【正文】 之間的PE通過MPEBGP方式傳播VPN路由信息，由于PE間要跨越多跳，稱為MultiHop MPEBGP。首先在每個AS內(nèi)通過LDP建立外層LSP，然后通過BGP將PE的主機路由攜帶標(biāo)簽分布到另外一個自治系統(tǒng)，路徑是PEASBRASBRPE，這樣建立中間層LSP。 當(dāng)VPNIPv4路由跨越多個AS時，采用的技術(shù)是同樣的，無論跨越多少個AS，都只需要3層標(biāo)簽。 缺點是一個PE要同另外一個AS內(nèi)的所有PE之間建立EBGP連接，可擴展性差。但一定要注意RR上決不能配置nexthopself。圖17 MultiHop MPEBGP方式跨AS4) 三種方式的比較 下面從幾個方面比較上述三種方式，以便于在合適的情況下選用。 Carrier39。s Carrier，中文翻譯為運營商的運營商。在MPLS VPN中，一級運營商將二級運營商作為一個VPN用戶來處理，這樣，即保證了二級運營商的私密性，因為它同其它二級運營商是隔離的，同時，一級運營商又可以為多個二級運營商服務(wù)，而不用建立多個骨干網(wǎng)。 二級運營商可以是一個ISP，也可以是一個MPLS VPN提供商。s Carrier起初是BGP/MPLS VPN中的一個概念，在RFC2547中描述。下面對它們的原理和應(yīng)用方式進(jìn)行描述。1)ISP作為二級運營商 典型組網(wǎng)方式如圖所示，二級運營商的兩個站點通過一級運營商連結(jié)。內(nèi)部路由則作為VPN路由通過BGP/MPLS VPN的機制進(jìn)行分布，也就是在一級PE和二級CE間運行IGP協(xié)議。因此LSP起始于二級CE1，而終結(jié)于一級PE2。 轉(zhuǎn)發(fā)過程是這樣的，二級運營商用戶的報文，在二級運營商site1中進(jìn)行IP轉(zhuǎn)發(fā)，在CE1上PUSH內(nèi)層標(biāo)簽，在PE1上SWAP內(nèi)層標(biāo)簽，并PUSH外層標(biāo)簽，在PE2上POP內(nèi)層標(biāo)簽，還原為IP報文，在二級運營上site2中進(jìn)行IP轉(zhuǎn)發(fā)。 同ISP作為二級運營商類似，其內(nèi)部路由作為VPN路由通過BGP/MPLS VPN的機制進(jìn)行分布。二級LSP嵌套在一級LSP內(nèi)，這樣一級LSP可以為多個二級運營商公用。 轉(zhuǎn)發(fā)時，VPN報文在二級PE1上PUSH兩層標(biāo)簽，在一級PE1上再PUSH一層標(biāo)簽，進(jìn)入一級LSP，在一級PE2上還原為兩層標(biāo)簽，進(jìn)入二級CE1，之后遵循普通的BGP/MPLS VPN轉(zhuǎn)發(fā)流程。圖 19 二級MPLS VPN運營商跨越一級MPLS VPN運營商2 一級運營商采用L2 VPN/CCC方式 當(dāng)一級運營商采用L2 VPN/CCC方式時，為二級運營商的site間提供了虛擬的二層連結(jié)，二級CE間可以直接運行IGP和LDP/RSVPTE，協(xié)議報文和數(shù)據(jù)報文都通過一級運營商透明傳輸，因此，無論一級運營商還是二級運營商，都不需要做任何修改。當(dāng)二級運營商是VPN運營商的時候，在一級運營商內(nèi)的封裝形式為MPLS over L2 over MPLS。圖20 一級運營商采用MPLS L2 VPN/CCC方式3 兩種方式的比較 下面從幾個方面比較上述兩種方式，以便于在合適的情況下選用。 分層PE 目前的MPLS VPN模型是一種平面式模型，PE設(shè)備無論處于網(wǎng)絡(luò)的哪個層次，對其性能要求是相同的，由于路由逐層聚合，甚至在PE向邊緣方向擴展時，要維護更多的路由。