【正文】 由網(wǎng)關(guān)完成所有的VPN及Site的業(yè)務(wù)處理），做到網(wǎng)絡(luò)業(yè)務(wù)平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面分離，提供MPLS VPN業(yè)務(wù)能力，又充分利用現(xiàn)有網(wǎng)絡(luò)的接入能力、保護并減低投資，提高市場競爭力。除了這種VPN特性之外，VPN網(wǎng)關(guān)設(shè)備還需要在此多種接入方式： 方法一：物理直連 企業(yè)用戶網(wǎng)絡(luò)可通過DDN、以太網(wǎng)、傳輸?shù)榷喾N方式，直接與MPLS VPN網(wǎng)關(guān)相連，此為標(biāo)準(zhǔn)MPLS VPN的CPEPE連接方式；由于一個MPLS VPN網(wǎng)關(guān)承擔(dān)的是一個地區(qū)的VPN業(yè)務(wù)，因此采用這種方式對網(wǎng)關(guān)設(shè)備的物理接口類型及密度要求較高 方法二：二層透傳及連接 企業(yè)用戶網(wǎng)絡(luò)可通過ATM網(wǎng)絡(luò)的VLan點到點透傳、VPLS、PPPOA、1484B等方式接入到VPN網(wǎng)關(guān)，也可以通過Lanswitch網(wǎng)絡(luò)的Vlan Trunking等方式接入到MPLS VPN網(wǎng)關(guān)；這種情況下，MPLS VPN網(wǎng)關(guān)采用邏輯接口終結(jié)各二層連接，因此可接入較多的企業(yè)用戶網(wǎng)絡(luò) 方法三：二層或三層隧道 企業(yè)用戶網(wǎng)絡(luò)可通過IP網(wǎng)絡(luò)的GRE及IPSec隧道等方式接入到VPN網(wǎng)關(guān)；這種情況下，VPN網(wǎng)關(guān)采用邏輯接口終結(jié)各三層隧道，因此可接入較多的企業(yè)用戶網(wǎng)絡(luò)。個人用戶可通過PPPOE+L2TP或PPPOEOA+L2TP的方式接入到VPN網(wǎng)關(guān)，訪問公司內(nèi)部網(wǎng)絡(luò) ；此時， VPN網(wǎng)關(guān)兼做LNS，LAC需要由用戶接入設(shè)備承擔(dān)。 華為Quidway路由器可以提供POS/CPOS、E1/CEE3/CEDDN、FR、LAN、ATM等多種方式的接入，速率可從N*64K、N *2M到FE、GE；此外還支持多種二層方式的接入，如VLan透傳、VPLS、PPPOA、PPPOE、PPPOEOA、1484B等；多種IP隧道技術(shù)，如GRE、IPSec及L2TP等。 管組網(wǎng) 由于涉及到CE是否管理的問題，在設(shè)計網(wǎng)管組網(wǎng)方案時，需要區(qū)分對待。但鑒于管理CE網(wǎng)管組網(wǎng)比較復(fù)雜，不建議用戶管理CE。而且，該特性要到明年4月份版本才能提供。1) 不管理CE VPN Manager直接通過MPLS核心網(wǎng)絡(luò)管理PE，而不管理CE，這種方式管理簡單，不需要任何處理。 不管理CE的邏輯組網(wǎng)如圖所示，VPN Manager所在的子網(wǎng)有直接鏈路與MPLS核心網(wǎng)相連。圖27 不管理CE的網(wǎng)管網(wǎng)2) 管理CE方式1 如圖所示，VPN Manager通過MCE（Management CE）和MPE（Management PE）間的IPv4鏈路連接網(wǎng)絡(luò)中的PE；在MCE和MPE間建立Management VPN來管理CE，需要管理的CE都加入到Management VPN中。圖28 管理CE 方式1的網(wǎng)管網(wǎng)方式2 如圖所示，這種方式下，MCE和MPE對被視為所有客戶VPN的組成部分，每次向VPN Manager增加一個新的客戶VPN請求時，就會在MPE和MCE對上加上該VPN。