IP VPN在電信運營網(wǎng)絡(luò)中的實現(xiàn)

封浩宇　廣東省電信規(guī)劃設(shè)計院

　　摘要 本文論述了電信運營商進(jìn)行IP VPN網(wǎng)絡(luò)建設(shè)的必要性，并從技術(shù)的角度分析了基于網(wǎng)絡(luò)型的IP VPN與基于用戶設(shè)備型的IP VPN的區(qū)別。同時分析了MPLS/VPN網(wǎng)絡(luò)在電信運營網(wǎng)絡(luò)中實現(xiàn)的方法、路由的選擇以及用戶的接入方式，為電信運營商開展MPLS/VPN業(yè)務(wù)提供建設(shè)性的建議。

　　關(guān)鍵詞 IP MPLS VPN 電信

1 概述

　　IP技術(shù)的興起意味著信息產(chǎn)業(yè)領(lǐng)域一個新時代的來臨。不論是原有的電信運營商還是新興的運營商都站在同一起跑線上，新業(yè)務(wù)中所蘊涵的巨大商機(jī)使得無數(shù)投資者躍躍欲試。因此，IP業(yè)務(wù)成了眾多運營商所追逐的熱點。目前，國內(nèi)共有七家因特網(wǎng)業(yè)務(wù)經(jīng)營商為用戶提供基礎(chǔ)數(shù)據(jù)業(yè)務(wù)。隨著國內(nèi)電信市場的逐步開放，各運營商在IP業(yè)務(wù)領(lǐng)域中所面臨的競爭形勢也是前所未有的嚴(yán)峻。

　　完備的網(wǎng)絡(luò)是競爭的首要條件，但要取得最大的經(jīng)濟(jì)效益關(guān)鍵還在于如何根據(jù)市場需求拓展業(yè)務(wù)，發(fā)展和吸引大、中型用戶�，F(xiàn)階段，隨著經(jīng)濟(jì)的發(fā)展，大型公司、企業(yè)的集團(tuán)化運作使異地互聯(lián)的需求急劇增長。企業(yè)上網(wǎng)、異地互連已成為吸引大客戶最主要的手段之一。異地互聯(lián)以前通常采用DDN、FR等專線形式，每個用戶獨占所購買的帶寬，雖然具有安全、QoS保證等優(yōu)點，但由于在資費、擴(kuò)展性等方面不盡如人意，阻礙了業(yè)務(wù)的進(jìn)一步推廣。��

　　而以公共IP骨干網(wǎng)為承載網(wǎng)絡(luò)，可共享網(wǎng)絡(luò)帶寬的IP VPN則為異地網(wǎng)絡(luò)的互聯(lián)提供了一種新的方式。用戶只需接入網(wǎng)絡(luò)運營商在本地的IP網(wǎng)絡(luò)節(jié)點，就可以實現(xiàn)互聯(lián)而不需要購買長途的專線業(yè)務(wù)。IP VPN的簡單性和低成本使其成為IP領(lǐng)域的熱點和最具潛力的IP增值業(yè)務(wù)。國外幾乎所有的運營商都將IP VPN作為一項最主要的業(yè)務(wù)重點發(fā)展。因此大力發(fā)展IP VPN業(yè)務(wù)是各電信運營商發(fā)展IP業(yè)務(wù)、吸引大客戶、增強(qiáng)企業(yè)競爭力的有力措施。��

2 IP VPN的分類��

　　VPN（虛擬專用網(wǎng)絡(luò)）指在共享網(wǎng)絡(luò)中通過多種技術(shù)，如隧道加密等實現(xiàn)原有專用網(wǎng)絡(luò)的能力，并在保證網(wǎng)絡(luò)的安全性、可靠性、可管理性的同時提供更強(qiáng)的擴(kuò)展性和靈活性的技術(shù)。傳統(tǒng)的VPN技術(shù)是基于專線形式的（第2層VPN），用戶通過租用專用電路組建內(nèi)部的專用網(wǎng)絡(luò)。專線形式的內(nèi)部網(wǎng)具有帶寬資源獨占、安全性高、運行費用高、組網(wǎng)不靈活等特點。而現(xiàn)階段提出的IP VPN技術(shù)則是指利用公共IP網(wǎng)的網(wǎng)絡(luò)資源，在網(wǎng)絡(luò)層（第3層）上為VPN用戶提供類似于企業(yè)專網(wǎng)的服務(wù)。

