MPLS-VPN在城域网中的应用

　　城域网是最接近用户的网络，它为用户提供话音、数据、图像、多媒体、IP接入等业务和各种增值业务及智能业务，并与各运营商的长途网互通本市(地)的综合业务。作为数据骨干网和长途电话网在城域范围内的延伸覆盖，新一代城域网已不再担纲着边缘网络的角色，它承担着集团用户、商用大楼、智能小区的业务接入任务和为电路出租任务的用户提供智能网络的任务，网络本身配置智能功能以管理运营商推出各种的IP业务，并配合其覆盖面广、投资量大、接入技术多样、接入方式灵活的特点。
　　但是，对于运营商来讲，现在最大的问题并不是网络的改建或者架设，而是他们网络的收益问题。
　　IP业务的需求与日俱增，业务量飞速增长，运营商在收益方面的增长却强差人意。例如：IP业务量如果以增加一倍计算，相应的收益可能只是增加了20%左右。因此，运营商面临的一个亟待解决问题的重点就是如何提高运营效益。
　　过去，用户宽带接入的主要方式是DDN、ATM以及FR等，采用这些接入技术的一个优势就是它们的技术比较成熟，但是却亦存在一定的弊端。对于DDN来讲，它的一条电路月租费大概在数千元以上，这对于中小企业来讲是一笔不小的开支，而且在没有数据需要传递的时候，该专线就处于闲置状态，这对于用户来讲是一种很大的资源浪费。对于ATM，虽然用户可以在需要的时候再进行带宽的申请，同时可为用户提供QoS保证，但是这种技术的复杂性却阻碍了它的发展。因此，运营商需要为用户提供新的宽带接入方式，不仅需要减低接入费用，同时亦需要减轻用户管理的复杂性以吸引更多的用户。提供新的宽带接入方式需要新一代的IP边缘汇聚设备，这些设备在可靠性、可用性、可升级性以及可操作性方面要具有运营商级的标准。在这方面力博通信的SmartEdge800是不错的一个选择。
　　在改进宽带接入方式的同时，运营商更应当致力在他们的城域网上提供更多增值业务以吸引更多用户，例如 MPLS-VPN 以及 Multicast Video业务。由于当前人们对业务的需求是QoS、私密性、可用性以及可靠性，因此现在用户提出的新要求是多种业务类型选择，如FR、专用IP(PRIVATE IP) 、公用IP(PUBLIC IP) 、多种VPN的选择、低开销可管理的业务、ANY-TO-ANY 业务及无缝地聚合等。要满足上面的要求，MPLS是唯一的解决方案。因此在选择组成网络的设备的时候，对MPLS的支持是必不可少的一个条件；同时硬件、软件的可靠性、可用性等都是运营商应该仔细考虑的地方，因为传统的硬件和软件建立起来的IP网络结构已经无法满足用户的新要求了。
MPLS-VPN技术在新一代城域网(用户智能网络)中的应用
一、MPLS-VPN产生的背景
　　随着通信行业不断发展，Internet日益成熟壮大起来，对于企业网的运行模式也有了新的概念。
　　早期企业网的概念只是局限在某幢大楼内的局域网。但是，随着企业的不断发展，它的分支机构可能会分布在全国各地甚至延伸到国外；同时企业内部的信息也从单一的数据业务扩展到语音、视频与数据业务并存。在这种情况下，如果企业还是独立地构筑自己的专用网络，不仅需要大量资金的投入，而且还需要雇用很多建设与维护网络的人员，这无疑给企业提出了一个很大的难题。在这种情况下，VPN便应运而生。
　　VPN是建立在运营商网络逻辑上的一种专用网络。它通过对网络数据进行封装和加密，为用户提供安全的端到端通信，从而利用公网构筑专网。
*从逻辑上看，该网络在物理上是独立的网络，但实际上，它们在物理上并不独立，而是同享一些网络资源；
*该网络享有私密性，也就是说，VPN具有独立的路由功能以及独立的地址空间。
　　采用VPN的目的就是为用户提供更高的灵活性、更高的效率以及管理的简单性。目前既有2层VPN，也有3层VPN。早期的VPN是构筑在2层技术的基础上的(如FR或者ATM)。这些技术可以提供安全的隧道，从而防止DoS(拒绝服务)以及闯入攻击，同时它们还可以提供地址与路由的分离技术，但是2层技术构筑的VPN有着诸多缺点：它们的可扩展性不佳，而且通过2层VPN技术也很难提供流量工程，为了解决这些问题，全新的MPLS-VPN 终于出现。
二、MPLS-VPN简介
　　MPLS以及MPLS-VPN是唯一一个能够满足新一代专用网络业务的解决方案的技术。它具有如下的优点：
*满足了企业网内部应用的IP灵活性；
