宋蕾

【摘要】 基于IP协议的各种VPN技术在电信城域网构架上的应用，对于政企客户的各类需求都已日趋成熟。通常我们在城域网内会针对客户需求提供一种单纯的VPN技术解决方案来实现。本文通过研究MPLS VPN与VPDN技术结合构建城域网内的混合型VPN的技术可行性。探索适用于城域网内接入点分散、接入节点分支数量大、可同时满足互联网业务及企业内网需求的政企客户组网方案。

【关键词】 MPLS VPN + VPDN 客户专网 混合型VPN

一、业务需求分析

1.1用户网络接入要求：

中心服务点要求光纤专线接入。

接入分支点较为分散，绝大多数分布于农村等乡镇，要求接入方式灵活、扩容能力强。

要求开通时限短。

1.2网络业务需求：

中心服务点配置服务器组群，设置固定IP地址，对其它接入分支点提供网络服务访问控制。

接入分支点作为客户端，访问中心服务点服务器组群，客户机无固定IP地址要求。

接入分支点有互联网访问需求。

二、网络技术实现

2.1现网具备的成熟应用

2.1.1 MPLS VPN技术及应用

电信MPLS VPN业务是指依托于电信MPLS承载网，采用多协议标记交换（MPLS）方式，为客户在地理上分散的两个或多个节点间建立逻辑连接，提供安全的数据信息传输服务，从而为客户实现虚拟专网功能，简称MPLS VPN业务。

MPLS-VPN不仅满足VPN用户对安全性的要求，还减少了网络方和用户方的工作量，可以建立任意的连接，且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址，不需要作任何修改，在骨干网络采用VPN-ID，可以保持全网的唯一性。MPLS-VPN还易于提供增值业务，如不同的COS等。

总之，电信MPLS-VPN业务是集覆盖范围广、高可靠性、高安全性、易维护性、扩展好等优点于一身的端到端的VPN解决方案。

现网支持情况：

现网已开通L3 MPLS VPN业务，用于承载ITMS网管、WLAN网管和软交换“等电信自身关键业务以及部分大客户分支互联业务。各城域骨干网的SR（PE设备）均支持MPLS VPN的相应功能，汇接路由器均支持MPLS。各城域网均有与CN2进行VPN互联的PE-ASBR，支持OPTION A跨域VPN的实现。

支持以太网、数字电路、ADSL专线与拨号接入等多种接入方式。能够为用户提供地市级、跨地市、跨省级、跨运营商的L3 MPLS VPN接入服务。

2.1.2 VPDN技术及应用

VPDN（Virtual Private Dial Network）是指利用公共网络（如PSTN）的拨号功能及接入网来实现虚拟专用网，为企业小型分支机构站点、移动办公人员提供VPN 接入服务。VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

现网支持情况：

各本地网已规模开展VPDN业务，而且应用时间较长，技术人员针对此种方式的开通和维护流程都比较熟悉。全省集中部署LNS设备， 城域网BRAS做LAC。

对用户接入的支持情况：电信对VPDN业务有良好的支持， ADSL PPPOE拨号接入、以太网PPPOE拨号接入等，用户的网络站点可以分布到任何地方通过PPPOE宽带拨号到BRAS集中认证建立到企业中心LNS的隧道，从而访问企业内网；另外，对移动用户的支持，只要用户可以访问Internet就可以通过L2TP拨号访问企业中心LNS，所以不受地理位置的限制，在任何地方都可以接入。

城域网对VPDN业务的支持情况：城域网在各汇聚区有BRAS接入设备，所有BRAS能够为用户提供集中的LAC接入，具备统一的认证平台能够为用户提供良好的用户认证和管理。在省会城市分别部署了1台BRAS作为LNS，为用户提供中心LNS设备，并能提供LNS冗余备份。两台专用LNS可以通过MPLS VPN VRF与L2TP隧道绑定，提供多用户接入能力，可以为多个用户共享专用LNS接入。

