摘要：地區(qū)企業(yè)與客戶或其他企業(yè)間緊密的合作關(guān)系促使企業(yè)對(duì)數(shù)據(jù)通信的經(jīng)濟(jì)性、安全性、傳輸速率提出了更高的要求，MPLS VPN技術(shù)能夠滿足地區(qū)企業(yè)的城域網(wǎng)建設(shè)需求，具有良好的擴(kuò)展性、靈活性以及較低的成本，能夠有效解決企業(yè)發(fā)展期間面臨的網(wǎng)絡(luò)管理和應(yīng)用難題。對(duì)MPLS VPN中的三層VPN與二層VPN原理進(jìn)行了論述，分別從兩種MPLS VPN角度論述了地區(qū)企業(yè)城域網(wǎng)的設(shè)計(jì)思路，為相關(guān)單位人員提供參考。

關(guān)鍵詞：MPLS VPN；城域網(wǎng)；地區(qū)企業(yè)；BGP/MPLS；VPLS

一、前言

互聯(lián)網(wǎng)技術(shù)為企業(yè)快速發(fā)展提供了強(qiáng)有力的技術(shù)支持，在現(xiàn)有技術(shù)應(yīng)用的基礎(chǔ)上，各企業(yè)均希望通過(guò)設(shè)計(jì)更優(yōu)異的組網(wǎng)方案實(shí)現(xiàn)對(duì)現(xiàn)有網(wǎng)絡(luò)資源的高效利用，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的效率、擴(kuò)展性、安全性，滿足多樣化的業(yè)務(wù)需求。MPLS技術(shù)在網(wǎng)絡(luò)安全方面具有一定作用，能夠形成虛電路一般的標(biāo)簽交互業(yè)務(wù)，為企業(yè)網(wǎng)絡(luò)賦予ATM網(wǎng)絡(luò)特性。相對(duì)而言，MPLS VPN具有比傳統(tǒng)VPN更低的成本，能夠?qū)崿F(xiàn)底層標(biāo)簽的自動(dòng)分別，進(jìn)一步提升了網(wǎng)絡(luò)傳輸效率，能夠?yàn)橛脩籼峁└鼉?yōu)質(zhì)的服務(wù)。因此，該技術(shù)在地區(qū)企業(yè)城域網(wǎng)建設(shè)中具有重要作用。

二、MPLS VPN技術(shù)概述

（一）三層MPLS VPN

該技術(shù)在VPN的基礎(chǔ)上應(yīng)用了MPLS技術(shù)，又稱IP VPN技術(shù)，MPLS技術(shù)在交換設(shè)備、網(wǎng)絡(luò)路由中的應(yīng)用促使核心路由器的選擇方式得到了簡(jiǎn)化處理，能夠在傳統(tǒng)標(biāo)記交換技術(shù)的基礎(chǔ)上滿足IP虛擬網(wǎng)絡(luò)的建設(shè)需求。MPLS VPN技術(shù)能夠構(gòu)造寬帶Extranet與Intranet，在企業(yè)網(wǎng)絡(luò)建設(shè)中能夠借助公共骨干網(wǎng)的功能減少建設(shè)成本，帶給企業(yè)網(wǎng)絡(luò)更高的靈活性，為網(wǎng)絡(luò)用戶帶來(lái)更高的寬帶，網(wǎng)絡(luò)也更具安全性與實(shí)時(shí)性[1]。三層VPN技術(shù)主要由P、PE、CE三種設(shè)備組成。其中，P設(shè)備即為網(wǎng)絡(luò)運(yùn)營(yíng)商骨干路由器設(shè)備，PE設(shè)備為網(wǎng)絡(luò)運(yùn)營(yíng)商邊緣路由器設(shè)備，CE設(shè)備為用戶網(wǎng)絡(luò)邊緣設(shè)備。P設(shè)備要求具有MPLS基礎(chǔ)轉(zhuǎn)發(fā)功能而不與CE設(shè)備連接；PE設(shè)備能夠與CE設(shè)備直連，能夠?yàn)閂PN各項(xiàng)處理業(yè)務(wù)提供平臺(tái)環(huán)境；CE設(shè)備具有主機(jī)、交換機(jī)、路由器等多種存在形式，能夠與SP服務(wù)提供商直連，無(wú)須支持MPLS，能夠?qū)崿F(xiàn)對(duì)VPN的感知。

