付振华,吴余辉
(中国联合网络通信有限公司荆州分公司荆州 434000)
中国联合网络通信有限公司 (以下简称中国联通)MPLS VPN业务是在公共IP网络平台上,采用多协议标记交换(multi protocol label switch,MPLS)技术建立用户数据传送通道,为用户提供广域网的路由设备连接,利用运营商网络平台,建立用户自有网络架构,帮助用户实现数据、语音、视频等多种业务在虚拟专用网络(virtual private network,VPN)内传输,且不同用户的网络之间相互隔离。
图1所示为CNC Network的系统架构。
CNC Network作为中国联通MPLS VPN的承载网络,面向全国性组建VPN专网业务,PE路由器在地市暂时只部署一套。用户接入普遍采用以下两种方式,如图2所示。
无论采用哪种方式,用户需直接接入CNC Network的PE路由器,要占用本地光纤资源和宝贵的进局资源,同时每条专线均需进行本地MSTP、SDH传输网络或光缆纤芯资源调度,建设开通周期较长。
随着客户经营网点的增加,对专线接入的点对多点能力的要求越来越高,采用传统的ATM/FR或DPLC电路方式接入成本很大。由于VPN方式的便利性,大量客户已经组建基于互联网的VPN业务。但基于互联网的VPN业务受限于汇聚点VPN网关的业务能力和安全性,很难提供电信级的服务质量保证。由于MPLS VPN具有良好的可扩展性和灵活性,技术上比较成熟,而且已经形成国家标准,在安全性和可靠性上为大多数客户所认可,用户只需配备CE设备,不需要VPN网关投资,满足了客户实现企业信息化建设、降低管理运作成本的需求。
图1 CNC Network的系统架构
图2 用户接入普遍采用的两种方式
由于VPN业务的多点汇聚特性和用户对业务带宽需求的增加,在IP MAN中要实现MPLS VPN部署,首先要解决设备和带宽资源的问题。经过城域网扩容和网络调整,中国联合网络通信有限公司荆州分公司(以下简称荆州联通)城域网已经达到预期的目标网络,地市城域网内部结构的调整也已基本完毕,公众用户和网管业务的流量模型已达到前期规划的目标,设备的升级已达到目标版本,达到了MPLS VPN部署的条件。
城域网的典型结构是核心—汇聚—接入3层模型,设备性能依次下降,网络规模依次扩大。在一个分层网络中如何部署PE节点,将PE部署到核心层、汇聚层,还是接入层?这是网络设计中遇到的问题。
PE设备接入用户需要大量接口,处理用户报文需要大容量的内存和转发能力,且由于成本原因只能在某一个层次部署PE。部署在核心层存在扩展性问题,PE设备向网络边缘的扩展会有困难。部署在接入层会导致网络成本巨高,对运营商来说毫无价值,改变网络分级的建设模式则会破坏IP城域网分级化的高可靠、高可管理性的优势。因此权衡后在汇聚层部署PE,同时依靠PON网络的高带宽和扁平化减少接入层的瓶颈。
根据扩展方式的不同MPLS VPN可以分为BGP扩展实现的MPLS VPN和LDP扩展实现的VPN。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。综合考虑后选择BGP扩展实现的MPLS L3 VPN。
荆州联通城域网出口使用两台NE5000E作为核心路由器,分别上连到省干的GSR设备。NE40作为汇聚路由器SR,汇聚本节点内的OLT、汇聚交换机等业务。
接入层通过二层VLAN透传至汇聚层设备 (BAS或SR),在二层实现业务的安全隔离和接入,城域网汇聚路由器SR作为PE路由器进行业务安全隔离,汇聚层上行至城域网核心路由器。
城域网核心路由器NE5000E兼作RR,解决本城域网内PE路由器的MPLS VPN的MP-IBGP全互联问题。
城域网核心路由器NE5000E作为ASBR上行到省网骨干,SR与RR之间建立MP-IBGP邻居,PE设备之间不再建立IBGP邻居,PE设备在MP-IBGP的VPN实例中通过Network发布本地汇聚的私网路由。
本地大客户业务VPN的命名及RD、RT按照用户的需求进行规划。本地城域网内相同级别大客户之间互访的流量之间通过PE建立LSP直接访问而不需要绕道省VPN汇聚路由器;跨地市之间大客户之间流量的互访,通过省网汇聚路由器跨域连接,实行业务的隔离和VPN内的互联。由于荆州城域网的AS与省VPN汇聚路由器所在的AS不同,需要与省VPN汇聚路由器之间部署跨域VPN,如option B方式。
