顧華忠

【摘要】隨著MPLS技術(shù)應(yīng)用的普及，本文面向運(yùn)營(yíng)需要探討MPLS VPN網(wǎng)絡(luò)設(shè)計(jì)問(wèn)題，首先對(duì)MPLS VPN技術(shù)實(shí)現(xiàn)模式進(jìn)行對(duì)比分析，闡述BGP/MPLS VPN和L2 MPLS VPN兩種方式的技術(shù)特點(diǎn)，在此基礎(chǔ)上，提出MPLS VPN路由及相關(guān)配置方案，并分別從鏈路連接、設(shè)備選擇等方面闡述MPLS VPN網(wǎng)絡(luò)部署方案，為MPLS VPN網(wǎng)絡(luò)設(shè)計(jì)提供借鑒和參考。

【關(guān)鍵詞】MPLSVPN網(wǎng)絡(luò)設(shè)計(jì)

The research on MPLS VPN network design aiming at practical operation

Abstract： with the development and application of MPLS technology， the thesis focuses on MPLS VPN network design aiming at practical operation requirement. Comparative analysis about MPLS VPN technology model is made including BGP/MPLS VPN and L2 MPLS VPN. And based on the above analysis the solution of MPLS VPN routing and related configuration scheme allocation is put forward. MPLS VPN deployment scheme is demonstrated from link access and equipment selection， which is helpful to MPLS VPN network design.

Keywords： MPLS， VPN， network design

一、引言

為滿足業(yè)務(wù)發(fā)展及精細(xì)化管理需要，MPLS技術(shù)得到更為廣泛的應(yīng)用，MPLS VPN技術(shù)已經(jīng)成為專網(wǎng)中實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)隔離最有效、最易管理和擴(kuò)展的技術(shù)手段，通過(guò)MPLS VPN可以滿足專網(wǎng)管理需求，實(shí)現(xiàn)在一張物理網(wǎng)上模擬多種邏輯網(wǎng)，分別承載不同的業(yè)務(wù)，有助于整合網(wǎng)絡(luò)資源、降低運(yùn)營(yíng)維護(hù)成本。但是受人員能力、管控水平等多種因素的制約，包括VPN劃分、網(wǎng)絡(luò)組織以及其他等方面仍然存在運(yùn)營(yíng)精細(xì)化不足、缺乏統(tǒng)一規(guī)劃等問(wèn)題，直接導(dǎo)致與業(yè)務(wù)系統(tǒng)割接、業(yè)務(wù)系統(tǒng)整合的管理不暢，本文針對(duì)目前MPLS VPN網(wǎng)絡(luò)運(yùn)營(yíng)管理中的突出問(wèn)題，對(duì)MPLS VPN網(wǎng)絡(luò)設(shè)計(jì)的核心環(huán)節(jié)進(jìn)行研究探討，并提出建議方案，有助于MPLS VPN網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)精細(xì)化運(yùn)營(yíng)提供參考。

二、MPLS VPN技術(shù)實(shí)現(xiàn)模式

基于MPLS技術(shù)可以在IP基礎(chǔ)設(shè)施上提供IP業(yè)務(wù)的優(yōu)勢(shì)，并基于MPLS建立全新的分級(jí)IP VPN，IP VPN可以實(shí)現(xiàn)無(wú)連接的IP網(wǎng)絡(luò)，同時(shí)可以保證與幀中繼及多級(jí)別IP業(yè)務(wù)的私密性。MPLS VPN主要包括BGP/MPLS VPN和L2 MPLS VPN兩種實(shí)現(xiàn)技術(shù)。①BGP/MPLS VPN基于RFC2547技術(shù)，能夠?qū)⒙酚赏獍o第三方企業(yè)維護(hù)，減小了運(yùn)營(yíng)復(fù)雜度，幫助用戶維護(hù)路由進(jìn)一步可以開(kāi)展增值業(yè)務(wù)，帶來(lái)收益增長(zhǎng)。②L2 MPLS VPN由Juniper公司提出，VPN用戶自己負(fù)責(zé)維護(hù)VPN內(nèi)的路由信息，第三方只負(fù)責(zé)將用戶的鏈路層標(biāo)識(shí)在網(wǎng)絡(luò)兩端進(jìn)行映射，使其能在IP網(wǎng)絡(luò)上獲得專有的連接。在不足方面，同一個(gè)VPN的CE和PE之間的連接類型必須一致；用戶需要自己維護(hù)路由，要求有一定路由經(jīng)驗(yàn)，相應(yīng)對(duì)第三方企業(yè)而言，也失去了開(kāi)展路由代維服務(wù)的機(jī)會(huì)。BGP/MPLS VPN和L2 MPLS VPN在技術(shù)上各有優(yōu)缺點(diǎn)，結(jié)合網(wǎng)絡(luò)運(yùn)營(yíng)現(xiàn)狀及管理需要，BGP/MPLS VPN能夠更好的降低運(yùn)營(yíng)復(fù)雜度，并可以通過(guò)維護(hù)路由開(kāi)展增值應(yīng)用，采用BGP/MPLS VPN技術(shù)方案更為符合實(shí)際需要。

MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)主要包括三層結(jié)構(gòu)和二層結(jié)構(gòu)兩種方式。對(duì)于三層MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)，在城域網(wǎng)、省網(wǎng)、骨干網(wǎng)的邊界都需要專門的PE-ASBR和獨(dú)立的鏈路連接起來(lái)，在PE-ASBR之間運(yùn)行MP-eBGP，在每個(gè)層面的網(wǎng)絡(luò)中有各自的PE設(shè)備，一個(gè)層面的PE設(shè)備之間運(yùn)行MP-iBGP；對(duì)于二層網(wǎng)絡(luò)，城域網(wǎng)、骨干網(wǎng)之間的邊界通過(guò)專門的PE-ASBR和獨(dú)立鏈路連接，在PE-ASBR之間運(yùn)行MP-eBGP，在每個(gè)層面有各自的PE設(shè)備，一個(gè)層面的PE設(shè)備之間運(yùn)行MP-iBGP。MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下：

（1）在用戶地址段在PE路由器上配置靜態(tài)路由

Address-family ipv4 vfr test1配置PE到CE的路由

Redistribute static

No synchronization

Network 10.10.10.0 mask 255.255.255.22

Exit-address-family

Ip route vrf test1 192.1.1.0 255.255.255.0 10.10.10.2

以上192.1.1.0為用戶地址段，10.10.10.0為連接地址段。

（2）在CE上配置默認(rèn)路由

用戶路由器以Cisco2611為示例：

Interface FastEthernet 0/0連接到上層局端交換機(jī)

Ip address 10.10.10.2 255.255.255.252

No ip directed-broadcast

Interface FastEthernet 0/0連接到用戶端交換機(jī)

Ip address 192.1.1.1 255.255.255.0

No ip directed-broadcast

Ip 0.0.0.0 0.0.0.0 10.10.10.1

與BGP/MPLS VPN相關(guān)資源主要包括：路由識(shí)別（RD，Route Distinguisher）、路由目標(biāo)（RT，Routing Target）以及VRF名稱。

（1）路由識(shí)別RD分配

使用<16bits type>：：<32 bit number>格式，分配規(guī)則為『AS號(hào)：VPN類別』，其中AS號(hào)為目前網(wǎng)絡(luò)使用的AS號(hào)，VPN類別為4字節(jié)整數(shù)，取值范圍0-4294967295（10位數(shù)字）。

（2）路由目標(biāo)RT分配

根據(jù)VPN業(yè)務(wù)互訪關(guān)系，為每個(gè)VPN配置不同的RT。CERC是業(yè)界比較通用的一個(gè)RT分配策略。VPN本身表達(dá)了客戶的各個(gè)Site之間的網(wǎng)絡(luò)連接關(guān)系，CERC策略把一個(gè)VPN劃分成一個(gè)個(gè)的CE的組，每個(gè)組稱之為CERC（CE routing communities）。

①任何一個(gè)復(fù)雜的組網(wǎng)拓?fù)?，都可以拆分成若干個(gè)CERC。

②CERC的基本類型有兩種類型：full mesh、hub-and-spoke

③每個(gè)CERC都有兩個(gè)RT值（hub rt值和spoke rt值）。

四、MPLS VPN網(wǎng)絡(luò)部署方案

對(duì)于三層MPLS VPN網(wǎng)絡(luò)，在城域網(wǎng)、省網(wǎng)、骨干網(wǎng)的邊界需要通過(guò)專門的PE-ASBR和獨(dú)立的鏈路連接起來(lái)，在PE-ASBR之間運(yùn)行MP-eBGP，在每個(gè)層面的網(wǎng)絡(luò)中有各自的PE設(shè)備，一個(gè)層面的PE設(shè)備之間運(yùn)行MP-iBGP；對(duì)于二層網(wǎng)絡(luò)，城域網(wǎng)、骨干網(wǎng)之間的邊界通過(guò)專門的PE-ASBR和獨(dú)立鏈路連接，在PE-ASBR之間運(yùn)行MP-eBGP，在每個(gè)層面有各自的PE設(shè)備，一個(gè)層面的PE設(shè)備之間運(yùn)行MP-iBGP。

