IP VPN在電信運營網絡中的實現

2019-11-03 09:06:11

字體：大中小

來源：轉載

供稿：網友

封浩宇　廣東省電信規劃設計院

　　摘要本文論述了電信運營商進行ip VPN網絡建設的必要性，并從技術的角度分析了基于網絡型的IP VPN與基于用戶設備型的IP VPN的區別。同時分析了MPLS/VPN網絡在電信運營網絡中實現的方法、路由的選擇以及用戶的接入方式，為電信運營商開展MPLS/VPN業務提供建設性的建議。

　　關鍵詞 IP MPLS VPN 電信

1 概述

　　IP技術的興起意味著信息產業領域一個新時代的來臨。不論是原有的電信運營商還是新興的運營商都站在同一起跑線上，新業務中所蘊涵的巨大商機使得無數投資者躍躍欲試。因此，IP業務成了眾多運營商所追逐的熱點。目前，國內共有七家因特網業務經營商為用戶提供基礎數據業務。隨著國內電信市場的逐步開放，各運營商在IP業務領域中所面臨的競爭形勢也是前所未有的嚴峻。

　　完備的網絡是競爭的首要條件，但要取得最大的經濟效益關鍵還在于如何根據市場需求拓展業務，發展和吸引大、中型用戶。現階段，隨著經濟的發展，大型公司、企業的集團化運作使異地互聯的需求急劇增長。企業上網、異地互連已成為吸引大客戶最主要的手段之一。異地互聯以前通常采用DDN、FR等專線形式，每個用戶獨占所購買的帶寬，雖然具有安全、QoS保證等優點，但由于在資費、擴展性等方面不盡如人意，阻礙了業務的進一步推廣。

　　而以公共IP骨干網為承載網絡，可共享網絡帶寬的IP VPN則為異地網絡的互聯提供了一種新的方式。用戶只需接入網絡運營商在本地的IP網絡節點，就可以實現互聯而不需要購買長途的專線業務。IP VPN的簡單性和低成本使其成為IP領域的熱點和最具潛力的IP增值業務。國外幾乎所有的運營商都將IP VPN作為一項最主要的業務重點發展。因此大力發展IP VPN業務是各電信運營商發展IP業務、吸引大客戶、增強企業競爭力的有力措施。

2 IP VPN的分類

　　VPN（虛擬專用網絡）指在共享網絡中通過多種技術，如隧道加密等實現原有專用網絡的能力，并在保證網絡的安全性、可靠性、可管理性的同時提供更強的擴展性和靈活性的技術。傳統的VPN技術是基于專線形式的（第2層VPN），用戶通過租用專用電路組建內部的專用網絡。專線形式的內部網具有帶寬資源獨占、安全性高、運行費用高、組網不靈活等特點。而現階段提出的IP VPN技術則是指利用公共IP網的網絡資源，在網絡層（第3層）上為VPN用戶提供類似于企業專網的服務。

　　對于基于網絡型的IP VPN來說，業務的關鍵特性將集中于運營商網絡的邊緣設備；實現基于網絡的IP VPN采用端到端模型；其業務管理和網絡管理需要進行全網一體化管理；在數據報文穿透公網時采用IP 隧道技術。而對于基于用戶設備的IP VPN，VPN 的業務處理功能全部由用戶設備完成；用戶設備之間建立端到端的IP 隧道；骨干網設備只需要完成標準的IP 轉發功能，并不需要也不可能知道VPN用戶的存在。綜合比較兩種IP VPN網絡的實現模式，基于網絡型的IP VPN模型側重于運營商網絡業務的提供，其對運營商網絡的要求較高，而對接入用戶的要求（包括設備、技術、接入手段、業務需求等方面）比較靈活；而基于用戶設備型的IP VPN模型側重于用戶自身網絡應用的實現。客戶需要特殊的設備來建設自己的VPN網絡，同時客戶需要專門的網絡人員去維護自己的網絡及業務的需求。因此，兩種IP VPN的實現模式的根本區別在于誰去提供IP VPN網絡的維護。在可以較好地保障數據通道的安全性以及數據傳送的QoS的時候，基于網絡型的IP VPN業務對于運營商以及客戶來說都是一個比較好的選擇。

