【51CTO.com 綜合報道】隨著企業(yè)業(yè)務(wù)和規(guī)模的高速發(fā)展，越來越多的企業(yè)需要一種虛擬技術(shù)在同一張物理網(wǎng)絡(luò)上為每一個部門構(gòu)建自己虛擬專網(wǎng)，簡化網(wǎng)絡(luò)模型和業(yè)務(wù)復(fù)雜度，從而簡化網(wǎng)絡(luò)的維護復(fù)雜度。MPLS VPN技術(shù)以其動態(tài)的隧道建立機制、高效的標(biāo)簽轉(zhuǎn)發(fā)方式以及豐富靈活的業(yè)務(wù)規(guī)劃和接入能力以及良好的可擴展性脫穎而出，作為最適用的網(wǎng)絡(luò)虛擬化技術(shù)而得到大量廣泛的應(yīng)用。當(dāng)前，隨著部分超大型企業(yè)業(yè)務(wù)的進一步演進，MPLS VPN的部署模式有了新的變化。

MPLS VPN概述

1.1 MPLS VPN 網(wǎng)絡(luò)架構(gòu)概述 

圖1 MPLS VPN架構(gòu)模型示意圖

MPLS VPN采用了分層架構(gòu)模型設(shè)計。MPLS VPN骨干網(wǎng)絡(luò)劃分為骨干轉(zhuǎn)發(fā)層和業(yè)務(wù)接入層兩個層次。簡單來說，MPLS VPN模型由三類設(shè)備組成，即P、PE和CE，如圖1所示。 

◆P（Provider）路由器：MPLS VPN網(wǎng)絡(luò)中的骨干路由器。不感知MPLS VPN上承載的具體的用戶業(yè)務(wù)，僅負(fù)責(zé)高速轉(zhuǎn)發(fā)。 

◆PE（Provider Edge）路由器：MPLS VPN網(wǎng)絡(luò)中的邊緣業(yè)務(wù)路由器，與用戶的CE直接相連。在MPLS網(wǎng)絡(luò)中，涉及VPN的所有業(yè)務(wù)策略都在PE設(shè)備部署。 

◆CE（Customer Edge）設(shè)備：用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與MPLS VPN骨干網(wǎng)絡(luò)相連。CE不需要支持MPLS。 

◆PE和CE之間可以是L2或L3鏈路。 

◆根據(jù)網(wǎng)絡(luò)具體情況，P和PE兩種設(shè)備角色可能由同一個物理設(shè)備實現(xiàn)。

由P設(shè)備組成的骨干轉(zhuǎn)發(fā)層不感知接入用戶的具體業(yè)務(wù)，僅負(fù)責(zé)各PE之間基于隧道（LSP或CR-LSP或GRE）的高速轉(zhuǎn)發(fā)；由PE設(shè)備組成的業(yè)務(wù)接入層負(fù)責(zé)接入用戶的業(yè)務(wù)。各類用戶接入策略均在業(yè)務(wù)接入層來實現(xiàn)，如VPN的劃分和用戶的接入策略、路由通告策略等。

1.2 MPLS VPN 網(wǎng)絡(luò)的兩種業(yè)務(wù)承載模式

從MPLS VPN骨干網(wǎng)絡(luò)和其接入業(yè)務(wù)的私網(wǎng)路由分發(fā)方式的角度來看，MPLS VPN有兩種業(yè)務(wù)承載模式，即管道模式和路由模式。對接入業(yè)務(wù)的用戶來講，這兩種模式的區(qū)別除了體現(xiàn)在各業(yè)務(wù)私網(wǎng)路由協(xié)議的規(guī)劃和路由的分發(fā)方式上，也體現(xiàn)在其管理模式上。

1.2.1 路由模式 

圖2 路由模式架構(gòu)圖 

◆骨干網(wǎng)PE路由器需要參與用戶業(yè)務(wù)路由在網(wǎng)絡(luò)中的發(fā)布。骨干網(wǎng)絡(luò)PE設(shè)備之間通過MP-BGP來通告用戶業(yè)務(wù)路由。 

