跨地市校区间网络互联方案讨论

庞小龙

中通服咨询设计研究院有限公司

0 引言

近几年，随着各院校招生人数的日益增多，教育规模的不断扩大，现有教学资源日益紧张，众多学校启动了异地新校区的规划建设。异地办学对校园网络的互联互通提出了新的要求，如何保证跨地市校区间校园网络的可靠互联，同时保证各校区间网络通信的安全性，成为校园网络规划的重难点之一。

1 校区间网络互联概述

目前，实现跨地市校区间的网络互联主要有两类技术路线，分别是物理专网和虚拟专网。

所谓物理专网，就是高校在各校区间自行敷设光缆，进行物理通信网络的建设。这种网络具有非常高的可靠性、安全性和稳定性，但是工程量巨大、造价也非常高。为了节约投资，部分高校采用租用运营商基础光纤资源的方式来组建物理层面的专有校园网络。以南京航空航天大学为例，其通过租用运营商物理光纤建立了跨地市的OTN 光传送校园网络，校区间构建了跨地市的物理专网，但是其建设投资依然巨大，不具有普遍适用性。

所谓虚拟专网，就是借助运营商提供的专线进行网络互联。目前主流的专线技术主要包括IPsec VPN、MPLS VPN 以及SD-WAN 等。考虑到IPsec VPN 并不能从互联网服务提供者的视角对流量进行智能调度，也不能优先保证重要服务内容，所以在全程公网传送时不可避免地会发生延迟波动以及丢包等问题，为此本文不再对IPsec VPN 进行深入讨论。

2 基于MPLS VPN 的多校区互联方案

MPLS VPN 是一种高效且可靠的网络传输技术。一般在数据链路层和网络层之间的以太网交换机和路由器上运行，在出口路由设备上移除标签，同时将原始IP 数据包转发至目的地址。由于此种模式无需查看IP 报头即可传输数据，有效提高了网络的传输性能。

考虑到跨地市校区一般位于运营商MPLS 网络不同的AS域，此种情形下连接VPN 的运营商PE 路由器已经无法直接建立IBGP 邻居关系，或者与RR 建立邻居关系，为此需要扩展MPLS VPN 体系框架，采用跨域MPLS BGP VPS 技术实现跨AS 发布路由前缀和标签信息。

（1）方案一

此种方案是在隶属于不同AS 域的ASBR 之间通过专用的接口管理不同的VPN 路由。此方案中，不同AS 域的边界路由器ASBR 直连，ASBR 之间无需运行MPLS 协议以及跨域特殊配置。每个ASBR 作为本自治域的PE 设备，把对端ASBR视为己方的CE 设备，通过EBGP 方式向对端通告路由信息。

如图1 所示，两台ASBR 之间接口互联，每个接口映射一个VPN，每个ASBR 都把对端域当成CE。相互连接的ASBR 设备接口绑定VRF，并通过EBGP 邻居关系把VPN 路由转变成普通的IP 路由，由一个自治域传递到另一个自治域，ASBR 之间不需要启用MPLS 协议。

图1 方案一多校区网络对接拓扑图

本方案由于不同AS 域之间无需运行MPLS 协议，所以配置相对简单，但是由于ASBR 设备需要管理所有跨域VPN 路由且为之配置相应的接口，所以对设备硬件性能要求较高。此外，因业务而跨多域时，需要每个自治域均支持VPN 业务，从而增加了网络配置的工作量。

（2）方案二

此方案与方案一思路类似，主要区别在于ASBR 之间通过MP-EBGP 交换其所在AS 域接收的标签VPN-IP 路由。ASBR 接收域内外的跨域VPN-IP 路由并通告出去。由于PE设备上只保留与本地VPN实例的Target保持匹配的VPN路由，所以在ASBR 上无需进行RT 过滤及创建VPN 实例，也无需绑定相应的接口。

如图2 所示，PE 通过MP-IBGP 将VPN 路由通告给域内的ASBR 或VPN RR（图中未体现），ASBR 再通过MPEBGP 将VPN 路由通告给对方域的ASBR，再由对方域内的ASBR 将VPN 路由通告给己方域内的PE。

图2 方案二多校区网络对接拓扑图

此方案优势在于不再对ASBR 之间链路数目有所限制，但是由于ASBR 依然要保存和传递AS 之间的VPN 路由信息，所以当VPN 路由较多时，ASBR 同样容易成为故障点。

（3）方案三

上文提到的两种跨域MPLS VPN 方案中，VPN 路由的维护和发布均依托于ASBR 设备。当有大量的跨域VPN 路由需要通过ASBR 进行通告时，就有可能造成网络拥塞。为了解决ASBR 的瓶颈问题，业界提出了多跳MP-EBGP 的方案。该方案的主要思路是通过建立多跳的MP-EBGP 会话，在不同自治域的PE 之间直接交互VPN 路由，从而解决需要ASBR 维护和分发VPN 路由而造成的性能瓶颈。

如图3 所示，ASBR 不再维护VPN 路由，仅维护前往PE的带标签路由，并且通过EBGP 通告给对端的AS 域，在跨域的PE 之间建立了一条LSP，从而实现跨域PE 之间通过多跳MP-EBGP 连接并进行VPN 路由通告。当AS 内有RR 时（图上未体现），PE 与本AS 内的RR 建立VPN 邻居关系，同时本端RR 与对端RR 建立VPN 邻居关系，从而实现跨域VPN路由传递，此处不再赘述。

