基于SDN的政企vCPE VPN業務研究

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

運營技術廣角

基于SDN的政企vCPE VPN業務研究

扶奉超，王鵬，謝元寶

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

SDN已成為當前的研究熱點。用SDN技術實現vCPE的主要思想是通用硬件+軟件的方式實現CPE，同時用SDN控制器集中管理vCPE，并提供開放的北向可編程接口。采用此方法，不僅可以為政企客戶提供豐富的增值業務，還可以加快政企客戶業務部署速度，增強業務靈活部署的能力。提出了基于SDN技術的vCPE模型，并研究采用vCPE后，如何根據企業不同的需求實現VPN業務的問題。提出了3種適用于vCPE的VPN技術，即VxLAN VPN、MPLS協議VPN和IPSec VPN，并從多角度比較了3種方法的優劣。此外還提出VxLAN VPN、MPLS VPN和IPSec VPN的融合方案，在保證VPN業務高安全性的同時，分別保持VxLAN VPN低成本的優勢和MPLS VPN高傳輸速率和QoS保障的優勢，從而使得政企客戶能夠根據自身帶寬、安全性和時延等需求，選購靈活的隨選VPN產品。

vCPE；軟件定義網絡；虛擬專用網；VxLAN；多協議標簽交換；IPSec

1 引言

運營商一直以來為客戶提供高效可靠的服務。但隨著業務的快速發展，現有的架構越來越難以滿足業務快速開通、高效運維、靈活可編程、面向客戶定制等新的需求[1]。SDN（software defined networking，軟件定義網絡）技術可以為解決上述問題提供借鑒。SDN針對的是網絡架構問題，其核心思想是將網絡的控制平面和轉發平面相分離，利用集中化的控制平面對網絡進行端到端調度，并開放可編程北向接口[2]。目前，SDN技術已經成為業內研究熱點，國內三大運營商正在積極嘗試采用SDN技術進行網絡升級和演進，如中國電信集團公司于2016年公布了《CTNet2025重構網絡白皮書》[3]。

作為引進SDN方案的試探，運營商首選在數據中心和城域網進行SDN實驗。政企客戶對運營商十分重要，在運營商的收入中占比很大。對客戶來說，VPN（virtual private network，虛擬專用網）可以實現不同分公司之間以及企業和數據中心之間的互聯互通，是最重要的互聯網業務[4]；對運營商來說，VPN業務是政企客戶收益最高的業務，必須要十分重視。然而目前政企客戶面臨著VPN業務開通緩慢、流程復雜、費用高以及不能根據客戶需求提供其他個性化服務的問題。針對這個問題，本文研究基于SDN的vCPE（virtual customer premise equipment，虛擬用戶駐地設備）方案。本方案通過用通用x86服務器+軟件的方式實現CPE（customer premise equipment，用戶駐地設備），實現CPE的軟/硬件解耦。SDN控制器用OpenFlow、BGP等協議集中管理vCPE，并提供開放的可編程接口，能夠開發豐富的增值業務，實現用戶網絡隨選功能（即根據客戶需求，快速開通相關業務）。采用SDN實現vCPE后，傳統的VPN業務實現方式將會受到影響，因此在vCPE網絡中如何快速地根據客戶需求開通VPN業務是個問題。

目前業內的標準化組織、運營商和設備商正積極開展vCPE研究。在標準化組織方面，最為積極的是 BBF（Broadband Forum）組織，并于2016年6月發布了vCPE技術標準[5]，主要規范了 vCPE技術要求和管理要求等方面。然而業內研發進展較為緩慢，大多處于解決方案、探索方案階段。據筆者所知，現有文獻中還未出現過如何用SDN技術實現vCPE以及vCPE中如何實現VPN業務的相關研究成果，因此本文具有一定的創新性。

本文主要研究了如何利用SDN技術實現vCPE的問題以及vCPE中如何實現政企VPN業務的問題。并介紹了3種最有應用前景的VPN技術，分別是以VxLAN（virtual extensible localarea network，虛擬擴展局域網）為代表的overlay VPN技術、IPSec（internet protocol security，Internet協議安全）VPN技術和MPLS（multi-protocol label switch，多協議標簽交換）VPN技術，分析了3種VPN技術的優缺點和成熟度，并簡要討論了VPN技術的融合方案，綜合不同VPN技術的優勢，為用戶提供安全可靠的VPN業務。

