【正文】 PE的主機(jī)IPv4路由。這種方式也可以用于二層/三層VPN互通。比如在一些應(yīng)用中，用戶需要僅在一段特定的時(shí)間內(nèi)，在某兩點(diǎn)間得到高可靠性的服務(wù)，這時(shí)使用MPLS TE是很好的選擇。圖12 MPLS QoS TE與IP不同，MPLS技術(shù)是面向連接的。由于目前VPLS實(shí)現(xiàn)沒有明確的標(biāo)準(zhǔn)指導(dǎo)，各廠家的VPLS實(shí)現(xiàn)各不相同。如下圖所示，Extranet部分的IP地址與兩個(gè)VPN的地址空間均不重合，通過route target屬性(import/export)控制PE間路由的擴(kuò)散，將兩個(gè)VPN的路由引入到Extranet上，同時(shí)在VPN的其他site上只引入本VPN及Extranet的路由，為了防止VPN的其他site上通過通過指向extranet site的缺省路由進(jìn)行互訪，在與extranet直接相連的PE上通過ACL對非法互訪流量進(jìn)行隔離。 實(shí)現(xiàn)過程： 對于共享的site，即Extranet部分，采用兩套IP地址，一套作為VPN私網(wǎng)地址，另一套作為Extranet公共地址，在訪問本VPN其他site時(shí)(非Extranet部分)，使用私有地址，在訪問Extranet 的site時(shí)，使用Extranet公共地址，在訪問Extranet site時(shí)，要先對報(bào)文的源IP地址進(jìn)行NAT轉(zhuǎn)換，即將原來VPN私有地址空間的源IP地址轉(zhuǎn)換為Extranet公有地址空間的IP地址。l 二級控制方式 圖7 Internet訪問——二級控制方式 如圖7所示，在這種方式下，首先在企業(yè)內(nèi)部做INTERNET訪問控制，然后在服務(wù)提供商處再做一次統(tǒng)一的訪問控制，即兩級訪問控制。. 與其他系統(tǒng)集成運(yùn)行能力 VPN運(yùn)營商在管理MPLS VPN業(yè)務(wù)的同時(shí)，還可能需要管理組成網(wǎng)絡(luò)的各個(gè)網(wǎng)元設(shè)備。VPN Manager在系統(tǒng)設(shè)計(jì)和架構(gòu)上具有良好的可擴(kuò)充性，可以通過開發(fā)不同廠商設(shè)備的驅(qū)動(dòng)模塊解決該問題。性能數(shù)據(jù)包括CEPE間、PEPE間和CECE間時(shí)延、抖動(dòng)數(shù)據(jù)、流量數(shù)據(jù)等。VPN Manager首先讀入業(yè)務(wù)信息，分析出VPN的基本信息，在管理員的幫助之下，還原出存在于網(wǎng)絡(luò)上的VPN業(yè)務(wù)信息。同時(shí)還提供按照時(shí)間策略進(jìn)行部署的機(jī)制，可以靈活定制部署時(shí)間，避免在業(yè)務(wù)高峰期部署新業(yè)務(wù)對網(wǎng)絡(luò)和原有業(yè)務(wù)的沖擊。VPN Manager解決了VPN業(yè)務(wù)管理中必須解決的以下問題：? 直觀的、可觀察的業(yè)務(wù)規(guī)劃? 快速的、可調(diào)度的業(yè)務(wù)部署? 已部署業(yè)務(wù)的發(fā)現(xiàn)? 業(yè)務(wù)故障告警、檢測? 客戶管理? 全網(wǎng)資源管理? 網(wǎng)絡(luò)性能監(jiān)控? 多廠商設(shè)備的管理? 大客戶的增值業(yè)務(wù)管理VPN Manager的功能覆蓋了VPN業(yè)務(wù)的整個(gè)生命周期的管理，從業(yè)務(wù)規(guī)劃、業(yè)務(wù)審計(jì)、業(yè)務(wù)部署到業(yè)務(wù)監(jiān)控。