付振華，吳余輝

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司荊州分公司荊州 434000）

1 引言

中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司 （以下簡(jiǎn)稱中國(guó)聯(lián)通）MPLS VPN業(yè)務(wù)是在公共IP網(wǎng)絡(luò)平臺(tái)上，采用多協(xié)議標(biāo)記交換（multi protocol label switch，MPLS）技術(shù)建立用戶數(shù)據(jù)傳送通道，為用戶提供廣域網(wǎng)的路由設(shè)備連接，利用運(yùn)營(yíng)商網(wǎng)絡(luò)平臺(tái)，建立用戶自有網(wǎng)絡(luò)架構(gòu)，幫助用戶實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音、視頻等多種業(yè)務(wù)在虛擬專用網(wǎng)絡(luò)（virtual private network，VPN）內(nèi)傳輸，且不同用戶的網(wǎng)絡(luò)之間相互隔離。

2 應(yīng)用背景

2.1 CNC Network的局限性

圖1所示為CNC Network的系統(tǒng)架構(gòu)。

CNC Network作為中國(guó)聯(lián)通MPLS VPN的承載網(wǎng)絡(luò)，面向全國(guó)性組建VPN專網(wǎng)業(yè)務(wù)，PE路由器在地市暫時(shí)只部署一套。用戶接入普遍采用以下兩種方式，如圖2所示。

無(wú)論采用哪種方式，用戶需直接接入CNC Network的PE路由器，要占用本地光纖資源和寶貴的進(jìn)局資源，同時(shí)每條專線均需進(jìn)行本地MSTP、SDH傳輸網(wǎng)絡(luò)或光纜纖芯資源調(diào)度，建設(shè)開(kāi)通周期較長(zhǎng)。

2.2 IP城域網(wǎng)內(nèi)MPLS VPN業(yè)務(wù)需求

隨著客戶經(jīng)營(yíng)網(wǎng)點(diǎn)的增加，對(duì)專線接入的點(diǎn)對(duì)多點(diǎn)能力的要求越來(lái)越高，采用傳統(tǒng)的ATM/FR或DPLC電路方式接入成本很大。由于VPN方式的便利性，大量客戶已經(jīng)組建基于互聯(lián)網(wǎng)的VPN業(yè)務(wù)。但基于互聯(lián)網(wǎng)的VPN業(yè)務(wù)受限于匯聚點(diǎn)VPN網(wǎng)關(guān)的業(yè)務(wù)能力和安全性，很難提供電信級(jí)的服務(wù)質(zhì)量保證。由于MPLS VPN具有良好的可擴(kuò)展性和靈活性，技術(shù)上比較成熟，而且已經(jīng)形成國(guó)家標(biāo)準(zhǔn)，在安全性和可靠性上為大多數(shù)客戶所認(rèn)可，用戶只需配備CE設(shè)備，不需要VPN網(wǎng)關(guān)投資，滿足了客戶實(shí)現(xiàn)企業(yè)信息化建設(shè)、降低管理運(yùn)作成本的需求。

圖1 CNC Network的系統(tǒng)架構(gòu)

圖2 用戶接入普遍采用的兩種方式

3 IP MAN中MPLS VPN部署難點(diǎn)

3.1 設(shè)備和帶寬資源

由于VPN業(yè)務(wù)的多點(diǎn)匯聚特性和用戶對(duì)業(yè)務(wù)帶寬需求的增加，在IP MAN中要實(shí)現(xiàn)MPLS VPN部署，首先要解決設(shè)備和帶寬資源的問(wèn)題。經(jīng)過(guò)城域網(wǎng)擴(kuò)容和網(wǎng)絡(luò)調(diào)整，中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司荊州分公司（以下簡(jiǎn)稱荊州聯(lián)通）城域網(wǎng)已經(jīng)達(dá)到預(yù)期的目標(biāo)網(wǎng)絡(luò)，地市城域網(wǎng)內(nèi)部結(jié)構(gòu)的調(diào)整也已基本完畢，公眾用戶和網(wǎng)管業(yè)務(wù)的流量模型已達(dá)到前期規(guī)劃的目標(biāo)，設(shè)備的升級(jí)已達(dá)到目標(biāo)版本，達(dá)到了MPLS VPN部署的條件。