在三層VPN網(wǎng)絡(luò)中，VPN路由信息發(fā)布與上述三種設(shè)備有關(guān)，P路由器設(shè)備無(wú)需掌握各VPN路由信息，僅用于滿足骨干網(wǎng)絡(luò)的維護(hù)需求，PE路由器設(shè)備僅用于直連VPN路由信息的維護(hù)而非全部VPN路由信息，因此該網(wǎng)絡(luò)擴(kuò)展性良好。為實(shí)現(xiàn)VPN路由信息的發(fā)布，三層VPN需要依次完成本地CE、入口PE、出口PE、遠(yuǎn)端CE之間的信息流轉(zhuǎn)，信息流轉(zhuǎn)完成后方可建立遠(yuǎn)端與本地CE的路由聯(lián)系，從而滿足骨干網(wǎng)中VPN路由信息的發(fā)布需求[2]。

對(duì)于入口PE與本地CE之間的路由信息交互，在實(shí)際運(yùn)行過(guò)程中，PE與CE直連，在兩者構(gòu)建連接的基礎(chǔ)上，本地CE將路由發(fā)布給入口PE，此時(shí)兩者時(shí)間能夠滿足EBGP、OSPF、靜態(tài)路由等各種路由協(xié)議的使用需求。隨著路由協(xié)議的變化，CE至PE發(fā)布的路由標(biāo)準(zhǔn)并不發(fā)生改變，均為IPv4路由。

對(duì)于出口、入口PE之間的路由信息交互，在實(shí)際運(yùn)行過(guò)程中，入口PE接收自本地CE的IPv4路由將被賦予VPN Target、RD屬性，IPv4路由將轉(zhuǎn)變?yōu)閂PN-IPv4路由，并在CE構(gòu)建的VPN實(shí)例中存放；MP-BGP能夠幫助入口PE將轉(zhuǎn)化的VPN-IPv4路由發(fā)布為出口PE，接收到路由信息后，出口PE則根據(jù)VPN實(shí)例中的Import Target屬性以及所接收路由的Export Target屬性判斷是否在VPN實(shí)例路由表中將VPN-IPv4路由添加進(jìn)去[3]。

（二）二層MPLS VPN

二層VPN主要為虛擬專用局域網(wǎng)VPLS技術(shù)，該技術(shù)在IETF中具有三種不同組網(wǎng)結(jié)構(gòu)和信令的草案，分別為RADIUS、BGP與LDP草案。其中，LDP草案為三種中提出較早且得到推廣的草案。在實(shí)際應(yīng)用中，該草案提出借助LDP信令在PE之間建立虛電線PW、標(biāo)簽交換路徑LSP的思路，PW能夠?qū)⑷康慕M播幀、跨距應(yīng)我單播幀、廣播幀在不同局域網(wǎng)之間轉(zhuǎn)發(fā)，從而在數(shù)據(jù)鏈路層中實(shí)現(xiàn)不同局域網(wǎng)的整合[4]。

