【正文】 MPLS VPN技術(shù)可以很好的解決該問(wèn)題，通過(guò)將各機(jī)關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò)，實(shí)現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò)，但是在邏輯上卻是相互隔離，從而即提高政府辦公的自動(dòng)化程度及效率，又可以保障各部門系統(tǒng)內(nèi)數(shù)據(jù)不會(huì)其他人訪問(wèn)，滿足了政府辦公的安全需求。 電子政務(wù)隨著政府上網(wǎng)工程的日益深入，很多政府機(jī)關(guān)都實(shí)現(xiàn)了辦公網(wǎng)絡(luò)化。對(duì)于不同業(yè)務(wù)系統(tǒng)之間的互訪要求，通過(guò)Extranet實(shí)現(xiàn)，使用route target嚴(yán)格控制不同VPN之間的互訪。而不必關(guān)心設(shè)備的類型及其使用的鏈路協(xié)議和物理線路類型。以福建DCN為例，采用MPLS VPN技術(shù)，將網(wǎng)管，計(jì)費(fèi)，97網(wǎng)，OA等分別作為單獨(dú)的VPN網(wǎng)，其中，只有網(wǎng)管有少量到國(guó)家骨干的流量，其他業(yè)務(wù)沒(méi)有訪問(wèn)國(guó)干的需求。在核心骨干層，采用骨干路由器或交換機(jī)進(jìn)行組網(wǎng)，實(shí)現(xiàn)標(biāo)簽的轉(zhuǎn)發(fā)，保證相應(yīng)的QoS。舉例，廈門廣電城域網(wǎng)MPLS VPN應(yīng)用組網(wǎng)示意圖。由于個(gè)人用戶的接入方式有很多，可能是FTTX+LAN，xDSL等寬帶接入，也可能是窄帶撥號(hào)接入，這些業(yè)務(wù)無(wú)法應(yīng)用L2VPN解決，只能使用L3VPN。企業(yè)客戶業(yè)務(wù)種類多（專線、高速互連、上網(wǎng)），要求高服務(wù)質(zhì)量保證和數(shù)據(jù)安全性，網(wǎng)絡(luò)自主管理和整個(gè)企業(yè)網(wǎng)IP地址自主規(guī)劃。城域網(wǎng)在組網(wǎng)功能結(jié)構(gòu)上可分為：核心層、匯聚層、接入層、業(yè)務(wù)中心與管理中心。骨干網(wǎng)還可以利用MPLS VPN技術(shù)為二級(jí)運(yùn)營(yíng)商提供服務(wù)（運(yùn)營(yíng)商的運(yùn)營(yíng)商）。采用MPLS L2VPN技術(shù)，IP骨干網(wǎng)可以連接多樣化的接入網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)原有數(shù)據(jù)網(wǎng)絡(luò)的改造及增強(qiáng)。在以上基礎(chǔ)，運(yùn)營(yíng)商也可以結(jié)合其他信息，如VPN用戶的SLA進(jìn)行更加靈活的計(jì)費(fèi)策略。建議采用包月制對(duì)MPLS L2VPN進(jìn)行計(jì)費(fèi)，實(shí)際上，MPLS L2VPN在很大程度上是替換了原來(lái)的專線VPN，其計(jì)費(fèi)策略也可同樣沿襲專線租用的計(jì)費(fèi)方式。l 基于流的計(jì)費(fèi)，通過(guò)在網(wǎng)管平臺(tái)上運(yùn)行流數(shù)據(jù)數(shù)據(jù)的收集程序，把各個(gè)PE設(shè)備上的流數(shù)據(jù)進(jìn)行收集、過(guò)濾和聚合，并把這些經(jīng)過(guò)處理的數(shù)據(jù)進(jìn)行存儲(chǔ)，作為記費(fèi)的原始數(shù)據(jù)輸入。