、資源管理系統(tǒng)、交換網(wǎng)網(wǎng)管系統(tǒng)；省中心劃分一個(gè)VPN，該VPN 在import VPN路由的時(shí)候，將同時(shí)導(dǎo)入其他5 個(gè)VPN 的路由。各地市在導(dǎo)入路由時(shí)，可以使用route-filter 導(dǎo)入X 里相應(yīng)的網(wǎng)段；其他業(yè)務(wù)都劃分為非VPN 業(yè)務(wù)。需要將省中心VPN 里的路由導(dǎo)入近inet.0 路由表，

來實(shí)現(xiàn)非VPN 業(yè)務(wù)和省中心的互訪。

3.DCN 網(wǎng)中LSP 的建立

LSP 的建立，在轉(zhuǎn)發(fā)數(shù)據(jù)流時(shí)，可以用GRE Tunnel，也可以用MPLS LSP。由于路由設(shè)備上沒有支持GRE的Tunnel PIC硬件卡，我們只考慮LSP。為了在骨干網(wǎng)上轉(zhuǎn)發(fā)VPN流量，必須在學(xué)到路由的PE路由器和廣播路由的PE路由器之間建立LSP。

如果希望為L(zhǎng)SP分配帶寬或使用流量工程為L(zhǎng)SP選擇一條明確的路徑，那么則使用RSVP?；赗SVP的LSP支持特定的服務(wù)質(zhì)量(QoS)保障和/或特定的流量工程目標(biāo)?；赗SVP的LSP的優(yōu)先權(quán)要高于基于LDP的LSP。如果基于LDP的LSP和基于RSVP的LSP都位于一對(duì)PE路由器之間，入口標(biāo)記交換路由器(LSR)選擇基于RSVP的LSP，而不是基于LDP的LSP。我們知道，MPLS LSP是單向的點(diǎn)對(duì)點(diǎn)的路徑，每?jī)牲c(diǎn)間通信要建立兩條LSP，一去一回，才能完成雙向通信。如果DCN里14個(gè)點(diǎn)都作為PE，那么需要建立和維護(hù)240多條LSP，這將使維護(hù)人員不堪重負(fù)。從這里出發(fā)，我們考慮兩種協(xié)議帶來的優(yōu)缺點(diǎn)。

LDP優(yōu)點(diǎn)：如果選擇使用LDP，那么將在骨干中建立一個(gè)全網(wǎng)狀盡力而為的LSP，以支持PE到PE全連接能力。建立時(shí)只需要在相應(yīng)的端口Enable LDP，它能夠自動(dòng)建立到所有PE的LSP，開通簡(jiǎn)單易行。

LDP缺點(diǎn)：對(duì)LSP無法進(jìn)行控制，它根據(jù)IGP的最短路徑建立LSP，不支持特定的服務(wù)質(zhì)量(QoS)保障和/或特定的流量工程。

RSVP優(yōu)點(diǎn)：可以對(duì)LSP進(jìn)行控制，支持支持特定的服務(wù)質(zhì)量(QoS)保障和/或特定的流量工程，均衡網(wǎng)絡(luò)上流量負(fù)載。有更好的路徑失敗保護(hù)，可以快速重路由。

PSVP缺點(diǎn)：使用RSVP，那么將需要手工在骨干網(wǎng)中建立一個(gè)全網(wǎng)狀的LSP，也就是手工配置多條LSP，配置復(fù)雜。

吉林省DCN網(wǎng)絡(luò)分為省網(wǎng)和各地市DCN兩個(gè)層面，根據(jù)省中心與各分公司數(shù)據(jù)訪問的模型，各分公司與省中心互訪，各分公司間不進(jìn)行數(shù)據(jù)互訪，所以在省中心與各分公司間使用RSVP協(xié)議手工建立LSP。

參考文獻(xiàn)：

[1]Jim GuichardFrancois LeFaucheurJean-Philippe Vasseur 著 陳武譯。MPLS網(wǎng)絡(luò)設(shè)計(jì)權(quán)威指南[M]。北京：人民郵電出版社，2007.1

[2]Luc De Ghein著陳麒帆譯。MPLS技術(shù)構(gòu)架［M］.北京：人民郵電出版社，2008.1