宋蕾

【摘要】 基于IP協(xié)議的各種VPN技術(shù)在電信城域網(wǎng)構(gòu)架上的應(yīng)用，對(duì)于政企客戶的各類需求都已日趨成熟。通常我們?cè)诔怯蚓W(wǎng)內(nèi)會(huì)針對(duì)客戶需求提供一種單純的VPN技術(shù)解決方案來實(shí)現(xiàn)。本文通過研究MPLS VPN與VPDN技術(shù)結(jié)合構(gòu)建城域網(wǎng)內(nèi)的混合型VPN的技術(shù)可行性。探索適用于城域網(wǎng)內(nèi)接入點(diǎn)分散、接入節(jié)點(diǎn)分支數(shù)量大、可同時(shí)滿足互聯(lián)網(wǎng)業(yè)務(wù)及企業(yè)內(nèi)網(wǎng)需求的政企客戶組網(wǎng)方案。

【關(guān)鍵詞】 MPLS VPN + VPDN 客戶專網(wǎng) 混合型VPN

一、業(yè)務(wù)需求分析

1.1用戶網(wǎng)絡(luò)接入要求：

中心服務(wù)點(diǎn)要求光纖專線接入。

接入分支點(diǎn)較為分散，絕大多數(shù)分布于農(nóng)村等鄉(xiāng)鎮(zhèn)，要求接入方式靈活、擴(kuò)容能力強(qiáng)。

要求開通時(shí)限短。

1.2網(wǎng)絡(luò)業(yè)務(wù)需求：

中心服務(wù)點(diǎn)配置服務(wù)器組群，設(shè)置固定IP地址，對(duì)其它接入分支點(diǎn)提供網(wǎng)絡(luò)服務(wù)訪問控制。

接入分支點(diǎn)作為客戶端，訪問中心服務(wù)點(diǎn)服務(wù)器組群，客戶機(jī)無固定IP地址要求。

接入分支點(diǎn)有互聯(lián)網(wǎng)訪問需求。

二、網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)

2.1現(xiàn)網(wǎng)具備的成熟應(yīng)用

2.1.1 MPLS VPN技術(shù)及應(yīng)用

電信MPLS VPN業(yè)務(wù)是指依托于電信MPLS承載網(wǎng)，采用多協(xié)議標(biāo)記交換（MPLS）方式，為客戶在地理上分散的兩個(gè)或多個(gè)節(jié)點(diǎn)間建立邏輯連接，提供安全的數(shù)據(jù)信息傳輸服務(wù)，從而為客戶實(shí)現(xiàn)虛擬專網(wǎng)功能，簡稱MPLS VPN業(yè)務(wù)。

MPLS-VPN不僅滿足VPN用戶對(duì)安全性的要求，還減少了網(wǎng)絡(luò)方和用戶方的工作量，可以建立任意的連接，且具有很好的網(wǎng)絡(luò)可擴(kuò)展性。VPN用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡(luò)采用VPN-ID，可以保持全網(wǎng)的唯一性。MPLS-VPN還易于提供增值業(yè)務(wù)，如不同的COS等。

總之，電信MPLS-VPN業(yè)務(wù)是集覆蓋范圍廣、高可靠性、高安全性、易維護(hù)性、擴(kuò)展好等優(yōu)點(diǎn)于一身的端到端的VPN解決方案。

現(xiàn)網(wǎng)支持情況：

現(xiàn)網(wǎng)已開通L3 MPLS VPN業(yè)務(wù)，用于承載ITMS網(wǎng)管、WLAN網(wǎng)管和軟交換“等電信自身關(guān)鍵業(yè)務(wù)以及部分大客戶分支互聯(lián)業(yè)務(wù)。各城域骨干網(wǎng)的SR（PE設(shè)備）均支持MPLS VPN的相應(yīng)功能，匯接路由器均支持MPLS。各城域網(wǎng)均有與CN2進(jìn)行VPN互聯(lián)的PE-ASBR，支持OPTION A跨域VPN的實(shí)現(xiàn)。

支持以太網(wǎng)、數(shù)字電路、ADSL專線與撥號(hào)接入等多種接入方式。能夠?yàn)橛脩籼峁┑厥屑?jí)、跨地市、跨省級(jí)、跨運(yùn)營商的L3 MPLS VPN接入服務(wù)。

2.1.2 VPDN技術(shù)及應(yīng)用

VPDN（Virtual Private Dial Network）是指利用公共網(wǎng)絡(luò)（如PSTN）的撥號(hào)功能及接入網(wǎng)來實(shí)現(xiàn)虛擬專用網(wǎng)，為企業(yè)小型分支機(jī)構(gòu)站點(diǎn)、移動(dòng)辦公人員提供VPN 接入服務(wù)。VPDN采用專用的網(wǎng)絡(luò)加密通信協(xié)議，在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)。企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源。