3.2 MPLS VPN體系架構(gòu)的缺陷

城域網(wǎng)的典型結(jié)構(gòu)是核心—匯聚—接入3層模型，設(shè)備性能依次下降，網(wǎng)絡(luò)規(guī)模依次擴(kuò)大。在一個(gè)分層網(wǎng)絡(luò)中如何部署PE節(jié)點(diǎn)，將PE部署到核心層、匯聚層，還是接入層?這是網(wǎng)絡(luò)設(shè)計(jì)中遇到的問(wèn)題。

PE設(shè)備接入用戶需要大量接口，處理用戶報(bào)文需要大容量的內(nèi)存和轉(zhuǎn)發(fā)能力，且由于成本原因只能在某一個(gè)層次部署PE。部署在核心層存在擴(kuò)展性問(wèn)題，PE設(shè)備向網(wǎng)絡(luò)邊緣的擴(kuò)展會(huì)有困難。部署在接入層會(huì)導(dǎo)致網(wǎng)絡(luò)成本巨高，對(duì)運(yùn)營(yíng)商來(lái)說(shuō)毫無(wú)價(jià)值，改變網(wǎng)絡(luò)分級(jí)的建設(shè)模式則會(huì)破壞IP城域網(wǎng)分級(jí)化的高可靠、高可管理性的優(yōu)勢(shì)。因此權(quán)衡后在匯聚層部署PE，同時(shí)依靠PON網(wǎng)絡(luò)的高帶寬和扁平化減少接入層的瓶頸。

4 IP MAN中MPLS VPN部署實(shí)現(xiàn)方法

4.1 現(xiàn)網(wǎng)組網(wǎng)分析和方案制定

根據(jù)擴(kuò)展方式的不同MPLS VPN可以分為BGP擴(kuò)展實(shí)現(xiàn)的MPLS VPN和LDP擴(kuò)展實(shí)現(xiàn)的VPN。根據(jù)PE設(shè)備是否參與VPN路由又細(xì)分為二層VPN和三層VPN。綜合考慮后選擇BGP擴(kuò)展實(shí)現(xiàn)的MPLS L3 VPN。

荊州聯(lián)通城域網(wǎng)出口使用兩臺(tái)NE5000E作為核心路由器，分別上連到省干的GSR設(shè)備。NE40作為匯聚路由器SR，匯聚本節(jié)點(diǎn)內(nèi)的OLT、匯聚交換機(jī)等業(yè)務(wù)。

接入層通過(guò)二層VLAN透?jìng)髦羺R聚層設(shè)備 （BAS或SR），在二層實(shí)現(xiàn)業(yè)務(wù)的安全隔離和接入，城域網(wǎng)匯聚路由器SR作為PE路由器進(jìn)行業(yè)務(wù)安全隔離，匯聚層上行至城域網(wǎng)核心路由器。

城域網(wǎng)核心路由器NE5000E兼作RR，解決本城域網(wǎng)內(nèi)PE路由器的MPLS VPN的MP-IBGP全互聯(lián)問(wèn)題。

城域網(wǎng)核心路由器NE5000E作為ASBR上行到省網(wǎng)骨干，SR與RR之間建立MP-IBGP鄰居，PE設(shè)備之間不再建立IBGP鄰居，PE設(shè)備在MP-IBGP的VPN實(shí)例中通過(guò)Network發(fā)布本地匯聚的私網(wǎng)路由。

