面向運營的MPLS VPN網絡設計研究

顧華忠

【摘要】隨著MPLS技術應用的普及，本文面向運營需要探討MPLS VPN網絡設計問題，首先對MPLS VPN技術實現模式進行對比分析，闡述BGP/MPLS VPN和L2 MPLS VPN兩種方式的技術特點，在此基礎上，提出MPLS VPN路由及相關配置方案，并分別從鏈路連接、設備選擇等方面闡述MPLS VPN網絡部署方案，為MPLS VPN網絡設計提供借鑒和參考。

【關鍵詞】MPLSVPN網絡設計

The research on MPLS VPN network design aiming at practical operation

Abstract： with the development and application of MPLS technology， the thesis focuses on MPLS VPN network design aiming at practical operation requirement. Comparative analysis about MPLS VPN technology model is made including BGP/MPLS VPN and L2 MPLS VPN. And based on the above analysis the solution of MPLS VPN routing and related configuration scheme allocation is put forward. MPLS VPN deployment scheme is demonstrated from link access and equipment selection， which is helpful to MPLS VPN network design.

Keywords： MPLS， VPN， network design

一、引言

為滿足業務發展及精細化管理需要，MPLS技術得到更為廣泛的應用，MPLS VPN技術已經成為專網中實現業務系統隔離最有效、最易管理和擴展的技術手段，通過MPLS VPN可以滿足專網管理需求，實現在一張物理網上模擬多種邏輯網，分別承載不同的業務，有助于整合網絡資源、降低運營維護成本。但是受人員能力、管控水平等多種因素的制約，包括VPN劃分、網絡組織以及其他等方面仍然存在運營精細化不足、缺乏統一規劃等問題，直接導致與業務系統割接、業務系統整合的管理不暢，本文針對目前MPLS VPN網絡運營管理中的突出問題，對MPLS VPN網絡設計的核心環節進行研究探討，并提出建議方案，有助于MPLS VPN網絡設計、網絡精細化運營提供參考。

二、MPLS VPN技術實現模式

基于MPLS技術可以在IP基礎設施上提供IP業務的優勢，并基于MPLS建立全新的分級IP VPN，IP VPN可以實現無連接的IP網絡，同時可以保證與幀中繼及多級別IP業務的私密性。MPLS VPN主要包括BGP/MPLS VPN和L2 MPLS VPN兩種實現技術。①BGP/MPLS VPN基于RFC2547技術，能夠將路由外包給第三方企業維護，減小了運營復雜度，幫助用戶維護路由進一步可以開展增值業務，帶來收益增長。②L2 MPLS VPN由Juniper公司提出，VPN用戶自己負責維護VPN內的路由信息，第三方只負責將用戶的鏈路層標識在網絡兩端進行映射，使其能在IP網絡上獲得專有的連接。在不足方面，同一個VPN的CE和PE之間的連接類型必須一致；用戶需要自己維護路由，要求有一定路由經驗，相應對第三方企業而言，也失去了開展路由代維服務的機會。BGP/MPLS VPN和L2 MPLS VPN在技術上各有優缺點，結合網絡運營現狀及管理需要，BGP/MPLS VPN能夠更好的降低運營復雜度，并可以通過維護路由開展增值應用，采用BGP/MPLS VPN技術方案更為符合實際需要。

MPLS VPN網絡結構主要包括三層結構和二層結構兩種方式。對于三層MPLS VPN網絡結構，在城域網、省網、骨干網的邊界都需要專門的PE-ASBR和獨立的鏈路連接起來，在PE-ASBR之間運行MP-eBGP，在每個層面的網絡中有各自的PE設備，一個層面的PE設備之間運行MP-iBGP；對于二層網絡，城域網、骨干網之間的邊界通過專門的PE-ASBR和獨立鏈路連接，在PE-ASBR之間運行MP-eBGP，在每個層面有各自的PE設備，一個層面的PE設備之間運行MP-iBGP。MPLS VPN網絡結構示意圖如下：

（1）在用戶地址段在PE路由器上配置靜態路由

Address-family ipv4 vfr test1配置PE到CE的路由

Redistribute static

No synchronization

Network 10.10.10.0 mask 255.255.255.22

Exit-address-family

Ip route vrf test1 192.1.1.0 255.255.255.0 10.10.10.2

以上192.1.1.0為用戶地址段，10.10.10.0為連接地址段。

（2）在CE上配置默認路由

用戶路由器以Cisco2611為示例：

Interface FastEthernet 0/0連接到上層局端交換機

Ip address 10.10.10.2 255.255.255.252

No ip directed-broadcast

Interface FastEthernet 0/0連接到用戶端交換機

Ip address 192.1.1.1 255.255.255.0

No ip directed-broadcast

Ip 0.0.0.0 0.0.0.0 10.10.10.1

與BGP/MPLS VPN相關資源主要包括：路由識別（RD，Route Distinguisher）、路由目標（RT，Routing Target）以及VRF名稱。