現(xiàn)網(wǎng)支持情況：

各本地網(wǎng)已規(guī)模開展VPDN業(yè)務(wù)，而且應(yīng)用時(shí)間較長，技術(shù)人員針對(duì)此種方式的開通和維護(hù)流程都比較熟悉。全省集中部署LNS設(shè)備， 城域網(wǎng)BRAS做LAC。

對(duì)用戶接入的支持情況：電信對(duì)VPDN業(yè)務(wù)有良好的支持， ADSL PPPOE撥號(hào)接入、以太網(wǎng)PPPOE撥號(hào)接入等，用戶的網(wǎng)絡(luò)站點(diǎn)可以分布到任何地方通過PPPOE寬帶撥號(hào)到BRAS集中認(rèn)證建立到企業(yè)中心LNS的隧道，從而訪問企業(yè)內(nèi)網(wǎng)；另外，對(duì)移動(dòng)用戶的支持，只要用戶可以訪問Internet就可以通過L2TP撥號(hào)訪問企業(yè)中心LNS，所以不受地理位置的限制，在任何地方都可以接入。

城域網(wǎng)對(duì)VPDN業(yè)務(wù)的支持情況：城域網(wǎng)在各匯聚區(qū)有BRAS接入設(shè)備，所有BRAS能夠?yàn)橛脩籼峁┘械腖AC接入，具備統(tǒng)一的認(rèn)證平臺(tái)能夠?yàn)橛脩籼峁┝己玫挠脩粽J(rèn)證和管理。在省會(huì)城市分別部署了1臺(tái)BRAS作為LNS，為用戶提供中心LNS設(shè)備，并能提供LNS冗余備份。兩臺(tái)專用LNS可以通過MPLS VPN VRF與L2TP隧道綁定，提供多用戶接入能力，可以為多個(gè)用戶共享專用LNS接入。

城域網(wǎng)對(duì)VPDN業(yè)務(wù)的開通情況：陜西電信各城域網(wǎng)已規(guī)模開展VPDN業(yè)務(wù)，具有福彩、體彩、稅務(wù)等成功的應(yīng)用案例。

三、利用MPLS VPN和VPDN結(jié)合實(shí)現(xiàn)混合VPN組網(wǎng)

3.1方案討論及選定：

在詳細(xì)討論客戶需求及客戶接入的可行性后，初步形成以下3種方案。

方案一：現(xiàn)網(wǎng)成熟的vpdn L2TP方式。

實(shí)現(xiàn)方式1：用戶自備LNS且放置用戶機(jī)房

實(shí)現(xiàn)方式2：用戶自備LNS但托管在電信機(jī)房

實(shí)現(xiàn)方式3：電信提供LNS并且由電信人員維護(hù)

實(shí)現(xiàn)問題及難點(diǎn)：客戶或公司需追加投資，無法解決用戶中心接入點(diǎn)的專線接入。

方案二：采用IPSecVPN方式。

實(shí)現(xiàn)問題及難點(diǎn)：客戶購置VPN網(wǎng)關(guān)設(shè)備，客戶需追加投資。

方案三：采用現(xiàn)網(wǎng)成熟的MPLS-VPN組網(wǎng)。

實(shí)現(xiàn)問題及難點(diǎn)：接入點(diǎn)太多，網(wǎng)絡(luò)部署困難，數(shù)據(jù)配置復(fù)雜，業(yè)務(wù)開通周期長。

對(duì)以上3個(gè)方案，進(jìn)行了詳細(xì)的討論。結(jié)合用戶網(wǎng)絡(luò)需求、用戶投資傾向、電信投資傾向、業(yè)務(wù)開通和后續(xù)維護(hù)難度，客戶端接入方式采用ADSL.FTTX，LAN方式不變的情況下，采用任何一種單純的VPN技術(shù)實(shí)施均有難度。本著節(jié)約成本，提供效率，簡化運(yùn)維的原則。我們考慮采用混合組網(wǎng)的方式，完成該項(xiàng)目。

3.2最終方案：MPLS VPN + VPDN

3.2.1網(wǎng)絡(luò)模型及業(yè)務(wù)流圖

見圖1，城域網(wǎng)核心層為兩臺(tái)骨干設(shè)備（P），業(yè)務(wù)控制層設(shè)備包括SR及BRAS，分別上聯(lián)到兩臺(tái)骨干設(shè)備。接入層由DSLAM設(shè)備提供ADSL接入；OLT+ODN+ONU提供FTTX接入；以太網(wǎng)交換機(jī)提供LAN接入。