VPN Manager通過MCE和MPE間的IPv4鏈路連接PE。圖29 管理CE 方式2網(wǎng)管網(wǎng)方式3 如所示，不需要Management VPN來管理，直接通過MCE。 必須占用CE的一個單獨的端口（或者邏輯子接口），這種管理方式的優(yōu)勢是簡單，不需要任何處理，缺點是要占用一個CE的接口（或者子接口），一個IP地址資源，適合接口和IP地址資源比較豐富的請況下使用。圖30 管理CE 方式3網(wǎng)管網(wǎng) 計費MPLS VPN的計費可以考慮以下幾種方式：l 包月制、比較簡單。l 基于流量，通過MPLS VPN的網(wǎng)管獲得各個VPN動態(tài)的流量信息。l 基于流的計費，通過在網(wǎng)管平臺上運行流數(shù)據(jù)數(shù)據(jù)的收集程序，把各個PE設(shè)備上的流數(shù)據(jù)進行收集、過濾和聚合，并把這些經(jīng)過處理的數(shù)據(jù)進行存儲，作為記費的原始數(shù)據(jù)輸入。這樣，可以實現(xiàn)對各個VPN基于的業(yè)務(wù)、流量各種記費。由于支持多種的數(shù)據(jù)流統(tǒng)計工具，如NETSTREAM，使得華為Quidway系列路由器能夠支持豐富靈活的記費功能。實際運營時可以根據(jù)不同VPN服務(wù)方式采取不同的計費策略：MPLS L2VPN，由于MPLS網(wǎng)絡(luò)承載的是鏈路層數(shù)據(jù)報文，目前沒有合適的流統(tǒng)計進行數(shù)據(jù)流的詳細信息搜集，無法進行基于流的統(tǒng)計； 可以在每個PE設(shè)備統(tǒng)計從VPN用戶網(wǎng)絡(luò)流經(jīng)MPLS網(wǎng)絡(luò)的流量，但是這些流量統(tǒng)計中包含了鏈路層維護報文及廣播報文，所以也不適合作為計費的依據(jù)。建議采用包月制對MPLS L2VPN進行計費，實際上，MPLS L2VPN在很大程度上是替換了原來的專線VPN，其計費策略也可同樣沿襲專線租用的計費方式。對于MPLS L3VPN，分兩種情況考慮，對于通過固定線路接入的VPN用戶，最簡單的計費方式也是基于時段或包月制，也可以PE設(shè)備上利用Netstream對VPN的所有流量進行細分和統(tǒng)計，通過相應(yīng)的網(wǎng)絡(luò)分析工具或網(wǎng)管搜集這些流信息，在此基礎(chǔ)上根據(jù)運營商的需要開發(fā)專用的計費軟件，可以實現(xiàn)靈活多樣的計費策略。這種計費方式顯然更有吸引力，但是需要的投資也更大。對于通過撥號(L2TP)方式接入MPLS L3VPN的用戶，由于這類用戶的接入有一個明顯的認證接入退出過程，通過與AAA服務(wù)器的配合，很容易對這類用戶進行計費。在以上基礎(chǔ)，運營商也可以結(jié)合其他信息，如VPN用戶的SLA進行更加靈活的計費策略。3 客戶化解決方案 骨干網(wǎng)當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)的發(fā)展趨勢：骨干網(wǎng)逐漸統(tǒng)一為MPLS網(wǎng)絡(luò)，而由于現(xiàn)有接入網(wǎng)絡(luò)在很長一段時間仍然繼續(xù)存在，接入網(wǎng)絡(luò)呈現(xiàn)多樣化的趨勢，如ATM/FR PVC、ELAN、XDSL、Cable、Wireless等豐富的接入方式，并提供IP、ATM、IPvCLNP、IPX等多樣化的服務(wù)。不同于寬帶城域網(wǎng)，骨干網(wǎng)主要承擔(dān)數(shù)據(jù)及路由交換的功能，很少直接面對終端客戶，骨干網(wǎng)上的業(yè)務(wù)需求相對較少。 如下圖所示，采用MPLSVPN技術(shù)，骨干網(wǎng)可以提供更多更好的業(yè)務(wù)。