*提供了如FR/ATM一样的私密性；
*与多种业务类别之间的强大的SLAs；
*低开销可管理的业务。
　　正如前面所讲的，为了解决VPN的扩展性问题，人们提出了BGP MPLS-VPN的概念，它是采用3层技术构筑的VPN，它是用BGP协议在MPLS核心交换路由信息。采用3层技术构筑的VPN具有采用2层技术构筑的VPN的所有安全特性，同时也增加了可扩展性。这个技术的一个关键部分就是采用BGP以及它的一些扩展特性，也就是所谓的BGP/MPLS VPN 。对于不同的VPN用户，它们的路由转发信息是完全分离的。BGP在MPLS核心上通过LDP来转发这些路由信息。
　　在VPN模型中，VPN站点与运营商的骨干网相连。用户端的路由器被称做用户边缘(CE)路由器，运营商网络中第一跳的路由器是运营商边缘(PE)路由器，而网络中间节点的路由器被称做运营商(P)路由器。
　　用户边缘路由器只与运营商边缘路由器相连，而不与VPN中的其它节点直接相连，运营商边缘路由器只接收并保持与其直接相连路由器的有关VPN的路由信息，所以用户在管理自己的VPN时会发现使用MPLS模式时路由配置非常简单。他们可以把运营商的骨干网当作他们到所有地点的缺省路由来使用，而不需要与非常复杂的、包括了大量2层PVC或3层路由表的网络打交道。
三、MPLS-VPN的优点
　　MPLS能识别不同应用的数据包，这保证了QoS的实现，而且实现方法比IP隧道和基于VC的网络简单。因为在IP网络上建设VPN需要隧道或加密，而基于VC网络(如ATM和帧中继)建立的VPN是点对点的，需要为每个CPE进行单独的配置。另外因为在这种网络上，IP数据包的传输是在VC通道内进行的，所以整个VPN并不知道通信的内容和种类。这种方式下，智能化和有策略配置的边缘设备便可带给每个通信最大的VC带宽。这种方式是以连接为中心的，不具备可扩展性，这与IP的商业应用产生了矛盾，因为IP的商业应用是围绕无连接的TCP/IP协议的。VPN还应当能识别通信的类型，从而将通信根据应用分类。而且VPN应当对VPN的整个网络有所了解，这样运营商可以将不同用户和服务分组到Intranet VPN或Extranet VPN 。
　　MPLS可以将不同VPN的通信完全隔离，使得无关用户的通信不会混杂其中，从而提高了安全性。这是在不必使用隧道和加密的前提下就能完成的。MPLS根据服务类型来区分的传输方法和完全的QoS策略把运营商原来面向传输的服务模型转变成为面向服务的模型。基于MPLS的VPN提供了逻辑上最大的安全性，网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。
　　MPLS-VPN不仅满足VPN用户对安全性的要求，还减少了网络方和用户方的工作量，可以建立任意的连接，且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址，不需要作任何修改，在骨干网络采用 VPN - ID ，可以保持全网的唯一性。 MPLS VPN还易于提供增值业务，如不同的COS等。
　　MPLS VPN 适用于对服务质量、服务等级划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。用户边缘(CE)路由器可以只是一台IP路由器，它不必支持任何VPN的特定路由协议或信令。运营商边缘(PE)路由器实际上就是MPLS中的边缘标记交换路由器(LER) ，它需要能够支持BGP协议、一种或几种IGP路由协议以及MPLS协议，另外，它需要能够执行IP包检查，协议转换等功能。一组共享相同路由信息的站点就构成了VPN，一个站点可以同时位于不同的几个VPN之中。
　　VPN的出现给用户带来一系列好处，同时也使运营商能够在充分利用现有网络结构的情况下，尽可能地为用户提供更多的新IP业务，从而吸引更多的用户，以降低开销并增加利润。这些特点要求运营商在选择路由器的时候，要考虑路由器支持VPN的能力。
用于新一代城域网的典型路由器
