基于MPLS VPN技術的地區企業城域網設計與研究

摘要：地區企業與客戶或其他企業間緊密的合作關系促使企業對數據通信的經濟性、安全性、傳輸速率提出了更高的要求，MPLS VPN技術能夠滿足地區企業的城域網建設需求，具有良好的擴展性、靈活性以及較低的成本，能夠有效解決企業發展期間面臨的網絡管理和應用難題。對MPLS VPN中的三層VPN與二層VPN原理進行了論述，分別從兩種MPLS VPN角度論述了地區企業城域網的設計思路，為相關單位人員提供參考。

關鍵詞：MPLS VPN；城域網；地區企業；BGP/MPLS；VPLS

一、前言

互聯網技術為企業快速發展提供了強有力的技術支持，在現有技術應用的基礎上，各企業均希望通過設計更優異的組網方案實現對現有網絡資源的高效利用，進一步增強網絡的效率、擴展性、安全性，滿足多樣化的業務需求。MPLS技術在網絡安全方面具有一定作用，能夠形成虛電路一般的標簽交互業務，為企業網絡賦予ATM網絡特性。相對而言，MPLS VPN具有比傳統VPN更低的成本，能夠實現底層標簽的自動分別，進一步提升了網絡傳輸效率，能夠為用戶提供更優質的服務。因此，該技術在地區企業城域網建設中具有重要作用。

二、MPLS VPN技術概述

（一）三層MPLS VPN

該技術在VPN的基礎上應用了MPLS技術，又稱IP VPN技術，MPLS技術在交換設備、網絡路由中的應用促使核心路由器的選擇方式得到了簡化處理，能夠在傳統標記交換技術的基礎上滿足IP虛擬網絡的建設需求。MPLS VPN技術能夠構造寬帶Extranet與Intranet，在企業網絡建設中能夠借助公共骨干網的功能減少建設成本，帶給企業網絡更高的靈活性，為網絡用戶帶來更高的寬帶，網絡也更具安全性與實時性[1]。三層VPN技術主要由P、PE、CE三種設備組成。其中，P設備即為網絡運營商骨干路由器設備，PE設備為網絡運營商邊緣路由器設備，CE設備為用戶網絡邊緣設備。P設備要求具有MPLS基礎轉發功能而不與CE設備連接；PE設備能夠與CE設備直連，能夠為VPN各項處理業務提供平臺環境；CE設備具有主機、交換機、路由器等多種存在形式，能夠與SP服務提供商直連，無須支持MPLS，能夠實現對VPN的感知。

在三層VPN網絡中，VPN路由信息發布與上述三種設備有關，P路由器設備無需掌握各VPN路由信息，僅用于滿足骨干網絡的維護需求，PE路由器設備僅用于直連VPN路由信息的維護而非全部VPN路由信息，因此該網絡擴展性良好。為實現VPN路由信息的發布，三層VPN需要依次完成本地CE、入口PE、出口PE、遠端CE之間的信息流轉，信息流轉完成后方可建立遠端與本地CE的路由聯系，從而滿足骨干網中VPN路由信息的發布需求[2]。

對于入口PE與本地CE之間的路由信息交互，在實際運行過程中，PE與CE直連，在兩者構建連接的基礎上，本地CE將路由發布給入口PE，此時兩者時間能夠滿足EBGP、OSPF、靜態路由等各種路由協議的使用需求。隨著路由協議的變化，CE至PE發布的路由標準并不發生改變，均為IPv4路由。

對于出口、入口PE之間的路由信息交互，在實際運行過程中，入口PE接收自本地CE的IPv4路由將被賦予VPN Target、RD屬性，IPv4路由將轉變為VPN-IPv4路由，并在CE構建的VPN實例中存放；MP-BGP能夠幫助入口PE將轉化的VPN-IPv4路由發布為出口PE，接收到路由信息后，出口PE則根據VPN實例中的Import Target屬性以及所接收路由的Export Target屬性判斷是否在VPN實例路由表中將VPN-IPv4路由添加進去[3]。

（二）二層MPLS VPN

二層VPN主要為虛擬專用局域網VPLS技術，該技術在IETF中具有三種不同組網結構和信令的草案，分別為RADIUS、BGP與LDP草案。其中，LDP草案為三種中提出較早且得到推廣的草案。在實際應用中，該草案提出借助LDP信令在PE之間建立虛電線PW、標簽交換路徑LSP的思路，PW能夠將全部的組播幀、跨距應我單播幀、廣播幀在不同局域網之間轉發，從而在數據鏈路層中實現不同局域網的整合[4]。