3 MPLS/VPN的應用

　　對于電信運營商而言，提供IP VPN業務不再只是局限于技術方面，更多的是提供一種服務。只有以提供服務為基礎來發展新技術，才可以推動業務的發展與提高對客戶的吸引力。由于技術的原因，一直以來基于網絡型的IP VPN技術得不到很好的應用。而傳統的VPN技術基于封裝（隧道）技術以及加密模塊技術，達到兩個位置間安全地傳輸數據的目的。目前應用較廣的是FR、ATM、GRE、IPSec等技術。但自從Cisco公司在1996年開始推動“標簽交換（Tag Switching）”技術的標準化，多協議標記交換（MPLS）的概念與框架逐漸為IETF以及各廠家所接受。VPN作為MPLS中的一個重要應用，更為各運營商提供了一種高效與安全的實施方案。

　　與傳統的VPN依靠封裝和加密技術實現不同，MPLS VPN依靠轉發表和數據包的標記來創建一個安全的VPN。其不但具有安全性及客戶隔離的優點，同時也具有簡化路由工作的優點，使客戶路由技術更為簡單，同時可以簡化服務供應商所需的設備與技術，在統一的VPN網絡平臺上提供不同的VPN應用服務。

　　，一個標準的MPLS/VPN結構包括了運營商網絡路由器（P Router）、運營商網絡邊緣路由器（PE Router）和客戶邊緣設備（CE Equipment）三類節點。

　　根據不同的客戶路由轉發方式，MPLS VPN分為第二層的MPLS VPN和第三層的MPLS VPN。第二層的MPLS VPN僅由客戶邊緣設備負責彼此間客戶路由信息的轉發，運營商網絡邊緣路由器和網絡路由器僅負責在MPLS層提供類似傳統專線的數據包承載功能，他們對客戶路由而言是透明的。第三層的MPLS VPN除了在MPLS層完成數據包標記轉發功能之外，網絡邊緣路由器從客戶邊緣設備處獲得客戶路由信息，并完成客戶路由在不同地點的若干個相關聯的VPN客戶之間的轉發通告。目前，基于第三層的MPLS VPN已有相應的IETF 標準。

　　現階段，MPLS/VPN可以提供以下的基本的網絡業務：Intranet VPN（企業總部與分支機構之間通過公網構筑的虛擬網）；Extranet VPN（企業與其戰略聯盟或合作伙伴間通過公網構筑的虛擬網）；access VPN（企業員工或企業的小分支機構通過PSTN遠程撥號方式構筑的VPN）。由于一個站點可以同時屬于一個或多個VPN，故一個站點可以同時屬于一個Intranet VPN 和多個Extranet VPN。

4 MPLS/VPN的實現

　　由于MPLS技術的應用逐漸成為網絡發展的一個主流方向，世界各地著名的通信設備廠商紛紛宣布對MPLS技術的支持。主要的設備包括了Cisco的GSR 12000系列、Cisco 7200/7500系列以及Cisco一系列的中低端路由器；Juniper公司的系列路由器設備；阿爾卡特的7670路由交換平臺、7770路由核心平臺；Unisphere公司的ERX-700/1400邊緣交換路由器等?？梢哉f，各廠家的設備涵蓋了MPLS/VPN網絡的邊緣與核心設備。各電信運營商可以根據自己的網絡現狀，選擇合適的網絡設備來構建自己的MPLS/VPN網絡。但目前各廠家設備在MPLS/VPN互通性測試中的結果不盡人意，建議在建設MPLS/VPN網絡時，盡量采用同一廠家的產品，以減少系統的不穩定程度。