　　在路由器产品中，力博通信的SmartEdge800是比较出色的一种新产品，它具备多样的智能特点以满足运营商建立新一代城域网(用户智能网络)的需求：(1)运营商级的硬件，具有高可用性；(2)高容量以及高端口密度从而可以适应IP业务快速增长的需求；(3)从最底层构筑IP协议以适应现在以及未来城域网的需求；(4)稳定的软件基础；(5)模块化的软件设计以增强可靠性；(6)将路由和转发功能分开从而提高系统和网络的稳定性以及可用性；(7)在控制协议出现故障的时候，可以进行无中断转发；(8)采用分布式转发以提高性能；(9)可编程转发，简化操作，方便地增加新业务；(11)对转发和路由功能同时进行扩展，从而保证平台的稳定性；(12)可扩展的路由协议；(13)完整的拥有最新特性的路由协议集；(14)转发路径的灵活性和模块化可以快速部署新的特性。
除此之外，它还有两大主要的特色值得关注：
一、支持虚拟路由器
　　每一个虚拟路由器都可以看成是一个完整的路由器，它具有一个传统路由器应该具有的一切功能，例如路由表、路由协议、认证以及IP地址空间等。虚拟路由器支持一个传统路由器应该支持的一切网络业务例如DNS、 Telnet 、Traceroute 、 Syslog等。通过虚拟路由器，运营商可以在一个路由器上提供不同种类的业务从而无需通过增加新设备来增加新业务。这在很大程度上为运营商节约了成本。一台SmartEdge800可以支持2000个以上的虚拟路由器。
　　支持虚拟路由器对于VPN业务来讲是一个非常理想的特性。任何接口例如专线、ATM、FR或者以太网口都可以和一个机箱内的任何一个虚拟路由器绑定，这个特性对于运营商来讲非常重要，他们可以非常灵活地为VPN用户分配接口资源。
　　SmartEdge800的虚拟路由器除了支持BGP MPLS/VPN以外，还支持GREVPN ，它可以通过GRE隧道在PE路由器之间建立VPN，该隧道对于网络的其它部分来讲是透明的。通过 GREVPN ，运营商不需要将他们的核心设备转换成支持MPLS的设备或者建立MP-BGP会话，而且也不需要建立BGP路由反射器以及调整现存的路由配置或是策略。这样，运营商就可以在短期内提供一种VPN解决方案。
　　如果运营商想最终转移到MPLS网络， GREVPN 可以做为VPN策略的第一步。另外，在网络向MPLS演进的过程中，运营商可以提供GRE VPN 。提供MPLSVPN最简单的方法就是创建一个单独的虚拟路由器用于BGP/MPLS VPN 业务，在时机成熟的时候，运营商可以很容易地将用户转移到新的VPN上。
　　其他厂家路由器中的BGP/MPLS VPN 是通过PE路由器中的VPN VRF(路由与转发表)来维护一个站点上的转发信息。VRF可在PE路由器上生成一个专用转发信息表，但是它不能给终端用户提供任何可见度以用于VPN的监控，甚至也无法验证到一个VRF的连接性。
　　而SmartEdge800中的虚拟路由器是通过BGP/MPLS VPN 来保证用户的可见度。每一个PE路由器都能为每一个VPN配置一个虚拟路由器，VPN连接的站点可以聚合到它们专用的虚拟路由器上。这样，虚拟路由器最终取代了VRF。
二、支持虚拟接口
　　SmartEdge800另一个非常具有竞争力的特性是它支持虚拟接口。通过虚拟接口，运营商只需要一条配置命令就可以将用户在虚拟路由器之间进行转换。
　　在传统的路由器中，接口是物理上的概念，许多特性例如业务策略以及过滤等都是针对物理接口来实施的，当用户需要转到新的端口的时候，必须对新的端口进行策略以及过滤等方面的再设置，这种转换工作不仅复杂而且容易出错。
　　而SmartEdge800将物理接口和虚拟接口严格区分开来，虚拟接口只存在于虚拟路由器中，而物理线路是指物理的通信通道，通过该通道进行数据包的发送与接收，只有将线路与接口绑定以后，流量才可以在线路上进行传送。在SmartEdge800中，绑定是指将一条特定的线路与一个特性的接口联系在一起，也就是说将线路绑定到该接口上。
　　在SmartEdge800中，所有的客户明确特性都与接口发生关系而不是与线路发生关系。这样，当用户需要转到新的线路上的时候，只需要通过一条配置命令将新的线路与接口进行绑定，同时删除以前的绑定关系，转移工作就完成了，非常的简单。如果用户想要在不同的虚拟路由器之间进行转移也同样简单：只需将用户线路与不同的虚拟路由器中的接口进行绑定就可以了。
　　综上所述，我们可以看出，对于既要提供新的IP业务又要节约开销的运营商来讲，SmartEdge800是一个很好的选择，它可以让运营商在城域网激烈的竞争中占据有利地位。

中国通信网(www.c114.net)—通信产业报