2 基于SDN的vCPE模型

圖1 基于SDN的vCPE模型

圖1為基于SDN的vCPE模型。其中，vCPE是放置于政企的接入網關，可以用x86服務器的通用硬件+軟件的形式構建，也可以采用具備WAN口、WLAN口、以太網口等接口的專用設備實現。通過虛擬化技術，可在vCPE上加載不同軟件應用，從而可以實現向后兼容、業務快速部署和靈活擴展。SDN控制器與vCPE的接口為南向接口。SDN控制器利用OpenFlow、NetConf等南向接口協議作為轉發控制分離協議，主要負責控制器和vCPE之間的數據交互，包括控制器下發的各種控制信息，如各種流表，也包括vCPE上報的狀態信息、拓撲信息、告警信息等[6]。業務編排器負責業務編排，可以提供服務在線銷售的服務。政企客戶可以通過 App客戶端或者 portal（門戶）頁面直接快速訂購一些有特定網絡帶寬和要求的即時開通服務。業務編排器與SDN控制器的接口為北向接口，一般采用RESTful協議、NetConf協議等實現。業務編排層通過調用SDN控制層可以提供VPN服務、防火墻服務以及其他增值服務。提供服務時，由 SDN控制器內部的程序完成業務，而業務編排層不需要關心網絡內部到底如何實現此業務[2]。

3 基于SDN的政企客戶VPN實現方法

VPN是指虛擬專用網技術，可以將物理上分布在不同地方的網絡通過公用骨干網或其他網絡連接成邏輯上的虛擬子網[4]。具有不同分支的企業及機構有VPN的業務需求，以實現總部與分部之間、分部與分部之間的二層訪問。此外，有些企業也有企業和IDC（internet data center，互聯網數據中心）間的VPN業務需求。對CPE采用SDN技術會對VPN業務的開通方式及實現方式產生影響。基于SDN的vCPE政企VPN業務開通流程如下。

首先，客戶在App客戶端或者門戶上申請VPN業務，綜合考慮性能和價格，選擇帶寬、時延、分組丟失率、安全性等參數，下單選中VPN業務。業務編排器收到VPN業務開通請求后，通過北向接口向SDN控制器下發控制信息。SDN控制器收到VPN開通要求后，配置網絡等資源，下發相應流表，在vCPE處或者其他網絡端點建立VPN隧道并控制vCPE的轉發行為，從而實現VPN業務。

傳統通過CPE實現VPN業務有以下幾種方式，即 MPLS VPN、幀中繼、IPSec VPN等。采用vCPE后，除了用傳統的方式實現VPN外，還可以用以VxLAN為代表的overlay技術實現。接下來，本文將重點闡述vCPE中實現 VPN的 3種主要技術，即VxLAN VPN、MPLS VPN和IPSec VPN，比較3種技術的優缺點，并結合3種方案的優缺點，提出融合方案。

3.1 VxLAN VPN技術

VxLAN技術是一種L2 over UDP的隧道技術。利用VxLAN技術可以實現不同物理位置網絡的大二層連接，同時對現網的改動很小。VxLAN利用 24 bit的 VNID（VxLAN network identifier）區分不同的用戶和業務，約為16 MB，遠遠超過VLAN網絡號僅12 bit的限制。與一般的隧道技術一樣，VxLAN技術也需要兩端有隧道的端點。VxLAN中的隧道端點稱為 VTEP(VxLAN tunneling end point，VxLAN隧道終端)[7]。

圖2為VxLAN VPN示意。以企業A和分公司通信為例，在vCPE收到SDN控制器下發的控制信息后，VxLAN VPN實現過程如下。

企業A內用戶的以太網數據幀在達到VTEP后，首先進行封裝，也就是把 Ethernet數據幀（frame）封裝到UDP報文中，然后把用戶的報文送到IP網絡并在公網進行IP路由和轉發，傳遞到分公司后，在分公司的VTEP進行解封裝操作，并將符合以太網格式要求的用戶數據傳到用戶。與普通的IP通信相比，整個過程的實現僅需要在兩端vCPE中增加VTEP功能，而中間的其他網絡和設備可以保持不變。

可以看出，利用VxLAN技術建立VPN隧道的方法比較簡單，對現有基礎網絡改動較小。VxLAN VPN由于在骨干網上跟普通IP轉發沒什么區別，僅需要改動vCPE，企業可以只開通普通的IP互聯網業務，與以往的VPN專線業務相比，成本低很多。因此VxLAN VPN是一種成本非常低的VPN，非常適合于價格敏感的小企業或其他企業。

圖2 VxLAN VPN示意

3.2 MPLS VPN技術

雖然VxLAN VPN實現方式簡單、價格低廉，但并不能

保證Differ-Serv（differentiated service）的QoS（qualityofservice，服務質量），而MPLS能夠和Differ-Serv完美配合，提供QoS功能。因此對價格不敏感，而對服務質量更加敏感的中大型企業更加適合MPLS VPN[8]。