◆用戶CE路由器和骨干網(wǎng)PE路由器之間要制定一定的規(guī)范，確定用戶業(yè)務(wù)路由發(fā)布到骨干網(wǎng)上的方式。一般來說PE和CE間可以通過IGP、BGP或者靜態(tài)路由進行業(yè)務(wù)路由的交換。 

◆骨干網(wǎng)絡(luò)維護團隊的管理界面延伸到CE路由器側(cè)。骨干部門需要統(tǒng)一制定CE和PE之間的路由通告方式，各業(yè)務(wù)部門的VPN部署和維護，以及各部門VPN之間的訪問策略等。在一些企業(yè)為了方便管理還會進一步對各部門IP地址進行統(tǒng)一的規(guī)劃分配。各業(yè)務(wù)部門管理自己的CE設(shè)備和局域網(wǎng)絡(luò)。對一些IT維護實力較弱的部門，骨干網(wǎng)絡(luò)維護團隊也可能對部門CE路由器和局域網(wǎng)進行統(tǒng)一管理。 

◆這種模式依托MPLS L3VPN技術(shù)實現(xiàn)

1.2.2 管道模式 

圖3 管道模式架構(gòu)圖 

◆MPLS VPN骨干網(wǎng)絡(luò)不關(guān)心也不參與用戶在其上承載的具體業(yè)務(wù)。僅給用戶提供透明的二層通道，不參與用戶業(yè)務(wù)路由在網(wǎng)絡(luò)中的發(fā)布。 

◆各部門可以自行規(guī)劃、設(shè)計、部署、維護其虛擬專網(wǎng)內(nèi)部的所有業(yè)務(wù)。包括，路由架構(gòu)、VPN規(guī)劃、安全訪問策略等。 

◆骨干網(wǎng)絡(luò)維護團隊的管理只需要管理到骨干PE路由器。骨干網(wǎng)絡(luò)PE設(shè)備僅提供一條邏輯或物理的二層鏈路與給各部門CE設(shè)備相連，無需路由的交互。各部門自行規(guī)劃IP地址，路由協(xié)議架構(gòu)、QoS優(yōu)先級劃分等。 

◆這種模式要求各業(yè)務(wù)部門有較強的IT維護能力。 

◆這種模式依托MPLS L2VPN技術(shù)實現(xiàn) #p#

1 MPLS VPN應(yīng)用模式分析

1.1 傳統(tǒng)MPLS VPN應(yīng)用模式

當(dāng)前，大多數(shù)的行業(yè)專網(wǎng)的MPLS VPN網(wǎng)絡(luò)設(shè)計采用“路由模式”來組建MPLS VPN骨干網(wǎng)絡(luò)，通過在廣域骨干PE設(shè)備上給各業(yè)務(wù)部門部署VPN的方式實現(xiàn)各業(yè)務(wù)部門獨立承載的需求。企業(yè)在進行MPLS VPN規(guī)劃時，一般是以企業(yè)的組織架構(gòu)或者具體業(yè)務(wù)來進行VPN的劃分，即為企業(yè)內(nèi)的部門或者業(yè)務(wù)建立各自的虛擬專網(wǎng)。

在進行網(wǎng)絡(luò)建設(shè)和規(guī)劃時，還需要根據(jù)企業(yè)具體情況，考慮企業(yè)園區(qū)網(wǎng)、廣域骨干網(wǎng)絡(luò)以及分支機構(gòu)局域網(wǎng)中的MPLS VPN網(wǎng)絡(luò)如何對接從而實現(xiàn)端到端的虛擬化；考慮各地分支機構(gòu)或基層單位的接入方式；考慮企業(yè)internet出口的部署方式；考慮企業(yè)總部、各地分支機構(gòu)以及移動辦公人員的統(tǒng)一安全策略控制方式等諸多方案細(xì)節(jié)。在這種組網(wǎng)思路中，可能會用到實現(xiàn)Internet VPN和MPLS VPN骨干進行無縫對接的VPE技術(shù)，或者實現(xiàn)基層單位靈活接入的VRF Selection技術(shù)，以及消除VPN間互訪安全隱患的單向訪問控制技術(shù)方案，實現(xiàn)各部門業(yè)務(wù)流量的智能流量調(diào)度方案等諸多非常有特色的具體技術(shù)方案。這種MPLS VPN的建網(wǎng)模式在電子政務(wù)、公安、電力等很多行業(yè)專網(wǎng)中已得到大量的部署的應(yīng)用。

