中國(guó)電信股份有限公司廈門分公司 林 慰

MPLS VPN用戶組網(wǎng)分析及解決方案

中國(guó)電信股份有限公司廈門分公司 林 慰

電信目前為客戶提供的MPLS VPN組網(wǎng)解決方案是一種基于PE的L3 VPN技術(shù)，使用BGP協(xié)議在城域網(wǎng)上發(fā)布VPN路由，使用MPLS在城域網(wǎng)上轉(zhuǎn)發(fā)VPN報(bào)文，實(shí)現(xiàn)用戶組建私網(wǎng)需求。MPLS VPN用戶的網(wǎng)絡(luò)組網(wǎng)模型與實(shí)際業(yè)務(wù)配置需求存在互相影響，容易導(dǎo)致部分分支點(diǎn)業(yè)務(wù)需求出現(xiàn)異常。

MPLS VPN；組網(wǎng)；PE；CE；中心點(diǎn)；分支點(diǎn)

一、現(xiàn)狀分析

用戶采用的基本組網(wǎng)模型主要為如下兩種：

1.全網(wǎng)狀模型（any-to-any）

全網(wǎng)狀組網(wǎng)強(qiáng)調(diào)網(wǎng)絡(luò)的互通性，確保VPN所有站點(diǎn)互聯(lián)互通，適合不同部門或分支機(jī)構(gòu)有頻繁業(yè)務(wù)來往的企業(yè)組網(wǎng)需要。

2.星型組網(wǎng)（Hub-Spoke）

適合主從架構(gòu)的機(jī)構(gòu)組網(wǎng)需要，目前大部分企業(yè)和政府部門屬于這種架構(gòu)，在這種架構(gòu)中，保證分支機(jī)構(gòu)和總部直接通性，而防止分支機(jī)構(gòu)直接訪問，實(shí)現(xiàn)VPN訪問的安全性。

具備一定技術(shù)力量的大型私網(wǎng)組成的客戶，一般采用星型組網(wǎng)的方式，依托電信配合，組建適合自身結(jié)構(gòu)的VPN網(wǎng)型。

二、VPN用戶組網(wǎng)異常分析

某衛(wèi)生系統(tǒng)幾家MPLS VPN組網(wǎng)用戶申訴，分支點(diǎn)訪問其他分支點(diǎn)有要求通過中心點(diǎn)或不通過中心點(diǎn)的問題，影響業(yè)務(wù)使用。經(jīng)進(jìn)一步調(diào)查研究，發(fā)現(xiàn)此類用戶組網(wǎng)均為星型結(jié)構(gòu)并且中心點(diǎn)配置有默認(rèn)0.0.0.0的路由發(fā)布，在該種配置情況下即會(huì)出現(xiàn)如下兩種情況：

1.始發(fā)、末端分支點(diǎn)電路與中心點(diǎn)在不同PE

當(dāng)始發(fā)分支點(diǎn)和末端分支點(diǎn)電路均于中心點(diǎn)不在相同PE時(shí)，分支點(diǎn)之間可利用中心點(diǎn)所在PE的路由轉(zhuǎn)發(fā)實(shí)現(xiàn)直接訪問，而不經(jīng)過中心點(diǎn)用戶內(nèi)網(wǎng)CE設(shè)備。具體如圖1所示（圖示為舉例說明，非實(shí)際網(wǎng)絡(luò)配置，下同）：

圖1 始發(fā)、末端分支點(diǎn)電路與中心點(diǎn)在不同PE

（1）A分支點(diǎn)學(xué)習(xí)不到電信云平臺(tái)（分支點(diǎn)）內(nèi)10.200.0.73的路由，但能學(xué)習(xí)到中心點(diǎn)V000004發(fā)布的默認(rèn)0.0.0.0路由，下一跳為中心點(diǎn)PE設(shè)備IP。

（2）當(dāng)A分支點(diǎn)預(yù)訪問電信云平臺(tái)，客戶端的數(shù)據(jù)IP報(bào)文依照學(xué)習(xí)到的默認(rèn)路由，轉(zhuǎn)發(fā)到中心點(diǎn)所在的PE設(shè)備。

（3）當(dāng)數(shù)據(jù)報(bào)文正常達(dá)到中心點(diǎn)所在的PE設(shè)備，因中心點(diǎn)的VPN電路上有所有分支點(diǎn)的接入路由，所以中心點(diǎn)PE直接基于數(shù)據(jù)報(bào)文中的目的IP和標(biāo)簽，轉(zhuǎn)發(fā)至云平臺(tái)的PE。

（4）數(shù)據(jù)報(bào)文達(dá)到云平臺(tái)所在的PE，基于MPLS 標(biāo)簽，正常尋址到云平臺(tái)的VPN網(wǎng)內(nèi)的10.200.0.73設(shè)備，實(shí)現(xiàn)了正常訪問。