在一個(gè)AS自治域，MPLS VPN通過(guò)MP-iBGP路由協(xié)議來(lái)承載VPN成員關(guān)系和VPN網(wǎng)絡(luò)可達(dá)性。PE設(shè)備之間要運(yùn)行MP-iBGP，假如采用Full Mash結(jié)構(gòu)，對(duì)于有N臺(tái)PE的情況，每臺(tái)PE都有N-1個(gè)IBGP session，每增加一臺(tái)PE，在新增的PE上需要配置現(xiàn)有的所有PE作為其IBGP鄰居，同時(shí)需要在其他PE上增加一個(gè)IBGP鄰居，當(dāng)N很大時(shí)，配置工作量將很大，不易擴(kuò)展。

核心層需要處理城域網(wǎng)以外的大量路由，和MPLS VPN中的P節(jié)點(diǎn)處于同樣的位置，核心層設(shè)備需要完成P節(jié)點(diǎn)的工作，實(shí)現(xiàn)VPN外層標(biāo)簽交換，P節(jié)點(diǎn)的穩(wěn)定性和兼容性十分重要，P節(jié)點(diǎn)發(fā)生故障將會(huì)影響整個(gè)城域網(wǎng)的MPLS如果采用其他小廠設(shè)備，可能會(huì)遇到不穩(wěn)定或者一些意想不到的問(wèn)題。結(jié)合業(yè)務(wù)量需要規(guī)模，通常建議采用Cisco12000系列的GSR路由設(shè)備，能夠較好的滿足高數(shù)據(jù)量、高穩(wěn)定性、高安全性需求PE路由器在P節(jié)點(diǎn)之下，處于匯聚層，完成大量的VRF和VFR路由的發(fā)起工作。匯聚層網(wǎng)絡(luò)設(shè)備首先需要考慮接口問(wèn)題，充分考慮網(wǎng)絡(luò)的可持續(xù)擴(kuò)展性，需要包括豐富的GE接口，并考慮的可互通性，避免在城域網(wǎng)中造成瓶頸。匯聚層網(wǎng)絡(luò)設(shè)備可采用的設(shè)備主要包括Cisco7600系列、華為的NE系列、港灣的Bighammer系列系統(tǒng)設(shè)備。建議采用思科公司的Cisco7600系列的Supervisor Engine 720-3BXL路由器作為匯聚層網(wǎng)絡(luò)設(shè)備，能夠較好的提供硬件加速和MPLS等可擴(kuò)展增強(qiáng)服務(wù)。

五、結(jié)束語(yǔ)

本文以MPLS網(wǎng)絡(luò)精細(xì)化運(yùn)營(yíng)管理為出發(fā)點(diǎn)，基于實(shí)際運(yùn)營(yíng)管理需求角度探討MPLS VPN網(wǎng)絡(luò)設(shè)計(jì)實(shí)施問(wèn)題，提出了面向運(yùn)營(yíng)的MPLS VPN網(wǎng)絡(luò)設(shè)計(jì)方案，具有較強(qiáng)的實(shí)際應(yīng)用針對(duì)性，有助于解決VPN網(wǎng)絡(luò)建設(shè)過(guò)程中網(wǎng)絡(luò)設(shè)計(jì)與業(yè)務(wù)發(fā)展相互脫節(jié)的問(wèn)題，提升網(wǎng)絡(luò)精細(xì)化運(yùn)營(yíng)管理水平，為MPLS VPN網(wǎng)絡(luò)建設(shè)和精細(xì)運(yùn)營(yíng)提供參考。

參考文獻(xiàn)

[1]朱元忠，余鎮(zhèn)危，楊民峰.基于IPSec與基于MPLS的VPN的比較與分析.北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008，（01）

[2]張揚(yáng).基于IPsec的VPN研究.重慶工學(xué)院學(xué)報(bào)（自然科學(xué)版），2008，（01）

[3]劉亮，李玉萍，鄒妍，吳國(guó)強(qiáng)，秦久剛.淺談VPN技術(shù).地殼構(gòu)造與地殼應(yīng)力，2006，（01）

[4]戴彬.基于IPSec的VPN技術(shù)穿越NAT的研究與設(shè)計(jì).西南大學(xué)， 2006