1.2 MPLS VPN應(yīng)用模式的新變化：

1.2.1 應(yīng)用模式新變化的驅(qū)動力

隨著企業(yè)規(guī)模的擴張，各業(yè)務(wù)部門按照部門內(nèi)部業(yè)務(wù)職能有了進一步的細(xì)分。企業(yè)組織架構(gòu)進一步演變，一部分子業(yè)務(wù)部門隨之而產(chǎn)生。因此，各業(yè)務(wù)部門內(nèi)部產(chǎn)生了進一步業(yè)務(wù)隔離的需求。在這種業(yè)務(wù)演變的初期，企業(yè)一般通過給各業(yè)務(wù)部門劃分多個VPN的方式來應(yīng)對這種新增的業(yè)務(wù)承載需求。但隨著企業(yè)信息化程度的深入，業(yè)務(wù)部門對網(wǎng)絡(luò)服務(wù)要求的精細(xì)化程度不斷的快速增長。大量新增的MPLS VPN和對應(yīng)的網(wǎng)絡(luò)策略不斷的在設(shè)備上部署，導(dǎo)致網(wǎng)絡(luò)設(shè)備配置的復(fù)雜程度成倍增加，網(wǎng)絡(luò)的擴展性急劇下降。同時為了避免配置出錯，網(wǎng)絡(luò)維護人員越來越謹(jǐn)慎的評估新的業(yè)務(wù)需求對網(wǎng)絡(luò)的影響，使得其對業(yè)務(wù)部門需求的響應(yīng)周期變得越來越長。

可見，傳統(tǒng)的網(wǎng)絡(luò)建設(shè)模式已經(jīng)不再適合企業(yè)業(yè)務(wù)高速發(fā)展的需求，企業(yè)需要一種新的建網(wǎng)模式，進一步簡化網(wǎng)絡(luò)邏輯模型，簡化網(wǎng)絡(luò)配置，提升網(wǎng)絡(luò)的擴展性，以適應(yīng)當(dāng)前企業(yè)業(yè)務(wù)發(fā)展的需求。與此同時，為了適應(yīng)各業(yè)務(wù)部門工作的快速開展，各部門越來越希望對自己的虛擬專網(wǎng)擁有自行規(guī)劃和維護的權(quán)力及便利。這兩方面的需求共同促使部分大型企業(yè)的廣域網(wǎng)絡(luò)模型出現(xiàn)了新的變化。

1.2.2 MPLS VPN應(yīng)用新模型

企業(yè)網(wǎng)絡(luò)運維部門和業(yè)務(wù)部門都希望將部門自有縱向業(yè)務(wù)的網(wǎng)絡(luò)規(guī)劃、建設(shè)和維護交給各部門進行自行實施建設(shè)，而網(wǎng)絡(luò)運維部門則負(fù)責(zé)跨部門的企業(yè)橫向公共業(yè)務(wù)（如，視頻會議，IP語音，公共資源訪問等）的承載和維護，這樣勢必要求在一張物理網(wǎng)絡(luò)中融合提供“路由”和“管道”兩種業(yè)務(wù)承載模式。

企業(yè)廣域骨干網(wǎng)絡(luò)利用MPLS L2VPN給每個業(yè)務(wù)部門提供L2通道，連接各部門自有CE設(shè)備，構(gòu)建出各部門的虛擬專網(wǎng)承載部門縱向私有業(yè)務(wù)。與此同時，利用MPLS L3VPN接入企業(yè)橫向公共業(yè)務(wù)。這兩種接入方式均在骨干PE設(shè)備上同時提供，通過物理接口或邏輯子接口進行區(qū)分。具體模型如圖4所示。

