隨著VPN技術(shù)在企業(yè)網(wǎng)中應(yīng)用的日益廣泛，各種VPN技術(shù)也隨之成為人們關(guān)注的焦點(diǎn)。目前應(yīng)用比較廣泛的VPN技術(shù)包括MPLS VPN和L2TP、GRE、IPSec等IP VPN，其中MPLS VPN主要應(yīng)用在網(wǎng)絡(luò)的核心層和匯聚層，實(shí)現(xiàn)相關(guān)網(wǎng)絡(luò)資源的邏輯劃分和資源隔離，而IP VPN主要應(yīng)用在網(wǎng)絡(luò)的邊緣將遠(yuǎn)程分支機(jī)構(gòu)或移動(dòng)辦公用戶安全的接入企業(yè)網(wǎng)內(nèi)部。雖然目前兩種VPN技術(shù)都已經(jīng)應(yīng)用得比較普遍，但是兩種VPN技術(shù)仍然是各自為政。通過(guò)城域電信級(jí)以太網(wǎng)解決方案中可以順利的實(shí)現(xiàn)兩種VPN技術(shù)無(wú)縫銜接，融合二者的優(yōu)勢(shì)，在網(wǎng)絡(luò)邊緣就可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的邏輯劃分與安全隔離，將企業(yè)網(wǎng)中最邊緣的接入網(wǎng)絡(luò)與核心網(wǎng)融合為一個(gè)全程全網(wǎng)的VPN網(wǎng)絡(luò)（注：這里以及下文所出現(xiàn)的城域電信級(jí)以太網(wǎng)解決方案均以H3C CE方案為例說(shuō)明）。

一、 VPN技術(shù)的融合

針對(duì)分支機(jī)構(gòu)及出差員工需遠(yuǎn)程接入企業(yè)內(nèi)網(wǎng)的需求，中國(guó)電信推出了"e通VPN"品牌業(yè)務(wù)，提供多種類型的VPN組網(wǎng)解決方案，幫助企業(yè)以較低的成本、較少的人力投入安全地遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部資源。中國(guó)電信"e通VPN"業(yè)務(wù)，授權(quán)的合法客戶無(wú)論在何時(shí)何地，只需安裝客戶端軟件，接入到互聯(lián)網(wǎng)（如ChinaNet），即可享受安全、快捷的服務(wù)，安全地訪問(wèn)內(nèi)部辦公系統(tǒng)，方便的進(jìn)行移動(dòng)辦公、信息共享和安全互聯(lián)。

1. 融合的優(yōu)點(diǎn)

E通VPN和MPLS融合技術(shù)可以實(shí)現(xiàn)企業(yè)融合的VPN網(wǎng)絡(luò)。全網(wǎng)VPN結(jié)構(gòu)可以分為兩個(gè)層面。其中MPLS VPN用于實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)資源邏輯劃分和安全隔離，通常用于網(wǎng)絡(luò)結(jié)構(gòu)的核心層與匯聚層，為VPN結(jié)構(gòu)的第一層面；另外，IP VPN技術(shù)使遠(yuǎn)程分支、合作伙伴和移動(dòng)辦公用戶安全高效地接入到企業(yè)網(wǎng)，通常應(yīng)用于網(wǎng)絡(luò)結(jié)構(gòu)的邊緣，為VPN結(jié)構(gòu)的第二個(gè)層面。通過(guò)連接兩個(gè)VPN結(jié)構(gòu)層面，一方面實(shí)現(xiàn)作為VPN網(wǎng)關(guān)接入大量遠(yuǎn)程分支以及合作伙伴和移動(dòng)辦公用戶；另一方面作為核心網(wǎng)的PE節(jié)點(diǎn)，可以為企業(yè)提供一個(gè)可擴(kuò)展、高安全、低成本、靈活的VPN融合解決方案。

可擴(kuò)展

一方面可以利用MPLS VPN固有的可擴(kuò)展性，另一方面可以隨時(shí)增加VPE設(shè)備，滿足企業(yè)分支機(jī)構(gòu)、合作伙伴、移動(dòng)用戶數(shù)量增加的要求。