��

　　對于基于網(wǎng)絡(luò)型的IP VPN來說，業(yè)務(wù)的關(guān)鍵特性將集中于運營商網(wǎng)絡(luò)的邊緣設(shè)備；實現(xiàn)基于網(wǎng)絡(luò)的IP VPN采用端到端模型；其業(yè)務(wù)管理和網(wǎng)絡(luò)管理需要進(jìn)行全網(wǎng)一體化管理；在數(shù)據(jù)報文穿透公網(wǎng)時采用IP 隧道技術(shù)。而對于基于用戶設(shè)備的IP VPN，VPN 的業(yè)務(wù)處理功能全部由用戶設(shè)備完成；用戶設(shè)備之間建立端到端的IP 隧道；骨干網(wǎng)設(shè)備只需要完成標(biāo)準(zhǔn)的IP 轉(zhuǎn)發(fā)功能，并不需要也不可能知道VPN用戶的存在。��

綜合比較兩種IP VPN網(wǎng)絡(luò)的實現(xiàn)模式，基于網(wǎng)絡(luò)型的IP VPN模型側(cè)重于運營商網(wǎng)絡(luò)業(yè)務(wù)的提供，其對運營商網(wǎng)絡(luò)的要求較高，而對接入用戶的要求（包括設(shè)備、技術(shù)、接入手段、業(yè)務(wù)需求等方面）比較靈活；而基于用戶設(shè)備型的IP VPN模型側(cè)重于用戶自身網(wǎng)絡(luò)應(yīng)用的實現(xiàn)�？蛻粜枰�特殊的設(shè)備來建設(shè)自己的VPN網(wǎng)絡(luò)，同時客戶需要專門的網(wǎng)絡(luò)人員去維護(hù)自己的網(wǎng)絡(luò)及業(yè)務(wù)的需求。因此，兩種IP VPN的實現(xiàn)模式的根本區(qū)別在于誰去提供IP VPN網(wǎng)絡(luò)的維護(hù)。在可以較好地保障數(shù)據(jù)通道的安全性以及數(shù)據(jù)傳送的QoS的時候，基于網(wǎng)絡(luò)型的IP VPN業(yè)務(wù)對于運營商以及客戶來說都是一個比較好的選擇。��

3 MPLS/VPN的應(yīng)用��

　　對于電信運營商而言，提供IP VPN業(yè)務(wù)不再只是局限于技術(shù)方面，更多的是提供一種服務(wù)。只有以提供服務(wù)為基礎(chǔ)來發(fā)展新技術(shù)，才可以推動業(yè)務(wù)的發(fā)展與提高對客戶的吸引力。由于技術(shù)的原因，一直以來基于網(wǎng)絡(luò)型的IP VPN技術(shù)得不到很好的應(yīng)用。而傳統(tǒng)的VPN技術(shù)基于封裝（隧道）技術(shù)以及加密模塊技術(shù)，達(dá)到兩個位置間安全地傳輸數(shù)據(jù)的目的。目前應(yīng)用較廣的是FR、ATM、GRE、IPSec等技術(shù)。但自從Cisco公司在1996年開始推動“標(biāo)簽交換（Tag Switching）”技術(shù)的標(biāo)準(zhǔn)化，多協(xié)議標(biāo)記交換（MPLS）的概念與框架逐漸為IETF以及各廠家所接受。VPN作為MPLS中的一個重要應(yīng)用，更為各運營商提供了一種高效與安全的實施方案。

　　與傳統(tǒng)的VPN依靠封裝和加密技術(shù)實現(xiàn)不同，MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個安全的VPN。其不但具有安全性及客戶隔離的優(yōu)點，同時也具有簡化路由工作的優(yōu)點，使客戶路由技術(shù)更為簡單，同時可以簡化服務(wù)供應(yīng)商所需的設(shè)備與技術(shù)，在統(tǒng)一的VPN網(wǎng)絡(luò)平臺上提供不同的VPN應(yīng)用服務(wù)。

　　，一個標(biāo)準(zhǔn)的MPLS/VPN結(jié)構(gòu)包括了運營商網(wǎng)絡(luò)路由器（P Router）、運營商網(wǎng)絡(luò)邊緣路由器（PE Router）和客戶邊緣設(shè)備（CE Equipment）三類節(jié)點。