采用MPLS L2VPN技術(shù)，IP骨干網(wǎng)可以連接多樣化的接入網(wǎng)絡(luò)，實現(xiàn)對原有數(shù)據(jù)網(wǎng)絡(luò)的改造及增強。 在建成MPLS骨干網(wǎng)之后，傳統(tǒng)的數(shù)據(jù)通信網(wǎng)ATM/FR等可以下移為接入網(wǎng)，但對ATM/FR用戶而言，感覺不到網(wǎng)絡(luò)結(jié)構(gòu)的變化。通過Kompella方式的MPLS L2VPN技術(shù)，各種不同的接入網(wǎng)協(xié)議還可以實現(xiàn)互操作，如ATM用戶與FR用戶之間也可以實現(xiàn)互通。通過MPLS L2VPN技術(shù)，IP骨干網(wǎng)可連接各種接入網(wǎng)絡(luò)，從而在更大的廣域范圍內(nèi)為用戶提供虛擬專線(VLL)業(yè)務(wù)。骨干網(wǎng)還可以利用MPLS VPN技術(shù)為二級運營商提供服務(wù)（運營商的運營商）。圖31 骨干網(wǎng)解決方案示意圖 該方案中用到以下產(chǎn)品的設(shè)備 骨干網(wǎng)核心P設(shè)備使用NE80/40； 根據(jù)需要，邊緣PE設(shè)備可使用NE80/40或NE16E/08E，NE80/40的性能高，適用于大型網(wǎng)絡(luò)，NE16E/O8E的性能較低，但是業(yè)務(wù)更豐富，可以在性能要求不是很高的地方。 城域網(wǎng) 寬帶城域網(wǎng)是基于寬帶技術(shù)，以電信網(wǎng)絡(luò)的可管理性、可擴充性為基礎(chǔ)，在城市范圍內(nèi)匯聚寬、窄帶用戶的接入，面向滿足集團用戶（政府、企業(yè)等）、個人用戶對各種寬帶多媒體業(yè)務(wù)（互聯(lián)網(wǎng)訪問、虛擬專用網(wǎng)等）需求的綜合寬帶網(wǎng)絡(luò)。是電信網(wǎng)絡(luò)的重要組成部分，向上與CHINANET骨干網(wǎng)絡(luò)互連。城域網(wǎng)在組網(wǎng)功能結(jié)構(gòu)上可分為：核心層、匯聚層、接入層、業(yè)務(wù)中心與管理中心?？梢允褂肕PLS VPN技術(shù)隔離各種業(yè)務(wù)，各業(yè)務(wù)網(wǎng)絡(luò)共用同一套物理網(wǎng)絡(luò)，但是邏輯上相互獨立，這樣既有利于各種業(yè)務(wù)的開展，也使得網(wǎng)絡(luò)管理更加方便。寬帶城域網(wǎng)中超過80%的用戶是個人用戶，但是寬帶城域網(wǎng)的主要盈利卻來自于不到20%的企業(yè)用戶。企業(yè)互連業(yè)務(wù)，特別是寬帶互連業(yè)務(wù)將成為寬帶網(wǎng)絡(luò)的運營初期首要的發(fā)展業(yè)務(wù)，也是當(dāng)前寬帶網(wǎng)絡(luò)在我國最易盈利的現(xiàn)實業(yè)務(wù)，并將有持續(xù)的需求。企業(yè)客戶業(yè)務(wù)種類多（專線、高速互連、上網(wǎng)），要求高服務(wù)質(zhì)量保證和數(shù)據(jù)安全性，網(wǎng)絡(luò)自主管理和整個企業(yè)網(wǎng)IP地址自主規(guī)劃。由于基于IP的三層VPN還難以保證全程全網(wǎng)端到端的互連互通，所以目前一般采用二層VPN解決企業(yè)用戶各分支機構(gòu)的互聯(lián)，可以利用VLL(Martini方式的MPLS L2VPN)及VPLS技術(shù)實現(xiàn)。在使用MPLS L2VPN時，要求用戶設(shè)備到PE設(shè)備之間是二層連接，接入設(shè)備可以通過FR/ATM PVC或VLAN將用戶的二層鏈路延伸到PE設(shè)備上。目前針對個人用戶的主要業(yè)務(wù)是高速上網(wǎng)，出于管理的便利，可以將這類業(yè)務(wù)通過一個VPN承載。