隨著企業(yè)業(yè)務和規(guī)模的高速發(fā)展，越來越多的企業(yè)需要一種虛擬技術(shù)在同一張物理網(wǎng)絡上為每一個部門構(gòu)建自己虛擬專網(wǎng)，簡化網(wǎng)絡模型和業(yè)務復雜度，從而簡化網(wǎng)絡的維護復雜度。MPLS VPN技術(shù)以其動態(tài)的隧道建立機制、高效的標簽轉(zhuǎn)發(fā)方式以及豐富靈活的業(yè)務規(guī)劃和接入能力以及良好的可擴展性脫穎而出，作為最適用的網(wǎng)絡虛擬化技術(shù)而得到大量廣泛的應用。當前，隨著部分超大型企業(yè)業(yè)務的進一步演進，MPLS VPN的部署模式有了新的變化。

MPLS VPN概述

1.1MPLS VPN 網(wǎng)絡架構(gòu)概述

廣域?qū)＞W(wǎng)的MPLS VPN應用 " src="http://files.chinaaet.com/images/2011/02/14/3671576979273.jpg" style="border-right: black 0px solid; border-top: black 0px solid; border-left: black 0px solid; width: 550px; border-bottom: black 0px solid; height: 248px" />

    MPLS VPN采用了分層架構(gòu)模型設計。MPLS VPN骨干網(wǎng)絡劃分為骨干轉(zhuǎn)發(fā)層和業(yè)務接入層兩個層次。簡單來說，MPLS VPN模型由三類設備組成，即P、PE和CE，如圖1所示。
? 
    P（Provider）路由器：MPLS VPN網(wǎng)絡中的骨干路由器。不感知MPLS VPN上承載的具體的用戶業(yè)務，僅負責高速轉(zhuǎn)發(fā)。
? 
    PE（Provider Edge）路由器：MPLS VPN網(wǎng)絡中的邊緣業(yè)務路由器，與用戶的CE直接相連。在MPLS網(wǎng)絡中，涉及VPN的所有業(yè)務策略都在PE設備部署。
? 
    CE（Customer Edge）設備：用戶網(wǎng)絡邊緣設備，有接口直接與MPLS VPN骨干網(wǎng)絡相連。CE不需要支持MPLS。
?  PE和CE之間可以是L2或L3鏈路。
? 
    根據(jù)網(wǎng)絡具體情況，P和PE兩種設備角色可能由同一個物理設備實現(xiàn)。
    由P設備組成的骨干轉(zhuǎn)發(fā)層不感知接入用戶的具體業(yè)務，僅負責各PE之間基于隧道（LSP或CR-LSP或GRE）的高速轉(zhuǎn)發(fā)；由PE設備組成的業(yè)務接入層負責接入用戶的業(yè)務。各類用戶接入策略均在業(yè)務接入層來實現(xiàn)，如VPN的劃分和用戶的接入策略、路由通告策略等。

1.2MPLS VPN 網(wǎng)絡的兩種業(yè)務承載模式
    從MPLS VPN骨干網(wǎng)絡和其接入業(yè)務的私網(wǎng)路由分發(fā)方式的角度來看，MPLS VPN有兩種業(yè)務承載模式，即管道模式和路由模式。對接入業(yè)務的用戶來講，這兩種模式的區(qū)別除了體現(xiàn)在各業(yè)務私網(wǎng)路由協(xié)議的規(guī)劃和路由的分發(fā)方式上，也體現(xiàn)在其管理模式上。

1.2.1 路由模式

    骨干網(wǎng)PE路由器需要參與用戶業(yè)務路由在網(wǎng)絡中的發(fā)布。骨干網(wǎng)絡PE設備之間通過MP-BGP來通告用戶業(yè)務路由。
?  用戶CE路由器和骨干網(wǎng)PE路由器之間要制定一定的規(guī)范，確定用戶業(yè)務路由發(fā)布到骨干網(wǎng)上的方式。一般來說PE和CE間可以通過IGP、BGP或者靜態(tài)路由進行業(yè)務路由的交換。
?  骨干網(wǎng)絡維護團隊的管理界面延伸到CE路由器側(cè)。骨干部門需要統(tǒng)一制定CE和PE之間的路由通告方式，各業(yè)務部門的VPN部署和維護，以及各部門VPN之間的訪問策略等。在一些企業(yè)為了方便管理還會進一步對各部門IP地址進行統(tǒng)一的規(guī)劃分配。各業(yè)務部門管理自己的CE設備和局域網(wǎng)絡。對一些IT維護實力較弱的部門，骨干網(wǎng)絡維護團隊也可能對部門CE路由器和局域網(wǎng)進行統(tǒng)一管理。
?  這種模式依托MPLS L3VPN技術(shù)實現(xiàn)