這就為PE設(shè)備向網(wǎng)絡(luò)邊緣的擴展帶來了困難。如果采用路由器就近接入用戶，匯聚后通過一個WAN鏈路連結(jié)到PE，則可以節(jié)省費用，提高帶寬利用率。分層式PE是將PE的功能分布到多個設(shè)備上，它們承擔(dān)不同的角色，并形成層次結(jié)構(gòu)，共同完成一個集中式PE的功能。圖21 分層PE框架 分層PE的結(jié)構(gòu)如下圖所示，直接連結(jié)用戶的設(shè)備稱為下層PE Underlayer PE)，簡寫為UPE，連結(jié)UPE并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE(Superstratum PE)，簡寫為SPE。 多個UPE同SPE構(gòu)成分層式PE，它們之間的分工是： UPE維護其直接連接的VPN Site的路由，但不維護VPN中其它遠(yuǎn)程Site的路由或僅維護它們的聚合路由；SPE維護其通過UPE所連接的Site所在的VPN中的所有路由，包括本地和遠(yuǎn)程Site中的路由。 UPE和SPE之間可以采用MPIBGP，也可以采用MPEBGP。在采用MPEBGP時，UPE一般使用私有自治系統(tǒng)號。這個全局列表可以根據(jù)SPE和UPE之間交換的信息動態(tài)生成，也可以靜態(tài)的加以配置。SPE將所有UPE的擴展團體列表合并起來，形成全局列表。這個接口可以是物理接口，子接口(如VLAN，PVC)或者隧道接口(如GRE、LSP)。 分層式PE從外部來看同傳統(tǒng)上的PE沒有任何區(qū)別，因此它可以同其它PE在一個MPLS網(wǎng)絡(luò)中共存。這種嵌套可以是無窮的。它擴展CE的能力，使其具有VRF功能，這樣的設(shè)備稱為VCE設(shè)備。圖22 MultiVRF CE 如圖，在VCE上配置多個VRF，對應(yīng)多個VPN站點。在PE上，對應(yīng)的配置同樣的VRF，每個VRF有一個(也可以是多個)接口，這個接口同VCE連接。下面比較從幾個方面比較分層PE方案同MultiVRF方案。 分層PE特別適合在星型、樹型結(jié)構(gòu)的網(wǎng)絡(luò)中使用，下圖是一種典型的組網(wǎng)圖：圖23 分層PE在金融/政務(wù)網(wǎng)絡(luò)中的應(yīng)用 在城域網(wǎng)中也可以應(yīng)用，從而逐步改造現(xiàn)有網(wǎng)絡(luò)：圖24 分層PE在城域網(wǎng)中的應(yīng)用 另外，分層PE還可以用于跨AS的環(huán)境中，適合Stub AS同Transit AS連接，Stub AS不承載過境的流量，因此可以通過默認(rèn)路由指向Transit AS。 多角色主機圖25 分層PE在跨AS中的應(yīng)用通常情況下CE是通過特定的接口與相應(yīng)的VRF相關(guān)聯(lián)的，但有時一個單獨的主機將要屬于某個VRF，但此主機可能經(jīng)過其他二層、三層設(shè)備接入到PE上，這時PE設(shè)備上沒有一個接口與其映射，不能同接口相關(guān)聯(lián)。前者比如一些權(quán)限比較高的用戶，后者常見的情況是一些被多個VPN使用的服務(wù)器。 方法是把這樣的特殊主機通過隧道接入PE，然后使用Extranet網(wǎng)絡(luò)拓?fù)鋪斫鉀Q這個問題。VRP為這種應(yīng)用提供了專門的多角色主機的解決方案。為了使各個VPN主機發(fā)出的數(shù)據(jù)報文能夠到達(dá)多角色主機，需要將其路由引入到多個VPN，即在PE1上多個VRF中配置到達(dá)此多角色主機的靜態(tài)路由。