由于個人用戶的接入方式有很多，可能是FTTX+LAN，xDSL等寬帶接入，也可能是窄帶撥號接入，這些業(yè)務(wù)無法應(yīng)用L2VPN解決，只能使用L3VPN。如果企業(yè)有遠程用戶，比如，企業(yè)的出差員工有訪問企業(yè)VPN的需求，則需要通過Access MPLS VPN技術(shù)解決，即遠程用戶通過L2TP訪問企業(yè)所在的VPN網(wǎng)絡(luò)，由于L2TP是基于IP網(wǎng)絡(luò)的，這時應(yīng)采用MPLS L3VPN技術(shù)。如果企業(yè)需要實現(xiàn)Extranet，比如該企業(yè)希望和它的供應(yīng)商或顧客共享部分網(wǎng)絡(luò)信息，則應(yīng)該采用L3VPN了。作為運營商的基礎(chǔ)網(wǎng)絡(luò)，寬帶城域網(wǎng)需同時服務(wù)多種不同的用戶，承載多種不同的業(yè)務(wù)，且寬帶城域具有多種接入方式，這一特點決定寬帶城域網(wǎng)需同時支持MPLS L3VPN，MPLS L2VPN及VPLS，同時，還可能需要L2TP，GRE等多種IP隧道技術(shù)。舉例，廈門廣電城域網(wǎng)MPLS VPN應(yīng)用組網(wǎng)示意圖。圖32 廈門廣電城域網(wǎng)MPLS VPN應(yīng)用示意圖 該方案中用到以下產(chǎn)品的設(shè)備核心層設(shè)備：可以選用NE80/40，NE16E/08E匯聚層設(shè)備：可以選用NE40，NE16E/08E，S8016，S6506(僅L2 VPN)，ESR城域網(wǎng)中可能會使用較多的三層交換機。尤其是在采用二層MPLS方案時。 下圖說明在城域網(wǎng)范圍內(nèi)實現(xiàn)二層MPLS VPN的互連：圖33 城域MPLS L2 VPN組網(wǎng)示意圖在CE側(cè)，主要使用二層，三層接入交換機進行接入，主要產(chǎn)品可以根據(jù)企業(yè)，政府機關(guān)，學(xué)校的實際情況，選擇2000系列，3000系列，5000系列，6000系列的交換機完成對辦公室，樓層，整樓，整個機關(guān)學(xué)校的以太網(wǎng)接入和互連；充分利用交換機具有GE/FE端口密度高，ACL流分類多，成本低的特點，轉(zhuǎn)發(fā)線速無阻塞，QoS比較好，可以滿足政府機關(guān)，學(xué)校，公司企業(yè)等業(yè)務(wù)多，要求帶寬高的特點；在匯聚層，可以充分考慮網(wǎng)絡(luò)的現(xiàn)狀，采用具有MPLS 二層VPN能力的交換機或路由交換機來組網(wǎng)，比如S6506，S8016，S8512，S6503；或NE系列路由交換機，NE40；在這一點上，必須具有三層轉(zhuǎn)發(fā)能力且具有二層轉(zhuǎn)發(fā)能力的路由交換機來完成，同時能夠完成標(biāo)簽轉(zhuǎn)發(fā)能力，可以基于VLAN進行VC標(biāo)簽的創(chuàng)建。在核心骨干層，采用骨干路由器或交換機進行組網(wǎng)，實現(xiàn)標(biāo)簽的轉(zhuǎn)發(fā)，保證相應(yīng)的QoS。 DCN出于管理及安全的需要，運營支撐網(wǎng)的各種業(yè)務(wù)之間需要隔離，同時，又不可能為這些單獨建網(wǎng)，同時，出于發(fā)展的需要，網(wǎng)絡(luò)需要良好的可擴展性考慮。從業(yè)務(wù)開展的角度看，使用MPLS VPN來構(gòu)建運營支撐網(wǎng)是最合適的選擇，將各個業(yè)務(wù)系統(tǒng)，如網(wǎng)管，計費，辦公，客服等系統(tǒng)分別作為一個VPN來處理。目前運營支撐網(wǎng)的全國骨干網(wǎng)和省骨干網(wǎng)是分開建設(shè)的，國家骨干網(wǎng)基本上仍然作為純IP網(wǎng)，在省一級運營支撐網(wǎng)采用MPLS VPN技術(shù)。