城域网对VPDN业务的开通情况：陕西电信各城域网已规模开展VPDN业务，具有福彩、体彩、税务等成功的应用案例。

三、利用MPLS VPN和VPDN结合实现混合VPN组网

3.1方案讨论及选定：

在详细讨论客户需求及客户接入的可行性后，初步形成以下3种方案。

方案一：现网成熟的vpdn L2TP方式。

实现方式1：用户自备LNS且放置用户机房

实现方式2：用户自备LNS但托管在电信机房

实现方式3：电信提供LNS并且由电信人员维护

实现问题及难点：客户或公司需追加投资，无法解决用户中心接入点的专线接入。

方案二：采用IPSecVPN方式。

实现问题及难点：客户购置VPN网关设备，客户需追加投资。

方案三：采用现网成熟的MPLS-VPN组网。

实现问题及难点：接入点太多，网络部署困难，数据配置复杂，业务开通周期长。

对以上3个方案，进行了详细的讨论。结合用户网络需求、用户投资倾向、电信投资倾向、业务开通和后续维护难度，客户端接入方式采用ADSL.FTTX，LAN方式不变的情况下，采用任何一种单纯的VPN技术实施均有难度。本着节约成本，提供效率，简化运维的原则。我们考虑采用混合组网的方式，完成该项目。

3.2最终方案：MPLS VPN + VPDN

3.2.1网络模型及业务流图

见图1，城域网核心层为两台骨干设备（P），业务控制层设备包括SR及BRAS，分别上联到两台骨干设备。接入层由DSLAM设备提供ADSL接入；OLT+ODN+ONU提供FTTX接入；以太网交换机提供LAN接入。

3.2.2用户业务路由互通及数据转发采用的MPLS-VPN

城域网BRAS/SR的角色为PE. P由骨干层路由器完成。在城域网BRAS/SR上创建MPLS-VPN的VPN实例。并在城域网内各BRAS/SR间通过BGP建立VPNv4路由，各BRAS分别与两台RR路由反射器（SR兼做）之间建立BGP邻居关系。实现跨越BRAS/SR间的用户业务路由的互通，实现城域网内的无盲区部署。客户网络规划方面，根据用户的接入点数量及业务需求，规划用户的ip网段为动态获取网段及静态ip两部分，静态ip用于客户中心的服务器系统，其余网点采用动态地址，并在规划时考虑用户业务的后续发展，做出一定的预留。

3.2.3用户接入认证部分采用vpdn技术

有别于传统的MPLS-VPN。用户分支接入点的认证通过radius，在radius系统建立vpdn组；在BRAS/SR上建立客户专用地址池，并引用VPN实例。建立用户认证域，并引用VPN实例。用户客户端采用PPPOE认证方式，用户接入层配置与普通上网相同，用户的账户带vpdn组后缀，以保证用户认证请求送达vpdn组。用户完成认证后，将获取客户专用地址池的IP地址。客户各个接入点获取的IP地址均为同一VPN实例，即路由可达。不同BRAS/SR间的客户接入点之间通过VPNv4路由方式互通。

四、技术方案优势分析

4.1投资成本方面

采用现网两项成熟技术的混合组网方式，在网络设备上不需追加任何投资，从而节约成本。且客户端也不需额外投资路由器或VPN网关等设备，降低了客户的入网门槛。

4.2客户感知方面

客户可通过不同的账户认证，在互联网和VPN私网间自由切换。更有利于满足目前客户的双重网络需要，为客户提供完善的信息化解决方案。客户方的技术人员维护的难度也极大的降低。

4.3业务开通方面

网络设备上不必确定用户接入设备端口号、不必进行接入端口数据的特别制作。对大量接 入的客户网点，如果采用以往的MPLS VPN（静态IP+VLAN绑定）的方式，则需要确定接入设备端口号，分配特殊VLAN。从业务控制层SR设备、汇聚层设备、接入层设备等全部要进行数据制作。而采用混合VPN后，用户端口数据与普通拨号上网数据一致，无需进行特殊处理。大大减少因此形成的工作量，节约开通时间。

4.4运营维护方面

因客户网络对城域网可见，所以城域网维护人员可分担维护量。客户为简单2层网络，维护简单。接入方式同普通宽带，对终端维护人员无特殊要求，有利于长期的运营维护。

五、结语

通过MPLS VPN与VPDN技术组建混合VPN业务，有效满足客户需求，适用分布广泛的业务网点客户专网方案，已经应用于新农村合作医疗VPN专网等，取得了良好的市场收益。客户可通过XDSL、LAN、EPON等接入方式，快速灵活组建专网。在后期的政企客户信息化应用中将大力推广。