4.2 VPN業(yè)務(wù)實(shí)現(xiàn)方式

本地大客戶業(yè)務(wù)VPN的命名及RD、RT按照用戶的需求進(jìn)行規(guī)劃。本地城域網(wǎng)內(nèi)相同級(jí)別大客戶之間互訪的流量之間通過(guò)PE建立LSP直接訪問(wèn)而不需要繞道省VPN匯聚路由器；跨地市之間大客戶之間流量的互訪，通過(guò)省網(wǎng)匯聚路由器跨域連接，實(shí)行業(yè)務(wù)的隔離和VPN內(nèi)的互聯(lián)。由于荊州城域網(wǎng)的AS與省VPN匯聚路由器所在的AS不同，需要與省VPN匯聚路由器之間部署跨域VPN，如option B方式。

4.3 MPLS VPN路由模式

·MP-IBGP：荊州城域網(wǎng)核心設(shè)備NE5000E作為ASBR又兼作荊州VPN的路由反射器。RR路由反射器與各PE設(shè)備之間建立MP-IBGP鄰居關(guān)系，各PE設(shè)備之間不再建立MP-IBGP鄰居。

·IGP：在MPLS VPN中，IGP路由主要是為了保證BGP next hop或者PE Loopback 0地址的可達(dá)性?，F(xiàn)網(wǎng)部署ISIS路由協(xié)議作為MPLS VPN的核心IGP，但在部署過(guò)程中需要注意的是不能對(duì) PE loopback 0或者BGP next hops地址進(jìn)行路由匯聚，以免切斷LSP路徑。

·PE-CE路由：PE-CE間路由協(xié)議用于在PE-CE間相互擴(kuò)散VPN內(nèi)部用戶路由，考慮到現(xiàn)網(wǎng)大客戶的接入方式，客戶分支機(jī)構(gòu)通信流量不太大并且地址段一般穩(wěn)定不變，采用靜態(tài)路由的接入方式，配置簡(jiǎn)單，易于維護(hù)。

如果客戶分支機(jī)構(gòu)之間需要限制某些機(jī)構(gòu)的相互通信或者指定通過(guò)核心點(diǎn)的用戶路由器進(jìn)行轉(zhuǎn)發(fā)通信，可通過(guò)路由策略來(lái)限制路由分布以實(shí)現(xiàn)客戶的需求。

4.4 CE接入方式

對(duì)于VPN CE側(cè)接入，PE與接入側(cè)交換機(jī)之間使用二層trunk，在PE側(cè)配置子接口封裝dot1Q作為用戶的網(wǎng)關(guān)來(lái)終結(jié)VLAN，在交換機(jī)側(cè)為不同的客戶配置不同的VPN進(jìn)行隔離，并將VLAN透?jìng)髦罰E設(shè)備。具體網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

第一種方案：接入層從純二層VLAN透?jìng)?，網(wǎng)關(guān)在PE（NE40）上面終結(jié)，此方案客戶投入少，無(wú)需新增路由器，地址可由中國(guó)聯(lián)通來(lái)規(guī)劃，也可按用戶需求來(lái)規(guī)劃。

第二種方案：從接入層 CE至PE（NE40）之間為三層接入，此方案適用于客戶具有路由器及局域網(wǎng)，有自己的地址規(guī)劃，無(wú)需改變用戶現(xiàn)有網(wǎng)絡(luò)模式。

根據(jù)實(shí)際情況這兩種方案可靈活使用。

4.5 地址規(guī)劃

·互聯(lián)地址：城域網(wǎng)VPN部署IGP及MP-IBGP的互連與Loopback地址使用113.56.0.0/24地址段（專用地址段）。用于MP-IBGP Peer使用的Loopback 255，在規(guī)劃的地址段中從后往前分配，使用32位掩碼。用于PE與RR、RR之間互連的接口地址，在規(guī)劃的地址段中從前往后分配，使用30位掩碼。ISIS命名，按照AS+4位區(qū)號(hào)+Loopback 255地址+00的原則來(lái)配置。

·用戶地址：客戶對(duì)內(nèi)運(yùn)行的地址段建議采用私有IP地址，有助于提高網(wǎng)絡(luò)安全性和避免內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)的問(wèn)題。