高安全

企業(yè)核心網(wǎng)絡(luò)的安全可以通過(guò)MPLS 面向連接的特性來(lái)提供，另外對(duì)于遠(yuǎn)程分支機(jī)構(gòu)、合作伙伴、以及遠(yuǎn)程移動(dòng)用戶可以通過(guò)隧道技術(shù)以及IPSec加密技術(shù)保證用戶數(shù)據(jù)的機(jī)密性和完整性。

低成本

通過(guò)Internet的傳輸資源可以大大降低遠(yuǎn)程分支機(jī)構(gòu)、合作伙伴以及遠(yuǎn)程移動(dòng)用戶的接入成本。這也是VPE解決方案的最大特色。

靈活性

無(wú)論用戶在何時(shí)何地，都可以通過(guò)Internet接入到企業(yè)核心的MPLS VPN網(wǎng)絡(luò)中，真正實(shí)現(xiàn)隨時(shí)隨地接入。

2. 融合的關(guān)鍵技術(shù)

E通VPN和MPLS融合涉及到的關(guān)鍵技術(shù)包括：IP VPN隧道與MPLS VPN 之間的映射、ACL與MPLS VPN映射、HOPE（MPLS VPN中的PE分層體系結(jié)構(gòu)）、MPLS Over IP VPN等。

方案中CE可以通過(guò)L2TP、GRE、IPSEC等多種隧道接入。對(duì)于IPSEC接入，可以將VRF直接與隧道接口相關(guān)聯(lián)，完成隧道與MPLS VPN的映射；對(duì)于L2TP用戶，可以根據(jù)域名將不同的遠(yuǎn)程用戶分配到不同的虛擬接口，不同虛擬接口已經(jīng)映射到不同的MPLS VPN。這樣就可以根據(jù)遠(yuǎn)程移動(dòng)用戶的域名將其分配到不同的MPLS VPN，訪問(wèn)不同的網(wǎng)絡(luò)資源。

此外對(duì)于分層HOPE技術(shù)用于實(shí)現(xiàn)MPLS VPN的分層架構(gòu)。HOPE架構(gòu)針對(duì)兩種的融合仍然適用，VPE也可以分解為多個(gè)層次。MPLS Over IP VPN技術(shù)用于解決MPLS VPN對(duì)公網(wǎng)的穿越，這樣就可以將MPLS隧道延伸到IP VPN接入設(shè)備，使邊緣網(wǎng)絡(luò)節(jié)點(diǎn)可以承載多個(gè)VPN業(yè)務(wù)。

同時(shí)，考慮到邊緣網(wǎng)絡(luò)通常處于多廠商多協(xié)議的應(yīng)用環(huán)境，ACL與MPLS VPN映射技術(shù)可以使VPE通過(guò)ACL（訪問(wèn)控制列表）來(lái)匹配不同VPN數(shù)據(jù)流，實(shí)現(xiàn)多廠商多協(xié)議的融合。

3. 融合的實(shí)現(xiàn)方式

圖1. 傳統(tǒng)VPN融合

如圖1所示，不影響企業(yè)網(wǎng)原有的核心層及匯聚層網(wǎng)絡(luò)，IP VPN與MPLS VPN的映射和銜接在PE設(shè)備上完成。對(duì)于IPSEC和GRE方式的接入可以直接將VRF與相應(yīng)的隧道接口綁定，完成隧道與MPLS VPN的映射；對(duì)于L2TP方式的接入可以根據(jù)用戶名或域名將不同的遠(yuǎn)程終端分配到不同的虛擬接口，再通過(guò)虛擬接口完成與MPLS VPN的映射。