在星型VPN組網(wǎng)內(nèi)，當(dāng)配置了中心點(diǎn)的默認(rèn)路由發(fā)布，在其他PE設(shè)備上的同VPN網(wǎng)分支點(diǎn)電路，均能通過學(xué)到的中心點(diǎn)默認(rèn)路由，數(shù)據(jù)報(bào)文送達(dá)中心點(diǎn)所在PE設(shè)備后，直接選路到達(dá)其他分支點(diǎn)的網(wǎng)絡(luò)。如此配置失去了原星型組網(wǎng)中心點(diǎn)安全管控、分支點(diǎn)無法互訪的目的。

2.始發(fā)分支點(diǎn)電路與中心點(diǎn)在相同PE

當(dāng)始發(fā)分支點(diǎn)與中心點(diǎn)電路在相同PE時(shí)，分支點(diǎn)利用學(xué)習(xí)到的默認(rèn)路由訪問其他分支點(diǎn)，但因?qū)W到的默認(rèn)路由下一條是明確的中心點(diǎn)電路接入端口，因此必須經(jīng)過中心點(diǎn)用戶內(nèi)網(wǎng)CE設(shè)備來實(shí)現(xiàn)訪問目的。具體如圖2所示。

圖2 始發(fā)分支點(diǎn)電路與中心點(diǎn)在相同PE

圖3 混雜型組網(wǎng)

（1）B分支點(diǎn)學(xué)習(xí)不到電信云平臺(tái)（分支點(diǎn)）內(nèi)10.200.0.73的路由，但能學(xué)習(xí)到中心點(diǎn)V000004發(fā)布的默認(rèn)0.0.0.0路由，下一跳為PE設(shè)備上中心點(diǎn)電路的接入端口和用戶CE配置IP。

（2）當(dāng)B分支點(diǎn)預(yù)訪問電信的云平臺(tái)，客戶端數(shù)據(jù)報(bào)文依照學(xué)習(xí)到的默認(rèn)路由，在PE設(shè)備上直接轉(zhuǎn)發(fā)到中心點(diǎn)電路的CE設(shè)備上。

（3）如果中心點(diǎn)VPN內(nèi)網(wǎng)內(nèi)可放通相關(guān)路由訪問，則存在之后的步驟；如中心點(diǎn)VPN內(nèi)網(wǎng)配有安全設(shè)置，則數(shù)據(jù)報(bào)文被丟棄或不轉(zhuǎn)發(fā)。

（4）數(shù)據(jù)報(bào)文經(jīng)過中心點(diǎn)VPN的CE設(shè)備后，回到中心點(diǎn)所在PE設(shè)備，中心點(diǎn)PE設(shè)備上擁有所有分支點(diǎn)的明細(xì)路由，直接基于數(shù)據(jù)報(bào)文中的目的IP和標(biāo)簽，轉(zhuǎn)發(fā)至云平臺(tái)的PE。

（5）數(shù)據(jù)報(bào)文達(dá)到云平臺(tái)所在的PE，基于MPLS 標(biāo)簽和IP報(bào)文，正常尋址到云平臺(tái)的VPN網(wǎng)內(nèi)的10.200.0.73設(shè)備，實(shí)現(xiàn)了正常訪問。

在星型VPN組網(wǎng)內(nèi)，當(dāng)配置了中心點(diǎn)的默認(rèn)路由發(fā)布，相同PE設(shè)備上VPN網(wǎng)內(nèi)分支點(diǎn)電路可利用中心點(diǎn)發(fā)布的默認(rèn)路由，實(shí)現(xiàn)訪問其他分支點(diǎn)目的。但數(shù)據(jù)報(bào)文必須經(jīng)過中心點(diǎn)VPN的CE設(shè)備轉(zhuǎn)發(fā)，方能實(shí)現(xiàn)星型組網(wǎng)需求。

三、解決方案

針對(duì)以上的網(wǎng)絡(luò)分析，建議用戶明確業(yè)務(wù)需求，確定組網(wǎng)類型。筆者依據(jù)不同的需求，提供如下組網(wǎng)方案：

1.全網(wǎng)狀模型

改成此網(wǎng)絡(luò)結(jié)構(gòu)，每個(gè)分支點(diǎn)可互相訪問，無處不可達(dá)。

2.星型組網(wǎng)

維持原有VPN網(wǎng)的配置，取消中心點(diǎn)的默認(rèn)路由發(fā)布，還原原有星型網(wǎng)結(jié)構(gòu)；為解決分支點(diǎn)互訪的需求，可通過中心點(diǎn)內(nèi)網(wǎng)進(jìn)行NAT轉(zhuǎn)換的方式實(shí)現(xiàn)。例如：分支點(diǎn)A訪問中心點(diǎn)的IP，經(jīng)過中心點(diǎn)轉(zhuǎn)換后指向訪問分支點(diǎn)B。

3.混雜型組網(wǎng)（Hub and Spoke），如圖3所示

該方案適用于：

（1）網(wǎng)絡(luò)形狀為星型組網(wǎng)。

（2）中心點(diǎn)發(fā)布默認(rèn)路由，可方便實(shí)現(xiàn)進(jìn)行分支點(diǎn)的訪問規(guī)劃及路由部署。

（3）分支點(diǎn)網(wǎng)絡(luò)應(yīng)用，流量一定需通過中心點(diǎn)網(wǎng)絡(luò)進(jìn)行安全過濾。