圖29 管理CE 方式2網(wǎng)管網(wǎng)方式3 如所示，不需要Management VPN來(lái)管理，直接通過(guò)MCE。 不管理CE的邏輯組網(wǎng)如圖所示，VPN Manager所在的子網(wǎng)有直接鏈路與MPLS核心網(wǎng)相連。 管組網(wǎng) 由于涉及到CE是否管理的問(wèn)題，在設(shè)計(jì)網(wǎng)管組網(wǎng)方案時(shí)，需要區(qū)分對(duì)待。 在此前提下，提出了VPN網(wǎng)關(guān)的概念： 在IP承載網(wǎng)或城域網(wǎng)的本地網(wǎng)與長(zhǎng)途網(wǎng)交界處，部署少量的VPN網(wǎng)關(guān)，將用戶網(wǎng)絡(luò)以物理直連、二層透?jìng)骰蛉龑铀淼赖榷喾N方式連接到MPLS VPN網(wǎng)關(guān)上（由網(wǎng)關(guān)完成所有的VPN及Site的業(yè)務(wù)處理），做到網(wǎng)絡(luò)業(yè)務(wù)平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面分離，提供MPLS VPN業(yè)務(wù)能力，又充分利用現(xiàn)有網(wǎng)絡(luò)的接入能力、保護(hù)并減低投資，提高市場(chǎng)競(jìng)爭(zhēng)力。同時(shí)，MPLS VPN技術(shù)雖然已經(jīng)比較成熟，但是MPLS VPN的運(yùn)營(yíng)卻仍然還有許多不確定因素：l 對(duì)原有網(wǎng)絡(luò)的改造難度大 在標(biāo)準(zhǔn)的MPLS組網(wǎng)模型中，MPLS業(yè)務(wù)要求MPLS域中的所有設(shè)備(包括PE和P設(shè)備)都必須支持MPLS，運(yùn)營(yíng)商已經(jīng)對(duì)現(xiàn)有的IP承載網(wǎng)/城域網(wǎng)進(jìn)行了巨大的投資，然而這些現(xiàn)有網(wǎng)絡(luò)中的技術(shù)形態(tài)是多樣的（包括Router、ATM或Lanswitch等多種方式），很多原有的設(shè)備不支持MPLS能力。以上是比較通用的使用方法，但每個(gè)ACL對(duì)應(yīng)的VPN過(guò)多會(huì)影響轉(zhuǎn)發(fā)效率。VRP為這種應(yīng)用提供了專門的多角色主機(jī)的解決方案。前者比如一些權(quán)限比較高的用戶，后者常見(jiàn)的情況是一些被多個(gè)VPN使用的服務(wù)器。 分層PE特別適合在星型、樹(shù)型結(jié)構(gòu)的網(wǎng)絡(luò)中使用，下圖是一種典型的組網(wǎng)圖：圖23 分層PE在金融/政務(wù)網(wǎng)絡(luò)中的應(yīng)用 在城域網(wǎng)中也可以應(yīng)用，從而逐步改造現(xiàn)有網(wǎng)絡(luò)：圖24 分層PE在城域網(wǎng)中的應(yīng)用 另外，分層PE還可以用于跨AS的環(huán)境中，適合Stub AS同Transit AS連接，Stub AS不承載過(guò)境的流量，因此可以通過(guò)默認(rèn)路由指向Transit AS。在PE上，對(duì)應(yīng)的配置同樣的VRF，每個(gè)VRF有一個(gè)(也可以是多個(gè))接口，這個(gè)接口同VCE連接。它擴(kuò)展CE的能力，使其具有VRF功能，這樣的設(shè)備稱為VCE設(shè)備。 分層式PE從外部來(lái)看同傳統(tǒng)上的PE沒(méi)有任何區(qū)別，因此它可以同其它PE在一個(gè)MPLS網(wǎng)絡(luò)中共存。SPE將所有UPE的擴(kuò)展團(tuán)體列表合并起來(lái)，形成全局列表。