　　根據(jù)不同的客戶路由轉(zhuǎn)發(fā)方式，MPLS VPN分為第二層的MPLS VPN和第三層的MPLS VPN。第二層的MPLS VPN僅由客戶邊緣設(shè)備負(fù)責(zé)彼此間客戶路由信息的轉(zhuǎn)發(fā)，運營商網(wǎng)絡(luò)邊緣路由器和網(wǎng)絡(luò)路由器僅負(fù)責(zé)在MPLS層提供類似傳統(tǒng)專線的數(shù)據(jù)包承載功能，他們對客戶路由而言是透明的。第三層的MPLS VPN除了在MPLS層完成數(shù)據(jù)包標(biāo)記轉(zhuǎn)發(fā)功能之外，網(wǎng)絡(luò)邊緣路由器從客戶邊緣設(shè)備處獲得客戶路由信息，并完成客戶路由在不同地點的若干個相關(guān)聯(lián)的VPN客戶之間的轉(zhuǎn)發(fā)通告。目前，基于第三層的MPLS VPN已有相應(yīng)的IETF 標(biāo)準(zhǔn)。��

　　現(xiàn)階段，MPLS/VPN可以提供以下的基本的網(wǎng)絡(luò)業(yè)務(wù)：Intranet VPN（企業(yè)總部與分支機(jī)構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)）；Extranet VPN（企業(yè)與其戰(zhàn)略聯(lián)盟或合作伙伴間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)）；Access VPN（企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過PSTN遠(yuǎn)程撥號方式構(gòu)筑的VPN）。由于一個站點可以同時屬于一個或多個VPN，故一個站點可以同時屬于一個Intranet VPN 和多個Extranet VPN。

4 MPLS/VPN的實現(xiàn)

　　由于MPLS技術(shù)的應(yīng)用逐漸成為網(wǎng)絡(luò)發(fā)展的一個主流方向，世界各地著名的通信設(shè)備廠商紛紛宣布對MPLS技術(shù)的支持。主要的設(shè)備包括了Cisco的GSR 12000系列、Cisco 7200/7500系列以及Cisco一系列的中低端路由器；Juniper公司的系列路由器設(shè)備；阿爾卡特的7670路由交換平臺、7770路由核心平臺；Unisphere公司的ERX-700/1400邊緣交換路由器等。可以說，各廠家的設(shè)備涵蓋了MPLS/VPN網(wǎng)絡(luò)的邊緣與核心設(shè)備。各電信運營商可以根據(jù)自己的網(wǎng)絡(luò)現(xiàn)狀，選擇合適的網(wǎng)絡(luò)設(shè)備來構(gòu)建自己的MPLS/VPN網(wǎng)絡(luò)。但目前各廠家設(shè)備在MPLS/VPN互通性測試中的結(jié)果不盡人意，建議在建設(shè)MPLS/VPN網(wǎng)絡(luò)時，盡量采用同一廠家的產(chǎn)品，以減少系統(tǒng)的不穩(wěn)定程度。��

　　同時，MPLS/VPN網(wǎng)絡(luò)實現(xiàn)的另一個關(guān)鍵在于網(wǎng)絡(luò)路由的選擇。這包括了域間路由、域內(nèi)路由、接入路由等方面的問題。��

　　對于域間路由，可以通過MP-eBGP來實現(xiàn)。由于Internet在路由管理上是分層次的自治域，大部分運營商在IP國家骨干網(wǎng)、省骨干網(wǎng)、城域網(wǎng)層面上都是獨立自治域關(guān)系。所以在開放全省和全國VPN業(yè)務(wù)時會遇到跨AS（自治域）的MPLS VPN實現(xiàn)問題。兩個不同域的ASBR之間運行MP-eBGP，通過MP-eBGP交換VPN路由信息，ASBR之間交換VPN路由時也加label，ASBR（編輯路由器）要對Next-hop（下一跳）和label 進(jìn)行重寫，ASBR需要建立并維護(hù)LFIB（label Forwarding Information Base）。通過設(shè)置專用ASBR作為PE，使跨域間的VPN業(yè)務(wù)流量跟正常的數(shù)據(jù)業(yè)務(wù)流量分開，不需要對現(xiàn)有的邊界路由器進(jìn)行路由協(xié)議修改，實施比較簡單，風(fēng)險低，具有很好的擴(kuò)展性能。兩臺ASBR－PE的配置基本上與跨AS的VPN數(shù)量無關(guān)，只有當(dāng)它們之間的流量超過它們的負(fù)載能力時才需要升級擴(kuò)容。另外，它的維護(hù)也相對簡單，無需維護(hù)繁多的VRF（虛擬路由轉(zhuǎn)發(fā)）。��

　　對于域內(nèi)路由，可以通過MP-iBGP來實現(xiàn)。在同一個MP-iBGP會話中可以運載IPv4地址，為了決定如何在PE路由器之間部署對等會話，可以在PE路由器之間配置全網(wǎng)MP-iBGP會話，并通過自動路由過濾等技術(shù)來實現(xiàn)。但使用全網(wǎng)MP-iBGP路由只適合在較小的網(wǎng)絡(luò)結(jié)構(gòu)中應(yīng)用，隨著PE路由器數(shù)目的增加，PE路由器之間的MP-iBGP會話同樣急劇增加，這并不符合可擴(kuò)展網(wǎng)絡(luò)的性能要求。為解決MP-iBGP會話劇增的問題，可以采用分割MP-iBGP會話、部署路由反射器或部署B(yǎng)GP聯(lián)合等方法。��

　　對于接入路由，目前MPLS/VPN接收來自VPN客戶CE-Router的路由方式有4種：BGP-4、RIPv2、OSPF以及靜態(tài)路由技術(shù)。無論在PE路由器和CE路由器之間使用的是哪種協(xié)議，客戶VPN路由都將被加入到與CE路由器相連的接口所對應(yīng)的VRF表中。這要求對運行在PE路由器上的路由協(xié)議進(jìn)程進(jìn)行配置，以便從該接口獲知的所有路由信息都將與特定的VRF表關(guān)聯(lián)起來。這可以通過標(biāo)準(zhǔn)路由協(xié)議進(jìn)程實現(xiàn)。MPLS/VPN服務(wù)供應(yīng)商可以根據(jù)不同的客戶需要與網(wǎng)絡(luò)條件采用不同的PE-CE連接路由協(xié)議。��

5 MPLS/VPN的接入方式��

　　服務(wù)供應(yīng)商提供網(wǎng)絡(luò)MPLS/VPN的應(yīng)用，其目的是為了吸引更多的網(wǎng)絡(luò)客戶。而提供多樣化的接入方式是網(wǎng)絡(luò)提供服務(wù)、滿足不同客戶需要的手段之一。��

　　由于CE路由器與PE路由器之間傳遞的只是普通IP數(shù)據(jù)包，這很大程度地降低了PE-CE鏈路對特殊物理性能的依賴性，保證了用戶接入手段的多樣性。同時，可以根據(jù)PE-CE鏈路鏈接的物理性能與客戶的網(wǎng)絡(luò)需求，分別選取靜態(tài)路由、RIPv2、OSPF、BGP-4等路由協(xié)議。��

主要的接入方式可以有以下三種：��

　�。�1） 專線接入方式：可以說，以往用于專線的用戶接入手段，在MPLS/VPN中都可�ヒ缘玫綉�(yīng)用。通過本地的DDN/FR/ATM網(wǎng)，為用戶開放普通本地專線（可以是DDN，幀中繼、ATM）把用戶的路由器接入到PE。��

　�。�2） LAN接入的方式：在城域網(wǎng)內(nèi)劃分VLAN，利用城域網(wǎng)內(nèi)的10/100Mbit/s端口�グ延脩舻穆酚善鹘尤氲絇E。但如果使用不支持子邏輯端口的LAN接口時（如標(biāo)準(zhǔn)以太網(wǎng)接口或令牌環(huán)接口）時，則無法配置子接口，導(dǎo)致不能將VRF與第二個IP地址建立關(guān)聯(lián)，從而不支持重疊VPN用戶。故建議在PE-Router中使用快速以太網(wǎng)接口或Gbit以太網(wǎng)接口。

　�。�3） 遠(yuǎn)程接入：可以直接通過光Modem，把用戶的路由器接入到PE。

��

6 結(jié)束語��

　　　　雖然MPLS/VPN技術(shù)仍不為廣大用戶所熟悉，但她所具有的低成本、易維護(hù)性、提供QoS保證與安全保證等特點，體現(xiàn)了她強(qiáng)大的生命力與吸引力。由于新技術(shù)的應(yīng)用，使國內(nèi)的電信運營商又回到了同一起跑線上，同時又提供與國際市場的接軌。可以預(yù)見，這將成為各電信運營商爭奪企業(yè)客戶的重要手段之一。

----《電信科學(xué)》