以上是比較通用的使用方法，但每個ACL對應(yīng)的VPN過多會影響轉(zhuǎn)發(fā)效率。 VPN網(wǎng)關(guān) 除了MPLS VPN技術(shù)之外，實現(xiàn)VPN的技術(shù)還有很多，所有這些技術(shù)都適合于某種特定的VPN需求： VPLS：適用于城域網(wǎng)提供多點VPN，以太方式接入； VLAN：適用作為城域網(wǎng)VPN的接入手段，適用于以交換機為主的解決方案； BGP/MPLS VPN：提供完整的Intranet/Extranet/Internet，實現(xiàn)各種VPN之間的互通； Martini方式的MPLS L2VPN：適用于VLL類型的業(yè)務(wù)，接入方式相同； Kompella方式的MPLS L2VPN：適用于各種拓樸的L2 VPN，接入方式可以不同； CCC：提供靜態(tài)配置的VLL以及LSP的粘合； L2TP：提供Access VPN GRE：提供三層IP隧道，實現(xiàn)Sitetosite VPN IPSEC：提供三層IP加密隧道，數(shù)據(jù)安全性好，可實現(xiàn)Sitetosite VPN，配合MPLS VPN提供更強的安全性。同時，MPLS VPN技術(shù)雖然已經(jīng)比較成熟，但是MPLS VPN的運營卻仍然還有許多不確定因素：l 對原有網(wǎng)絡(luò)的改造難度大 在標(biāo)準(zhǔn)的MPLS組網(wǎng)模型中，MPLS業(yè)務(wù)要求MPLS域中的所有設(shè)備(包括PE和P設(shè)備)都必須支持MPLS，運營商已經(jīng)對現(xiàn)有的IP承載網(wǎng)/城域網(wǎng)進(jìn)行了巨大的投資，然而這些現(xiàn)有網(wǎng)絡(luò)中的技術(shù)形態(tài)是多樣的（包括Router、ATM或Lanswitch等多種方式），很多原有的設(shè)備不支持MPLS能力。l MPLS業(yè)務(wù)的成熟度經(jīng)過近兩年的發(fā)展，在網(wǎng)絡(luò)設(shè)備供應(yīng)商、網(wǎng)絡(luò)運營商及標(biāo)準(zhǔn)化組織的努力下，從純技術(shù)角度講，MPLS技術(shù)已趨于成熟，但目前運營商提供MPLS VPN業(yè)務(wù)仍存在很多管理及運營方面的問題；例如：各運營商的IP網(wǎng)絡(luò)基本上都采用“長途網(wǎng)本地網(wǎng)；傳輸網(wǎng)業(yè)務(wù)網(wǎng)”的模型，提供的VPN業(yè)務(wù)必須是能夠跨越多個AS域的；跨AS域的MPLS VPN如何運營管理、跨AS域的LSP如何建立及維護，VPN業(yè)務(wù)如何計費等。 在此前提下，提出了VPN網(wǎng)關(guān)的概念： 在IP承載網(wǎng)或城域網(wǎng)的本地網(wǎng)與長途網(wǎng)交界處，部署少量的VPN網(wǎng)關(guān)，將用戶網(wǎng)絡(luò)以物理直連、二層透傳或三層隧道等多種方式連接到MPLS VPN網(wǎng)關(guān)上（由網(wǎng)關(guān)完成所有的VPN及Site的業(yè)務(wù)處理），做到網(wǎng)絡(luò)業(yè)務(wù)平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面分離，提供MPLS VPN業(yè)務(wù)能力，又充分利用現(xiàn)有網(wǎng)絡(luò)的接入能力、保護并減低投資，提高市場競爭力。