1.2.2 管道模式

    MPLS VPN骨干網(wǎng)絡不關心也不參與用戶在其上承載的具體業(yè)務。僅給用戶提供透明的二層通道，不參與用戶業(yè)務路由在網(wǎng)絡中的發(fā)布。
    各部門可以自行規(guī)劃、設計、部署、維護其虛擬專網(wǎng)內(nèi)部的所有業(yè)務。包括，路由架構(gòu)、VPN規(guī)劃、安全訪問策略等。
    骨干網(wǎng)絡維護團隊的管理只需要管理到骨干PE路由器。骨干網(wǎng)絡PE設備僅提供一條邏輯或物理的二層鏈路與給各部門CE設備相連，無需路由的交互。各部門自行規(guī)劃IP地址，路由協(xié)議架構(gòu)、QoS優(yōu)先級劃分等。
    這種模式要求各業(yè)務部門有較強的IT維護能力。
    這種模式依托MPLS L2VPN技術(shù)實現(xiàn)

1、MPLS VPN應用模式分析

1.1傳統(tǒng)MPLS VPN應用模式
    當前，大多數(shù)的行業(yè)專網(wǎng)的MPLS VPN網(wǎng)絡設計采用“路由模式”來組建MPLS VPN骨干網(wǎng)絡，通過在廣域骨干PE設備上給各業(yè)務部門部署VPN的方式實現(xiàn)各業(yè)務部門獨立承載的需求。企業(yè)在進行MPLS VPN規(guī)劃時，一般是以企業(yè)的組織架構(gòu)或者具體業(yè)務來進行VPN的劃分，即為企業(yè)內(nèi)的部門或者業(yè)務建立各自的虛擬專網(wǎng)。
    在進行網(wǎng)絡建設和規(guī)劃時，還需要根據(jù)企業(yè)具體情況，考慮企業(yè)園區(qū)網(wǎng)、廣域骨干網(wǎng)絡以及分支機構(gòu)局域網(wǎng)中的MPLS VPN網(wǎng)絡如何對接從而實現(xiàn)端到端的虛擬化；考慮各地分支機構(gòu)或基層單位的接入方式；考慮企業(yè)internet出口的部署方式；考慮企業(yè)總部、各地分支機構(gòu)以及移動辦公人員的統(tǒng)一安全策略控制方式等諸多方案細節(jié)。在這種組網(wǎng)思路中，可能會用到實現(xiàn)Internet VPN和MPLS VPN骨干進行無縫對接的VPE技術(shù)，或者實現(xiàn)基層單位靈活接入的VRF Selection技術(shù)，以及消除VPN間互訪安全隱患的單向訪問控制技術(shù)方案，實現(xiàn)各部門業(yè)務流量的智能流量調(diào)度方案等諸多非常有特色的具體技術(shù)方案。這種MPLS VPN的建網(wǎng)模式在電子政務、公安、電力等很多行業(yè)專網(wǎng)中已得到大量的部署的應用。