在MPLS網絡中，路由器在轉發數據分組前，無需像傳統IP轉發一樣，讀取分組頭和IP地址，只需要根據封裝在IP頭外面的標簽進行精確匹配和轉發即可，可以大大提高轉發效率。同時路由器可以對所傳數據分組提供QoS分級，從而大幅提高了網絡服務品質。以企業A和分公司通信為例，vCPE中MPLS VPN實現過程如下。

業務編排器收到客戶MPLS VPN業務申請后，通過北向接口下發控制信息至SDN控制器。接著SDN控制器對vCPE下發流表信息。此外，SDN控制器還需要與傳統的MPLS管理系統進行對接通信，在 PE處創建 MPLS instance（實例），根據用戶需求指定 Differ-Serv QoS，在MPLS網絡內創建虛擬鏈路VPN。VPN建立后，MPLS VPN數據轉發過程如下。

公司A的vCPE收到用戶私網數據或二層數據報文后，根據路由信息將數據報文傳遞至PE，PE在數據報文打上MPLS標簽后，根據預先設定的MPLS路徑，將MPLS數據分組傳送至分公司的PE。PE剝離數據報文的標簽，并將符合要求的私網數據或二層數據傳遞給目的用戶，從而完成了MPLS VPN通信過程。分公司與公司A的通信也是如此。

可以看出，vCPE采用MPLS VPN具有如下優點：首先傳輸速度快，數據分組不再需要復雜的路由或封裝，而是根據精確匹配的標簽值直接在指定的路徑上傳遞；其次，MPLS可以根據用戶的需求，保障用戶QoS，如為分組丟失敏感型視頻業務和時延敏感型的語音業務提供保障；最后，MPLS VPN可以利用現有的MPLS網絡，不需要進行改動，這對于平滑演進SDN相當重要。

3.3 IPSec VPN技術

VxLAN VPN和MPLS VPN有著各自的優點，但兩者的安全機制均不完善。IPSec VPN提供了完整的保護機制，包括訪問控制、無連接的完整性認證、抗重傳和數據保密等，從而有效地保護了數據分組的安全[9]。IPSec VPN的實現方式類似于VxLAN。實現流程如下：SDN控制器下發流表至vCPE。首先vCPE根據IPSec協議，對數據分組進行認證和加密，并在vCPE和對端vCPE處進行數據分組封裝和解封裝的操作，然后vCPE將符合要求的私網數據或二層數據傳送給目的用戶。骨干網絡進行普通的IP路由和轉發，感知不到隧道的存在。值得注意的是，IPSec VPN由于要進行認證、保密協商等過程，可能存在較大的時延。由于篇幅有限，本文不詳述IPSec VPN。

3.4 3種技術的優缺點及融合方案

綜上所述，3種技術的優缺點見表1。

表1 vCPE中3種VPN技術對比

由表1可以看出，3種VPN技術各有優缺點，適合的場景也不一樣。MPLS VPN和IPSec VPN比較成熟，已廣泛用于其他場景，僅需要進行較簡單的系統對接和改造就可以實現。而對于VxLAN VPN，雖然短期看來，還未開發出支持VxLAN技術的vCPE設備，但VxLAN技術應用越來越廣泛，目前已有跨IDC（internetdata center，互聯網數據中心）實現互聯互通的成功經驗，vCPE支持VxLAN是趨勢。長遠來看，此3種技術均有一定的應用價值，成熟度也會逐漸提高。

此外，MPLS VPN和VxLAN VPN安全性不強，可以考慮將IPSec VPN分別與MPLS VPN和VxLAN VPN融合起來，使得VPN功能更強大，性能也更優越。IPSec VPN與MPLS VPN和VxLAN VPN的融合操作簡單，只需要在隧道端點處對原有數據分組增加相應 IPSec分組頭即可。VxLAN VPN與IPSec VPN集成起來可以構建低成本、高安全性的VPN。MPLS與IPSec集成起來可以構建提供Differ-Serv QoS、傳輸速率快，同時安全性高的VPN。由于篇幅有限，本文不再詳述。

4 結束語

基于SDN的vCPE可以為政企用戶提供各類豐富的增值業務，并提供快速開通、靈活擴展業務的能力，是vCPE未來發展的趨勢之一。引入vCPE會影響傳統政企VPN業務的實現方式。本文總結了 3種VPN技術，即VxLAN VPN、MPLS VPN和IPSec VPN，并分析了3種技術的優缺點、近期和遠期解決方案的成熟度和適用場景。本文還簡要介紹了VxLAN VPN、MPLS VPN分別與 IPSec VPN的融合方案，可以在保證VPN業務高安全性的同時，分別保持VxLAN VPN低成本的優勢、MPLS VPN的高傳輸速率和提供豐富QoS的優勢。由于vCPE研究領域較新穎，業內與CPE相關的CPE、SDN控制器和業務編排器等產品均較少，驗證vCPE中政企VPN業務的性能較為困難。因此本文僅從理論上進行了分析，未來的研究中將進行更多的實驗驗證。

[1] 程偉強,李晨.電信級SDN在運營商網絡中的應用研究[J].電信技術,2016(3):52-55. CHENG W Q,LIC.Research on application of telecom level SDN in carrier network[J].Telecommunications Technology,2016(3): 52-55.