圖4 MPLS VPN應(yīng)用新模型示意圖

1.2.3 新模型下的網(wǎng)絡(luò)管理界面

企業(yè)各部門私有業(yè)務(wù)和企業(yè)公共業(yè)務(wù)的承載模式不同，因此其管理界面也有所差異。管理模式與圖5所示。 

◆部門縱向私有業(yè)務(wù)承載

運維部門的管理界面延伸到CE路由器側(cè)。骨干部門需要統(tǒng)一制定CE和PE之間的路由通告方式、各業(yè)務(wù)部門的VPN部署和維護、以及各部門VPN之間的訪問策略等。在一些企業(yè)為了方便管理還會進一步對各部門IP地址進行統(tǒng)一的規(guī)劃分配。各業(yè)務(wù)部門管理自己的CE設(shè)備和局域網(wǎng)絡(luò)。對一些IT維護實力較弱的部門，運維部門也可能對部門CE路由器和局域網(wǎng)進行統(tǒng)一管理。 

◆企業(yè)公共業(yè)務(wù)承載 

◆運維部門只需要管理到骨干PE路由器，骨干網(wǎng)絡(luò)PE設(shè)備僅提供一條邏輯或物理的二層鏈路與給各部門CE設(shè)備相連，無需路由的交互。各部門自行規(guī)劃IP地址，路由協(xié)議架構(gòu)、QoS優(yōu)先級劃分等。 

圖5 管理模式示意圖  #p#

1.2.4 MPLS L2VPN部署模式

總的來說， MPLS L2VPN主要有以下兩個應(yīng)用場景： 

◆多個數(shù)據(jù)中心間利用MPLS L2VPN在廣域網(wǎng)上實現(xiàn)二層LAN的延伸； 

◆企業(yè)利用MPLS VPN骨干網(wǎng)絡(luò)是給各部門提供二層虛擬通道，實現(xiàn)各業(yè)務(wù)部門縱向業(yè)務(wù)的承載。

這兩種應(yīng)用場景中，MPLS L2VPN的虛擬通道上承載的分別是二層和三層業(yè)務(wù)，因此在業(yè)務(wù)轉(zhuǎn)發(fā)路徑規(guī)劃方案和二層環(huán)路保護機制上都有很大的差異。本文重點關(guān)注第二種應(yīng)用場景。

針對第二種應(yīng)用場景，MPLS L2VPN有兩種主流的建網(wǎng)模型，即點對點模型和點對多點（多點對多點）。那么企業(yè)應(yīng)該如何根據(jù)自己的實際情況進行組網(wǎng)呢？

因此，了解兩種組網(wǎng)模式之間的關(guān)鍵差異點在哪里則非常重要?？偟膩碚f，兩種模式在設(shè)備支持程度和組網(wǎng)配置上并無明顯差異，真正的差異在于各部門依托這兩種模式在MPLS VPN骨干網(wǎng)建設(shè)的部門虛擬專網(wǎng)的網(wǎng)絡(luò)模型和業(yè)務(wù)流量模型上。

1. 部門虛擬專網(wǎng)模型

如圖6所示，在點到點模式下，MPLS VPN骨干網(wǎng)絡(luò)為各部門提供的僅是L2虛擬廣域鏈路。因此，各部門可以依托骨干網(wǎng)提供的L2虛擬廣域鏈路搭建自己的星型或者其他拓?fù)浣Y(jié)構(gòu)的虛擬專網(wǎng)。這種模式與租用運營商的廣域鏈路搭建專網(wǎng)非常相似。

圖6 點對點模式下的部門虛擬專網(wǎng)

如圖7所示，在點到多點的模式下，MPLS VPN骨干網(wǎng)絡(luò)為各部門提供的是L2虛擬交換網(wǎng)絡(luò)。部門各CE路由器類似于通過一臺虛擬的交換機進行互聯(lián)。 