·MP-IBGP:荆州城域网核心设备NE5000E作为ASBR又兼作荆州VPN的路由反射器。RR路由反射器与各PE设备之间建立MP-IBGP邻居关系,各PE设备之间不再建立MP-IBGP邻居。
·IGP:在MPLS VPN中,IGP路由主要是为了保证BGP next hop或者PE Loopback 0地址的可达性。现网部署ISIS路由协议作为MPLS VPN的核心IGP,但在部署过程中需要注意的是不能对 PE loopback 0或者BGP next hops地址进行路由汇聚,以免切断LSP路径。
·PE-CE路由:PE-CE间路由协议用于在PE-CE间相互扩散VPN内部用户路由,考虑到现网大客户的接入方式,客户分支机构通信流量不太大并且地址段一般稳定不变,采用静态路由的接入方式,配置简单,易于维护。
如果客户分支机构之间需要限制某些机构的相互通信或者指定通过核心点的用户路由器进行转发通信,可通过路由策略来限制路由分布以实现客户的需求。
对于VPN CE侧接入,PE与接入侧交换机之间使用二层trunk,在PE侧配置子接口封装dot1Q作为用户的网关来终结VLAN,在交换机侧为不同的客户配置不同的VPN进行隔离,并将VLAN透传至PE设备。具体网络拓扑如图3所示。
第一种方案:接入层从纯二层VLAN透传,网关在PE(NE40)上面终结,此方案客户投入少,无需新增路由器,地址可由中国联通来规划,也可按用户需求来规划。
第二种方案:从接入层 CE至PE(NE40)之间为三层接入,此方案适用于客户具有路由器及局域网,有自己的地址规划,无需改变用户现有网络模式。
根据实际情况这两种方案可灵活使用。
·互联地址:城域网VPN部署IGP及MP-IBGP的互连与Loopback地址使用113.56.0.0/24地址段(专用地址段)。用于MP-IBGP Peer使用的Loopback 255,在规划的地址段中从后往前分配,使用32位掩码。用于PE与RR、RR之间互连的接口地址,在规划的地址段中从前往后分配,使用30位掩码。ISIS命名,按照AS+4位区号+Loopback 255地址+00的原则来配置。
·用户地址:客户对内运行的地址段建议采用私有IP地址,有助于提高网络安全性和避免内网访问互联网的问题。
图4 PON+LAN或MC+LAN两种接入方式
好邻居定位为中小型社区超市,其随着业务发展在荆州有几十家店面,采用电脑管理营销等环节,之前租用我公司DPLC数字电路,费用较高。在IP MAN中MPLS VPN部署完成后,通过PON+LAN或MC+LAN接入用户店面,实际上利用IP MAN的覆盖网络实现经济快速的业务接入,而且宽带、语音业务可以同步实现,节省了设备和线路投资,且由于光缆工程仅需要从用户端布放到最近的分光器或光接入点,开通时间也缩短了。图4所示为PON+LAN或MC+LAN两种接入方式。
“金财工程”即政府财政管理信息系统(GFMIS),是利用先进的信息技术支撑以预算编制、国库集中支付和宏观经济预测分析为核心应用的政府财政管理综合信息系统。荆州联通承建荆州市财政局横向连接市(地)本级预算单位、收入职能部门、人民银行市(地)级国库分库、承担支付代理和非税收入代理的商业银行分支机构的三级骨干网。
图5 通过平板电脑或手机查看网络情况效果
项目需接入近200家单位,如按传统DPLC方式开通建设成本非常高,在和用户沟通后,用户决定采纳MPLS VPN组网,PON接入网采用FTTO全程无源光接入。在保证服务质量的同时大量缩短开通时间,节省了后期维护成本。通过MAC地址捆绑还可以实现用户终端接入管理。同时由于IP域网管可通过SNMP方式对ONU接入设备实施监控管理。用户通过平板电脑或手机就可以方便地查看各接入单位的网络情况,如图5所示,为用户提供定制化服务。
由于成本和效益方面的优势,MPLS VPN已成为国内各大电信运营商争相发展的新业务。通过在IP MAN中部署MPLS VPN,不仅可以满足本地客户对分支接入点越来越高的带宽要求,实现较低成本的接入,更能通过IP域网管实现对用户业务的实时监控和管理控制等增值服务,满足用户更多个性化的需求。
1 华为技术公司.MPLS VPN部署方案
2 Jim G,Ivan P著.田果,刘丹宁,沈铮译.MPLS和VPN体系结构.北京:人民邮电出版社,2010