一些廠商聲稱不需要CE，是一種誤導(dǎo)，其實(shí)是說VPN用戶可以采用運(yùn)營商提供的設(shè)備接入PE，而不需要添加一個(gè)專門的設(shè)備。雖然Martini和Kompella方式的MPLS L2VPN都可以實(shí)現(xiàn)兩個(gè)LAN網(wǎng)段跨MPLS網(wǎng)絡(luò)的點(diǎn)到點(diǎn)互聯(lián)，但是它們都只支持VLL(Virtual Leased Link)方式的LAN網(wǎng)段互聯(lián)。. CCCCCC是Circuit Cross Connect（電路交叉連接）的縮寫，是通過靜態(tài)配置來實(shí)現(xiàn)L2VPN的一種方式。用戶可以指定一個(gè)本地CE的范圍（CE range），CE range表明這個(gè)CE能與多少個(gè)CE建立連接。通過MPBGP擴(kuò)展實(shí)現(xiàn)的二層VPN， 顧名思義需要有BGP擴(kuò)展的支持， MPLS信令也是必須的。VCTYPE表明這個(gè)VC的類型是ATM、VLAN還是PPP；VCID則用于唯一標(biāo)志一個(gè)VC。IETF的PPVPN（Providerprovisioned Virtual Private Network）工作組制訂了多個(gè)框架草案，其中最主要的兩種稱為Martini草案和Kompella草案。對于MPLS二層VPN，網(wǎng)絡(luò)運(yùn)營商負(fù)責(zé)提供給二層VPN用戶提供二層的連通性，不需要參與VPN用戶的路由計(jì)算。s Carrier解決方案將在后面章節(jié)詳細(xì)描述) MPLS/MBGP VPN可以簡化對用戶端設(shè)備的需求和用戶管理、維護(hù)Intranet/Extranet的復(fù)雜性，每個(gè)CE僅需要維持一個(gè)到PE的路由交換協(xié)議，CE間的路由交換、傳輸控制、路由策略由運(yùn)營商根據(jù)VPN用戶的需求來實(shí)施。MPLS/BGP VPN提供了靈活的地址管理。在PE上為這個(gè)site配置VRF，將連結(jié)PECE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定的VRF上，但不可以是多跳的3層連接。MPLS主要標(biāo)準(zhǔn)RFC 3031 (MPLS總體結(jié)構(gòu))RFC3034 (幀中繼網(wǎng)絡(luò)上MPLS)RFC 3035 (ATM網(wǎng)絡(luò)上MPLS)RFC 3036 (LDP)L3 MPLS VPN 標(biāo)準(zhǔn)情況draftietfppvpnrfc2547bis主流L2 MPLS VPN 標(biāo)準(zhǔn)情況Martini方式：draftmartinil2circuittransmpls Kompella方式：draftkompellappvpnl2vpnL2 MPLS VPN封裝： draftmartinil2circuitencapmpls. BGP/MPLS VPN 在MPLS/BGP VPN的模型中，網(wǎng)絡(luò)由運(yùn)營商的骨干網(wǎng)與用戶的各個(gè)Site組成，所謂VPN就是對site集合的劃分，一個(gè)VPN就對應(yīng)一個(gè)由若干site組成的集合。在IP網(wǎng)中，MPLS流量工程技術(shù)成為一種主要的管理網(wǎng)絡(luò)流量、減少擁塞、一定程度上保證IP網(wǎng)絡(luò)的QoS的重要工具。簡單回顧一下MPLS的發(fā)展過程： 1996年，Ipsilon公司推出了IP Switching協(xié)議，IP Switching 的基本目的是采用棄用ATM控制平面的方法來高效地集成ATM交換機(jī)和IP路由器， 從而具有ATM交換機(jī)的高性能，突破了傳統(tǒng)路由器的性能限制。