三、三層MPLS VPN在地區(qū)企業(yè)局域網(wǎng)的設(shè)計(jì)應(yīng)用

（一）數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程

三層VPN技術(shù)中，VPN數(shù)據(jù)為兩層標(biāo)簽棧結(jié)構(gòu)，分別為VPN內(nèi)標(biāo)簽與隧道外標(biāo)簽，分別用于域內(nèi)與VPN路由。域內(nèi)路由LSP的建立是需要借助標(biāo)簽分發(fā)協(xié)議在PE路由器的運(yùn)行，所形成的標(biāo)簽轉(zhuǎn)發(fā)表僅用于交換外層標(biāo)簽。PE路由其中具有MPLS、VRF兩類路由表，前者主要用于子接口與VPN標(biāo)簽間對(duì)應(yīng)關(guān)系的存放，能夠作為數(shù)據(jù)轉(zhuǎn)發(fā)的依據(jù)。在實(shí)際轉(zhuǎn)發(fā)過(guò)程中，CE設(shè)備將VPN數(shù)據(jù)包經(jīng)子接口發(fā)給入口PE，PE對(duì)照VRF表查詢確認(rèn)VPN標(biāo)簽；當(dāng)BPN分組數(shù)據(jù)包具有兩層標(biāo)簽時(shí)，數(shù)據(jù)包將被發(fā)送至LSP的首個(gè)P路由器中，P路由器在骨干網(wǎng)中對(duì)VPN分組逐跳轉(zhuǎn)發(fā)并傳輸數(shù)據(jù)，直至最后的P路由器彈出外層標(biāo)簽，為出口PE轉(zhuǎn)發(fā)僅保護(hù)VPN內(nèi)標(biāo)簽的分組，然而借助MPLS路由表查詢確認(rèn)目標(biāo)，為接收端傳輸數(shù)據(jù)。當(dāng)出口、入口PE路由器為同一設(shè)備時(shí)，PE路由器能為CE路由器傳輸未處理的VPN分組[5]。

（二）MPLS IP VPN 實(shí)現(xiàn)以及配置

1.二層交換機(jī)配置

為滿足PE、CE路由器相關(guān)設(shè)備之間的聯(lián)通需求，中心點(diǎn)、分支點(diǎn)需要借助二層VLAN透?jìng)鞯姆绞絺鬏斨罰E設(shè)備，接入層交換機(jī)配置如下：

huawei（config）# vlan 2458# vlan創(chuàng)建

huawei（config）#description dqqyyewuvpn#添加注釋，描述地區(qū)企業(yè)業(yè)務(wù)VPN

huawei（config）#interface Ethernet0/0/21#進(jìn)入與網(wǎng)管設(shè)備連接的端口

huawei（config-Ethernet0/0/21）# port access vlan 2458 #關(guān)聯(lián)vlan與端口

huawei（config-Ethernet0/0/21）# description dqqyyewuvpn#添加注釋

huawei（config）#interface GigabitEthernet0/0/1#進(jìn)入設(shè)備上聯(lián)端口

huawei（config-GigabitEthernet0/0/1）#port link-type trunk#端口改為T(mén)runk模式

huawei（config-GigabitEthernet0/0/1）#port hy tag vlan 2458#配置2458可通過(guò)

2.SR（全業(yè)務(wù)路由器）與BRAS（寬帶接入服務(wù)器）設(shè)備配置

地區(qū)企業(yè)城域網(wǎng)中的PE設(shè)備主要為SR與BRAS設(shè)備，能夠滿足各分支的業(yè)務(wù)三層接入、二層VP數(shù)據(jù)透?jìng)?、路由分發(fā)相關(guān)工作的需求。針對(duì)與中心點(diǎn)連接的SR設(shè)備，在配置其N(xiāo)E80E城域路由器的過(guò)程中，需要將設(shè)備loopback回環(huán)地址配置為lsr地址，同時(shí)啟用MPLS，在全局配置模式下面需要將MPLS LDP與MPLS協(xié)議啟用，端口下面的協(xié)議啟用要求與全局配置模式一致。

可以將用戶端網(wǎng)管設(shè)備的路由增加一些，而用戶中心點(diǎn)位在沒(méi)有指定的默認(rèn)路由的時(shí)候，可以在本端默認(rèn)一下。而本端只能使用特定的內(nèi)網(wǎng)來(lái)做靜態(tài)路由的端點(diǎn)，如果不按這個(gè)程序來(lái)做的話，就會(huì)導(dǎo)致與中心點(diǎn)不通的后果。

huawei（config）#ip route-static vpn-instance dqqyyewuvpn 0.0.0.0 0.0.0.0 172.1.0.2

其他節(jié)點(diǎn)均通過(guò)二層交換機(jī)上聯(lián)至PE設(shè)備，可以分別創(chuàng)建不同的子接口，實(shí)現(xiàn)VPN接入，除不用配置靜態(tài)路由以外，各分支點(diǎn)的配置方法與中心點(diǎn)的配置方法相同。

3.檢查結(jié)果

配置完上述信息后，可以在PE上面進(jìn)行檢查，看是否能看到該site里面的路由信息，使用命令如下。

huawei（config-bgp）#disp ip routing-table vpn-instance dqqyyewuvpn可以得到結(jié)果，如圖1。

