新型承载网EVPN关键技术及商业部署应用

张龙江，邢 梅，廉 波，王蓓敏，公 伟（中国联通济南市分公司，山东济南 250002）

1 概述

随着互联网技术与生态环境的发展演进，越来越多的行业客户将生产经营活动由线下方式拓展至线上+线下协同发展，利用互联网资源，全方位、立体化地开展自身业务和办公等各类工作。如何更好、更安全地向客户提供值得信赖的通信网络服务，已成为国内运营商深入实施互联网创新发展战略，促进行业互联网融合应用过程中的一项重要使命。某省联通以“云+网+X”的战略目标为指引，充分调动战略人才技术团队的内在科研创新动力，采用自主实验平台仿真测试、技术攻关、商用部署的方式，基于EVPN 网络技术体系，构建新型宽带商用安全网络架构，推动行业客户数字化转型跑出“+速度”。

2 运营商MPLS VPN网络安全尚有提升空间

2.1 现有VPN网络接入方式种类繁杂

在行业客户数字化提升的发展过程中，包括企业资源规划、基于IP 网络的语音、基于IP 网络的会议和教学活动、工业互联网制造等在内的现代企业的业务流程，更多地需要自身的企业专网来赋能。运营商VPN 以其独具特色的优势赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，更多致力于企业商业目标的实现。VPN 在保证客户网络的安全性、可靠性和可管理性的同时，需提供更强的扩展性和灵活性。

运营商采用多项VPN 技术为客户提供全连接网络服务，包括VPWS、VPLS、GRE、L2TP、IPSec 等VPN。这些技术采用三层网络互连或二层网络互连的模式，提供点对点、点对多点的专网服务，但不同的VPN 部署方式存在不同的短板，缺乏适应统一支撑的全场景服务能力，接入方式种类繁杂。例如，VPWS 能够模拟点对点专线，但在多点互通方面能力不足；VPLS 可以支持多点连接的网络，但控制与转发平面扁平单一，缺乏立体分层。同时，现有VPN 解决方案对客户云网融合发展场景诉求的支撑尚显不足。

2.2 传统MPLS VPN客户网络安全保障性不足

传统基于MPLS VLL/VPLS/VPWS 的VPN 技术在客户应用时存在诸多限制，如负载分担能力不足、缺乏逃生路径、网络资源消耗较高等问题，如表1 所示。

表1 传统VPN维度比较

高可用性的运营商网络需要避免由于单点故障造成客户整体网络业务中断的情形，如接入电路中断、网络设备板块故障、掉电、受到网络攻击等。若不能提高网络的容错能力，不能向客户提供类似双路由、双节点的异地灾备服务，一方面会造成行业客户对所选择的运营商服务的信任危机，另一方面也会导致客户在其网络自身建设和运营中，选择另外多家运营商的网络服务作为备份手段。

从效益营收角度来说，这既会削弱运营商的核心市场竞争力，也会导致本该双线收入的利好局面缩减为单线收入，同时多家运营商、多宿主接入的方式对客户的业务管理、故障排除等也造成诸多问题。

2.3 EVPN双归模型价值

EVPN 作为SDN 时代下的新型MPLS VPN 技术，对运营商VPN 服务注入了新鲜活力，其为网络带来了灵活的业务接入方式、控制层面可定制化的MAC 学习、简洁的操作维护、高效的带宽利用和流量优化等耳目一新的变化。类似信息通信产业的香农定律和摩尔定律，无论运营商骨干汇聚节点（BAS 层面）如何提升设备性能，在应对单点风险方面仍显不足，一般是采取设备裂分方式来分担客户业务，缩减故障影响范围，但受多因素影响，效果不佳。EVPN 的双归架构网络模型能够有效解决客户的负载分担和多归属的技术问题，EVPN双归模型如图1所示。

图1 EVPN双归模型

EVPN双归模型可采用单活或双活2种模式。

a）单活模式：若PE 3 收到PE 1 和PE 2 的per ES A-D Route中有1个通告的是单活模式，则ES 1按照单活模式处理，这时流量只能走主PE（假设PE 1 为主用PE）。如果PE 1 接入的客户端发生故障，PE 1 设备可以先撤销per ES A-D Route，此时PE 3 及时切换流量到PE 2。

b）双活模式：若PE 3 收到的一组per ES A-D Route 中全部通告的是多活模式，则ES 1 按照多活模式处理，这时流量可以通过PE 1和PE 2同时进行负载分担转发。