1997年，IETF成立一個(gè)工作組，經(jīng)過多次商討。采用MPLS VPN技術(shù)可以把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，這種邏輯上隔離的網(wǎng)絡(luò)的應(yīng)用可以是千變?nèi)f化的：可以是用在解決企業(yè)互連、政府相同/不同部門的互連、也可以時(shí)用來提供新的業(yè)務(wù)如為IP電話業(yè)務(wù)專門開辟一個(gè)VPN、以此解決IP網(wǎng)絡(luò)地址不足和QoS的問題，也可以為用MPLS VPN為IPv6提供開展業(yè)務(wù)的可能。CE：Custom Edge Router，用戶網(wǎng)邊緣路由器，分布用戶網(wǎng)絡(luò)路由。VPN的成員關(guān)系是通過路由所攜帶的route target屬性來獲得的，每個(gè)VRF配置了一些策略，規(guī)定一個(gè)VPN可以接收哪些Site來的路由信息，可以向外發(fā)布哪些Site的路由信息。NAT只有在兩個(gè)有沖突地址的用戶需要建立Extranet進(jìn)行通信時(shí)才需要。使用基于MPLS的L2VPN解決方案，運(yùn)營商可以在統(tǒng)一的MPLS網(wǎng)絡(luò)上提供不同基于媒介的二層VPN服務(wù)，包括ATM、FR、VLAN、Ethernet、PPP等。在一個(gè)VPN有N個(gè)Site的時(shí)候，CEPE必需有需要N1個(gè)物理或邏輯端口連接?！?LDP擴(kuò)展實(shí)現(xiàn)的二層VPN只需要對LDP進(jìn)行簡單擴(kuò)展，實(shí)現(xiàn)簡單。當(dāng)連接兩個(gè)PE的LSP建立成功，雙方的標(biāo)記交換和綁定完成后，一個(gè)VC就建立起來了，兩個(gè)CE就可以通過這個(gè)VC傳遞二層數(shù)據(jù)。要建立兩個(gè)CE之間的連接時(shí)，只需在PE上設(shè)置本地CE和遠(yuǎn)程CE的CE ID，并指定本地CE為這個(gè)連接分配的Circuit ID（例如ATM的VPI/VCI）。這樣會造成標(biāo)記資源的浪費(fèi)，但是同時(shí)帶來一個(gè)很大的好處：減少VPN部署和擴(kuò)容時(shí)的配置工作量。其中二層數(shù)據(jù)報(bào)文可以是：ATM、幀中繼、以太網(wǎng)/VLAN、PPP等，三層可以是IPvIPvIPX等。同Martini方式的MPLS L2VPN一樣，VPLS也可以利用LDP擴(kuò)展作為信令，實(shí)現(xiàn)VC標(biāo)記交換，同時(shí)VPLS要求PE節(jié)點(diǎn)支持MAC地址學(xué)習(xí)功能。在VPLS中，由于PE要維護(hù)MAC地址表，如果CE是二層設(shè)備，VPN站點(diǎn)中的MAC地址都會泄漏到PE上，PE負(fù)擔(dān)較重，因此建議CE采用三層設(shè)備。圖 4 VPN Manager界面. 網(wǎng)管主要功能特點(diǎn). 客戶管理 VPN業(yè)務(wù)是面向客戶的業(yè)務(wù)，為了掌握客戶信息，更好的為客戶服務(wù)，VPN Manager提供了豐富的客戶管理功能。 VPN業(yè)務(wù)配置復(fù)雜，配置錯(cuò)誤會引起路由震蕩等網(wǎng)絡(luò)問題，因此，必須在實(shí)際部署之前保證業(yè)務(wù)的正確性。 