圖4 PON+LAN或MC+LAN兩種接入方式

5 業(yè)務(wù)應(yīng)用

5.1 超市行業(yè)

好鄰居定位為中小型社區(qū)超市，其隨著業(yè)務(wù)發(fā)展在荊州有幾十家店面，采用電腦管理營(yíng)銷等環(huán)節(jié)，之前租用我公司DPLC數(shù)字電路，費(fèi)用較高。在IP MAN中MPLS VPN部署完成后，通過(guò)PON+LAN或MC+LAN接入用戶店面，實(shí)際上利用IP MAN的覆蓋網(wǎng)絡(luò)實(shí)現(xiàn)經(jīng)濟(jì)快速的業(yè)務(wù)接入，而且寬帶、語(yǔ)音業(yè)務(wù)可以同步實(shí)現(xiàn)，節(jié)省了設(shè)備和線路投資，且由于光纜工程僅需要從用戶端布放到最近的分光器或光接入點(diǎn)，開(kāi)通時(shí)間也縮短了。圖4所示為PON+LAN或MC+LAN兩種接入方式。

5.2 金財(cái)工程

“金財(cái)工程”即政府財(cái)政管理信息系統(tǒng)（GFMIS），是利用先進(jìn)的信息技術(shù)支撐以預(yù)算編制、國(guó)庫(kù)集中支付和宏觀經(jīng)濟(jì)預(yù)測(cè)分析為核心應(yīng)用的政府財(cái)政管理綜合信息系統(tǒng)。荊州聯(lián)通承建荊州市財(cái)政局橫向連接市（地）本級(jí)預(yù)算單位、收入職能部門、人民銀行市（地）級(jí)國(guó)庫(kù)分庫(kù)、承擔(dān)支付代理和非稅收入代理的商業(yè)銀行分支機(jī)構(gòu)的三級(jí)骨干網(wǎng)。

圖5 通過(guò)平板電腦或手機(jī)查看網(wǎng)絡(luò)情況效果

項(xiàng)目需接入近200家單位，如按傳統(tǒng)DPLC方式開(kāi)通建設(shè)成本非常高，在和用戶溝通后，用戶決定采納MPLS VPN組網(wǎng)，PON接入網(wǎng)采用FTTO全程無(wú)源光接入。在保證服務(wù)質(zhì)量的同時(shí)大量縮短開(kāi)通時(shí)間，節(jié)省了后期維護(hù)成本。通過(guò)MAC地址捆綁還可以實(shí)現(xiàn)用戶終端接入管理。同時(shí)由于IP域網(wǎng)管可通過(guò)SNMP方式對(duì)ONU接入設(shè)備實(shí)施監(jiān)控管理。用戶通過(guò)平板電腦或手機(jī)就可以方便地查看各接入單位的網(wǎng)絡(luò)情況，如圖5所示，為用戶提供定制化服務(wù)。

6 結(jié)束語(yǔ)

由于成本和效益方面的優(yōu)勢(shì)，MPLS VPN已成為國(guó)內(nèi)各大電信運(yùn)營(yíng)商爭(zhēng)相發(fā)展的新業(yè)務(wù)。通過(guò)在IP MAN中部署MPLS VPN，不僅可以滿足本地客戶對(duì)分支接入點(diǎn)越來(lái)越高的帶寬要求，實(shí)現(xiàn)較低成本的接入，更能通過(guò)IP域網(wǎng)管實(shí)現(xiàn)對(duì)用戶業(yè)務(wù)的實(shí)時(shí)監(jiān)控和管理控制等增值服務(wù)，滿足用戶更多個(gè)性化的需求。

1 華為技術(shù)公司.MPLS VPN部署方案

2 Jim G,Ivan P著.田果，劉丹寧，沈錚譯.MPLS和VPN體系結(jié)構(gòu).北京：人民郵電出版社，2010