张小辰 韩毅 孟忻

（中国移动通信集团上海有限公司 上海 200060）

城域网是电信运营商或Internet服务提供商（ISP）在城域范围内建设的传输网络，按照承载业务性质与层次的不同可以分为城域传送网与城域数据网。城域传送网主要为数据、语音、ATM、宽带线路租用等上层应用网络提供底层连接的通道；城域数据网则是IP广域骨干网在城域内的延伸，其目标是为企业、政府和家庭用户提供便捷、丰富、安全的网络服务。目前城域网的建设已对网络拓扑、网络分层、用户接入、网络管理与网络安全等多个方面实施了优化，能够满足企业和用户的基本数据需求，如何利用城域网资源为用户提供附加的增值服务成了下一步的关注焦点。

城域网的增值服务包括IP多播、虚拟专用网（VPN）、网络数据中心（IDC）等，主要在城域数据网中实现。近年来，政府、企业等机构对于网络私密性、安全性、QoS等需求日益增长，VPN已成为了城域网的一项主要增值业务。本文对目前城域网的主要VPN解决方案进行了归纳，并分析了现有策略的缺陷，提出MPLS VPN技术的优势与引入必要，并进一步给出了MPLS VPN在城域数据网中的引入步骤与部署方案。

1 城域网传统VPN技术

VPN全称为虚拟专用网，它利用共享的公众网络建立逻辑上私有的数据传输通道，将用户的远程分支办公室、商业伙伴、移动办公人员等连接起来，提供端到端的、有一定安全性、可管理性和服务质量保证的数据通信服务。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在目前的形势下，Internet已经发展成为了公司和个人的重要通信手段，随着IP技术的不断发展与成熟，IP VPN受到了越来越多的关注，逐渐成为了VPN业务的主流实现手段。IP VPN因其高度的灵活性和可管理性令运营商能够更高地利用网络资源，端到端的QoS保障能力使话音、数据、视频等业务可以完全承载于基于IP的VPN网络上，能更有效地利用网络资源，提供视频会议、远程教学等各种多媒体应用。传统的IP VPN技术主要可分为以下几类。

1.1 虚拟租用线（VLL，Virtual Leased Lines）

VLL是一种最简单的IP VPN技术，它利用了伪线仿真（PWE3，Pseudo Wire Emulation Edge-to-Edge）技术，为用户提供数据链路层的点到点链路，其基本工作原理是，用户设备（CE）通过本地专线接入网络边缘设备（PE），在PE之间建立专用隧道，PE实施二层链路协议转换，从而建立两个CE之间的二层通路，供用户使用。对用户来说，看到的只有数据链路层，并不知道数据传输还要经过中间的IP隧道。图1是一个VLL VPN的网络示意图。

图1 VLL网络示意图

与物理专线相比，VLL能够节省不少费用，且现网中有相应资源，因此目前在运营商中应用较多，但是这种专线是在公网上运用第三层协议开出来的隧道专线，质量和稳定性较低，在企业内部用户规模较大时，管理和建设都较为复杂，扩展性较差。

1.2 虚拟拨号网络（VPDN，Virtual Private Dial Network）

VPDN是一种虚拟拨号网络，在目前宽带网络条件下，可通过PPPoE在xDSL或以太网远程访问企业数据中心，用户从企业数据中心获得一个私网地址，但用户数据可通过公网进行传送，并利用二层隧道协议（L2TP）、IPSec等进行加密。一个典型的VPDN网络结构如图2所示。

其中，接入服务器由各分支机构所处的运营商提供，提供广域网接口，负责与PSTN/ISDN或者xDSL、以太网等的PPP连接，支持各种LAN协议，支持安全管理与认证，支持L2TP等隧道协议；用户网关位于用户总部，是VPDN业务的终结点，也要求支持L2TP等隧道协议，一般由企业自己提供和管理；RADIUS服务器则用于对VPDN设备与用户进行管理、计费等。VPDN是目前运用最广泛，也是技术最成熟的一种IP VPN，它的缺点是不能保证在公网上的服务质量，因此仅适合开展一些较为基础的VPN业务。

1.3 虚拟专用路由网络（VPRN）

VPRN是对多点专用广域路由网络的模拟，利用公网的IP网络，在多个VPN成员之间建立虚拟的隧道网络。与VLL和VPDN有所不同，VPRN将可以在多个VPN成员间建立起完整的虚拟网络，从VPN用户的角度看来，他们属于一个完整的企业网，用户将感觉不到他们之间是通过VPRN连接起来的。