VPN Manager實(shí)時(shí)收集網(wǎng)絡(luò)故障信息，當(dāng)網(wǎng)元發(fā)生已影響或?qū)绊慥PN業(yè)務(wù)的告警時(shí)，VPN Manager分析該網(wǎng)元告警會影響的業(yè)務(wù)和客戶，及時(shí)向管理員發(fā)送業(yè)務(wù)告警，在客戶的業(yè)務(wù)發(fā)生故障前能夠?qū)崟r(shí)提醒維護(hù)人員定位解決問題。. CNM特性對業(yè)務(wù)要求較高的客戶，可能希望自己監(jiān)視其租用網(wǎng)絡(luò)的運(yùn)行狀況，甚至希望能夠?qū)ζ渥庥玫亩丝谶M(jìn)行一些配置。. 二層、三層VPN管理 構(gòu)建MPLS VPN可以采取多種方案。例如：VPN Manager提供與HP OpenView的集成能力。 Extranet Extranet即外聯(lián)網(wǎng)，指在這個(gè)網(wǎng)絡(luò)內(nèi)，屬于某一個(gè)管理者的用戶站點(diǎn)，由于業(yè)務(wù)的需求要與多個(gè)屬于其他管理者的用戶站點(diǎn)進(jìn)行有限制的連接。要將公有地址池的路由發(fā)布到Extranet的站點(diǎn)中?？梢詫⑿枰ネǖ木W(wǎng)絡(luò)設(shè)備(如一些機(jī)要主機(jī))單獨(dú)劃分在一個(gè)VPN中，如江西政務(wù)網(wǎng)中，機(jī)要部門系統(tǒng)和政府機(jī)關(guān)系統(tǒng)分別屬于不同的VPN中，但是在某些地區(qū)，本地區(qū)的一些機(jī)要主機(jī)和政府部門主機(jī)需要互通，而這些主機(jī)與本系統(tǒng)的其他主機(jī)之間很少互訪，這時(shí)，可以將這些主機(jī)單獨(dú)劃分一個(gè)VPN，這部分主機(jī)及本系統(tǒng)其他主機(jī)之間的數(shù)據(jù)交互通過人工或其他方式進(jìn)行。報(bào)文在骨干網(wǎng)PE間傳送時(shí)，QoS屬性被透傳到對端PE，中間不會被修改。使用MPLS流量工程，網(wǎng)絡(luò)管理員只需要建立一些LSP，旁路擁塞節(jié)點(diǎn)，就可以消除網(wǎng)絡(luò)擁塞。1) VRFtoVRF方式 如圖所示，這種方式要求兩個(gè)域的ASBR能夠做PE。 當(dāng)VPNIPv4路由跨越多個(gè)AS時(shí)，采用的技術(shù)是同樣的，無論跨越多少個(gè)AS，都只需要2層標(biāo)簽。 當(dāng)VPNIPv4路由跨越多個(gè)AS時(shí)，采用的技術(shù)是同樣的，無論跨越多少個(gè)AS，都只需要3層標(biāo)簽。 Carrier39。s Carrier起初是BGP/MPLS VPN中的一個(gè)概念，在RFC2547中描述。因此LSP起始于二級CE1，而終結(jié)于一級PE2。 轉(zhuǎn)發(fā)時(shí)，VPN報(bào)文在二級PE1上PUSH兩層標(biāo)簽，在一級PE1上再PUSH一層標(biāo)簽，進(jìn)入一級LSP，在一級PE2上還原為兩層標(biāo)簽，進(jìn)入二級CE1，之后遵循普通的BGP/MPLS VPN轉(zhuǎn)發(fā)流程。 分層PE 目前的MPLS VPN模型是一種平面式模型，PE設(shè)備無論處于網(wǎng)絡(luò)的哪個(gè)層次，對其性能要求是相同的，由于路由逐層聚合，甚至在PE向邊緣方向擴(kuò)展時(shí)，要維護(hù)更多的路由。圖21 分層PE框架 分層PE的結(jié)構(gòu)如下圖所示，直接連結(jié)用戶的設(shè)備稱為下層PE Underlayer PE)，簡寫為UPE，連結(jié)UPE并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE(Superstratum PE)，簡寫為SPE。