综上，无论具体采用哪一种双归模型，均可以根据客户诉求进行灵活部署，从而为客户提供高可用网络，避免单点故障影响业务。

3 EVPN双归架构创新推动行业客户应用数字化转型能力提升方案

3.1 行业客户应用数字化能力的提升诉求

随着整个社会加速迈向数字化、网络化、智能化，尤其是5G加速赋能千行百业数字化转型，催生智慧城市、智慧交通、智慧能源、智慧医疗等海量应用，新技术、新应用、新场景对运营商互联网的承载能力提出了更高的要求。EVPN 双归部署服务模式适用于对业务实时性要求较高的敏感行业客户，包括民生、金融、政法、交通、安防等行业，覆盖政府云应用平台、银行核心业务系统及安防系统、保险证券核心系统、彩票销售系统和高速支付系统等应用场景。

3.2 EVPN双归架构实验环境搭建

某省联通采用自主搭建的开源EVPN 实验平台，其中涉及实验仿真设备的能力评估、来对EVPN 控制层面和转发层面涉及的相关协议、网络对接接口进行EVPN双归网络架构的组网开发验证。

第1步：采用VMware Workstation 作为虚拟开发系统平台，通过EVE-NG 实验仿真软件搭建网络底层仿真环境，选择某厂家设备型号的虚拟路由器镜像承担实验PE 角色，搭建EVPN 试验网，EVPN 试验网架构如图2所示。

图2 EVPN实验网

第2 步：客户中心点CE 1 采用跨机框聚合MCLAG 技术与运营商EVPN 网络的PE 1 和PE 2 进行双归对接组网，观察EVPN Type 1/2/3/4 路由通信过程，EVPN Type 1/2/3/4路由实验报文分析如图3所示。

图3 EVPN Type 1/2/3/4路由实验报文分析

第3 步：采用T 值假设检验方式，对EVPN 双归场景下客户中心点的业务切换时间进行量化分析（采用PING 方法测试），共涉及5 种中断模拟类别，EVPN 双归场景业务中断模拟场景如表2所示。

表2 EVPN双归场景业务中断模拟场景

对5 种中断模拟类别分别进行6 次测试，共30 次模拟实验，并采用T 值假设检验的方法，利用Minitab 18软件进行检验，测试EVPN双归业务的切换时间，具体数据如表3所示。

表3 EVPN双归业务切换时长数据

实验中采用显著性水准α=0.05 的情况，检验EVPN双归场景下业务切换时长。

a）提出假设。原假设H0：μ≤120 ms；备择假设H1：μ＞120 ms。

c）计算检验统计量。自由度V=n-1=30-1=29，。

d）查相应界值表，确定P值=1.699。

按α=0.05水准，T

3.3 某市联通宽带网EVPN商用架构及双归部署方案

以EVPN 实验仿真为攻关基础，某省联通选择以某市联通宽带城域网为突破口，牵头部署EVPN 商用网络架构，为行业客户数字化转型赋能部署网络商用实践方案。

某市联通采用宽带城域网BAS 作为EVPN PE 角色向客户提供EVPN 业务接入能力的部署思路。为支持BAS EVPN 能力，需将现网BAS 的软件版本由目前的V6R9 升级至V8R10，同时，为降低BAS 升级带来的在线用户数等业务开销对BAS CPU 利用率的冲击风险，采用软件升级抽样测试评估、BAS商用规模推广部署的步骤来分步实施。

3.3.1 某市联通设备软件升级抽样测试

从现网BAS 的最大用户数和平均用户数2 个维度，判断现网BAS 的在线用户数是否符合正态性分布。以月数据为统计源，P值=0.05 为门限，正态性检验如图4所示。

图4 中，P值均大于0.05，说明BAS 的最大在线用户数和平均在线用户数均符合正态性分布。

图4 CPU利用率正态性检验

为避免升级后BAS 的CPU 利用率超过告警门限（70%），对业务产生影响或宕机，根据现网BAS用户数分布规模，抽样选择用户数为2 万、3 万和4 万的BAS各一台，进行先期软件升级，并通过网管系统提取BAS升级后5 天的CPU 利用率数据，采用控制图和过程能力分析进行评估，证明抽样BAS 的CPU 利用率在升级前后稳定可控，未超过告警门限值70%，如图5所示。

图5 CPU利用率的过程能力报告和R控制图

3.3.2 EVPN双归商用网络架构部署，构建技术底座

根据抽样BAS 升级经验，某市联通对全网BAS 进行EVPN推广部署。采用DOE设计方案将升级步骤进一步优化，以应对升级过程中ONU 突发大量DHCP 注册报文对BAS CPU的冲击风险，部署步骤优化为3步。

步骤1：在城域网各台BAS 节点软件升级前，对各项准备工作部署到位，包括工具和软件、设备运行情况、变更风险评估及应对措施、升级脚本和资料准备等内容。

步骤2：在BAS 升级时间窗口内，优化升级相关模块的命令，包括关闭设备系统定时保存配置的功能，整机用户下线并关闭接入侧端口，设置下次启动大包/补丁，关闭地址池自动隔离功能、解锁域、逐步打开下行端口等内容，并逐个进行业务恢复，防止多个业务同时启动带来的风暴冲击。