以福建DCN為例，采用MPLS VPN技術(shù)，將網(wǎng)管，計費，97網(wǎng)，OA等分別作為單獨的VPN網(wǎng)，其中，只有網(wǎng)管有少量到國家骨干的流量，其他業(yè)務(wù)沒有訪問國干的需求。由于原來各省的運營支撐網(wǎng)是單獨建設(shè)的，網(wǎng)絡(luò)的組成很復(fù)雜： 多個廠商的三層設(shè)備并存，既有Cisco，Juniper，華為等主流廠商的設(shè)備，也有很多其他小廠商的設(shè)備； 多種物理線路并存，有ATM，POS，F(xiàn)R，DDN，甚至也有通過PSTN的。在這種情況下，建議采用MPLS L3VPN，MPLS部署到地市一級，這樣做的好處：l 控制了MPLS網(wǎng)絡(luò)的復(fù)雜性，PE和P節(jié)點不會過多，降低了MPLS部署的難度，由于MPLS要求MPLS域內(nèi)所有節(jié)點都支持MPLS，而很多原有網(wǎng)絡(luò)設(shè)備無法升級支持MPLS，MPLS域過大將導(dǎo)致投資增加。l 簡化了接入方式，只需要接入設(shè)備(既CE，多部署在地市或縣一級)是支持普通IP的三層設(shè)備，與PE設(shè)備能三層互通即可。而不必關(guān)心設(shè)備的類型及其使用的鏈路協(xié)議和物理線路類型。應(yīng)該注意的是，由于歷史的原因，有些地方的運營支撐網(wǎng)中可能存在一些子網(wǎng)(如計費網(wǎng))，可能使用的是IPX等其他網(wǎng)絡(luò)層協(xié)議，對于這些子網(wǎng)，可以考慮用MPLS L2VPN方式解決。網(wǎng)絡(luò)拓撲建議采用星型結(jié)構(gòu)，以省中心節(jié)點作為中心節(jié)點，各地市節(jié)點作為邊緣節(jié)點，如果省中心節(jié)點可能需要進行備份或負載分擔(dān)，則可采用雙星型結(jié)構(gòu)。這種組網(wǎng)中，各地市節(jié)點作為PE用，中心節(jié)點既作PE節(jié)點，又作P節(jié)點。對于不同業(yè)務(wù)系統(tǒng)之間的互訪要求，通過Extranet實現(xiàn)，使用route target嚴(yán)格控制不同VPN之間的互訪。舉例，DCN網(wǎng)MPLS VPN應(yīng)用示意圖： 圖34 DCN網(wǎng)MPLS VPN應(yīng)用示意圖 核心層設(shè)備： 可選用NE80/40，NE16E/08E。 匯聚層設(shè)備： 可選用NE40/NE16E/08E/05/S8016。在小的地市甚至可以選用R3680/3640作為低成本解決方案。 電子政務(wù)隨著政府上網(wǎng)工程的日益深入，很多政府機關(guān)都實現(xiàn)了辦公網(wǎng)絡(luò)化。各機關(guān)及部門通過互聯(lián)互通，開展視頻會議等。網(wǎng)絡(luò)促進了政府辦公自動化，簡化了辦公流程，提高了辦公效率，但是同時，所有機關(guān)及部門使用同一物理網(wǎng)絡(luò)，也帶來了安全隱患及網(wǎng)絡(luò)管理的難度。如何處理這對矛盾，成了迫切需要解決的問題。MPLS VPN技術(shù)可以很好的解決該問題，通過將各機關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò)，實現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò)，但是在邏輯上卻是相互隔離，從而即提高政府辦公的自動化程度及效率，又可以保障各部門系統(tǒng)內(nèi)數(shù)據(jù)不會其他人訪問，滿足了政府辦公的安全需求。當(dāng)然，有些網(wǎng)絡(luò)資源，如某些數(shù)據(jù)庫或服務(wù)器，可能需要被多個部門共享，可以通過Extranet VPN實現(xiàn)。政務(wù)網(wǎng)