顯而易見(jiàn)，PE已經(jīng)學(xué)習(xí)到了直連路由和BGP路由，證明整理MPLS網(wǎng)絡(luò)配置成功，同時(shí)亦可說(shuō)明用戶側(cè)CE與運(yùn)營(yíng)商側(cè)PE設(shè)備的網(wǎng)絡(luò)連接成功。

四、二層MPLS VPN（VPLS）在地區(qū)企業(yè)局域網(wǎng)的設(shè)計(jì)應(yīng)用

（一）VPLS的實(shí)現(xiàn)原理

1.虛電線原理

虛電線建立于兩PE路由設(shè)備之間，為雙向LSP虛電路，能夠?qū)崿F(xiàn)不同局域網(wǎng)之間組播幀、單播幀、廣播幀的交換，實(shí)現(xiàn)在數(shù)據(jù)鏈路層中整合不同的局域網(wǎng)。以太網(wǎng)虛電線技術(shù)的關(guān)鍵在于利用MPLS網(wǎng)絡(luò)控制傳輸過(guò)程中并封裝幀，單個(gè)虛電線PW幀結(jié)構(gòu)詳如表１。

其中，隧道標(biāo)簽?zāi)軌驅(qū)崿F(xiàn)標(biāo)簽交換路徑在MPLS網(wǎng)絡(luò)中的標(biāo)識(shí)，是至端點(diǎn)PE的外層標(biāo)簽，基于LDP協(xié)議在MPLS網(wǎng)絡(luò)內(nèi)部分發(fā)。虛電路標(biāo)簽?zāi)軌驅(qū)δ骋籚PN即虛電路ID進(jìn)行標(biāo)識(shí)，該標(biāo)簽與隧道標(biāo)簽的封裝均需要在入口PE處，隧道標(biāo)簽存在逐跳修改于MPLS網(wǎng)絡(luò)內(nèi)的情況，虛電路標(biāo)簽在出入口PE之間傳輸過(guò)程中始終保持幀的恒定；待幀達(dá)到入口PE時(shí)，先剝離隧道標(biāo)簽，然后結(jié)合虛電路標(biāo)簽數(shù)值網(wǎng)以太網(wǎng)端口轉(zhuǎn)發(fā)相應(yīng)的幀。

2.MAC地址學(xué)習(xí)

MAC地址學(xué)習(xí)是VPLS的一個(gè)橋接功能，以太網(wǎng)中全面未知目的地址幀、廣播幀均被擴(kuò)散至全部端口，為滿足地址在VPLS內(nèi)的擴(kuò)散需求，各地址未知的組播幀、廣播幀、單播幀都將被擴(kuò)散至PW虛電線之中，最終導(dǎo)致PE節(jié)點(diǎn)。各PE設(shè)備均維護(hù)了相應(yīng)的獨(dú)立轉(zhuǎn)發(fā)信息庫(kù)，信息庫(kù)中具有接口標(biāo)識(shí)符、地址以及VPLS流量轉(zhuǎn)發(fā)至各地址的信息。VPLS內(nèi)部MAC地址需要PE從源自其他PE的源地址學(xué)習(xí)，為滿足幀的轉(zhuǎn)發(fā)需求，PE需要虛電線與MAC地址建立關(guān)聯(lián)，因此PE在VPLS里需要具備在虛電路與物理端口學(xué)習(xí)MAC地址的能力，同時(shí)能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)表的轉(zhuǎn)發(fā)與復(fù)制。

3.VPLS環(huán)路規(guī)避

各PE在接收其他PE傳來(lái)的幀后禁止對(duì)幀再次轉(zhuǎn)發(fā)，這一要求主要用于規(guī)避網(wǎng)絡(luò)中的環(huán)路現(xiàn)象。在幀無(wú)法被PE再次轉(zhuǎn)發(fā)的情況下，網(wǎng)絡(luò)中將不具備形成環(huán)的三節(jié)點(diǎn)乃至更多節(jié)點(diǎn)路徑。參考Ibgp水平分割，PE需要相互之間建立VPLS鄰居，即為全網(wǎng)格，PW虛電線數(shù)量將存在N的平方這一數(shù)量激增的情況。