個人用戶可通過PPPOE+L2TP或PPPOEOA+L2TP的方式接入到VPN網(wǎng)關(guān)，訪問公司內(nèi)部網(wǎng)絡(luò) ；此時， VPN網(wǎng)關(guān)兼做LNS，LAC需要由用戶接入設(shè)備承擔(dān)。 管組網(wǎng) 由于涉及到CE是否管理的問題，在設(shè)計網(wǎng)管組網(wǎng)方案時，需要區(qū)分對待。而且，該特性要到明年4月份版本才能提供。 不管理CE的邏輯組網(wǎng)如圖所示，VPN Manager所在的子網(wǎng)有直接鏈路與MPLS核心網(wǎng)相連。圖28 管理CE 方式1的網(wǎng)管網(wǎng)方式2 如圖所示，這種方式下，MCE和MPE對被視為所有客戶VPN的組成部分，每次向VPN Manager增加一個新的客戶VPN請求時，就會在MPE和MCE對上加上該VPN。圖29 管理CE 方式2網(wǎng)管網(wǎng)方式3 如所示，不需要Management VPN來管理，直接通過MCE。圖30 管理CE 方式3網(wǎng)管網(wǎng) 計費MPLS VPN的計費可以考慮以下幾種方式：l 包月制、比較簡單。l 基于流的計費，通過在網(wǎng)管平臺上運行流數(shù)據(jù)數(shù)據(jù)的收集程序，把各個PE設(shè)備上的流數(shù)據(jù)進(jìn)行收集、過濾和聚合，并把這些經(jīng)過處理的數(shù)據(jù)進(jìn)行存儲，作為記費的原始數(shù)據(jù)輸入。由于支持多種的數(shù)據(jù)流統(tǒng)計工具，如NETSTREAM，使得華為Quidway系列路由器能夠支持豐富靈活的記費功能。建議采用包月制對MPLS L2VPN進(jìn)行計費，實際上，MPLS L2VPN在很大程度上是替換了原來的專線VPN，其計費策略也可同樣沿襲專線租用的計費方式。這種計費方式顯然更有吸引力，但是需要的投資也更大。在以上基礎(chǔ)，運營商也可以結(jié)合其他信息，如VPN用戶的SLA進(jìn)行更加靈活的計費策略。不同于寬帶城域網(wǎng)，骨干網(wǎng)主要承擔(dān)數(shù)據(jù)及路由交換的功能，很少直接面對終端客戶，骨干網(wǎng)上的業(yè)務(wù)需求相對較少。采用MPLS L2VPN技術(shù)，IP骨干網(wǎng)可以連接多樣化的接入網(wǎng)絡(luò)，實現(xiàn)對原有數(shù)據(jù)網(wǎng)絡(luò)的改造及增強。通過Kompella方式的MPLS L2VPN技術(shù)，各種不同的接入網(wǎng)協(xié)議還可以實現(xiàn)互操作，如ATM用戶與FR用戶之間也可以實現(xiàn)互通。骨干網(wǎng)還可以利用MPLS VPN技術(shù)為二級運營商提供服務(wù)（運營商的運營商）。 城域網(wǎng) 寬帶城域網(wǎng)是基于寬帶技術(shù)，以電信網(wǎng)絡(luò)的可管理性、可擴充性為基礎(chǔ)，在城市范圍內(nèi)匯聚寬、窄帶用戶的接入，面向滿足集團用戶（政府、企業(yè)等）、個人用戶對各種寬帶多媒體業(yè)務(wù)（互聯(lián)網(wǎng)訪問、虛擬專用網(wǎng)等）需求的綜合寬帶網(wǎng)絡(luò)。城域網(wǎng)在組網(wǎng)功能結(jié)構(gòu)上可分為：核心層、匯聚層、接入層、業(yè)務(wù)中心與管理中心。寬帶城域網(wǎng)中超過80%的用戶是個人用戶，但是寬帶城域網(wǎng)的主要盈利卻來自于不到20%的企業(yè)用戶。企業(yè)客戶業(yè)務(wù)種類多（專線、高速互連、上網(wǎng)），要求高服務(wù)質(zhì)量保證和數(shù)據(jù)安全性，網(wǎng)絡(luò)自主管理和整個企業(yè)網(wǎng)IP地址自主規(guī)劃。