3.2.2用戶業(yè)務(wù)路由互通及數(shù)據(jù)轉(zhuǎn)發(fā)采用的MPLS-VPN

城域網(wǎng)BRAS/SR的角色為PE. P由骨干層路由器完成。在城域網(wǎng)BRAS/SR上創(chuàng)建MPLS-VPN的VPN實(shí)例。并在城域網(wǎng)內(nèi)各BRAS/SR間通過BGP建立VPNv4路由，各BRAS分別與兩臺(tái)RR路由反射器（SR兼做）之間建立BGP鄰居關(guān)系。實(shí)現(xiàn)跨越BRAS/SR間的用戶業(yè)務(wù)路由的互通，實(shí)現(xiàn)城域網(wǎng)內(nèi)的無盲區(qū)部署。客戶網(wǎng)絡(luò)規(guī)劃方面，根據(jù)用戶的接入點(diǎn)數(shù)量及業(yè)務(wù)需求，規(guī)劃用戶的ip網(wǎng)段為動(dòng)態(tài)獲取網(wǎng)段及靜態(tài)ip兩部分，靜態(tài)ip用于客戶中心的服務(wù)器系統(tǒng)，其余網(wǎng)點(diǎn)采用動(dòng)態(tài)地址，并在規(guī)劃時(shí)考慮用戶業(yè)務(wù)的后續(xù)發(fā)展，做出一定的預(yù)留。

3.2.3用戶接入認(rèn)證部分采用vpdn技術(shù)

有別于傳統(tǒng)的MPLS-VPN。用戶分支接入點(diǎn)的認(rèn)證通過radius，在radius系統(tǒng)建立vpdn組；在BRAS/SR上建立客戶專用地址池，并引用VPN實(shí)例。建立用戶認(rèn)證域，并引用VPN實(shí)例。用戶客戶端采用PPPOE認(rèn)證方式，用戶接入層配置與普通上網(wǎng)相同，用戶的賬戶帶vpdn組后綴，以保證用戶認(rèn)證請(qǐng)求送達(dá)vpdn組。用戶完成認(rèn)證后，將獲取客戶專用地址池的IP地址?？蛻舾鱾€(gè)接入點(diǎn)獲取的IP地址均為同一VPN實(shí)例，即路由可達(dá)。不同BRAS/SR間的客戶接入點(diǎn)之間通過VPNv4路由方式互通。

四、技術(shù)方案優(yōu)勢(shì)分析

4.1投資成本方面

采用現(xiàn)網(wǎng)兩項(xiàng)成熟技術(shù)的混合組網(wǎng)方式，在網(wǎng)絡(luò)設(shè)備上不需追加任何投資，從而節(jié)約成本。且客戶端也不需額外投資路由器或VPN網(wǎng)關(guān)等設(shè)備，降低了客戶的入網(wǎng)門檻。

4.2客戶感知方面

客戶可通過不同的賬戶認(rèn)證，在互聯(lián)網(wǎng)和VPN私網(wǎng)間自由切換。更有利于滿足目前客戶的雙重網(wǎng)絡(luò)需要，為客戶提供完善的信息化解決方案。客戶方的技術(shù)人員維護(hù)的難度也極大的降低。

4.3業(yè)務(wù)開通方面

網(wǎng)絡(luò)設(shè)備上不必確定用戶接入設(shè)備端口號(hào)、不必進(jìn)行接入端口數(shù)據(jù)的特別制作。對(duì)大量接 入的客戶網(wǎng)點(diǎn)，如果采用以往的MPLS VPN（靜態(tài)IP+VLAN綁定）的方式，則需要確定接入設(shè)備端口號(hào)，分配特殊VLAN。從業(yè)務(wù)控制層SR設(shè)備、匯聚層設(shè)備、接入層設(shè)備等全部要進(jìn)行數(shù)據(jù)制作。而采用混合VPN后，用戶端口數(shù)據(jù)與普通撥號(hào)上網(wǎng)數(shù)據(jù)一致，無需進(jìn)行特殊處理。大大減少因此形成的工作量，節(jié)約開通時(shí)間。

4.4運(yùn)營維護(hù)方面

因客戶網(wǎng)絡(luò)對(duì)城域網(wǎng)可見，所以城域網(wǎng)維護(hù)人員可分擔(dān)維護(hù)量?？蛻魹楹唵?層網(wǎng)絡(luò)，維護(hù)簡單。接入方式同普通寬帶，對(duì)終端維護(hù)人員無特殊要求，有利于長期的運(yùn)營維護(hù)。

五、結(jié)語

通過MPLS VPN與VPDN技術(shù)組建混合VPN業(yè)務(wù)，有效滿足客戶需求，適用分布廣泛的業(yè)務(wù)網(wǎng)點(diǎn)客戶專網(wǎng)方案，已經(jīng)應(yīng)用于新農(nóng)村合作醫(yī)療VPN專網(wǎng)等，取得了良好的市場收益?？蛻艨赏ㄟ^XDSL、LAN、EPON等接入方式，快速靈活組建專網(wǎng)。在后期的政企客戶信息化應(yīng)用中將大力推廣。