VPRN有多种实现方式，基本都是在IP协议上面实现的，对于网络的传输机制不需要做任何改变，VPRN的一个典型代表是IPSec，它为IP层及其上层协议（载荷）提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理的安全服务，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet上传输时的私有性、完整性和真实性。IPSec的主要不足是需要建立全网状连接，大规模部署时配置复杂，可扩展性较差。

2 MPLS VPN技术

图2 VLL网络示意图

多协议标签交换（MPLS）是一项新兴的备受青睐的VPRN技术，它的实质是将路由器移到网络的边缘，将快速、简单的交换机置于网络中心，从而实现高速而灵活的数据转发。基于MPLS 的IP VPN 和传统的IP VPN 相比有很多优势：标签转发的路径本身就是公网上的隧道，因此用MPLS来实现VPN具有天然的优势；而对于VPN 用户而言，MPLS可以大大简化用户的管理，工作量，不再需要使用专门的VPN 设备（如VPN拨入服务器），只需要使用传统的路由器就可以构建VPN；此外，对于运营商而言，采用MPLS VPN 很容易实现VPN的扩展，同时给运营商带来更大的商机。

MPLS VPN可分为二层VPN与三层VPN，二层MPLS VPN相当于在互联网上仿真出来的类似于ATM/FR的二层专线VPN，而三层MPLS VPN是一种基于路由方式的MPLS VPN解决方案，由于目前3层VPN的应用较多且较容易部署，本文主要讨论MPLS三层VPN。

MPLS三层VPN的基本网络架构如图3所示，其中用户边缘路由器（CE）是用户网络中和运营商网络直接相连的设备，不需要支持MPLS，可以仅是一台简单的路由器；网络提供商的边缘路由器（PE）与CE直接相连，需要支持MPLS 功能，负责运营商网络同VPN客户网络的交互；网络提供商路由器（P，Provider）是运营商骨干网络中不和CE 相连的路由器，它是转发从PE 设备发过来的VPN 数据的设备，同样需要支持MPLS协议。VPN用户端的IP数据包传送到PE时，PE将辨识出该用户所属VPN，并打上一个内层VPN标签，以便目的端的PE设备将其转发到正确的CE设备上；为了在骨干网上通过MPLS协议传输该数据包，源端与目的端的PE之间需要建立一条端到端的标签转发路径（LSP，Lable Switch Path），同时采用标签分发协议（LDP，Lable Distribution Protocol）在数据包中打上一个外层标签，运营商网络中将只依赖于这个外层标签进行数据转发，在达到目的端PE时将外层标记去掉，读取内层标记，找到VPN，并送到相关的接口上，进而将数据传送到VPN的目的地址处。

MPLS VPN与其它VPN方式完全不同，隧道的起点位于PE上，每个PE路由器为每个VPN维护独立的路由表和转发表，运营商能够代替用户维护管理VPN内部的三层路由，减轻用户的管理负担。MPLS VPN特别适合那些对安全和QoS没有特殊要求的在中高速率（2Mbit/s以上）专网组建（金融机构、党政机关等对安全性要求较高且有高带宽需求的专网因为保密的原因可能会采用L2 VPN或专线组建）。

图3 MPLS L3 VPN基本网络架构

3 城域网MPLS VPN技术引入策略

3.1 城域数据网组网结构

由于MPLS VPN是一种介于二三层之间的VPN技术，主要提供在公共IP网络上的私有数据传输，因此主要部署在城域数据网中，为大中型企业、机构的宽带接入提供安全、高质量的VPN增值业务。目前城域数据网的定位如图4所示，主要包括汇聚层、业务控制层与核心层，其中汇聚层主要由汇聚交换机组成，工作在二层模式，主要用于对接入设备（主要是OLT）的上行端口和流量进行汇聚，以节省传输资源和提高BRAS、SR的端口利用率；业务控制层用于完成对用户业务的接入认证控制、QoS策略控制、计费统计等功能，主要由业务路由器（SR）和宽带接入服务器（BRAS）组成，SR主要进行集团客户相关业务的接入控制，BRAS主要进行家庭客户相关业务的接入控制；而核心层则主要负责进行数据的快速转发，并进行整个城域网路由表的维护与更新。

图4 城域数据网定位

由于MPLS VPN业务主要针对集团客户，因此主要选取业务控制层的SR设备作为集团客户专线互联网接入网关或MPLS VPN PE（部分情况下BRAS设备也可充当），城域网核心路由器作为MPLS VPN的P设备，城域网核心路由器、业务接入控制设备均启动MPLS和LDP，而用户网络中和SR直接相连的设备（主机或者路由器）则充当CE。