三、三層MPLS VPN在地區企業局域網的設計應用

（一）數據轉發過程

三層VPN技術中，VPN數據為兩層標簽棧結構，分別為VPN內標簽與隧道外標簽，分別用于域內與VPN路由。域內路由LSP的建立是需要借助標簽分發協議在PE路由器的運行，所形成的標簽轉發表僅用于交換外層標簽。PE路由其中具有MPLS、VRF兩類路由表，前者主要用于子接口與VPN標簽間對應關系的存放，能夠作為數據轉發的依據。在實際轉發過程中，CE設備將VPN數據包經子接口發給入口PE，PE對照VRF表查詢確認VPN標簽；當BPN分組數據包具有兩層標簽時，數據包將被發送至LSP的首個P路由器中，P路由器在骨干網中對VPN分組逐跳轉發并傳輸數據，直至最后的P路由器彈出外層標簽，為出口PE轉發僅保護VPN內標簽的分組，然而借助MPLS路由表查詢確認目標，為接收端傳輸數據。當出口、入口PE路由器為同一設備時，PE路由器能為CE路由器傳輸未處理的VPN分組[5]。

（二）MPLS IP VPN 實現以及配置

1.二層交換機配置

為滿足PE、CE路由器相關設備之間的聯通需求，中心點、分支點需要借助二層VLAN透傳的方式傳輸至PE設備，接入層交換機配置如下：

huawei（config）# vlan 2458# vlan創建

huawei（config）#description dqqyyewuvpn#添加注釋，描述地區企業業務VPN

huawei（config）#interface Ethernet0/0/21#進入與網管設備連接的端口

huawei（config-Ethernet0/0/21）# port access vlan 2458 #關聯vlan與端口

huawei（config-Ethernet0/0/21）# description dqqyyewuvpn#添加注釋

huawei（config）#interface GigabitEthernet0/0/1#進入設備上聯端口

huawei（config-GigabitEthernet0/0/1）#port link-type trunk#端口改為Trunk模式

huawei（config-GigabitEthernet0/0/1）#port hy tag vlan 2458#配置2458可通過

2.SR（全業務路由器）與BRAS（寬帶接入服務器）設備配置

地區企業城域網中的PE設備主要為SR與BRAS設備，能夠滿足各分支的業務三層接入、二層VP數據透傳、路由分發相關工作的需求。針對與中心點連接的SR設備，在配置其NE80E城域路由器的過程中，需要將設備loopback回環地址配置為lsr地址，同時啟用MPLS，在全局配置模式下面需要將MPLS LDP與MPLS協議啟用，端口下面的協議啟用要求與全局配置模式一致。

可以將用戶端網管設備的路由增加一些，而用戶中心點位在沒有指定的默認路由的時候，可以在本端默認一下。而本端只能使用特定的內網來做靜態路由的端點，如果不按這個程序來做的話，就會導致與中心點不通的后果。

huawei（config）#ip route-static vpn-instance dqqyyewuvpn 0.0.0.0 0.0.0.0 172.1.0.2

其他節點均通過二層交換機上聯至PE設備，可以分別創建不同的子接口，實現VPN接入，除不用配置靜態路由以外，各分支點的配置方法與中心點的配置方法相同。

3.檢查結果

配置完上述信息后，可以在PE上面進行檢查，看是否能看到該site里面的路由信息，使用命令如下。

huawei（config-bgp）#disp ip routing-table vpn-instance dqqyyewuvpn可以得到結果，如圖1。

顯而易見，PE已經學習到了直連路由和BGP路由，證明整理MPLS網絡配置成功，同時亦可說明用戶側CE與運營商側PE設備的網絡連接成功。

四、二層MPLS VPN（VPLS）在地區企業局域網的設計應用

（一）VPLS的實現原理

1.虛電線原理

虛電線建立于兩PE路由設備之間，為雙向LSP虛電路，能夠實現不同局域網之間組播幀、單播幀、廣播幀的交換，實現在數據鏈路層中整合不同的局域網。以太網虛電線技術的關鍵在于利用MPLS網絡控制傳輸過程中并封裝幀，單個虛電線PW幀結構詳如表１。

其中，隧道標簽能夠實現標簽交換路徑在MPLS網絡中的標識，是至端點PE的外層標簽，基于LDP協議在MPLS網絡內部分發。虛電路標簽能夠對某一VPN即虛電路ID進行標識，該標簽與隧道標簽的封裝均需要在入口PE處，隧道標簽存在逐跳修改于MPLS網絡內的情況，虛電路標簽在出入口PE之間傳輸過程中始終保持幀的恒定；待幀達到入口PE時，先剝離隧道標簽，然后結合虛電路標簽數值網以太網端口轉發相應的幀。