二、 ATM、SDH、MSTP技術(shù)的融合

上世紀(jì)90年代早中期出現(xiàn)的FR、ATM在局域和廣域范圍內(nèi)提供從64kbps到155M等速率傳輸服務(wù)，具有大吞吐量、高可靠性和QoS保障。這些技術(shù)經(jīng)過(guò)多年的發(fā)展，標(biāo)準(zhǔn)已非常完善，相關(guān)設(shè)備在各運(yùn)營(yíng)商也有非常廣泛的應(yīng)用，各廠家設(shè)備互連互通都已經(jīng)非常成熟，利用ATM的QoS能夠很好地滿足用戶安全、穩(wěn)定、帶寬獨(dú)享的需求，同時(shí)可以通過(guò)ATM的統(tǒng)計(jì)復(fù)用功能，有效節(jié)約中繼資源。隨著一些實(shí)時(shí)性強(qiáng)的業(yè)務(wù)，如遠(yuǎn)程醫(yī)療、遠(yuǎn)程教學(xué)、遠(yuǎn)程辦公、WebTV、遠(yuǎn)程監(jiān)控等信息化應(yīng)用的普及，以及終端數(shù)量的增加和對(duì)高速率的要求提高，對(duì)于帶寬提出了更高（100M以上）的要求，而ATM、SDH和MSTP等傳統(tǒng)傳輸技術(shù)效率低下，不能有效滿足分組業(yè)務(wù)的突發(fā)特性，不區(qū)分業(yè)務(wù)的優(yōu)先級(jí)，已經(jīng)力不從心，無(wú)法實(shí)現(xiàn)帶寬復(fù)用，同時(shí)這些ATM設(shè)備不再生產(chǎn)，許多已過(guò)保，備件消耗殆盡，滿足不了新的業(yè)務(wù)需求。

隨時(shí)ETH技術(shù)的發(fā)展和普及，相關(guān)IP標(biāo)準(zhǔn)也越來(lái)越完善，基于電信級(jí)CE技術(shù)不僅可以滿足新業(yè)務(wù)帶寬、高可靠等要求，同時(shí)也可以實(shí)現(xiàn)和傳統(tǒng)ATM、SDH、MSTP等組網(wǎng)進(jìn)行融合，確保原有連接在SDH網(wǎng)上大量高價(jià)值客戶的順利對(duì)接，例如原來(lái)連接在傳統(tǒng)專線網(wǎng)上的銀行、政府、學(xué)校、商業(yè)企業(yè)等企業(yè)行業(yè)客戶，實(shí)現(xiàn)這些高價(jià)值客戶向高速高帶寬的平滑演進(jìn)和遷移。#p#

融合的實(shí)現(xiàn)方式：

圖2. 傳統(tǒng)專線融合

通過(guò)CE MPLS VPN提供基于MPLS網(wǎng)絡(luò)的二層VPN服務(wù)，使運(yùn)營(yíng)商可以在統(tǒng)一的MPLS網(wǎng)絡(luò)上提供不同介質(zhì)的二層VPN，包括ATM、FR、VLAN、Ethernet、DDR、SDH等。同時(shí)，MPLS網(wǎng)絡(luò)仍可以提供傳統(tǒng)IP、MPLS L3VPN、流量工程和QoS等服務(wù)。MPLS L2VPN就是在MPLS網(wǎng)絡(luò)上透明傳輸用戶二層數(shù)據(jù)。從用戶的角度來(lái)看，MPLS網(wǎng)絡(luò)是一個(gè)二層交換網(wǎng)絡(luò)，可以在不同節(jié)點(diǎn)間建立二層連接。

MPLS L2VPN具有以下優(yōu)點(diǎn)：

支持多種網(wǎng)絡(luò)層協(xié)議：包括IP、IPX、SNA等；

兼容性好：可以兼容ATM、CPOS、E1、FR、SDH各種不同的二層網(wǎng)絡(luò)技術(shù)；

可擴(kuò)展性強(qiáng)：MPLS L2VPN只建立二層連接關(guān)系，不引入和管理用戶的路由信息。這大大減輕了PE和整個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)的負(fù)擔(dān)，使運(yùn)營(yíng)商能支持更多的VPN和接入更多的用戶；

可靠性和私網(wǎng)路由的安全性得到保證：由于不引入用戶的路由信息，MPLS L2VPN不能獲得和處理用戶路由，保證了用戶VPN路由的安全；

如果沒(méi)有MPLS，IP經(jīng)由ATM的傳輸就需要一個(gè)復(fù)雜的協(xié)議翻譯過(guò)程，要把IP地址路由對(duì)應(yīng)于ATM地址和路由，放入到ATM交換表中。在這種情況下，ATM網(wǎng)絡(luò)需要PNNI路由協(xié)議、ATM地址解析協(xié)議(ATMARP)將IP網(wǎng)段映射到ATM網(wǎng)段中，然后通過(guò)NHRP實(shí)現(xiàn)網(wǎng)間路由。相反，通過(guò)MPLS可以省略了把IP地址和路由映射到ATM交換表上的復(fù)雜性，MPLS標(biāo)記交換與ATM交換機(jī)交換信元機(jī)制相同。