在采用MPEBGP時(shí)，UPE一般使用私有自治系統(tǒng)號(hào)。 多個(gè)UPE同SPE構(gòu)成分層式PE，它們之間的分工是： UPE維護(hù)其直接連接的VPN Site的路由，但不維護(hù)VPN中其它遠(yuǎn)程Site的路由或僅維護(hù)它們的聚合路由；SPE維護(hù)其通過(guò)UPE所連接的Site所在的VPN中的所有路由，包括本地和遠(yuǎn)程Site中的路由。分層式PE是將PE的功能分布到多個(gè)設(shè)備上，它們承擔(dān)不同的角色，并形成層次結(jié)構(gòu)，共同完成一個(gè)集中式PE的功能。這就為PE設(shè)備向網(wǎng)絡(luò)邊緣的擴(kuò)展帶來(lái)了困難。圖20 一級(jí)運(yùn)營(yíng)商采用MPLS L2 VPN/CCC方式3 兩種方式的比較 下面從幾個(gè)方面比較上述兩種方式，以便于在合適的情況下選用。圖 19 二級(jí)MPLS VPN運(yùn)營(yíng)商跨越一級(jí)MPLS VPN運(yùn)營(yíng)商2 一級(jí)運(yùn)營(yíng)商采用L2 VPN/CCC方式 當(dāng)一級(jí)運(yùn)營(yíng)商采用L2 VPN/CCC方式時(shí)，為二級(jí)運(yùn)營(yíng)商的site間提供了虛擬的二層連結(jié)，二級(jí)CE間可以直接運(yùn)行IGP和LDP/RSVPTE，協(xié)議報(bào)文和數(shù)據(jù)報(bào)文都通過(guò)一級(jí)運(yùn)營(yíng)商透明傳輸，因此，無(wú)論一級(jí)運(yùn)營(yíng)商還是二級(jí)運(yùn)營(yíng)商，都不需要做任何修改。二級(jí)LSP嵌套在一級(jí)LSP內(nèi)，這樣一級(jí)LSP可以為多個(gè)二級(jí)運(yùn)營(yíng)商公用。 轉(zhuǎn)發(fā)過(guò)程是這樣的，二級(jí)運(yùn)營(yíng)商用戶的報(bào)文，在二級(jí)運(yùn)營(yíng)商site1中進(jìn)行IP轉(zhuǎn)發(fā)，在CE1上PUSH內(nèi)層標(biāo)簽，在PE1上SWAP內(nèi)層標(biāo)簽，并PUSH外層標(biāo)簽，在PE2上POP內(nèi)層標(biāo)簽，還原為IP報(bào)文，在二級(jí)運(yùn)營(yíng)上site2中進(jìn)行IP轉(zhuǎn)發(fā)。內(nèi)部路由則作為VPN路由通過(guò)BGP/MPLS VPN的機(jī)制進(jìn)行分布，也就是在一級(jí)PE和二級(jí)CE間運(yùn)行IGP協(xié)議。下面對(duì)它們的原理和應(yīng)用方式進(jìn)行描述。 二級(jí)運(yùn)營(yíng)商可以是一個(gè)ISP，也可以是一個(gè)MPLS VPN提供商。s Carrier，中文翻譯為運(yùn)營(yíng)商的運(yùn)營(yíng)商。圖17 MultiHop MPEBGP方式跨AS4) 三種方式的比較 下面從幾個(gè)方面比較上述三種方式，以便于在合適的情況下選用。 缺點(diǎn)是一個(gè)PE要同另外一個(gè)AS內(nèi)的所有PE之間建立EBGP連接，可擴(kuò)展性差。首先在每個(gè)AS內(nèi)通過(guò)LDP建立外層LSP，然后通過(guò)BGP將PE的主機(jī)路由攜帶標(biāo)簽分布到另外一個(gè)自治系統(tǒng)，路徑是PEASBRASBRPE，這樣建立中間層LSP。但缺點(diǎn)是是需要在ASBR處同時(shí)維護(hù)VPN的路由和Internet路由，ASBR節(jié)點(diǎn)的壓力大。