在使用MPLS L2VPN時，要求用戶設(shè)備到PE設(shè)備之間是二層連接，接入設(shè)備可以通過FR/ATM PVC或VLAN將用戶的二層鏈路延伸到PE設(shè)備上。由于個人用戶的接入方式有很多，可能是FTTX+LAN，xDSL等寬帶接入，也可能是窄帶撥號接入，這些業(yè)務(wù)無法應(yīng)用L2VPN解決，只能使用L3VPN。如果企業(yè)需要實現(xiàn)Extranet，比如該企業(yè)希望和它的供應(yīng)商或顧客共享部分網(wǎng)絡(luò)信息，則應(yīng)該采用L3VPN了。舉例，廈門廣電城域網(wǎng)MPLS VPN應(yīng)用組網(wǎng)示意圖。尤其是在采用二層MPLS方案時。在核心骨干層，采用骨干路由器或交換機進(jìn)行組網(wǎng)，實現(xiàn)標(biāo)簽的轉(zhuǎn)發(fā)，保證相應(yīng)的QoS。從業(yè)務(wù)開展的角度看，使用MPLS VPN來構(gòu)建運營支撐網(wǎng)是最合適的選擇，將各個業(yè)務(wù)系統(tǒng)，如網(wǎng)管，計費，辦公，客服等系統(tǒng)分別作為一個VPN來處理。以福建DCN為例，采用MPLS VPN技術(shù)，將網(wǎng)管，計費，97網(wǎng)，OA等分別作為單獨的VPN網(wǎng)，其中，只有網(wǎng)管有少量到國家骨干的流量，其他業(yè)務(wù)沒有訪問國干的需求。在這種情況下，建議采用MPLS L3VPN，MPLS部署到地市一級，這樣做的好處：l 控制了MPLS網(wǎng)絡(luò)的復(fù)雜性，PE和P節(jié)點不會過多，降低了MPLS部署的難度，由于MPLS要求MPLS域內(nèi)所有節(jié)點都支持MPLS，而很多原有網(wǎng)絡(luò)設(shè)備無法升級支持MPLS，MPLS域過大將導(dǎo)致投資增加。而不必關(guān)心設(shè)備的類型及其使用的鏈路協(xié)議和物理線路類型。網(wǎng)絡(luò)拓?fù)浣ㄗh采用星型結(jié)構(gòu)，以省中心節(jié)點作為中心節(jié)點，各地市節(jié)點作為邊緣節(jié)點，如果省中心節(jié)點可能需要進(jìn)行備份或負(fù)載分擔(dān)，則可采用雙星型結(jié)構(gòu)。對于不同業(yè)務(wù)系統(tǒng)之間的互訪要求，通過Extranet實現(xiàn)，使用route target嚴(yán)格控制不同VPN之間的互訪。 匯聚層設(shè)備： 可選用NE40/NE16E/08E/05/S8016。 電子政務(wù)隨著政府上網(wǎng)工程的日益深入，很多政府機關(guān)都實現(xiàn)了辦公網(wǎng)絡(luò)化。網(wǎng)絡(luò)促進(jìn)了政府辦公自動化，簡化了辦公流程，提高了辦公效率，但是同時，所有機關(guān)及部門使用同一物理網(wǎng)絡(luò)，也帶來了安全隱患及網(wǎng)絡(luò)管理的難度。MPLS VPN技術(shù)可以很好的解決該問題，通過將各機關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò)，實現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò)，但是在邏輯上卻是相互隔離，從而即提高政府辦公的自動化程度及效率，又可以保障各部門系統(tǒng)內(nèi)數(shù)據(jù)不會其他人訪問，滿足了政府辦公的安全需求。政務(wù)