MPLS VPN技术在DCN网络建设中的应用

摘要：电信运营商建设综合性DCN网络需要注意网络的安全性与可靠性问题、QoS问题、可扩展性问题以及管理性问题，而MPLS VPN技术能较好的满足现有综合性DCN网络的建设需求。在本文中参照某运营商省级DCN网络，从网络结构、MPLS VPN规划、路由协议规划等方面介绍采用MPLS VPN技术的DCN网络规划方案。

关键字：DCNMPLS-VPN 网络规划 路由协议规划

一、背景

随着各电信运营商企业信息化建设的不断推进，企业信息化在提高企业运营和管理水平、增强企业核心竞争力等方面发挥了巨大作用。为了充分发挥企业信息化的效益、满足企业对信息化建设的要求，就要求加大对各自业务支撑系统的建设和投入。

目前，许多业务支撑系统的通信网络基本上是根据业务发展而单独建设的，因此同时存在多张相对独立的业务支撑系统网络平台。这样虽然在业务纵向管理方面有一定的优势，但造成了多网并存、多头管理的局面，给全网统一管理和维护带来了较大的困难，也大大增加了网络建设和管理的成本，不利于新业务的开展

DCN（Data Communication Network）网络是电信运营商为其各支撑系统提供专用数据通信的网络。DCN网络需要承载各专业网的网管系统（OSS），需要承载综合业务管理系统（BSS）的数据共享，还需要承载OA系统、邮件系统、公文流转、企业内部网站应用和管理支撑系统（MSS），包括ERP系统、数据仓库等。这一综合的网络平台可以在整合现有独立网络系统的基础上，用物理上统一的传输平台承载现有各支撑子系统，有利于电信业务的拓展和集中管理。

同时，也由于DCN网络平台需要承载运营商多项业务支撑系统，各项业务系统的需求又各不相同，因此在建设DCN网络时要注意几个问题：

1）网络的安全性和可靠性问题

由于承载着多项业务支撑子系统，DCN网络必须保证其可靠性，以避免因网络系统可靠性差错造成的网络故障和恢复时间延长，从而影响营业、缴费等各项业务功能，同时也要实现各项支撑子系统之间的良好的安全性和保密性，特别是一些敏感信息（如计费）的信息安全。

2）网络的QoS问题

DCN网络承载着多项业务支撑子系统，而各子系统对QoS的要求往往相差很大。因此要根据不通业务类别的服务质量要求做不同的QoS处理。

3）网络的可扩展性问题

作为综合的业务承载平台，要求DCN网络能通过灵活的模块扩充和软硬件的升级新业务的加入和平滑升级。

4）网络的可管理性问题

DCN网络要能实现全国的统一管理，也能让各地市对本地网络进行维护和管理。

二、MPLS VPN技术介绍

MPLS（Multi Protocol Label Switch，多协议标签交换）是由IETF提出的新一代IP骨干网络交换标准，就是一种集成式的IPOA技术。它融合了IP路由技术灵活性和和ATM交换技术简洁性的优点，在面向无连接的IP网络中引入了MPLS面向连接的属性，提供了类似于虚电路的标签交换业务。MPLS技术是是基于标记的IP路由选择方法。这些标记可以用来代表逐跳式或者显式路由，并指明服务质量（QoS）、虚拟专网以及影响一定特定类型的流量（或一个特殊用户的流量）在网络上的传输方式等其它各类信息。MPLS采用非常简单的技术来完成第二层和第三层的转换，它可以提供给每个IP数据包一个标记，将之与IP数据包封装于新的MPLS数据包，由此决定IP数据包的传输路径以及优先顺序，而与MPLS兼容的路由器，会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记，无需再去读取每个IP数据包中的IP地址等信息，因此数据包的交换转发速度大大加快。

MPLS VPN则是基于MPLS技术构建的虚拟专网，即采用MPLS技术，在公共IP网络上构建企业IP专网，实现数据、语音、图像多业务宽带连接，并结合差别服务、流量工程等相关技术，为用户提供高质量的服务。MPLS VPN有三种类型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商边缘路由器，也就是MPLS网络中的标签边缘路由器 （LER），它根据存放的路由信息将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。

MPLS VPN的优点：

1）安全性

MPLS VPN借助MPLS技术,利用两层标记，自动为不同用户的节点间建立不同的隧道，使用户的流量分别穿行不同的“虚通道”中，实现用户流量的隔离，提供了逻辑上最大的安全性。

2）可靠性

MPLS VPN依托IP互连网络展开，通过设备、线路和路由的冗余保护措施，可以保证网络的可靠性。

3)QoS保证

采用MPLS技术可以通过流量工程，合理管理带宽，保证不同的服务质量；在MPLS架构中，PE可以为每个流量创建一个或多个有带宽保证的显式路径，并考虑到与流量有关的策略限制、网络物理资源和网络拓扑结构。

4）可扩展性

MPLS VPN具有很好的网络扩展性。它减少了网络方和用户方的工作量，可以建立任意的连接，不需要增加用户间的物理电路连接和用户终端设备。同一个VPN中的用户节点数量不受限制，容易扩容。

5）IP地址的私有性

由于已有的IP网络层（包括路由表）完全隔离，因此各专业网络的IP地址可以重复使用，互不相干。

三、采用MPLS VPN技术的DCN网络规划方案

在这里我们参照某运营商省级DCN网络介绍一下采用MPLS VPN技术的DCN网络规划方案。

1、网络结构

根据电信业务支撑系统采用省中心和地市中心两级结构的特点，同时考虑到网络的可靠性要求，DCN网络的拓扑结构一般采用双星型拓扑结构，即在省中心设置2台路由器，在地市中心设置1台（或2台）路由器，通过主/备链路双上联至省中心路由器。这样可以通过设备的冗余配置实现设备的的可靠性，通过备份链路实现链路的可靠性，通过路由算法的自动迂回、生成树算法等功能实现路由的可靠性。