圖15 VRFtoVRF跨AS2) MPEBGP攜帶VPNIPv4路由 通過(guò)直連的ASBR傳播VPNIPv4路由，并且為相應(yīng)的VPN路由分配一個(gè)標(biāo)簽。對(duì)于每一個(gè)需要跨域的VPN，需要在本端跨域的PE設(shè)備(ASBR)上配置對(duì)應(yīng)于這個(gè)VPN的VRF，把對(duì)端的 PE設(shè)備(ASBR)做為 本域VPN的CE，PECE之間運(yùn)行EBGP協(xié)議，攜帶對(duì)端的VPN路由信息。首先建立到達(dá)對(duì)端的MPLS TE隧道，然后通過(guò)配置靜態(tài)路由或策略路由，將流量引入MPLS TE隧道，可以方便的提供保證服務(wù)。通過(guò)這種方式，可以建立有帶寬保證的MPLS TE隧道，并可以方便的進(jìn)行隧道維護(hù)，參數(shù)修改等處理。通過(guò)設(shè)置LSP穿越的路徑，用戶可以很方便地管理穿越IP網(wǎng)絡(luò)的業(yè)務(wù)，實(shí)現(xiàn)IP骨干網(wǎng)絡(luò)的負(fù)載平衡，減輕網(wǎng)絡(luò)擁塞，提高網(wǎng)絡(luò)效率和服務(wù)質(zhì)量。使用MPLS報(bào)文標(biāo)簽頭的EXP字段保存COS，在網(wǎng)絡(luò)中按照既定的規(guī)則，將不同COS值的報(bào)文對(duì)應(yīng)于不同的PHB，按照相應(yīng)規(guī)則進(jìn)行隊(duì)列調(diào)度，報(bào)文丟棄等處理。同Martini方式的MPLS L2VPN一樣，VPLS也可以利用LDP擴(kuò)展作為信令，實(shí)現(xiàn)VC標(biāo)記交換，同時(shí)VPLS要求PE節(jié)點(diǎn)支持MAC地址學(xué)習(xí)功能。VPLS的組網(wǎng)是建立在MAC層轉(zhuǎn)發(fā)上的，對(duì)網(wǎng)絡(luò)層協(xié)議透明。 這種方式適用于需共享的網(wǎng)絡(luò)資源比較集中的情況。圖9 Extranet——分布式方案 (3) 地址空間統(tǒng)一規(guī)劃 上面通過(guò)兩套IP地址實(shí)現(xiàn)VPN之間互通的方式比較復(fù)雜，對(duì)網(wǎng)絡(luò)管理維護(hù)人員的要求較高。同時(shí)需要設(shè)置兩個(gè)DNS服務(wù)器，一個(gè)用于VPN私網(wǎng)內(nèi)部的訪問(wèn)，這個(gè)DNS Server作為主用，另一個(gè)作為Second DNS Server，用于完成VPN用戶訪問(wèn)Extranet站點(diǎn)時(shí)的地址解析工作。有限制的連接主要指可以進(jìn)行互訪問(wèn)的有關(guān)協(xié)作數(shù)據(jù)是限制的，并不是所有數(shù)據(jù)都可以放開(kāi)互訪。這種方式的優(yōu)點(diǎn)是即可以滿足企業(yè)用戶對(duì)自身進(jìn)行訪問(wèn)控制的需求，同時(shí)運(yùn)營(yíng)商也能對(duì)用戶訪問(wèn)Internet進(jìn)行統(tǒng)一控制，并且不象第二鐘方式那樣需要增加太多的投資（因?yàn)閷?duì)每個(gè)VPN都要有單獨(dú)的Firewall設(shè)備來(lái)進(jìn)行訪問(wèn)控制）。VPN內(nèi)部的各site的訪問(wèn)INTERNET的數(shù)據(jù)流，必須首先到該VPN的某一site中（該site一般為公司的總部），在該site做NAT，F(xiàn)IREWALL處理后再走到公網(wǎng)中去。