圖7 點對多點模式下的部門虛擬專網(wǎng)

2. 部門業(yè)務(wù)流量模型

如圖8所示，在點到點模式的組網(wǎng)方式，部門內(nèi)的業(yè)務(wù)流量均通過部門所屬的CE設(shè)備進行轉(zhuǎn)發(fā)。因此，部門可以清晰的預(yù)估出業(yè)務(wù)流量模型，并實現(xiàn)部門業(yè)務(wù)的流量分析管理和安全策略控制。當(dāng)網(wǎng)絡(luò)故障出現(xiàn)時，也方便進行故障定位。 

圖8 點對點模式下的部門業(yè)務(wù)流量

如圖9所示，在點到多點模式的組網(wǎng)方式，部門內(nèi)的業(yè)務(wù)流量通過MPLS VPN骨干網(wǎng)絡(luò)直接進行轉(zhuǎn)發(fā)。企業(yè)業(yè)務(wù)流量無需在骨干網(wǎng)絡(luò)上進行重復(fù)轉(zhuǎn)發(fā)，因此具備很高的轉(zhuǎn)發(fā)效率，也減輕了設(shè)備的性能壓力。

圖9 點對多點模式下的部門業(yè)務(wù)流量

綜上所述，兩種組網(wǎng)模式各有優(yōu)缺點，對比如表1所示。

表1 兩種組網(wǎng)模式比較

1.2.5 新模型的價值： 

◆對企業(yè)MPLS VPN骨干網(wǎng)來說： 

◆對各部門自有業(yè)務(wù)的承載僅提供二層通道，無需關(guān)心各業(yè)務(wù)部門的具體業(yè)務(wù)實現(xiàn)。簡化了廣域骨干網(wǎng)絡(luò)的邏輯模型，簡化了網(wǎng)絡(luò)維護工作。 

◆各業(yè)務(wù)部門的業(yè)務(wù)路由變化不會導(dǎo)致骨干平臺的路由通告，增強了網(wǎng)絡(luò)的穩(wěn)定性。 

◆對于骨干網(wǎng)絡(luò)來講，對業(yè)務(wù)部門的承載僅需提供二層通道。和企業(yè)的公共業(yè)務(wù)分離，邏輯清晰，便于維護。也降低了其他業(yè)務(wù)部門業(yè)務(wù)對骨干網(wǎng)絡(luò)的影響。 

◆各業(yè)務(wù)部門的縱向自有業(yè)務(wù)和橫向公共業(yè)務(wù)之間技術(shù)層面隔離。邏輯清晰，便于管理。 

◆利于由于并購等原因造成的已建的部門（分公司）私有網(wǎng)絡(luò)向企業(yè)骨干網(wǎng)絡(luò)的遷移 

◆對承載的業(yè)務(wù)部門來說： 

◆L2VPN能提供類似于物理隔離的安全性。無需和骨干網(wǎng)交互IP路由，安全性有更大的保障。 

◆骨干平臺僅提供類似傳輸鏈路的功能。各業(yè)務(wù)部門可以依托骨干網(wǎng)搭建自有的專網(wǎng)。對網(wǎng)絡(luò)有更大的自主權(quán)，可以自主規(guī)劃、維護業(yè)務(wù)：包括路由、MPLS VPN等業(yè)務(wù)。

2 結(jié)束語

MPLS VPN是一項在當(dāng)前行業(yè)網(wǎng)中應(yīng)用非常廣泛的技術(shù)。企業(yè)在規(guī)劃設(shè)計廣域網(wǎng)絡(luò)時，最為關(guān)鍵的是要在充分考慮企業(yè)自身業(yè)務(wù)實際情況的前提下，結(jié)合良好的網(wǎng)絡(luò)設(shè)計，采用成熟穩(wěn)定的產(chǎn)品，從而構(gòu)建出高效、穩(wěn)定、易擴展的高品質(zhì)廣域骨干網(wǎng)絡(luò)。