3.2 域内MPLS VPN部署方案

在城域内的MPLS VPN体系中，存在两个层面的路由，分别是IPv4/IPv6的公网路由和VPN私网路由。IPv4/IPv6的公网路由在普通IP转发方式中使用，要求各CE、PE、P设备保存公网地址路由表，VPN私网路由用于MPLS VPN标签路径的建立以及私网数据的标签分发，所有PE和P设备要运行域内路由选择协议（OSPF或IS-IS），生成的内部网关协议（IGP，Interior Gateway Protocols）路由表将触发骨干网中LSP的建立，通过LDP协议建立的LSP，产生的标签转发表用于VPN分组的外层标签的交换；为了保持网络稳定，降低路由器开销，PE之间将通过IBGP协议交换路由信息，形成VPN路由，包括IPv4地址、路由标识（RD，Route Distinguisher）、路由目标（RT，Route Target）、VPN标签和下一条PE地址。其中，RT标识了可以使用某路由的站点的集合，用来控制VPN路由/转发实例（VRF，VPN Routing/Forwarding）的导入和导出策略，从而保证网络的连通和拓扑。在PE路由器上，可以根据VRF得到下一跳PE的地址，并打上外层标签进行转发。

域内MPLS VPN标签生成和数据转发的过程如图5所示。

首先，整个MPLS VPN网络需要生成路由信息表。CE 与PE 之间通过采用静态路由、动态路由协议（如OSPF,RIP等）进行路由信息的交互。当PE 从某个接口接收到来自CE 的路由信息时，将该路由导入对应的VRF中；PE 与PE 之间通过MP-IBGP协议交换各PE上的VRF表，包括所有VRF表中的VPN-IPV4路由以及各VPN对应的标签（以下简称内层标签）；由于P不参与VPN路由，因此PE与P路由器之间采用传统的IGP协议相互学习路由信息；采用LDP协议进行路由信息与标记（骨干网络中的标记，以下称为外层标记）的绑定。

图5 域内MPLS VPN转发过程

CE，PE以及P路由器中基本的网络拓扑以及路由信息形成之后，MPLS VPN数据转发就可以开始进行了，当属于某一VPN的CE用户数据进入网络时，在CE与入口PE连接的接口上（根据网络层IP地址）可以识别出该CE属于哪一个VPN，进而查看该数据包的目的IPv4地址，在该VPN的VRF中查找该地址所归属的目的端PE地址信息，并将它作为下一跳地址，同时，在前传的数据包中打上VPN标记（内层标签）。为了达到这个目的端的PE，此时在MPLS骨干网络中通过BGP获得骨干路由信息，建立一条源端PE至目的端PE的LSP隧道，同时采用LDP在用户前传数据包中打上骨干网络中的标记（外层标签）。

在骨干网络中，初始PE之后的路由交换机均只读取外层标签的信息来决定下一跳，因此骨干网络中只是简单的标签交换。在达到目的端PE之前的最后一个交换机时，将外层标记去掉，读取内层标记，找到VPN，并送到相关的接口上，进而将数据传送到VPN的目的地址处。

3.3 跨域MPLS VPN部署方案

前面对域内的MPLS VPN部署方案做了分析，而在实际应用中，跨域MPLS VPN业务是十分常见的，其中包括城域网与城域网之间、城域网与骨干网之间的跨域业务。跨域VPN有几种实现方式。

（1） 在自治系统边界路由器（ASBR，Autonomous System Border Router）之间建立逻辑子接口，在每个子接口上为每个VPN配置一个VRF，每个VRF和相应的Peer VRF背靠背连接，传输VPN用户的IPv4路由及数据；

（2） 在ASBR之间通过MP-EBGP 为 VPN-IPv4路由分发标签；

（3） 在跨域的PE之间通过Multi-hop MP-EBGP为VPN-IPv4路由分发标签。

其中，第2种方式因为配置和排障较为简单，可扩展性与可维护性较高，比较适合城域网的跨域业务部署，因此目前应用最为广泛。VPNv4的信息通过MPEBGP的方式传递，ASBR通过MP-EBGP学到域内所有VPNv4路由，然后通过MP-EBGP将VPNv4路由传递到对端ASBR。ASBR上不需要配置VRF，所以让ASBR接受所有RT的VPNv4路由。

4 结束语

企业内部对于构建一个安全、高质量、可管理、可扩展私有网络的需求由来已久，传统的基于固定物理地点的专线方式（DDN、帧中继(FR)，SDH等）虽然能够有效保证数据的安全性，但是却存在着扩展性差的问题，难以适应现代企业的需求。近期出现的VPN技术具有高度的灵活性和可管理性，而其中MPLS VPN又以其较大的带宽、高安全性、极强的可扩展性、多种增值服务的融合和较低的维护费用等而独树一帜。如何高质量地在城域网内和城域网间部署MPLS VPN并探寻其应用模式，值得进一步深入研究。