VPN Manager可以與華為iManager N2000網(wǎng)元管理系統(tǒng)集成運(yùn)行，方便了管理者從網(wǎng)元層面、業(yè)務(wù)層面去管理網(wǎng)絡(luò)，減少了運(yùn)營(yíng)商的網(wǎng)管硬件投資。組網(wǎng)技術(shù)方案的多樣性要求VPN Manager能夠同時(shí)提供多種方案的管理能力。根據(jù)網(wǎng)絡(luò)的實(shí)際狀況，VPN Manager的設(shè)備驅(qū)動(dòng)可以進(jìn)行定制開(kāi)發(fā)。VPN Manager根據(jù)其權(quán)限，可以提供如下功能中的部分或全部： 客戶的VPN拓?fù)洌猴@示該客戶的客戶視圖，反映客戶各站點(diǎn)之間的連通性 性能、流量統(tǒng)計(jì)報(bào)表：提供該客戶租用業(yè)務(wù)的性能、流量數(shù)據(jù)報(bào)表業(yè)務(wù)故障監(jiān)控：瀏覽該客戶租用的VPN中發(fā)生的業(yè)務(wù)故障 CNM特性是為運(yùn)營(yíng)商一個(gè)很好的增值業(yè)務(wù)，既滿足了高級(jí)客戶的自助式管理需求，也為運(yùn)營(yíng)商增加了營(yíng)業(yè)收入。通過(guò)對(duì)性能數(shù)據(jù)的分析，管理員可以更清楚地了解網(wǎng)絡(luò)運(yùn)行情況，有利于進(jìn)行網(wǎng)絡(luò)的規(guī)劃和優(yōu)化。告警功能與VPN業(yè)務(wù)拓?fù)湟晥D的緊密結(jié)合，使網(wǎng)絡(luò)運(yùn)維人員在故障發(fā)生后可以快速定位網(wǎng)絡(luò)故障。這樣，不需要在網(wǎng)管上重新再次輸入網(wǎng)絡(luò)相關(guān)的配置參數(shù)，滿足網(wǎng)絡(luò)先期開(kāi)通、網(wǎng)管后建設(shè)情況下的需求，一方面為管理員節(jié)省了時(shí)間，另一方面也避免了誤操作對(duì)原有業(yè)務(wù)的影響。 為了保證客戶業(yè)務(wù)的開(kāi)通，對(duì)于已部署業(yè)務(wù)，VPN Manager提供了進(jìn)行配置審計(jì)和連通審計(jì)。例如：部署時(shí)間可以設(shè)置在夜間――業(yè)務(wù)流量較少的時(shí)段，而管理者可在第二天工作時(shí)間查看業(yè)務(wù)部署的結(jié)果。VPN Manager還能夠輸出客戶的業(yè)務(wù)租用報(bào)表、資源租用報(bào)表、性能數(shù)據(jù)報(bào)表、流量數(shù)據(jù)報(bào)表和故障數(shù)據(jù)報(bào)表等。利用VPN Manager管理VPN業(yè)務(wù)，可提高運(yùn)營(yíng)商的業(yè)務(wù)響應(yīng)速度，降低網(wǎng)絡(luò)維護(hù)、業(yè)務(wù)運(yùn)營(yíng)成本，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。VPN Manager完成的主要功能是：? 承接業(yè)務(wù)訂單，生成業(yè)務(wù)請(qǐng)求并進(jìn)行網(wǎng)絡(luò)規(guī)劃、部署、審計(jì)? 維護(hù)網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)性能和故障? 進(jìn)行網(wǎng)絡(luò)性能、故障的業(yè)務(wù)相關(guān)性分析，為業(yè)務(wù)保障提供原始數(shù)據(jù)? 提供基于WEB的客戶網(wǎng)絡(luò)管理（CNM），為VPN客戶提供對(duì)VPN的監(jiān)控手段圖3描述了VPN Manager在運(yùn)營(yíng)系統(tǒng)中的位置。