[2]ONF.Carrier grade SDN framework draft[EB/OL].(2016-01-13)[2016-11-01].http://wenku.baidu.com/link?url=_VZeUBc1 GCVZhZbh4jiy2C4oMuV3N8sZ9Pqf5pG3Jrb7JN9sgcxWTjAhM9 Bz1T54KIZmPIdGYHiHoZZOhPCb4Pel8CWe2fT0iy-DmkeBkbq.

[3]中國電信.CTNet-2025網絡架構白皮書[R/OL].(2016-07-11)[2016-11-01].http://wenku.baidu.com/link?url=b--YDer0tku JUTHVR7gwBAFHfsB_WUKeplYZ_9e2pMIdGIotYv7f0 wtzwojk-G8lGHEqSaSTrmPg9BHnNmFd5A-b_i1IITclRFgHuov6iD47. China Telecom.CTNet-2025 network architecture white paper [R/OL].(2016-07-11)[2016-11-01].http://wenku.baidu.com/ link?url=b-YDer0tkuJUTHVR7gwBAFHfsB_WUKeplYZ_9e2p MIdGIotYv7f0wtzwojkG8lGHEqSaSTrmPg9BHnNmFd5A-b_i1IIT clRFgHuov6iD47.

[4]蔣東毅,呂述望,羅曉廣.VPN的關鍵技術分析[J].計算機工程與應用,2003(15):173-177. JIANG D Y,LV S W,LUO X G.Analysis on the key techniques in VPN[J].Computer Engineering and Applications,2003(15): 173-177.

[5]BBF.Network enhanced residential gateway issue 01:TR-317[S]. 2016.

[6] 鄭毅,華一強,何曉峰.SDN的特征、發展現狀及趨勢[J].電信科學,2013,29(3):84-88. ZHENG Y,HUA Y Q,HE X F.Characteristics,development and future ofSDN[J].Telecommunications Science,2013,29(3):84-88.

[7]WEERASINGHE J,ABEL F.On the cost of tunnel endpoint processing in overlay virtual networks[C]//IEEE/ACM 7th International Conference on Utility and Cloud Computing(UCC), Dec 8-11,2014,London,England.New Jersey:IEEE Press, 2014:756-761.

[8]武威,石晶林,勾學榮.寬帶MPLS網絡技術綜述[J].電信科學,2000,16(9):9-13. WU W,SHIJ L,GOU X R.Overview ofbroadband MPLS network technology[J].Telecommunications Science,2000,16(9):9-13.

[9]朱昌盛,余冬梅,朱昌鋒,等.將IPSec與MPLS技術結合構建虛擬專用網絡[J].計算機應用研究,2003,20(7):71-74. ZHU C S,YU D M,ZHU C F,etal.Constructing the virtualprivate networks by combining IPSec and MPLS[J].Application Research of Computers,2003,20(7):71-74.

Research on VPN service for government and enterprise custom ers in SDN-based vCPE networks

FU Fengchao,WANG Peng,XIE Yuanbao
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

SDN technology has been studied widely recently.The main idea of SDN-based vCPE is using custom hardware and software to replace CPE.All vCPEs are managed by the SDN controller in a centralized way and the open programmable north interface can be provided.In this way,not only a wealth of value-added services can be provided for government and enterprise customers,but also the pace of deploying services can be speeded up and the flexibility can be enhanced.A SDN based vCPE model was proposed and the problem of how to realize VPN services for government and enterprise customers in SDN-based vCPE networks according to their own needs was researched.Three VPN technologies of VxLAN VPN,MPLS VPN and IPSec VPN were proposed and they were compared from different perspectives.In addition,fused schemes were proposed to combine the advantages in security,transmission rate and QoS,so that government and enterprise customers can select flexible VPN products according to their own needs in bandwidth,security,delay and others.

vCPE,softwave defined networking,virtual private network,VxLAN,MPLS,IPSec

TP393

：A

10.11959/j.issn.1000-0801.2017053

扶奉超（1991-），女，中國電信股份有限公司廣州研究院數據通信工程師，主要從事寬帶接入網技術的研究工作。

王鵬（1973-），男，中國電信股份有限公司廣州研究院高級工程師，主要從事寬帶接入網技術的研究工作。

謝元寶（1989-），男，中國電信股份有限公司廣州研究院移動通信工程師，主要從事LTE網絡關鍵技術的研究工作。

2016-11-09；

2017-02-18