MPLS VPN業(yè)務(wù)在運(yùn)營(yíng)商城域網(wǎng)中應(yīng)用探討

李萌萌，陳靜毅

（中國(guó)移動(dòng)通信集團(tuán)安徽有限公司六安分公司，安徽六安，237000）

1 VPN技術(shù)

目前，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，之前的局域網(wǎng)、因特網(wǎng)已不能滿足社會(huì)發(fā)展的要求。隨著廣域網(wǎng)、城域網(wǎng)概念的提出，人們對(duì)VPN技術(shù)的要求也日益提高。VPN（virtual private network），稱為虛擬專用網(wǎng)，是指利用IP基礎(chǔ)設(shè)施來(lái)實(shí)現(xiàn)專用廣域網(wǎng)專線的技術(shù)。傳統(tǒng)VPN由于配置復(fù)雜、維護(hù)困難，存在安全隱患等問(wèn)題，難以滿足網(wǎng)絡(luò)發(fā)展的需求。而MPLS VPN因?yàn)榉N種優(yōu)點(diǎn)受到運(yùn)營(yíng)商的青睞。目前國(guó)內(nèi)三大運(yùn)營(yíng)商都通過(guò)城域網(wǎng)部署了大量的MPLS VPN業(yè)務(wù)，這是一種非常成熟的技術(shù)，對(duì)比其他VPN業(yè)務(wù)，有建網(wǎng)成本低、安全性高、業(yè)務(wù)綜合能力強(qiáng)等特點(diǎn)。

2 MPLS VPN原理

MPLS名詞解釋為多協(xié)議標(biāo)記交換，是一種能實(shí)現(xiàn)快速數(shù)據(jù)包交換和路由的技術(shù)。在傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)中，IP報(bào)文轉(zhuǎn)發(fā)根據(jù)目的地址分析報(bào)文、查找路由，計(jì)算下一跳接口地址進(jìn)行轉(zhuǎn)發(fā)。在MPLS網(wǎng)絡(luò)中，報(bào)文的轉(zhuǎn)發(fā)基于標(biāo)簽交換（label switch），根據(jù)標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)。MPLS網(wǎng)絡(luò)中只在入口節(jié)點(diǎn)(PE設(shè)備)分析IP頭并打上標(biāo)簽，中間節(jié)點(diǎn)（P設(shè)備）使用標(biāo)簽交換，在出口節(jié)點(diǎn)（PE設(shè)備）剝離標(biāo)簽，這樣做的好處是降低成本，資源利用率、靈活性和擴(kuò)展性、安全性高。MPLS稱為2.5層的技術(shù)，結(jié)合2層交換和3層路由的技術(shù)，僅僅在網(wǎng)絡(luò)中運(yùn)行MPLS協(xié)議是不行的，同時(shí)網(wǎng)絡(luò)中還要運(yùn)行BGP協(xié)議來(lái)分發(fā)和傳遞路由，因此MPLS VPN技術(shù)通常也稱為MPLS BGP VPN技術(shù)。

有關(guān)MPLS VPN原理圖如下:企業(yè)通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)建設(shè)自己的私有網(wǎng)絡(luò)，分公司與總公司之間通過(guò)運(yùn)營(yíng)商公有網(wǎng)絡(luò)完成通信，企業(yè)間分屬不同的的VPN，彼此相互隔離。運(yùn)營(yíng)商設(shè)備為PE設(shè)備和P設(shè)備，企業(yè)設(shè)備為CE設(shè)備。運(yùn)營(yíng)商給總公司提供專線服務(wù)，并建立總公司與分公司的MPLS-VPN。

圖1

運(yùn)營(yíng)商要區(qū)分不同企業(yè)的路由。比如A企業(yè)與B企業(yè)都使用10.0.0.0/8地址段，對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，要知道如何將用戶路由正確傳遞給相應(yīng)的對(duì)象，因此要保證用戶VPN路由的唯一性。PE設(shè)備是通過(guò)MPBGP協(xié)議在城域網(wǎng)中傳遞用戶VPN路由，為保證每個(gè)用戶的VPN路由唯 一 性，MPLS VPN引 入 RD（Route Distinguisher，路由標(biāo)識(shí)符）的概念。CE設(shè)備將IPv4前綴發(fā)送給PE設(shè)備后PE設(shè)備打上RD值，IPv4路由前綴前面加上64bit的RD后稱為VPN-IPv4地址簇。VPNv4地址生成方式如下：VPNv4地址=RD+IPv4地址。

PE設(shè)備接收到VPNv4地址簇后，要判斷路由該被送入到哪個(gè)VPN實(shí)例。這里引入RT（Route Target）的概念，當(dāng)PE設(shè)備將VPN路由引入到MP-BGP后，將其攜帶一個(gè)RT值并送至遠(yuǎn)端PE，遠(yuǎn)端PE根據(jù)RT值來(lái)決定送往哪個(gè)VPN instance。RT是BGP的一個(gè)擴(kuò)展團(tuán)體屬性，RT值分為Import（導(dǎo)入）和Export（導(dǎo)出）。Export的RT會(huì)在VPNv4路由發(fā)布時(shí)攜帶，在接收端PE設(shè)備上比較Export RT值與自身所有VRF的Import RT值，匹配則送往相應(yīng)的VPN路由表。