2.MAC地址學習

MAC地址學習是VPLS的一個橋接功能，以太網中全面未知目的地址幀、廣播幀均被擴散至全部端口，為滿足地址在VPLS內的擴散需求，各地址未知的組播幀、廣播幀、單播幀都將被擴散至PW虛電線之中，最終導致PE節點。各PE設備均維護了相應的獨立轉發信息庫，信息庫中具有接口標識符、地址以及VPLS流量轉發至各地址的信息。VPLS內部MAC地址需要PE從源自其他PE的源地址學習，為滿足幀的轉發需求，PE需要虛電線與MAC地址建立關聯，因此PE在VPLS里需要具備在虛電路與物理端口學習MAC地址的能力，同時能夠實現對數據表的轉發與復制。

3.VPLS環路規避

各PE在接收其他PE傳來的幀后禁止對幀再次轉發，這一要求主要用于規避網絡中的環路現象。在幀無法被PE再次轉發的情況下，網絡中將不具備形成環的三節點乃至更多節點路徑。參考Ibgp水平分割，PE需要相互之間建立VPLS鄰居，即為全網格，PW虛電線數量將存在N的平方這一數量激增的情況。

4.層次化VPLS

未來解決全網格存在的虛電線數量激增問題，可以借助層次化VPLS解決問題。具體原理為，VPLS劃分為接入層與核心層兩部分。其中，核心層PE設備為PE-rs，接入層為MTU-s設備，前者各設備兩兩互聯，前者與后者各設備星型連接，單個接入層設備僅與單個核心層設備連接，且僅具有單條虛電線，其余虛電線設定為備份狀態。

（二）城域網上VPLS 的實現

本文選擇按照更加實用的圖3右側網絡拓撲結構建設VPLS城域網，核心層選用的業務接入控制點設備為BRAS SE800設備，接入層MTU-s則為其余BRAS設備。

實現步驟（在REDBACK SE800的版本5.03）如下。

首先，核心層各BRAS SE800設備之間建立VPLS鄰居，具體要求為建bridge profile，對廣播、多播相關速率進行限制；建vpls profile，加入VPLS鄰居HUB類型的IP地址；在context local下，啟用MPLS與LDP，并在后者之中添加對端PE的IP地址，建立LSP。

其次，核心層與接入層之間建立VPLS鄰居，具體要求為建bridge profile，對廣播、多播相關速率進行限制；建vpls profile，加入VPLS鄰居本地模式為PE-RS 且類型為SPOKE的IP地址；在context local下，啟用MPLS與LDP，并在后者之中添加對端PE的IP地址，建立LSP。

最后，接入層與核心層建立VPLS鄰居，具體要求為建bridge profile，對廣播、多播相關速率進行限制；建vpls profile，加入VPLS鄰居本地模式為MTU-s 且類型為SPOKE的IP地址；在context local下，啟用MPLS與LDP，并在后者之中添加對端PE的IP地址，建立LSP；在接入業務PE中建立context、interface，并實現與業務接入端口的綁定。

五、結語

綜上所述，本文主要對MPLS VPN技術中的三層VPN與二層VPN技術原理進行了論述，分別以兩種VPN形式為例，論述了地區企業城域網設計方法。相對而言，三層VPN技術更加成熟，能夠用于大規模接入路由信息不敏感的VPN客戶；二層VPN相對簡單，用于小規模且路由信息不會透露的用戶，地區企業需要結合用戶需求、業務發展情況合理選擇MPLS VPN技術，完成城域網的建設工作。

參考文獻

[1]李萌萌，陳靜毅.MPLS VPN業務在運營商城域網中應用探討[J].電子測試，2022，36（02）：93-94+81.

[2]李永芳.基于BGP MPLS VPN企業跨域組網仿真設計[J].實驗室研究與探索，2021，40（03）：121-128.

[3]錢向東.MPLS VPN技術在江陰市應急廣播系統網絡中的應用[J].中國有線電視，2021（03）：241-244.

[4]耿天.淺析BGP/MPLS VPN技術在IP城域網網管系統的應用方案分析與設計[J].有線電視技術，2018（12）：40-42.

[5]崔敏敏.城域網背景下企業網絡優化改造方案研究[D].南京：南京郵電大學，2020.