　　同時，MPLS/VPN網絡實現的另一個關鍵在于網絡路由的選擇。這包括了域間路由、域內路由、接入路由等方面的問題。

　　對于域間路由，可以通過MP-eBGP來實現。由于Internet在路由管理上是分層次的自治域，大部分運營商在IP國家骨干網、省骨干網、城域網層面上都是獨立自治域關系。所以在開放全省和全國VPN業務時會遇到跨AS（自治域）的MPLS VPN實現問題。兩個不同域的ASBR之間運行MP-eBGP，通過MP-eBGP交換VPN路由信息，ASBR之間交換VPN路由時也加label，ASBR（編輯路由器）要對Next-hop（下一跳）和label 進行重寫，ASBR需要建立并維護LFIB（label Forwarding Information Base）。通過設置專用ASBR作為PE，使跨域間的VPN業務流量跟正常的數據業務流量分開，不需要對現有的邊界路由器進行路由協議修改，實施比較簡單，風險低，具有很好的擴展性能。兩臺ASBR－PE的配置基本上與跨AS的VPN數量無關，只有當它們之間的流量超過它們的負載能力時才需要升級擴容。另外，它的維護也相對簡單，無需維護繁多的VRF（虛擬路由轉發）。

　　對于域內路由，可以通過MP-iBGP來實現。在同一個MP-iBGP會話中可以運載IPv4地址，為了決定如何在PE路由器之間部署對等會話，可以在PE路由器之間配置全網MP-iBGP會話，并通過自動路由過濾等技術來實現。但使用全網MP-iBGP路由只適合在較小的網絡結構中應用，隨著PE路由器數目的增加，PE路由器之間的MP-iBGP會話同樣急劇增加，這并不符合可擴展網絡的性能要求。為解決MP-iBGP會話劇增的問題，可以采用分割MP-iBGP會話、部署路由反射器或部署BGP聯合等方法。

　　對于接入路由，目前MPLS/VPN接收來自VPN客戶CE-Router的路由方式有4種：BGP-4、RIPv2、OSPF以及靜態路由技術。無論在PE路由器和CE路由器之間使用的是哪種協議，客戶VPN路由都將被加入到與CE路由器相連的接口所對應的VRF表中。這要求對運行在PE路由器上的路由協議進程進行配置，以便從該接口獲知的所有路由信息都將與特定的VRF表關聯起來。這可以通過標準路由協議進程實現。MPLS/VPN服務供應商可以根據不同的客戶需要與網絡條件采用不同的PE-CE連接路由協議。

5 MPLS/VPN的接入方式

　　服務供應商提供網絡MPLS/VPN的應用，其目的是為了吸引更多的網絡客戶。而提供多樣化的接入方式是網絡提供服務、滿足不同客戶需要的手段之一。

　　由于CE路由器與PE路由器之間傳遞的只是普通IP數據包，這很大程度地降低了PE-CE鏈路對特殊物理性能的依賴性，保證了用戶接入手段的多樣性。同時，可以根據PE-CE鏈路鏈接的物理性能與客戶的網絡需求，分別選取靜態路由、RIPv2、OSPF、BGP-4等路由協議。

主要的接入方式可以有以下三種：

　?。?）專線接入方式：可以說，以往用于專線的用戶接入手段，在MPLS/VPN中都可以得到應用。通過本地的DDN/FR/ATM網，為用戶開放普通本地專線（可以是DDN，幀中繼、ATM）把用戶的路由器接入到PE。

　?。?） LAN接入的方式：在城域網內劃分VLAN，利用城域網內的10/100Mbit/s端口把用戶的路由器接入到PE。但如果使用不支持子邏輯端口的LAN接口時（如標準以太網接口或令牌環接口）時，則無法配置子接口，導致不能將VRF與第二個IP地址建立關聯，從而不支持重疊VPN用戶。故建議在PE-Router中使用快速以太網接口或Gbit以太網接口。

　　（3）遠程接入：可以直接通過光Modem，把用戶的路由器接入到PE。

6 結束語

　　　　雖然MPLS/VPN技術仍不為廣大用戶所熟悉，但她所具有的低成本、易維護性、提供QoS保證與安全保證等特點，體現了她強大的生命力與吸引力。由于新技術的應用，使國內的電信運營商又回到了同一起跑線上，同時又提供與國際市場的接軌?？梢灶A見，這將成為各電信運營商爭奪企業客戶的重要手段之一。

----《電信科學》