1.2MPLS VPN應用模式的新變化：

1.2.1應用模式新變化的驅(qū)動力
    隨著企業(yè)規(guī)模的擴張，各業(yè)務部門按照部門內(nèi)部業(yè)務職能有了進一步的細分。企業(yè)組織架構(gòu)進一步演變，一部分子業(yè)務部門隨之而產(chǎn)生。因此，各業(yè)務部門內(nèi)部產(chǎn)生了進一步業(yè)務隔離的需求。在這種業(yè)務演變的初期，企業(yè)一般通過給各業(yè)務部門劃分多個VPN的方式來應對這種新增的業(yè)務承載需求。但隨著企業(yè)信息化程度的深入，業(yè)務部門對網(wǎng)絡服務要求的精細化程度不斷的快速增長。大量新增的MPLS VPN和對應的網(wǎng)絡策略不斷的在設備上部署，導致網(wǎng)絡設備配置的復雜程度成倍增加，網(wǎng)絡的擴展性急劇下降。同時為了避免配置出錯，網(wǎng)絡維護人員越來越謹慎的評估新的業(yè)務需求對網(wǎng)絡的影響，使得其對業(yè)務部門需求的響應周期變得越來越長。
可見，傳統(tǒng)的網(wǎng)絡建設模式已經(jīng)不再適合企業(yè)業(yè)務高速發(fā)展的需求，企業(yè)需要一種新的建網(wǎng)模式，進一步簡化網(wǎng)絡邏輯模型，簡化網(wǎng)絡配置，提升網(wǎng)絡的擴展性，以適應當前企業(yè)業(yè)務發(fā)展的需求。與此同時，為了適應各業(yè)務部門工作的快速開展，各部門越來越希望對自己的虛擬專網(wǎng)擁有自行規(guī)劃和維護的權(quán)力及便利。這兩方面的需求共同促使部分大型企業(yè)的廣域網(wǎng)絡模型出現(xiàn)了新的變化。

1.2.2 MPLS VPN應用新模型
    企業(yè)網(wǎng)絡運維部門和業(yè)務部門都希望將部門自有縱向業(yè)務的網(wǎng)絡規(guī)劃、建設和維護交給各部門進行自行實施建設，而網(wǎng)絡運維部門則負責跨部門的企業(yè)橫向公共業(yè)務（如，視頻會議，IP語音，公共資源訪問等）的承載和維護，這樣勢必要求在一張物理網(wǎng)絡中融合提供“路由”和“管道”兩種業(yè)務承載模式。
企業(yè)廣域骨干網(wǎng)絡利用MPLS L2VPN給每個業(yè)務部門提供L2通道，連接各部門自有CE設備，構(gòu)建出各部門的虛擬專網(wǎng)承載部門縱向私有業(yè)務。與此同時，利用MPLS L3VPN接入企業(yè)橫向公共業(yè)務。這兩種接入方式均在骨干PE設備上同時提供，通過物理接口或邏輯子接口進行區(qū)分。具體模型如圖4所示。

1.2.3 新模型下的網(wǎng)絡管理界面
    企業(yè)各部門私有業(yè)務和企業(yè)公共業(yè)務的承載模式不同，因此其管理界面也有所差異。管理模式與圖5所示。
?  部門縱向私有業(yè)務承載
    運維部門的管理界面延伸到CE路由器側(cè)。骨干部門需要統(tǒng)一制定CE和PE之間的路由通告方式、各業(yè)務部門的VPN部署和維護、以及各部門VPN之間的訪問策略等。在一些企業(yè)為了方便管理還會進一步對各部門IP地址進行統(tǒng)一的規(guī)劃分配。各業(yè)務部門管理自己的CE設備和局域網(wǎng)絡。對一些IT維護實力較弱的部門，運維部門也可能對部門CE路由器和局域網(wǎng)進行統(tǒng)一管理。
?  企業(yè)公共業(yè)務承載
    運維部門只需要管理到骨干PE路由器，骨干網(wǎng)絡PE設備僅提供一條邏輯或物理的二層鏈路與給各部門CE設備相連，無需路由的交互。各部門自行規(guī)劃IP地址，路由協(xié)議架構(gòu)、QoS優(yōu)先級劃分等。

1.2.4 MPLS L2VPN部署模式

總的來說， MPLS L2VPN主要有以下兩個應用場景：
?  多個數(shù)據(jù)中心間利用MPLS L2VPN在廣域網(wǎng)上實現(xiàn)二層LAN的延伸；
?  企業(yè)利用MPLS VPN骨干網(wǎng)絡是給各部門提供二層虛擬通道，實現(xiàn)各業(yè)務部門縱向業(yè)務的承載。
    這兩種應用場景中，MPLS L2VPN的虛擬通道上承載的分別是二層和三層業(yè)務，因此在業(yè)務轉(zhuǎn)發(fā)路徑規(guī)劃方案和二層環(huán)路保護機制上都有很大的差異。本文重點關注第二種應用場景。
    針對第二種應用場景，MPLS L2VPN有兩種主流的建網(wǎng)模型，即點對點模型和點對多點（多點對多點）。那么企業(yè)應該如何根據(jù)自己的實際情況進行組網(wǎng)呢？
    因此，了解兩種組網(wǎng)模式之間的關鍵差異點在哪里則非常重要?？偟膩碚f，兩種模式在設備支持程度和組網(wǎng)配置上并無明顯差異，真正的差異在于各部門依托這兩種模式在MPLS VPN骨干網(wǎng)建設的部門虛擬專網(wǎng)的網(wǎng)絡模型和業(yè)務流量模型上。