图3 方案三多校区网络对接拓扑图

（4）方案四

方案四与方案三基本一致。最主要的区别是：在AS 内，方案三需要VPN LSP、BGP LSP、Tunnel LSP 三层标签，而在方案四中，仅需两层标签即可。

如图4 所示，此方案中ASBR 同样不用维护VPN 路由，仅需要维护去往PE 的带标签路由，同时通过EBGP 通告给对端的ASBR。对端ASBR 收到带有BGP 标签的路由后，会在该域内通过MPLS LDP 为该BGP 标签路由生成相应的标签，并在域内LDP 邻居间传递，从而在域内PE 上可以看到对端PE 的LDP LSP。至此，在跨域PE 之间建立了VPN 路由。当AS 内有RR 时（图上未体现），PE 与本AS 内的RR 建立VPN 邻居关系，同时本端RR 与对端RR 建立VPN 邻居关系，从而实现跨域VPN 路由传递，与方案三带RR 的情形类似，不再赘述。

图4 方案四多校区网络对接拓扑图

方案三和方案四较好地缓解了方案一和方案二中ASBR的压力，VPN 路由在跨域PE 之间直接交换，不再过多依赖ASBR 的网络性能。不过，由于需要维护端到端的PE 连接，网络管理成本相对较大，这也是方案三与方案四的主要缺点。

3 基于SD-WAN 技术的多校区互联方案

SD-WAN 技术的主要理念是通过SDN 技术实现对广域网络的智能化管理，在Overlay 层面利用软件的方式对Underlay层的网络进行抽象，从而提供优质的虚拟专网服务。基于运营商的SD-WAN 技术实现，只需要客户具备互联网或4G/5G 无线网络，通过部署终端盒子就能以较低的成本快速构建一张与公众互联网相隔离的专网（效果与MPLS VPN 类似），并提供三层组网的服务能力。

一个完整的SD-WAN 网络架构主要由以下几部分构成：

（1）智能网关CPE：CPE 作为SD-WAN 网络部署在客户侧的重要网络设备，主要负责与POP 点通过网络组建加密通道，将客户侧需要通过SD-WAN 网络传输组网的流量通过加密通道传输至POP 点及SD-WAN 主干网中，并传输到SDWAN 网络对端CPE。

（2）网络接入点POP：在SD-WAN 网络中，POP 点作为SD-WAN 组网的重要网络节点，承担着与智能网关之间通信，与其他跨域POP 点之间的SD-WAN 主干网通信等重要功能。

（3）SD-WAN 主干网：运营商自建的POP 节点间的骨干网络。以中国电信为例，基于中国电信的China Net 网络及CN2-DCI 网络构成，用户的SD-WAN 网络流量在主干网中通过VXLAN 技术进行逻辑隔离。

（4）SDN 控制器：对POP 点进行管理，负责虚拟链路的创建开通、释放、流量调度等。

采用SD-WAN 技术的跨地市校区间互联互通组网拓扑如图5 所示：

图5 SD-WAN 架构下的多校区网络对接拓扑图

在该组网架构下，主校区、分校区需要分别部署SDWAN CPE 硬件设备，也可在各校区部署软件客户端（需要各节点自行提供独立服务器或虚机承载软件客户端）。CPE 支持串接路由、串接网桥、旁路路由等多种部署方式，同时支持HA 部署，保障设备高可用。CPE 设备可通过互联网、专线、4G、5G 等多种链路接入，也支持Wi-Fi 接入。各CPE 上线后自动与SD-WAN 主干网上最近的POP 点加密连接，POP 点间建立端到端的虚拟隧道，将需要互访的流量引入隧道进行加密传输。此外，网络运维人员可以通过SD-WAN 可视化平台清晰查看各个节点的组网状态，降低运维人员压力。

4 方案比选

MPLS VPN 采用了2.5 层的标签方式保障了数据包的可靠传输及重要业务的数据流量。此外，MPLS VPN 无需配置额外的硬件设备，用户只需要把己方CE 设备连接到运营商提供SD-WAN 服务的网络边缘设备上即可。

MPLS VPN 的缺点也是明显的。首先，其使用成本相对较高，这是制约其市场竞争力的主要因素之一。其次，MPLS VPN 开通涉及大量的手动配置，且运营商内部也要走相应的开通流程，网络业务的开通周期较长，不利于校园业务的快速上线。最后，用户自主配置的灵活性不高，业务维护管理不便。这些缺点导致了该技术无法大面积推广。

与MPLS VPN 相比，SD-WAN 的配置相对简单，CPE 设备接电后可自动或者通过邮件、扫码等便捷方式获得相应配置后快速部署并开通业务。SD-WAN 组网在用户侧通常采用互联网宽带接入，其链路费用通常比物理专线或专网产品便宜。另外，由于SD-WAN 是一种Overlay 层面的网络技术，其能够根据实时网络条件智能寻径，并且在应用层提供可视化的监控与管理。

MPLS VPN 与SD-WAN 的各个维度比较如表1 所示：

表1 MPLS VPN 与SD-WAN 方案对比

5 结束语

基于SD-WAN 技术的跨地市校区间网络互联，可帮助学校节省昂贵的MPLS VPN 带宽费用。另外，SD-WAN 技术的自动化功能以及可视化的集中监控，降低了跨地市校园网络部署和管理的复杂性。但是，SD-WAN 并不能完全取代MPLS VPN。对于某些关键的业务流量，MPLS VPN 仍是较优的选择。因此，混合WAN 架构（SD-WAN 和MPLS VPN 协同工作）应当是跨地市校园网建设值得推荐的选择。