L2 VPN中，CE可以是二層也可以三層設(shè)備。BGP/MPLS VPN中，CE可以是一個(gè)路由器、三層交換機(jī)甚至一個(gè)主機(jī)，方式是多種多樣的，但一定是一個(gè)三層設(shè)備。而VPLS可以通過(guò)公共IP/MPLS網(wǎng)絡(luò)將多個(gè)LAN/VLAN網(wǎng)段連在一起，從用戶角度看，可以將整個(gè)公共IP/MPLS網(wǎng)絡(luò)看成一個(gè)大L3 Switch。電路交叉連接也可以用來(lái)粘和不同的LSP。與普通的MPLS L2VPN不同的是，CCC采用一層標(biāo)記來(lái)傳送用戶數(shù)據(jù)，因此它對(duì)LSP的使用是獨(dú)占性的，用戶必須單獨(dú)為每一個(gè)CCC連接手工配置兩條LSP（兩個(gè)方向各一條），這兩條LSP將只能用于傳遞這個(gè)CCC連接的數(shù)據(jù)，不能用于其他L2VPN連接，也不能用于BGP/MPLS VPN或承載普通的IP報(bào)文。這樣可以把每個(gè)CE的CE range設(shè)置為20，系統(tǒng)會(huì)預(yù)先為未來(lái)的10個(gè)CE分配標(biāo)記。系統(tǒng)會(huì)一次為這個(gè)CE分配一個(gè)標(biāo)記塊，標(biāo)記塊的大小等于CE range。與BGP/MPLS VPN相同，BGP方式的L2VPN也使用route target來(lái)區(qū)分不同的VPN，這使得VPN組網(wǎng)具備了極大的靈活性。 當(dāng)鏈路層承載的都是IP時(shí)，容許使用不同的鏈路層協(xié)議的Site組成同一個(gè)VPN。此外，由于交換VC標(biāo)記的兩個(gè)PE可能不是直接相連的，所以LDP必須使用remote peer來(lái)建立session，并在這個(gè)session上傳遞VC FEC和VC標(biāo)記。同一個(gè)VCTYPE的所有VC中，其VCID必須在整個(gè)SP網(wǎng)絡(luò)中唯一。相對(duì)于BGP擴(kuò)展它的缺點(diǎn)是只能建立點(diǎn)到點(diǎn)的VPN二層連接，沒(méi)有VPN的自動(dòng)發(fā)現(xiàn)機(jī)制。Martini草案是通過(guò)LDP擴(kuò)展實(shí)現(xiàn)MPLS L2VPN的，而Kompella草案則是是通過(guò)MPBGP擴(kuò)展實(shí)現(xiàn)的，兩者草案分別是：draftmartinil2circuittransmplsdraftkompellappvpnl2vpn兩種二層VPN采用的封裝協(xié)議都是：Draftmartinil2circuitencapmpls. Martini方式Martini草案定義了通過(guò)建立點(diǎn)到點(diǎn)的鏈路來(lái)實(shí)現(xiàn)L2VPN的方法。轉(zhuǎn)發(fā)過(guò)程中，報(bào)文的標(biāo)記棧變化如下圖所示：圖2 MPLS L2 VPN轉(zhuǎn)發(fā)流程由于MPLS l2VPN中，PE設(shè)備不參與用戶的路由處理，因此它的可擴(kuò)展性比L3VPN要好得多，MPLS L2VPN的可擴(kuò)展性只與PE能連接的VPN用戶數(shù)目相關(guān)。在提供全連接的二層VPN時(shí)，和傳統(tǒng)的二層VPN一樣( 如ATM PVC提供的VPN），存在N方問(wèn)題，每個(gè)VPN的CE到其它的CE都需要在CE與PE之間分配一條連接。 簡(jiǎn)單來(lái)說(shuō)，MPLS L2VPN就是在MPLS網(wǎng)絡(luò)上透明傳遞用戶的二層數(shù)據(jù)。由于BGP的策略控制能力很強(qiáng)，隨之而來(lái)的是VP