數(shù)據(jù)由CE設(shè)備到PE設(shè)備使用的是IP轉(zhuǎn)發(fā),數(shù)據(jù)經(jīng)過(guò)城域網(wǎng)時(shí)，因?yàn)镻設(shè)備沒(méi)有私網(wǎng)路由，因此沒(méi)有辦法使用IP轉(zhuǎn)發(fā)，這時(shí)就用到MPLS標(biāo)簽轉(zhuǎn)發(fā)。IP數(shù)據(jù)包由CE設(shè)備到達(dá)PE設(shè)備時(shí)，PE設(shè)備會(huì)給私網(wǎng)路由打上兩層標(biāo)簽：外層標(biāo)簽和內(nèi)層標(biāo)簽。外層標(biāo)簽是由MPLS LDP協(xié)議為公網(wǎng)中的IGP路由映射分發(fā)標(biāo)簽生成的，目的是建立LSP（label switch path，標(biāo)簽轉(zhuǎn)發(fā)路徑）；內(nèi)層標(biāo)簽是MP-BGP協(xié)議生成的，目的是出站PE通過(guò)內(nèi)層標(biāo)簽知道該往哪個(gè)VPN轉(zhuǎn)發(fā)數(shù)據(jù)。在MPLS轉(zhuǎn)發(fā)過(guò)程中，P設(shè)備只處理外層標(biāo)簽的交換，不處理內(nèi)層標(biāo)簽的交換。

3 MPLS VPN組網(wǎng)實(shí)際應(yīng)用

六安移動(dòng)目前城域網(wǎng)中部署了大量的MPLS VPN業(yè)務(wù)，本文以六安移動(dòng)規(guī)劃建設(shè)的六安市電子政務(wù)專網(wǎng)為例來(lái)說(shuō)明MPLS VPN業(yè)務(wù)的具體應(yīng)用。2020年初六安移動(dòng)中標(biāo)六安市電子政務(wù)專網(wǎng)項(xiàng)目，利用分布全市的網(wǎng)絡(luò)資源建設(shè)完成全市電子政務(wù)專網(wǎng)，包括網(wǎng)絡(luò)規(guī)劃、IP地址分配、光纜布放等項(xiàng)目全流程工作。

圖2

組建MPLS VPN網(wǎng)絡(luò)，分公司首先向省公司申請(qǐng)VPN instance名稱、RD、RT值。省公司分配完畢后，分公司自行分配用戶地址。分公司的BRAS設(shè)備作為PE設(shè)備，核心路由器和核心路由器作為P設(shè)備，核心路由器同時(shí)作為MBGP RR，所有BRAS、地市核心路由器、核心路由器都開(kāi)啟MPLS并在互聯(lián)接口下使能MPLS LDP功能。

城域網(wǎng)核心業(yè)務(wù)規(guī)劃部署完成后，要對(duì)用戶組網(wǎng)進(jìn)行規(guī)劃。六安市電子政務(wù)專網(wǎng)項(xiàng)目以政府為總部，總部接入設(shè)備為一臺(tái)防火墻，防火墻連接OA服務(wù)器、WEB服務(wù)器、上網(wǎng)行為記錄管理等；全市所有街道、鄉(xiāng)村作為分部。考慮到總部相對(duì)重要，流量較大，因此專門采用GE接口連接政府防火墻設(shè)備；分部遍布全市所有鄉(xiāng)鎮(zhèn)街道，運(yùn)營(yíng)商利用城域網(wǎng)解決分部接入問(wèn)題。

根據(jù)分部情況對(duì)用戶側(cè)IP地址設(shè)計(jì)規(guī)劃，規(guī)劃信息如下表所示(處于篇幅考慮，只列出部分規(guī)劃信息)：

用戶側(cè)分布信息 歸屬BRAS信息 分配IP地址政府總部 BRAS11 10.160.10.13/30東市街道 BRAS25 10.160.33.1/27清水河街道 BRAS25 10.160.33.33/27望城街道 BRAS25 10.160.33.65/27………

BRAS側(cè)配置分部IP地址信息，配置完成后在BRAS設(shè)備檢查該MPLS VPN的VRF路由表，用ping命令測(cè)試對(duì)端節(jié)點(diǎn)是否可達(dá)。BRAS側(cè)查看全局VRF路由表，通過(guò)BGP協(xié)議學(xué)習(xí)到路由表，PE側(cè)ping測(cè)試防火墻地址也能正常通信，網(wǎng)絡(luò)一切正常。

4 結(jié)語(yǔ)

從本次項(xiàng)目測(cè)試和運(yùn)行來(lái)看，基于MPLS技術(shù)的電子政務(wù)專網(wǎng)不僅滿足建設(shè)成本低、高帶寬、易于擴(kuò)展，同時(shí)具備高可靠性和高安全性，不僅在本地電子政務(wù)專網(wǎng)有推廣的意義，同時(shí)在全國(guó)其他同類MPLS VPN專網(wǎng)項(xiàng)目中有一定借鑒意義。