MPLS成為ATM網(wǎng)絡(luò)的一項(xiàng)承載/翻譯技術(shù)，網(wǎng)絡(luò)運(yùn)營(yíng)商仍舊可以提供現(xiàn)存的FR，語(yǔ)音和多業(yè)務(wù)的ATM傳輸業(yè)務(wù)。通過(guò)電信級(jí)CE組網(wǎng)方案的IP+ATM平臺(tái)，多種網(wǎng)絡(luò)業(yè)務(wù)如IP、FR和ATM可以利用虛擬交換端口(VSI)技術(shù)通過(guò)一個(gè)單一網(wǎng)絡(luò)支持。VSI是用于將二層交換與三層控制分開(kāi)進(jìn)行?？旎O(shè)計(jì)，提高網(wǎng)絡(luò)的靈活性以及可擴(kuò)展性。虛擬交換端口(VSI)這種機(jī)制可以明確控制分配給每種服務(wù)的網(wǎng)絡(luò)資源，因此每一個(gè)虛擬網(wǎng)絡(luò)彼此獨(dú)立。VSI可同時(shí)支持MPLS和PNNI以及其他控制平臺(tái)，因?yàn)樗试S在同一個(gè)IP+ATM交換機(jī)上同時(shí)運(yùn)行不同的協(xié)議棧。

三、 融合部署案例：上海電信

上海電信建立了一個(gè)完全覆蓋整個(gè)上海市區(qū)承載政企精品專線業(yè)務(wù)的網(wǎng)絡(luò)，主要提供FR, ATM, E-LAN等專線業(yè)務(wù)，其用戶以金融、政府、大企業(yè)等高價(jià)值用戶為主，目前有2萬(wàn)多用戶。上海電信較早就認(rèn)識(shí)到了高速以太專線業(yè)務(wù)的迅猛需求，在短短3~4年的時(shí)間內(nèi)，以太網(wǎng)專線已經(jīng)占據(jù)了它的企業(yè)互聯(lián)專線數(shù)目和收入的重要部分，目前每月仍以數(shù)百條的數(shù)目在遞增部署，并實(shí)現(xiàn)將原來(lái)FR,ATM等傳統(tǒng)專線融合到CE以太專線。上海電信CE專線網(wǎng)主要部署透明鏈路型VPN業(yè)務(wù)，電信負(fù)責(zé)提供透明的傳輸通道，客戶的IP路由在運(yùn)營(yíng)商PE不可見(jiàn)，由客戶自己管理自身路由，分工界面進(jìn)一步明晰。更好地滿足政企客戶對(duì)電信級(jí)IP業(yè)務(wù)需求，特別是業(yè)務(wù)的端到端50ms保護(hù)、業(yè)務(wù)精細(xì)化管理和QoS服務(wù)。通過(guò)CE的跨域技術(shù)，實(shí)現(xiàn)政企專線的跨廣域和同城橫向互聯(lián)，同時(shí)實(shí)現(xiàn)CE網(wǎng)與ATM/FR/IP城域網(wǎng)（第一平面）業(yè)務(wù)互通（如圖3所示）。

圖3. 上海電信融合案例

四、 結(jié)束語(yǔ)

隨著企業(yè)業(yè)務(wù)的快速發(fā)展，需在各地建立分支機(jī)構(gòu)，通過(guò)CE城域VPN融合業(yè)務(wù)平臺(tái)，兼容傳統(tǒng)的ATM、SDH、MSTP等專線，實(shí)現(xiàn)廣域的虛擬專用網(wǎng)絡(luò)，確保各種VPN技術(shù)的融合，不僅保證數(shù)據(jù)的安全互聯(lián)，應(yīng)對(duì)分支機(jī)構(gòu)變化，還有效降低了維護(hù)費(fèi)用。