步骤3：在BAS 升级完成后，逐个进行相关业务PING测试、设备状态检查、现场业务判定等内容，观察BAS 的CPU 利用率占用情况，确保BAS 的CPU 资源消耗稳定在合理门限范围内。

每个BAS 所在节点部署2 台BAS 以覆盖EVPN 双归场景，如图6所示。

图6 EVPN 双归应用部署场景

EVPN 客户CE 支持非Trunk 上联和Trunk 上联2种方式实现双归，其中Trunk 部署支持双活模式。对于双归接入，除ES 设置外，双归节点需要指定相同的本地AC ID和远端AC ID，ES路由用法与单归EVPN相同，双归PE间还可建立EVPN ICB，用来做跨机框故障的快速保护，EVPN双规单活部署场景和EVPN双规多活部署场景分别如图7和图8所示。

图7 EVPN 双归单活部署场景

图8 EVPN 双归多活部署场景

4 “VPN+”运营经验创新

EVPN 延展了传统VPN 的应用场景，实现“VPN+”创新，能契合更加开放活跃的技术与业务创新、更加高效灵活的组网与业务提供、更加优异的性能与用户体验，有力支撑行业客户数字经济蓬勃发展。

4.1 EVPN服务模式的优势

EVPN 双归架构服务的部署，相比物理光纤、传输专线等传统组网模型有着低成本、广覆盖、可行性高、高拓展等商用优势，能拓展更加细化的“VPN+”多接入应用场景，EVPN服务模式优势对比如表4所示。

表4 EVPN服务模式优势对比

4.2 EVPN专线成本及效益评估对比分析

某省联通参照某市EVPN 网络部署经验，制定了不同速率步长的EVPN 专线产品资费和具体专线的量化收益策略，如表5所示。

表5 EVPN专线产品及资费

同时，对EVPN 专线的业务受理流程进行了严格的控制，具体流程包括资费审批、合同签署、EVPN 域名配置、营业系统配置、资源确认和交付落地等环节，完成闭环管理。

4.3 EVPN架构部署运维效率

通过深入分析某市联通现网设备的各项参数数据，如CPU 利用率、内存利用率、在线用户数等，将现网划分为低、中、高3 个风险区间，分阶段优化BAS 升级，最终实现网络设备零投资，完成某市联通城域网EVPN 架构部署，节省网络设备投资840 万元，节省网络运维成本100 余万元，共计节省网络投资支出900多万元。EVPN架构部署运维效率如表6所示。

5 EVPN网络架构持续演进创新分析

随着新一代网络转型的开启，从云网协同到算网一体，网络的作用和价值正在发生变化。某省联通正逐步将EVPN 与SR、SRv6 进行深度网络融合，打造更加泛在、柔性、协同、智能、安全和可定制的简约化数字网络基础设施。与5G 建设相关的智能城域网原生态支持EVPN、SR等新型互联网关键技术的同时，覆盖公众客户和行业客户最多的传统宽带城域网亦可以进行多层次的数字化转型，通过推动运营人员OT 能力深耕，充分挖掘网络的ICT 价值，为行业客户打造低时延、安全可信和高质量的感知增强网络。

从IPv4 到IPv6，IP 网络正在发生体制性的变革，IPv6 正加速与多种技术融合，工业互联网、智慧金融、智慧政府等领域的应用前景正在开启，后续将浮现更多行业的数字化转型机遇。EVPN 天然的BGP 控制层扩展能力能够更好地契合行业互联网的发展环境，为客户的自动化云迁移、云灾备等服务部署能力提供更易延伸的专网技术架构，破除客户业务的网络局限壁垒，协同SRv6大幅降低云网协同的复杂度。

6 结束语

目前，整个行业数字化转型的发展“+”速度已经凸显，无论是“VPN+”体系技术创新，还是相应融合应用落地，都将助推我国新一代高质量网络“底座”的构建，助力经济社会的高质量发展。某省联通积极响应CUBE-Net 3.0的网络发展指导和集团公司1+5+5的工作部署，在传统宽带城域网和智能城域网基础上，通过试验攻关网络关键技术，主动开展有利于行业客户的创新探索，持续实现网络创新服务的商用落地。

同时，某省联通采用以师带徒、薪火相传的方式，进一步将专家人才的个人价值赋能于网络线人员，提升团队整体交付能力，协同进步，形成高质量、立体化、多层次的网络技术产品和服务，以扎实的生产力服务履行“三个一切”宗旨，为行业和客户的数字化发展助力。