4.層次化VPLS

未來(lái)解決全網(wǎng)格存在的虛電線數(shù)量激增問(wèn)題，可以借助層次化VPLS解決問(wèn)題。具體原理為，VPLS劃分為接入層與核心層兩部分。其中，核心層PE設(shè)備為PE-rs，接入層為MTU-s設(shè)備，前者各設(shè)備兩兩互聯(lián)，前者與后者各設(shè)備星型連接，單個(gè)接入層設(shè)備僅與單個(gè)核心層設(shè)備連接，且僅具有單條虛電線，其余虛電線設(shè)定為備份狀態(tài)。

（二）城域網(wǎng)上VPLS 的實(shí)現(xiàn)

本文選擇按照更加實(shí)用的圖3右側(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)建設(shè)VPLS城域網(wǎng)，核心層選用的業(yè)務(wù)接入控制點(diǎn)設(shè)備為BRAS SE800設(shè)備，接入層MTU-s則為其余BRAS設(shè)備。

實(shí)現(xiàn)步驟（在REDBACK SE800的版本5.03）如下。

首先，核心層各BRAS SE800設(shè)備之間建立VPLS鄰居，具體要求為建bridge profile，對(duì)廣播、多播相關(guān)速率進(jìn)行限制；建vpls profile，加入VPLS鄰居HUB類型的IP地址；在context local下，啟用MPLS與LDP，并在后者之中添加對(duì)端PE的IP地址，建立LSP。

其次，核心層與接入層之間建立VPLS鄰居，具體要求為建bridge profile，對(duì)廣播、多播相關(guān)速率進(jìn)行限制；建vpls profile，加入VPLS鄰居本地模式為PE-RS 且類型為SPOKE的IP地址；在context local下，啟用MPLS與LDP，并在后者之中添加對(duì)端PE的IP地址，建立LSP。

最后，接入層與核心層建立VPLS鄰居，具體要求為建bridge profile，對(duì)廣播、多播相關(guān)速率進(jìn)行限制；建vpls profile，加入VPLS鄰居本地模式為MTU-s 且類型為SPOKE的IP地址；在context local下，啟用MPLS與LDP，并在后者之中添加對(duì)端PE的IP地址，建立LSP；在接入業(yè)務(wù)PE中建立context、interface，并實(shí)現(xiàn)與業(yè)務(wù)接入端口的綁定。

五、結(jié)語(yǔ)

綜上所述，本文主要對(duì)MPLS VPN技術(shù)中的三層VPN與二層VPN技術(shù)原理進(jìn)行了論述，分別以兩種VPN形式為例，論述了地區(qū)企業(yè)城域網(wǎng)設(shè)計(jì)方法。相對(duì)而言，三層VPN技術(shù)更加成熟，能夠用于大規(guī)模接入路由信息不敏感的VPN客戶；二層VPN相對(duì)簡(jiǎn)單，用于小規(guī)模且路由信息不會(huì)透露的用戶，地區(qū)企業(yè)需要結(jié)合用戶需求、業(yè)務(wù)發(fā)展情況合理選擇MPLS VPN技術(shù)，完成城域網(wǎng)的建設(shè)工作。

參考文獻(xiàn)

[1]李萌萌，陳靜毅.MPLS VPN業(yè)務(wù)在運(yùn)營(yíng)商城域網(wǎng)中應(yīng)用探討[J].電子測(cè)試，2022，36（02）：93-94+81.

[2]李永芳.基于BGP MPLS VPN企業(yè)跨域組網(wǎng)仿真設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2021，40（03）：121-128.

[3]錢(qián)向東.MPLS VPN技術(shù)在江陰市應(yīng)急廣播系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用[J].中國(guó)有線電視，2021（03）：241-244.

[4]耿天.淺析BGP/MPLS VPN技術(shù)在IP城域網(wǎng)網(wǎng)管系統(tǒng)的應(yīng)用方案分析與設(shè)計(jì)[J].有線電視技術(shù)，2018（12）：40-42.

[5]崔敏敏.城域網(wǎng)背景下企業(yè)網(wǎng)絡(luò)優(yōu)化改造方案研究[D].南京：南京郵電大學(xué)，2020.