（1）路由識別RD分配

使用<16bits type>：：<32 bit number>格式，分配規則為『AS號：VPN類別』，其中AS號為目前網絡使用的AS號，VPN類別為4字節整數，取值范圍0-4294967295（10位數字）。

（2）路由目標RT分配

根據VPN業務互訪關系，為每個VPN配置不同的RT。CERC是業界比較通用的一個RT分配策略。VPN本身表達了客戶的各個Site之間的網絡連接關系，CERC策略把一個VPN劃分成一個個的CE的組，每個組稱之為CERC（CE routing communities）。

①任何一個復雜的組網拓撲，都可以拆分成若干個CERC。

②CERC的基本類型有兩種類型：full mesh、hub-and-spoke

③每個CERC都有兩個RT值（hub rt值和spoke rt值）。

四、MPLS VPN網絡部署方案

對于三層MPLS VPN網絡，在城域網、省網、骨干網的邊界需要通過專門的PE-ASBR和獨立的鏈路連接起來，在PE-ASBR之間運行MP-eBGP，在每個層面的網絡中有各自的PE設備，一個層面的PE設備之間運行MP-iBGP；對于二層網絡，城域網、骨干網之間的邊界通過專門的PE-ASBR和獨立鏈路連接，在PE-ASBR之間運行MP-eBGP，在每個層面有各自的PE設備，一個層面的PE設備之間運行MP-iBGP。

在一個AS自治域，MPLS VPN通過MP-iBGP路由協議來承載VPN成員關系和VPN網絡可達性。PE設備之間要運行MP-iBGP，假如采用Full Mash結構，對于有N臺PE的情況，每臺PE都有N-1個IBGP session，每增加一臺PE，在新增的PE上需要配置現有的所有PE作為其IBGP鄰居，同時需要在其他PE上增加一個IBGP鄰居，當N很大時，配置工作量將很大，不易擴展。

核心層需要處理城域網以外的大量路由，和MPLS VPN中的P節點處于同樣的位置，核心層設備需要完成P節點的工作，實現VPN外層標簽交換，P節點的穩定性和兼容性十分重要，P節點發生故障將會影響整個城域網的MPLS如果采用其他小廠設備，可能會遇到不穩定或者一些意想不到的問題。結合業務量需要規模，通常建議采用Cisco12000系列的GSR路由設備，能夠較好的滿足高數據量、高穩定性、高安全性需求PE路由器在P節點之下，處于匯聚層，完成大量的VRF和VFR路由的發起工作。匯聚層網絡設備首先需要考慮接口問題，充分考慮網絡的可持續擴展性，需要包括豐富的GE接口，并考慮的可互通性，避免在城域網中造成瓶頸。匯聚層網絡設備可采用的設備主要包括Cisco7600系列、華為的NE系列、港灣的Bighammer系列系統設備。建議采用思科公司的Cisco7600系列的Supervisor Engine 720-3BXL路由器作為匯聚層網絡設備，能夠較好的提供硬件加速和MPLS等可擴展增強服務。

五、結束語

本文以MPLS網絡精細化運營管理為出發點，基于實際運營管理需求角度探討MPLS VPN網絡設計實施問題，提出了面向運營的MPLS VPN網絡設計方案，具有較強的實際應用針對性，有助于解決VPN網絡建設過程中網絡設計與業務發展相互脫節的問題，提升網絡精細化運營管理水平，為MPLS VPN網絡建設和精細運營提供參考。

參考文獻

[1]朱元忠，余鎮危，楊民峰.基于IPSec與基于MPLS的VPN的比較與分析.北京工業職業技術學院學報，2008，（01）

[2]張揚.基于IPsec的VPN研究.重慶工學院學報（自然科學版），2008，（01）

[3]劉亮，李玉萍，鄒妍，吳國強，秦久剛.淺談VPN技術.地殼構造與地殼應力，2006，（01）

[4]戴彬.基于IPSec的VPN技術穿越NAT的研究與設計.西南大學， 2006