1.部門虛擬專網(wǎng)模型
    如圖6所示，在點到點模式下，MPLS VPN骨干網(wǎng)絡為各部門提供的僅是L2虛擬廣域鏈路。因此，各部門可以依托骨干網(wǎng)提供的L2虛擬廣域鏈路搭建自己的星型或者其他拓撲結(jié)構(gòu)的虛擬專網(wǎng)。這種模式與租用運營商的廣域鏈路搭建專網(wǎng)非常相似。

    如圖7所示，在點到多點的模式下，MPLS VPN骨干網(wǎng)絡為各部門提供的是L2虛擬交換網(wǎng)絡。部門各CE路由器類似于通過一臺虛擬的交換機進行互聯(lián)。

2.部門業(yè)務流量模型
    如圖8所示，在點到點模式的組網(wǎng)方式，部門內(nèi)的業(yè)務流量均通過部門所屬的CE設備進行轉(zhuǎn)發(fā)。因此，部門可以清晰的預估出業(yè)務流量模型，并實現(xiàn)部門業(yè)務的流量分析管理和安全策略控制。當網(wǎng)絡故障出現(xiàn)時，也方便進行故障定位。

    如圖9所示，在點到多點模式的組網(wǎng)方式，部門內(nèi)的業(yè)務流量通過MPLS VPN骨干網(wǎng)絡直接進行轉(zhuǎn)發(fā)。企業(yè)業(yè)務流量無需在骨干網(wǎng)絡上進行重復轉(zhuǎn)發(fā)，因此具備很高的轉(zhuǎn)發(fā)效率，也減輕了設備的性能壓力。

綜上所述，兩種組網(wǎng)模式各有優(yōu)缺點，對比如表1所示。

1.2.5新模型的價值：
?  對企業(yè)MPLS VPN骨干網(wǎng)來說：
?  對各部門自有業(yè)務的承載僅提供二層通道，無需關心各業(yè)務部門的具體業(yè)務實現(xiàn)。簡化了廣域骨干網(wǎng)絡的邏輯模型，簡化了網(wǎng)絡維護工作。
?  各業(yè)務部門的業(yè)務路由變化不會導致骨干平臺的路由通告，增強了網(wǎng)絡的穩(wěn)定性。
?  對于骨干網(wǎng)絡來講，對業(yè)務部門的承載僅需提供二層通道。和企業(yè)的公共業(yè)務分離，邏輯清晰，便于維護。也降低了其他業(yè)務部門業(yè)務對骨干網(wǎng)絡的影響。
?  各業(yè)務部門的縱向自有業(yè)務和橫向公共業(yè)務之間技術(shù)層面隔離。邏輯清晰，便于管理。
?  利于由于并購等原因造成的已建的部門（分公司）私有網(wǎng)絡向企業(yè)骨干網(wǎng)絡的遷移
?  對承載的業(yè)務部門來說：
?  L2VPN能提供類似于物理隔離的安全性。無需和骨干網(wǎng)交互IP路由，安全性有更大的保障。
?  骨干平臺僅提供類似傳輸鏈路的功能。各業(yè)務部門可以依托骨干網(wǎng)搭建自有的專網(wǎng)。對網(wǎng)絡有更大的自主權(quán)，可以自主規(guī)劃、維護業(yè)務：包括路由、MPLS VPN等業(yè)務。

2、結(jié)束語

    MPLS VPN是一項在當前行業(yè)網(wǎng)中應用非常廣泛的技術(shù)。企業(yè)在規(guī)劃設計廣域網(wǎng)絡時，最為關鍵的是要在充分考慮企業(yè)自身業(yè)務實際情況的前提下，結(jié)合良好的網(wǎng)絡設計，采用成熟穩(wěn)定的產(chǎn)品，從而構(gòu)建出高效、穩(wěn)定、易擴展的高品質(zhì)廣域骨干網(wǎng)絡。