這個(gè)全局列表可以根據(jù)SPE和UPE之間交換的信息動(dòng)態(tài)生成，也可以靜態(tài)的加以配置。這種嵌套可以是無窮的。下面比較從幾個(gè)方面比較分層PE方案同MultiVRF方案。 方法是把這樣的特殊主機(jī)通過隧道接入PE，然后使用Extranet網(wǎng)絡(luò)拓?fù)鋪斫鉀Q這個(gè)問題。 VPN網(wǎng)關(guān) 除了MPLS VPN技術(shù)之外，實(shí)現(xiàn)VPN的技術(shù)還有很多，所有這些技術(shù)都適合于某種特定的VPN需求： VPLS：適用于城域網(wǎng)提供多點(diǎn)VPN，以太方式接入； VLAN：適用作為城域網(wǎng)VPN的接入手段，適用于以交換機(jī)為主的解決方案； BGP/MPLS VPN：提供完整的Intranet/Extranet/Internet，實(shí)現(xiàn)各種VPN之間的互通； Martini方式的MPLS L2VPN：適用于VLL類型的業(yè)務(wù)，接入方式相同； Kompella方式的MPLS L2VPN：適用于各種拓樸的L2 VPN，接入方式可以不同； CCC：提供靜態(tài)配置的VLL以及LSP的粘合； L2TP：提供Access VPN GRE：提供三層IP隧道，實(shí)現(xiàn)Sitetosite VPN IPSEC：提供三層IP加密隧道，數(shù)據(jù)安全性好，可實(shí)現(xiàn)Sitetosite VPN，配合MPLS VPN提供更強(qiáng)的安全性。個(gè)人用戶可通過PPPOE+L2TP或PPPOEOA+L2TP的方式接入到VPN網(wǎng)關(guān)，訪問公司內(nèi)部網(wǎng)絡(luò) ；此時(shí)， VPN網(wǎng)關(guān)兼做LNS，LAC需要由用戶接入設(shè)備承擔(dān)。圖28 管理CE 方式1的網(wǎng)管網(wǎng)方式2 如圖所示，這種方式下，MCE和MPE對被視為所有客戶VPN的組成部分，每次向VPN Manager增加一個(gè)新的客戶VPN請求時(shí)，就會在MPE和MCE對上加上該VPN。由于支持多種的數(shù)據(jù)流統(tǒng)計(jì)工具，如NETSTREAM，使得華為Quidway系列路由器能夠支持豐富靈活的記費(fèi)功能。不同于寬帶城域網(wǎng)，骨干網(wǎng)主要承擔(dān)數(shù)據(jù)及路由交換的功能，很少直接面對終端客戶，骨干網(wǎng)上的業(yè)務(wù)需求相對較少。 城域網(wǎng) 寬帶城域網(wǎng)是基于寬帶技術(shù)，以電信網(wǎng)絡(luò)的可管理性、可擴(kuò)充性為基礎(chǔ)，在城市范圍內(nèi)匯聚寬、窄帶用戶的接入，面向滿足集團(tuán)用戶（政府、企業(yè)等）、個(gè)人用戶對各種寬帶多媒體業(yè)務(wù)（互聯(lián)網(wǎng)訪問、虛擬專用網(wǎng)等）需求的綜合寬帶網(wǎng)絡(luò)。在使用MPLS L2VPN時(shí)，要求用戶設(shè)備到PE設(shè)備之間是二層連接，接入設(shè)備可以通過FR/ATM PVC或VLAN將用戶的二層鏈路延伸到PE設(shè)備上。尤其是在采用二層MPLS方案時(shí)。在這種情況下，建議采用MPLS L3VPN，MPLS部署到地市一級，這樣做的好處：l 控制了MPLS網(wǎng)絡(luò)的復(fù)雜性，PE和P節(jié)點(diǎn)不會過多，降低了MPLS部署的難度，由于MPLS要求MPLS域內(nèi)所有節(jié)點(diǎn)都支持MPLS，而很多原有網(wǎng)絡(luò)設(shè)備無法升級支持MPLS，MPLS域過大將導(dǎo)致投資增加。 匯聚層設(shè)備： 可選用NE40/NE16E/08E/05/S8016。政務(wù)