2、MPLS VPN规划

网络中省中心和各地市中心的路由器作为PE，各PE下挂的三层交换机或路由器作为CE。省中心及地市的业务VPN采用以太网方式接入，每个应用划分不同的虚拟局域网（VLAN），每个VLAN透传到PE做终结后绑定到相应的VPN。

1）VRF及RD/RT规划

通过配置VRF（路由转发实例）的target属性，可以实现不同业务的VPN。不同路由器通过target相关联而组成可以相互访问的集合，由于只有他们内部可以互访，我们称之为VPN。VPN的成员关系是通过路由所携带的route target属性来获得的。不同CE通过PE配置的VRF里的target实现互访与隔离，从而组成不同的VPN。

MPLS的RT值有两种分配方式：第一种是[32bits AS符号:16bits VPN类别]；第二种是[32bits IP地址:16bits VPN类别]。这里我们选择第一种分配方式。考虑到配置管理的便利性，可将RT值同时作为RD值。在这里我们对MSS、OSS、BSS及Internet访问分配不同的RD/RT值。

2）特殊用户VPN之间的互访

在DCN网络中，存在一些服务器或终端身兼数职，需要能够访问多个VPN，即一个CE设备需要使用一个物理结构访问多个VPN，这种需求可以通过多个逻辑接口实现，但会新增额外的配置负担，使用起来也有局限性。为了解决这个特殊用户需要访问问题，通过在PE上配置多角色主机，使来自CE的报文可以访问多个VPN。因为此类用户控制需要使用特定IP地址，所以在IP地址分配可以考虑静态配置。

3）VPN用户访问Internet

DCN网络用户访问Internet可在省中心集中设置出口。在省中心PE设备上建立一个Internet VPN，Internet出口处设置的防火墙作为CE，通过RT值的配置实现与其他业务的互访与隔离。

2、路由协议的规划

路由协议在MPLS VPN网络中的应用分为三个层面：骨干层MPLS域（包括所有P和PE）、PE与CE互连、CE以下网络。这里我们主要关注前两部分。

（1）骨干层MPLS域路由规划

骨干层MPLS域需要一种IGP（内部网关协议）与MP-BGP(多协议扩展边界网关协议)相结合应用，同时运行两种协议。IGP协议的作用是保证MP-BGP邻居之间的可达性，MP-BGP的主要作用是通过其扩展属性完成各CE间的VPN路由和VPN路由标签在IGP网中的传递和分发。

1）DCN网络的IGP―OSPF协议的规划

MPLS VPN要求网络中的IGP必须是链路状态协议（OSPF或IS-IS协议）。这里我们选择OSPF协议。OSPF是一种收敛迅速、消耗系统资源较少的高效的链路状态协议，在很多大型的骨干网络的环境中得到了成功的应用。

在这里我们把DCN网络OSPF分成两个层次，省中心和地市中心的PE路由器组成Area 0骨干，各地市的其他路由器和三层交换机构成从Area 1～Area n的二级OSPF区域。各地市的区域路由表通过汇聚后和其它地市区域交换，这样可以有效减少整个网络所需的路由表数量，也便于网络路由的管理，还可以提高网络路由的稳定性。单个区域内的路由变化不会扩散到其他区域去。

2）DCN网络的BGP协议的规划

当采用MPLS VPN技术时，因为BGP不需要与其他自治系统的BGP建立对等关系，需要运行MP-iBGP，所以可以采用私有AS号，并将全省划为一个AS。

按照BGP协议的规定，在一个AS内部，iBGP邻居必须时全连接的，由于iBGP邻居通常数量较多，如果全连接会造成N平方问题。即如果运行iBGP有n个路由器，则必须维护的iBGP Session将会有：n×(n-1)/2。为了解决这个问题，可以在网络中使用RR（路由反射器）的形式解决。我们将省中心2台路由器作为反射器，其他地市PE路由器作为这两个反射器的客户机，并且只与这2台反射路由器建立邻居，形成逻辑上的双星型结构。

（2）PE与CE间的路由规划

对于PE和CE互联，可以采用静态路由、OSPF和BGP等多种路由协议。具体使用哪种路协议要根据具体情况而定。各地的路由可以汇聚成一条或数目较少的几条，这时采用静态路由时最简单、最高效的；当CE以下的网络结构比较复杂，路由数目较多的时候，PE和CE之间需要运行BGP协议，当然应用这种方案对CE的要求较高；OSPF在实施MPLS VPN时作为各县与地市之间的路由协议也是一个很好的选择。

在这里，因为CE和PE之间的路由比较少，并且只有单一的上行接口，没有必要采用动态协议。在PE上配置网段为本地，下一跳指向CE的静态路由，然后引入到MP-BGP中，到其他VPN；同时，在CE上配置目的网段为其他VPN（或者一跳缺省路由即可），下一跳为PE的静态路由。

四、结束语

通过采用MPLS VPN技术，可以实现在统一物理网络平台上多业务系统的互访和隔离控制，也能实现不用业务系统不同QoS控制，很好的解决的综合性DCN网络的存在的问题。目前MPLS VPN的技术还在不断方展之中，相信随着技术应用的不断成熟，通过MPLS VPN可以很好地构建一个多业务的、无缝连接各业务系统的、能提供不同的QoS保障的综合性DCN网络。